Category Archives: Security

Forefront UAG DirectAccess und Microsoft Lync Server

Posted on by

Hallo Leutz,

folgendes Kundenszenario: Forefront UAG DirectAccess funktioniert einwandfrei, nur der Microsoft Lync Server Client will sich nicht bei den DirectAccess Clients verbinden. Der Lync Server wurde von der IT Abteilung auch ueber die TMG Server veroeffentlicht und der Kunde verwendet ein Split DNS Szenario mit dem selben oeffentlichen DNS Namensraum Intern und Extern. Loesung ist im DA Assistenten von Forefront UAG die NRPT (Network Name Resolution Table) so anzupassen, dass die fuer den Lync Server verwendeten Adressen nicht durch UAG DNS64 aufgeloest werden, sondern die DNS Namensaufloesung von dem oeffentlichen DNS ausgefuehrt wird, welche durch den ISP bei der Einwahl per UMTS/WLAN zugewiesen wird.
Hier geht es zum Screenshot der notwendigen Konfigurationsaenderung im Forefront UAG Server: http://www.it-training-grote.de/download/FF-UAG-DA-Lync.pdf

Gruss Marc

 

Forefront Protection 2010 for Exchange und Cloudmark Engine Updates ueber Forefront TMG

Posted on by

Hallo Leutz,

Updates der Cloudmark Engine von FPE ueber Forefront TMG schlagen fehl. Alle anderen Antivirusengine Updates sind erfolgreich. Lt. Suchmaschinenergebnisse haben sehr viele Administratoren ein derartiges Problem, wenn Forefront TMG verwendet wird und der FPE Server ausschliesslich Webproxy Client ist. Alle aufgefuehrten Loesungsansaetze fuehrten bei meinem Kunden zu keiner Loesung. Wie man TMG dazu bringen kann, Cloudmark Updates von FPE zu erlauben steht hier:
http://www.it-training-grote.de/download/FPE-Cloudmark.pdf

Gruss Marc

Installation von FPE 2010 schlaegt fehl – FEP 2010 ist der Schuldige!

Posted on by

Hallo Leutz,

bei einem Kunden bin ich gerade bei der FEP 2010 Einfuehrung taetig und habe u. a. auf den DC FEP installiert. Heute wollte ich auf dem Exchange Server 2010 FPE 2010 installieren, jedoch schlug die Installation mit einer erst mal unverstaendlichen Meldung fehl. Schuld war im Endeffekt eine fehlerhafte AD Replikation (verursacht durch fehlende Antivirus Exclusions durch FEP welche die AD Replikatin verhinderten). Der FPE Prozess versucht im AD in der Domaenenpartition eine Exchange Gruppenmitgliedschaft zu aendern (RBAC) und in der AD-Konfigurationspartition unter “Hygiene Management” den FPE Computeraccount einzutragen.
Welche Einstellungen in den FEP Antivirus Exlusions zu der fehlgeschlagenen AD Replikation fuehren und wie man das FEP DC Template anpassen muss, steht hier:
http://www.it-training-grote.de/download/FPE-Install-FEP.pdf

Gruss Marc

Forefront TMG und verschaerfte Active Directory Kennwortrichtlinien fuer spezielle Gruppen

Posted on by

Hallo Leutz,

Forefront TMG erlaubt die Verwendung von PraeAuthentifizierung in ausgehenden Firewallregeln und in eingehenden Webserververoeffentlichungsregeln, wenn der Forefront TMG Server Mitglied der Domaene ist oder bei der Verwendung von RADIUS (ein- und ausgehend) oder LDAP (Eingehend) wenn der TMG Server Mitglied einer Arbeitsgruppe ist.
Active Directory verwendet bekanntlich Kennwortrichtlinien fuer Active Directory Benutzer, jedoch werden nicht in jeder Firmenumgebungen strikte Kennwortrichtlinien forciert. Um jetzt die Sicherheit des Systems fuer Benutzer, welche sich aus dem Internet ueber den TMG Server anmelden (z. B. fuer OWA/OA/VPN etc.) nicht zu unterminieren, waere es sinnvoll, im Active Directory eine restriktive Kennwortrichtlinie zu hinterlegen. Wenn das aber aus technischen / politischen Gruenden nicht moeglich ist, kann man mit den fein abgestuften Kennwortrichtlinien (FGPP = Fine Grain Password Policies) (ein Feature seit Windows Server 2008) fuer zusaetzliche Sicherheit sorgen, indem man fuer die Benutzergruppen, welche am Forefront TMG Server hinterlegt sind, staerkere Kennwortrichtlinien verwendet. Somit haben nur die Benutzer, welche sich von Extern anmelden, staerkere Kennwortrichtlinien, alle anderen internen Benutzer nicht.
Link zur Einrichtung der FGPP:
http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

Gruss Marc

 

 

FEP 2010 Datenbanken auf anderen SQL Server verschieben

Posted on by

Hallo Leutz,

bei einem Kunden stand ich vor der Aufgabe, die FEP Datenbanken (Datawarehouse) von einem SQL Server auf einen neuen SQL Cluster zu verschieben. Trotz Internetrecherche habe ich keine Informationen gefunden, wie man am einfachsten der FEP-Installation mitteilt, wo die neue Datenbank liegt, so dass ich mich fuer folgende Vorgehensweise entschieden habe:
1) Disconnect the FEP databases from the old SQL Server
2) Attach the FEP databases to the new SQL cluster
3) Checked that all logins / settings are the same on the new SQL server
4) Uninstalled FEP
5) Tried to reinstall FEP with Advanced Topology and click the check box “use existing FEP database”. But this doesn’t worked, FEP always said that I cannot use the existing database 🙁 so I created a new FEP database during the FEP installation with the same name
6) After FEP installation I disconnected the FEP DB from SQL and reattched the old FEP databases and restarted the SCCM server. After a few time, all seems to be working

Nun gut, sicherlich kein optimaler Weg, aber es funktioniert, dass System laeuft seit einem Tag stabil. Wer also eine bessere Idee hat, kann sich gerne an mich wenden.

BTW: Die SCCM DB haben wir auch verschoben, das war wesentlich einfacher: http://technet.microsoft.com/en-us/library/bb680707.aspx

Gruss Marc

Microsoft Forefront TMG Advanced Workshop

Posted on by

Hallo Leutz,

es ist ja selten, dass ich offene Forefront TMG Workshops gebe, die meisten Workshops sind kundenspezifisch bzw. im Rahmen von Forefront Implementierungen. Vom 24-26.10.2011 darf ich jedoch mal wieder bei der In-Time IT Training Center GbR in Bensheim einen offenen Forefront TMG Advanced Workshop halten. Wer also Interesse an diesem offenen Workshop hat, moege sich bitte vertrauensvoll an die KollegInnen von In-Time wenden: http://www.in-time.com/
Weitere Informationen zum Workshop findet Ihr hier: http://www.in-time-it.de/training/

UPDATE vom 04.10.2011. Wie man mir heute mitteilte ist der Kurs voll belegt – 12 Teilnehmer 🙂

Gruss Marc

Forefront Endpoint Protection 2010 Update Rollup 1 steht zum Download zur Verfuegung

Posted on by

Hallo Leutz,

Beschreibung der enthaltenen Updates:
http://blogs.technet.com/b/clientsecurity/archive/2011/06/28/forefront-endpoint-protection-2010-update-rollup-1.aspx
Download:
http://www.microsoft.com/download/en/details.aspx?id=26583
In meiner Testumgebung konnte das Update heute Morgen problemlos installiert werden und einige Neuerungen sind aus meiner Sicht wirklich sehr sinnvoll. Mal schauen, wie sich das Update in Produktivumgebungen macht.

Gruss Marc Grote

Speaker auf der NRW Conf 2011 in Wuppertal

Posted on by

Hallo Leutz,

Auch dieses Jahr habe ich mich als Speaker fuer die diesjaehrige NRW Conf in Wuppertal beworben und ich war sehr angenehm ueberrascht, dass ich als Speaker ernannt wurde. Danke an das ganze Just Community.de Team.
ich werde einen Vortrag zum Thema “TMG/UAG/FEP/FPE/FSSP/FPSMC/FIM/FOPE – Alles klar?” halten.
Weitere Informationen (in Kuerze): http://www.nrwconf.de//

Gruss Marc Grote