Category Archives: Network infrastructure Servers

LepideAuditor Suite


The Enterprise IT “Swiss army knife”

I’ve recently had the chance to work with the newest version for LepideAuditor Suite which is a comprehensive tool that does more than the name states (auditing). Of course out of all the targeted products I chose to focus on Active Directory, Group Policy and Exchange 2013.

LepideAuditor-Marius-Ene-01

I am not going to go over the installation part because it’s pretty straight forward and Lepide already covers well all the installation steps involved.

Active Directory Auditing

The LepideAuditor for Active Directory comes with a built in Active Directory Health Monitor Dashboard view and integrated Backup and Restore solution. So this is something I really like; having not only audit information but also a view of the overall health and performance history of the AD environment and also the possibility to quickly restore from backup anything related to Active Directory. That is nice!

The first dashboard that opens up shows an overview of the changes in your environment at a glance.

LepideAuditor-Marius-Ene-02

In order to audit logon/logoff events in your environments there are some preliminary steps to configure. For this you can follow the steps described in this article which covers everything very well:

http://www.lepide.com/configurationguide/auditor-suite-enable-logon-logoff-monitoring.pdf

Once you have logon auditing enabled you can see for example when a User has logged on, from where and the type of logon that was performed. See below an example:

LepideAuditor-Marius-Ene-03

Another useful audit report is the Failed Logon report. Here you can see not only the number of failed logon attempts but also the reason why it failed. For Auditors this is the kind of information they are interested in. Below you can see an example:

LepideAuditor-Marius-Ene-04

You can check the uses that were created during a specified period of time. You can see an example below.

LepideAuditor-Marius-Ene-05

One of my favorites when tracking down a “resource access” issue or a “did not receive some email” issue is to see when Group membership was modified. For me this is very useful and I am sure that for some of you as well.

LepideAuditor-Marius-Ene-06

You can even monitor DNS changes and track down what happened to each individual DNS record.

LepideAuditor-Marius-Ene-07

Above you can see the typical STS record created for ADFS. And that is not all;

LepideAuditor-Marius-Ene-08

You can even see tombstoned DNS records! I remember having to remove some lingering objects related to tombstoned DNS records. This tool would have been really useful back then.

GPO Auditing

Looking into the GPO monitoring capabilities and available reports I must say I was impressed with the amount of built in Audit Reports. In a large environment with hundreds of Group Policy Objects where multiple Domain Admins (or delegated GPO admins) manage the settings, it can get hard to keep track of who changed what and when. So a good GPO auditing tool is more than welcomed in this case.

The Lepide GPO Auditor comes with the built in backup feature which can be extremely useful for restoring previous working GPOs to their initial state. By default the backup interval for GPOs is every 1 hour. If your environment doesn’t have a large number of GPOs or a lot of ‘hands’ working with them you can set this interval to something like every 8 hours.

LepideAuditor-Marius-Ene-09

In the restore tab you will be able to restore for example a deleted GPO which is pretty cool and fast.

LepideAuditor-Marius-Ene-10

LepideAuditor-Marius-Ene-11

LepideAuditor-Marius-Ene-12

LepideAuditor-Marius-Ene-13

This will restore the previously backed-up GPO with all settings as expected.

LepideAuditor-Marius-Ene-14

Above is a screenshot with all the available built in audit reports that make auditing GPOs really easy even for someone without a lot of Group Policy management experience.

You can easily setup alerts or scheduled reports whenever an event is recorded.

LepideAuditor-Marius-Ene-15

I like the Set Alert option as it allows to keep track of important GPO changes like the Default Domain Controllers Policy or the Default Domain Policy.

I did a lot of tests with the GPO monitoring part and I have to say that you cannot get any more detailed in terms of Auditing GPOs. I replicated a simple but common issue related to GPOs, when for example someone deletes a GPO link. By doing this, the GPO is not removed but the settings will no longer apply. If you use a complex OU structure and don’t link GPOs to the Domain Root and filter using groups, it can be hard to detect when this has happened.

LepideAuditor-Marius-Ene-16 Sure enough, the change is picked up quite quickly.

LepideAuditor-Marius-Ene-18

Another common one, when the GPO link is disabled (not removed).

LepideAuditor-Marius-Ene-19

Again the change is picked up fast.

LepideAuditor-Marius-Ene-20

I’ve also scheduled a report that sends periodically related to GPO Link changes. This works great as you can see below:

LepideAuditor-Marius-Ene-21

I am not sure about you but for me this is really helpful. Along with the integrated backup/restore feature for the GPOs I believe this is an invaluable tool to have.

Exchange Auditing

Exchange server is the typical enterprise email solution for many companies and sometimes evaluating the health or monitoring the changes can be a difficult task without a specialized software. LepideAuditor for Exchange Server covers all these tasks and more.

When looking at the built in available audit reports you can instantly appreciate the usefulness of this tool.

LepideAuditor-Marius-Ene-22

Keep in mind that these are only the built in ones, you can easily create custom reports and alerts that meet your needs.

You can see for example when a send or receive connector was modified,

LepideAuditor-Marius-Ene-23

You can see when mailbox permissions were modified, database changes were performed, as you can see below

LepideAuditor-Marius-Ene-24

LepideAuditor-Marius-Ene-25

I did a simple test; we get mailbox and grant Full Access permissions to another user. Below are the default permissions.

LepideAuditor-Marius-Ene-26

And we see the change being picked up by Lepide. That is nice!

LepideAuditor-Marius-Ene-27

You can easily schedule an Alert based on this object change which would allow you to be informed in almost real time of the change.

I am not going to continue with all the options and possibilities that this tool can bring to the table, if I had to do that we would need a series of blog posts to show everything.

The conclusion

The LepideAuditor Suite is an invaluable toolset for any System Admin that wants full visibility into his environment in terms of auditing, server health monitoring, alerting, and backup history with fast restore capabilities. LepideAuditor Suite manages to put all these features under a single pane of glass.

 

You can download your trial version here:

http://www.lepide.com/lepideauditor/download.html

More information about LepideAuditor Suite here:

http://www.lepide.com/lepideauditor/

 

Configuring Certificate AutoEnrollment


Configuring Certificate AutoEnrollment

Certificate Auto Enrollment logo

M-am gandit sa scriu ceva despre cum trebuie configurat autoenrollment-ul certificatelor pentru a funcționa corect. Cum se face… intai va trebui sa publicam un template care sa faca ce vrem noi. Ne logam pe serverul de CA sau folosim RSAT si deschidem certsrv.msc pentru a administra certificatele. Facem click dreapta si selectam Manage.

CA

Apoi duplicam un template predefinit si il configuram in functie de necesitati. In cazul nostru folosim template-ul Workstation Authentication.

CADuplicate

Apoi partea importanta, modificam securitatea template-ului creat corespunzator. Daca spe exemplu vrem sa facem autoenroll atunci trebuie selectata si optiunea de autoenroll.

CATemplateSec

Important:

Daca vrem sa permitem Autoenroll este obligatioriu sa selectam si permisiunea de Enroll.

Pe proprietatile Template-ului publicat permisiunile de baza ce trebuiesc asignate pentru a functiona corect sunt:

  • Authenticated Users (implicit) – Read (acesta este obligatoriu altfel nu o sa mearga autoenroll)
  • Domain Admins (implicit) – Read, Write, Enroll
  • Domain Computers (implicit) – Enroll + Autoenroll ca sa faca ….autoenroll
  • Enterprise Admins (Implicit) – Read, Write, Enroll
  • Daca avem Users sau Computers din alte domenii trebuiesc adaugate permisiunile pe template.

Cam atat cu configurarea template-ului…

Mai departe configuram o Politica de Grup prin care setam sa faca autoenroll si o aplicam pe Computers sau Users in functie de cum am configurat template-ul. In cazul nostru vrem sa facem autoenroll pe computer deci modificam setarile corespunzatoare computerelor si aplicam politica computerelor sau grupului de computere, de exemplu Domain Computers.

Setarile de configurare pentru Autoenrollment in GPO se gasesc la :

Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Certificate Services Client – Auto-Enrollment Settings

La Configuration Model selectam Enabled.

GPOaE

Asignam (link) politica la Domeniu sau la un OU in funcție de caz, varificam ca la Scope sa vizeze Computer objects sau un grup de Computer objects. In cazul meu am restrans aplicabilitatea la doar un singur host.

gpo1

In aceasta fereastra la Delegation mergem pe Advanced, si verificam ca acel Computer sau Grup sa aibă drept de Read si Apply group policy.

gpoperm

Cam asta este si cu configurarea politicii de Autoenrollment…

Acum, pe client pentru a forta Autoenrollment-ul, deschidem o ferastra CMD si executam gpupdate /force.

Apoi sa verificam executand MMCCertificatesLocal Computer si verificam containerul Personal. Acolo ar trebui sa apara un alt container Certificates care sa contina certificatul dorit.

MMC

Asta este tot ce trebuie configurat.

Daca ceva nu merge? Ce fac?

Dupa ce am configurat tot ce era de configurat pe partea de server (Politica, Template, Permisiuni) verificam setarile din partea de client. In primul rand sa vedem daca se aplica politica ce face posibil autoenrollmentul. Tool-urile sunt cele obisnuite cu care sunt sigur ca sunteti familiarizati de exemplu gpresult /h c:\report.html, rsop.msc, Group Policy logging, etc.

Odata ce suntem siguri ca politica se aplica corespunzator verificam si in registri pentru a fi siguri ca a fost activat autoenrollment-ul. Daca se configureaza autoenrolment pentru User sa va deschide HKEY_CURRENT_USER, daca se face pentru computer se va merge pe HKEY_LOCAL_MACHINE. In cazul nostru varianta a doua deci calea va fi:

HKLM\SOFTWARE\Policies\Microsoft\Cryptography\AutoEnrollment

Daca AutoEnrollment-ul a fost configurat cum trebuie acolo va fi o inregistrare DWORD AEPolicy cu valoarea 7. Atentie daca nu exista aceasta inregistrare Autoenrollment-ul NU FUNCTIONEAZA.

regesettings

Ca si informatii aditionale aveti un tabel cu valorile posibile ale inregistrarii AEPolicy:

Hex Value Setting Configuration
0x00000000 Autoenrollment Enabled
0x00000001 Autoenrollment Enabled, Update Certificates that user   certificates templates configured
0x00000006 Enabled, Renew expired certificates, update pending   certificates, and remove revoked certificates configured
0x00000007 Enabled, Update Certificates that user certificates   templates configured, Renew expired certificates, update pending   certificates, and remove revoked certificates configured
0x00008000 Disabled

Dupa ce am vazut ca se aplica corect politica, trebuie sa vedem daca avem drepturi pe template.

MMCCertificatesLocal Computer si click dreapta pe containerul Personal. Selectam All tasks – Request New Certificate. Apasam Next de doua ori si acolo ar trebui sa vedem daca putem face manual Enroll la acel template. Daca nu vedem Template-ul selectam casuta din dreptul Show all templates.

Odata ce o gasim, vedem ce mesaj apare in dreptul ei, de exemplu „You do not have permissions to view/enroll this type of certificate.” – in acest caz trebuiesc revazute permisiunile pe template.

Daca se aplica politica, am drepturi dar nu apare acea inregistrare?

Daca acesta este cazul putem sa pornim Logging-ul pentru a afla mai multe detalii. Deschidem Regedit si configuram logging-ul in functie de aplicabilitatea template-ului (User sau Computer).

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Autoenrollment (Computer AE)

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment (User AE)

Cream  o inregistrare DWORD numita AEEventLogLevel cu valoarea 0.

Untitled

Ne uitam in eventvwr.msc in Application log pentru mai multe detalii dupa ce incercam sa fortam procesul folosind gpupdate /force. Acum, in functie de mesaj puteti gasi online tot felul de solutii dar am sa va dau totusi un exemplu in care AutoEnrollment-ul nu functiona corespunzator.

error

Mai mult incercam si sa facem enroll manual sa vedem ce apare…

MMCCertificatesLocal Computer si click dreapta pe containerul Personal. Selectam All tasks – Request New Certificate. Apasam Next de doua ori si acolo ar trebui sa vedem daca putem face manual Enroll la acel template.

error2

Ce trebuie verificat in acest caz? Pe serverul de CA trebuie sa verificam permisiunile de COM Security pentru grupul Certificate Service DCOM Access. Fiecare server de certificate are un astfel de grup local. Daca avem mai multe servere CA, aceste setari trebuies verificate pe fiecare din ele. Deci verificam sa aiba permisiuni de Local Access si Remote Access.

StartAccessioriesComponent Services – expandam Computers si dam click dreapta pe My Computer.

Navigam la COM Security si accesam Access PermissionsEdit Limits. Verificam permisiunile Grupului mentionat anterior.

Component services

Totul bine pana acum. Mai departe verificam Membrii grupului Certificate Service DCOM Access pe serverul de CA.

Si aici era problema. Acest grup reprezinta cine se poate conecta la serverul de CA din acel enterprise. By default Membrii acestui Grup sunt NT AUTHORITY\Authenticated Users. Aceasta setare merge fara probleme in cazul in care ai un single forest-single domain, dar daca ai mai multe domenii / foresturi cum se intampla la firmele mari, atunci trebuies adaugati ca membrii in acest grup, acele grupuri care trebuie sa contacteze CA-ul respectiv. De exemplu daca vrem sa impingem autoenroll pentru calculatoarele din doua domenii vom adauga ceva de genul:

  • DOMAIN1\Domain Computers
  • DOMAIN2\Domain Computers

La fel daca este cazul pentru User Autoenrollment.

Alte resurse utile:

http://blogs.msdn.com/b/windowsvistanow/archive/2008/04/08/troubleshooting-certificate-enrollment.aspx

Configure AutoEnrollment:

http://technet.microsoft.com/en-us/library/cc731522.aspx

Certificate Autoenrollment in Windows Server 2003:

http://technet.microsoft.com/en-us/library/cc778954(v=ws.10).aspx

LepideAuditor for File Server


 LepideAuditor for File Server

Am avut recent ocazia de a lucra cu un tool excelent pentru audit de fișiere. Auditul accesului pe fisiere poate fi uneori dificil folosind instrumente implicite din Windows, trebuie configurate Group Policies, configurat audit pe foldere, configurare de event forwarding, atasarea taskurilor la evenimente pentru a trimite notificari pe email ( ce este interesant aici de mentionat este ca nu se poate configura inainte ca evenimenul sa se fi produs ceea ce inseamna bataie de cap aditionala), backup-ul acestor informatii, si pastrarea acestora pentru o perioada mai lunga de timp cum ar fi 6 luni de exemplu. Toate aceste activitati sunt consumatoare de timp mai ales daca nu aveti experienta in configurarea anterioara a acestor setari. LepideAuditor for File Server poate oferi toate aceste funcționalități și mai mult, principalul avantaj din punctul meu de vedere este timpul economisit in gasirea evenimentelor relevante situatiei. Nimanui nu ai place sa isi piarda timpul si sa parseze manual prin loguri … Configurarea acestui tool este foarte usoara, nimic special. Acesta folosește o instanță SQL, dar poate fi implementat foarte bine folosind SQL Express. Instrumentul are două console principale, consola de setări și Consola de raportare.

Consola de raportare, simpla si eficienta…

După cum puteți vedea in imagini am servere cu roluri diferite auditate, unele fiind chiar si DC-uri sau Exchange-uri. Puteți utiliza acest tool pentru diverse scopuri, si va voi arata un astfel de exemplu, folosind un DC mai târziu în acest document. Vom crea o regulă nouă în care putem defini politicile și setările pe care dorim să le pună în aplicare pentru audit. Aici incepe distracția. O altă caracteristică interesanta a acestui instrument este flexibilitatea cu care o puteți politici de audit. Atunci când implementati setările, puteti configura aplicatia pentru a lua în considerare politici individuale, politici de grup, sau puteti crea o nouă politică.

Creand astfel o nouă politică este destul de simplu, dar în cazul în care aveți probleme, vedeti documentatia Help a aplicatiei care explica clar utilitarul respectiv. Se poate seta un interval orar in care sa se aplice politica de audit, lucru foarte util de altfel pentru ca va permite oarecum sa controlati cantitatea de informatii generata de aplicatie.

Urmatoarele caracteristici va ofera o mai mare flexibilitate si anume va permite sa configurati politici pentru Drive Lists, Directories, File Names, File Types, Processes si Events. Fiecare din aceste setari se pot combina in finctie de scopul scontat si salvarea acestora intr-o politica. După cum puteți vedea diferite setări pot fi configurate intr-o singură politică.

Când vine vorba de setările de notificare aveți 3 opțiuni, e-mail, mesaje de retea si SMS-uri.

Puteți defini chiar și un query, folosind operatori si de a trimite notificări in cazul în care sunt îndeplinite anumite condiții.

O caracteristică interesantă care imi place, este gestionarea operațiunilor simple pe baza de date SQL direct din consola de setări prin intermediul unui wizard simplu. Nu este nevoie de a Management Studio sau alte instrumente pentru a face un database shrink.

Referitor la consola de raportare, vei putea vedea cine a modificat, accesat, sters, schimbat owner si alte evenimente care sunt utile atunci când faci un audit. De exemplu, atunci când un administrator sau un utilizator cu drepturi delegate a schimbat owner-ul unui fișier sau un folder, în scopul de a accesa acel conținut, in consola putem filtra doar acele evenimente care sunt relevante pentru căutarea noastră.

Sau putem folosi unul din filtrele builtin pentru rezultate rapide. Cum am spus si mai devreme, avantajul principal fiind rapiditatea cu care se pot accesa evenimentele dorite. Mai jos vom folosi filtrul Permission Changes filter (Folder).

La deschiderea evenimentului, putem vedea următoarele detalii:

Puteți crea rapoarte obisnuite, rapoarte personalizate și le puteți exporta în diferite tipuri, cum ar fi PDF, Word, HTML, CSV sau text simplu. Rapoartele sunt executate rapid și sunt bine formatate.

Am spus mai devreme că puteți utiliza acest instrument în diverse scenarii, de exemplu, pe un DC  sau Exchange Server. Desigur, Lepide are produse specializate separate pentru audit sau de gestionare a acestor sisteme, dar vreau doar sa demonstrez că se poate folosi si in alte moduri. Puteți configura, de exemplu, auditarea SYSVOL, containerul cu politicile de domeniu. Astfel veți putea monitoriza statusul GPO-urilor. Putem afla cine a modificat, sters, creat si cand referitor la politicile de grup. Intradevar nu este asa frumos fiind ca arata GUID-ul in loc de numele politicii (care se afla usor), dar funcționalitatea sa combinata cu funcția de alertare, va fi notifica imediat persoana in masura ca s-a modificat ceva și-ar putea sa ia niste masuri inainte ca acestea sa se propage sau ca utilizatorii sa primeasca setarile.

În imaginea de mai sus veți vedea, de exemplu, cum cineva a șters o politica de grup (în acest caz, dosarul a fost șters GPT.ini). Stiu, se vede GUID-ul politicii în loc de numele ei, dar totusi acesta este un auditor de file servere nu un auditor AD, pe langa asta oricine poate găsi GUID-ul prin căutarea în proprietățile obiectului. Același lucru se poate aplica pentru Loguri și alte fisiere din Exchange, depinde de cat de creativ esti …. Ca o concluzie despre acest instrument, bune si rele: Bune: • GUI Usor si instinctiv • Configurații foarte flexibile de politici de audit • Funcționează cu SQL Express • Consola de raportare genereaza rapoarte rapide, bine formatate • Notificări aproape in real time prin intermediul diferitelor medii. • Alerte personalizate cu ajutorul operatorilor (AND, OR) • Acces rapid la evenimente folosind filtre predefinite în Consola de raportare

Rele (primele două cred ca sunt inevitabile, deoarece cele mai multe Enterprise-uri folosesc software de monitorizare ce funcționează cu agenți și necesită macar o baze de date, dar în cazul în care se vrea a fi o soluție de tip enterprise poate că ar trebui să ofere mai multe feature-uri, iar unele sugerate mai jos ar putea fi utilizate pentru a îmbunătăți produsul): • Funcționează cu agenți • Necesită o bază de date SQL • Nici un mod de logging pentru troubleshooting-ul aplicatiei

• Necesită actualizarea de agenți frecventă pentru a împinge modificări catre acestia • Nu are user based authentication • Nu exista o consolă web • Ar putea utiliza datele din DB pentru a genera charturi/diagrame

Mai multe informații despre acest program puteți găsi la:

http://www.lepide.com/file-server-audit/?gclid=CM775_fp7bUCFfB3cAodhyIAqw

Demo Video:

http://www.lepide.com/file-server-audit/lfsa-overview-video.html

Configurarea DHCP Split Scope


Cum se configureaza “split-scope” pe un server DHCP 2008 R2?

Configuratia Split-scope mai este cunoscuta si cu numele de “regula 80/20” si se considera ca si o optiune de High-Availability pentru configuratia serverelor de DHCP. Split scope presupune obtinerea redundantei prin configurarea a 2 scope-uri din acelasi subnet pe doua servere DHCP diferite. Cele doua scope-uri nu se suprapun ci sunt complementare deci nu vor aloca acelasi ip vreunui echipament

Numele de 80/20 vine de la procentul de adrese din cele doua scope-uri, adica 80% din range-ul de adrese configurate in primul scope pe un server DHCP, iar 20% configurat in al doilea scope, pe al doilea server DHCP. Pentru a evita epuizarea rapida a celui de al doilea scope de 20% se va configura al doile server DHCP sa ofere adresele ip cu un delay.

Pasii de configurare:

Fig1- Porneste wizard-ul pentru Split-Scope.

Fig2- Apasa next la meniul introductiv.

Fig3- Adaugarea serverului secundar DHCP

Fig4- Se configureaza procentul impartirii leasului pe cele 2 servere DHCP

Ajusteaza split-ul folosind sliderul. Celelalte valori sunt configurate automat SAU splitul poate fi configurat cu campul pentru procent sau range-ul de adrese ip excluse.

Fig6- Seteaza delay-ul acordarii leas-urilor pe serverul DHCP secundar. Apasa Next pentru continuare.

Fig8- Verifica setarile ce urmeaza a fi aplicate. Apasa next pentru a continua.

Fig9- Rezultatul final al configurarii Split Scope.

Sper ca asta va ajuta la configurarea serverului DHCP pentru split scope. Orice comentarii sau sugestii sunt binevenite.