Archive for June 2009

Deployment af Windows 7 – SCCM 2007 Part 2

SCCM 2007 SP1 – SCCM R2 og hotfix KB970093, er blevet installeret. jeg nu klar til at grundkonfigurere SCCM.
Jeg vil her starte med at forberede mit SCCM site til at køre i native mode.
Det kræver en PKI infrastruktur. Jeg har en enterprise certifikat server kørende på en Windows 2008 R2 DC’er (Windows 2003 eller Windows 2008 er også helt ok).
Fordelen ved at vælge en enterprise løsning, er at det interne rod certifikat automatisk bliver installeret ude på de enkelte SCCM klienter.
Jeg vælger i dette setup, at implentere følgende certifikat typer.
Site Server Signing Certificate – Web Server Certificates – Client Computer Certificates.

Site Server Signing Certificate:
Jeg starter her Certification Authority Console på min ene DC’er og højre musetaster på  Certificate Templates.
Jeg vælger manage og “Certificates Templates Console” bliver herefter åbnet.

Marker Computer og vælg “Duplicate Template”.

Vælg “Windows 2003 Server, Enterprise Edition”.

Skriv nyt template navn som feks. “ConfigMgr Site Server Signing Certificate”

Klik på “Request Handling” fanebladet og vælg “Allow private key to be exported”.

Klik på “Issuance Requirements” fanebladet og vælg “CA certificate manager approval”.

Gå til “Subject Name” fanebladet og vælg “Supply in the request”.

Gå til “Extensions” fanebladet, marker “Application Policies” og vælg Edit.

Marker “Client Authentication” og “Server Authentication” og vælg Remove.

Klik herefter “Add” og vælg “Document Signing” – Ok – Ok – Ok.

Luk herefter “Certificate Templates Console”.
Højre musetast på “Certificate Templates” og vælg “Certificate Template to Issue”.

Vælg den føroprettede “ConfigMgr Site Server Signing Certificate” template.

Næste step, er at “Requesting the Site Server Signing Certificate” for SCCM serveren.
Log ind på SCCM serveren og kopier nedenstående ind i en tekstfil.
Husk at tilrette site-code til dit miljø. I mit tilfælde er <site-code> WIN (Subject = “CN=The site code of this site server is WIN”).

[NewRequest]
Subject = “CN=The site code of this site server is <site-code>”
MachineKeySet = True
[RequestAttributes]
CertificateTemplate = ConfigMgrSiteServerSigningCertificate

Gem tekstfilen med navnet “sitesigning.inf” i en given folder, som feks “C:CA_Request”.
Åben en command prompt og gå til CA_Request folderen.
skriv følgende kommando og tryk enter.
certreq –new sitesigning.inf sitesigning.req

Skriv herefter følgende kommando og tryk enter.
certreq –submit sitesigning.req sitesigning.cer

Vælg Root CA og tryk Ok.
 

Noter “RequestId”. I mit tilfælder er det 68.
Gå tilbage til DC’eren og åben “Certification Authority Console” og vælg “Pending Requests”.

Højre musetast på det “requested certificate” og vælg “All Tasks” – Issue.

Gå tilbage til SCCM serveren og skriv nedenstående kommando i en cmd prompt.
I dette eksempel er mit RequestId = 68
certreq –retrieve <RequestId> sitesigning.cer

Vælg igen Root CA.

Skriv til sidst følgende kommando, for at installere certifikatet i “personal cert store”.
certreq –accept sitesigning.cer

Vi har nu installeret “site server signing” certifikatet.
 

Hvis man får senere får nedenstående fejli SCCM, skal man eksportere certifikatet med “private key”.
Slet herefter det eksisterende certifikat og importer det igen med “private key”.
SMS Policy Provider has failed to sign one or more policy assignments

Reference til ovenstående.
http://technet.microsoft.com/en-us/library/bb680312.aspx

Opsætning Af RRAS Server – SSL VPN

Med Windows 2008 RRAS får man mulighed for at benytte en ny type VPN forbindelse, som kaldes SSTP (Secure Socket Tunneling Protocol).
Den lytter på port 443 og brugerne kan udefra, etablere en SSTP VPN forbindelse på tværs af firewalls og NAT devices.
Krav til klienter er Vista SP1, Windows 2008 eller Windows 7. For mere info se nedenstående link.
http://technet.microsoft.com/en-us/magazine/2007.06.cableguy.aspx

Konfiguration af RRAS VPN server, sker som følger:
Installer en ny Windows 2008 server x64 + SP2 + fuld windows update + 2 netkort + disable IPv6.
Omdøb de 2 netkort som henholdsvis LAN og DMZ og angiv faste IP addresser.

LAN (Internt LAN):
IP = 192.168.35.30
Subnet = 255.255.255.0
Gateway = blank
DNS = interne DNS adresser

DMZ (Peger ud i DMZ)
IP = 192.168.36.30
Subnet = 255.255.255.0
Gateway = 192.168.36.1
DNS = Blank

Join serveren til det interne domæne. Hvis man har en enterprise CA server internt på LAN’et, får den nye RRAS server dynamisk et computer certifikat.
Dette vil default konflikte med RRAS SSTP setup. Det er her vigtigt først at eksportere dette og slette det inde fra “Certificates (local computer) – Personal”.
Vi er nu klar til at lave vores eget FQDN SSL certificate, som bliver det navn, som brugerne udefra connecter op mod udefra, feks. “vpn.jravn.dk”.
Jeg udsteder mit eget SSL certifikat fra en Windows 2008 CA og impoterdere det som et pfx certificate i serverens “Certificates (local computer) – Personal” cert store.
Det kræver at brugerne har det interne Root Certificate ude på maskinerne.

Næste step er så installere RRAS. Vælg Server Manager – Roles – Add Roles og tjek, som vist på nedenstående billeder.



Vi er nu klar til at konfigurere RRAS med henblik på SSTP.
start “Routing and Remote Access Console – Højre musetast og vælg Configure Routing and Remote Access – Next.

Vælg Remote access (Dial-up or VPN) – Next.

Vælg VPN – Next.

Vælg Public LAN Interface (DMZ) – Next.
Det er vigtigt, at sætte hak i “enable static packet filter” for optimeret sikkerhed, idet serveren kun vil svare på trusted VPN traffik.

Jeg vælger her at SSTP klienterne automatisk for tildelt en DHCP adresse – Next.

Jeg vælger “Local Windows Authentication” – Next – Finish.

Vælg til sidst OK til DHCP relay.

Vi er nu færdige med RRAS installation og konfiguration.
Jeg tjekker herefter at der åben i firewallen på port 443 fra WAN til DMZ (kun til RRAS serveren).
Med kommandoen “netstat –aon | findstr 443”, sikre jeg mig, at SSTP servicen lytter på port 443.
Den viser det her både for IPv4 og IPv6.

Jeg tjekker også at SSTP servicen er koblet til det rigtige certifikat. Det gøres med nedenstående kommando.

Hvis man benytter et certifikat fra en intern Enterprise CA, som jeg har gjort i dette test-setup, vil man få nedenstående fejl, når man laver sin SSTP connection.

Kort fortalt betyder det, at klienten tjekker CRL (certificate revocation list) om certifikatet er udløbet. Dette sker inden VPN forbindelsen er etableret.
Dette kan undgås ved at købe et public SSL certifikat fra feks. Godaddy eller ved at disable CRL tjek ude på klienterne via nedenstående reg-nøgle.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSstpSvcParameters]
“NoCertRevocationCheck”=dword:00000001

Jeg får herefter lov at connecte via SSTP.

Referencer til denne blog-post.

SSTP Remote Access Step-by-Step Guide:
http://technet.microsoft.com/en-us/library/cc731352(WS.10).aspx

How to troubleshoot Secure Socket Tunneling Protocol (SSTP)-based connection failures in Windows Server 2008:
http://support.microsoft.com/kb/947031

Registry entries that Routing and Remote Access adds in Windows Server 2008:
http://support.microsoft.com/kb/947054

Client fails to connect to SSTP VPN server giving error message 0x80092013:
http://support.microsoft.com/kb/961880/EN-US

Microsoft Security Essentials 1.0.1407.00 Public Beta

Download af Microsoft Security Essentials Beta er blevet lukket p.t.
http://social.answers.microsoft.com/Forums/en-US/msestart/thread/5650c498-24b3-466f-af0b-9789d42ec239

Men du kan stadigvæk hente den via nedenstående link.
http://www.softpedia.com/get/Antivirus/Microsoft-Security-Essentials.shtml

For mere info omkring Microsoft Security Essentials (MSE), se dette link.
http://www.winsupersite.com/win7/mse_beta.asp

Microsoft Security Essentials forum.
http://social.answers.microsoft.com/Forums/en-US/category/mse

Domain Upgrade – Windows 2008 R2 Release Candidate

Der kommer en lang række nye AD features i Windows 2008 R2.
Nedenstående lister et par stykker af dem (relateret til AD) med link til en mere detaljeret beskrivelse.

Active Directory Recycle Bin:
Man kan nu restore AD objekter uden nedetid. Denne funktion kræver R2 forest functional level.
http://technet.microsoft.com/en-us/library/dd391916.aspx

Active Directory PowerShell and Windows PowerShell™ cmdlets:
Disse funktioner vil erstatte command line og give native support for AD management via Powershell.
Der er p.t ca. 85 Active Directory cmdlets.
http://technet.microsoft.com/en-us/library/dd378783.aspx

Active Directory Administrative Center:
Er det nye MMC Management Console , som bliver afløseren for ADUC.
Det giver et bedre overblik og man har muliged for at tilrette det, så det passer til ens dagelige drift opgaver.
Det baserer sig på de nye PowerShell cmdlets.
http://technet.microsoft.com/en-us/library/dd378856.aspx

Active Directory Best Practices Analyzer
http://technet.microsoft.com/en-us/library/dd378893(WS.10).aspx

Jeg vil i denne blog-post fokusere på opgraderingen af mit eksisterende Windows 2008  til Windows 2008 R2 RC.
For god ordens skyld, skal man ikke følge denne blog-post i sit eget produktionsmiljø, før Windows 2008 R2 er i RTM.
Første step er at schema-udvide mit eksisterende AD til version 47.
Jeg kører her nedenstående kommandoer på min FSMO DC (WIN-DC-001).

adprep.exe /forestprep (Schema Master)
adprep.exe /domainprep /gpprep (Infrastructure Master)
adprep.exe /rodcprep (Valgfri – Infrastructure Master)

Med kommandoen “schupgr” kan jeg vertificere at schema udvidelsen er korrekt.
Alternativt kan jeg benytte: “dsquery.exe * “CN=Schema,CN=Configuration,DC=win,DC=local” -scope base -attr objectversion”
http://msdn.microsoft.com/en-us/library/cc200395.aspx

 

Jeg  Installerede herefter den første Windows 2008 R2 (WIN-DC01) og kørte “dcpromo /adv” (DNS + GC).
WIN-DC01 er en såkladt swing server, som bliver demotet, så snart jeg har fået WIN-DC-001 og WIN-DC-002 op på Windows 2008 R2 platformen.
Jeg afviklede herefter den nye “Best Practice Analyzer” (BPA), som default følger med Windows 2008 R2.
Den bliver afviklet under Server Manager – Roles – Active Directory Domain Services.
Jeg kørte den mod min nye 2008 R2 DC, for at sikre mig, at den nuværende rolle (AD DS) fungerede korrekt.

  

De Roller der p.t understøttes af “Windows 2008 R2 BPA”, er som følger:
Active Directory Domain Services
Active Directory Certificate Services
DNS Server
Active Directory Rights Management Services (AD RMS)
Remote Desktop Services
Web Server (IIS)

I BPA GUI mode er det kun muligt at scanne en rolle af gangen.
Med PowerShell cmdlets, skulle man kunne scanne flere af gangen.
Jeg fik det ikke til at virke via PowerShell, idet jeg ikke kunne finde BPACmdlet (Get-Help BPACmdlet -full).
Jeg prøvede også at finde den via kommandoen “Get-Command -CommandType Cmdlet”.
http://technet.microsoft.com/en-us/library/dd378893.aspx

Næste step var så at lave en backup af min Enterprise Root CA, som jeg senere vil restore på en ny Windows 2008 R2 DC med samme navn.
http://support.microsoft.com/kb/298138

Flytning af DHCP sker i henhold til nedesntående process.
Eksport DHCP fra WIN-DC-001 (Windows 2008)
netsh DHCP server export c:MasterDHCPdb all

Import DHCP til WIN-DC01 (Windows 2008 R2).
Installer DHCP server – Stop DHCP service – Slet dhcp.mdb – Start DHCP service.
netsh DHCP server import c:MasterDHCPdb all
http://support.microsoft.com/kb/962355/en-us

Jeg ønsker herefter at flytte FSMO rollerne fra WIN-DC-001 til WIN-DC01 (R2). Jeg sikre mig forinden at det WIN-DC-001 der har alle rollerne.
Dette gøres normal med “netdom query fsmo”. Men det kan også gøres via PowerShell.
Samtidig fik jeg også testet den nye PowerShell GUI (ISE)
http://technet.microsoft.com/en-us/library/dd378784.aspx

Jeg kunne ikke finde en native AD cmdlets, der kunne liste FSMO rollerne.

Flytning af FSMO rollerne over til min nye R2 DC (WIN-DC01), udføres via NTDSUTIL, som følger:
Bermærk her at kommandoen “activate instance ntds” er ny for Windows 2008 og R2, samt “domain naming master” nu er ændret til “naming master”.

ntdsutil
activate instance ntds
roles
connections
connect to server WIN-DC01
q
Transfer naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
q
q

Jeg Installerer nu en ny R2 DC’er (WIN-DC-002), som også er DNS + GC.
Jeg demoter herefter min oprindelige windows 2008 DC’er (WIN-DC-001) og slukker den.
Jeg havde forinden taget en backup af certifikat rollen.

Jeg er nu klar til at installere en min nye WIN-DC-001 R2 dc’ere, som skal hoste FSMO rollerne, samt “Enterprise CA Service Provider.
Jeg restorer “Enterprise CA” i henhold til nedenstående KB artikel. Det er vigtigt at den nye CA server har det samme computername, som den tidligere CA server.
http://support.microsoft.com/kb/298138

Jeg vælger herefter at flytte FSMO rollerne via AD cmdlets “Move-ADDirectoryServerOperationMasterRole”. Jeg afvikler nedenstående fra WIN-DC-001.
Start Active Directory PowerShell (Run as administrator). Kør nedenstående kommando.
Move-ADDirectoryServerOperationMasterRole -Identity WIN-DC-001 DomainNamingMaster,InfrastructureMaster,RIDMaster,PDCEmulator,SchemaMaster
Nedenstående billeder viser at FSMO rollerne bliver flyttet.


 

Flyt Windows Time Service sker med nedenstående kommandoer:
w32tm /config /manualpeerlist:”0.dk.pool.ntp.org 1.dk.pool.ntp.org 2.dk.pool.ntp.org” /syncfromflags:manual
w32tm /resync /nowait /rediscover

Kør net stop w32time + net start w32time. Tjek eventloggen og se at den laver time-sync uden fejl.
http://jravn.dk/?p=86

Jeg sikre mig at “Domain Controllers gruppen er medlem af “Certificate Service DCOM Access gruppen”.

 

Jeg demoter herefter WIN-DC01.
Jeg schedulerer backup for mine to nye DC’er WIN-DC-001/002.
wbadmin.exe start backup -backuptarget:\WIN-FIL-001DC_Backup -allCritical -VSSfull -quiet

Jeg afslutter hele processen med at opgradere domain og forest functional level til Windows 2008 R2.
Det vælger jeg, at gøre inde fra “Active Directory Administrative Center”.






Deployment af Windows 7 – SCCM 2007 Part 1

Med System Center Configuration Manager 2007 (SCCM), får man et samlet værktøj til at styre klienter og servere på netværket.
Man kan således lave ZTI/Bare Metal Windows Deployment, Software Deployment/Application Managemet, Patch Management (WSUS) og Hard/Software Inventory mfl.
For mere info omkring de enkelte features se nedenstående link.
http://www.microsoft.com/systemcenter/configurationmanager/en/us/overview.aspx

I forbindelse med udgivelsen af den nye Windows 7, vil jeg her prøve at opsætte og teste et deployment senario.
Dette er baseret på en Zero Touch installation (ZTI) af Windows 7 og Office 2007.
I denne blog-post vil jeg her fokusere på forberedelse og Installation af SCCM 2007.

Inden jeg installerer SCCM, vælger jeg forinden, at schema udvide mit eksisterende AD Schema.
Kør en command prompt med “Run As Administrator” fra den DC’er der har FSMO rollerne.
Gå til følgende sti fra SCCM DVD’en eller ISO filen. “SMSSETUPBINi386”.
Kør ExtADSch.exe.

Tjek herefter ExtADSch.log i roden af C-drevet, om der er nogle fejl.

Reference til ovenstående.
http://technet.microsoft.com/en-us/library/bb633121.aspx

Næste skridt er, at lave en “System Management Container” i Active Directory Domain Services. Dette sker ikke automatisk ved Schema udvidelsen.
Start ADSIEdit og connect til “Default naming context”. Gå til “CN=System” og højre musetast, vælg New – Objeckt – Container – Next.
I value feltet angives System Management. Vælg Next – Finish

Reference til ovenstående.
http://technet.microsoft.com/en-us/library/bb632591.aspx

Som afslutning til Schema udvidelsen, må vi tilføje de nødvendige rettigheder til System Management containeren som vi lige har oprettet.
Start ADUC og vælg “Advanced Features”. Højre musetast på “System Management” under System containeren og vælg properties.
Gå til “Security” fanebladet og tilføj SCCM serveren med “Full Control”

Vælg herefter Advanced knappen og marker SCCM server objektet.
Klik Edit og vælg  “This Object and all descentdant object” (This object and all child objects) i “Apply onto” dropdown boksen.

Reference til ovenstående.
http://technet.microsoft.com/en-us/library/bb633169.aspx

Jeg er nu klar til at installere de såkaldte Prerequisit til SCCM serveren, som omfatter IIS, BITS og WebDAV extensions.
Min SCCM server, er en Windows 2008 SP2 x64 + Full Windows Update.
Jeg antager her, at man i forvejen har en kørende SQL 2005 (SP2/SP3)/2008 og WSUS 3.0 SP1 server i ens miljø.

Jeg kører nedenstående cmd-fil på SCCM serveren.

REM *******SCCM_PRE.cmd***********
ServerManagerCmd -i Web-Server
ServerManagerCmd -i Web-Static-Content
ServerManagerCmd -i Web-Asp-Net
ServerManagerCmd -i Web-ASP
ServerManagerCmd -i Web-Mgmt-Compat
ServerManagerCmd -i Web-Windows-Auth
ServerManagerCmd -i BITS
ServerManagerCmd -i RDC

Download og installer herefter WebDav x64.
http://learn.iis.net/page.aspx/350/installing-and-configuring-webdav-on-iis-70/

Konfigurer WebDav i henhold til nedenstående link.
http://technet.microsoft.com/en-us/library/cc431377.aspx

Tilmeld SCCM computer objektet til den lokale administrators gruppe på SQL og WSUS serveren.
Installer Windows Deployment Services (WDS) uden at konfigurere den (default settings).
Installer “WSUS Administration Console only” og genstart serveren.
http://www.microsoft.com/downloads/details.aspx?familyid=9E89E4EF-00A8-4193-8997-FE4E92215A57&displaylang=en

Jeg er nu nået til det punkt hvor jeg kan installlere “Configuration Manager 2007 SP1”.

Vælg “Install a Configuration Manager site server” – Next – “I accept these license terms” – Next – Custom settings – Next – Primary site – Next.
Vælg “No, I do not want to participate right now” – Next – Product Key – Next.
Jeg vælger her at installere SCCM på D-drevet.

Jeg angiver site code og site name.

Jeg vælger p.t at sætte SCCM i Mixed Mode.

Jeg vælger her default settings.

Jeg angiver SQL server og navn på database.

SMS Provider = WIN-SCCM-001
Install a management point = WIN-SCCM-001.win.local
Use the default port (80) – Next – Check for updates – Next.
Jeg opretter her en overordnet folder som jeg kalder WIN_SCCM_CONF og sharer ud med domain admins = full control.
Under WIN_SCCM_CONF folderen opretter jeg en underfolder som jeg kalder Downloads.

Forsæt med installationen og vent indtil den afsluttes.

Installationen afsluttes og jeg kan nu installere SCCM R2 opdateringen. Denne installation kræver ikke nogen Schema Udvidelse.
Den samlede installation af SCCM afslutter jeg med at installere hotfix KB970093.
Denne hotfix har support for Vista SP2 og Windows 2008 SP2.
http://support.microsoft.com/kb/970093