Quicktipp

Wer kennt das nicht – Sie befinden sich in Ihrem wohlverdienten Urlaub, aber Ihr Handy gönnt Ihnen keine freie Minute? Es erinnert Sie, trotz Abwesenheit, an Termine? Oder Ihr Kollege ruft Sie an, und fragt warum Sie nicht am Meeting teilnehmen, dabei liegen Sie krank zu Hause? 

Die Lösung für ein solches Problem: der Abwesenheitsassistent von Exchange Online!

Er kann Sie nicht vor Anrufen schützen, aber er kann im Zeitraum Ihrer Abwesenheit Ihren Kalender blocken oder auch Terminanfragen für Sie ablehnen oder auch absagen.

Schon wieder IPv6…

Vermutlich denken Sie jetzt – mit eingeschränkter Begeisterung, dass hier schon wieder jemand einen Artikel über die theoretischen Vorteile von IPv6 schreibt und damit das lesende Volk verunsichern will. Naja, im Prinzip richtig. Tatsächlich möchte ich hier ein Ergebnis zusammenfassen, dass wir in unserer eigenen iteracon-Infrastruktur erlebt haben. Wir sahen uns tatsächlich gezwungen, IPv6 selektiv einzuführen. Vielleicht ist ja dieser Bericht für den einen oder anderen Leser eine Unterstützung bei eigenen Überlegungen.

Wie also kam es dazu, dass wir (unfreiwillig) gezwungen wurden, IPv6 einzusetzen?

Ausgangspunkt ist die Verwendung von Skype for Business (S4B). Wir setzen als Microsoft Gold Partner natürlich S4B ein und ermöglichen unseren Mitarbeitern damit auch eine komfortable Erreichbarkeit an Heimarbeitsplätzen. Microsoft empfiehlt, in diesen Szenarien den S4B Verkehr nicht zusätzlich per VPN zu verschlüsseln, da hierdurch zusätzliches Delay und Jitter entsteht und die Sprachqualität entsprechend abnehmen kann. Siehe z.B. folgenden etwas älteren Artikel hierzu: https://blogs.technet.microsoft.com/nexthop/2011/11/14/enabling-lync-media-to-bypass-a-vpn-tunnel/. S4B verschlüsselt die übertragenen Daten bereits von Hause aus und unterstützt sichere Verfahren für die Authentisierung. Es besteht also keine unmittelbare Notwendigkeit S4B via VPN zu implementieren.

Wenn man dieser Microsoft-Empfehlung folgt, werden beim entfernten Teilnehmer (z.B. Heimarbeitsplatz) einige TCP-/UDP-Ports für die Verbindung benötigt und zwar auch in Richtung des Teilnehmers. Diese Ports werden teilweise dynamisch ausgehandelt und sind nicht im Vorfeld bekannt. Das STUN-Protokoll unterstützt hierbei den Verbindungsaufbau durch Firewalls und über NAT Devices. Sofern man über einen Anschluss mit (z.B. einer festen) IPv4-Adresse verfügt, der bezüglich der nutzbaren Ports nicht eingeschränkt ist, ist alles gut. Allerdings ist dies kaum der Standard; viele Heimarbeitsplätze verwenden dynamisch vom Provider vergebene IPv4-Adressen und bei diesen setzen immer mehr Provider Carrier Grade NAT Verfahren ein (CGN), um die Menge der zur Verfügung stehenden öffentlichen IPv4-Adressen optimal nutzen zu können. Es geschieht gelegentlich eine recht hohe Überbuchung der öffentlichen IPv4-Adressen der Provider. Es ist absehbar, dass mit solchen CGN-Verfahren S4B in Probleme laufen kann, wenn die öffentlichen IPv4-Adressen stark in Nutzung sind und damit die freien TCP/UDP Ports knapp werden.

So geschehen: Wir hatten bei einigen Mitarbeitern das Problem, dass sie nicht immer von zu Hause telefonieren oder Konferenzen nutzen konnten. Die Fehlersuche gestaltete sich schwierig, da keine offensichtlichen Fehler in der Infrastruktur gefunden werden konnten. Die Probleme traten zudem nicht konstant auf, sondern eher sporadisch. Nach einigen Analyse haben wir dann das Carrier-Grade-NAT in Verdacht gehabt und unterstellt, dass notwendige Ports beim entfernten Teilnehmer nicht immer frei waren / genutzt werden konnten.

Unsere Infrastruktur verwendet einen S4B Edge-Server in einer DMZ für die Kommunikation mit Teilnehmern außerhalb des Firmennetzes. Dieser Edge-Server authentisiert die Teilnehmer und bündelt die Kommunikation in Richtung S4B Front-End-Server im LAN. Um Probleme mit NAT auszuloten, haben wir folgende Änderungen durchgeführt:

  • Der Edge-Server hat eine zusätzliche IPv6-Adresse bekommen (Dual-Stack).
  • Wir haben auf der Firewall IPv6 in Richtung des Internets für den Edge-Server freigeschaltet.
  • Wir haben auf der Firewall auch eingehende S4B-Kommunikation über IPv6 zugelassen.
  • Schließlich haben wir im öffentlichen DNS einen zusätzliche aaaa-Record mit gleichem Namen wie beim vorhandenen a-Record gesetzt und diesen auf die IPv6-Adressee des Edge-Servers auflösen lassen.

 

Das Ergebnis: mit diesen Änderungen funktioniert die Telefonie nun auch bei allen Teilnehmern wieder zuverlässig. Insbesondere profitieren die Teilnehmer, deren Internet-Zugänge bereits IPv6 sprechen (also die meisten). Eine Analyse mit Wireshark zeigt: Hat ein S4B-Client eine IPv4- und IPv6-Konfiguration, versucht er, den Verbindungsaufbau über aaaa/IPv6 zu initiieren. Gelingt dies, ist IPv6 hier sogar der präferierte Weg! Eine Überbuchung von IPv6-Adressen bzgl. NAT ist bisher nicht in Sicht. IPv6 ist also in diesem Szenario die Lösung des Problems!

Das Szenario scheint mir deshalb akzeptabel, weil es mit relativ geringen Änderungen in der Infrastruktur umsetzbar ist. Wir setzen IPv6 nur bis in die DMZ ein, danach geht es per IPv4 weiter. Gegen eine weiter reichende Einführung von IPv6 (IPv6 bis zum Front-End-Server in unser lokales Netzwerk) hätte ich deutliche Vorbehalte, weil dies alle vorhandenen Kommunikationsregeln (Firewall, DNS, Routing) in Frage gestellt hätte und sich der übliche Aufwand für Fehlersuchen im Netz damit relativ schnell verdoppeln würde.

Unser Fazit: Es ist absehbar, dass uns an einigen Stellen IPv6 unerwartet begegnen wird und dass wir uns dann zwangsweise damit anfreunden müssen. Es scheint aus heutiger Sicht ratsam, diese Szenarien vorzubereiten und IPv6 bis an die Grenze des Unternehmensnetzes (Firewall, DMZ) schon einmal zu durchdenken und nutzbar zu machen.

Es grüßt, Harald Krause

 

ATA Gateways

Hallo Allerseits,

Im letzten Artikel haben wir gesehen wie die Installationen von ATA Center und ATA (Lightweight) Gateway durchgeführt werden. Inzwischen ist die Version 1.7 von ATA erschienen, mehr dazu findet ihr hier: https://blogs.technet.microsoft.com/enterprisemobility/2016/08/31/introducing-advanced-threat-analytics-v1-7/.

Ich spule in der Zeit aber noch ein wenig zurück, nämlich vor den Installationszeitpunkt des ATA Gateways. Im letzten Artikel erwähnte ich das ein ATA Gateway dualhomed (zwei NICs) aufgebaut wird. Dies trifft nach wie vor für das “klassische” ATA Gateway zu, aber nicht für das ATA Lightweight Gateway. Das ATA Lightweight Gateway wird direkt auf den DCs der bisher nicht für ATA Gateway geeigneten Strukturen (Cloud, Filiale, …) installiert. Dazu später mehr.

Das “klassische” ATA Gateway besitzt nun zwei NICs, eine davon wird als Capture-Adapter eingesetzt. Der zweite Adapter wird ganz normal im Netzwerk etabliert. An den Capture-Adapter wird der DC-Traffic via Mirror-Port gespiegelt. Dies kann in virtualisierten Umgebungen, wie auch in realen Umgebungen (Hardware) umgesetzt werden – ja nach Szenario: https://blogs.technet.microsoft.com/pfesweplat/2015/12/23/port-mirroring-for-advanced-threat-analytics/

In einer Hyper-V-basierten Umgebung wie bei der iteracon sieht die Konfiguration wie folgt aus. Auf Hyper-V wird “Microsoft NDIS Capture” installiert und auf dem betroffenen virtuellen Switch aktiviert:

image

Daraufhin werden die Quellen (DCs) und Ziele (Gateways) definiert. Hier wird z.B. auf einem unserer DCs als Mirroring mode “Source” eingestellt:

image

Auf der Gegenüberseite (Capture-NIC auf ATA Gateway) die “Destination”:

image

Im Anschluss daran empfiehlt sich die Kontrolle ob auch die gewünschten Datenpakete via Mirror-Port auf dem Gateway ankommen. Hierzu installiert man einfach den Microsoft Network Monitor 3.4 https://www.microsoft.com/en-us/download/details.aspx?id=4865 (Achtung, keinen anderen Sniffer verwenden, dies ist kontraindiziert für das ATA Gateway). Den Network Monitor starten, “P-Mode” anklicken und die Capture NIC per Checkbox auswählen:

image

New Capture auswählen und nach KerberosV5 OR LDAP filtern (Apply nicht vergessen!):

image

Daraufhin sollte LDAP-Traffic angezeigt werden:

image

Et voilà, es kommen LDAP-Daten auf dem ATA Gateway an und diese können nun vom Gateway analysiert werden. Bitte beachtet die Kapazitätsplanungen für die Gateways und plant die ATA Gateways passend in eure Umgebungen ein (https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning). Eine kleine Anregung für die Planungen: was passiert wenn z.B. ein DC innerhalb eines Hyper-V-Clusters auf einen anderen Knoten umzieht? Dann sollte das ATA Gateway mit rüber wandern!

Kommen wir noch abschließend zum ATA Lightweight Gateway. Dieses wird ja wie oben bereits erwähnt direkt auf einem DC installiert. Installationsgrundvoraussetzung ist übrigens das .NET 4.6.1, dies kann je nach Firmenpolitik ein No-Go sein. Als Installationsquelle werden die gleichen Gateway-Bits verwendet, wie beim ATA Gateway auch. Falls .NET noch nicht anliegt hilft die Installationsroutine nach:

image

Los geht der Spaß:

image

Nicht genug CPU und/oder RAM? Dann wird gemeckert:

image

Wo und wer:

image

Und wieder: rufen Sie nicht uns an, wir rufen Sie an:

image

image

Nach der Installation erscheint ein ATA Lightweight Gateway mit einem kleine “Zelt-Symbol” in der ATA Konfiguration:

image

 

Sobald die ATA Gateways etabliert sind und die DCs komplett “eingefangen” wurden kann über die Thematik Windows Event Forwarding (WEF) zur Verbesserung der Pass-the-Hash Attacken nachgedacht werden. Dazu mehr im nächsten Blogartikel zum Thema ATA.

Gruß und bis dahin,

Karsten Hentrup…

|<-|

ATA Installation

Hallo Allerseits,

wie bereits angekündigt hier nun ein Blogeintrag zum Thema ATA Installation. Die zu installierenden Komponenten sind ja ATA Center, ATA Gateway und ATA Lightweight Gateway.
Die Komponenten werden in einer produktiven Installation idealerweise voneinander getrennt aufgebaut.

Das ATA Center wird unihomed erstellt (eine NIC), aber idealerweise mit zwei IPs. Das ATA Gateway wird dualhomed (zwei NICs) aufgebaut, jede NIC bekommt eine IP. Da eine NIC beim Gateway “nur” als Capture-Adapter aufgebaut wird kann hier auch eine IP verwendet werden, welche nicht in den LAN-IP-Bereichen verwendet wird. Das ATA Lightweight Gateway wird AUF einem DC installiert und benötigt somit keine eigene Serverstruktur. Allerdings muss der betroffene DC über die geforderten Leistungsdaten verfügen, hierzu ist die Kapazitätsplanung das A und O (https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-capacity-planning)!

Zuerst wird das ATA-Center installiert, dann die Gateways. Zur weiteren Orientierung ist folgender Technet-Artikel interessant: https://docs.microsoft.com/de-de/advanced-threat-analytics/deploy-use/install-ata-step1

Center Installation:

clip_image001

Hier seht ihr, wie ich auf meiner Testinstanz für das ATA Center doch nur eine IP, aber unterschiedliche Sockets etabliert habe (443 + 444). Bei den Installationspfaden kann darüber nachgedacht werden die DB auf andere Partitionen zu legen und diese aus dem AV auszuschließen.

clip_image002

Rufen Sie nicht uns an, wir rufen Sie an:

clip_image003

Fertig:

clip_image004

Nach der Installation kann auf das Webfrontend des ATA Centers zugegriffen werden. Es wird sich entweder mit einem lokalen Admin authentifiziert (Workgroup-Szenario) oder mit einem Admin aus dem AD (Domain-Szenario):

clip_image005

Die Installation ist zunächst zeitlich limitiert, bis eine passende Seriennummer eingegeben worden ist.

clip_image006

Unter Configuration wird ein Benutzeraccount für einen AD-Connector angeben, hier reicht ein normaler Domain-User aus.

Danach führt ein beherzter Klick auf „Download ATA Gateway Setup“ zu den ATA Gateway Installationsdateien. In dem heruntergeladenen Zip-Archiv befindet sich eine personalsierte .json-Datei, insofern ist die Installation nur für das jeweilige Center als Backend geeignet:

clip_image007

Gateway Installation:

clip_image008

Für die Gateway Registrierung wird ein Admin-Account benötigt. Neben Self-signed Zertifikaten können auch Zertifikate der internen PKI verwendet werden, so vorhanden. Weitere Informationen dazu findet ihr hier: https://technet.microsoft.com/de-de/library/mt429319.aspx

clip_image009

Und wieder geht die Installation auf die Reise:

clip_image010

rdy:

clip_image011

Nach der ATA Gateway Installation meldet man sich im ATA Center an, um dann den zu überwachenden DC anzugeben, sowie die Capture-NIC definieren:

clip_image012

Speichern und Synchronisation abwarten bis:

clip_image013

Kontrolle ob folgende Dienste auf den jeweiligen Servern gestartet sind (hier ist zu Testzwecken das Center + Gateway auf einem Server installiert):

clip_image015

 

Wenn die AD Anbindung sauber läuft, dann sollte in der ATA Center Konsole eine Suche etwas zutage fördern:

clip_image016

Oder:

clip_image018

Schick, ATA lernt:

clip_image019

 

Lightweight Gateway Installation:

Seit der ATA Version 1.6 gibt es neuerdings sogenannte ATA Lightweight Gateways. Diese werden verwendet, wenn die Infrastruktur z.B. nicht die Möglichkeit bietet Spiegelports zu verwenden. Dies ist unter anderem in Cloud-Umgebungen wie Azure der Fall. Ein ATA Lightweight Gateway wird direkt auf den betroffenen DCs installiert. Voraussetzung hierfür ist das .Net Framework in der Version 4.6.1 (oder höher).

Die ATA Setup-Routine installiert das Framework selbständig, falls fehlend:

clip_image001[1]

Die Installation des ATA Lightweight Gateways ist recht einfach:

clip_image002[1]

Im Vorfeld genügend Ressourcen besorgen (Stichwort: Kapazitätsplanung, s.o.!), ansonsten kommt eine Hinweismeldung:

clip_image003[1]

clip_image004[1]

clip_image005[1]

clip_image006[1]

Nach der Installation sieht man das Lightweight Gateway natürlich auch in der ATA-Konfiguration:

image

Damit ATA aber einwandfrei lernen kann sind noch ein paar Basiskonfigurationen nötig. Dazu mehr im nächsten Artikel.

 

Gruß,

Karsten Hentrup aka Jens Mander…

<j-j>

DirectAccess Manage Out funktioniert nicht von internen Windows 10 Clients…

…Hallo Allerseits,

in 4 verschiedenen DirectAccess-Umgebungen haben wir Probleme von internen Windows 10 Clients festgestellt welche externe DirectAccess Clients via Manage Out (Stichwort: ISATAP) verwalten wollen. Die Problematik lässt sich auf das Nicht-Funktionieren der Namensauflösung einschränken. Wenn z.B. von einer der betroffenen internen Maschinen ein Ping (oder RDP oder sonstiges Protokoll) auf den NetBios-Namen des externen DA-Clients abgesetzt wird kommt ein “Host unbekannt” zurück – und das obwohl der externe Client sich korrekt (mit seiner v6-IP) am internen DNS registriert hat.

Im folgenden Screenshot kann man erkennen, das ein NSLOOKUP auf einen NetBios-Namen korrekt aufgelöst wird, der direkt folgende Ping auf denselben Namen scheitert:

clip_image002

Richard Hicks hat über dieses Verhalten/Phänomen bereits im November 2015 berichtet und auch einen Workaround in Form von Registry-Hacks online gestellt:

https://directaccess.richardhicks.com/2015/11/10/directaccess-manage-out-from-windows-10-does-not-work/

Einer unserer Kunden hat nun ein Ticket bei Microsoft geöffnet um eine Aussage des Herstellers dazu zu erhalten. Dort wurde uns signalisiert das dieser Case nun als Bug klassifiziert wurde.

Im übrigen kann das Verhalten als Workaround auch mit einem einzelnen Registry-Key gelöst werden und zwar wie folgt, hier ein Ausschnitt aus der Ticket-Konversation:

***********************************************

Hallo Herr Hentrup,

ich habe weitere Informationen.

Für das von mir in der vorigen Email angesprochene Verhalten (der Client sendet keine AAAA Queries) ist die aktuelle Lösung diesen Registry Key zu setzten.

HKLM\System\CCS\Services\DNSCACHE\Parameters

REG_DWORD „AddrConfigControl „
Value: 0

New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\” -Name AddrConfigControl -PropertyType dword -Value 0 -Force

Die anderen beiden Registry Keys können somit auf Ihren Standartwerten bleiben. Wenn Sie sie zurücksetzten wollen:

New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\” -Name DisableParallelAandAAAA -PropertyType dword -Value 0 -Force

New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\” -Name DisableServerUnreachability -PropertyType dword -Value 0 -Force

Testen Sie das doch bitte.

Wenn es auch so funktioniert haben wir sicherlich das Problem. Dieses Verhalten zeigt auch Win10 1511.

***********************************************

Haben wir getestet – funktioniert!

Gruß,

Karsten Hentrup…

|<-|

Windows 10 im Unternehmensumfeld – SSO, "Hybrid" und andere Mysterien (Teil 2)

Hier folgt nun die versprochene Fortsetzung. Im 1. Teil haben wir uns über das Szenario „Windows Store for Business“ (WSfB) dem Thema „Automatische Azure AD-Registrierung (für domain-joined Computer)“ genähert. Man kann festhalten, dass diese der Schlüssel für den bequemen und unternehmenstauglichen Zugriff auf Microsoft Online Ressourcen ist. Durch die AAD Auto-Registrierung wird echtes SSO ermöglicht und sie läuft für den User vollkommen transparent (d.h. ohne jegliche Interaktion) ab.

Aber was ist nun konkret zu tun, um die Automatische Azure AD Registrierung zu etablieren?

Voraussetzungen für die AAD Auto-Registrierung

Microsoft stellt eine Vielzahl von Anleitungen zur Verfügung wie z.B. diese oder auch jene.

In der Praxis hat sich aber gezeigt, dass es oftmals im Detail hapert – mal fehlt in der einen Anleitung dieser Punkt, mal in der anderen jener… hier eine Zusammenfassung der wichtigsten Schritte:

  1. Sofern noch nicht geschehen, AADConnect und ADFS implementieren, öffentliche Domäne in AAD registrieren, Federation herstellen, UPN der Benutzer im on-premises AD sollte gleich der SMTP-Adresse sein
  2. Alle Benutzer, die Cloud Ressourcen nutzen, müssen ins AAD synchronisiert werden
  3. Zusätzlich: Alle (relevanten) Windows 10 Computer-Objekte müssen ebenfalls ins AAD synchronisiert werden
  4. Erstellen eines Service Connection Point im on-premises AD, damit Windows 10 Computer ermitteln können, wohin sie sich wenden müssen, um zum AAD zu gelangen. Dieser SCP wird in der Configuration Partition per Skript angelegt, es sind Enterprise Admin Rechte erforderlich
  5. Aktivieren des sog. ADFS Endpoint namens „windowstransport“. Dieser wird benötigt, damit Windows 10 Computer sich bei ADFS authentifizieren können
  6. Mindestens drei neue Claim Rules (ohne „SupportMultipleDomains“) in der Relying Party Konfiguration für „Microsoft Office 365 Identity Platform“, mit denen die on-premises objectGuid, accounttype („DJ“ = domain joined) und die primarysid via ADFS an AAD übermittelt werden
  7. Aktivieren von Windows Integrated Authentication als Alternative zu MFA in der o.a. Relying Party

Ablauf der AAD Auto-Registrierung

Auf allen domain-joined Windows 10 Computern existiert ein Scheduled Task unter \Microsoft\Windows\Workplace Join namens „Automatic-Device-Join“. Dieser Task läuft im SYSTEM-Kontext und wird bei jedem Anmelden eines Benutzers gestartet. Bei Windows 10 (Build 1511) war dieser Task noch deaktiviert und musste z.B. per GPO aktiviert werden. Bei Windows 10 (Build 1607) ist er hingegen out-of-the-box aktiviert. Wenn alle o.g. Punkte erledigt sind, bewirkt der Task eine Vielzahl von Aktionen. Die genaue Beschreibung würde den Rahmen dieses Beitrags definitiv sprengen – es werden Schlüsselpaare erstellt, der TPM Chip zum Schutz der Schlüssel verwendet, Zertifikate von Azure AD ausgestellt, der Computer erstellt ein Device Object, AAD Connect korreliert dieses mit dem on-premises Computer-Objekt, etc. Genug Stoff für einen zukünftigen separaten Blog Beitrag 🙂

Hier der vereinfachte Ablauf:

  1. Computer identifiziert über den SCP den passenden AAD Tenant und baut eine dorthin Verbindung auf. Achtung: Damit dies funktionieren kann, benötigt der Computer uneingeschränkten Zugriff auf mehrere URLs!
  2. Computer wird umgeleitet zu ADFS und authentifiziert sich. Dabei erhält er von ADFS die oben erwähnten Claims
  3. Mit diesen Claims im Gepäck erstellt der Computer nun ein neues Device Object für sich in AAD. Die Werte aus den Claims werden in Attribute des neuen Objekts übertragen
  4. AAD stellt ein Zertifikat für den Computer aus, mit dem dieser sich künftig authentifiziert
  5. Das PRT findet ebenso seinen Weg auf den Computer
  6. AADConnect verknüpft das neue Device Object beim nächsten Lauf mit dem existierenden Computer-Objekt im on-premises AD. Hierdurch wird das on-premises Computer-Objekt autoritativ – d.h. wenn es z.B. gelöscht wird, wird auch das Device Object in AAD gelöscht!

Greift der Benutzer nun auf z.B. Sharepoint Online oder OneDrive for Business zu, werden mithilfe des PRT die Access Tokens beantragt. Falls Sie Kerberos kennen: Im Prinzip kann man sich das PRT ein wenig wie ein Ticket Granting Ticket vorstellen und Access Tokens wie Session Tickets.

Mithilfe der Tokens erfolgt nun die Authentifizierung bei der Zielressource.

Tipps

  • Nutzen Sie beim Erstellen der Federation (convert-MsolDomainToFederated) möglichst nicht die Option „SupportMultipleDomains“, sofern kein akuter Bedarf besteht. Hierdurch werden zusätzliche Claim Rules erforderlich und deren Konfiguration ist in diesem Fall alles andere als trivial
  • Sie wollen nicht alle Windows 10 Computerobjekte ins AAD synchronisieren? Keine Sorge, das passiert auch gar nicht. Selbst, wenn Sie keine Filter konfigurieren, erstellt AADConnect für die on-premises AD Computer-Objekte keine neuen Device Objects in AAD, sondern korreliert nur bereits existierende zwecks Life cycle management. Nicht AADConnect erstellt neue Device Objects – sondern das machen die Computer selbst während der Auto-Registrierung!
  • Achten Sie darauf, dass alle Claims auch tatsächlich in ADFS definiert sind, für die Sie Claim Rules erstellen. Eine Claim Rule macht noch keinen Claim 😉
  • Falls Sie einen Forward Proxy mit User Authentifizierung einsetzen: Machen Sie sich auf Probleme gefasst… Der Zugriff des Computers auf das AAD zwecks Registrierung erfordert Zugriff auf mindestens diese URLs:
    • enterpriseregistration.windows.net und
    • login.microsoftonline.com

Und zwar erfolgt der Zugriff im Kontext des Computerkontos, da der Scheduled Task als SYSTEM läuft. Oftmals empfiehlt es sich, den Zugriff auf diese URLs auf der Firewall (nicht authentifiziert) zu erlauben oder einen geeigneten ggf. transparenten Proxy ohne Authentifizierung zu verwenden. Das Thema Proxy & Authentifizierung holt einen übrigens spätestens beim Windows Store for Business wieder ein, soviel sei schon mal verraten.

Fazit

Wenn Sie Windows 10 und Cloud-Ressourcen wie Office 365 oder Windows Store for Business unternehmenstauglich einsetzen und verwalten wollen, dann sollten Sie definitiv die automatische Azure AD Registrierung ihrer Domain-joined Computer etablieren. Diese ist der Schlüssel zum bequemen und sicheren Zugriff auf Microsoft Online Ressourcen. Sie schaffen hierdurch die Grundlage für echtes SSO und weitere interessante Enterprise Features. Eine saubere und adäquate Einrichtung von ADFS und DirSync/AADConnect ist die Basis für SSO, die Sie entweder selber betreiben oder bei Bedarf auch als Komplettpaket bzw. Managed Service bei iteracon buchen können. Wie man unschwer erkennen kann, ist die gesamte Thematik alles andere als simpel und die Einrichtung nicht trivial. Das Ergebnis kann sich allerdings mehr als sehen lassen! Aus Sicht des Endanwenders könnte es kaum simpler sein: An Windows anmelden, auf Ressourcen Zugreifen, fertig! 🙂

Und das gilt sogar auch für die Store App mit dem Windows Store for Business. Aber dazu wie gesagt später mehr.

Viele Grüße

Alexander Zarenko

Windows 10 im Unternehmensumfeld – SSO, "Hybrid" und andere Mysterien (Teil 1)

Wenn man sich mit Windows 10 und seinem Einsatz in Enterprise-Umgebungen beschäftigt, stellen sich viele Fragen – u.a. zur Verwaltbarkeit und Cloud-Anbindung. Beim Versuch, diese Fragen zu klären, wird man mit einer Vielzahl von Begriffen konfrontiert. Vermutlich haben Sie von Azure AD Join und Workplace Join gehört. Hinzu kamen dann vermutlich recht bald Single Sign On, ADFS, DirSync/AADConnect, MDM Autoenrollment, Intune, SCCM und noch vieles mehr. Ein weites Feld…

Letzten Endes geht es darum, Windows 10 unternehmenstauglich einzusetzen und zu verwalten. Aber wie geht das und was heißt das eigentlich? Es herrscht teils große Verunsicherung, wie einige neue Entwicklungen einzuordnen sind und manche Veranstaltungen oder Kommentare von Leuten, die es eigentlich wissen sollten, schüren diese Verunsicherung noch. Wie etwa: Wird Domain Join bald abgeschafft? Heißt die Zukunft Azure AD Join? Ist die klassische Verwaltung mit Tools wie SCCM tot und läuft künftig alles über MDM wie z.B. Intune?

Ich kann sie beruhigen. Ich bin zwar kein Orakel, aber bin mir mittlerweile (das war nicht immer so!) sehr sicher, dass all diese zugegebenermaßen überspitzt formulierten Fragen für die absehbare Zukunft mit „Nein“ beantwortet werden können. Denn: Mit kleinen Einschränkungen ist alles da und es passt alles zusammen (auch das war nicht immer so!). Man muss nur die richtigen Teile miteinander kombinieren. Aber welche sind das, für welches Szenario?

Dieser und zukünftige Artikel rund um Windows 10 sollen etwas Licht ins Dunkel bringen. Zunächst greifen wir einen wichtigen Teilaspekt auf, der im Zusammenhang mit dem Thema „Cloud-Anbindung“ steht.

Ein Beispielszenario, der Aufhänger für diesen Beitrag: Ihr Unternehmen möchte gewappnet sein für etwaige Anfragen der Benutzer à la „Ich bin viel mit meinem Surface Pro 4 unterwegs und benötige für Präsentationen die PowerPoint App aus dem Windows Store“.

Eine häufige Antwort der IT-Verantwortlichen: „Windows Store? Den haben wir gesperrt. Das ist eine auf Privatpersonen zugeschnittene Geschichte, die wir im Unternehmensumfeld nicht unterstützen.“

Und das ist dann das Ende vom Lied – so war es oft mit Windows 8.1.

Nun gibt es aber seit einiger Zeit den Windows Store for Business (WSfB), mit dem sich ein unternehmensspezifischer Bereich innerhalb des Windows Store definieren lässt, der allen Mitarbeitern offen steht. Der Zugriff auf diesen „Private Store“ erfolgt mit denjenigen Anmeldedaten, mit denen die Benutzer bereits am Rechner angemeldet sind – sofern einige Voraussetzungen erfüllt sind. Welche dies konkret sind und welche Möglichkeiten WSfB bietet, ist genug Stoff für einen eigenen Blog-Beitrag… an dieser Stelle deshalb nur eine Zusammenfassung – Sie brauchen:

  • Einen konfigurierten WSfB Private Store mit den gewünschten Apps, die den Benutzern zur Verfügung stehen bzw. zur Installation angeboten werden sollen. Das Resultat sieht z.B. so aus:

2016-11-04_22h29_13

  • Eine Instanz von Dirsync (d.h. AADConnect) zur Synchronisation der Benutzerobjekte zwischen dem eigenen AD und Azure AD
  • Optional (aber in aller Regel dringend empfohlen) ADFS und eine Federation zu Microsoft, damit Anmeldedaten ihr Unternehmen nicht verlassen.

Anmerkung: Da die Mehrzahl unserer Kunden der o.a. Empfehlung folgt, liegt der Fokus dieses Beitrags auf dem Szenario inkl. ADFS und Federation zu Microsoft.

Sie kommen also zu dem Entschluss, dass der WSfB eine sehr nützliche Sache ist und beginnen mit der Einrichtung von ADFS, Dirsync und konfigurieren WSfB. Diese Einrichtung ist nicht ganz trivial, aber nach einiger Zeit haben Sie es geschafft. Ein Testzugriff auf SharePoint Online oder OneDrive for Business läuft für den Benutzer so, wie man es sich wünscht: Keine Authentifizierungsdialoge – Drin! Das war ja einfach… (kennt jemand noch den alten AOL Spot mit Boris Becker? Ein Klassiker :-)) OK, nun zum Store… Schade, wie kommt man denn nun an den Private Store? Antwort: Hierzu muss der Work Account hinzugefügt werden, was auch als „Workplace Join“ gezeichnet wird.

Standardmäßig passiert dies nicht automatisch. Was nun?

Es gibt an dieser Stelle eigentlich nur eine offensichtliche Möglichkeit:

  • Benutzer fügen Ihren Work Account selbst hinzu. Hierzu starten sie die „Einstellungen“ App, wählen dort „Auf Arbeits- oder Schulkonto zugreifen“, klicken auf „Verbinden“, geben ihren UPN (in der Regel ist dieser identisch mit der Email-Adresse) ein. Daraufhin erfolgt eine Umleitung zu ADFS. Im darauf folgenden Formular muss der Benutzer zum Abschluss noch sein Kennwort eingeben. Nun kann der Benutzer die Store App starten und sein Work Account ist bereits dort hinterlegt. Der Zugriff erfolgt also im Kontext des Work Account und der Private Store wird angezeigt. Ziel erreicht.

Aber ist das unternehmenstauglich?

Vermutlich antworten Sie reflexartig „Nein, ganz bestimmt nicht“ oder „Also bei uns nicht“ und damit sind Sie in bester Gesellschaft. Tatsächlich wird auch Microsoft dies so unterschreiben. Denn „Workplace Join“ ist nicht für Unternehmens-PCs gedacht, sondern für BYOD Szenarien. Was aber tun bei Unternehmens-PCs?

Unternehmens-PCs (Corporate owned devices) mit Windows 10 werden in 2 Klassen unterteilt:

  • Domain-joined Computer. Das sind die klassischen PCs, Notebooks, Tablets oder Hybrid-Geräte, die z.B. mit SCCM oder einem Tool ihrer Wahl aufgesetzt und verwaltet werden. Sie sind Mitglied des on-premises AD und werden üblicherweise ganz klassisch mit SCCM und Group Policies konfiguriert.
  • Azure AD-joined Computer. Für Benutzer, die hauptsächlich mit Cloud Ressourcen arbeiten und Ihren Arbeitsplatz nicht im Unternehmen haben, kann dies eine interessante Alternative sein. Azure AD-joined Computer können im Anschluss an den AAD-join automatisch in die bestehende MDM-Lösung eingebucht werden (z.B. Intune oder SCCM/Intune hybrid) und über diese verwaltet werden. Dieses Feature wird als „MDM Autoenrollment“ bezeichnet. Im Vergleich zur Verwaltung von Domain-joined Computern mit SCCM (via installiertem SCCM-Client) und Group Policies wird hier oft von „MDM Channel“ und „Lightweight Management“ gesprochen.

Nochmal zum Festhalten: Nein, Domain-join wird nicht durch Azure AD Join abgelöst. Zumindest nicht heute und auch nicht morgen. Die Zielgruppen für die Join-Arten sind verschieden. Und SCCM und GPOs sind weiterhin die Mittel der Wahl zur Verwaltung für Domain-joined Computer! Über den MDM Channel wird Lightweight Management gemacht – und zwar für Smartphones generell, für BYOD-Computer oder für heavy-Cloud-User, die ihren Computer ggf. von der Stange kaufen (Kosten übernimmt der Arbeitgeber) und via Self Service zu Azure AD hinzufügen (Azure AD Join) – dies ist ein Beispiel für den sog. COPE-Ansatz (Corporated Owned, Personally Enabled).

Wir wollen uns an dieser Stelle auf Domain-joined Computer konzentrieren, da diese für viele deutlich relevanter sind – schließlich existieren etliche Millionen davon auf der Welt. Microsoft hat seit einiger Zeit ein Verfahren etabliert, das auf Deutsch ungefähr „Automatische Azure AD Registrierung“ (Kurzform im Folgenden: „AAD Auto-Registrierung“) heißt. Hierdurch wird ermöglicht, dass Domain-joined Computer automatisch in Azure AD registriert werden. Dies bietet u.a. die folgenden Vorteile:

  • Für den Benutzer ist der Vorgang komplett transparent, es ist keinerlei Benutzer(inter)aktion notwendig
  • Die Registrierung passiert automatisch, sobald sich Benutzer an den Computer anmelden
  • Work Accounts der sich anmeldenden Benutzer werden automatisch hinzugefügt
  • Die Store App ist fertig vorkonfiguriert und zeigt den Private Store
  • „Enhanced“ SSO beim Zugriff auf Ressourcen

„Normales“ SSO versus „Enhanced“ SSO

Work Accounts werden automatisch hinzugefügt? Keinerlei Benutzerinteraktion, alles vollautomatisch… klingt schon mal super! Aber was ist mit „Enhanced“ SSO gemeint? Vorweg: Den Begriff haben wir uns selbst ausgedacht – um diese besondere Form von SSO abzugrenzen zu dem, was wir üblicherweise unter SSO verstehen. Eine Beschreibung des Ablaufs von „normalem“ SSO am Beispiel von SharePoint Online können Sie hier finden: http://iteracon.de/sso#a4

Um bei diesem Beispiel zu bleiben: Greift ein Benutzer also im LAN auf SharePoint Online zu, geschieht die „Magie“ unter Mitwirkung von ADFS normalerweise vollautomatisch im Hintergrund. Wenn der Benutzer aufmerksam die Adresszeile des Browsers beobachtet, sieht er lediglich die verschiedenen URLs durch die Umleitungen aufblitzen und ist im nächsten Moment schon authentifiziert bei der Zielressource angelangt.

Wir halten aber fest: Bei „normalem“ SSO ist zwingend ADFS involviert.

Das heißt umgekehrt auch: Wenn ADFS gerade nicht verfügbar ist (Ausfall, Wartung, etc.), ist kein Zugriff auf MS Online Ressourcen möglich!

Das ist bei „Enhanced SSO“ anders:

  • Nur beim ersten Zugriff läuft alles „normal“
  • Anschließend wird ein Primary Refresh Token (PRT) und darauf aufbauend Access Tokens zur Authentifizierung verwendet
  • ADFS wird fortan umgangen. Die Authentifizierung erfolgt mithilfe der o.a. Tokens direkt gegen Azure AD

Die Vorteile des erweiterten SSO liegen auf der Hand:

  • Der Zugriff auf MS Online Ressourcen funktioniert auch unabhängig von ADFS und dessen Verfügbarkeit
  • Es ist keine Eingabe von Anmeldedaten erforderlich, egal ob der Client im LAN steht oder im Internet
  • Die Authentifizierung erfolgt mit weniger Umwegen und läuft daher noch schneller

Einige weitere Vorteile der AAD Auto-Registrierung (Store App mit dem Work Account vorkonfiguriert, WSfB zeigt Private Store an, etc.) habe ich ja bereits oben erwähnt.

Darüber hinaus ist die AAD (Auto-)Registrierung übrigens die Grundlage für weitere interessante Features wie Windows Hello for Business, Enterprise State Roaming und Conditional Access – Details hierzu folgen in zukünftigen Blog-Einträgen.

Damit erst einmal genug für heute… In Teil 2 klären wir, welche Voraussetzungen für die AAD Auto-Registrierung erfüllt sein müssen und es gibt einen Überblick über den Ablauf. Ein paar Tipps zur Implementierung sind auch noch mit dabei, also: „Stay tuned“ 🙂

Viele Grüße

Alexander Zarenko

ATA Planung

Hier nun wie angedroht ein weiterer Artikel zum Microsoft Advanced Threat Analytics (ATA).

Die Idee: zu ATA werden die Active Directory Daten gespiegelt, ausgewertet und auf möglichen Missbrauch bzw. Auffälligkeiten hin untersucht. Hierzu ist ein Setup von sogenannten ATA (Lightweight) Gateways nötig, welche die gespiegelten AD-Daten aufnehmen. ATA lernt nun die Umgebung kennen, wertet diese aus und meldet sicherheitsrelevante Informationen über das ATA Center. Auf dem ATA Center ist eine Timeline von Alarmen einsehbar, inklusive erster Empfehlungen der weiteren Vorgehensweise.

Die wichtigsten Infos vorab:

– ATA wird größtenteils on-premises aufgebaut. DCs in Azure oder anderen public Clouds werden mittels ATA Lightweight Gateways eingefangen (ab ATA V1.6).
– Idealerweise werden sämtliche DCs eines AD überwacht, dies erfordert sicherlich den Aufbau mehrerer ATA (Lightweight) Gateways.
– Den ATA Gateways werden die AD-Daten mittels Spiegelports von Switchen (real, virtuell) übermittelt. Die Platzierung der ATA Gateways stellt somit die erste (und größte) Herausforderung dar.
– Eine Alternative ist seit Version 1.6 das sogenannte ATA Lightweight Gateway. Dieses wird auf einem DC installiert und insofern ist kein dediziertes Gateway erforderlich. Bei beiden Gateway-Varianten sind die Systemanforderungen zu beachten!
– Sind die ATA (Lightweight) Gateways einmal platziert, dann beginnt automatisch ein Selbstlernprozess. Es ist NICHT erforderlich eine aufwendige Baseline zu erstellen, das System startet nach Positionierung vollkommen autark los.
– ATA kann in einem Workgroup Szenario aufgebaut werden.
– Die Auswertung/Interpretation der von ATA angezeigten Vorkommnisse stellt die zweite Herausforderung dar, da hierfür ggf. “Personen Tage” reserviert werden müssen.
– ATA kann unter anderem durch EMS (Microsoft Enterprise Mobility Suite) lizenziert werden. EMS ist im Vergleich zu den einzelnen Produkten recht günstig, fragt hierzu einen Cloud Solution Provider. Zur Not kann ich einen CSP empfehlen Smiley http://iteracon.de/public-site/news/show?e=19

 

ATA Topologie:

image

https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-prerequisites

ATA Kapazitätsplanung:

Für ATA kann je nach Umgebung einiges an Ressourcen gefordert sein:

https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-capacity-planning

ATA Test:

ATA Center und ATA Gateway kann zu Test- oder Laborzwecken auf einem Server installiert werden. Für den produktiven Einsatz sei eine Trennung aber empfohlen. Einen ersten Eindruck erhält man sicherlich auch, wenn nur ein DC überwacht wird. Für den produktiven Einsatz dürfte diese Sichtweise aber zu eingeschränkt sein.

Im nächsten Artikel zeige ich die Installation von ATA Center + (Lightweight) Gateways, stay tuned.

Gruß,

Karsten Hentrup…

>>

Wartungsfenster und Geschäftszeiten in SCCM

Ich wurde kürzlich von einem meiner Kunden gefragt, wie denn in SCCM der Zusammenhang zwischen einem Wartungsfenster und den Geschäftszeiten sei und ob sich diese Bereiche beeinflussen. Geschäftszeiten können von jedem Benutzer über das Software Center in gewissen Grenzen frei definiert werden und bringen zum Ausdruck, wann ein Benutzer nicht mit Software- oder Update-Installationen belästigt werden möchte oder positiv ausgedrückt, in welchem Zeitraum Wartungsaktionen bevorzugt stattfinden sollen. Meiner Erfahrung nach ist dies zwar ein Feature, das kaum jemand wahrnimmt oder gar aktiv benutzt, aber man sollte als SCCM-Administrator natürlich wissen, was es mit den Geschäftszeiten auf sich hat und wie diese z. B. die Installation von Software Updates beeinflussen.

Wartungsfenster

Ein Wartungsfenster bzw. Maintenance Window dient im SCCM-Umfeld dazu, den Zeitpunkt von Software- oder Update-Installationen zeitlich kontrollierbarer zu gestalten.

Ein Wartungsfenster wird im SCCM über Collections definiert, d. h. das Wartungsfenster ist eine Eigenschaft der Collection:

1

clip_image001

Das Wartungsfenster bestimmt sich über eine frei definierbare Startzeit, eine Dauer und ggf. ein Wiederholungsintervall. Außerdem kann festgelegt werden, ob das Wartungsfenster für alle Arten von Deployments, nur für Updates oder nur für Task Sequenzen gelten soll.

clip_image002

Wenn für ein Device ein Wartungsfenster definiert ist, werden Deployments (auch nach Erreichen der Deadline) so lange verzögert, bis der Startzeitpunkt des Wartungsfensters erreicht ist. Es gibt darüber hinaus einige weitere Faktoren, die das Installationsverhalten beeinflussen. Wenn, z. B. die Dauer des Wartungsfensters kürzer als die maximal erlaubte Installationsdauer ist, findet die Installation nicht statt, obwohl das Wartungsfenster erreicht worden ist. Die maximal erlaubte Installationsdauer kann bei einer Application im Deployment Type angegeben werden:

clip_image004

Bei einem Software Update Package gibt es diese Einstellmöglichkeit ebenfalls:

clip_image005

Mehrere Wartungsfenster

Was passiert nun, wenn für ein Device mehrere Wartungsfenster definiert sind? Dies kann vorkommen, wenn der Computer Mitglied einer Collection ist, für die mehrere Wartungsfenster definiert sind, oder wenn der Computer Mitglied in mehreren Collections ist, für die jeweils Wartungsfenster vorhanden sind. Hierbei muss man unterscheiden, ob sich die Wartungsfenster zeitlich überschneiden oder nicht. Falls sich die Wartungsfenster nicht überschneiden, gilt jedes Wartungsfenster unabhängig für sich betrachtet. Bei Überschneidungen wird ein einzelnes Wartungsfenster gebildet, das der Schnittmenge aller definierten Wartungsfenster entspricht, d. h. es wird das größtmögliche zeitliche Fenster definiert, dass allen Wartungsfenstern gerecht wird.

Wartungsfenster ignorieren beim Deployment?

Bei jedem Deployment kann sich der SCCM Administrator nochmals individuell entscheiden, ob er evtl. vorhandene Wartungsfenster überhaupt berücksichtigen möchte, oder nicht. Dies kann auf der Seite User Experience im Deployment Wizard bestimmt werden. Wenn, wie hier zu sehen, die Checkbox für Software update installation aktiviert ist, erfolgt nach Erreichen der Deadline die Update Installation auch außerhalb eines evtl. definierten Wartungsfensters. Mit dieser Einstellung lassen sich Wartungsfenster also de facto umgehen.

clip_image007

Geschäftszeiten / Business Hours

Was hat es nun mit den Geschäftszeiten auf sich, die jeder Benutzer auf seinem Gerät über das Software Center frei definieren kann?

clip_image009

Handelt es sich hierbei auch um ein Wartungsfenster? Die Antwort lautet: Ja, in gewisser Weise schon, allerdings hat dieses Wartungsfenster lediglich eine Bedeutung für den Zeitraum vor dem Erreichen der Deployment Deadline. Beim Erstellen eines Deployments kann der SCCM Administrator angeben, ab wann die Software auf dem Client erkennbar, also „Available“ sein soll, hier am Beispiel eines Update Deployments gezeigt:

clip_image011

Ab diesem Zeitpunkt bekommt der Benutzer die Installation der Software über Software Center angeboten und evtl. erscheint auch ein Meldungsfenster mit einer entsprechenden Ankündigung. Ob diese zusätzliche Meldung erscheinen soll oder nicht, wird auf der nächsten Seite des oben gezeigten Wizard festgelegt.

clip_image012

Ob nun die definierten Geschäftszeiten berücksichtigt werden oder nicht, hängt von der Wahl des Benutzers in dieser Benachrichtigung ab. Der Benutzer kann sich hier diesbezüglich entscheiden. Diese Wahlmöglichkeit ist allerdings nur solange gegeben, bis die Deployment Deadline erreicht ist. Der Zeitpunkt der Deployment Deadline wird vom SCCM-Administrator ebenfalls bei der Erstellung des Deployments festgelegt:

clip_image014

Mit Erreichen der Deadline finden die vom Benutzer definierten Geschäftszeiten keine Berücksichtigung mehr, wohl jedoch evtl. vorhandene Wartungsfenster, die über Collections definiert worden sind.

Der wichtigste Unterschied zwischen einem Wartungsfenster und den Geschäftszeiten eines Benutzers ist also der Zeitraum, in dem entweder das eine oder das andere seine Anwendbarkeit findet. Geschäftszeiten blockieren eine Installation vor Erreichen der Deadline, ein Wartungsfenster nach Erreichen der Deadline.

Gruß, Thomas Froitzheim…