Author Archives: Marc.Grote

Forefront TMG SP2 – Firewall Service stoppt

Posted on by

Hallo Leutz,

seit gestern Nacht scheint auf einer Vielzahl von Forefront TMG Servern mit installiertem SP2 ohne zusaetzliche Hotfixe der Microsoft Forefront TMG Firewall Dienst zu stoppen. Ich habe heute bereits zwei Kundenanrufe und einige E-Mails von Kunden erhalten welche von diesem Problem berichten.
In einer Forefront Mailingliste werden diese Probleme von einer Vielzahl von TMG Systemen weltweit berichtet.
Das Problem scheint mit Forefront TMG SP2 Rollup 1 behoben zu sein:
http://support.microsoft.com/kb/2658903
Am besten gleich SP2 Rollup 2 installieren
Weitere Erkenntnisse sind zum jetzigen Zeitpunkt noch nicht bekannt. Updates folgen
Update 29.06.2012: http://blogs.technet.com/b/isablog/archive/2012/06/29/tmg-services-stopping-unexpectedly.aspx

Gruss Marc

PKI/Zertifikatinfrastruktur: RSA Keys unter 1024 Bit Laenge werden ab August 2012 auf Windows Systemen geblockt

Posted on by

Hallo Leutz,

das Microsoft Windows PKI Team hat angekuendigt, dass mit einem Windows Update im August 2012 ausgestellte Zertifikate mit einem RSA Key kleiner als 1024 Bit blockiert werden.
Das betrifft zur Zeit folgende CSP, welche unter Umstaenden noch von einigen Windows Certificate Templates verwendet werden:
– Microsoft Base Cryptographic Provider v1.0 (RSA)
– Microsoft Base DSS and Diffie-Hellman Cryptographic Provider (DH)
– Microsoft DH SChannel Cryptographic Provider (DH)

Auessern kann sich das neue Blockverhalten wie folgt:
– Error messages when browsing to web sites that have SSL certificates with keys that are less than 1024 bits
– Problems enrolling for certificates when a certificate request attempts to utilize a key that is less than 1024 bits
– Creating or consuming email (S/MIME) messages that utilize less than 1024 bit keys for signatures or encryption
– Installing Active X controls that were signed with less than 1024 bit signatures
– Installing applications that were signed with less than 1024 bit signatures (unless they were signed prior to January 1, 2010, which will not be blocked by default).

Quelle: http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

Der Artikel beschreibt auch wie man die eigene CA Infrastruktur pruefen kann, ob Zertifikatvorlagen mit RSA Key kleiner 1024 Bit verwendet werden und ob Zertifikate basierend auf dem Certificate Template ausgestellt sind. Desweiteren wird beschrieben wie man bereits ausgestellte Zertifikat mit einer hoeheren Schluesselstaerke ausstellen/erneuern kann.

Administratoren sollten sich also umgehend daran machen Ihre Infrastruktur zu pruefen denn aus meiner PKI Erfahrung bei Kunden der zahlreichen letzten Jahre kann ich sagen, dass viele Administratoren dazu neigen, Zertifikate mit sehr langer Lebensdauer auszustellen und wenn das damals noch auf Basis von RSA Keys kleiner als 1024 Bit erfolgte, kann es zu massiven Problemen kommen. Das gleiche gilt fuer die Verwendung von Self Signed Zertifikaten welche sehr gerne verwendet werden. Alle in den letzten Jahren ausgestellte Zertifikate sollte in der Regel RSA Keys groesser als 1024 Bit verwenden, aber einer Pruefung sollte man seiner Umgebung trotzdem goennen.

Der Blog beschreibt auch wie man das Logging der CryptoAPI erhoehen kann (steuerbar ueber Windows Gruppenrichtlinien) und wie man auf aktuellen Windows Systemen das CAPI2 Logging (ab Vista verfuegbar) aktivieren kann um festzustellen, welche Crypto Prozesse noch RSA Keys unter 1024 Bit verwenden. Das CAPI Logging kann man auch sehr gut dazu verwenden um den Windows Event Collector Sevice zu nutzen, alle relevanten EventIDs auf einem zentralen System zu sammeln und auszuwerten.

Gruss Marc

Hyper-V 3.0 Failover Cluster und VM Replica

Posted on by

Hallo Leutz,

die RC Version von Windows Server 2012 ist verfuegbar. Anlass genug, alle meine VM, Notebooks, Netbook und meinen Hyper-V 3.0 Cluster von der Beta auf die RC zu bringen und in meinen SCVMM 2012 neu zu integrieren.
Nach Neueinrichtung des Clusters habe ich “endlich” die VM Replica Funktionen von Hyper-V 3.0 mit den Windows Failoverdiensten und dem Hyper-V Replica Broker erfolgreich eingerichtet. Dabei ist folgendes Bilderbuch entstanden:
http://www.it-training-grote.de/download/HYPERV-30-REPLICA.pdf

Weitere Informationen zur Einrichttung eines Hyper-V 3.0 Clusters:
http://www.it-training-grote.de/download/Hyper-v-livemig-complete.pdf

Gruss Marc

Extended Validation (EV) Zertifikate von einer Windows Server 2008 R2 CA ausstellen

Posted on by

Hallo Leutz,

das folgende Bilderbuch zeigt wie man von einer Windows Server 2008 R2 Enterpise CA eine neue Zertifikatvorlage mit EV (Extended Validation) Verwendungszweck ausstellen kann:
http://www.it-training-grote.de/download/EV-Certificate-W2K8R2CA.pdf
Ueber Sinn und Unsinn kann sicherlich diskutiert werden, derartige EV-Zertifkate im Intranet zu verwenden 🙂

Gruss Marc

Upgrade SCCM(SCEP) 2012 RC2 zu SCCM 2012 RTM – Part III

Posted on by

Hallo Leutz,

Part I meiner Bilderbuchserie zeigt die Migration von FEP 2010 auf SCEP 2012 (seinerzeit RC Version): http://www.it-training-grote.de/download/FEP2010-SCEP2012-Migration.pdf

Part II beschreibt das Update der SCCM(SCEP) 2012 RC2 Version auf die RTM Version: http://www.it-training-grote.de/download/SCCM-RC-RTM-Update.pdf

Dieser Part III beschreibt die Dekommissonierung der alten SCCM 2007 / FEP 2010 Installation: http://www.it-training-grote.de/download/FEP2010-decommissioning.pdf

Gruss Marc

2. Treffen der Forefront User Group Nord (FUGN)

Posted on by

Liebe Forefront Gemeinde,

seit Jahren hat sich im sueddeutschen Raum erfolgreich die Forefront User Group von Dieter Rauscher und Christian Groebner etabliert und wir (Karsten Hentrup / Marc Grote) haben paralell dazu eine Forefront User Group im norddeutschen Raum etabliert. Als Abkuerzung haben wir uns fuer den Namen FUGN entschieden.

Veranstaltungsort fuer derzeit geplante Treffen im Halbjahres Rythmus ist die Firma Invenate GmbH in Hannover, welche uns freundlicherweise die Raeumlichkeiten fuer dieses und zukuenftige Treffen zur Verfuegung stellt.

Das zweite Treffen findet am 16.05.2012 in der Zeit von 19:00 Uhr bis ca. 22:15 Uhr an folgender Adresse statt:
Invenate GmbH
Mengendamm 12
30177 Hannover

Die geplante Agenda:
19:00 – 19:15 – Begruessung und Vorstellungsrunde
19:15 – 20:30 – Forefront Identity Manager 2010 “Live Demo” – Invenate GmbH Andreas Lassen
20:30 – 21:00 – Pause / Networking
21:00 – 21:30 – SCEP2012 – Alles besser als FEP2010 – Marc Grote
21:30 – 22:15 – Exchange Active Sync (Pushmail) via Forefront TMG + zertifikatbasierte Authentifizierung – Karsten Hentrup
22:15 – Ende – Diskussionen / Networking

Fuer das Anmeldeprocedere verwenden wir die XING-Gruppe Forefront User Group: https://www.xing.com/net/pric9d398x/ffug
Weitere Informationen: http://blog.forefront-tmg.de/?page_id=482
Wer also bereits einen XING Account besitzt, den moechten wir bitten, sich ueber diese Gruppe zu den Treffen anzumelden. Sollte jemand XING nicht verwenden moechten, kann er sich auch per E-Mail bei folgenden Adressen anmelden:
Karsten Hentrup (mailto:hentrup@forefront-tmg.de) und Marc Grote (grote@forefront-tmg.de)

Gruss von der FUGN

Karsten Hentrup und Marc Grote