På denne siden legger jeg ut kursinformasjon til dere som har vært på kurs hos meg. Her er smarte ting vi har diskutert på kurset, linker jeg har vist fram og andre ting som kan være greit å ha til senere.

Håper dere har hatt et innholdsrikt og godt kurs!

Emil Rakoczy for Crayon AS

6426B Configuring and Troubleshooting Identity and Access Solutions with Windows Server 2008 Active Directory

Kursinformasjon hos Microsoft:
http://www.microsoft.com/learning/en/us/course.aspx?ID=6426B

Kursinformasjon hos Crayon:
http://www.crayon.no 

Linker:

http://www.microsoft.com/windowsserver2003/technologies/idm/default.mspx
Samleside for IDA - Identity and Access Solutions hos Microsoft. Husk at IDA kun er et marketing begrep for en samling med tjenester og programvare.

http://technet.microsoft.com/nb-no/sysinternals/default(en-us).aspx 
Sysinternals hos Microsoft har mye fantastiske verktøy for feilsøking. Blant annet verktøyet adrestore som lar deg enkelt resore tombstoned AD objekter.

http://technet.microsoft.com/en-us/library/dd391932(WS.10).aspx 
God Technet Artikkel om hva som er nytt i Windows Server 2008 R2 mot Windows Server 2008.

http://www.microsoft.com/downloads/details.aspx?FamilyID=173E6E9B-4D3E-4FD4-A2CF-73684FA46B60&displaylang=en 
Nedlasting av dokumentet som beskriver endringer i funksjonalitet fra Windows Server 2003 R2 til Windows Server 2008. Et must read om du vil være oppdatert.

http://www.microsoft.com/downloads/details.aspx?FamilyID=518d870c-fa3e-4f6a-97f5-acaf31de6dce&displaylang=en 
Windows Server 2008 Steb by Step Guides. Alle samlet på ett sted. Gullkorn link!

http://www.experts-exchange.com
God side om du trenger svar på spørsmål. Seriøs og meget god kvalitet.

http://www.acronis.com
http://www.veeam.com
http://www.vizioncore.com
Linker til leverandører av backup programvare som tar image av servere samt hoster i ESX eller Hyper-V.

http://www.insidepro.com/hashes.php?lang=eng
Link til side med hash og rainbowtables.

http://www.transcender.com
Link til leverandør av tester.

http://support.microsoft.com/kb/243330
Oversikt over SID's / Built-in groups / identiteter i Windows

Spørsmål som er kommet i løpet av kurset:

Støtter Hyper-V USB passthrough?
Nei dessverre. Men du kan bruke usb-over-network programvare for å dele ut en hardware lock fra en annen maskin. Søk på "usb over network" for å finne programvare. Har ikke testet noen av disse og det er mange å velge mellom. Man da f.eks. installere programvaren på Hyper-V serveren (som er en vanlig 2008 maskin), og kjøre usb-over-network over i hosten.

Er det kommet noen nyere versjon av MIIS 2003?
MIIS 2003 er en del av programpakken som utgjør ILM 2007. "Nyeste" versjon av MIIS 2003 er faktisk ILM 2007 med FP1. ILM 2007 kommer også i ny versjon snart, Forefront Identity Manager 2010. Dette kan du lese mer om her:

http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx

ILM 2007 har også kommet med en "Feature Pack" som kan lese mer om her:

http://www.microsoft.com/windowsserver/ilm2007/default.mspx

Kan ILM 2007 kjøre på 64-bits operativsystem?
Nei. Se mer om system Requirements her:

http://www.microsoft.com/windowsserver/ilm2007/faq.mspx#EID

Hva kan verktøyet CertReq brukes til?
certreq er et kommandolinjeverktøy som kan brukes for å håndtere og prosessere Certificate Requests på en CA. Du kan både lage nye Requests og prosessere eksisterende.

Les mer om verktøyet her: http://technet.microsoft.com/en-us/library/cc725793(WS.10).aspx

Har Java en egen Certificate Store siden det er en virtuell maskin?
Ja det stemmer. Java Runtime Environment har et eget Certificate Store og forholder seg ikke nødvendigvis til browseren sine sertifikater. Her er en kort liten "Solution" fra Oracle sine sider angående dette problemet, men det ligger mange artikler på Bing om man ønsker å lese mer om emnet:

http://download.oracle.com/javase/1.4.2/docs/guide/deployment/deployment-guide/upgrade-guide/article-16.html

Hvor i profilen lagres nøklene når brukeren har enrollet et sertifikat?
Det lagres i brukerprofilen til brukeren under \Documents and Settings\<username>\Application Data\Microsoft\Crypto\RSA.

Les mer her: http://technet.microsoft.com/en-us/library/cc962112.aspx

Hvor lang validity støttes på sertifikater i AD:CS?
Så lang som du måtte ønske.

Når kommer dette kurset tilpasset Windows Server 2008 R2 og AD FS:2.0?
Kurset kommer i en C utgave 19.mai 2011 og er da tilpasset 2008 R2 og AD:FS 2.0.

Du kan følge med her: http://www.microsoft.com/learning/en/us/course.aspx?ID=6426C&locale=en-us

Hva er nytt i AD:FS 2.0?
Det kan du lese mer om her: http://www.microsoft.com/windowsserver2008/en/us/ad-fs-2-overview.aspx

Kan en bruker som ikke er lokal administrator legge inn sertifikater i Certificate Store?
Ja, men kun i brukerens eget Certificate Store. Brukeren vil ikke få lastet inn maskinens (Local Computer) Certificate Store.

Hva er forskjellen på DER vs Base64 når du skal requeste et sertifikat fra certsvr på en CA?
Dette angir formatet på sertifikatet og har med kompatibilitet å gjøre. Dersom den som skal importere et sertifkat kun støtter DER, så bruker vi dette. Default ved eksport av sertifikater hos Microsoft er DER.

Hva sjekkes først av Trusted og Untrusted i Certificate Store (hvis et sertifikat ligger begge plasser)?
Trusted sjekkes først og hvis sertifikatet ligger i Trusted Root, så vil det ikke hjelpe at det ligger i Unstrusted også.

Hvilke refresh intervals er aktuell i forbindelse med publisering av et nytt sertifikat, eller en ny template i AD:CS?
Har AD:FS 2.0 noen spesiell integrering mot Exchange som kanskje gjør at vi slipper full forest trust?



Eksamenstips 70-640
EAP-TLS brukes som autentiseringsmekanisme når vi skal støtte smartkort

MSCHAPv2 er nesten alltid rett svar når alternativene er CHAP PAP MSCHAP. Av disse er det kun MSCHAPv2 som regnes som sikker.

Server Operators built-in group kan restarte tjenester, formatere harddisker, logge på direkte på konsollet (tastatur og mus) og kjøre shutdown. Om du i tillegg skal installere drivere el.l. må brukeren med i Administrators built-in group.

Authorative restore brukes for å si at den kopien du NÅ legger inn av AD:DS skal overskrive alle eksisterende versjoner på andre DC'er.

certutil.exe brukes til vedlikehold av CA serveren din. For å ta backup "certutil -backup c:\test". For å kjøre restore "certutil -restore "c:\test".

adamsync.exe brukes for å sette opp synkronisering mellom AD:LDS og AD:DS

LDP.exe brukes for å browse i en LDAP database. F.eks. AD:LDS.

CLAIMS i forbindelse med AD:FS. Claims mapper grupper til en felles betegnelse som forstås av begge parter. På den måten kan et gruppemedlemskap i Account Partner "oversettes" til et tilsvarende gruppemedlemskap i Resource Partner, uten at brukeren faktisk er med i gruppen hos Resource Partner.

Se bildet under fra forelesningen:
(c) 2011 Diode AS