blog.icewolf.ch

Let's talk about IT!
posts - 1362, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Thursday, January 17, 2019

Add Subject Alternative Name to GoDaddy SAN Certificate

Hallo zusammen,

In diesem Blog Artikel zeige ich euch wie man ein Subject Alternative Name (SAN) zu einem bestehenden Zertifikat hinzufügt.

Beim GoDaddy Webinterface einloggen und das Zertifikat verwalten

Dort "Erneut beantragen & verwalten" auswählen

Nun "Subject Alternative Name hinzufügen" auswählen

Nun kann der Hostname hinzugefügt werden. In meinem Fall ist das "home.icewolf.ch". Anschliessend auf "Speichern" und "Alle gespeicherten Änderungen absenden".

Denkt daran, dass ab jetzt euer "altes Zertifikat" nur noch 72 Stunden gültig ist.

Nun dauert es eine weile bis die Domain Validation abgeschlossen ist. Bei mir hat das nicht mal 15 Minuten gedauert und dann wurde ich per Mail benachrichtigt.

Nun kann das neue Zertifikat heruntergeladen werden.

Im heruntergeladenen ZIP befindet sich eine *.cer Datei. Das ist das Zertifikat. Allerdings fehlt da noch der korrespondiere "Private Key"

Auf dem Server mit dem alten Zertifikat importiere ich nun das Zertifikat

Wie man am fehlenden "Schlüssel" Symbol erkennt, fehlt dem Zertifikat der Private Key. 

Nun muss bei dem Zertifikat ohne Schlüssel die Seriennummer ausgelesen werden.

In einem cmd gibt man nun folgenden Befehl ein:

certutil -repairstore my "SerialNumber"

Nun besitzt das neue Zertifikat den Private Key.

Nun muss beim Service noch das neue Zertifikat angegeben werden. Beispielsweise bei Exchange / IIS / ADFS etc. Danach kann das alte Zertifikat gelöscht werden.

Grüsse
Andres Bohren

posted @ Thursday, January 17, 2019 11:22 AM | Filed Under [ Web Security ]

Tuesday, January 15, 2019

Skype for Business Server 2015 Cumulative Update KB3061064

Hallo zusammen,

Vor ein paar Tagen wurde ein Cumulative Update für Skype for Business 2015 veröffentlicht. Ich habe das Update nun auf meinem "Skype for Business Standard Server" installiert.

Skype for Business Server 2015 Cumulative Update KB3061064
 
January 2019 cumulative update 6.0.9319.537 for Skype for Business Server 2015, Conferencing Server
 
Updates for Skype for Business Server 2015
Stop-CsWindowsService

Nun können die Services wieder gestartet werden

Start-CsWindowsService

Nun müssen noch die Datenbanken aktualisiert werden.

Install-CsDatabase -Update -LocalDatabases

Grüsse
Andres Bohren

posted @ Tuesday, January 15, 2019 9:25 PM | Filed Under [ UM/Mobile ]

Saturday, January 12, 2019

Exchange 2016 CU11 Security Update (KB4471389)

Hallo zusammen,

Vor ein paar Tagen wurde ein Security Update für Exchange 2016 CU11 veröffentlicht. Es ersetzt dasSecurity Update vom Dezember.

Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: January 8, 2019
https://support.microsoft.com/en-gb/help/4471389/description-of-the-security-update-for-microsoft-exchange-server-2019

Security Update For Exchange Server 2016 CU11 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57758

Grüsse
Andres Bohren

posted @ Saturday, January 12, 2019 10:00 AM | Filed Under [ Exchange ]

Exchange Server 2013 CU21 Security Update (KB4471389)

Hallo zusammen,

Vor ein paar Tagen wurde ein Security Update für Exchange 2013 CU21 veröffentlicht. 

Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: January 8, 2019
https://support.microsoft.com/en-gb/help/4471389/description-of-the-security-update-for-microsoft-exchange-server-2019

Security Update For Exchange Server 2013 CU21 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57760

Grüsse
Andres Bohren

posted @ Saturday, January 12, 2019 9:54 AM | Filed Under [ Exchange ]

Wednesday, January 02, 2019

Local Admin Password Solution (LAPS)

Hallo zusammen,

In grossen Unternehmen werden die Computer automatisiert aufgesetzt. Das bedeutet also, dass eine grosse Anzahl von Client Computern mit demselben lokalen Administrator Password aufgesetzt sind. Oft ist dieses Passwort dem Helpdesk bekannt und dort gibt es meist eine grosse Fluktuation. Nach jedem Personalwechsel müsste also das Lokale Admin Passwort geändert werden. Das geschieht jedoch nicht, weil entsprechende Prozesse oder Tools fehlen.

Hier kommt nun Local Admin Password Solution (LAPS) ins Spiel. Die Software gibt es schon seit 2015 und im folgenden Blog Artikel zeige ich euch wie das funktioniert.

Local Administrator Password Solution (LAPS)
https://www.microsoft.com/en-us/download/details.aspx?id=46899

Local Administrator Password Solution
https://technet.microsoft.com/en-us/mt227395.aspx

Nach dem Herunterladen habt ihr folgende Dateien auf eurem Computer

Installation auf dem Admin Computer

Da gleich noch das Active Directory Schema aktualisiert und eine Group Policy angelegt werden muss, mache ich das auf dem Domain Controller.

Ich installiere alle Optionen

Active Directory Schema aktualisieren

Mit den folgenden Befehlen wird das Active Directory Schema aktualisiert

Import-module AdmPwd.PS
Get-Module
Update-AdmPwdADSchema

Mit dem Attribut Editor sieht man die beiden neuen Attribute

ms-Mcs-AdmPwd
ms-Mcs-AdmPwdExpirationTime

Nun muss noch den Computern das Recht erteilt werden, die Attribute selbst zu befüllen.

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Icewolf Users,DC=corp,DC=icewolf,DC=ch"

Group Policy

Nun muss noch die Group Policy erstellt werden.

Ich hatte erwartet, dass das ADMX File im Programm Verzeichnis zu finden ist.

Es befindet sich jedoch dort, wo ADMX Files hingehören.

C:\Windows\PolicyDefinitions\AdmPwd.admx
C:\Windows\PolicyDefinitions\en-US\AdmPwd.adml

Die beiden Dateien müssen nun in den PolicyDefinitions Ordner der Active Directory Domain kopiert werden.

\\corp.icewolf.ch\SYSVOL\corp.icewolf.ch\Policies\PolicyDefinitions

Nun kann eine neue Gruppenrichtlinie angelegt werden.

Client Installation

Auf dem Client muss die LAPS DLL installiert werden.

msiexec /i D:\temp\LAPS.X64.msi /quiet

Dadurch wird die AdmPwd.dll auf den Client kopiert und registriert.

Nun aktualisiere ich die GPO auf dem Client und starte den Client neu.

Resultat

Im Attribute Editor vom Acitvie Directory sieht man, dass es geklappt hat.

Den Datumswert kann man mit dem folgenden PowerShell Befehl umrechnen

Get-Date 131934998314842248 -UFormat "%D %R"

Mit dem GUI sucht man einfach nach dem Computernamen und dann wird einem das Admin Passwort und das ExpireDate angezeigt

Das ganze geht auch mit Powershell

Import-module AdmPwd.PS
Get-Module
Get-Command -Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName ICE10

Delegation der AD Rechte um das Admin Passwort auszulesen

Nicht jeder soll ja das Lokale Admin Passwort auslesen können. Also delegiere ich der Helpdesk Gruppe G-IcewolfAdmin die Rechte das Passwort auszulesen.

Set-AdmPwdReadPasswordPermission -Identity:"OU=Icewolf Users,DC=corp,DC=icewolf,DC=ch" -AllowedPrincipals:CORP\G-IcewolfAdmin

Nun schaue ich mir die Rechte im Active Directroy auf der OU "corp.icewolf.ch/Icewolf Users" an

Alles klar, die Gruppe darf das Attribut lesen

Grüsse
Andres Bohren

posted @ Wednesday, January 02, 2019 8:21 PM | Filed Under [ Security Windows ]

Backup Exec 20.3 Revision 1188 Hotfix 100044342

Hallo zusammen,

Für Backup Exec 20.3 gibt es seit mitte Dezember einen Hotfix

Backup Exec 20.3 Revision 1188 Hotfix 100044342

Leider hatte ich erstmal Zuwenig freier Speicher auf mener Harddisk. By the Way: Die Updates von Veritas Update werde in folgenden Pfad heruntergeladen: C:\ProgramData\Veritas\Backup Exec\20.0\VxUpdate\Downloads

Habe dann den Speicher freigemacht und den Hotfix Manuell installiert

In der Nachfolgenden Tabelle sieht man die Neuerungen. Unter anderem sind nun Backups von Windows Server 2019 und Exchange Server 2019 möglich.

Kurze Kontrolle ob der Hotfix auch wirklich installiert ist.

Nun müssen natürlich noch die Agents aktualisiert werden.

 Der Agent kann ansonsten auch über \\BackupExecServer\C$\Program Files\Symantec\Backup Exec\Agents aktualisiert werden.

Grüsse
Andres Bohren

posted @ Wednesday, January 02, 2019 11:17 AM | Filed Under [ System Management ]

Tuesday, January 01, 2019

Jahresrückblick und Blogstatistik 2018

Hallo zusammen,

Erstmal wünsche ich allen Lesern dieses Blogs "Es Guets Nöis"!

Ich hoffe euch gefällt das Blog auch weiterhin. Über Feedback freue ich mich natürlich immer!

Anfangs des Jahres ist es jeweils ein guter Zeitpunkt um auf das alte Jahr zurückzuschauen. Seit nun 11 Jahren schreibe ich Blog Artikel und habe insgesamt über 1'350 Beiträge geschrieben. Im 2018 habe ich 82 Blog Artikel geschrieben, also durchschnittlich knapp 7 pro Monat - wieder ein bisschen mehr als letztes Jahr.

Im letzten Jahr habe ich rund 1'500 KM auf dem Bike zurückgelegt und bin dafür etwa 85 Stunden im Sattel gesessen. Ausserdem bin viel Gereist. Ich war in Mayrhofen, Sardinien, Hurgada und Prag. Habe in Sardinien und Hurgada zusammen 24 wunderschöne Tauchgänge absolviert.

Beruflich habe ich mich weiterhin viel mit Office 365 beschäftigt, einiges zu Azure gelernt und unsere Services in ein neues Datacenter migriert.

Im 2018 habe ich zwei Microsoft Prüfungen bestanden und somit meine 32ste Prüfung absolviert. Ich habe "70-744 Securing Windows Server 2016" und "AZ-100 Microsoft Azure Infrastructure and Deployment" bestanden. Damit bin ich zum MCSE: Cloud Plattform und Infrastructure geworden.

Die Top 10 der Blogartikel 2018

Grüsse
Andres Bohren

posted @ Tuesday, January 01, 2019 1:07 PM | Filed Under [ Web ]

Monday, December 17, 2018

Hybrid Azure AD Join

Hallo zusammen

Ich habe mir heute nach der Installation vom neuen AAD Connect den Hybrid Azure AD Join angeschaut.

Zuerst habe ich im Azure AD die Devices angeschaut. Dort ist nur mein Windows 10 Computer und ein weiterer Server zu sehen.

Das ganze geht natürlich auch mit PowerShell

Import-Module AzureADPreview
Connect-AzureAD
Get-AzureADDevice

Im AAD Connect wähle ich die Option "Configure Device Options"

Ich wähle "Configure Hybrid Azure AD join" aus

Wenn man wie ich "Enterprise Admin" ist, so kann man es hier übers GUI machen, ansonsten kann man das Script herunterladen.

Hier das Script

Wenn man es über den Wizard macht, werden die Credentials abgefragt. Hier könnte man auch den Benutzer mit "Enterprise Admin" Rechten eingeben.

Bevor ich den Wizard abschliesse. Konfiguriere ich noch eine Blocking Policy für meine Windows 2016 Server.

How to control the hybrid Azure AD join of your devices
https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-control

Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration

Nach dem der Wizard beendet ist, schaue ich mir den SCP im Active Directory an. Der ist in der Configuration Partition zu finden.

Configuration > Services > Device Registration Configuration

Grüsse
Andres Bohren

posted @ Monday, December 17, 2018 11:36 PM | Filed Under [ O365 ]

Microsoft Azure Active Directory Connect 1.2.69.0

Hallo zusammen,

Letzte Woche wurde eine neue Version vom Azure Active Directory Connect (AAD Connect) veröffentlicht.

Azure AD Connect: Version release history
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history

Microsoft Azure Active Directory Connect 1.2.69.0
https://www.microsoft.com/en-us/download/details.aspx?id=47594

Mit dem folgenden Befehl kann man die Synchronisierung prüfen

Import-Module ADSync
Get-ADSyncScheduler

Im Microsoft 365 Admin Center kann man ebenfalls den Status und die Version der Verzeichnissynchronisierung prüfen

Keine Neuerungen bei den Optional Features

Grüsse
Andres Bohren

posted @ Monday, December 17, 2018 10:48 PM | Filed Under [ O365 ]

Exchange 2016 CU11 Security Update

Hallo zusammen,

Für Exchange 2016 CU11 wurde letzte Woche ein Sicherheitsupdate veröffentlicht.

Hinweise zum Sicherheitsupdate für die Sicherheitsanfälligkeit bezüglich Manipulation in Microsoft Exchange Server 2016: 11. Dezember 2018
https://support.microsoft.com/de-ch/help/4468741/security-update-for-the-exchange-tampering-vulnerability

Security Update For Exchange Server 2016 CU11 (KB4468741)
https://www.microsoft.com/en-us/download/details.aspx?id=57604

Grüsse
Andres Bohren

posted @ Monday, December 17, 2018 10:40 PM | Filed Under [ Exchange ]

Powered by:
Powered By Subtext Powered By ASP.NET