VDI vs. RDSH vs. DaaS, Single-User en Multi-User systemen... een introductie

Voor de meeste lezers, luisteraars en bezoekers van Come Get IT zal dit gesneden koek zijn. Toch valt het me op dat hier (zie titel) zo nu en dan verwarring over bestaat. Om je een voorbeeld te geven... het komt voor dat we minder technisch onderlegde sales mensen in de zaal hebben tijdens een van onze evenementen. Die weten soms niet wat VDI betekend, of wat het verschil is met een op RDSH gebaseerde oplossing. Na vandaag is alles helder, beloofd. Kortom: een technisch sales verhaal, deel 1.

Read more


De evolutie van de Active Directory

Wist je dat de Active Directory in het jaar 2019 20 jaar bestaat? De eerste contouren van Active Directory zijn in 1999 gepresenteerd tijdens de introductie van Windows 2000. In het jaartal 2019 kunnen we nog steeds niet zonder, sterker nog: we diepen de mogelijkheden steeds verder uit.

Wat is nu de Active Directory.

Eigenlijk is de Active Directory een samenvoeging van de functionaliteiten LDAP, Kerberos en DNS. Het protocol LDAP is ontwikkeld in 1975. De basis voor LDAP is X500, X500 zorgt ervoor dat we de hedendaagse Organizational Unit (OU) structuur kunnen gebruiken.

Onderhuids is Active Directory een database met een limitatie tot maximaal 16TB aan omvang en 2 miljoen objecten.

Windows 2003

In Windows Server 2003 is de Active Directory verder uitgediept en zijn er opnieuw functionaliteiten toegevoegd. Een belangrijke toevoeging was het vereenvoudigen van verschillende beheer werkzaamheden rondom Active Directory. Met de komst van Windows Server 2003 R2 is ook het beheer van Group Policies vereenvoudigd en sindsdien niet meer veranderd, los van diverse kleinere toevoegingen in functionaliteiten en mogelijkheden.

Windows Server 2008

In Windows server 2008 is Active Directory Federation Services toegevoegd. Hierdoor is het mogelijk geworden om een Single Sign-On ervaring aan te bieden. Een functionaliteit welke vandaag de dag bijna niet meer is weg te denken. Ook anno 2019 neemt het gebruik hiervan nog steeds toe.

Onderhuids werd ook de naam veranderd van Active Directory (AD) Active Directory Domain Services (ADDS), weliswaar een kleine nuance, wel een belangrijke - De kapstok waar Microsoft meerdere functionaliteiten kan aanhangen gerelateerd aan Active Directory

De inmiddels bekende Active Directory Prullenbak is toegevoegd aan Windows Server 2008 R2.

En verder

Na de naamswijziging (ADDS) is de Active Directory eigenlijk alleen nog maar belangrijker geworden.  Tegenwoordig hoef ik bijna niet meer uit te leggen wat de functie van de Active Directory is. De mogelijkheden zijn steeds uitgebreider. We verplaatsen dat maffe ding zelfs naar de Cloud.

Veiligheid

Bescherming van je Active Directory is van cruciaal belang. Het is de kern van je gehele bedrijfsnetwerk! Met een aantal eenvoudige en niet kostbare applicaties is het mogelijk om wachtwoorden te verkrijgen.
En dan zijn de gevolgen niet meer te overzien.

Tips:

  • Overweeg een Windows Server Core installatie van de domain controller.
    De stappen heb ik hier
  • Gebruik firewall regels, of externe firewalls om de domain controller te ontsluiten in je interne LAN.
  • Gebruik een managementserver (Ook wel bekend al, Steppingstone en/of Jumpserver) voor het beheer van de Active Directory.
  • Geef niet meer autorisaties uit dan nodig. Dat klinkt logisch maar ik zie nog bij te veel organisaties dat dit niet, of in ieder geval niet voldoende gebeurd.
    Bijvoorbeeld het niet scheiden van admin en “normale” medewerkers AD accounts.
    Zelfs bij grote organisaties kom ik dit nog teveel tegen.
  • Last but not least, gebruik een domain controller als een domain controller.
    Met andere woorden, voeg geen onnodige rollen toe of zelfs extra internet browsers.
    Dit maakt je omgeving alleen maar kwetsbaarder.

 


Welke rol speelt applicatie virtualisatie binnen een Hybride Cloud wereld?

In het hybride tijdperk, waarin we momenteel leven, wordt een grote mix aan applicaties gebruikt. Applicaties vanuit de Cloud (SaaS), mobiele en web applicaties en applicaties die we vanuit ons eigen datacenter aanbieden. Dit laatste wordt tegenwoordig ook wel de ‘traditionele’ manier van werken genoemd.

Mede hierdoor wordt het steeds belangrijker om na te denken over hoe we de data en toegang tot onze applicaties beter kunnen beveiligen.

Cloud?

Deze aanpak is (ook) uitstekend te combineren als er een werkplek vanuit de Cloud wordt gebruikt. Een endpoint zal altijd nodig zijn, en waarom dan niet eén gebruiken waar de gebruiker zich happy bij voelt. Dit, in plaats van het apparaat waarop wordt gewerkt zo veel mogelijk ‘dicht’ te zetten en de medewerker te bepreken in zijn of haar doen en laten.

Traditioneel

Wat hierbij goed aansluit is een vraag die ik (Bob) kreeg over hoe je omgaat met legacy (Windows) applicaties in een omgeving waarin veel SaaS applicaties worden gebruikt. Hierdoor worden bestaande applicatie en desktop virtualisatietechnieken in stand gehouden, althans zo lijkt het.

Laat ik beginnen met het feit dat ik de term legacy applicaties een slechte vind. Bij de meeste bedrijven zijn deze applicaties kritisch voor het bedrijfsproces en het wordt daarom niet gewaardeerd als je deze als ‘legacy’ bestempeld. Traditionele applicaties vind ik een betere term. Zeker wanneer je weet dat er elke dag nog Windows applicaties bijkomen. Verschillende onderzoeken bevestigen dit. Er komen eerder meer Windows apps bij dan dat er verdwijnen.

En hoeveel van deze applicaties kun je per jaar “verSaaSen”? Hoeveel heb je er daadwerkelijk in je organisatie? En hoelang ben je dan bezig? Dit is altijd een uitdagend traject omdat deze applicaties meestal diep in het bedrijfsproces verweven zitten. Een antwoord op de vraag hoe je hier mee om moet gaan, is dan ook niet eenvoudig te geven.

Virtualiseren

Een veelgebruikte methode is het toepassen van applicatie virtualisatie om ervoor te zorgen dat de gebruiker een SaaS ervaring krijgt bij het gebruik van de applicatie. Het enige wat immers telt is hoe de gebruiker het ervaart. Welke technologie er wordt gebruikt voor het aanbieden van de applicatie interesseert hem of haar niet. Dit wordt helemaal versterkt wanneer er een (Unified) Workspace aggregatie portal gebruikt wordt waar alle soorten applicaties, desktops en data bij elkaar komen zonder dat de gebruiker weet waar deze vandaan gestart worden.

Hybride

Wanneer je als bedrijf van plan bent om volledig naar de Cloud te gaan is dit bij de meeste bedrijven nog steeds een lange termijnvisie en zal er veelal worden gekozen voor een hybride oplossing. Er zijn helaas nog te veel applicaties die om diversen reden niet naar de Cloud te verhuizen zijn.

Hoe zit het bijvoorbeeld met de bijbehorende data? Kan en mag dat wel ‘zomaar’ worden verplaatst. Denk hierbij aan wet en regelgeving die dit mogelijk verbiedt. Er zijn ook technische reden zoals latency naar de backend of randapparatuur die ervoor zorgen dat een migratie naar de Cloud lastig is. In een aantal gevallen zijn de technische beperkingen nog prima op te lossen, maar dit zal voorlopig niet voor alle applicaties gelden. Daardoor is applicatie virtualisatie in mijn ogen (zeker in een hybride situatie) nog steeds de beste manier om ‘traditionele’  applicaties aan te bieden.

Dan volgt vaak de vraag over wat voor plek desktop virtualisatie hierin dan heeft? Er zijn genoeg usecases te bedenken waar dit een (of een deel van de) oplossing kan zijn, een mooi onderwerp voor een volgende blog. Maar als het gaat om het aanbieden van traditionele applicaties aan gebruikers die al in bezit zijn van een werkplek, dan zal de gebruiker meer gebaat zijn bij het ‘lokaal’ kunnen starten van applicaties.

Geschreven door Bob Molenaar.

 


LAPS maakt wachtwoordbeheer van lokale admin-accounts eenvoudig

In een ideale wereld hebben gebruikers en beheerders alleen de rechten en permissies die ze nodig hebben om hun werk uit te voeren. Helaas is dit niet het geval: er is ook een lokaal administrator-account, waar eigenlijk niet naar omgekeken wordt. Dit account heeft veel rechten/permissies, maar vaak geen uniek wachtwoord. Dat terwijl dit met LAPS van Microsoft snel op te lossen is.

Het lokale administrator-account is van groot belang. Wordt een server uit het domein gehaald, dan is het mogelijk om via dit account er weer in te komen. Het lokale administrator-account heeft mede om die reden ontzettend veel rechten en permissies.

Het is dan ook zorgwekkend dat het beheer van dit type account nog te wensen overlaat. Juist met het oog op server hardening, waar mijn collega Sander Bruijs onlangs over schreef, is het belangrijk dat anderen niet zomaar bij dit account kunnen komen.

Dat begint met een complex, uniek wachtwoord voor het account, dat regelmatig gewijzigd wordt. Maar als servers vanuit een template of via een geautomatiseerde methode worden uitgerold, is de kans groot dat ze allemaal hetzelfde wachtwoord gebruiken. Ontdekt een kwaadwillende dan het wachtwoord van één server, dan heeft hij ze voor allemaal, bijvoorbeeld ook die voor het systeem waar alle belangrijke bedrijfsdocumenten opstaan.


Bescherm jezelf met LAPS

De oplossing is dus eenvoudig: geef iedere server zijn eigen, complexe wachtwoord. Dit zorgt echter voor administratie waar de gemiddelde beheerder niet op zit te wachten. Laat staan het periodiek wijzigen van dit wachtwoord. Het is dan ook niet verrassend dat ik in passwordmanagers vaak een enkel wachtwoord voor de lokale administrator-accounts zie.

Microsoft zag dit probleem ook, en ontwikkelde een tool om het op te lossen. Met de zogenaamde Local Administrator Password Solution (LAPS) is het mogelijk om de wachtwoorden van de lokale administrators volledig geautomatiseerd en regulier te wijzigen.

LAPS maakt daarvoor gebruik van de Active Directory. Beheerders kunnen in een Active Directory Group Policy aangeven met welke frequentie een wachtwoord gewijzigd moet worden en andere eisen invoeren. LAPS wijzigt het wachtwoord vervolgens volgens die regels automatisch naar een unieke, gegenereerde variant. Het wachtwoord wordt daarna binnen Active Directory opgeslagen.

Om rekening mee te houden

LAPS vereist geen extra server(rol), omdat het een uitbreiding is op Active Directory. Daarentegen moeten alle servers wel een Group Policy Extension bevatten. Daarna is het mogelijk om de wachtwoorden centraal te beheren via een Group Policy Object (GPO).

Daarnaast kan het zo zijn dat er een back-up van een VM teruggezet moet worden, die waarschijnlijk een ouder wachtwoord heeft. Als dat wachtwoord niet ergens is weggeschreven, is het ook niet meer te achterhalen.

Het is mogelijk om LAPS-wachtwoorden automatisch op te laten slaan op een aparte plek voor dit scenario, maar daar moet dan wel een apart script voor worden geschreven.

Server hardening kan makkelijk zijn

LAPS maakt duidelijk dat bepaalde delen van server hardening behoorlijk eenvoudig kunnen zijn.  Bovendien is er nu geen excuus meer om het beheer van het lokale administrator-wachtwoord niet goed te regelen.

 


Homefolder Profielen naar OneDrive

De moderne (digitale) werkplek is hot, er wordt veel over gesproken, geschreven en gediscussieerd. Waar bestaat zo’n “werkplek” eigenlijk uit, welke toegevoegde en functionele waarde heeft het voor je gebruikers, hoe pak je een implementatie aan en meer.

OneDrive, bekend bij de meeste van jullie, maakt in veel gevallen een (belangrijk) onderdeel uit van deze nieuwe digitale werkplek. In dit artikel wil ik je helpen hoe je gebruiker profielen & homefolders kunt migreren naar OneDrive.

Online zijn een diverse artikelen te vinden over hoe je kunt migreren naar OneDrive, echter is deze informatie erg gefragmenteerd. Over het algemeen wordt er gebruik gemaakt van 3rd party tooling om migraties (naar OneDrive en andere  online opslagdiensten) te automatiseren door middel van scripting. De tool waar we vandaag gebruik van gaan maken heet “ShareGate”

Onderstaand neem ik de de migratiestappen puntsgewijs met je door. Voor het gemak ga ik er van uit dat je ShareGate als hebt geïnstalleerd en geconfigureerd.

  1. Inventariseren is belangrijk. Wil je folders uitsluiten? Vanuit welke bronnen migreer je, zijn het er meerdere – profielen en homefolders bijvoorbeeld. Maak een duidelijk overzicht zodat je goed in beeld hebt waar welke data te vinden is, om hoeveel data het gaat (in GB’s) en waar het heen gemigreerd moet worden.
  2. Voor je kunt migreren moeten er een licenties zijn toegewezen aan je gebruikers. Het is niet zoals met Office365 Exchange Online dat je al kunt beginnen met synchroniseren en dan later de licenties kunt toewijzen.
  3. Als je een licentie hebt toegewezen aan een gebruiker wordt de OneDrive niet automatisch aangemaakt zoals in Exchange Online. De gebruiker dient eerst in te loggen om de OneDrive aan te maken, het zogenaamde “provisionen”. Dit gebeurt geautomatiseerd op de achtergrond. Dit kun je uiteraard ook in bulk doen gebruikmakend van Powershell. Gebruik hiervoor het volgende Script:

Import-Module "Microsoft.Online.Sharepoint.PowerShell" -Force
$credential = Get-credential
Connect-SPOService -url https://tenantnaam-admin.sharepoint.com -Credential $credential
$InputFilePath = "C:\Temp\OneDrivePreProvision.csv"
$CsvFile = Import-Csv $InputFilePath
ForEach ($line in $CsvFile)
{
Request-SPOPersonalSite -UserEmails $line.User -NoWait
Write-Host Personal site provisioned for $line.User -ForegroundColor Yellow
}

*Format CSV:

User
user1@domain.com
user2@domain.com

*Dit script roept een zogenaamd pre-provisioning request aan. Het request wordt in een queue geplaatst. Het is dus niet zo dat het uitvoeren van dit script voldoende is. Nadat het script zijn werk heeft gedaan wordt het pre-provisioning request daadwerkelijk uitgevoerd. Afhankelijk van het aantal gebruikers kan hier dat enige tijd in beslag nemen.

  1. Je hebt schrijfrechten nodig op alle OneDrive folders binnen de tenant om de data te kunnen migreren. *Tip – Maak hier een generiek account voor aan zodat gebruikers geen argwaan krijgen als ze zien dat er “iemand” rechten heeft op hun OneDrive (zelf heb ik hier niemand over gehoord gedurende een migratie van 1000+ gebruikers maar je weet het nooit.)

Via een rapportagefunctie binnen ShareGate kun je alle OneDrive folders binnen je tenant opvragen en rechten toekennen. Het is wel belangrijk om eerst stap 2 en 3 af te ronden anders werkt dit niet.

  1. Gebruik een CSV om de homefolder/profile locatie en de OneDrive URL in het script te krijgen, mede om ervoor te zorgen dat alles op de juiste locatie terecht komt. Bijvoorbeeld:

DIRECTORY;ONEDRIVEURL
Y:\USERNAME\PROFILE;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/
Y:\USERNAME\HOMEFOLDER;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/

Een aantal tips om je CSV samen te stellen, gebruik deze PowerShell functie om eenvoudig je homefolders/profiles te inventariseren en in een CSV te krijgen:

Function Get-ChildItemToDepth {

                               Param(

                                               [String]$Path = $PWD,

                                              [String]$Filter = "*",

                                              [Byte]$ToDepth = 255,

                                              [Byte]$CurrentDepth = 0,

                                              [Switch]$DebugMode

                                               )

 

                               $CurrentDepth++

                                               If ($DebugMode) {

                              $DebugPreference = "Continue"

                                }

 

                               Get-ChildItem $Path | %{

                               $_ | ?{ $_.Name -Like $Filter }

 

                              If ($_.PsIsContainer) {

                              If ($CurrentDepth -le $ToDepth) {

 

                              # Callback to this function

Get-ChildItemToDepth -Path $_.FullName -Filter $Filter ` -ToDepth $ToDepth -CurrentDepth $CurrentDepth

                              }

                              Else {

                                              Write-Debug $("Skipping GCI for Folder: $($_.FullName) " + `

                                             "(Why: Current depth $CurrentDepth vs limit depth $ToDepth)")

                              }

                               }

               }

}

 

Export alle UPN’s naar een Excel bestand en voer vervolgens eerst het volgende uit:

Voorbeeld user: username@domein.nl

Vervang @domein.nl door _domein_nl/ zodat je het format username_domein_nl/ voor iedere gebruiker krijgt.

*Het voorbeeld gebruikt een .nl domein, dit kan natuurlijk ook .com of iets anders zijn.

Voeg daarna ‘https://tenant-my.sharepoint.com/personal/’ toe voor ‘username_domein_nl/    zodat je https://tenant-my.sharepoint.com/personal/username_domein_nl/ krijgt.

Voeg daarna de Excel files samen zodat je dit format hebt:

DIRECTORY;ONEDRIVEURL
Y:\USERNAME\PROFILE;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/

  1. Als laatste stap voer je het script uit zodat alles daadwerkelijk wordt geüpload naar OneDrive.
##### ############
#Import ShareGate module
Import-Module Sharegate
#Exclude source folders
$ExcludeFolders = "examplefolder","examplefolder"
#Set CopySettings Incremental
$copysettings = New-CopySettings -OnContentItemExists IncrementalUpdate
#Example CSV file with columns titled DIRECTORY and ONEDRIVEURL:
$csvFile = "C:\temp\example.csv"
#load the CSV file into a table
$table = Import-Csv $csvFile -Delimiter ";"
#Get credentials
$cred = Get-Credential
#Cycle through each row
foreach ($row in $table)
{
#connect to the destination OneDrive URL
$dstSite = Connect-Site -Url $row.ONEDRIVEURL -UserName $cred.UserName -Password $cred.Password
#select destination document library, named Documents by default in OneDrive, this is different for each language, double check this.
$dstList = Get-List -Name Documenten -Site $dstSite
#Get list for profile folder and exclude folders
foreach ($SourceFolder in $row.DIRECTORY)
    {
    $folders = Get-ChildItem -Path $SourceFolder -Exclude $ExcludeFolders
    }
#Import folders
 foreach ($folder in $folders)
 {
 $uriFolder = [System.Uri]$folder.FullName
 Import-Document -SourceFilePath $uriFolder -DestinationList $dstList -InsaneMode -CopySettings $copysettings
 Write-Host Uploaded Files for $row.Directory -ForegroundColor Yellow
 }
 }


Bye Bye Skype for Business Online, Hello Microsoft Teams!

De kogel is door de kerk; Microsoft neemt per 31 juli 2021 afscheid van Skype for Business Online (SfB). Daarmee is de stap om Microsoft Teams te positioneren als de belangrijkste communicatieapplicatie binnen het Office 365-landschap een feit. De samenvoeging van de Skype for Business Online-componenten in Microsoft Teams heeft ervoor gezorgd dat de mogelijkheden van de aparte Skype for Business Online-applicatie straks achterhaald zijn.

Het was sinds augustus 2018 al niet meer mogelijk om het “standalone” P1-abonnement van Skype for Business Online af te nemen.  Sinds 1 juli jongstleden is ook de P2-variant van het abonnement niet langer beschikbaar.  Vanaf 1 september 2019 kunnen gebruikers bovendien niet langer geactiveerd worden in Skype for Business Online, maar gebeurt dit standaard in Microsoft Teams. De optie om gebruikers aan SfB toe te voegen is voor nieuwe Office 365-omgevingen ook niet meer mogelijk. Bestaande Office 365-omgevingen waar Skype for Business Online gebruikt wordt, behouden de optie nog wel.

Roadmap

Er staan nog wel een aantal veranderingen in de roadmap om ervoor te zorgen dat Microsoft Teams alle functionaliteiten kan bieden die gebruikers nu gewend zijn van Skype for Business Online.

Gebruikers klagen tot nu toe namelijk veel dat er nog mogelijkheden in Microsoft Teams ontbreken, die wel in Skype for Business aanwezig zijn. Denk hierbij aan de mogelijkheden om te chatten met contacten die gebruik maken van de consumentenversie van Skype en de beschikbaarheidsindicator binnen de andere diensten en producten, zoals Outlook en SharePoint, die nu nog gevoed wordt vanuit Skype.

Aanpassingen

Bedrijven moeten op het gebied van telefonie wijzigingen doorvoeren op de eventuele lokale hardware - mocht hier gebruik van worden gemaakt - om mee te kunnen met de overstap naar Microsoft Teams.

Dit kan betekenen dat er wijzigingen nodig zijn in de “Session Border Controller” en eventueel in de firewall, als er gebruik gemaakt wordt van IP range-uitsluitingen. Zoals het er nu uitziet, wordt bij het overschakelen van Skype for Business Online naar Microsoft Teams op de backend van Microsoft alle parameters automatisch aangepast. Toch is een gedegen migratieplan en een OTAP-omgeving waar je de mogelijkheden in kunt testen, onmisbaar voor een verandering als deze.

De On-Premises Skype for Business server wordt vooralsnog nog niet afgeschreven maar je kunt er vanuit gaan dat ook hier (zeer) binnenkort het een en ander staat te gebeuren.

Uitdaging

Naast de technische veranderingen die dit met zich mee brengt, staat je organisatie wellicht ook voor een uitdaging op het gebied van adoptie om Microsoft Teams intern in te zetten. Hoe pak je dit het beste aan en welke middelen kun je hiervoor gebruiken? Microsoft Teams bevat namelijk veel meer mogelijkheden en dit kan zowel voor als tegen je werken.

Mocht je interesse hebben om meer te leren over Microsoft Teams, laat het weten via onze website en socials!

 

 


De voordelen van MDT en WDS ten opzichte van het Golden Image

Bij het uitrollen van Windows naar diverse laptops binnen een bedrijf, vertrouwden we jarenlang op het zogenaamde ‘golden image’. Maar ik kan jullie nu vertellen dat dit achterhaald is. Een veel efficiëntere aanpak bereik je door gebruik te maken van MDT en WDS.

Het golden image is bedoeld om een uniform basisimage te creëren vanuit waar je werkt. Dit was bijvoorbeeld nuttig in de tijd van Windows 7. Toen installeerde je het besturingssysteem op een laptop, maar kreeg je na de installatie bij het openen van Windows Update nog honderd updates die óók geïnstalleerd moesten worden en was je dus nog twee uur bezig. Maakte je daarentegen een golden image van de Windows-Machine mét alle updates, dan was je vrij snel klaar.

Het golden image is echter ingehaald door de tijd. Tegenwoordig hebben we Windows 10, waarbij je na installatie eigenlijk maar één update voor je kiezen krijgt. Bovendien is de hardware veel sneller geworden, waardoor het niet zo lang meer duurt om een update te installeren. Die update hoeft dus niet meer per se in een image te zitten.

Dat betekent dus dat Windows 10 zelf tegenwoordig het golden image is.

MDT

Er zijn andere manieren om uniforme Windows-installatie snel uit te voeren. Dit kan bijvoorbeeld met MDT (Microsoft Deployment Toolkit) of WDS (Windows Deployment Services), beide producten van Microsoft zelf.

MDT en WDS zijn geen nieuwe technologieën; de voorganger van WDS is RIS, die met Windows 2000 werd meegeleverd. MDT gaat ook al zo’n tien jaar redelijk onopgemerkt mee.

MDT komt met diverse voordelen. Zo is het gratis, in tegenstelling tot zijn volwassen broer System Center Configuration Manager (SCCM). Daarnaast kun je hier zelf enige logica inbakken bij het aanmaken van een basis-sequence. Heb je bijvoorbeeld een desktop van een specifiek merk en een specifiek model, dan weet MDT dat er een bepaalde driver geïnstalleerd moet worden. Bij een desktop van een ander merk pakt hij dezelfde driver, maar dan degene voor dat merk.

Bovendien is het mogelijk om direct software mee te nemen bij de uitrol, zodat er bijvoorbeeld automatisch Office geïnstalleerd wordt.

En dat bespaart een hoop tijd. Ik heb installaties samengesteld waarmee er in tien minuten Windows 10 op laptops stond. En dat geldt ook voor grote hoeveelheden installaties tegelijkertijd. Door het aanzetten van multi-casting kun je honderden apparaten tegelijkertijd van een nieuwe software voorzien, in evenveel tijd als wanneer je dat voor eentje doet.WDS

Ook WDS is een oplossing van Microsoft, maar wel eentje met veel minder mogelijkheden dan MDT. WDS is een gratis methode om over het netwerk te booten en Windows te installeren. Daardoor is het niet langer nodig om installatiemedia bij de hand te houden om Windows te installeren. Daarnaast is WDS snel op te zetten.

MDT en WDS kunnen samenwerken. MDT kan WDS namelijk gebruiken als bron voor installatiemedia bij het uitrollen van de software.

Ander voordeel van MDT en WDS is dat je het documenteert door te bouwen. Je hebt namelijk geen handwerk meer bij het opbouwen van Windows. Je script alles, waardoor je direct kunt zien wat er gebeurt. Je kunt dus achterhalen wat er allemaal geïnstalleerd is.

Dit voordeel bewijst zich bij de relatief snelle opvolging van nieuwe Windows 10 builds. Het is niet meer nodig om een bestaand image te upgraden of handmatig het nieuwe image opnieuw op te bouwen. Wijs MDT/WDS naar de nieuwe installatiebestanden en Windows wordt met de nieuwe build uitgerold.

 Golden image dood?

MDT en WDS komen dus met vele mogelijkheden, nu het golden image in de meeste gevallen niet langer vereist is bij de uitrol van Windows, en dan met name bij fysieke apparaten. Maar is het golden image dan helemaal achterhaald? Natuurlijk niet. Bij virtuele machines is het golden image nog altijd heer en meester, en ook bij diverse andere oplossingen blijft het een belangrijk concept.

Het golden image is bijvoorbeeld nog altijd handig als er op veel laptops software geïnstalleerd moet worden die daar veel tijd voor nodig hebben. Kost het uren om de software te installeren? Dan kun je het beter in het golden image plaatsen.

Daarnaast gebruik je een golden image bij bijvoorbeeld een Citrix Provisioning Server. In dat geval gebruik je een image die je naar verschillende servers dupliceert. Daarbij gebruik je echter wel een andere manier om hem te verspreiden dan bij Windows.

MDT, WDS en SCCM worden tegenwoordig zelfs met regelmaat in samenwerking met golden images gebruikt, namelijk om het golden image voor zowel fysieke als virtuele machines samen te stellen en te onderhouden.

 


Waarom PowerShell voor mij een uitkomst is bij het beheer van VM’s

Bij SBC Solutions gebruiken we graag PowerShell, dat voor diverse taken in te zetten is. Het is een ontzettend veelzijdige tool. Op het gebied van het beheer van virtuele machines (VM’s) bleek het bijvoorbeeld interessant te zijn op een manier waar ik nog niet eerder aan gedacht had.

Nog niet zo lang geleden had ik op een remote locatie een virtuele domeincontroller (DC) die problemen had. De DC probeerde nog wel verzoeken te authenticeren, echter slaagde dit niet. Hierdoor was het niet mogelijk om via een Active Directory (AD) account in te loggen op deze locatie, inclusief op de Hyper-V host. Ook de lokale accounts waren niet beschikbaar, waardoor de host niet toegankelijk was.

PowerShell bleek toen erg handig om dit op afstand alsnog voor elkaar te krijgen. PowerShell gebruikte namelijk een lokale DC bij PSRemoting voor de authenticatie, in plaats van de DC op de remote locatie. Hierdoor was het opeens wel mogelijk om te verbinden naar de Hyper-V host met een AD account en de virtuele machine te herstarten. Hierdoor heb ik kunnen voorkomen dat iemand naar de locatie moest en dat de machine hard herstart moest worden.

VM’s beheren

Natuurlijk is dit een voorbeeld dat (hopelijk) niet al te vaak voorkomt maar het was wel een moment dat ik erg blij was dat ik PowerShell gebruikte voor het beheren van virtuele machines. En dat ben ik vaker geweest. 

PowerShell maakt het namelijk een stuk eenvoudiger om VM’s te beheren, doordat veel taken te automatiseren zijn. Daarbij is het ook mogelijk om eigenschappen van andere VM’s mee te nemen. Daarnaast kun je VM’s in batches aanmaken, wat veel minder interactie vereist.

En dan is het ook nog eens mogelijk om restricties te leggen op welke scripts er in een VM gebruikt mogen worden. Zo is het mogelijk om aan te geven dat alleen scripts die ontwikkeld zijn met de juiste rechten in een bepaalde omgeving uitgevoerd mogen worden. Dat is een handig stuk beveiliging, wat op deze manier eenvoudig in te zetten is.

Universeel

De voornaamste reden dat ik graag voor PowerShell kies ten opzichte van andere tools, is echter dat het universeel op Windows toepasbaar is. Op het moment dat jij dingen in PowerShell zet, werkt dat hetzelfde op bijvoorbeeld Windows Server 2012 (R2) als op 2016, 2019 of Windows 7 of 10. Er zitten geen verschillen in hoe dingen aangesproken worden.

Bovendien is het tegenwoordig ook mogelijk om zelfs vanaf Linux- en Apple-apparaten met PowerShell te werken. Dan kun je dus vanaf een Linux-machine een Azure-omgeving beheren, waar je vervolgens weer Linux-machines kunt hebben draaien. Daardoor is het echt een universeel platform voor beheerstaken, ook als je geen Windows wilt gebruiken.

 


Verslag Microsoft Ignite the Tour Amsterdam

De nieuwe oplossingen van Microsoft: waarom heeft niemand dit eerder bedacht?

Samen met mijn collega’s was ik dit jaar aanwezig op Microsoft Ignite The Tour 2019, gehouden op 20 en 21 maart in Amsterdam. Helaas was ik niet in staat om beide dagen aanwezig te zijn, waardoor ik de presentatie over de  Windows Virtual Desktop op donderdag heb moeten missen. Mijn collega Bas van Kaam heeft hier eerder al uitgebreid over geschreven. Gelukkig was er op woensdag wel genoeg te zien en horen wat dat mij de oren deed spitsen.

Azure Sentinel

Eén van die onderwerpen is Azure Sentinel, de eerste SIEM-oplossing van Microsoft, inclusief een directe integratie met Azure. Met deze oplossing wordt machine deep learning ingezet om risico’s en bedreigingen op te sporen en te analyseren binnen je omgeving en te stoppen voor ze voor serieuze schade zorgen.

Door de schaalbaarheid van de Azure Cloud heeft Azure Sentinel, in ieder geval in theorie, altijd een enorme berg rekenkracht tot zijn beschikking (en dus voor de klant). Daarmee is het in één klap een serieuze speler op de markt en het is bovendien interessant dat de oplossing niet ophoudt bij Azure. Je kunt Azure Sentinel namelijk ook on-premises inzetten wat het nog aantrekkelijker maakt voor organisaties.

Azure Sentinel is op dit moment een jaar lang gratis te gebruiken voor klanten met een Azure-abonnement.

Azure File Sync

Minstens net zo interessant is Azure File Sync dat bestanden van je on-premises Windows file-server repliceert naar een Azure file share (zonder dat hiervoor een daadwerkelijke File Server ingericht hoeft te worden, in tegenstelling tot on-premises). Daardoor hoeft er niet langer gekozen te worden tussen de voordelen van de Cloud en de voordelen van de on-premises file-server maar kun je van beide gebruik maken. Natuurlijk is deze dienst volledig geïntegreerd in Azure, waardoor de ervaring vrij naadloos kan verlopen.

Deze dienst is echter ook te gebruiken als back-up- en disaster recovery-oplossing. Daarbij heeft het als voordeel dat het na een eerste volledige synchronisatie naar de Azure Cloud het alleen ‘hot files’ synchroniseert.

Staan er na de synchronisatie bestanden binnen jouw organisatie die niet of nauwelijks gebruikt worden, dan worden die in eerste instantie met rust gelaten. Alleen de bestanden die vaak gebruikt worden, worden ook gesynchroniseerd. Dat heeft als voordeel dat er minder dataverkeer plaatsvind, wat kosten kan besparen.

Wel heeft Azure File Sync één nadeel: er is nog geen Linux-ondersteuning. Voor organisaties echter die met Windows Sever file-servers werken (end at zijn er nogal wat, zeker in het MKB) is dit naar mijn mening zeker een oplossing die het overwegen waard is.

Azure Cloud Shell

Er zijn van die oplossingen waarbij je tijdens de aankondiging denkt: “Waarom heeft niemand dit eerder bedacht?” Azure Cloud shell is voor mijn zo’n oplossing. Met Cloud Shell kun je in een browser een command-sessie starten voor een Cloud omgeving waarin je onderhoud of beheer wil uitvoeren zonder dat je daar een aparte remote PowerShell-sessie voor hoeft op te zetten. Dat is wat mij betreft gewoon fantastisch.

Verder is het mogelijk om met meerdere programmeertalen te werken, dus niet alleen met PowerShell. Je kunt ook met onder meer Bash, .NET en Python aan de gang waardoor je meerdere platformen kunt bedienen

Bij het eerste gebruik vraagt Azure Cloud Shell bovendien om een file share aan te maken in Azure Files - of om een bestaande te koppelen - om je data te behouden in meerdere sessies. Azure Cloud Shell koppelt die file share dan weer automatisch bij volgende sessies. Dit is bijvoorbeeld handig als je van bestanden gebruik maakt die je nodig hebt om commando’s uit te voeren. Die kun je bij iedere sessie er direct weer bij pakken, zonder dat je weer opnieuw verbinding moet maken.

Cloud Shell lijkt daarmee de volgende stap te zijn in het volwassen worden van het managen van Clouddiensten via de command line.

Secure Score

Tot slot viel Secure Score mij op tijdens die woensdag in maart. Deze dienst is niet nieuw maar naar mijn mening misschien wel nog wat onderbelicht. Secure Score biedt de Office 365-beheerder een hele makkelijke manier om de beveiliging (score) van je organisatie te visualiseren.

Op basis van de berekende score geeft het ook een aantal suggesties om die score te verhogen, denk hierbij bijvoorbeeld aan een indicatie of Multi-Factor Authentication voor (privileged) accounts is aangezet. Hoe hoger de score, hoe beter je beveiliging is. Grafisch wordt duidelijk weergegeven wat je moet doen om een bepaalde baseline van beveiliging te creëren en te behouden. Op die manier krijg je heel eenvoudig veel, en snel inzicht.

Op de roadmap voor Secure Score staan voor de (nabije) toekomst integratie met Windows Defender ATP’s Threat and Vulnerability Management en een verder verbeterde layout die het voor zowel beheerders als security professionals makkelijker maakt hun Azure Cloud omgeving goed beveiligd te houden.

Op naar de volgende Ignite!

 


Office 365 Network Performance Assessment

Waarom is mijn Office 365 zo traag?

Helaas kan ik er niet vanuit gaan dat jij deze vraag niet met regelmaat hebt ontvangen.

Begin januari heeft Microsoft een portaal aangeboden waarop je, je snelheid kunt analyseren en vergelijken met je eigen interne omgeving.
Hier vind je de portaal -> https://o365networkonboarding.azurewebsites.net/ 

Deze tool is in eerste instantie bedoeld om de dichtstbijzijnde “Service Front Door” voor Office 365 te vinden. Dit helpt je inzichtelijk te krijgen hoe het netwerk verkeer vanuit je organisatie of werklocatie richting Office 365 gaat.

Service Front Doors

Service Front Doors zijn zogenaamde points-of-presence waar verkeer bestemt voor Office 365 binnenkomt bij Microsoft. Bij het instellen van Office 365 voor een organisatie zijn er veel factoren die van invloed kunnen zijn voor wat betreft het optimaliseren van het (netwerk) verkeer. Gezien de grote hoeveelheid aan componenten binnen een modern bedrijfsnetwerk, verdient dit de aandacht.

Verstoringen op het netwerk kunnen uiteindelijk leiden tot een negatieve gebruikers ervaring.

Een aantal tips
  • Stabiele internet browser: Niet iedere browser is geschikt voor Office 365. Natuurlijk zullen de portalen werken, maar ga je voor de meest stabiele en positieve ervaring kijk dan op -> https://support.office.com/en-us/article/which-browsers-work-with-office-online-ad1303e0-a318-47aa-b409-d3a5eb44e452
  • Bureau keuze: Flex werken komt overal voor, maar je keuze in je bureau locatie kan invloed hebben op het gebruik van Office 365. Is bijvoorbeeld je Wifi dekking niet optimaal dan ga je dat zeker merken in je Office 365 gebruik. Zeker als je veel audio en/of video vergaderingen hebt.
  • Het gebruik van Proxy oplossingen: Microsoft adviseert om geen proxy oplossingen in het netwerk op te nemen. Als deze toch worden gebruikt dan is het advies om het verkeer naar de Microsoft “Service Front Doors” transparant door te laten.
  • Gebruik van een “Veilig” VPN: Het gebruik van een VPN oplossing kan je Office 365 gebruik negatief beïnvloeden. Indien je als organisatie een veilige VPN oplossing aanbied, maak dan de overweging om het verkeer richting Microsoft via het lokale internet te sturen en niet over, of door de VPN tunnel.

Mocht je naar aanleiding van het bovenstaande vragen en/of opmerkingen hebben, laat het mij of een van mijn collega’s weten. We wisselen graag eens van gedachte met je. Onder het genot van een kopje koffie, of een glas bier, ons maakt het niet uit!