Azure AD Connect 2.0

Megjelent az Azure AD Connect 2.03 as verziója.
Erre a verzióra az auto upgrade nem frissíti a korábbi verziót ezért azt kézzel kell megtennünk. A 2.0 nál régebbi verziók támogatása 2020 januárban lejár.
A legfontosabb változások:

-TLS 1.2 szükséges aktiválni a szerveren
-Windows Szerver 2012 és 2012R2 már nem támogatott
-Lokal DB immár SQL2019

A többi változásról ezen a linken lehet olvasni: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-azure-ad-connect-v2

“Windows cannot create the object “Username” because: The name reference is invalid.”

Ha szeretnénk egy új felhasználót létrehozni at Active Directoryban létrehozni úgy, hogy egy meglévő felhasználót másolnánk majd az alábbi hiba üzenetet kapjuk : “Windows cannot create the object “Username” because: The name reference is invalid.” és korábban a felhasználók migrálva lettek O365-be akkor a megoldás, hogy a showInAddressBook mezőben maradt nem jó értéket töröljük. Ezt rendbe tenni az összes felhasználónál az alábbi
Powershell parancssal lehet:

get-aduser -Filter * -SearchBase "ou=users,ou=First-OU,dc=DOMAIN,dc=local" -properties showInAddressBook | Set-ADUser -Clear showInAddressBook

Bővebb infórmáció: link

Active directory csoport tagság másolása PowerShell-t használva

Ha Valaki1 csoport tagságát szereznénk másolni Valaki2-nek:

$getusergroups = Get-ADUser –Identity Valaki1 -Properties memberof | Select-Object -ExpandProperty memberof
$getusergroups | Add-ADGroupMember -Members a.adams -verbose

Csoport1 tagjainak másolása Csoport2 tagjának

Get-ADGroupMember "Csoport1" | ForEach-Object {Add-ADGroupMember "Csoport2" -Members $_ }

Copy AD Group Membership to Another User in PowerShell

FSMO szerepkörök mozgatása

Egy 2008R2 -ről 2019 re migráció során kellet egy kis összefoglaló, hogy a FSMO szerepköröket, hogy lehetséges mozgatni. A szerepkörök  a következők:

Erdő szintű szerepkörök:
Schema Master
Domain naming master

Doamin szintű szerepkörök:
PDC
RID pool manager
Infrastructure Master

A szerepkörök mozgatásához szükséges jogosultságok:

Schema master Schema Admins
Domain Naming Enterprise Admins
RID Domain Admins
PDC Emulator
Infrastructure

Melyik domain controller melyik szerepkört hordozza?
Admin módban futatott parancs sorba futtassuk:

 netdom query fsmo

Admin módban futatott powershel-ben:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Szerepkörök mozgatása:

Gui-t használva az alábbi mmc-modulokra van szükség:

Active Directory Schema snap-in  (először szükséges lehet futtani a
regsvr32 schmmgmt.dll parancsot)
Active Directory Domains and Trusts snap-in
Active Directory Users and Computers snap-in

Ntdsutil használatával:

Admin módba indítsunk egy parancs sort majd sorrendben a következő parancsok:

 ntdsutil
 roles 
connections (itt ahoz a domain controllerhez csatlakozunk ahova mozgatni szeretnénk)
quit

 ransfer schema master
type transfer rid master 
transfer naming master 
transfer pdc and 
transfer infrastructure master

majd a quit -el lépjünk ki az ntdsutil-böl.

Powershell:

Import-Module ActiveDirectory
Move-ADDirectoryServerOperationMasterRole -Identity “S2” –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster

S2 az a szerver neve ahova mozgatni szeretnénk.

A szerepköröket rövidíthetjük számmal is:

Move-ADDirectoryServerOperationMasterRole -Identity “S2” –OperationMasterRole 0,1,2,3,4

PDCEmulator:0
RIDMaster:1
InfrastructureMaster:2
SchemaMaster:3
DomainNamingMaster:4

 

Certificate Windows Event IDs 6, 13, 82 és RPC server is unavailable 0x800706BA hiba

2008R2 és 2012R2 doman controller-ek migrálásakor futottam bele, hogy a az új 2019-es domain controller-ek esemény naplójában rendszeresen a Certificate Windows Event IDs 6, 13, 82 hiba üzenet került be, és mint később kiderűlt domain controller certificatet- se kaptak automatikusan és mikor kézzel próbáltam igényelni domain controller tanúsítványt az mmc konzolban RPC server is unavailable 0x800706BA hibát kaptam.
Mint kiderült két dolog miatt vérzett el a dolog. Az első, hogy valamikor (még SBS2007-ről migráltak sima windows szervere és exchange 2010-re), nem lett rendesen kivezetve a active directory certificate server és bent maradtak rá mutató bejegyzések az active directory-ban. Ezeket a bejegyzéseket az alábbi link alapján tudjuk kitakarítani:
Cleaning up after the removal of a server that was hosting the Active Directory Certificate Services (AD CS) role

Ki takarítás után is még jöttek a fenti hiba üzenetek. A megoldás végűl az volt, hogy a CERTSVC_DCOM_ACCESS ad csopotból hiányzott a tartomány vezérlők csoport.
Erről itt egy leírás: link

 

Aduc object username/computername contains other objects. Are you sure you want to delete object and all objects it contains?

Ha törölöni szeretnénk  egy ad objektumot és az alábbi figyelmeztető üzenetet kapjuk:
Aduc object username/computername contains other objects. Are you sure you want to delete object and all objects it contains

user_computerobjectdelete

 

A figyelmeztetés arra figyelmeztet,  hogy az adott objektum még tartalmaz további objektumokat amik szintén törlésre kerülnek.
Hogy mik ezek azt a következő képen tudjuk megtenni:
Az Active Directory And Users and Computers .ben a view -nál kapcsoljuk be a Users, Contacts, Groups, and Computers as Containers –t.

ADus_settings

Ezek után ha a törlendő objektumot lenyitjuk akkor látjuk a további objektumokat alatta és eltudjuk dönteni, hogy töröljük e tényleg.

Ideiglenes csoport tagság

Windows Server 2016 és Active directory 2016 működési szint esetén lehetőség van ideiglenes csoport tagság létrehozására Windws PowerShell és Privileged Access Management Feature (PAM) segítségével.
Aktiválása a feature-nek (többé nem kikapcsolható):
Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target domain name
Tagság beállítása:
$ttl = New-TimeSpan -Minutes 5 (perc helyet lehet pl. –days 5)
Add-ADGroupMember -Identity “Domain Admins” -Members test1 -MemberTimeToLive $ttl
Ellenőrzése:
Get-ADGroup ‘Domain Admins’ -Property member –ShowMemberTimeToLive
Az egész ütemezhető is akár a feladat ütemezővel és akkor pl. egy service user akár 30 percig lesz tagja pl. a domain admin csoportnak. Pl. míg fut a mentés.

Directory Services Restore Mode (DSRM) jelszó szinkronizálása tartományi felhasználó jelszavával

Ha jól emlékszem Windows Server 2008-tól elérhető, hogy a DSRM jelészót le lehet cserélni egy domain user jelszavára az NTDSUTIL segítségével.

NTDSUTIL
SET DSRM PASSWORD
SYNC FROM DOMAIN ACCOUNT felhasználónév
q
q

Van rá lehetőség, hogy rendszeresen minden Domain Controler-en automatikusan szinkronizáljuk ezt Group Policy használatával.
Ehhez következőt kell tennünk:

1,Hozzunk létre egy felhasználót az AD-ban pl.DSRM USER, állítsuk be a jelszavát és, sose járjon le.

Dsrm_password1
2,Ellenőrizük, hogy tudjuk e hozzá szinkronizálni a DSRM jelszót.
Admin módban indított parancs sorban:

NTDSUTIL
SET DSRM PASSWORD
SYNC FROM DOMAIN ACCOUNT dsrm
q
q

vagy  egy sorban: NTDSUTIL “SET DSRM PASSWORD” “SYNC FROM DOMAIN ACCOUNT dsrmuser” q q

3,Hozzunk létre egy DSRM Password SYN elnevezésű GPO-t és linkeljük a Domain Controllers OU-hoz

Dsrm_password2
4,Gpo-ban a Computer Configuration > Preferences > Control Panel Settings > Scheduled Tasks-nál hozzunk létre egy ütemezett feladatott a képen látható módon.

Dsrm_password3

Arguments: SET DSRM PASSWORD” “SYNC FROM DOMAIN ACCOUNT dsrmuser” q q
Ütemezük, napi egyszeri vagy heti egy futásra. Ezek után, minden jelenlegi és minden jövőben létrehozott DC-n létre jön az ütemezett feladat ami szinkronizálja a DSRM jelszót.

Üzemelteti a WordPress.com. , Anders Noren fejlesztésében.

Fel ↑

%d blogger ezt szereti: