Exchange 2010 toegangsrechten tot alle mailboxen

Vaak willen beheerders of andere personen binnen een organisatie toegang tot alle e-mailboxen. En dan letterlijk alles. Vooral om b.v. vragen te kunnen behandelen als “ik ben al op vakantie, maar wil je mijn out-of-office, oftewel de afwezigheidsassistent nog even instellen”. Dit is niet mogelijk zonder direct een gebruiker zijn wachtwoord te resetten.
Ik waarschuw klanten _altijd_ als ze het vragen, weet je zeker dat je het wil. Moet je dit nog melden? Als ze het dan nog willen kunnen we een gebruiker toegang geven tot alle mailboxen. Dit kan als volgt:

Vanaf de exchange server dien je de Exchange Management Shell te starten en voeren we onderstaand commando in:

Get-MailboxDatabase -identity “naamvandemailboxstore” | Add-ADPermission -user [gebruikersnaam] -AccessRights GenericAll

een voorbeeld:

Get-MailboxDatabase -identity “MailboxStoreVerkoop” | Add-ADPermission -user Medewerker -AccessRights GenericAll

En voilà, zowel via webmail als je lokale outlook client kan je overal bij.

Hacktool versimpelt afluisteren intern VoIP / sRTP

Allereerst gelijk maar even de kou uit de lucht halen. Er staat “intern”, dus men moet al binnen zijn of op een wifi netwerk binnen zijn om deze tool effectief in te kunnen zetten. Of en in hoeverre VLAN’s hier de gewenste bescherming geven weet ik niet met zekerheid te zeggen. Feit is dat de huidige generatie VoIP centrales intern vaak ongecomprimeerd SIP communiceren. Veelgebruikte tracingtools bij Voip vraagstukken zoals Wireshark hebben daarom geen enkele moeite om het gesprek te ontfutselen uit de vele data die over een netwerk gaat. De hacktool(s) doen op ARP niveau een men-in-the-middle-attack. Als het ware nemen ze de identiteit van een telefoon over waardoor vervolgens gesprekken op het netwerk afluisteren en natuurlijk ook doorsturen naar de eigenlijke telefoon zodat men er niets van merkt. Soortgelijke hackstrategieën komen we ook tegen bij het hacken van draadloze netwerken die overigens “zomaar” uit de lucht gegrepen kunnen worden.

In alle gevallen, wat doe je er tegen?

  • Vroeger, in het analoge tijdperk, was het bekende tentje waarin “een mannetje” op de koperkabel buiten de deur meeluisterde net zoiets . Toen konden we niet zo veel doen behalve verdachte bewegingen opmerken en actie ondernemen.
  • Nu in het digitale tijdperk moet “een mannetje” al meer moeite doen, namelijk binnen op een netwerkkabel of een gehackt Wifi netwerk meeluisteren. Wel kunnen we er nu wat aan doen, vanaf Swyxware versie 8 wordt juist daarom sRTP encryptie ondersteunt.

Verder probeer ik altijd nuchter en realistisch  te blijven, als de echte professionele hacker aan de slag gaat, vroeger of nu… Dus blijft het zaak om (digitale) verdachte bewegingen op te merken en actie te ondernemen.

BBeyond bied nu QoS tussen geselecteerde locaties

Van de week sprak ik onze contactpersoon van BBeyond en wist mij te vertellen dat wat betreft QoS tussen locaties in een BCM (privé wolk van koppelingen tussen locaties) e.e.a. veranderd is.

Daar waar je vroeger op alle aansluitingen binnen de wolk voor QoS moest kiezen kan dit nu alleen op geselecteerde locaties.
Het voordeel is dus dat wanneer je alleen tussen 2 hoofdkantoren dit wil, je dit niet direct voor 20 neven-vestigingen hoeft te doen.

Dit scheelt vooral in de type verbindingen. Voor QoS moet je een “non overbooked, 1:1” verbinding hebben. Dit scheelt enorm in de kosten wanneer je het over bovenstaand voorbeeld hebt. In plaats van dat 22 contracten “non overbooked, 1:1” dienen te zijn, hoeft dit alleen nog maar op de aansluitingen op het hoofdkantoor. De overige 20 kunnen “overbooked, 1:20” gekoppeld worden.

Dit scheelt al snel honderden tot duizenden euro’s per maand.

Sharepoint en authenticatie scherm

Aangezien ik zojuist (weer) de vraag kreeg “ik moet iedere keer mijn naam en wachtwoord ingeven als ik naar onze sharepoint site ga” besloot ik het maar te bloggen.

  • Als je in “internet explorer” zit druk je op “Alt” je zal nu de menu’s zien van IE.
  • Kies voor “Extra”
  • Kies “Beveiliging”
  • Selecteer de zone “Lokaal Intranet”
  •  
  • klik op “Websites”
  • kies “Geavanceerd”
  • voeg hier de url toe, b.v. “sharepoint.domeinnaam.nl
  • kies “Sluiten”
  • kies “Ok”

Sluit het scherm nog niet, maar de website bevind zich volgens Internet Explorer nu op het “lokaal intranet”. Nu gaan we de instellingen dusdanig aanpassen zodat voor de “zone” “lokaal intanet” de gebruikers gegevens automatisch worden verstuurd.

  • Selecter in hetzelfde venster “Lokaal intranet”
  • Kies voor “Aangepast Niveau”
  • Scroll helemaal naar onder naar “Verificatie van Gebruiker”
  • Kies hier voor “Automatisch aanmelden met huidig gebruikersnaam en wachtwoord”.

Log nog een keer op de sharepoint site in, kies voor onthouden wachtwoord, en de sites als wel de documenten daar binnen zijn voortaan te openen zonder allerhande meldingen.

Uiteraard is dit ook via een group policy te regelen, en is hetzelfde truukje werkbaar voor andere “URL’s”.

Het “Printers” scherm aanbieden in een XenApp 2008 omgeving

Vaak zie ik dat er gestoeid word met Printers in XenApp omgevingen. b.v. dat mensen persé hun lokale printers mee moeten nemen om printers te krijgen. Dat ze centraal uitgerold moeten worden, maar dit is ook niet altijd een optie als er geen lijn in “standaarprinters” is. Of gebruikers die printers toe dienen te voegen via b.v. “Microsoft Word -> Afdrukken” hier kan er dan gekozen worden voor printer zoeken. Al met al werkt het wel, maar zou het nu niet mooi zijn als je via Citrix/XenApp gewoon het “Printers” scherm uit je configuratie scherm aan kan bieden? Het kan en hieronder hoe:

Maak een nieuwe applicatie aan en bij “command line” (oftewel, de uitvoer regel) geef je het volgende in:

“control.exe printers” (uiteraard zonder de quotes).

Bied de rest van de applicatie aan zoals je normaliter ook zou doen en gebruikers kunnen hun “printers” scherm oproepen alsof het een published app is. Zo kunnen ze hun eigen instellingen opslaan in het Terminal Server Profiel.

Voor het officiele Citrix/XenApp artikel:
http://support.citrix.com/article/CTX119725

Analoge apparatuur en VoIP

Alhoewel de wereld om ons heen in een rap tempo digitaliseert ontkomen we er in de praktijk niet aan dat er een installed base aan analoge apparatuur wordt gebruikt. Denk b.v. aan het reeds bestaande DECt netwerk, de fax, de frankeermachines etc.

Primair verdient het de aanbeveling om deze technologieën waar mogelijk te digitaliseren. DECt netwerken laten zich prima vervangen door de Vast/mobiel integratie oplossingen via GSM (zie https://swyxoholic.nl/2010/08/27/swyxit-mobile-v7-01-for-blackberry/). De fax is natuurlijk prima op te lossen door gebruik te maken van de digitale fax mogelijkheden binnen de centrale (hierover later meer). De frankeermachines staan ook niet stil en zijn tegenwoordig ook in IP variant te verkrijgen.

Mocht er toch nog een analoog device gekoppeld moeten worden dan zijn er altijd nog de IP-analoog boxen (IP a/b adapters) beschikbaar, denk daarbij aan apparatuur van Linksys, Audiocodes of Grandstream. Welke oplossing het beste geschikt is voor uw situatie is geheel afhankelijk van de wensen en zal dus per geval bekeken moeten worden.

hoe een BSOD (blue screen of death) en memory.dmp probleem op te lossen

Gelukkig komt het steeds minder vaak voor, maar helaas nog vaak genoeg. Pc’s die spontaan (ogenschijnlijk zonder reden) herstarten, servers, of beide die niet herstarten maar wel een blauw scherm met getallen en letters geven. Vrijwel altijd is er een memory.dmp file aanwezig in c:\windows\system32\memory.dmp. Als deze niet aangemaakt word kan dit ingesteld worden dat deze volgende keer _wel_ aangemaakt word en het apparaat niet zomaar opnieuw start zodat je als gebruiker weet dat de machine “vastgelopen” is.

Vaak kan je met de stop code al een hoop achterhalen, zoals b.v. stop 0x0000007B een “inaccesible boot device” betekent. Dit kan een beschadigde HD zijn (gebruik dan chkdsk) of de chipset word niet herkend (b.v. na het clonen van een hd) of er is iets met de windows installatie door b.v. een virus. Gebruik dan de windows recovery console.

Maar wat als dit het allemaal niet is?! Dan kunnen we de Memory.dmp file gebruiken om het geheugen op het moment van crashen uit te lezen om te zien welke applicatie, dll, driver o.i.d. verantwoordelijk hiervoor gehouden kan worden.

Deze kan vervolgens geupdate worden, vervangen, dan wel verwijderd (of de .dll of .exe renamen omdat de applicatie waarvan deze was niet meer geinstalleerd staat).

Kijk hier voor meer informatie en een duidelijk omschrijving hoe e.e.a. in zijn werk gaat: 
http://blogs.techrepublic.com.com/window-on-windows/?p=1922

Microsoft stopt met Windows Live Spaces en verhuist naar WordPress

Tsja, mijn 2e bericht op het blog en ik vraag me al af wat het ermee te maken heeft.
Aan de andere kant ben ik wel verheugd, 2 weken terug nog de vraag welke we nemen en al vrij snel werd dit WordPress.

Nu een paar weken later ben ik blij met de keuze, als microsoft hun 30 miljoen gebruikers hieraan overdragen zullen ze er zeker het vertrouwen in hebben. Nu maar hopen dat het niet trager word.

zie ook:
http://tweakers.net/nieuws/69901/microsoft-stopt-met-windows-live-spaces-en-verhuist-naar-wordpress.html?nb=2010-09-28&u=1500

VMWare vCenter en vSphere laatste updates

Blij met mijn eerste post op mijn nieuwe blog met behulp van collega Wilco!
En gelijk nieuws om te brengen! VMWare heeft met de komst van vSphere 4.1 een aantal leuke wijzigingen doorgevoerd.
De belangrijkst hierin zijn:
 
ESXi, de gratis server variant van VMWare, gaat van naam veranderen en komt vSphere Hypervisor heten. Tevens blijft deze gratis.
 
En nu een van de belangrijkste in mijn ogen, de Essential Plus (bundel voor uw eerste 3 servers) en de VMWare Standaard licentie bevatten voortaan “vMotion”. Met vMotion kan een draaiende VM realtime worden verplaatst naar een andere “Virtualisatie server” zonder dat deze uithoeft. Voorheen had je hier minimaal de “Advanced” licentie voor nodig.
 
Wel een nadeel is dat VMWare ietsje duurder is gewoorden, maar zolang je “alleen” maar een Essential Plus of een Standard license met SNS had, krijg je er nu wel mooi vMotion gratis bij.

SwyxWare versie 8 nieuws (3)

De Swyx partnerdag is afgelopen donderdag geweest en dus is er nieuws over SwyxWare versie 8. Nou ja nieuws, maar ik kan nu met zekerheid aangeven wat er in SwyxWare 8 komt:

  • Rich presence. Al eerder aangekondigd maar nu heb ik ook details gezien. Rich presence zal niet alleen een uitbrieiding in kleurtjes betekenen die door de eigen organisatie gedefineerd kunnen worden. Ook de mogelijkheid om persoonlijke berichten te delen via rich presence wordt mogelijk. Bijvoorbeeld: Away, I am on a vacation until 15th of October “leave message”
  • Ondersteuning van HD-audio in de SwyxIt! client en L-series SwyxPhones
  • sRTP encryptie van de gesprekken binnen de centrale, hierover later deze week meer.
  • Video telephony, in de huidige versie met het collaboration pack is er peer-to-peer video telephony, nu wordt er gesproken over server based video telephony.
  • Sip transparancy voor de koppeling met third party oplossingen
  • Een nog sneller systeem, gesproken wordt er over een 3 x betere performance dan de huidige versies.
  • De verwachting is dat in november 2010 de eerste Beta release met een beperte verspreiding zal plaatsvinden.
  • De officiële release staat gepland voor Q1 2011