Aflevering 14 - Ruben Spruijt over VDI
In deze aflevering hebben wij als gast Ruben Spruijt, Sr. Technologist bij Nutanix en voormalig CTO van Frame, om eens van gedachte te wisselen over Virtual Desktop Infrastructuren. We hebben het onder meer over hoe deze technologie vroeger werd toegepast, hoe het zich in het heden positioneert en werpen ook een blik op de toekomst.
Ruben is als Sr. Technologist verantwoordelijk voor visie en technologie-evangelisatie naar Nutanix - Frame klanten, partners en communities. Ruben is een gerenommeerd auteur, spreker (meer dan 350 sessies gepresenteerd op nationale en internationale evenementen), marktanalist, technoloog en veelzijdige nerd, kortom een gevestigde marktleider en uitblinker. Hij is een Microsoft Most Valuable Professional (MVP), NVIDIA GRID Community Advisor, VMware vExpert en was van 2008 tot en met 2017 actief in het Citrix CTP-programma.
Tune in and Come and Get IT!
Come Get IT EXTRA - De Citrix ADC Exploit
Het was groot nieuws, de “Citrix Servers” waren gehackt of waren ineens makkelijk te hacken door kwaadwillenden. Na een waarschuwing van het Nationaal Cyber Security Centrum (NCSC) over een lek in de Citrix ADC’s (ook wel bekend als Netscalers) en het opvolgende advies deze volledig uit te zetten, inclusief alle remote verbindingen, stond Nederland vol met files en was dit nieuws dagenlang trending in de nieuwsbulletins en op sociale media.
Wij hebben gesproken met Martijn Moorman en Andor Klink van Avensus waarbij we terug kijken op dit recente voorval.
Wat was er nou precies aan de hand, hoe is Citrix hiermee omgegaan en wat was de rol van het NCSC en de media in dit verhaal?
We proberen in een half uur de nuances te scheiden van de waan van de dag door kernachtig terug te blikken met onze twee gasten.
Artikelen/bronnen ADC Exploit:
- Interview Fermin Cerna Ciso Citrix
- Aflevering Nieuwsuur met Jeroen van Rotterdam VP Citrix
- Citrix artikel over de exploit en de te nemen maatregelen
- Blog van Citrix over de forensic tool. (Om op de ADC te draaien en te detecteren of deze gecompromitteerd is)
- Link naar de daadwerkelijke forensic tool
- Cisa tool om van buiten te testen of je ADC of Gateway nog kwetsbaar is
- NCSC Advisories ADC vulnerabilities
Systeembeheerder 2.0
Systeembeheerder met uitsterven bedreigd?
Het zijn roerige tijden voor de klassieke systeembeheerder, innovaties, complexiteit en nieuwe trends volgen elkaar in rap tempo op.
Eén van de resultaten hiervan is dat de IT als dienst steeds meer wordt “uitgehold”. Enkele voorbeelden hiervan zijn trends als Bring Your Own Device (BYOD) aan de voorkant en het toenemend aantal Cloud diensten aan de achterkant. De digitalisering van de samenleving heeft ervoor gezorgd dat gebruikers van IT middelen steeds assertiever zijn geworden en steeds vaker zélf wil bepalen waarmee men wil werken.
Met BYOD kan men hierop inspelen, de organisatie laat zelf hun medewerker zijn favoriete apparatuur aanschaffen, gebruiken en beheren. Vervolgens wordt op deze apparatuur de IT als dienst afgenomen (denk aan toegankelijk maken van applicaties en data, ongeacht welke apparatuur). De bescherming van deze data vind niet meer plaats op de apparatuur, maar vanuit de backend.
Als gevolg hiervan wordt er steeds minder gebruik gemaakt van de diensten van werkplek beheer. Tegelijkertijd worden aan de achterkant steeds meer traditionele diensten aangeboden als Cloud diensten waarbij wesoftware, Back-up, en zelfs hele virtuele Infrastructuren kunnen afnemen! Deze kunnen vaak veel efficiënter en kosten effectiever worden afgenomen. Als organisatie betaal je na gebruik Deze trend wordt versneld doordat deze diensten en hun vereisten de laatste jaren steeds meer volwassen zijn geworden en de mogelijkheden laagdrempeliger
Outsourcing
De gevolgen die de huidige systeembeheerder ervaart is dat server en applicatie beheer binnen de organisatie steeds meer bij Cloud leveranciers komen te liggen. Er vanuit de systeembeheerder verwacht wordt meer regie te houden dan beheren van de IT omgeving.
Daarnaast is voor veel organisaties de IT dusdanig complex en bedrijf kritisch geworden dat het voor steeds meer IT beheerders niet meer mogelijk is om alle details te beheersen.
Ook op dit vlak wordt er vaak een beroep gedaan op een externe IT dienstverlener die wél over de juiste specialistische kennis beschikt.
Dit zijn een aantal voorbeelden van nieuwe ontwikkelingen die ervoor zorgen dat de rol van de systeembeheerder flink gaat veranderen. Het technische en haast ambachtelijke van de oude vertrouwde systeem beheerder zal onvermijdelijk gaan verdwijnen.
Het zal steeds minder belangrijk worden of een systeem beheerder alle vinkjes van de back-up applicatie te kennen maar zich meer moeten richten op functioneel effectief inzetten van IT.
Denk hierbij aan de functionele wensen van collega’s in het CRM pakket of details van het Service Level contract met de Cloud leverancier.
Een sleutel rol
De behoefte aan technische expertise in een organisatie zal afnemen. Hiervoor in de plaats komen nieuwe verantwoordelijkheden waarbij het accent komt te liggen op functioneel vlak en het bewaken van onderhoudscontracten. De regisseur!
De IT zelf zal dus steeds meer als een dienst afgenomen worden, op technisch vlak zal de functie minder uitdagend worden maar dit biedt ook een enorme kans.
De nieuwe systeembeheerder 2.0 zal de sleutel zijn tot het effectief inzetten van IT voor de business. Hier ligt namelijk de cruciale rol om de behoefte en wensen van de business naar de IT partner(s).
Podcast Aflevering 12 - Terugblik 2019
Een kleine 12 maanden geleden lanceerde wij hier tijdens een kleine bloggers borrel de eerste Come Get IT podcast. In de maand November van dit jaar publiceerden wij alweer onze vijtiende podcast (inclusief alle extra's) en organiseerde we ons derde evenement. Een mooi jaar voor ons platform!
Om terug te kijken naar zowel dat laatste evenement in November als het afgelopen podcast-jaar hebben Sander en ikzelf een leuke compilatie gemaakt. We combineren op deze manier het delen van kennis met fragmenten die de reguliere uitzendingen niet gehaald hebben.
Voor 2020 gaan we er uiteraard weer een mooi podcast-jaar van maken en we kijken daarom stiekem ook alvast een beetje voorruit.
Kortom een leuke podcast voor de feetsdagen en we wensen iedereen het allerbeste voor 2020!
De evolutie van de Active Directory
Wist je dat de Active Directory in het jaar 2019 20 jaar bestaat? De eerste contouren van Active Directory zijn in 1999 gepresenteerd tijdens de introductie van Windows 2000. In het jaartal 2019 kunnen we nog steeds niet zonder, sterker nog: we diepen de mogelijkheden steeds verder uit.
Wat is nu de Active Directory.
Eigenlijk is de Active Directory een samenvoeging van de functionaliteiten LDAP, Kerberos en DNS. Het protocol LDAP is ontwikkeld in 1975. De basis voor LDAP is X500, X500 zorgt ervoor dat we de hedendaagse Organizational Unit (OU) structuur kunnen gebruiken.
Onderhuids is Active Directory een database met een limitatie tot maximaal 16TB aan omvang en 2 miljoen objecten.
Windows 2003
In Windows Server 2003 is de Active Directory verder uitgediept en zijn er opnieuw functionaliteiten toegevoegd. Een belangrijke toevoeging was het vereenvoudigen van verschillende beheer werkzaamheden rondom Active Directory. Met de komst van Windows Server 2003 R2 is ook het beheer van Group Policies vereenvoudigd en sindsdien niet meer veranderd, los van diverse kleinere toevoegingen in functionaliteiten en mogelijkheden.
Windows Server 2008
In Windows server 2008 is Active Directory Federation Services toegevoegd. Hierdoor is het mogelijk geworden om een Single Sign-On ervaring aan te bieden. Een functionaliteit welke vandaag de dag bijna niet meer is weg te denken. Ook anno 2019 neemt het gebruik hiervan nog steeds toe.
Onderhuids werd ook de naam veranderd van Active Directory (AD) Active Directory Domain Services (ADDS), weliswaar een kleine nuance, wel een belangrijke - De kapstok waar Microsoft meerdere functionaliteiten kan aanhangen gerelateerd aan Active Directory
De inmiddels bekende Active Directory Prullenbak is toegevoegd aan Windows Server 2008 R2.
En verder
Na de naamswijziging (ADDS) is de Active Directory eigenlijk alleen nog maar belangrijker geworden. Tegenwoordig hoef ik bijna niet meer uit te leggen wat de functie van de Active Directory is. De mogelijkheden zijn steeds uitgebreider. We verplaatsen dat maffe ding zelfs naar de Cloud.
Veiligheid
Bescherming van je Active Directory is van cruciaal belang. Het is de kern van je gehele bedrijfsnetwerk! Met een aantal eenvoudige en niet kostbare applicaties is het mogelijk om wachtwoorden te verkrijgen.
En dan zijn de gevolgen niet meer te overzien.
Tips:
- Overweeg een Windows Server Core installatie van de domain controller.
De stappen heb ik hier - Gebruik firewall regels, of externe firewalls om de domain controller te ontsluiten in je interne LAN.
- Gebruik een managementserver (Ook wel bekend al, Steppingstone en/of Jumpserver) voor het beheer van de Active Directory.
- Geef niet meer autorisaties uit dan nodig. Dat klinkt logisch maar ik zie nog bij te veel organisaties dat dit niet, of in ieder geval niet voldoende gebeurd.
Bijvoorbeeld het niet scheiden van admin en “normale” medewerkers AD accounts.
Zelfs bij grote organisaties kom ik dit nog teveel tegen. - Last but not least, gebruik een domain controller als een domain controller.
Met andere woorden, voeg geen onnodige rollen toe of zelfs extra internet browsers.
Dit maakt je omgeving alleen maar kwetsbaarder.
Podcast aflevering 10 - Microsoft Teams
De 10e aflevering van onze podcast is alweer een feit.
Te gast is Maarten Eekels, Maarten is CTO van Portivia, een van de grootste implementatiepartners van SharePoint en Office365 in Nederland.
Maarten heeft zich verdiept in Office 365 en met name Microsoft Teams en praat ons bij over het inzetten van Microsoft Teams en de techniek erachter.
Deze aflevering hadden in we teams kunnen opnemen maar we hebben er toch voor gekozen om Maarten fysiek te bezoeken.
We hebben tijdens het maken van deze aflevering alweer een hoop bijgeleerd. Hopelijk jij ook na het beluisteren van deze aflevering.
Homefolder Profielen naar OneDrive
De moderne (digitale) werkplek is hot, er wordt veel over gesproken, geschreven en gediscussieerd. Waar bestaat zo’n “werkplek” eigenlijk uit, welke toegevoegde en functionele waarde heeft het voor je gebruikers, hoe pak je een implementatie aan en meer.
OneDrive, bekend bij de meeste van jullie, maakt in veel gevallen een (belangrijk) onderdeel uit van deze nieuwe digitale werkplek. In dit artikel wil ik je helpen hoe je gebruiker profielen & homefolders kunt migreren naar OneDrive.
Online zijn een diverse artikelen te vinden over hoe je kunt migreren naar OneDrive, echter is deze informatie erg gefragmenteerd. Over het algemeen wordt er gebruik gemaakt van 3rd party tooling om migraties (naar OneDrive en andere online opslagdiensten) te automatiseren door middel van scripting. De tool waar we vandaag gebruik van gaan maken heet “ShareGate”
Onderstaand neem ik de de migratiestappen puntsgewijs met je door. Voor het gemak ga ik er van uit dat je ShareGate als hebt geïnstalleerd en geconfigureerd.
- Inventariseren is belangrijk. Wil je folders uitsluiten? Vanuit welke bronnen migreer je, zijn het er meerdere – profielen en homefolders bijvoorbeeld. Maak een duidelijk overzicht zodat je goed in beeld hebt waar welke data te vinden is, om hoeveel data het gaat (in GB’s) en waar het heen gemigreerd moet worden.
- Voor je kunt migreren moeten er een licenties zijn toegewezen aan je gebruikers. Het is niet zoals met Office365 Exchange Online dat je al kunt beginnen met synchroniseren en dan later de licenties kunt toewijzen.
- Als je een licentie hebt toegewezen aan een gebruiker wordt de OneDrive niet automatisch aangemaakt zoals in Exchange Online. De gebruiker dient eerst in te loggen om de OneDrive aan te maken, het zogenaamde “provisionen”. Dit gebeurt geautomatiseerd op de achtergrond. Dit kun je uiteraard ook in bulk doen gebruikmakend van Powershell. Gebruik hiervoor het volgende Script:
Import-Module "Microsoft.Online.Sharepoint.PowerShell" -Force
$credential = Get-credential
Connect-SPOService -url https://tenantnaam-admin.sharepoint.com -Credential $credential
$InputFilePath = "C:\Temp\OneDrivePreProvision.csv"
$CsvFile = Import-Csv $InputFilePath
ForEach ($line in $CsvFile)
{
Request-SPOPersonalSite -UserEmails $line.User -NoWait
Write-Host Personal site provisioned for $line.User -ForegroundColor Yellow
}
*Format CSV:
User user1@domain.com user2@domain.com
*Dit script roept een zogenaamd pre-provisioning request aan. Het request wordt in een queue geplaatst. Het is dus niet zo dat het uitvoeren van dit script voldoende is. Nadat het script zijn werk heeft gedaan wordt het pre-provisioning request daadwerkelijk uitgevoerd. Afhankelijk van het aantal gebruikers kan hier dat enige tijd in beslag nemen.
- Je hebt schrijfrechten nodig op alle OneDrive folders binnen de tenant om de data te kunnen migreren. *Tip – Maak hier een generiek account voor aan zodat gebruikers geen argwaan krijgen als ze zien dat er “iemand” rechten heeft op hun OneDrive (zelf heb ik hier niemand over gehoord gedurende een migratie van 1000+ gebruikers maar je weet het nooit.)
Via een rapportagefunctie binnen ShareGate kun je alle OneDrive folders binnen je tenant opvragen en rechten toekennen. Het is wel belangrijk om eerst stap 2 en 3 af te ronden anders werkt dit niet.
- Gebruik een CSV om de homefolder/profile locatie en de OneDrive URL in het script te krijgen, mede om ervoor te zorgen dat alles op de juiste locatie terecht komt. Bijvoorbeeld:
DIRECTORY;ONEDRIVEURL
Y:\USERNAME\PROFILE;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/
Y:\USERNAME\HOMEFOLDER;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/
Een aantal tips om je CSV samen te stellen, gebruik deze PowerShell functie om eenvoudig je homefolders/profiles te inventariseren en in een CSV te krijgen:
Function Get-ChildItemToDepth {
Param(
[String]$Path = $PWD,
[String]$Filter = "*",
[Byte]$ToDepth = 255,
[Byte]$CurrentDepth = 0,
[Switch]$DebugMode
)
$CurrentDepth++
If ($DebugMode) {
$DebugPreference = "Continue"
}
Get-ChildItem $Path | %{
$_ | ?{ $_.Name -Like $Filter }
If ($_.PsIsContainer) {
If ($CurrentDepth -le $ToDepth) {
# Callback to this function
Get-ChildItemToDepth -Path $_.FullName -Filter $Filter ` -ToDepth $ToDepth -CurrentDepth $CurrentDepth
}
Else {
Write-Debug $("Skipping GCI for Folder: $($_.FullName) " + `
"(Why: Current depth $CurrentDepth vs limit depth $ToDepth)")
}
}
}
}
Export alle UPN’s naar een Excel bestand en voer vervolgens eerst het volgende uit:
Voorbeeld user: username@domein.nl
Vervang @domein.nl door _domein_nl/ zodat je het format username_domein_nl/ voor iedere gebruiker krijgt.
*Het voorbeeld gebruikt een .nl domein, dit kan natuurlijk ook .com of iets anders zijn.
Voeg daarna ‘https://tenant-my.sharepoint.com/personal/’ toe voor ‘username_domein_nl/ zodat je https://tenant-my.sharepoint.com/personal/username_domein_nl/ krijgt.
Voeg daarna de Excel files samen zodat je dit format hebt:
DIRECTORY;ONEDRIVEURL
Y:\USERNAME\PROFILE;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/
- Als laatste stap voer je het script uit zodat alles daadwerkelijk wordt geüpload naar OneDrive.
Podcast aflevering 9 - Erik Remmelzwaal
Onze 9e reguliere podcast staat weer helemaal in het teken van het onderwerp security
Voor deze podcast hebben we Erik Remmelzwaal uit zijn winterslaap gehaald en praat hij ons bij over dit schitterende onderwerp.
Voor diegene die even vergeten is wie Erik Remmelzwaal is; in 2011 nam hij, samen met een compagnon, Dearbytes over om als CEO aan de slag te gaan en het bedrijf verder uit te bouwen. In 2017 werd Dearbytes overgenomen door KPN waarbij Erik onder andere de rol van managing director KPN Security Services heeft bekleedt. Aan het einde van 2018 besloot hij een een sabbatical in te lassen waar hij op dit moment nog volop van geniet.
Heeft Erik stil gezeten in de tussentijd en wanneer gaat hij weer aan de slag?
Je weet het aan het einde van deze podcast.
EXTRA Podcast: CGIT Evenement - Formule 1
Op donderdagavond 4 juli hebben we het 2e Come Get IT kennis event georganiseerd.
Er was een mooie opkomst en er stonden weer 3 sprekers met interessante onderwerpen met als thema “Formule 1”.
Had je per ongeluk je vakantie al gepland? Geen nood!
We hebben het voor je samengevat in een nieuwe CGIT Extra podcast.
De sprekers van deze avond waren;
- Bart Groot Zevert - Nutanix
- Arjan Henselmans - VEEAM
- Johan van Amersfoort - ITQ
P.S. Binnenkort delen we meer informatie over ons volgende evenement. Stay Tuned!
EXTRA Podcast: Microsoft Experts Live 2019
Op donderdag 6 juni stond Microsoft Experts Live 2019 op het programma.
Dit interessante community evenement hebben Sander en Martijn bezocht en uiteraard was de podcast microfoon mee.
We hebben gezamenlijk een aantal zeer interessante sessies gezien en aansluitend hebben we de kans gekregen om deze mensen een aantal (kritische) vragen te stellen.
Experts Live is een internationaal Microsoft community platform waarbij kennis delen centraal staat.
Elk jaar organiseert Experts Live Netherlands een grootschalig eendaags event waar meer dan 1200+ IT Pro’s en Developers kennis op gaan doen van Microsoft technologie. Nationale en internationale community experts praten bezoekers in één dag volledig bij over laatste Microsoft technologieën.
Luister naar deze leerzame en 2e extra podcast!