Crankdesk on CMCE 1612

Neuer Tag, neue community. Heute bin ich auf der CMCE1612 in Zürich. Ich werden in diesem Artikel wieder den ganzen Tag über das Event berichten, sollte mein Akku mithalten und es ab und wann eine Steckdose geben 😉

Die Microsoft Cloud – Marc Holitscher / Microsoft

Gestartet wird der heutige Tag mit einer Keynote von Marc Holitscher / Microsoft. Er startete seinen Vortrag mit einer einigen Luftaufnahmen der Microsoft Azure Datacentren. Man erhält dadurch schon einen Eindruck über die Dimensionen, die es braucht ein Azure Datacenter aufzuziehen.
Im Anschluss zeigte er uns die Argumentationskette auf, die Microsoft heute mit Kunden führt, wenn es darum geht Kundensysteme- und Daten in die Cloud zu heben.
Dabei ging es unter anderem um die strategische Planung, die Definition der Anforderungen, die Risikoanalyse und letztlich den Betrieb des Projektes.
Dann gab es einen kleinen Schwenk auf Office 365 und die Vorstellung einer neuen Funktion im O365 Dashboard. Hier stehen seit neuestem Funktionen zur Analyse von Sicheheits-und Compliance Anforderungen zur Verfügung. Unter anderem eben auch eine Sammlung von Audit-Reports, die Kunden nutzen können um Ihre eigenen Implementierungen gegen Anforderungen verschiedener Gremien und Behörden zu prüfen.
Weiterhin ist in dem O365 eine Dokumentation hinterlegt, wie Kontrollen in den Microsoft Rechenzentren durchgeführt worden sind. Als Beispiel wurde gezeigt, wie die beschrieben Kontrollen der verschiedenen ISOs konkret in den Azure Rechenzentren durchgeführt wurden.
Nach der Vorstellung der Security Audits warf Marc die Zahl 229 an die Wand. So lange dauert es nach seiner Darstellung, bis ein Hacker-Angriff auf das interne Netzwerk identifiziert wurde. Die Zeiten, in denen das Netzwerk als „Burg“ aufgebaut und mit Firewall gegen externe Angriffe gesichert wurde, sind heute vorbei. Stattdessen verschwimmen die Grenzen zwischen dem internen Netzwerk und dem Internet immer mehr. So kann eine ungepatchte Webcam einen Billigherstellers einen Angriffspunkt für das Netzwerk bieten. Hier spielten auch wieder interessante Azure-Cloud Kennzahlen eine Rollen. Microsoft verwaltet im Monat 300 Milliarden Logins, scanned 200 Milliarden E-Mails und 1 Milliarde Geräte auf Viren/Mailware. Aufgrund der anonymisierte Telemetry-Daten die Microsoft bei Logins in Datacentren festhält, ist Microsoft in der Lage Administratoren auch darüber zu informieren, dass Geräte in betroffenen IP-Ignorieren des Administrators mit Mailware infiziert sind.

1E Accelerate Windows 10 Deployments – Navin Bagga

Okay, nun wird schwierig in deutsch zu schreiben, 1E hält den Vortrag in Englisch ;-). Lets start…

wp_20161206_10_21_48_rich1

Navin begann seien Vortrag mit den verschiedenen Optionen eines Windows 10 Rollout. Wipe&Load, Inplace Upgrade, etc. Wir kennen alle diese Probleme die damit einherkommen. Zudem kommt dazu, dass die Infrastruktur für SCCM bereit stehen muss, es müssen Backup und Recovery Modelle implementiert werden, man benötigt DPs und ggf. USMT Backup points, etc.

1E bietet dafür eine Lösung die den Komfort eines Inplace Upgrade mitbringt und gleichzeitig die Sicherheit eines kompletten „Wipe & Load“ ohne Arbeitsablauf zu stören. Dazu will 1E mit seiner Lösung auch die Infrastruktur vereinfachen.

1E unterteilt ein Projekt dabei in mehrere Schritte, die ich im folgenden kurz mit auflisten will. Mit „Preperation“ wird die die Infrastruktur durch 1E Komponenten vereinfacht, mit „Schedule“ werden user Mittel an die Hand gegeben, Dinge selber zu steuern. Mit „Restore“ werden Peer-Geräte für das Backup und Recovery verwendet, mit „Configure & Format“ stehen Optionen zur Verfügung um von BIOS auf UEFI zu migrieren. Mit „Install“ kann die Peer Technologie auch verwendet werden um PXE Boots von Peer-Systemen durchzuführen, letztlich bietet 1E Möglichkeiten zur Vereinfachung von „App-Installationen“.

WP_20161206_10_39_07_Rich[1].jpg

Ein Kernpunkt der Technologie von 1E ist die Verteilung von OSes und Apps via Peer Systemen. Leider war der Vortrag von Navin auf Powerpoints beschränkt, grade auf einer technischen Veranstaltung wie der CMCE hätte ich sehr gerne eine Live-Demo über das sicher sehr spannende Produkt gesehen.

Identitätsverwaltung mit Jochen Nickel

Jochen Nickel startete seinen Vortag über Identitätsverwaltung. Dabei ging es erst einmal über allgemeine Themen (was ist einen Identität, etc.). Allerdings wurde er kurz nachdem Start unterbrochen. Es musste ein anderer Geselle seinen Pflichten nachkommen.

wp_20161206_11_38_39_rich1

Nach dieser durchaus willkommenen Unterbrechung, stieg jochen konkret mit dem Thema AAD Synchronisation ein. Hier lautet seine Empfehlung, niemals die express Variante zu nutzen, da diese immer einen Enterprise Account verwendet um auf das lokale AD zuzugreifen (was nicht empfohlen ist).

wp_20161206_11_34_11_rich1

Danach erläuterte Jochen den Begriff „Metaverse“, eine lokale (DB-)Komponente die sich darum kümmert, Identitäten verschiedener Quellen (z.B. untrusted ADs) zusammenzuführen und Daten zu filtern. Mit dem AAD Sync Tool werden per default alle Objekte (außer Builtin) in das AAD kopiert. Mit dem AAD Sync Tool kann aber auch aufgrund von Filtern, OUs und Attributen definiert werden, welche Objekte kopiert werden müssen.

Jochen hat im Anschluss die Handhabung des AAD Sync Tools detailliert erläutert und dargelegt wie das Tool im Detail konfiguriert und gehandhabt werden kann. Zwei wichtige Empfehlungen von Jochen kamen in Rahmen des Vortrags, die über die reine Bedienung des Tools hinausgehen:

  • Arbeitet man mit mehreren Forrests, sollte sich der Administrator ein Attribut mit einer eigenen GUID anlegen. Wird nämlich ein Account von einem Forrest in ein anderes kopiert/verschoben, wird eine neue GUID erzeugt. Damit würden beim Sync in das AAD Account-Duplikate entstehen. Mit Hilfe dieses Attributes kann ich im Metaverse mehrere Objekte „Joinen“.
  • Richtet man das Tool das erste mal ein, ist empfohlen dass Tool manuell zu konfigurieren.
  • Das Azure AAD sync tool kann technisch zwar mehrere AADs verbinden, was aber nicht supported ist. Hier muss man sich Gedanken machen, wenn Office365 in mehreren Regionen verwendet wird, da dann im Hintergrund mehrere AADs angelegt werden.
  • Das AzureAAD sync tool ist nicht clusterfähig. Daher wird das Tool auf 2 Systemen installiert. Auf einem der Installationen wird die Synchronisation durchgeführt, auf dem anderen werden nur die Daten gestaged und die Synchronisation ins AAD abgeschaltet. Sollte die Hauptinstanz ausfallen, muss manuell die Synchronisation auf der Fallback Instanz gestartet werden. Wichtig: Die Einstellungen müssen bei Veränderungen zwischen den Instanzen durch Ex-/ Import übertragen werden.

Nach der Live-demonstration hat Jochen mit uns noch einmal alle möglichen Szenarien durchgenommen, die im Live-Umfeld vorkommen können.

Identity Management ist nicht mein Fachgebiet, ich hoffe ich konnte alles richtig wiedergeben. Insgesamt ein superspannender Vortrag, der das Thema Identity Management deutlich näher gebracht hat.

Windows Benutzerdaten mit Thomas Kurth und Pascal Berger

Benutzerdaten, definieren die Daten, die eine Anwendung konfigurieren. Benutzerdaten sind teuer durch hohe versteckte Kosten, jeder User muss speziell bei einer OS Migration seinen Desktop neu konfigurieren.

Um Userdaten umzuziehen, gibt es 3 Möglichkeiten, die durch Microsoft geboten werden.

  • Serverbased Roaming Profiles
  • UE-V (seit 1607, Teil von Windows 10)
  • Enterprise State Roaming

Es gibt eine grundsätzliche Einschränkungen, das Startmenü kann in keinem der Szenarien synchronisiert werden.

Die Nachteile bei Roaming Profiles liegen auf der Hand. Die Logon-/Logoffprozesse sind langsamer, Profile werden korrupt, Roaming Profiles sind nicht für mehrere Logins gleichzeitig geeignet.

UE-V löst diese Probleme nun. Nachteile sind hier allerdings:

  • Für Apps müssen Templates (Die Definition, was pro Anwendung gesichert/recovered werden muss) erstellt werden
  • Für Modern Apps ist man abhängig vom Entwickler der App und hat keine Einfluss auf die Synchronisation

EU-V nutzt einen Fileshare zur Ablage der Dateien die durch Veränderung von Dateien erzeugt werden. Die betroffenen Clients müssen dabei einer Domäne gejoined werden. Die Konfiguration von UE-V funktioniert via GPO, ConfigMgr oder Powershell.

Pascal hat uns dann eine Live-Demo über UE-V gezeigt. Grundsätzlich hängt sich UE-V in den Startprozess einer Anwendung ein und führt injiziert Einstellungen dann auf die Maschine. Genauso werden diese Settings dann beim Beenden eines Prozesses wieder gesichert. UE-V lädt und sichert die Daten direkt von einem Netzwerkshare. Über einen Sync-Provider der via Scheduled Tasks funktioniert, können Settings auch vorweg auf die lokale Maschine synchronisiert werden.
Eine UEM Funktionalität bietet UE-V nicht.

Als letztes hat Thomas noch einiges zum Thema Enterprise State Roaming erzählt. ESR verschlüsselt die Daten, die Daten werden am nächsten Datacenter abgelegt, es gibt bessere Auditing Möglichkeiten und die Synchronisierung ist asynchron. Wichtig zu wissen ist aber, dass Win32 App Settings nicht unterstütz werden. Um dieses GAP zu schließen, ist es aber möglich, ESR mit UE-V zu kombinieren.

Anforderungen sind ein Azure AD, ein Azure Active Directory Premium (kostenpflichtig) und das Device muss im AAD registriert werden.

Collection Queries mit Roger Zander

Roger hat in einer kompletten Live Demonstration gezeigt, wie Collections von SCCM gehandhabt werden.

wp_20161206_14_51_42_rich

Im folgenden sind die Erkenntnisse der Session als Best Practices gesammelt:

  • Das „Incremental Flag“ von Collection sollte nicht bei zu vielen Collections genutzt werden. Microsoft hat einmal von max. 200 Collections mit „Incremental Flag“ gesprochen, diese Empfehlung ist heute nicht mehr vorhanden. Sehr wohl aber das Problem als solches.
  • Bei Collections die auf einer User-bezogenen AD Gruppe über eine Direct rule basieren, muss KEIN schedule gesetzt werden.
  • Direct Membership Rules werden erzeugt, indem eine riesige WMI-Query gebaut wird die auch immer komplett via WMI geladen und gespeichert wird. Dies lässt sich mit einem WMIExplorer (Show MOF) direkt anschauen. Wird also ein Device/User entfernt oder hinzugefügt, wird damit die gesamte Regel immer wieder neu geschrieben/gelesen. Dies kann in größeren Umgebungen mehrere Stunden dauern und die Collection während dieser Phase locken.
  • Sollen Devices via AD-Gruppen in eine Collection aufgenommen werden, kann dies nur über eine Query-Rule geschehen. Dies geht über „System Resource – System Group Name“. Hier ist zu beachten, dass auch das Group-Discovery laufen muss.
  • Eine Möglichkeit Software Updates zuzuweisen ist, Inventory basierte Collections zu bauen (zum Beispiel für alle Devices, auf denen Software X installiert ist).
  • Eine weitere Möglichkeit zum bauen von Collections ist, auf Device Categories zu filtern. Die Kategorien werden auf dem Node „Device Collections“ erstellt und dann direkt am Device zugewiesen.
  • Zwischen Device und Userbasierte Softwarezuweisung gibt es einen markanten technischen Unterschied: Nutzt man den WMIExplorer zum auslesen der Policies stellt man fest, dass Userbasierte Softwarezuweisungen keine Policies auf den Client herunter schreiben, sondern erst dann, wenn der User eine Software anklickt. Sollen viele Policies im Softwarecenter angezeigt werden, ist zu empfehlen mit userbasierten Policies zu arbeiten.
  • Eine Query „Installed Applications.Display Name is like %7-Zip%9.% OR Installed Applications (64).Display Name is like %7-Zip%9.%“ wahr extrem langsam. Collections dieser Art können mit dem Microsoft Collection Evaluator Viewer analysiert werden.  Für Beispiele wie diese können folgende Optimierungen vorgenommen werden:
    • Grundsätzlich sind LIKE Abfragen aus Performance Sicht extrem schlecht. Hier sollte immer mit Equal gearbeitet werden, wenn möglich.
    • Eliminieren der Platzhalter. Speziell Software wie 7-Zip lässt sich durchaus statisch definieren.
    • Die Verknüpfung mehrerer Klassen ist immer schlecht, da auf der Datenbank immer erst alle Ergebnisse erzeugt und dann zusammengeführt werden (UNION). Hier empfiehlt es sich, 2 Queries zu bauen, anstelle einer einzelnen, die via OR verknüpft.
    • Bei der Filterung von Software kann statt der Klasse „Installed Applications“ auch die neue Klasse „Installed Software“ verwendet werden. Dies beinhaltet sowohl 32, also auch 64 Bit Software, was die Administration der Queries vereinfacht (Ggf. muss diese Klasse im Hardware Inventory aktiviert werden).
    • Diese ganzen Optimierungen drücken die Geschwindigkeit der hier gezeigten Query bei einer DB mit mehreren tausend Clients von über 500 Sekunden auf unter 2 Sekunden.
  • Wie komme ich an Geräte, die eine Software nicht haben? Hier funktioniert NICHT die Query „not equal to (7-Zip)“. Diese Query würde alle Geräte in die Collection aufnehmen. In diesem Fall muss mit einem Subquery gearbeitet werden. In der Hauptquery wird positiv auf 7Zip abgefragtn und das Ergebnis in einer Subquery negiert.
  • Mit SUMDeploymentAssetDetails ist eine neue WMI Klasse hinzugekommen, die es einfach ermöglicht den Patch Compliance Stand eines Clients abzufragen.
  • Ein interessantes Beispiel war, dass alle Geräte angezeigt werden sollen, die in den letzten 48 Stunden neu installiert worden sind. Bei der Query „Operating System Installed Date“ gibt es keine Möglichkeit einen Filter zu bauen. Hier kann die WQL direkt modifiziert werden. In der WHERE Klausel wird „DATEDIFF(hh.SMS_G_System_OPERATING_SYSTEM.InstallDate.GetDATE()) < 48“ eingetragen.
  • Ein Vorschlag zur Namenskonventionsprefixe:
    • URI = User / Required / Install
    • DAU = Device / Available / Uninstall
      Hintergrund ist, dass an vielen Stellen (z.B. Report) nur Drop-Down Listen zur Verfügung stehen und somit immer auf einen Blick sichtbar ist, worum es sich handelt.
Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s