Kategoriarkiv: Microsoft

Coreserver som NAS hemma.

På en coreserver använder man sconfig för att göra de mest grundläggande inställningarna. Sen får du administrera via ett CLI eller också via server manager om du har en till Windows maskin.
För att sätta upp en core server som en helt vanlig hemma NAS utan några som helst rättigheter och alla har åtkomst till allt gör man såhär (det är inte något vidare rekommenderat säkerhetsmässigt att göra såhär men det går):

Stänga av brandväggen på en core server:
http://blog.zwiegnet.com/windows-server/disable-windows-firewall-server-core/

Eller också lägga till dessa brandväggsreglerna:
https://blogs.technet.microsoft.com/askds/2008/06/05/how-to-enable-remote-administration-of-server-core-via-mmc-using-netsh/
Från https://blogs.technet.microsoft.com/askds/2008/06/05/how-to-enable-remote-administration-of-server-core-via-mmc-using-netsh/

Om man kör workgroup lägga till servern till betrodda hostar på servern som man kör server manager på
Set-Item wsman:\localhost\Client\TrustedHosts Server01 -Concatenate -Force
Från https://technet.microsoft.com/en-us/library/hh831453(v=ws.11).aspx

För att dela ut en mapp på en core server kan man göra via server manager/mmc däremot fungerar inte local users and groups via mmc
Sätta NTFS rättigheter till everyone på en mapp
$sharepath = ”E:\Digitalkamerabilder”
$Acl = Get-ACL $SharePath
$AccessRule= New-Object System.Security.AccessControl.FileSystemAccessRule(”everyone”,”full”,”ContainerInherit,Objectinherit”,”none”,”Allow”)
$Acl.AddAccessRule($AccessRule)
Set-Acl $SharePath $Acl
Från http://stackoverflow.com/questions/24013990/how-to-set-write-permission-on-a-folder-for-everyone-using-powershell

DIskhantering kan man antingen sköta via sin adminserver eller också via diskpart.

Mycket av administration kan man också göra med corefig som förenklar administrationen något: https://corefig.codeplex.com/

Skype PSTN konferens (ringa in till skypemöten via vanlig telefon)

Sedan en tid tillbaka erbjuder Microsoft inbyggt i Office 365 utan externa parter att man kan köra PSTN konferens via Skype.

Det betyder att personer kan ringa in till Skype möten via vanliga telefonnätet och vara med.
Vad som behövs är antingen en E5 licens där PSTN ingår eller också någon av dessa kombinationerna:
E1 + Skype for Business PSTN Conferencing
E3 + Skype for Business PSTN Conferencing

När du har aktiverat det så i varje skypemötesinbjudan du skickar så kommer telefonnummer och konferens id för att ansluta med vanlig telefon följa med.

 

 

Mer information: https://products.office.com/en-us/skype-for-business/pstn-conferencing

Byte av licensprogram

Ibland tar man över kunder som redan har köpt sina licenser direkt från Microsoft eller från en annan leverantör. Då kan man faktiskt avbryta den prenumerationen och ersätta med t.ex. CSP utan att betala en ”early termination fee”.

Men man måste följa Microsofts steg, till punkt och pricka.

  1. Lägg på dina CSP licenser på kunden.
  2. Ring till Microsoft på 0201 605 899  och förklara att du ska ersätta licenserna.  (Välj 2 och sedan valet för att avbryta abonnemang)
  3. Var beredd att svara på frågorna: Vad kunden heter, vad den har för adress och vilken e-postadress som den tekniska kontakten har.
  4. Nu kommer Microsoft att direkt avbryta de licenserna som inte skall vara kvar.

https://support.office.com/en-us/article/Early-termination-fees-6487d4de-401a-466f-8bc3-c0beb5cc40d3?ui=en-US&rs=en-US&ad=US

Sharepoint och OneDrive några bra att veta.

Nu när det börjar rulla på med Sharepoint och OneDrive synkronisering så börjar faktiskt kunderna använda både Sharepoint och OneDrive.

Lite grundläggande bra att veta när man ska administrera det kommer här.
Logga in på administrationscentret för Office 365, klicka sedan på Administrationscenter > Sharepoint.

Då kommer du till inställningarna.
Första vi kan börja med att ändra är kvotan för den sharepointsidan som är standard.
Klicka i bocken framför sidan som heter ”https://vad_du_nu_döpt_o365_tenanten_till.sharepoint.com”
Klicka sedan på ”Lagringskvot”.

Skulle inte knappen Lagringskvot finnas beror det på att ”Lagerhantering för webbplatssamling” är inställt på Automatiskt. För att ändra detta gå till ”inställningar” i vänstermenyn och ändra den inställningen till ”Manuell”.

Här kommer lite skärmdumpar på andra inställningar som är bra att ha koll på:

Man kan dölja OneDrive och Sharepoint ikonen för användarna utan att inaktivera licensen:

Man kan även visa eller dölja knappen synkronisera för användarna, ifall man inte vill att de ska synkronisera ner innehåll hur som helst:

Man kan välja vilken synkroniseringsklient som skall startas, den gamla är satt som standard så denna är ett måste att ändra på:

 

Vanliga Office 365 (mail) migreringsproblem och hur man löser dem.

Ska du migrera från en IMAP server och inte en Exchange så kan det vara värt att skruva upp maxstorleken på e-postmeddelandena som skall migreras. Standard just nu är 35 MB. Migrerar man från Exchange servrar brukar det sällan finnas stora e-post meddelanden eftersom där är det oftast satt en låg nivå innan på hur stora e-posten meddelanden som man får ta emot.

Hur man skruvar upp storleken på mail som får migreras finns instruktioner här:

http://www.michev.info/Blog/Post/1060/maximum-message-size-increased-to-150mb-for-all-types-of-migration-to-exchange-online

Skulle det dyka upp problem med meddelanden som inte vill migreras över även fast man skruvat upp storleken kan man höja gränserna lite för hur många felaktiga meddelanden som får hoppas över innan migreringen fallerar.

För att höja gränsen till t.ex. 10 st e-post meddelanden (egentligen items) som får vara för stora skriver man såhär: Set-MigrationBatch ’Namnpåmigreringsbatch’ -LargeItemLimit 10

För att höja gränsen till 50 st st e-post meddelanden (egentligen items) som får vara korrupta skriver man såhär: Set-MigrationBatch ’Namnpåmigreringsbatch’ -BadItemLimit 50

 

Set-Migrationbatch instruktioner:
https://technet.microsoft.com/en-us/library/jj218662(v=exchg.160).aspx

IMAP – bra att veta:
https://support.office.com/en-us/article/What-you-need-to-know-about-migrating-your-IMAP-mailboxes-to-Office-365-3fe19996-29bc-4879-aab9-5a622b2f1481?ui=en-US&rs=en-US&ad=US

Spärra åtkomst och dölja vissa tjänster i Office 365.

Ibland köper kunden t.ex. en Business Premium men vill inte att användarna ska ha tillgång till alla funktioner som t.ex. Sway, Sharepoint, OneDrive, Powerapps, Dynamics 365 med mera.

Smidigast att ordna till detta är via powershell.

Först måste man sätta så alla användare får en användarplats eller usagelocation:
Get-MsolUser -All | where {$_.UsageLocation -eq $null} | Set-Msoluser -UsageLocation SE

Sedan får vi lägga till de användarnas UPN som ska ha t.ex. Business Premium licensen rakt upp och ner i en TXT fil och sedan skriva:
Get-Content ”C:\Temp\upn.txt” | foreach {Set-MsolUserLicense -UserPrincipalName $_ -AddLicenses reseller-account:O365_BUSINESS_PREMIUM}

För att se vilka licenser du har tillgång till skriver du: Get-MsolAccountSku

Sedan får du skapa en ny licensoption där du lägger till de tjänsterna som användarna inte ska ha tillgång till:
$LO = New-MsolLicenseOptions -AccountSkuId ”reseller-account:O365_BUSINESS_PREMIUM” -DisabledPlans ”FLOW_O365_P1”, ”POWERAPPS_O365_P1”, ”TEAMS1”, ”PROJECTWORKMANAGEMENT”, ”SWAY”, ”SHAREPOINTWAC”, ”YAMMER_ENTERPRISE”

Denna här ovanför gör detta:

För att slutligen ändra tjänsterna på användarna:
Get-Content ”C:\Temp\upn.txt” | foreach {Set-MsolUserLicense -UserPrincipalName $_ -LicenseOptions $LO}

Man kan även dölja själva OneDrive och Sharepoint ikonen för användarna utan att inaktivera tjänsterna. Då går man till Admin Center > Sharepoint > Inställningar > Visa eller dölj alternativ.
”Webbplatser” är Sharepoint.

Mer att läsa om detta:
Assign licenses to user accounts with Office 365 PowerShell
https://technet.microsoft.com/en-us/library/dn771770.aspx

View licenses and services with Office 365 PowerShell
https://technet.microsoft.com/sv-se/library/dn771773.aspx

View account license and service details with Office 365 PowerShell
https://technet.microsoft.com/sv-se/library/dn771771.aspx

Disable access to services with Office 365 PowerShell
https://technet.microsoft.com/sv-se/library/dn771769.aspx

Manuell konfiguration av Office 365 samt ta bort det primära kontot i Outlook.

Råkade ut för lite halvkonstiga konfigurationer ute hos en kund.

Bland annat var hans dator medlem av en domän med en Exchange 2007 server så autodiscovern fungerade inget vidare på grund av SCP.

Finns bra instruktioner för hur du konfigurerar upp ett Office 365 konto i Outlook manuellt här: http://www.colorado.edu/oit/tutorial/office-365-outlook-windows-manual-exchange-configuration

Sedan finns även detta gratisprogrammet som sköter det åt dig: http://www.messageops.com/software/office-365-tools-and-utilities/config-365/

 

När jag skulle rensa konton i Outlooken så var det ett konto jag inte kunde ta bort för att det var det primära kontot. Instruktioner för hur man fixar det finns här:

https://www.slipstick.com/exchange/primary-account-removed-outlook-2010/

 

ADFS – en snabb snabbguide för att sätta upp en ny ADFS farm.

Guide och guide, denna går bara igenom lite vad som är bra att tänka på för att sätta upp en ADFS rakt upp och ner. Finns naturligtvis massa andra saker att ta med i planeringen om du jobbar med en redan befintlig AD-miljö.

För att sätta upp en ADFS behöver man några servrar med olika roller.
Dessa är:

dc.testdoman.se

192.168.156.30

Domänkontrollant

adfs.testdoman.se

192.168.156.31

Active Directory Federation Services rollen

wap.testdoman.se

192.168.156.32

Web Application Proxy rollen

adconnect.testdoman.se

192.168.156.33

Azure AD Connect rollen

Alla maskiner utom WAP maskinen ska vara med i AD:et.
På adconnect.testdoman.se installerar man Microsoft Azure Active Directory Connect.
Denna hämtar du här: https://www.microsoft.com/en-us/download/details.aspx?id=47594
S
tarta Azure AD Connect efter installationen.
Välj ”Custom” och tryck på ”Install”.

När du kommit till Connect to Azure AD steget så tänkt på att användaren du skall fylla i ska vara global administratör på Office 365 abonnemanget och att den måste ha en annan domän än den som ska federeras, vanligtvis *.onmicrosoft.com domänen.

När du kommit till Azure AD Sign-in configuration så kommer den påminna dig om att ändra UPN suffix på dina användare om du inte redan har rätt. Eftersom vi jobbar i verkligheten heter troligtvis domänen *.local så du måste då ändra UPN suffixet på dina användare så de överensstämmer med domänen i Azure AD / Office 365. Hur du ändra UPN se här:
https://www.concurrency.com/blog/w/change-user-principal-names-to-match-email-address
För att sedan ändra UPN på t.ex. ett helt OU se här:
https://community.spiceworks.com/scripts/show/1457-mass-change-upn-suffix

När du kommit till Sync > Optional features bör du kryssa i ”Password Synchronization” detta för att kunna ramla tillbaka på det om din ADFS skulle krascha eller på annat sätt inte fungera som det är tänkt. Läs mer om det här: http://blogs.perficient.com/microsoft/2014/12/office-365-using-password-sync-as-a-backup-to-ad-fs/

 

När du kommit till ADFS farm så bör du ha ett wildcard certifikat för din domän. Detta certifikat måste även ha ett lösenord satt som du får fylla i.
Under ”Subject Name Prefix” bör du fylla i t.ex. sts eller fs.
STS = Secure Token Service.
FS = Federation Service.

Döper du din t.ex. till fs.testdoman.se så ska du nu i WAP serverns hosts fil lägga till
192.168.156.31 (IP nummer på din ADFS server) till fs.testdoman.se
Ett exempel på min WAP servers hosts fil:

 

I nästa steg som är Federation Servers får du lägga till dina servrar som ska ha ADFS rollen på sig. I mitt fall lägger jag då till adfs.testdoman.se. Ingen bild på detta steget eftersom det är väldigt självsägande…

 

I steget efter Federation Servers så ska du lägga till din WAP (Web Application Proxy servers)
Här är det däremot lite att trixa med.
Först måste du se till så WinRM är igång på din WAP server. Mer om det här:
https://support.microsoft.com/sv-se/kb/555966
https://docs.microsoft.com/sv-se/azure/active-directory/active-directory-aadconnect-prerequisites

Sen måste du även på AD Connect maskinen (den du kör guiden på) köra detta som administratör i en CMD:
Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate

Eftersom den inte är med i domänen och således inte finns med i DNSen så kör jag med IP nummer.

När du fått till WinRM så kommer den sedan att fråga efter användare för WAP servern.
Eftersom den inte är med i domänen får du använda dig av lokala administratörsanvändare.

 

När du är framme i steget Configure och det står Ready to configure så är det två saker vi ska göra innan du trycker på install för att allt ska fungera.

  1. Konfigurera splitbrain DNS: https://support.microsoft.com/en-us/kb/2715326
  2. Lägga till en DNS pekare i din externa DNS som heter fs.testdoman.se och som pekar på WAP servern.
  3. Öppna upp i brandväggen för port 443 till WAP servern.

Om allt har gått som det ska så ser du detta:

Du bör även titta på ett script som automatiskt byter ut certifikaten mellan din ADFS tjänst och Azure AD automatiskt eftersom dessa bara håller i ett år:
https://gallery.technet.microsoft.com/scriptcenter/Office-365-Federation-27410bdc

Efter det är klart bör du även bygga vidare så du får redundans på dina tjänster eftersom om ADFS fallerar så kommer inte användarna kunna logga in. Eller också har en plan i hur du använder lösenordsynkronisering som backup ifall ADFS skulle fallera.

Skulle du behöva köra om guiden för att allt inte gick som det skulle så tänk på att servicekontot för AD Connect kommer balla ur. Hur du hanterar det finns instruktioner för här:
https://docs.microsoft.com/sv-se/azure/active-directory/active-directory-aadconnectsync-howto-azureadaccount

Här finns även en heltäckande guide för hur du sätter upp en ADFS lösning i Azure med dubbla ADFS servrar och dubbla WEP servrar samt lastbalansering:
http://office365support.ca/configure-endpoints-and-test-the-web-application-proxy-servers-load-balanced-set-in-windows-azure-for-office365-single-sign-on/

Förhandsversion av OneDrive klienten som stödjer Sharepoint synkronisering!

Äntligen har det börjat röra lite på sig vad gäller OneDrive klienten som ska kunna hantera synkronisering av Sharepoint dokumentbibliotek samt filer och dokumentbibliotek som personer har delat ut i OneDrive till dig.

Mer information på de två länkarna här under:

https://blogs.office.com/2016/09/26/sharepoint-online-sync-preview-headlines-ignite-announcements-for-onedrive/

 

https://support.office.com/sv-se/article/Get-started-syncing-SharePoint-sites-with-the-new-OneDrive-sync-client-Preview-6de9ede8-5b6e-4503-80b2-6190f3354a88?ui=sv-SE&rs=sv-SE&ad=SE