Taavi Saluri – TAAVI SALURI |

Author's Posts

7. mai 2019

MMS 2019

Tervitused Minneapolisest! Taaskord on käes aeg aasta oodatumale sündmusele keskhalduse maastikul – MMS (Midwest Management Summit), mitte see torusiili teema! 🙂 Tähtis on siinkohal vahet teha!

Lubasin varasemalt teha ülevaateid toimuvast ning proovingi õhtuti kajastada päeval toimunut.

Jõudsin ise kohale juba 4 mai õhtul ning sättisin end kenasti sisse Radissoni hotellis, mis on Mall of Americaga paari pandud. MOA on siis koht kus üritus aset leiab. Tegu on ühe suurima kaubanduskeskusega USA´s, mis asub mõnusalt lennujaama vahetus läheduses. Kohalejõudmine oli kiire, kuna kõik on äärmiselt loogiline ja arusaadav. Ühtlasi olen varasemalt siin ühel korral juba viibinud, mis tegi orienteerumise märksa lihtsamaks.

Esimesel päeva (5. mail) toimus ürituse avamine, kus siis tervitati külalisi, pakuti süüa/juua ning sotsialiseeruti. Nägin mitmeid põnevaid inimesi maailma erinevatest paikadest ning minuarust ongi see selle ürituse üks peamine võlu – tutvuda ning kohtuda uute inimestega. Eestist on seekord esindatud 3 inimest. Peale minu veel Kaido ning Oleg.

Täna (6. mail) hakkas üritus pihta kell 8.00. Sessioone oli palju kuhu vabalt sisse võis kõndida. Samuti oli teemasid väga palju. Minujaoks pakkusid huvi alljärgnevad teemad:

Intune and ConfigMgr; Better together – Peamiseks teemaks oli siis just “Co-Management” ning erinevad võimalused nii Intune kui ka Config Manageri koos kasutamiseks, et pakkuda terviklikumat lahendust asutuses. Ühtlasi vaadeldi olukordi kus üks või teine lahendus on parem või kus toodete koos kasutamine pole sootuks mõistlik. Kõik oleneb, milline on keskkond ning asutuse vajadused.
Real-Time ConfigMgr with CMPivot and Scripts!
Nerds of the Feather – OSD – Antud blokk on peamiselt mõeldud diskussioonideks, kus inimesed saavad oma probleemidest rääkida ning kõik teised oma kogemuste põhjal siis nõu pakkuda. Teemasid oli mitmeid, mida käsitletim, kuid nagu ikka – kõik kiiret lõpplahendust ei leidnud 🙂
BIOS & Firmware Management Deep Dive – Minujaoks üks oodatumaid sessioone, kus kajastati siis erinevaid võimalusi BIOS halduseks, turvauuendusteks ning miks ja millega midagi teha.
Drivers, Drivers, Drivers – I “Love” Drivers – Kogu sessioon räägiti SCCM´is Driverite haldusest. Kuidas ja mis tööriistadega Drivereid alla laadida (kui seda teed minna), millega majandada, uuendada ning kuidas lõpuks masinatele välja jagada. Põnev!
ConfigMgr State of the Union – Selles sektsioonis võeti kogu päev kokku ning veedeti meeleolukalt aega. Räägiti SCCM´i uutest funktsionaalsustest ning tulevastest võimekustest. Minujaoks kõige tähtsam ja põnevam avaldus oli see, et MBAM liidetakse lähemate Techical Preview´de jooksul SCCM´i külge nii toote võtmes kui ka litsenseerimise võtmes. Aastaid minupoolt oodatud funktsionaalsus, mis väärib kindlasti ootamist.

Kindlasti väärib kajastamist ka see, et pakutav kohvi on äärmiselt kehva ning mõjub siseorganitele (peamiselt maole) laastavalt. Seega rahakotirauad lahti ning kõrvalolevasse putkasse päevarahasid tuulutama.

Teemasid kajastavad erinevad MVP´d üle maa ning väga palju on pandud rõhku just 1:1 suhtlusele. On võimalik oma probleeme arutada, küsimusi esitada, diskussioone pidada jne. Ehk tegu ei ole suure üritusega kus sa kuskil kaugel jalgpalli staadionil viimases reas istudes seminari jälgid. Kõikidel on võimalik kaasa rääkida ning arutleda. Äärmiselt põnev on kohtuda inimestega, kelle nimesid sa oled korduvalt foorumitest lugenud. Seega kindlasti väärt kogemus kõikidele, kes järgmine aasta plaanivad kuhugile minna aga veel ei tea kuhu.

Detailsemaks ei ole hetkel mõtet siin minna – kui kellelgi on ürituse või teemade osas küsimusi, siis võtke ühendust. Hea meelega jagan oma kogemust ning õpitut.

16. veebr. 2019

Windows 10 v1903 – Mis uut?

Kohvikõrvale

Windows 10 versioon 1903 on ametlikult välja tulemas 2019 aasta Aprilli lõpus või Mai alguses. Tegu on järjekorras seitsmenda suurema uuendusega Windows 10 ajajoonel. Ühtteist põnevat on uues versioonis lisaks kosmeetilistele muudatustele ka tulemas. Mind isiklikult huvitab alati just turvalisuse pool ning funktsionaalsus, mis administraatorit edasi aitab. Fondi muutus ning “Dark Theme” pole siinkohal kriitilise tähtsusega aga kindlasti mugavuse võtmes abiks 🙂 Continue reading Windows 10 v1903 – Mis uut?

10. nov. 2018

SCCM & MS Teams Deploy

Kohvikõrvale

Hei,

Panen kirja mõned tähelepanekud MS Teams masinaülese installi kohta, mille otsa ise komistasin. Varasemalt oli meil “exe” tüüpi fail, läbi mille sai teostada masinates Teams´i installi. Viimane on veel tänaseni kenasti kõikidel Teams´i portaalist allalaetav (teams.microsoft.com). Seal olid aga omad puudujäägid masspaigalduse osas. Juba mõni aeg tagasi andis Microsoft välja MSI pakid installatsiooni teostamiseks kas siis üle GPO (mida me ei tee!) või siis üle SCCM´i või muu sarnase kontrollitava lahenduse. Continue reading SCCM & MS Teams Deploy

19. okt. 2018

MMS (Midwest Management Summit) 2019 – Here I come! :)

Kohvikõrvale

Täna sai registreeritud järgmisel aasta mais toimuvale MMS üritusele. Ei, tegu ei ole torusiili joojate sektiga vaid Minnesotas iga aastaselt toimuva IT tehnilise seminariga. Kes soovib saab täpsemalt lugeda lisa siit:

https://mmsmoa.com/

Soovitan kindlasti võimalusel külastada! Kui kulude kohta infot vaja, siis võib mulle kirjutada!

Kui keegi plaanib veel minna, siis andke teada! 🙂 Eestlased – let´s unite! 😉

12. sept. 2018

SCCM 1806 uus funktsionaalsus: “Enable a PXE responder without WDS” ehk “PXE ilma WDS´ita”

SCCM

Hei,

Üle pika aja siis jällegi üks postitus ühest huvitavast lahendusest, mis suuremates asutustes võib väga palju mõjutada. Seda nii rahaliselt kui ka riistvara ressursiliselt. Continue reading SCCM 1806 uus funktsionaalsus: “Enable a PXE responder without WDS” ehk “PXE ilma WDS´ita”

11. veebr. 2018

Azure identiteedist: Pass-trough Authentication (PTA) vs Federeeritud identiteet

Office 365

Hei,

Palju on räägitud erinevatest identiteedi mudelitest ning eriti hästi on see ära kaetud minu hea sõbra Kaido Järvemetsa poolt (https://kaidojarvemets.ee/enterprise-mobility-security/azure-active-directory-identiteedi-kontseptsioonid). Respect sõber! 🙂

Üheks enim levinud identiteedi mudeliks on täna küll Federeeritud identiteet (mis eeldab Active Directory Federation Services aka ADFS teenust), kuid olen üpris veendunud, et väga suur osa lahenduse kasutajatest ei saa täpselt aru, miks neil selline lahendus on või siis kasutavad nad sealt ära nii marginaalse osa võimekust (näiteks ainult SSO), et lahenduse koguvajadus võiks kahtluse alla olla seatud. Paljud konsultandid käivad ja müüvad põhjendamatult maha AD FS lahendust seletamata ettevõttele miks see neile vajalik on. Mõneti võime siin süüdistada raha, kuna AD FS projektid on oma mahult kõige suuremad. Minu nägemus on alati olnud, et ettevõtte võiks teada kõiki variante ning tegema otsuse vastavalt ärivajadustele.

Tänases Eestis oleks enamustele asutustele kõige optimaalsem (Oleneb jällegi kontseptsioonist aga siinkohal kirjutan enda kogemusest) rakendada Pass-Trough identiteedi mudelit. Antud lahendus on jõukohane, arusaadav ning keerukuse astmelt kõige optimaalsem. Vaatamegi siinkohal lähemalt mida antud lahendus endast kujutab ning mida juurutamiseks tarvis on.

Täna on meil olemas neli erinevat identiteedi mudelit.

Pilv ainult identiteet
Sünkroniseeritud identiteet
Federeeritud identiteet
Pass-Through Authentication identiteet (PTA)

Pass-Through Authentication, edaspidi PTA, identiteedi mudel on hetkel Microsofti kõige uuem lahendus ning nägemus identiteedi haldusest. Antud lahendust ootasime kaua, kuna kõik varasemad lahendused olid kas liiga keerulised, kallid ning mahukad (jääksid tugevalt alakasutusse) või liiga triviaalsed, vähefunktsionaalsed või asutuse turvapoliitikaga vastuolus (Parooli räsi pilve, kuid Microsofti poolt tugevalt soovitatud). Antud lahendus on täpselt vahepealne ning mõistlik.

Miks PTA?

Lihtsam ja odavam kui federeeritud identiteet
Võimaldab kontrollida kasutaja parooli vastu oma maja domeenikontrollerit
Võimaldab SSO (Seamless Single Sign-On)
Võimalik juurutada ka tasuta Azure AD versioonide puhul

Võrdleme põgusalt Federeeritud identiteeti ning PTA lahendust:

Mõlemal juhul toimub parooli valideerimine majasisese AD pihta. Ehk parooli pilve ei sünkroniseerita. Küll aga võib paroolid pilve sünkroniseerida ning see on ka soovituslik lahendus. Seal on mitmed põhjused miks nii teha. Näiteks pilverakenduste edasi toimimine kui sisemine võrk enam ei vasta jne. See kõik sõltub aga asutuse turvapoliitikast
PTA puhul sisestatakse kasutajanimi/parool pilverakendusse. AD FS puhul majasisese AD FS serveri peale
PTA puhul on võimalik ainult kasutajanimi/parool tuvastus. AD FS puhul on võimalik nii kasutajanimi/parool, sertifikaadid jne
PTA puhul on ainult vajalik kaks serverit. Üks nendest aktiivne ja teine passiivne. Mõlema serveri seadistamine läbi Azure AD Connect kaudu AD FS infrastruktuur on märksa mahukam ning nõuab vähemalt 4 serverit ja koormusjaoturit
Mõlemad lahendused võimaldavad kaheastmelist tuvastust, kuid AD FS lahendusega on võimalik juurutada kolmanda partei tooteid ning ka näiteks ID-kaardi tugi
Mõlemal juhul on olemas SSO. PTA puhul tuleb see eraldi sisse lülitada
Mõlemal juhul on kasutatav Conditional Access, kuid AD FS puhul on võimalik täiendavalt lisada näiteks IP põhine ligipääs jne
Erinevusi on veel mitmeid, kuid peamine sai ehk kaetud

Seega lühidalt võttes kui asutuses puuduvad vajadused kolmanda osapoole tarkvara või lahenduste järgi ning lahenduse keerukust soovitakse hoida optimeeritud, siis piisab täielikult PTA lahendusest. Seda on ka ajalugu näidanud!

PTA juurutamisest

PTA lahenduse juurutamine on lihtne. Vajalik on minimaalselt üks server, mis siis serveerib Azure AD ja on-prem AD vahelist sünkroniseerimist. Olenevalt kontseptsioonist oleks mõistlik kasutada kahte serverit, millest üks on Staging-modes ehk siis failoveri jaoks valmis. Seda on peamiselt tarvis siis kui paroole pilve ei sünkroniseerita ning kõik isikutuvastuspäringud tulevad otse majasisese AD peale. See muudab Proxy/AD Connect teenuse märksa kriitilisemaks, kuna juhul kui Proxyga midagi juhtub on automaatselt maas ka kõik pilveteenused.

Proxy server vajab vaid HTTPS/TCP 443 ligipääsu välja, et suhelda Azure pilvega ning sisemiselt peab ta ligi pääsema kohalikule AD Domeeni kontrollerile. Vajalik on kaks kontot, millest üks on Azure AD Globaalne administraatori konto (Esialgseks seadistamiseks.) ning sisemine konto, kellel on õigus sünkroniseeritavate objektide atribuute lugeda ning vajadusel ka kirjutada.

Enamus asutusi kipuvad sisemise teenuskonto tegema domeeni administraatoriks, kuna nii on lihtsam. Tõsi – nii on äärmiselt lihtne, kuna õigustega ei pea eraldi mängima. Mina ise soovitan aga kõik õigused manuaalselt vastavalt sünkroniseeritavatele OU´dele/objektidele välja jagada. Sellisel juhul ei saa “kogemata” asju juhtuda, kuna konto kustutamise õigust näiteks pilvel ei ole. Kõikide tegevuste jaoks on Microsofti koduleheküljel ka välja toodud atribuudid, mida loetakse/muudetakse vastavalt teenusele. Hiljem on seda hea vaadata ka Directory Synchronizaton tööriistaga, kus näidatakse väga hästi ära, et mida püütakse teha ja mida ei saa teha.

Kokkuvõtvalt saabki öelda, et väga suurele massile sobib edukalt Pass-through Authentication lahendus, mis on arusaadav ning mõistlik. Kui te plaanite juurutada alles pilveidentiteeti ning teete esimesi samme, siis mõelge kogu kontseptsioon kindlasti põhjalikult läbi. Hiljem on selle muutmine juba märksa keerulisem ja kulukam!

Kui selles vallas on nõu või abi vaja, siis võib minu poole julgesti pöörduda. Aitan meeleldi antud lahendust projekteerida ning juurutada.

24. jaan. 2018

Windows 10 Jaanuari patch lõhub masinaid

Kohvikõrvale

Hei,

Puutusin kokku olukorraga, kus Windows 10, 2018.01 (Jaanuar 2018) kumulatiivne uuendus tekitab osadel masinatel BSOD olukorra. Infot on Googles sellekohta palju ning lahendused erinevad. Räägiksingi siin oma kogemusest. Meie näitel olid probleemsed just Lenovo X1 viimase generatsiooni masinad. Kõik masinad said suvalisel ajal järjepidevalt BSOD ekraani. Paarimees suutis välja sõeluda lahenduse ning siinkohal aitas järgnev:

https://answers.microsoft.com/en-us/windows/forum/windows_10-performance/windows-10-pro-only-boots-in-disable-driver/ae277a5f-c047-4a6b-b5f6-aa57dd1e3279

Äkki on ka kellegi teisel sellest abi!

21. jaan. 2018

PKI: Pisut alustaladest

Kohvikõrvale

Hei,

Käesolevas Blogipostituses võtaksin ma luubi alla erinevad teemad, mis puudutavad PKI´d ja selle juurutamist asutuses. Peamiselt tuleb juttu Two-tier lahenduse ülesse ehitusest ning selle lahendusega kaasnevatest headest ja halbadest külgedest. PKI on oma olemuselt niivõrd lai valdkond, et kõigest rääkida ei jõua, kuid võtame kokku mõned põhi komponendid ning seda lühidalt. Loodan, et antud kirjatükist on kasu administraatoritel, kes sisenevad alles PKI maailma ning soovivad antud valdkonnas kodukeeles täiendavalt lugeda. PKI puhul ei ole kivisse raiutud reegleid, kuidas lahendus disainida, mistõttu leiab igaüks endale parima lahenduse ise. Omalt poolt püüan natukene rääkida võimalikest ohtudest ja eelistest, mis võivad anda mõtteid oma lahenduse väljatöötamisel. Kui kellelgi on omapoolseid täiendusi või ideid, kuidas midagi paremini teha, siis kindlasti kommenteerige. Elav tagasiside on parim, mis ühte blogipostitust saab saata!

Continue reading PKI: Pisut alustaladest

20. jaan. 2018

PKI: Räägime pisut KRA´st

Shalom!

Seekord kalduksin tüüpteemadelt suisa ebamaisemate teemade juurde ümber. Nimelt vaataks sellist asja nagu Public Key Infrastructure ning täpsemalt võttes siis Key Recovery Agent (KRA) temaatikat.

Continue reading PKI: Räägime pisut KRA´st

31. dets. 2017

Azure Application Proxy ja mis see endast kujutab

Kohvikõrvale

Hei,

Pole mõnda aega juba kirjutada saanud ning näpud juba sügelevad! Detsember on olnud tormiline kuu ning põhiaur on läinud erinevate projektide peale, milleüle on mul samuti väga hea meel. Loodan tulevikus rohkem ka blogile aega leida! Continue reading Azure Application Proxy ja mis see endast kujutab