Azure MFA NPS extension replacing MFA Server

Within Azure there are multiple ways to setup MFA. Where you would install MFA server in the past, there is a new extension. Microsoft is going to leave the MFA server behind in the near future (security updates will remain being published for now).

Besides the NPS extension and the MFA on-premise server the best practice is to run MFA from the Azure cloud where possible. But that isn’t always an option. So let’s move on to the NPS extension. Lets start with the requirements.

Requirements:
– Server 2016/2019 with ADFS version 4
– Server 2016/2019 hosting NPS services which performs Radius authentication.
– Users must be synchronized between local Active directory and Azure Active Directory
– Azure AD Premium or EM+S license must be assigned to the user
– NPS Extension for Azure MFA (Download link: https://aka.ms/npsmfa)

Continue reading “Azure MFA NPS extension replacing MFA Server”

Azure virtual machines SLA explained

Recently I received an comparison from Azure with competitors. In the comparison there was stated that by default Azure provides an SLA of 99.95%. However, this is not entirely correct. By default a single basic virtual machine has no SLA at all!

I hear you thinking, what??? let me explain what the options are. First we need to know a bit more of the setup in Azure. For this explanation I will use West & North Europe. These regions do have Availability zones, but this might not always be the case. In the picture below you can review the Azure regions with their options.

Click on the picture to enlarge

So lets zoom in a bit further. In the picture below we have our 2 regions (West & North Europe). Within Region 1 we have 3 separated buildings, creating 3 availability zones.

So lets move on the SLA rules.

Continue reading “Azure virtual machines SLA explained”

Azure AD Domain Services an option or not?

Frequently I get the question, how are we going to manage our legacy Azure IaaS servers? Should we deploy domain controllers? or should we setup a VPN connection with our on-premise environment?

Before we can start answering these questions we will need to learn more about AD DS.

Azure AD Domain Services provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that are the same as traditional domain controllers. You can consume these domain services without the need for you to deploy, manage, and patch domain controllers in the cloud. Azure AD Domain Services integrates with your existing Azure AD tenant, thus making it possible for users to log in using their corporate credentials. The AD DS is available in a VNet of your choice.

Azure AD Domain Services Overview

AD DS works with cloud-only or synced with on-premise AD. Important to know is that Password hash synchronization is mandatory for hybrid organizations to use Azure AD domain services. This requirements is because users credentials are needed in the managed domain to authenticate using NTML or Kerberos.

Continue reading “Azure AD Domain Services an option or not?”

Re-establish trust with Active Directory domain

If you ever had to restore a domain joined machine, or a laptop/desktop that didn’t connect to the domain in a long time, it might happen that the domain relationship is broken. When you try to logon you get the following error:

“The trust relationship between this workstation and the primary domain failed.”

What you can do is leave the domain, and rejoin the domain, however, it is better to reestablish the trust relationship. Log in on the computer with a local admin account and run in a privileged PowerShell window the below script. After running a reboot should do the trick.

Use the following command to re-establish the trust with the domain:

$domaincontroller = “Name of the domain controller”
$credential = Get-Credential

Reset-ComputerMachinePassword -Credential $cred -Server $domaincontroller

Outlook 2016 search not working

Recently I was notified by a customer that Outlook search wasn’t working anymore as expected (Search not working at all, or missing results). After some searching I found out that this was caused by a Windows 10 Update where a shared DLL was updated: KB4467684

In the the end there is a quick fix by running a simple command that repairs the effected MSWB7.dll file.: sfc/scannow (run as administrator)

Continue reading “Outlook 2016 search not working”

Microsoft Advanced Threat Protecion

Microsoft bied op verschillende diensten Advanced Threat protection aan. Helaas zit er marketing technisch nog steeds hier en daar de naam Defender aan vast, waar het onder water een compleet ander product is. Het is inmiddels geen simpel antivirus pakket meer, maar een all-in-one oplossing tegen aanvallen van buitenaf en binnenuit. Dit gebeurt door Windows ATP voor bescherming van je device, Office 365 ATP voor bescherming van je Email, SharePoint, OneDrive en teams data en als laatste Azure ATP voor bescherming van alle identiteiten.

Als kers op de taart is er voor on-premise omgevingen is het Azure Security center ontworpen, die net als Windows, constant in contact staat met de Microsoft Azure datacenters om data en informatie uit te wisselen. Inmiddels zijn alle bedreigingen zo uitgebreid en geavanceerd geworden dat 1 enkele computer de rekenkracht ontbreekt om alles te analyseren. De kracht van de Cloud komt hier om de hoek kijken. Informatie die verzameld is bij andere klanten wordt gebruikt om jouw omgeving en apparaat veilig te houden. Het mooie is dat de ATP client standaard in Windows 10 is ingebouwd waardoor er relatief weinig hoeft te gebeuren om het in te zetten.

Continue reading “Microsoft Advanced Threat Protecion”

Azure monitoring

Monitoring is het allerbelangrijkste wat er is. Dit is het fundamenteel punt in de hele keten, al dan niet het belangrijkste punt. Wat is er nu uiteindelijk belangrijk als je gaat monitoren? Bekijk alles vanuit de eindgebruiker, houd dat altijd als start punt! Uiteindelijk draait het niet om een SPN record wat ontbreekt, maar of een gebruiker nu wel of niet kan werken.

Met Azure Monitoring kan je heel veel componenten in de gaten houden. Maar waar het uiteindelijk om draait is hoe en wat je opneemt. Als je heel veel opneemt betekend het dat je dat allemaal in de gaten moet houden. Dit genereerd ook heel veel meldingen waardoor je een overvloed aan meldingen krijgt en de relevantie niet goed kan bepalen met als gevolg dat er uiteindelijk niet gemonitord wordt. Daarom is het cruciaal om alleen de componenten op te nemen die er toe doen, hou het klein, schoon en doe het doordacht.

Continue reading “Azure monitoring”

Infrastructure as code

Als we kijken naar de traditionele manier van beheren van systemen, dan zien we daar vaak de volgende manieren van werken terugkomen:

  • Ticket gebaseerd
  • NOCs (Network Operations Centers)
  • Gescheiden rollen (Operations en ontwikkelaars)
  • Op grafische schil gebaseerd beheer
  • Grote wijzigingen per keer (Waterval principe)
  • Moeilijk schaalbaar (alles moet handmatig worden uitgebreid)

Hierin zien we duidelijk uitdagingen naar voren komen. Zo is werken met een GUI lastig te automatiseren en te repeteren. Een keer verkeerd klikken zorgt al voor afwijking. Hoe gaat dat dan veranderen met nieuwe cloud technieken?

  • We gaan uitrollen en uitbreiden via een API, niet met een werkbon
  • We gaan uitfaseren via een API, niet met een change formulier
  • Netwerk connectiviteit word ook uitgerold via een API
  • Applicaties worden uitgerold via API, niet aan de hand van Word document
Continue reading “Infrastructure as code”

Set or clear immutable ID

Below are the 2 options to reset or change the immutable ID. These are sometimes required when you want to sync your users, or when you receive a sync error.

Calculate and set immutable ID (Recommended)

This method is the best way to make sure that AD Connect gets a proper sync. We are going to connect to the on-premise AD, and calculate and set the immutable ID in Azure AD / Office 365. So first we connect to Active Directory.

Import-Module Active Directory

Now, lets grab the GUID of the user and create the ImmutableId

$userUPN = "testuser@2azure.nl" 
$guid = [guid]((Get-ADUser -LdapFilter "(userPrincipalName=$userUPN)").objectGuid)
$immutableId = [System.Convert]::ToBase64String($guid.ToByteArray())

The last command will be used to write the ImmutableId to the AAD / Office 365 user:

Get-MsolUser -UserPrincipalName $userUPN | Set-MsolUser -ImmutableId $immutableId

Clear immutable ID in Office 365 (Not advised)

The easy way is to clear the immutable ID in Azure AD/ Office 365. This will let AD Connect think that the account has never been synchronized and will sync it based on a soft match. However I wouldn’t recommend it. But if you ever need to do it, here is the commands to do it.

Clear ImmutableId for only 1 user:

Get-MsolUser -UserPrincipalName testuser@2azure.nl | Set-MsolUser -ImmutableId $null

Clear ImmutableId for all users:

Get-MsolUser -All | Set-MsolUser -ImmutableId $null