ADFS – en snabb snabbguide för att sätta upp en ny ADFS farm.

Guide och guide, denna går bara igenom lite vad som är bra att tänka på för att sätta upp en ADFS rakt upp och ner. Finns naturligtvis massa andra saker att ta med i planeringen om du jobbar med en redan befintlig AD-miljö.

För att sätta upp en ADFS behöver man några servrar med olika roller.
Dessa är:

dc.testdoman.se

192.168.156.30

Domänkontrollant

adfs.testdoman.se

192.168.156.31

Active Directory Federation Services rollen

wap.testdoman.se

192.168.156.32

Web Application Proxy rollen

adconnect.testdoman.se

192.168.156.33

Azure AD Connect rollen

Alla maskiner utom WAP maskinen ska vara med i AD:et.
På adconnect.testdoman.se installerar man Microsoft Azure Active Directory Connect.
Denna hämtar du här: https://www.microsoft.com/en-us/download/details.aspx?id=47594
S
tarta Azure AD Connect efter installationen.
Välj ”Custom” och tryck på ”Install”.

När du kommit till Connect to Azure AD steget så tänkt på att användaren du skall fylla i ska vara global administratör på Office 365 abonnemanget och att den måste ha en annan domän än den som ska federeras, vanligtvis *.onmicrosoft.com domänen.

När du kommit till Azure AD Sign-in configuration så kommer den påminna dig om att ändra UPN suffix på dina användare om du inte redan har rätt. Eftersom vi jobbar i verkligheten heter troligtvis domänen *.local så du måste då ändra UPN suffixet på dina användare så de överensstämmer med domänen i Azure AD / Office 365. Hur du ändra UPN se här:
https://www.concurrency.com/blog/w/change-user-principal-names-to-match-email-address
För att sedan ändra UPN på t.ex. ett helt OU se här:
https://community.spiceworks.com/scripts/show/1457-mass-change-upn-suffix

När du kommit till Sync > Optional features bör du kryssa i ”Password Synchronization” detta för att kunna ramla tillbaka på det om din ADFS skulle krascha eller på annat sätt inte fungera som det är tänkt. Läs mer om det här: http://blogs.perficient.com/microsoft/2014/12/office-365-using-password-sync-as-a-backup-to-ad-fs/

 

När du kommit till ADFS farm så bör du ha ett wildcard certifikat för din domän. Detta certifikat måste även ha ett lösenord satt som du får fylla i.
Under ”Subject Name Prefix” bör du fylla i t.ex. sts eller fs.
STS = Secure Token Service.
FS = Federation Service.

Döper du din t.ex. till fs.testdoman.se så ska du nu i WAP serverns hosts fil lägga till
192.168.156.31 (IP nummer på din ADFS server) till fs.testdoman.se
Ett exempel på min WAP servers hosts fil:

 

I nästa steg som är Federation Servers får du lägga till dina servrar som ska ha ADFS rollen på sig. I mitt fall lägger jag då till adfs.testdoman.se. Ingen bild på detta steget eftersom det är väldigt självsägande…

 

I steget efter Federation Servers så ska du lägga till din WAP (Web Application Proxy servers)
Här är det däremot lite att trixa med.
Först måste du se till så WinRM är igång på din WAP server. Mer om det här:
https://support.microsoft.com/sv-se/kb/555966
https://docs.microsoft.com/sv-se/azure/active-directory/active-directory-aadconnect-prerequisites

Sen måste du även på AD Connect maskinen (den du kör guiden på) köra detta som administratör i en CMD:
Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate

Eftersom den inte är med i domänen och således inte finns med i DNSen så kör jag med IP nummer.

När du fått till WinRM så kommer den sedan att fråga efter användare för WAP servern.
Eftersom den inte är med i domänen får du använda dig av lokala administratörsanvändare.

 

När du är framme i steget Configure och det står Ready to configure så är det två saker vi ska göra innan du trycker på install för att allt ska fungera.

  1. Konfigurera splitbrain DNS: https://support.microsoft.com/en-us/kb/2715326
  2. Lägga till en DNS pekare i din externa DNS som heter fs.testdoman.se och som pekar på WAP servern.
  3. Öppna upp i brandväggen för port 443 till WAP servern.

Om allt har gått som det ska så ser du detta:

Du bör även titta på ett script som automatiskt byter ut certifikaten mellan din ADFS tjänst och Azure AD automatiskt eftersom dessa bara håller i ett år:
https://gallery.technet.microsoft.com/scriptcenter/Office-365-Federation-27410bdc

Efter det är klart bör du även bygga vidare så du får redundans på dina tjänster eftersom om ADFS fallerar så kommer inte användarna kunna logga in. Eller också har en plan i hur du använder lösenordsynkronisering som backup ifall ADFS skulle fallera.

Skulle du behöva köra om guiden för att allt inte gick som det skulle så tänk på att servicekontot för AD Connect kommer balla ur. Hur du hanterar det finns instruktioner för här:
https://docs.microsoft.com/sv-se/azure/active-directory/active-directory-aadconnectsync-howto-azureadaccount

Här finns även en heltäckande guide för hur du sätter upp en ADFS lösning i Azure med dubbla ADFS servrar och dubbla WEP servrar samt lastbalansering:
http://office365support.ca/configure-endpoints-and-test-the-web-application-proxy-servers-load-balanced-set-in-windows-azure-for-office365-single-sign-on/

Ändra i en annans användares kalenderhändelse

Fick en för mig ovanlig förfrågan från en kund.
Oftast vill mina kunder bara se varandras kalendrar men nu ville även en användare gå in och ändra i en annan användares kalender och naturligtvis även kunna se allt i den kalendern.
För att försöka hålla nere rättigheterna så att användarens t.ex. inte kan skapa en massa aktiviteter så löste jag det såhär…

Personen som ska kunna ändra i Rutgers kalender har användarnamn Klas.
Så kan man lösa det såhär:

Set-MailboxFolderPermission -Identity Rutger:\Kalender -User Klas -AccessRights EditAllItems,ReadItems,FolderVisible

För att se om det har fungerat kör man detta:

Get-MailboxFolderPermission -Identity Rutger:\Kalender

Finns det inga rättigheter på Rutgers kalender för Klas måste vi istället köra Add-MailboxFolderPermission.

Källor: https://technet.microsoft.com/en-us/library/dd298062(v=exchg.160).aspx
https://technet.microsoft.com/en-us/library/ff522363(v=exchg.160).aspx

Lägga till en delad maillåda i Outlook som ett konto med kontot som har full åtkomst till den delade maillådan…

Se till så att automapping inte är på, mer om det kan du läsa här: http://office365.stormats.se/?p=181
Följ sedan dessa instruktionerna:
http://www.slipstick.com/exchange/shared-mailboxes-and-the-default-send-from-account/

Detta är fullt supporterat från Microsoft.
https://technet.microsoft.com/sv-se/library/jj966275(v=exchg.150).aspx

Onlinearkivering i Office 365 / Exchange Online.

Om inte 50 GB räcker eller om man hamnar i ett scenario där användarna har PST filer som de vill bli av med så är onlinearkiveringen en funktion man kan använda sig av, då skapas ytterligare en maillåda för användarna där man kan arkivera sina saker.

För att aktivera onlinearkivering går man till Administrationscentret för Exchange > Mottagare > Postlådor
Markera den postlådan som du vill slå på arkivering för och under ”Lokalt arkiv” klicka du på ”Aktivera”.
Den dyker upp i Outlook automatiskt när man aktiverat den. Dyker även upp automatiskt i webmailen, där heter den In-place Archive.

Som standard så kommer alla mail som är äldre än två år att flyttas till arkivplatsen.
För att förhindra detta så måste man ändra  policyn för arkivering.
Detta gör man genom att gå till:
Administrationscenter för Exchange > Efterlevnadshantering >Bevarandetaggar
Markera Default 2 year move to archive
Tryck på pennan för att redigera
Välj sedan ”Aldrig” under ”Bevarandetid”.

Kan även vara lämpligt att döpa om den till t.ex. Default never move to archive

archive_default

Sen kan man på sedvanligt sätt importera PST filerna och sedan kan användarna dra och släppa mail som de vill ha kvar men som de inte vill ha i sin primära maillåda.

Ändra tiden som ett objekt ligger lagrat i återställ borttaget mappen / recovable items folder i Exchange Online.

Om du tar bort ett e-post meddelande så hamnar den först i borttaget och när du tar bort e-post meddelandet därifrån så då hamnar det i något som heter recovable items folder eller som det kallas på svenska återställ borttagna objekt.

Där ligger e-postmeddelandet kvar i 14 dagar som standard.
Man kan ändra denna tiden till max 30 dagar.
Då skriver man såhär i powershell:
Set-Mailbox -Identity ”Namn på maillådan” -RetainDeletedItemsFor 30

Källa: https://technet.microsoft.com/en-us/library/dn163584(v=exchg.150).aspx

Förhandsversion av OneDrive klienten som stödjer Sharepoint synkronisering!

Äntligen har det börjat röra lite på sig vad gäller OneDrive klienten som ska kunna hantera synkronisering av Sharepoint dokumentbibliotek samt filer och dokumentbibliotek som personer har delat ut i OneDrive till dig.

Mer information på de två länkarna här under:

Major OneDrive updates at Ignite 2016 include SharePoint Online sync preview

 

https://support.office.com/sv-se/article/Get-started-syncing-SharePoint-sites-with-the-new-OneDrive-sync-client-Preview-6de9ede8-5b6e-4503-80b2-6190f3354a88?ui=sv-SE&rs=sv-SE&ad=SE

 

Windows 10 stänger av skärmen efter 2 minuter.

En till Windows 10 post. Supporten har fått några förfrågningar om varför Windows 10 stänger av skären efter två minuter. Svaret är en googling bort:

Originally Posted by stratowarView Post

Here is the solution that worked out for me:

1. Click on the windows icon
2. Type regedit
3. Right-click on regedit icon, click Run as administrator
4. Go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\PowerSettings\238C9FA8-0AAD-41ED-83F4-97BE242C8F20\7bc4a2f9-d8fc-4469-b07b-33eb785aaca0
5. Double click on Attributes
6. Enter number 2.
7. Go to Advanced power settings (click on Windows button, write power options, click on Power Options, in the selected plan click on the Change plan settings, click on the Change advanced power settings).
8. Click on the Change settings that are currently unavailable
9. Click Sleep, then System unattended sleep timeout, then change these settings from 2 Minutes to 20 for example.
That’s it!

SMTP softmatch – att tänka på.

Har man en Office 365 tenant med användare och även ett AD med användare och inte kört igång synkroniseringen men man helt plötsligt vill köra igång en synkronisering mellan O365 och AD:et så kan man göra det och med hjälp av SMTP softmatch.

Det betyder att den jämför e-post adresserna i AD:et och i O365 och matchar ihop användarna.
Förutom det övriga man ska tänka på när man synkroniserar användare som t.ex. UPN så finns det lite annat som är bra att veta:

  • Primära e-post adressen i AD:et (mail attributet) och Office 365 ska vara exakt samma.
  • Om det inte är samma UPN i AD:et som inloggningsnamnet i Office 365 kommer den skriva över inloggningsnamnet i Office 365 och ersätta det med UPN från AD:et. Då kommer även UPN från AD att bli primär e-postadress.
  • Den kommer skriva över / ta bort alla e-post alias på användarna. Detta får man sedan i ADSIedit styra med hjälp av attributet proxyAddresses. För att sätta primär e-post skriver man SMTP:denprimara@eposten.se för att lägga alias skriver man smtp:epostalias@eposten.se
  • Peta inte med proxyAddresses innan du synkroniserar, för då skapar den nya användare istället för att matcha ihop användarna i O365 och AD:et.

AD Connect och filtrering, två tips.

SKa du filtrera på grupp så tänk på att gruppen skall vara av typen Universal samt att den måste ha en mailadress.

o365syncgrupp

Vill du filtrera på både grupp och OU, te.x. vid ett scenario där du ska köra en pilot och av någon anledning måste göra detta så måste gruppen ligga i ett av OU:na som ska synkroniseras.
För den kör nämligen filtrering på OU först och sedan på grupp. Hittar AD Connect inte gruppen i något av OU:na som ska synkroniseras tror AD Connect att gruppen inte finns.

Synkronisera tiden på en domänkontrollant i Windows Server 2012 / 2008

Eftersom domänkontrollanter synkroniserar tiden mot BIOS klockan eller vad man vill kalla den för så kommer här ett tips på hur man får den att synkronisera mot en tidsserver på internet.

Öppna kommandoprompten och skriv detta:
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update

För att kolla när den senast synkroniserat:

w32tm /query /status

 

Källor / mer information:

Configuring NTP on Windows Server 2012