Monthly Archives: October 2023

Microsoft Entra Connect Sync active/staging állapot lekérdezése

Posted on by
Reply

Entra Connect Sync (régi nevén AD Connect) esetén a javasolt konfiguráció egy aktiv Connect Sync és egy másik kiszolgálón futtatni egy staging példányt. A staging nem végez exportálást az Entra ID-be (Azure AD-ba).

Az alábbi powershelles lekérdezéssel megtudhatjuk, hogy az adott instance active vagy staging módban van.

$aadSyncSettings=Get-ADSyncGlobalSettings
($aadSyncSettings.parameters | ?{$_.name -eq "Microsoft.Synchronize.StagingMode"}).value
# output "False" means Staging mode is disabled
# output "True" means Staging mode is enabled

Ez könnyebbé teszi a meghatározást, mint a grafikus felületi ellenőrzés

Intune Certificate Connector – Azure AD Sign in probléma

Posted on by
Reply

Microsoft Intune Certificate Connector telepítése közben szükséges belépni az Azure AD-ba. Ilyenkor viszont belefuthatunk egy hibaüzenetbe:

“Something went wrong An unanticipated error occurred. Your IT department may be able to help.”

A sikeres konfigurációhoz az alábbi feltételek szükségesek:

  • Global Administrator vagy Intune Service Administrator szerepkör ÉS Intune license hozzárendelve (ez elég ideiglenesen, a konfiguráció időtartamára) az accounthoz.
  • Az accountnak szinkronizálva kell lennie az Azure AD-val.

Ezek után már működik a bejelentkezés

SCCM és a Trusted Root Certification Authorities esete

Posted on by
Reply

Egy kis onprem SCCM szívás megoldása, röviden.

SCCM kliensgépen a a CcmMessaging.log-ban az alábbi hibák:

“Client doesn’t have PKI issued cert and cannot get CCM access token. Error 0x8000ffff”

(A PKI oldal egyébként rendben van az SCCM infrában)

Az SCCM szerver oldalán ez látszik az mpcontrol.log-ban

“Call to HttpSendRequestSync failed for port 443 with status code 403, text: Forbidden”

Nézzünk bele az IIS logokba, hogy mi generál 403-as errort:

“CCM_POST /ccm_system_tokenauth/request – 443 – 192.168.24.16 ccmhttp – 403 16 0 1441 8”

Ami ebből érdekes, az a 403 16. Ennek jelentése: “A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.”

Továbbkeresgélve, ez egy certificate store validation hiba, amikor is a gépen a Trusted Root Certification Authorities tárolóban nem csak önaláírt (self-signed) tanúsítványok vannak. Márpedig oda csak olyannak illik kerülnie, aminél az Issuer és Subject Name megegyezik.

Powershellből le tudjuk kérni a nem oldavaló tanúsítványokat:

“Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}”

Látszik is szépen a probléma (jó esetben a parancsnak semmit nem kéne visszaadnia)

Ezeket a tanúsítványokat törölni kell és a probléma megszűnik.

Defender for Identity és VPN integráció NPS-sel

Posted on by
Reply

A Microsoft Defender for Identitiy (MDI) integrálható egy meglévő VPN szolgáltatással, azaz a VPN el tudja küldeni a RADIUS accounting logokat az MDI szenzornak (IP cím, ország stb). Ezzel információkat tudunk gyűjteni, honnan próbálják a VPN kapcsolatot felépíteni, van-e anomália. Gyanús esemény lehet ha hirtelen más országokból próbálnak VPN-en csatlakozni.

Jelen pillanatban az alábbi gyártók VPN megoldásai támogatottak a standad RADIUS accountinggal:

  • Microsoft
  • F5
  • Check Point
  • Cisco ASA

Nézzük meg, hogy a Microsoft RRAS esetén mik a beállítási lépések:

Nyissuk meg az RRAS konzolt, a Security fülön tudjuk konfigurálni a RADIUS accountingot

Itt megadhatjuk az egyik MDI szenzor nevét/IP-jét.

Utána pedig az MDI portálon beállítjuk a Shared Secretet

Eddig rendben; de mi van olyakor, ha Network Policy Servert használunk, ugyanazon a VPN szerveren? Ebben az esetben nincs ott a RADIUS accounting az RRAS konzolban.

Hogy tudjuk igy eljuttatni a RADIUS accounting logokat az MDI szenzorhoz?

Az NPS konzolban definiáljunk új Remote RADIUS Server Groupot, megadva az MDI szenzorok nevét/IP-jét:

Állítsuk be a Shared Secret értékeket:

Végül pedig a VPN connnection request policyben definiáljuk, hogy a RADIUS accounting melyik távoli szerveren történjen meg (ez esetben az MDI szenzorok)

Utána természetesen ne felejtsük el az MDI portálon is megtenni a szükséges beállításokat.