månadsarkiv: december 2016

ADFS – en snabb snabbguide för att sätta upp en ny ADFS farm.

Guide och guide, denna går bara igenom lite vad som är bra att tänka på för att sätta upp en ADFS rakt upp och ner. Finns naturligtvis massa andra saker att ta med i planeringen om du jobbar med en redan befintlig AD-miljö.

För att sätta upp en ADFS behöver man några servrar med olika roller.
Dessa är:

dc.testdoman.se

192.168.156.30

Domänkontrollant

adfs.testdoman.se

192.168.156.31

Active Directory Federation Services rollen

wap.testdoman.se

192.168.156.32

Web Application Proxy rollen

adconnect.testdoman.se

192.168.156.33

Azure AD Connect rollen

Alla maskiner utom WAP maskinen ska vara med i AD:et.
På adconnect.testdoman.se installerar man Microsoft Azure Active Directory Connect.
Denna hämtar du här: https://www.microsoft.com/en-us/download/details.aspx?id=47594
S
tarta Azure AD Connect efter installationen.
Välj “Custom” och tryck på “Install”.

När du kommit till Connect to Azure AD steget så tänkt på att användaren du skall fylla i ska vara global administratör på Office 365 abonnemanget och att den måste ha en annan domän än den som ska federeras, vanligtvis *.onmicrosoft.com domänen.

När du kommit till Azure AD Sign-in configuration så kommer den påminna dig om att ändra UPN suffix på dina användare om du inte redan har rätt. Eftersom vi jobbar i verkligheten heter troligtvis domänen *.local så du måste då ändra UPN suffixet på dina användare så de överensstämmer med domänen i Azure AD / Office 365. Hur du ändra UPN se här:
https://www.concurrency.com/blog/w/change-user-principal-names-to-match-email-address
För att sedan ändra UPN på t.ex. ett helt OU se här:
https://community.spiceworks.com/scripts/show/1457-mass-change-upn-suffix

När du kommit till Sync > Optional features bör du kryssa i “Password Synchronization” detta för att kunna ramla tillbaka på det om din ADFS skulle krascha eller på annat sätt inte fungera som det är tänkt. Läs mer om det här: http://blogs.perficient.com/microsoft/2014/12/office-365-using-password-sync-as-a-backup-to-ad-fs/

 

När du kommit till ADFS farm så bör du ha ett wildcard certifikat för din domän. Detta certifikat måste även ha ett lösenord satt som du får fylla i.
Under “Subject Name Prefix” bör du fylla i t.ex. sts eller fs.
STS = Secure Token Service.
FS = Federation Service.

Döper du din t.ex. till fs.testdoman.se så ska du nu i WAP serverns hosts fil lägga till
192.168.156.31 (IP nummer på din ADFS server) till fs.testdoman.se
Ett exempel på min WAP servers hosts fil:

 

I nästa steg som är Federation Servers får du lägga till dina servrar som ska ha ADFS rollen på sig. I mitt fall lägger jag då till adfs.testdoman.se. Ingen bild på detta steget eftersom det är väldigt självsägande…

 

I steget efter Federation Servers så ska du lägga till din WAP (Web Application Proxy servers)
Här är det däremot lite att trixa med.
Först måste du se till så WinRM är igång på din WAP server. Mer om det här:
https://support.microsoft.com/sv-se/kb/555966
https://docs.microsoft.com/sv-se/azure/active-directory/active-directory-aadconnect-prerequisites

Sen måste du även på AD Connect maskinen (den du kör guiden på) köra detta som administratör i en CMD:
Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate

Eftersom den inte är med i domänen och således inte finns med i DNSen så kör jag med IP nummer.

När du fått till WinRM så kommer den sedan att fråga efter användare för WAP servern.
Eftersom den inte är med i domänen får du använda dig av lokala administratörsanvändare.

 

När du är framme i steget Configure och det står Ready to configure så är det två saker vi ska göra innan du trycker på install för att allt ska fungera.

  1. Konfigurera splitbrain DNS: https://support.microsoft.com/en-us/kb/2715326
  2. Lägga till en DNS pekare i din externa DNS som heter fs.testdoman.se och som pekar på WAP servern.
  3. Öppna upp i brandväggen för port 443 till WAP servern.

Om allt har gått som det ska så ser du detta:

Du bör även titta på ett script som automatiskt byter ut certifikaten mellan din ADFS tjänst och Azure AD automatiskt eftersom dessa bara håller i ett år:
https://gallery.technet.microsoft.com/scriptcenter/Office-365-Federation-27410bdc

Efter det är klart bör du även bygga vidare så du får redundans på dina tjänster eftersom om ADFS fallerar så kommer inte användarna kunna logga in. Eller också har en plan i hur du använder lösenordsynkronisering som backup ifall ADFS skulle fallera.

Skulle du behöva köra om guiden för att allt inte gick som det skulle så tänk på att servicekontot för AD Connect kommer balla ur. Hur du hanterar det finns instruktioner för här:
https://docs.microsoft.com/sv-se/azure/active-directory/active-directory-aadconnectsync-howto-azureadaccount

Här finns även en heltäckande guide för hur du sätter upp en ADFS lösning i Azure med dubbla ADFS servrar och dubbla WEP servrar samt lastbalansering:
http://office365support.ca/configure-endpoints-and-test-the-web-application-proxy-servers-load-balanced-set-in-windows-azure-for-office365-single-sign-on/

Ändra i en annans användares kalenderhändelse

Fick en för mig ovanlig förfrågan från en kund.
Oftast vill mina kunder bara se varandras kalendrar men nu ville även en användare gå in och ändra i en annan användares kalender och naturligtvis även kunna se allt i den kalendern.
För att försöka hålla nere rättigheterna så att användarens t.ex. inte kan skapa en massa aktiviteter så löste jag det såhär…

Personen som ska kunna ändra i Rutgers kalender har användarnamn Klas.
Så kan man lösa det såhär:

Set-MailboxFolderPermission -Identity Rutger:\Kalender -User Klas -AccessRights EditAllItems,ReadItems,FolderVisible

För att se om det har fungerat kör man detta:

Get-MailboxFolderPermission -Identity Rutger:\Kalender

Finns det inga rättigheter på Rutgers kalender för Klas måste vi istället köra Add-MailboxFolderPermission.

Källor: https://technet.microsoft.com/en-us/library/dd298062(v=exchg.160).aspx
https://technet.microsoft.com/en-us/library/ff522363(v=exchg.160).aspx

Lägga till en delad maillåda i Outlook som ett konto med kontot som har full åtkomst till den delade maillådan…

Se till så att automapping inte är på, mer om det kan du läsa här: https://office365.stormats.se/?p=181
Följ sedan dessa instruktionerna:
http://www.slipstick.com/exchange/shared-mailboxes-and-the-default-send-from-account/

Detta är fullt supporterat från Microsoft.
https://technet.microsoft.com/sv-se/library/jj966275(v=exchg.150).aspx

Onlinearkivering i Office 365 / Exchange Online.

Om inte 50 GB räcker eller om man hamnar i ett scenario där användarna har PST filer som de vill bli av med så är onlinearkiveringen en funktion man kan använda sig av, då skapas ytterligare en maillåda för användarna där man kan arkivera sina saker.

För att aktivera onlinearkivering går man till Administrationscentret för Exchange > Mottagare > Postlådor
Markera den postlådan som du vill slå på arkivering för och under “Lokalt arkiv” klicka du på “Aktivera”.
Den dyker upp i Outlook automatiskt när man aktiverat den. Dyker även upp automatiskt i webmailen, där heter den In-place Archive.

Som standard så kommer alla mail som är äldre än två år att flyttas till arkivplatsen.
För att förhindra detta så måste man ändra  policyn för arkivering.
Detta gör man genom att gå till:
Administrationscenter för Exchange > Efterlevnadshantering >Bevarandetaggar
Markera Default 2 year move to archive
Tryck på pennan för att redigera
Välj sedan “Aldrig” under “Bevarandetid”.

Kan även vara lämpligt att döpa om den till t.ex. Default never move to archive

archive_default

Sen kan man på sedvanligt sätt importera PST filerna och sedan kan användarna dra och släppa mail som de vill ha kvar men som de inte vill ha i sin primära maillåda.

Ändra tiden som ett objekt ligger lagrat i återställ borttaget mappen / recovable items folder i Exchange Online.

Om du tar bort ett e-post meddelande så hamnar den först i borttaget och när du tar bort e-post meddelandet därifrån så då hamnar det i något som heter recovable items folder eller som det kallas på svenska återställ borttagna objekt.

Där ligger e-postmeddelandet kvar i 14 dagar som standard.
Man kan ändra denna tiden till max 30 dagar.
Då skriver man såhär i powershell:
Set-Mailbox -Identity “Namn på maillådan” -RetainDeletedItemsFor 30

Källa: https://technet.microsoft.com/en-us/library/dn163584(v=exchg.150).aspx