Het grote kleine-SysOps-vragen topic deel 1

Grvy schreef op dinsdag 4 augustus 2020 @ 22:29:


Goed, op naar het issue. @Danielson misschien lees ik eroverheen maar waarom zou je als je ook al gebruikt maakt van de main profile feature (de container zelf) een Office container willen? Ik begrijp dat je het profiel klein wilt houden maar het complexer maken dan nodig is (door de eerste container te splitsen) is wat mij betreft niet echt beheersvriendelijk.

Het klein houden van het profiel doe je dan ook met exclusions in je FSLogix profiel en niet door e.a. te splitsen.

Wellicht dat je een hele goede use case hebt, maar ik ben wel benieuwd.

Danielson schreef op woensdag 5 augustus 2020 @ 12:54:
[...]


Gebruikers wel lid van de FSLogix Profile Include List groep?

Renegade666 schreef op woensdag 5 augustus 2020 @ 13:06:
[...]


Jups, was een policy ding wat niet mee werkte.
Het werkt nu wel iig

Nu de office container nog even regelen

Danielson schreef op woensdag 5 augustus 2020 @ 13:01:
[...]


De bedoeling was om alle Office gerelateerde data in een aparte container te zetten die eventueel op iets "langzamere" storage geplaatst kon worden, maar het lijkt erop wat ik wil niet mogelijk is.

Het probleem waar ik tegenaan loop met OneDrive en Teams is dat als het in een Office container geplaatst wordt is dat er onderwater een link wordt gemaakt naar de Office cointainer waar dus de Teams en OneDrive data in staat. Vervolgens meld je je op een 2e plek aan en begint hij dus met een tweede schone Office container, vervolgens wil je b.v. Teams starten en die map is dan ineens leeg wat op zich ook logisch is.

De documentatie van FSLogix laat soms wel wat te wensen over als het mij vraagt, dus wat nu precies de best practice is...

Momenteel heb ik alleen de Outlook cache in een Office container staan om deze op andere storage kwijt te kunnen en ik ben nu bezig met de redirection list om het profiel zo klein mogelijk te houden.

Duinkonijn schreef op woensdag 12 augustus 2020 @ 14:53:
[...]

Als a uit naam van b naar b mailt, zal b ingesteld moeten worden dat hij niet de enige houder is van dat domein
Oh a moet gewhitelist worden

Duinkonijn schreef op woensdag 12 augustus 2020 @ 14:49:
[...]

https://knowledge.autodes...cessors-with-AutoCAD.html

HKLM_ schreef op woensdag 12 augustus 2020 @ 14:55:
[...]


A moet ook via het domein van B naar buiten kunnen mailen.

[ Voor 11% gewijzigd door Duinkonijn op 12-08-2020 15:19 ]

Renegade666 schreef op woensdag 12 augustus 2020 @ 14:55:
[...]


Die had ik nog niet gevonden.
Bedankt.

Tijd voor een andere pakket die het wel kan..

new_guy schreef op woensdag 12 augustus 2020 @ 15:27:
Iemand toevallig een powershell dingetje liggen om de verbindingen naar Azure / Microsoft 365 te testen? Denk aan de URLs / poorten.

Online deze al tegenkomen: https://github.com/ThomasKur/ModernWorkplaceClientCenter Echter is ie al 2 jaar niet geupdate en krijg ik inderdaad resultaten die niet lijken te kloppen.

Reden: werken in een omgeving waar ik firewall / proxy niet in beheer heb en het een en ander nog niet geheel open lijkt te staan...

[ Voor 19% gewijzigd door Turdie op 12-08-2020 15:35 ]

Duinkonijn schreef op woensdag 12 augustus 2020 @ 15:29:
[...]

Misschien is https://www.bentley.com/e...ion-software/microstation wat,

Renegade666 schreef op woensdag 12 augustus 2020 @ 15:33:
[...]


Toevallig ervaring mee?

Renegade666 schreef op woensdag 12 augustus 2020 @ 15:36:
@Duinkonijn

Oke, ziet er wel sneller uit

Zal het eens bij de klant neer leggen.

new_guy schreef op woensdag 12 augustus 2020 @ 15:27:
Iemand toevallig een powershell dingetje liggen om de verbindingen naar Azure / Microsoft 365 te testen? Denk aan de URLs / poorten.

Online deze al tegenkomen: https://github.com/ThomasKur/ModernWorkplaceClientCenter Echter is ie al 2 jaar niet geupdate en krijg ik inderdaad resultaten die niet lijken te kloppen.

Reden: werken in een omgeving waar ik firewall / proxy niet in beheer heb en het een en ander nog niet geheel open lijkt te staan...

[ Voor 5% gewijzigd door thieske1 op 12-08-2020 15:55 ]

Turdie schreef op woensdag 12 augustus 2020 @ 15:33:
[...]


azurespeed.com

thieske1 schreef op woensdag 12 augustus 2020 @ 15:54:
[...]

microsoft heeft zelf een tool hiervoor

https://connectivity.office.com/

en als het geld mag kosten beveel ik GSX monitoring software aan

HKLM_ schreef op woensdag 12 augustus 2020 @ 14:48:
Is er hier iemand die mij kan helpen met spf records?

Paul schreef op donderdag 13 augustus 2020 @ 09:56:
[...]
Als beide op Office 365 zitten dan is de "include:spf.protection.outlook.com" genoeg; die is voor beide hetzelfde.

Echter, SPF is om te zorgen dat de ontvanger het niet als spam ziet; waarschijnlijk loop je nu tegen het probleem aan dat Exchange (Office 365) de hele mail niet wil sturen omdat het denkt dat jij, A, helemaal geen B bent. Je krijgt dan als verzender een mailtje terug met daarin een foutcode; die krijg je (over het algemeen, ivm backscatter) niet als de ontvanger je mail weigert.

Binnen een tenant los je dat op met Send As rechten (of Send on behalf). Hierbij moet je ook goed opletten in welke "Sent Items" het bericht komt; wil je die in de "Sent Items" van A, of van B?

Over tenants heen weet ik het niet. Gaat het om één persoon of om een hele organisatie die er (ieder een eigen) adres bij krijgt? Wil je tenant B laten blijven bestaan of kun je ze samenvoegen?

HKLM_ schreef op donderdag 13 augustus 2020 @ 10:22:
[...]

Tussen twee office 365 tenants we gaan juist van 1 tenant naar 2 wegens bedrijfs scheiding.

HKLM_ schreef op donderdag 13 augustus 2020 @ 10:22:
[...]


Dat klopt Exchange (Office365) wil de hele mail niet versturen. omdat hij inderdaad denkt dat ik A ben en geen B. Ik krijg inderdaad een mailtje terug dat ik geen rechten heb. Uiteindelijk gaat het om één mailadres die dit moet kunnen. Tussen twee office 365 tenants we gaan juist van 1 tenant naar 2 wegens bedrijfs scheiding.

Grvy schreef op donderdag 13 augustus 2020 @ 12:01:
[...]


Dit is zo een ding waarvan je moet zeggen "Tjah, dat gaat dus niet.. ga maar klagen bij $persoondiebeslotenheeftdatditmoetgebeuren. "

Want dit is een nightmare in the making.

asing schreef op donderdag 13 augustus 2020 @ 12:12:
[...]


De slangenkuil die bestaat uit onwetende, alles bepalende managers die vinden dat alles maar moet kunnen want het zijn toch alleen maar bitjes. Arme @HKLM_ ....

Mijn insteek zou zijn om die andere tennant te laten opzetten en inrichten. Op het moment dat de scheiding een feit is krijgen ze PST bestanden met hun mail en worden alle oude accounts verwijderd. Dat is heel cold turkey, maar ik denk dat dat de meest haalbare methode is. Ik heb wel eens iemand een foutje zien maken met het samenvoegen wat als resultaat gaf dat de inkomende partijen dagen niet meer konden mailen.

Dat ene account wat nu wordt genoemd mag dan als eerste.

HKLM_ schreef op donderdag 13 augustus 2020 @ 15:32:
[...]


We migreren mogen mailboxen hebben we een tooltje die staan al netjes op de nieuwe tenant en houden we in sync. Voor bovenstaand probleem is tijdelijk een oplossing gevonden. Externe inhuur (want skills tekort) is aan het kijken wat de mogelijkheden zijn.

asing schreef op donderdag 13 augustus 2020 @ 15:49:
[...]


Mogen? Morgen?

Mogelijkheden zijn er wel. Het probleem is wat de organisatie aan eisen en wensen neer heeft gelegd. Eén ding is zeker : wat je niet wilt is enige tijd in een half-half situatie zitten waarbij je met mail moet gaan jongleren omdat een deel van de gebruikers al in de nieuwe tennant zit en een paar nog in de jouwe. Of een situatie waarbij ze in de nieuwe tennant zitten, maar wel hun oude mailadres willen laten werken. Want dat maakt je mogelijkheden denk ik zeer beperkt.

Laat ik eens een voorbeeldje geven. Mijn opdrachtgever kocht een bedrijfje op. Die mensen kwamen bij ons op kantoor zitten en gebruik maken van onze multifunctionals. Maar zaten qua mail nog op zichzelf. En toen werkte scannen niet.

De logs waren simpel : je probeert mail af te leveren van bedrijfx.com op de SMTP server van Microsoft met een SMTP account van bedrijfy.com. Fahgetaboutit! Spoofing!!!11!1!1!

Het belangrijkste om management mee te delen is dat de scheiding op een bepaald moment "definitief is", waarbij het een heel pijnlijk digitaal afscheid gaat worden. Ook moet iedereen rekening houden met bepaalde kleine ongemakjes die bij de scheiding horen. Ervoor en erna. Uitwerken in stappenplannen met fases, changes en de bijbehorende goedkeuringen. Zij zien de complicaties van de vraag niet, en hebben geen benul van de consequenties.

Sterkte!

HKLM_ schreef op zaterdag 15 augustus 2020 @ 03:13:
[...]


Het is gelukt hoor, ondanks wat nukke van Exchange online zijn we met succes gemigreerd puntje van het mailen is opgelost door een workarround en zoeken we later uit / passen we mogelijk aan in de applicatie

Owja shared mailboxen zijn (#*_^#@&) en wil ik nooit meer iets mee doen

asing schreef op zaterdag 15 augustus 2020 @ 10:25:
[...]


Mooi zo! Ik geef je even Public Folders in Office 365, daarna ga je je mening over gedeelde mailboxen wel bijstellen .

HKLM_ schreef op zaterdag 15 augustus 2020 @ 03:13:
[...]


Het is gelukt hoor, ondanks wat nukke van Exchange online zijn we met succes gemigreerd puntje van het mailen is opgelost door een workarround en zoeken we later uit / passen we mogelijk aan in de applicatie

Owja shared mailboxen zijn (#*_^#@&) en wil ik nooit meer iets mee doen

Renegade666 schreef op zaterdag 15 augustus 2020 @ 10:35:
[...]


Wat is er precies mis met shared mailboxen?
gebruikt zo vaak, nooit issues.

PF daar in tegen is ver weggestopt voor een reden 365.. ze willen er vanaf

HKLM_ schreef op zaterdag 15 augustus 2020 @ 10:50:
[...]


Shared mailboxen doen nooit wat je wil, dan werkt send as niet, dan moet je hem toevoegen als tweede account, dan komt ie niet zichtbaar in Outlook, dan weer wat anders, ik werk ondertussen bijna 10 jaar in de IT en overal waar ik ze gezien heb is het gezijk

ralpje schreef op zaterdag 15 augustus 2020 @ 18:45:
Ik doe al EOL sinds O365 nog BPOS heette en heb nog nooit gedoe met shared mailboxes gehad.
Public Folders daarentegen........ Die moeten deaud.

[ Voor 13% gewijzigd door Duinkonijn op 15-08-2020 20:14 ]

[ Voor 12% gewijzigd door FastFred op 17-08-2020 10:59 ]

FastFred schreef op maandag 17 augustus 2020 @ 10:55:
Ik ben oude homedirs aan het opruimen en ik krijg er eentje maar niet verwijderd.

Als ik de eigenschappen bekijk dan zegt ie, 0 files, 0 folders, 0 bytes, er staan ook geen verborgen folders of files meer in.

De rechten op de map zijn gelijk aan alle andere homedirs, met het verschil dat de gebruiker niet meer bestaat dus er mist 1 username. Verder staat er Creator Owner, System, Admin_homedir en fileserver\Administrators (tevens de owner)

Als ik rechten wil wijzigen dan kan dat wel, maar als ik op Apply klik krijg ik 'Access Denied'.

Als ik de map via de Verkenner wil verwijderen krijg ik te zien dat ik Administrator rechten moet hebben. Dit zowel met mijn persoonlijke admin account als met het domainadmin account.

Wil ik de map verwijderen met CMD (admin) krijg ik Access Denied, zelfde met Powershell.


Normaal nooit dit issue gehad, medewerker uit dienst, account op disabled, na 2 weken account delete en Shift+Delete homedir

[ Voor 4% gewijzigd door Turdie op 17-08-2020 11:26 ]

FastFred schreef op maandag 17 augustus 2020 @ 10:55:
Ik ben oude homedirs aan het opruimen en ik krijg er eentje maar niet verwijderd.

Als ik de eigenschappen bekijk dan zegt ie, 0 files, 0 folders, 0 bytes, er staan ook geen verborgen folders of files meer in.

De rechten op de map zijn gelijk aan alle andere homedirs, met het verschil dat de gebruiker niet meer bestaat dus er mist 1 username. Verder staat er Creator Owner, System, Admin_homedir en fileserver\Administrators (tevens de owner)

Als ik rechten wil wijzigen dan kan dat wel, maar als ik op Apply klik krijg ik 'Access Denied'.

Als ik de map via de Verkenner wil verwijderen krijg ik te zien dat ik Administrator rechten moet hebben. Dit zowel met mijn persoonlijke admin account als met het domainadmin account.

Wil ik de map verwijderen met CMD (admin) krijg ik Access Denied, zelfde met Powershell.


Normaal nooit dit issue gehad, medewerker uit dienst, account op disabled, na 2 weken account delete en Shift+Delete homedir

Turdie schreef op maandag 17 augustus 2020 @ 11:24:
[...]


En als je een take ownership doet?

1

icacls "full path of folder or drive" /setowner "Administrators" /T /C

[ Voor 20% gewijzigd door FastFred op 17-08-2020 11:48 ]

FastFred schreef op maandag 17 augustus 2020 @ 11:46:
[...]


En hoe gebruik ik die concreet want hoe dat command daar staat met 2843x een haakje sluiten snap ik er geen snars van.

[ Voor 20% gewijzigd door Paul op 17-08-2020 11:50 ]

FastFred schreef op maandag 17 augustus 2020 @ 11:49:
@Renegade666 Heb inmiddels met beide geprobeerd, mijn persoonlijke admin account (die eigenlijk gewoon lid is van Domain Admins) en het daadwerkelijke domain admin account

[ Voor 11% gewijzigd door pjlgt op 17-08-2020 11:52 ]

1

takeown /f <filename> /a /r

You require permissiong from Administrators to make changes to this file

ntuser.pol, date modified 9-9-2014 (terwijl de map leeg is)

[ Voor 16% gewijzigd door FastFred op 17-08-2020 11:55 ]

[ Voor 49% gewijzigd door FastFred op 17-08-2020 12:20 ]

FastFred schreef op maandag 17 augustus 2020 @ 11:54:
...
Ok er staat nu ook ineens weer data in die map. Een verborgen map WINDOWS en dan \username.domain.v2 die vervolgens leeg is...

[ Voor 98% gewijzigd door Duinkonijn op 17-08-2020 13:29 ]

Brahiewahiewa schreef op maandag 17 augustus 2020 @ 12:37:
[...]

OK, dus er draait nog een process op die server die de directory gelocked houdt
Dus je moet processExplorer opstarten om te kijken welk process dat is en dan besluiten of je dat process wilt laten draaien

[ Voor 16% gewijzigd door FastFred op 17-08-2020 14:42 ]

FastFred schreef op maandag 17 augustus 2020 @ 13:42:
[...] heb ProcesExplorer nog nooit gebruikt

FastFred schreef op maandag 17 augustus 2020 @ 12:14:
En zelfs al was ie ingelogd geweest, dan had ik dat wel gemerkt want hij zat praktisch naast me Was onze programmeur/analist

Hero of Time schreef op dinsdag 18 augustus 2020 @ 21:07:
Met het scheiden van je dagelijkse gebruiker en (domain) admin account, welke van de twee geven jullie toegang tot de VMware interface? Het admin account vanwege de reeds bestaande functie voor beheer of je normale gebruiker zodat je SSO kan toepassen?

Vorkie schreef op dinsdag 18 augustus 2020 @ 21:21:
[...]

Ligt aan de omgeving, meestal geef ik IT user beheer accounts een soort van readonly met wat extra rechten op de VM's, zoals mounten van ISO's / herstart, etc...dat zijn vaak van die "snelle" dingetjes en met vaak een 2FA/passwordvault op de admin accounts werkt het net even wat efficiënter

De Admin accounts kunnen alles op de VMWare omgeving (als ze er wat te zoeken hebben, lang leve AD groepen...)

Maar dat is voor kleine bedrijfjes.

Creep schreef op woensdag 19 augustus 2020 @ 13:22:
... vermoed ik een netwerk/DNS issue...

Creep schreef op woensdag 19 augustus 2020 @ 13:22:
Ik ben niet vaak voor 1 gat te vangen, maar ik denk dat ik nu toch iets over het hoofd zie. Het volgende doet zich voor:
Ik heb 3 Canon multifunctionals staan, die t/m maandag 10 augustus prima via SMTP naar Office365 konden scannen. Na 10 augustus stopte dit zonder aanpassingen op de Canon multifunctionals, Ubiquiti USG 4 Pro of het Zigoo modem in bridge modus. Ik ben namelijk enig beheerder en ben sinds 7 augustus op vakantie.

Ik heb het volgende reeds gedaan:
1. Met Canon gekeken of de DNS vanaf de printers werkte, ze kunnen zich bij een portal van Canon aanmelden op basis van DNS adres.
2. Willekeurige Windows PC kan vanuit hetzelfde netwerk met Putty/Telnet op 587 met smtp.office365.com connectie maken.
3. Ubiquiti met laatste firmware geladen en default instellingen gehouden. Alleen in controller opgenomen en intern en extern netwerk toegevoegd.
4. Extern IP adres op blacklist gechecked en bij Offiec365 extra uitgeschreven.

Alle clients kunnen gewoon op internet, alle printers kunnen gewoon printen en via webinterface worden gevonden.

Omdat het vanaf een bepaald moment is en geldt voor 3 Canon printers vermoed ik een netwerk/DNS issue, maar kan geen logische reden bedenken.

Iemand een idee?

Creep schreef op woensdag 19 augustus 2020 @ 15:50:
[...]

Ik heb op een andere Ziggo verbinding dezelfde MFP staan met exact dezelfde TLs/SSL settings en die werk gewoon. Ook met hetzelfde account. Geen account issue dus.

Renegade666 schreef op woensdag 19 augustus 2020 @ 15:52:
[...]


Dat het geen account issue is, dan kan het nog wel een TLS/SSL issue zijn.
Ik heb ook vaak genoeg dat het bij de ene printer wel werkt, en de andere niet.

Wat je ook kan proberen ipv submission, een exchange connector aanmaken in 365, en dan via poort 25 naar het mx record sturen. en dus zonder tls/ssl en zonder account, kijken als hij het dan wel doet.

Of misschien een simpele, have you tried to turn it off and on again

Hero of Time schreef op dinsdag 18 augustus 2020 @ 21:16:
Hoezo mis je een account? Als het puur om de AD servers beheren gaat, delen we het administrator account wel ipv lid zijn van de domain admins.

Ben het met je eens dat voor het nette je drie accounts zou moeten hebben, maar in het MKB is het al heel wat dat er een scheiding is tussen admin en non-admin.

Equator schreef op woensdag 19 augustus 2020 @ 08:23:
Als je met SSO bedoelt dat je met je AD credentials kunt inloggen op de VMware console, dan maakt het niet uit welk OS je draait.

Als je met SSO bedoelt dat je zonder je credentials in hoeft te geven automatisch inlogt op basis van de user waarmee je de applicatie start, dan is Windows een vereiste ja.

Wat voor mij dus direct een reden is om SSO op die manier niet aan te zetten en een separaat (admin) account te gebruiken op VMware management console.

asing schreef op woensdag 19 augustus 2020 @ 20:46:
[...]

Nee, niet voor het nette.

Je domain administrator geef je een fatsoenlijk wachtwoord. Dat print je uit en dat gaat in een kluis.

Vervolgens maak je voor iedereen die beheer rechten nodig heeft een eigen admin account aan. Daar werken ze op.

Daar bovenop kan je het administrator account hernoemen tegen brute force aanvallen.

Vorkie schreef op dinsdag 18 augustus 2020 @ 21:21:
[...]

Ligt aan de omgeving, meestal geef ik IT user beheer accounts een soort van readonly met wat extra rechten op de VM's, zoals mounten van ISO's / herstart, etc...dat zijn vaak van die "snelle" dingetjes en met vaak een 2FA/passwordvault op de admin accounts werkt het net even wat efficiënter

De Admin accounts kunnen alles op de VMWare omgeving (als ze er wat te zoeken hebben, lang leve AD groepen...)

Maar dat is voor kleine bedrijfjes.

[ Voor 16% gewijzigd door Hero of Time op 20-08-2020 20:58 ]

asing schreef op woensdag 19 augustus 2020 @ 20:46:
[...]

Nee, niet voor het nette. Je domain administrator geef je een fatsoenlijk wachtwoord. Dat print je uit en dat gaat in een kluis. Vervolgens maak je voor iedereen die beheer rechten nodig heeft een eigen admin account aan. Daar werken ze op.

Het resultaat is dat als er eentje vertrekt, je dat adin account blokkeert en klaar ben je. Anders moet je het wachtwoord van je administrator wijzigen en ik ken er genoeg die dat na jaren niet meer durven uit angst dat er wat kapot gaat.

Daar bovenop kan je het administrator account hernoemen tegen brute force aanvallen.

[ Voor 9% gewijzigd door Turdie op 20-08-2020 21:05 ]

Hero of Time schreef op donderdag 20 augustus 2020 @ 20:57:
Grotere bedrijven hebben vaak een apart management netwerk op z'n eigen vlan. Bij MKB is dat wat anders. Mijn werkplek kan dan in beide netwerken zitten, maar als je een gebruiker moet helpen en 'even snel' bij die management omgeving moet, is dat wat lastig als dat systeem niet in het management netwerk/vlan zit. En dus heb je management zaken in het 'normale' netwerk.

Arfman schreef op maandag 24 augustus 2020 @ 13:07:
Iemand toevallig nog een goed, werkend tooltje of manier om een MBR disk (die tegen de 2TRB limiet aanloopt) om te zetten naar GPT? Alles wat ik vind is trialware en met mbr2gpt lukt het niet, die kan voor zover ik kan zien alleen systeempartities omzetten.

GrasshopperNL schreef op woensdag 19 augustus 2020 @ 20:50:
Je geeft aan blacklist te hebben gecontroleerd, maar heb je ook die van MS getest?
Ik zou als ik jou was even een connector aanmaken in Ex Online, en met powershell even een test mailtje sturen via je Mx record als smtp server.
Als je met je ip op een blacklist staat bij MS krijg je dat dan te zien.

Renegade666 schreef op maandag 24 augustus 2020 @ 17:13:
@Creep
Andere DNS geprobeerd dan?

Creep schreef op maandag 24 augustus 2020 @ 17:24:
[...]

Van de router, eigen DNS server, Google DNS. Geen van alle succes. Ook een IP adres van smtp.office365.com geprobeerd en <tenant>.mail.protection.outlook.com geprobeerd. Allemaal dezelfde melding op 3 MFP's van Canon. Tijdens mijn afwezigheid(enige systeembeheerder hier) spontaan opgetreden.

Creep schreef op maandag 24 augustus 2020 @ 17:24:
[...]

Van de router, eigen DNS server, Google DNS. Geen van alle succes. Ook een IP adres van smtp.office365.com geprobeerd en <tenant>.mail.protection.outlook.com geprobeerd. Allemaal dezelfde melding op 3 MFP's van Canon. Tijdens mijn afwezigheid(enige systeembeheerder hier) spontaan opgetreden.