Thursday, April 02, 2020
Hallo zusammen,
Schon im April soll das Feature "Customized Background" in Teams erscheinen.
Ich habe mir mal zum Spass die Snap Camera heruntergeladen.
Damit lassen sich viele lustige Effekte erzeugen und auch ein custom Background erstellen.
Die Kamera mit den Effekten lässt sich dann in Teams verwenden. Allerdings finde ich, dass die Videoqualität dadurch deutlich schlechter wird. Also besser doch auf Custom Background in Teams warten.
Grüsse
Andres
Tuesday, March 31, 2020
Hallo zusammen,
Im Zusammenhang mit der Abschaltung der Basic Authentication in Office 365 per 13. Oktober 2020 habe ich mich ein bisschen schlau gemacht.
Upcoming changes to Exchange Web Services (EWS) API for Office 365
https://techcommunity.microsoft.com/t5/exchange-team-blog/upcoming-changes-to-exchange-web-services-ews-api-for-office-365/ba-p/608055
Announced turning off Basic Authentication for Exchange Web Services on October 13, 2020
Improving Security - Together
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892
Announcing turning off Basic Authentication in Exchange Online for Exchange ActiveSync (EAS), POP, IMAP and Remote PowerShell at the same time – October 13, 2020
Basic Auth and Exchange Online – February 2020 Update
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-auth-and-exchange-online-february-2020-update/ba-p/1191282
Vor zwei Wochen habe ich mir das Video von Microsoft an der RSAConference 2020 angeschaut.
Darin gibt es ein paar Kernaussagen:
- Alte Protokolle bieten keinen Schutz, auch wenn sie über TLS übertragen werden
- Benutzer nutzen einfache Passwörter
- Benutzer nutzen die selben Passwörter bei unterschiedlichen Diensten
- Die meisten Attacken könnten mit Multi Faktor Authentication abgewehrt werden
- Mit Conditional Access und Risk Policies erhöht die Sicherheit und kann automatisiert gewisse Prozesse anstossen (MFA Authenticatin / Self Service Passwort Reset)
Interessant ist vor allem folgende Folie - die meisten Accounts werden über SMTP kompromittiert..
In Office 365 kann man SMTPClientAuthentication global deaktivieren
Set-TransportConfig -SmtpClientAuthenticationDisabled $true
Enable or disable authenticated client SMTP submission (SMTP AUTH) in Exchange Online
https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/authenticated-client-smtp-submission
Benutzereinstellungen werden höher gewichtet, als die Transportconfig Settings.
Mit folgendem Befehl, kann man sich die aktivierten Protokolle auf einer Mailbox ansehen.
Get-CASMailbox -Identity a.bohren
Um POP3, IMAP und ActiveSync zu deaktivieren, jedoch SMTPAuthentication zu erlauben gibt man folgenden Befehl ein. Hinweis: Auch wenn ActiveSync deaktiviert ist, funktioniert die Outlook App weiterhin.
Set-CASMailbox -Identity a.bohren -ActiveSyncEnabled $false -PopEnabled $false -ImapEnabled $false -SMTPClientAuthenticationDisabled $false
Zum Vergleich mit meinem Exchange 2016 Server. Auch hier kann man ActiveSync, OWA, POP, IMAP und MAPI kontrollieren. Jedoch nicht die SMTPAuthentication.
Get-CASMailbox -identity boa
Fazit:
Microsoft 365 ist hier in der Sicherheit wieder einen Schritt voraus und bietet viele Informationen und Tools um herauszufinden, wer noch Basic Authentication nutzt und kann danach mit Modern Authentication, Conditional Access und MFA viele der heutigen Attacken einfach abwehren.
Grüsse
Andres Bohren
Friday, March 27, 2020
Hallo zusammen,
Nachdem ich nun mein LAB erfolgreich nach Azure migriert habe, stellt sich nun die Frage, ob auch der DNS Server in Azure gehostet werden kann.
In diesem Blog Artikel, habe ich in Azure eine DNS Zone erstellt und die DNS Records dort erstellt.
Dokumentation zu Azure DNS
https://docs.microsoft.com/de-de/azure/dns/
Nun besteht eine mehr oder weniger leere DNS Zone. Die Einträge von NS und SOA können nicht verändert werden.
Es können jedoch neue Records hinzugefügt werden.
Wäre aber langweilig, wenn man das nicht auch per CloudShell bearbeiten könnte.
Mit folgendem Befehl kann man DNS Records abfragen.
Get-AzDnsRecordSet -ZoneName serveralive.ch -ResourceGroupName LAB -RecordType NS
Nun müssen ja neue DNS Records in der Zone erstellt werden. Dazu werden die beiden Befehle New-AzDnsRecordSet und New-AzDnsRecordConfig benötigt.
Manage DNS records and recordsets in Azure DNS using Azure PowerShell
https://docs.microsoft.com/en-us/azure/dns/dns-operations-recordsets
New-AzDnsRecordConfig
#A
New-AzDnsRecordConfig
-Ipv4Address <String>
#CNAME
New-AzDnsRecordConfig
-Cname <String>
#MX
New-AzDnsRecordConfig
-Exchange <String>
-Preference <UInt16>
#TXT
New-AzDnsRecordConfig
-Value <String>
#SRV
New-AzDnsRecordConfig
-Priority <UInt16>
-Target <String>
-Port <UInt16>
-Weight <UInt16>
So sehen die Befehle aus um meine serveralive.ch DNS Zone mit Records zu befüllen
New-AzDnsRecordSet -Name "@" -RecordType TXT -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Value "v=spf1 a:serveralive02.mortheurope.cloudapp.azure.com a:serveralive06.norheurope.cloudapp.azure.com a:mail.serveralive.ch include:spf.protection.outlook.com -all")
New-AzDnsRecordSet -Name "_dmarc " -RecordType TXT -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Value "v=DMARC1; p=none; sp=none; rua=mailto:g3bektbc@ag.dmarcian-eu.com")
New-AzDnsRecordSet -Name "@" -RecordType A -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Ipv4Address "95.143.60.18")
New-AzDnsRecordSet -Name "www" -RecordType A -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Ipv4Address "95.143.60.18")
New-AzDnsRecordSet -Name "mail" -RecordType CNAME -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Cname "serveralive02.northeurope.cloudapp.azure.com")
New-AzDnsRecordSet -Name "adfs" -RecordType CNAME -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Cname "serveralive04.northeurope.cloudapp.azure.com")
New-AzDnsRecordSet -Name "autodiscover" -RecordType CNAME -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Cname "mail.serveralive.ch")
New-AzDnsRecordSet -Name "msoid" -RecordType CNAME -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Cname "clientconfig.microsoftonline-p.net")
New-AzDnsRecordSet -Name "sip" -RecordType CNAME -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Cname "sipdir.online.lync.com")
New-AzDnsRecordSet -Name "lyncdiscover" -RecordType CNAME -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Cname "webdir.online.lync.com")
New-AzDnsRecordSet -Name "selector1._domainkey" -RecordType CNAME -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Cname "wselector1-serveralive-ch._domainkey.serveralive.onmicrosoft.com")
New-AzDnsRecordSet -Name "selector2._domainkey" -RecordType CNAME -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Cname "selector2-serveralive-ch._domainkey.serveralive.onmicrosoft.com")
New-AzDnsRecordSet -Name "_sip._tls" -RecordType SRV -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Priority 100 -Weight 1 -Port 443 -Target "sipdir.online.lync.com")
New-AzDnsRecordSet -Name "_sipfederationtls._tcp" -RecordType SRV -ZoneName "serveralive.ch" -ResourceGroupName "LAB" -Ttl 3600 -DnsRecords (New-AzDnsRecordConfig -Priority 100 -Weight 1 -Port 5061 -Target "sipfed.online.lync.com")
Voila, die Zone ist nun mit DNS Records bestückt.
Und schon können die DNS Records abgefragt werden.
Nun muss noch beim Registrar die Nameserver für die Zone angepasst werden.
Liebe Grüsse
Andres Bohren
Hallo zusammen,
Ich habe mir die Zeit genommen, ein paar Tipps für Teams zusammenzustellen.
Icon in der Taskliste
Das Icon von Teams ist standardmässig ausgeblendet, lässt sich jedoch konfigurieren.
Auf der Taskliste die rechte Maustaste drücken und im Kontextmenü die Einstellungen auswählen
Dort kann konfiguriert werden, welche Applikation immer angezeigt werden soll.
Danach sieht man das Icon in der Taskleiste.
Schreibt dir jemand eine Chat Nachricht, so wird das kurz eingeblendet, verschwindet danach aber wieder. Das rote "Alarmglocken" Symbol verrät dir jedoch, dass du noch Nachrichten hast.
Sieht man übrigens auch im Teams Symbol in der Taskleiste.
Autostart
Ob die Teams Applikation beim Systemstart gestartet werden soll, kannst du beim Teams Client in den Einstellungen festlegen. Auch ob sie einfach im Hintergrund gestartet werden soll.
Kamera und Mikrofon
Wie Background Blur funktioniert und was die Voraussetzungen dafür sind, habe ich bereits in einem anderen Blog Artikel beschrieben.
Wenn die Kamera nicht geht, einfachmal prüfen, ob die in der Kamera App funktioniert - diese App ist standardmässig installiert.
Falls nicht, ist sie vielleicht in den Einstellungen deaktiviert. Einfach mal nach Kamera suchen.
Die Kamera kann hier nämlich systemweit deaktiviert werden.
Und so sieht das dann in der Kamera App aus, wenn es die Kamera Systemweit deaktiviert ist.
Bei einigen Notebooks gib es sogar einen Hardware Schalter um die Kamera zu deaktivieren.
Ansonsten vielleicht einen Blick in den Gerätemanager werfen. Der kann mit devmgmt.msc aufgerufen werden.
Teams Kamera und Mikrofon im Browser
Bei der Web Version von Teams muss im Browser muss der Zugriff auf das Mikrofon und die Kamera gegeben werden. Sonst klappt es natürlich auch nicht.
Wo die Einstellungen im neuen Edge Insider Browser zu finden sind zeigen die folgenden Screenshots.
In Chrome ist es ein bisschen anders aber ähnlich.
Sicher gibt es noch mehr Tipps. Was sind eure Erfahrungen und Tipps?
Grüsse
Andres Bohren
Hallo zusammen,
Nervt euch auch manchmal, wenn ihr Outlook aufmacht, dass da viele alte Erinnerungen aufpoppen. Weil ihr vielleicht über Outlook on the Web oder übers die Outlook App auf dem Smartphone gearbeitet habt?
Das lässt sich jedoch Konfigurieren. Outlook -> Settings -> Advanced -> Reminders
Dort die Option "Automatically dismiss reminders for past calendar events" aktivieren.
Liebe Grüsse
Andres Bohren
Wednesday, March 25, 2020
Hallo zusammen,
Ich hatte schon lange vor, diesen Blog Artikel zu schreiben. Nun ist mir der Codeschnipsel wieder in die Hände gekommen und ich habe beschlossen, das endlich zu veröffentlichen.
Ich hatte einen Fall, bei dem ich die *.jpg Attachments von Mails aus einem bestimmten Ordner exportieren wollte.
Für das Script nutze ich PowerShell und das EWS Managed API
Microsoft Exchange Web Services Managed API 2.2
https://www.microsoft.com/en-us/download/details.aspx?id=42951
Ausserdem wird die Exchange ApplicationImpersonation Rolle genutzt.
Diese Rolle muss man in Exchange Online erst einrichten.
Ich habe dazu eine Custom Role erstellt: Icewolf-Impersonation
Scope: Auf welche Objekte kann man zugreifen. Das kann mit einem ManagementScope eingeschränkt werden.
Rolle: Welche Rechte beinhaltet die Rolle
Mitglieder: Wer kann das Tun (User oder Gruppe)
Nach dem Anlegen der Rolle bekam ich eine Alert Benachrichtigung von Office 365
Der Grund liegt in den "Alert policies" im Office 365 Security and Compliance center. Dort gibt es einen entsprechenden Alarm. Finde ich gut - so etwas gibt es OnPrem nicht - jedenfalls nicht von Hause aus.
Hier nun der PowerShell Code
# Global Vars
[string]$EwsApiDll = "C:\Program Files\Microsoft\Exchange\Web Services\2.2\Microsoft.Exchange.WebServices.dll"
[string]$Email = "ewservice@icewolf.ch"
[string]$Username = "ewservice@icewolf.ch"
[string]$Password = "MySecretPassword"
[string]$Domain = "Corp"
[string]$EWSURL = ""
[string]$EWSURL = "https://outlook.office365.com/EWS/Exchange.asmx"
[string]$ImpersonationMailbox = "a.bohren@icewolf.ch"
Import-Module -Name $EwsApiDll
Write-Host ("Imported EWS Module")
$EWService = new-object Microsoft.Exchange.WebServices.Data.ExchangeService([Microsoft.Exchange.WebServices.Data.ExchangeVersion]::Exchange2010_SP2)
$EWService.Credentials = new-object Microsoft.Exchange.WebServices.Data.WebCredentials($Username,$Password,$Domain)
If ($EWSURL -eq "")
{
$EWService.AutodiscoverUrl($Email)
Write-Host ("Using Autodiscover")
} else {
$EWService.Url = $EWSURL
Write-Host ("Using EWS URL")
}
Write-Host ("-->Impersonation to Mailbox: " + $ImpoersonMailbox)
$EWService.ImpersonatedUserId = new-object Microsoft.Exchange.WebServices.Data.ImpersonatedUserId([Microsoft.Exchange.WebServices.Data.ConnectingIdType]::SmtpAddress, $ImpersonationMailbox)
###############################################################################
# Save Attachments from Deleted Items
###############################################################################
$offset = 0
do {
$ItemView = New-Object Microsoft.Exchange.WebServices.Data.ItemView(1000, $offset)
$ItemView.PropertySet = new-object Microsoft.Exchange.WebServices.Data.PropertySet([Microsoft.Exchange.WebServices.Data.BasePropertySet]::FirstClassProperties)
$Items = $EWService.FindItems([Microsoft.Exchange.WebServices.Data.WellKnownFolderName]::DeletedItems,$ItemView)
$Items | ft Subject
foreach ($Item in $Items)
{
If ($Item.HasAttachments -eq $true)
{
#DEBUG
Write-Host "Subject: $($Item.Subject)" -ForegroundColor cyan
#Define PropertySet and GetMessage
$psPropertySet = new-object Microsoft.Exchange.WebServices.Data.PropertySet([Microsoft.Exchange.WebServices.Data.ItemSchema]::Attachments)
$Message = [Microsoft.Exchange.WebServices.Data.EmailMessage]::Bind($ewservice,$Item.Id,$psPropertySet)
Foreach ($Attachment in $Message.Attachments)
{
$AttachmentName = $Attachment.Name
#Write-Host "FileName: $AttachmentName"
If ($AttachmentName -match ".jpg")
{
$AttachmentName
Write-Host "FileName: $AttachmentName" -ForegroundColor green
#SaveAttachment
$Attachment.Load("C:\Temp\Spam\$AttachmentName")
}
}
}
}
$offset = $offset + 1000
} while($Items.MoreAvailable)
Uns so sieht dann das Resultat aus.
Hoffe diese Codeschnipsel sind auch jemandem andern nützlich.
Liebe Grüsse
Andres Bohren
Tuesday, March 24, 2020
Hallo zusammen,
Seit heute gibt es eine die neue Version 2002 der Citrix Workspace App für Windows.
Liebe Grüsse
Andres Bohren
Hallo zusammen,
In den vorangegangenen Blog Artikeln habe ich erklärt, wie man eine VM von ESX nach Azure migriert.
Nun gibt es noch ein paar Settings, welche gemacht werden müssen, damit man sich auf die VM's verbinden kann. Denn die laufen ja in einem VNET mit einer Privaten IP Adresse.
Eine Möglichkeit wäre den VPN Gateway zu benutzen oder man könnte Azure Bastion verwenden. Und vermutlich gibt es noch einige andere Möglichkeiten.
Ich habe mich jedoch für einen anderen Weg entschieden. Ich erstelle für jeden Server eine dynamische Public IP und gebe der einen öffentlichen DNS Namen.
Das Public IP Objekt muss dann mit einem Netzwerkadapter verbunden (associate) werden.
Anschliessend erstelle ich eine Network Security Group (NSG) und erstelle dort eine Incoming Rule für RDP (TCP 3389).
Die NSG verbinde ich mit allen Netzwerkadaptern.
In Azure laufen ein paar Dinge grundlegend anders, als man das von einer OnPrem Infrastruktur gewohnt ist. Die IP ändert man nicht in einer VM unter den Netzwerkeinstellungen. Sondern man stellt das im Azure Netzwerk Interface Objekt um.
Ich konfiguriere für jede VM eine statische IP Adresse.
Auch die DNS Einstellungen macht man auf dem Netzwerk Interface des Azure Objekts
Mit der Cloud Shell kann man die VM's in einer Resource Group anzeigen lassen. Mit dem Parameter "-Status" wird auch noch angezeigt, ob die VM's laufen.
Get-AzureRmVM -ResourceGroupName LAB -Status
Und mit folgendem Befehl, kann man eine VM Starten
Start-AzureRmVM -ResourceGroupName LAB -Name LAB04
Dauert natürlich eine Weile, bis die VM's up and running sind, aber danach kann man sich per RDP auf die Server verbinden.
Grüsse
Andres Bohren
Friday, March 20, 2020
Hallo zusammen,
Dies ist der Part 2 vom Artikel. Den Part 1 könnt ihr hier nachlesen.
Ich starte ein Assessment und wähle die vier Server aus und fasse sie zu einer Gruppe zusammen. Das Resultat sieht dann so aus.
Man sieht, welche VM's ohne Probleme migriert werden können und wo es vielleicht noch Issues gibt. Ausserdem wird eine Schätzung der Kosten abgegeben.
Ich schaue mir den Server mit "Ready with conditions" an und sehe, dass es sich um ein EUFI stat BIOS boot handelt, welches jedoch während der Migration konvertiert werden kann.
In den Cost Details sieht man, welche Typen VM und Storage vom Assessment empfohlen werden. Dies aufgrund der Statistiken, welche vom VCenter abgezogen wurden.
Vorbereitungen Resource Group
In der Resource Group muss jetzt noch ein Virtual Network (VNET) installiert werden.
Replikation
Nun kann die Replikation eingerichtet werden. In der Übersicht von Azure Migrate -> Servers -> Replicate auswählen.
Auswahl des Hypervisors und der Migration Appliance
Die Informationen aus dem Assessment anwenden - so können die Empfehlungen der VM Typen und vom Storage übernommen werden (und natürlich auch angepasst werden).
Nun muss man wieder Region, Subscription, Resource Group sowie VNET und Subnet angeben. Wichtig: Das VNET muss in derselben Region wie die Resource Group sein, sonst ist es hier nicht sichtbar.
Nun werden die Empfehlungen aus dem Assessment angezeigt und man kann die Azure VM Size auswählen oder abändern
Das selbe gilt auch für den Storage.
In der Resource Group werden die obengenannten Ressourcen angelegt (Storage, KeyVault, ServiceBus).
Im Service Bus sieht man kurz darauf Aktivitäten
Und die Disk wird nun effektiv repliziert.
Migration der VM
Nun ist alles vorbereitet und die Migration kann beginnen. Einfauch auf "Migrate" klicken.
ESX Machine herunterfahren auswählen
Man kann die Schritte unter Migration Jobs mitverfolgen. Die Migration hat zwischen 20 und 30 Minuten gedauert. Während dieser Zeit war die VM auf dem ESX bereits ausgeschaltet.
Danach ist die VM mit der Disk und dem Netzwerkadapter sichtbar und eingeschaltet,
Ich aktiviere noch "Auto-shutdown" - Das Lab muss ja nicht dauernd laufen.
Nun können die Replikation gestoppt werden - die VM's sind ja erfolgreich migriert.
Grüsse
Andres Bohren
Hallo zusammen,
Mein HP ML350e Server ist nun auch schon fast 7 Jahre alt. Deshalb habe ich beschlossen ein paar VM's nach Azure zu verschieben.
Um erstmal ein paar Erfahrungen zu sammeln, migriere ich die vier Virtual Machines aus meinem LAB. Ich habe mich entschieden, die VM's mit Azure Migrate zu migrieren.
Ich habe Azure Migrate in meiner Subscription in die Resource Group "LAB" hinzugefügt.
Mit "Add Tools" ein Migrations Projekt erstellen.
Nun muss die Subscription und die Resource Group ausgewählt werden. Ausserdem einen Namen für das Migrationsprojekt vergeben werden und eine Region ausgewählt werden.
Fürs Assessment "Azure Migrate: Server Assessment" auswählen
Für die Migration "Azure Migrate: Server Migration" auswählen
Nun müssen erstmal die Server entdeckt werden. Das macht man mit "Discover"
Meine Server laufen auf einem VMware ESXi Server. Ich probiere mal agentless replication aus. Danach kann man eine OVA Appliance herunterladen.
Installieren der OVA Appliance
Auf dem ESX erstellt man eine neue Machine und wählt OVA aus
Die VM erhält einen Namen und man wählt die heruntergeladene OVA Datei aus.
Datenspeicher für die VM auswählen
Netzwerk und VMDK Ausprägung auswählen
Los geht's...
Konfigurieren der Migration Appliance
Die Machine startet automatisch. 
Nun muss man ein Kennwort für den Administrator Account vergeben.
Danach startet der Internet Explorer automatisch und der Wizard für die Einrichtung startet.
Dabei wird auch die neueste Version vom Azure Migration heruntergeladen und installiert.
Das Update erfordert einen Neustart der Applikation - der Server muss nicht neu gestartet werden.
Nun muss man das VSphere Virtual Disk Development Kit heruntergeladen und entpackt werden. Praktisch mit dem Link zum download.
Danach muss man sich bei Azure anmelden, welche auf die Subscription, bzw die Resource Group berechtigt ist, und dort das oben erstellte Migrationsprojekt angeben.
Leider unterstützt die Migration Appliance keinen ESXi Server. Nun ist wohl auch klar, weshalb ich kürzlich die VMware vCenter Server Appliance installiert habe.
Mit dem vCenter klappt es dann auch
Ich überspringe die Credentials und lasse die VM's discovern.
Um sicherzugehen, dass alle Disks der VM's erkannt werden sollte man dort noch die SAN Policy konfigurieren.
diskpart
SAN Policy=OnlineAll
Nach einer weile sieht man dann in Azure die VM's welche auf dem ESXi, beziehungsweise im vCenter eingebunden sind.
Grüsse
Andres Bohren