Blogok

Felhasználói tanúsítvány Subject Alternative Name lekérdezése PowerShell -ből

Egysoros, hogyan lehet lekérdezni az aktuális felhasználó az adott "ENTERPRISE CA" által kiadott "User" tanúsítványából a Subject Alternaive Name tulajdonságot:

($(gci Cert:\CurrentUser\My|?{$_.Issuer -like "*ENTERPRISE CA*"}).Extensions|?{$_.Oid.FriendlyName -eq "subject alternative name"}).Format(1)

Arra jó, hogy ellenőrizzük van-e a felhasználónak tanúsítványa és milyen accountra lett kiállítva. Az "ENTERPRISE CA" értéket át kell állítani a saját CA-nk nevére.

Ha hibaüzenetet kapunk, mint alább, akkor vagy nem jó a CA neve vagy nincs kliens tanúsítvány.

You cannot call a method on a null-valued expression.

Always On VPN problémák

For English readers: You can find the English version under the Hungarian one.

Követve a dokumentációt, két pofonba lehet rögtön beleszaladni.

Az első:  VPNUserAuthentication template could not find specified CSPs
Ha beállítjuk a fenti dokumentáció szerint a CA template-t és egy olyan gépen futtatjuk, ahol nincs TPM chip (például virtuális gép), akkor nem fog létrejönni a felhasználó tanúsítványa. A CertificateServicesClient-CertEnroll kliens sajnos alapból nem loggol semmit, úgyhogy még hibaüzenet sem lesz.
Az első teendő, hogy kapcsoljuk be a loggolást.
A registryben a HKLM\Software\Microsoft\Cryptography\Autoenrollment kulcs alatt hozzunk létre egy AEEventLogLevel DWORD bejegyzést, aminek 0 az értéke.
Ezután adjuk ki a gpupdate /force /target:user parancsot. (Nem szükséges újraindítás)
Az Event Viewer-ben nyissuk meg az Application Log-ot és megtaláljuk a következő hibaüzenetet:

Log Name: Application
Source: CertificateServicesClient-CertEnroll
Event ID: 55
Level: Warning
Certificate enrollment for DOMAIN\user for the VPNUserAuthentication template could not find specified CSPs on the local machine. Enrollment will not be performed.

Beszédes, nem?
(A CSP a Cryptographic Service Provider rövidítése)

Szerencsére van egy kis támpont, a dokumentációban, ez szerepel:

Microsoft Platform Crypto Provider lets you use the Trusted Platform Module (TPM) on client computers to secure the certificate.

On the Cryptography tab, complete the following steps:
In Provider Category, click Key Storage Provider.
Click Requests must use one of the following providers.
Select the Microsoft Platform Crypto Provider check box


Tehát csak akkor jön létre a cert, ha van TPM chip a gépben. A megoldás az, hogy megszerkesztjük a VPN User Authentication Template-t:
A certificate szerver kezelőjében jobb gomb a Certificate Templates mappán és Manage. Szerkeszük meg a VPN User Authentication template-t úgy, hogy a Cryptograpy alatt így nézzen ki:

A másik probléma, hogy a VPN Szerver tanúsítványának kérésekor az alábbi hibaüzenetet kapjuk: CERTSRV_E_TEMPLATE_DENIED

The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
Denied by Policy Module
The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED)
The request ID is 21.

Az ok: Azért fordul elő ez a hiba, mert tényleg nincs jogosultságunk. Ugyan hozzáadtuk a szervert a VPN Servers csoporthoz, de ahhoz, hogy a csoporttagságot felvegye a gép, újra kell indítani, ugyanis a windowsban a csoporttagságok bejelentkezéskor rendelődnek hozzá a tokenhez. Nincs ez máshogy a számítógép fióknál sem, azonban a gép csak induláskor jelentkezik be.

A megoldás: Újraindítjuk a VPN szervert és újrakéjük a certificatet.

________________________________________________________

English version

When you follow the Always On VPN documentation, you can run into the following issues.

ISSUE1: VPNUserAuthentication template could not find specified CSPs

If you set the User CA template according to the documentation and your computer doesn't have a TPM chip (running on VM for example), then the user certificate will not be created. Unfortunately, the CertificateServicesClient-CertEnroll doesn't log anything. First, set  new registry key to turn on more detailed autoenrollment auditing: In HKCU\Software\Microsoft\Cryptography\Autoenrollment, create a new DWORD value named AEEventLogLevel and set its value to 0.

Open up Application Log in Event Viewer (eventvwr.exe).

Force Autoenrollment:

gpupdate /force

In the Application event log, refresh the log to see what happens during autoenrollment.

Log Name: Application
Source: CertificateServicesClient-CertEnroll
Event ID: 55
Level: Warning
Certificate enrollment for DOMAIN\user for the VPNUserAuthentication template could not find specified CSPs on the local machine. Enrollment will not be performed.

CSP means: Cryptographic Service Provider

Luckily in the documentation we can find the following:

Microsoft Platform Crypto Provider lets you use the Trusted Platform Module (TPM) on client computers to secure the certificate.

On the Cryptography tab, complete the following steps:
In Provider Category, click Key Storage Provider.
Click Requests must use one of the following providers.
Select the Microsoft Plaform Crypto Provider check box

So the certificate is only created if the computer has a TPM. The solution is to edit the VPN User Authentication Template.

On the CA, open Certification Authority.
In the navigation pane, right-click Certificate Templates, and click Manage, edit VPN User Authentication and select the Cryptography tab:

Add the Microsoft Software Key Storage Provider.

ISSUE2: CERTSRV_E_TEMPLATE_DENIED
The VPN Server certificate when you try to enroll, you get the following message:

The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
Denied by Policy Module
The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 ( -2146877422 CERTSRV_E_TEMPLATE_DENIED )
The request ID is 21.

The solution: This is happens, because we added the computer to VPN Servers group – and set the permissions on the template to it -, but we didn't restarted the server. Restart the VPN server and try to Enroll again.

US és Magyar billentyűzet beállítás PowerShell segítségével

Windows Server Core -on hasznos lehet, ha váltani szeretnénk a billentyűzetek közül. Mivel nyelvi beállítások nincsenek, marad a PowerShell:

Set-WinUserLanguageList $(New-WinUserLanguageList -Language "en-US"| % {$_.add("hu-HU");$_}) -force

(You can set multiple keyboard languages from PowerShell this way on Windows Server Core)

Wannacrypt, XP, Windows 2003 patch

Nem Office 365-ös téma, de sokakat érinthet az igazándiból SMBv1 patch. A Wannacrypt az eddigi leggyorsabban terjedő kripto vírus (randsomware), elég egyetlen számítógépre eljutnia, hogy utána a hálózatra kötött többi eszközt is megfertőzze, amelyik védtelen.

A megoldás egy Márciusban kiadott hibajavítás: Microsoft Security Bulletin MS17-010

Azonban ez nem minden rendszerre jött ki, viszont tegnap (ma) a Microsoft kiadott egy hibajavítást az Windows XP, Windows 2003, Windows 8 gépekre is:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Az angol nyelvű javításokat direktben innen lehet letölteni:

Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

A Magyar és egyéb nyelveket pedig innen:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Exchange Online PowerShell többfaktoros azonosítással (MFA)

Gyors megoldás sietősöknek: kattintás ide

Eddig az Exchange Online-hoz nem lehetett Modern (ADAL, MFA) autentikációval csatlakozni. Nemrég megjelent egy technet cikk, ami részleltesen leírja a csatlakozás folyamatát:

Admin Portal/Admin Centers/Exchange/Hybrid/Configure gomb a Exchange Online PowerShell Module alatt.

Ezután Connect-EXOPSSession -UserPrincipalName <UPN> parancsot kell kiadni és már benni is vagyunk. (az UPN általában az email címmel egyezik meg)

Miután már fel van telepítve a modul az adott felhasználónak, PowerShell ISE -ből az alábbi módon lehet betölteni az Exchange Online PowerShell module -t , hogy működjön az MFA.

Import-Module $((Get-ChildItem -Path $($env:LOCALAPPDATA+"\Apps\2.0\") -Filter Microsoft.Exchange.Management.ExoPowershellModule.dll -Recurse ).FullName|?{$_ -notmatch "_none_"}|select -First 1)
$EXOSession = New-ExoPSSession
Import-PSSession $EXOSession

Elérhető a németországi adatközpontban is az Office 365


 

A különbség főleg az üzemeltetésben van, az adatvédelmi szempontok miatt. Ellentétben az eddigi európai adatközpontoktól, a németországi adatközpontot nem a Microsoft, hanem egy külső cég a T-Systems üzemelteti, így a szigorúbb Német vagy Európai adatvédelmi szabályozás alá eső cégeknek is elérhetővé válnak a felhős szolgáltatások. A Microsoft a technológiát adja, hozzáférése nincs az adatközponthoz. A szolgáltatás elnevezése Office 365 Germany lesz. Az adatközpontok Frankfurt/Main illetve Magdeburgban találhatóak.
Azonban ára is van a biztonságnak, a 4,20 EUR/felhasználó/hó díjú Vállalati alapcsomag 5,30 EUR-ba kerül.

forrás:
Microsoft
fixmibug

Fájl átnevezés Excel Online vagy Word Online-ban

Amikor Office Online-ban új üres fájlt hozunk létre, akkor automatikusan kap egy nevet, például: Munkafüzet, Document5, Presentation, …

Ha a Fájl/Mentés másként menüt használjuk, akkor új fájl jön létre és az üres is megmarad egy új fájl létrehozásakor ez nem a legjobb. A legegyszerűbb átnevezni a dokumentumot.

Ehhez egyszerűen csak a böngésző felső részén a fájlnévre kell kattintani:

Persze be is lehet csukni és átnevezni, de az több kattintással jár. Fájl/Átnevezés funkció egyenőre nincs. (2016.12.18)

Ha már itt tartunk az Office Online-ban nincs mentés funkció, a dokumentumok automatikusan mentődnek minden változáskor.

Office 365 postafiók létrehozása hibrid környezetben

(Távoli postaláda engedélyezés)

Amennyiben helyi és Exchange Online környezetünk is van, valamint össze vannak egymással kapcsolva, az alábbi kérdések szoktak felmerülni, ha közvetlenül létrehozzuk az Office 365 postaládát a felhőben:

Miért nem látszanak a felhőben létrehozott felhasználók a helyi Exchange Admin Center-ben?

Miért nem működik a belső hálózatról az Outlook automatikus szerver konfiguráció?

Bár létrehozhatjuk a felhasználót az AD-ban és hozzárendelhetünk a szinkronizálás után licencet az Office 365-ben, de a probléma az, hogy ilyenkor a helyi Exchange nem tud róla, hogy ennek a felhasználónak létezik postafiókja. A helyi Exchange számára egy AD felhasználó lesz semmi több. Ezért nem tudja beállítani pl. automatikusan az Outlook az email cím alapján a szervert, hiszen a helyi Exchange-t kérdezi meg, de ő meg nem tud semmilyen postafiókról.

Ilyenkor szükséges különböző Exchange AD attribútumok (pl. msExchRecipientType ) beállítása is a felhasználói objektumon. Ezt legegyszerűbben az alábbi PowerShell paranccsal tehetjük meg:

#Szintaktika: Enable-RemoteMailbox <felhasználó> –RemoteRoutingAddress <felhasználó@előfizetés.mail.onmicrosoft.com>

Enable-RemoteMailbox vezeteknev.keresztnev -RemoteRoutingAddress vezeteknev.keresztnev@tenantnev.mail.onmicrosoft.com

 

A teljes folyamat:

  • Létrehozzuk az AD felhasználót
  • Enable-RemoteMailbox
  • AD szinkron futtatása (vagy kivárni a szinkronizálást)
  • Licenc hozzárendelése a felhasználóhoz az Office 365-ben, ekkor jön létre a felhős postafiók

SharePoint Online Webhelycsoport maximális mérete 25 TB-ra növekszik

A Microsoft a blogján jelentette be, hogy 1 TB-ról 25 TB-ra növeli egy Webhelycsoport maximális méretét a következő hetekben.

Ezen felül immár egyszerűen lehet – végfelhasználók számára is - reszponzív weblapokat készíteni, amelyek tartalmazhatnak képeket, videókat, dokumentumokat, képgallériákat, eseményeket, ...

Az Office 365 csoportok a megosztott postafiók, naptár, jegyzetfüzet, dokumentumtár, feladatkezelő mellé a jövőben egy teljes értékű Csoportwebhelyet is kapnak.

 

Webhelycsoport – Site Collection
Csoportwebhely – Team Site

Microsoft Bookings

A Microsoft új szolgáltatással lepi meg hamarosan a Vállalati Prémium előfizetőket. A Microsoft Bookings lehetőséget teremt arra, hogy az előfizetők ügyfelei ( pl. fodrászat, szerviz, fogászat, korrepetáló tanár, stb ) időpontot tudjanak foglalni maguknak. Nem csak webes felületen, hanem akár mobil alkalmazáson keresztül.
Az ügyfelek tájékoztató emailt kapnak a foglalásról, valamint automatikusan az időpont előtt figyelmeztetést is. Több dolgozót is kezel, át lehet a feladatokat más dolgozókhoz rendelni, stb. Természetesen fel lehet venni kézzel is a foglalást, ha az ügyfél pl. betelefonál. A foglalások a bekerülhetnek a dolgozók naptárába, akár Office 365, outlook.com (hotmail), de akár Google naptárba is.

A Bookings használatához elég akár 1 Vállalati Prémium előfizetés is hozzá az előfizetői oldalon.

Az ügyfeleknek nem szükséges sem Office 365 előfizetés, sem Microsoft Account az eléréshez.

Első körben az "Első megjelentés" opciót választó Vállalati Prémium előfizetésekhez érkezik meg. ( Rendszergazda/Beállítások/Szervezeti profil/Megjelenési beállítások). Később az E3, E5 csomagokkal is elérhető lesz.

 

Megszűnik a DirSync és az Azure AD Sync, helló Azure AD Connect


 

2017 Április 13.-tól megszűnik mind a DirSync, mind az Azure AD Sync támogatása, a helyüket az Azure AD Connect veszi át. Érdemes minél előbb lecserélni, nehogy feledésbe merüljön. Maguk az eszközök fognak működni, de támogatás már nincs, ha bármi gond van, a support addig nem foglalkozik velünk, amíg nem frissítjük.

Maga az eszköz mögött lévő szinkronizálási technológia ugyanaz, mint az Azure AD Connect, de a tool magát a konfigurálást is elvégzi és többet is tud. Például beállítja az ADFS szervereket egy pár egyszerű kérdés után. A telepítés egyszerű, le kell szedni a régi toolt teljesen és feltelepíteni az AAD Connect-et, adatbázis mentés nem szükséges. Lehetséges frissíteni is a meglévő konfigurációt:

Upgrade from DirSync

Upgrade from Azure AD Sync

Részletek: http://aka.ms/dirsyncdeprecated

Végre megérkezett a talán rendesen működő vállalati OneDrive

A Microsoft OneDrive vállalati kliense (groove.exe) soha nem működött igazán jól. Ha valakinek egy kicsit is több fájl volt a saját SharePoint Online tárhelyén (OneDrive), akkor időnként csak úgy elakadt a szinkronizálás és jobb esetben lehetett újra letölteni mindent, rosszabb esetben újra telepíteni. Még csak egy napja van kinn az új kliens, de elvileg ez már jó lesz. Azért fogalmazok feltételes módban, mert még nincs vele hosszútávú tapasztalatom, de a OneDrive csapat már azt mondja ez a tuti verzió. ( 17.3.6378.0329 )

Az új kliens a személyes OneDrive része immár (onedrive.exe), a OneDrive vállalati mappát innentől ez kliens fogja szinkronizálni. Egyelőre csak a saját OneDrive mappát, a többi SharePoint tárat továbbra is a régi (groove.exe) kliens szinkronizálja.

Az új klienst innen lehet letölteni:
http://go.microsoft.com/fwlink/p/?LinkId=248256

A Jó hír, hogy szinkronizálásnál immár 10 Gb a maximum fájlméret és 30 millió fájlt szinkronizálhatunk. Részletek itt.

Használható Windows 8.1-el is
Választható mely könyvtárakat szinkronizálunk
Rendben működik Mac-en

A kliens bizonyos feltételek fennállása esetén, automatikusan átveszi a régi klienstől (groove.exe) az adatokat. Erről részleteket az alábbi linken lehet találni, az előfeltételek résznél:
Áttérés a jelenlegi OneDrive Vállalati verzió szinkronizálási ügyfélalkalmazásról

Tapasztalataim szerint, ez nem mindig sikerül. Ilyenkor hozzá kell adni a vállalati fiókot az ikon jobbgomb/settings ablakán:

Figyelem: Ilyenkor nem maradnak helyben a fájlok, hanem a régi mappa átnevezésre kerül és újra letöltődik minden! Fontos, hogy legyen elég hely a lemezen, vagy előbb nekünk kell kikapcsolni a szinronizálást a régi kliensben, elmenteni a fájlokat és utána hozzáadni a vállalati fiókot.

 

Tipp: A állományok továbbra is a SharePoint saját webhelyen tárolódnak, aminek a vállalati Office 365-on belül az egyszerűség kedvéért OneDrive a neve (jók ezek a marketingesek az MS-en belül). Viszont ennek megfelelően vannak korlátozások, pl. nem lehet % jel az állománynevekben. Van egy eszköz, amellyel ezeket az állományokat automatikusan meg lehet találni és javítani a nevüket. Az alábbi linken letölthető:

https://support.microsoft.com/hu-hu/kb/2933738#bookmark-fixitformealways

 

Update1: Az új kliens támogatja a Windows 8.1-et is eddig csak a Windows 8 volt támogatott)

Update2: A vállalati verzióban ez újdonság, ki lehet választani, hogy melyik könyvtárakat szinkronizálja:

Update 3: Mac-en is rendben működik, csak egy kicsit kell vele trükközni, az alábbi parancsokat érdemes kiadni.

sudo defaults write com.microsoft.OneDrive-mac DefaultToBusinessFRE -bool True

sudo defaults write com.microsoft.OneDrive-mac EnableAddAccounts -bool True

Teljes leírás

VM státusz PowerShell lekérdezés ARM

Azure Resource Manager (ARM) PowerShellben nem olyan egyszerű lekérdezni a gépek bekapcsolt státuszát, mint Service Managerben (ASM). Amennyiben egyszerűen a Get-AzureVM paranccsal lekérdezzük a gépeket, csak a ProvisioningStatus-t kapjuk meg a VM egyéb állapotáról nem kapunk információt.

A Get-AzureVM parancsnak van egy –Status kapcsolója, amivel a részletes státusz is elérhető. Így már elő tudjuk állítani az egysorosunkat:

get-azurevm | Select-Object @{Name="VirtualMachineName";Expression={$_.Name}}, ResourceGroupName, @{Name="Status";Expression={((get-azurevm -ResourceGroupName $_.ResourceGroupName -Name $_.Name -Status).Statuses | ? { $_.Code -like "PowerState*" } ).displaystatus}}

Format-Table –AutoSize –al szebb lehet az eredmény, de ekkor nem kapunk azonnali válaszokat, meg kell várni az összes gép lekérdezését:

get-azurevm | Select-Object Name, ResourceGroupName, @{Name="Status";Expression={((get-azurevm -ResourceGroupName $_.ResourceGroupName -Name $_.Name -Status).Statuses | ? { $_.Code -like "PowerState*" } ).displaystatus}} | Format-Table -AutoSize

Megjelent az új Office 2016

Gyorshír: megérkezett az új Office Windows verziója, részleteket itt találtok: https://blogs.office.com/2015/09/22/thenewoffice/

A rendszergazdáknak a telepítésről már írtam: http://blog.zomputer.hu/content/office-2016-szeptember-22

Update:

Így lehet Office 365 (vállalati) licenccel az új Office 2016-ra frissíteni

 

 

Office 2016: Szeptember 22

A Microsoft hivatalos blogbejegyzésben erősítette meg a hírt, hogy 2015. szeptember 22.-én jelenik meg az Office 2016 Windowsos változata. Megosztok veletek néhány fontosabb információt, amelyek elsősorban a rendszergazdák számára lehetnek fontosak. A cikkben főleg a cégeknek való Office ProPlus (felhős) változatról lesz szó, mivel itt várhatók lényeges különbségek.

A jelenlegi Office 2013-as változathoz a 2016 megjelenése után 1 évig fogja kiadni a Microsoft a biztonsági frissítéseket, tehát ennyi időnk lesz a frissítésre.

Ha az Office 2013 felhős frissítésre van beállítva (CDN), akkor az Office 2016 fájljai automatikusan letöltődnek a kliens gépekre. Miután a frissítések letöltődtek, a felhasználó kap egy kérdést, hogy szeretne-e frissíteni.
Ez az alapértelmezett telepítési mód, csak akkor tudunk eltérni tőle, ha az Office Deployment Tool-al telepítettük az Office-t.
A telepítő kb. 850 Mb-nyi adatot tölt le az alaptelepítéshez és 200 Mb-ot nyelvenként.

Az Office 2016 esetén lehetőség lesz az előbb említett Office Deployment Tool segítségével másik frissítési ágat választani az alábbiak közül:

Frissítési Ág

Új képességek

Biztonsági frissítések

nem biztonsági frissítések

Current Branch

havonta

havonta

havonta

Current Branch for Business

negyedévente

havonta

negyedévente

First Release for Current Branch for Business

havonta

havonta

havonta

 

Nagyobb cégeknél a javaslat a következőt:

  • Pilot felhasználók a Current Branch frissítéseket kapják meg, így ki tudják próbálni az újdonságokat
  • A főbb üzleti felhasználók a Current Branch for Business ágat használják
  • Az alkalmazás tesztelők a First Release for Current Branch for Business ágat használják, így ki tudják tesztelni az főbb üzleti felhasználóknak az alkalmazásokat.

Felmerül a kérdés, hogy hogyan adhatjuk meg melyik ágba tartozzon a telepítés. Erre az előbb is említett Office Deployment Tool-t kell használni, egy külön Branch attribútum szolgál a configuration.xml fájlban:

<Configuration>
<Add SourcePath="\\server01\office" OfficeClientEdition="32" Branch="Current">
<Product ID="O365ProPlusRetail" >
<Language ID="hu-hu" />
</Product>
</Add>
</Configuration>






Néhány fontosabb kitétel, az új Office 2016 együttműködésével kapcsolatban:

  • Nem lehet Office 2013 és 2016 egy gépre telepítve.
  • Nem lehet egy gépre telepíteni az Office 2016 mennyiségi licencelt (.msi ) és Office ProPlus ( felhős ) változatát.
    Ez utóbbi azt is jelenti, hogy felhős Office 2016 mellé csak felhős Visio-t vagy Projektet tudunk telepíteni!
  • A 2013-as Projekt és Visio változatok az Office 2016 telepítésekor törlődnek és telepítés után sem lehet telepíteni őket. Ilyenkor a 2016-os Visio-t vagy Projektet lehet telepíteni
  • Bár ezután gyanítom kevesen fognak kardjukba dőlni, nem lesz 2016-os InfoPath. Az InfoPath 2013 marad a legfrissebb változat. Ez is eltávolításra kerül a telepítéskor, azonban a portálról le lehet tölteni a külön telepíthető változatot.

Nyelvek

Újdonság, hogy a felhős Office 2016-hoz már külön letölthető a nyelvi csomag. Ezeket kétféleképp lehet telepíteni:

  • A felhasználók maguk töltik le. Egy link lesz az Office 365 portálon, a Szoftver lapon.
  • A már többször említett Office Deployment Tool-t is lehet erre használni.
Tartalom átvétel