Category Archives: itproblogs.de

Forefront UAG – Endpoint Access Policies

Posted on by

Hallo Leutz,

das folgende Bilderbuch versucht Licht in das Dunkel der Forefront UAG Endpoint Access Policies zu bringen:
http://www.it-training-grote.de/download/UAG-EndpointPolicies.pdf
Kurze Anmerkung, fuer alle die den Artikel nicht lesen wollen: Fuer die Privileged Endpoint Features MUSS eine CA installiert werden, eine Standalone CA geht nicht und wenn die CA lokal auf dem UAG installiert werden soll und  UAG im Array betrieben wird, muss eine Enterprise CA (Root oder Subordinate) installiert werden. Wenn UAG im Array betrieben wird, kann die Certified Endpoint Enrollment Application nicht genutzt werden! 🙁

Gruss Marc Grote

TMG: IPSec Site-to-Site VPN Tunnel werden bei Regelwerksänderung getrennt…

Posted on by

…Tach Allerseits,

bei einer aktuellen TMG-Migration eines meiner Kunden fiel uns Folgendes auf. Immer wenn irgendeine Regelwerksänderung vorgenommen und übernommen wird (egal welcher Natur, z.B. deaktivieren einer Zugriffsregel) werden die vorhandenen IPSec Site-to-Site VPN Tunnel getrennt. Dieses Verhalten ist momentan bei jeder TMG-Installation zu erwarten und wird von Microsoft als Bug eingestuft.

Im deutschen Forefront-Forum gibt es einen Threat zu der Problematik:

http://social.technet.microsoft.com/Forums/de-DE/forefrontde/thread/f3c27500-4a15-4a07-a2ca-077ede269201

Abhilfe schafft ein “Private Patch”, welcher von Microsoft nur nach Supportanfrage weitergegeben wird. Diese wird allerdings nicht berechnet, so das Problem damit gelöst ist. Ich habe den Patch für die oben genannte Migration angefordert und installiert. Die TMG Versionsnummer ändert sich daraufhin wie folgt (nicht in der TMG-MMC sichtbar):

410

Laut Herrn Philipp Sand vom Microsoft Service and Support Team wird dieser Fix im nächsten TMG Software Update 2 integriert sein. Wir hoffen darauf uns dieses noch untern Weihnachtsbaum gelegt wird!

Zwinkerndes Smiley

Gruß, Karsten Hentrup aka Jens Mander…

|<-|

[j-j]

Forefront TMG als DirectAccess Server

Posted on by

Hallo Leutz,

Forefront TMG kann als DirectAccess Server konfiguriert werden, wenn man kein Forefront UAG verwenden kann / will.
Wie steht hier:
http://blogs.technet.com/b/isablog/archive/2009/09/23/forefront-tmg-and-windows-7-directaccess.aspx
Forefront TMG und Ipv6:
http://technet.microsoft.com/en-us/library/cc487898.aspx
Ich habe daraus mal ein kleines Bilderbuch mit den notwendigen Schritten erstellt:
http://www.it-training-grote.de/download/FF-TMG-DA.pdf

Gruss Marc Grote

Forefront UAG DirectAccess auf deutschem Windows Server 2008 R2

Posted on by

Hallo Leutz,

vor einigen Monaten habe ich bei einem Kunden Forefront UAG mit DirectAccess auf einem deutschen Windows Server 2008 R2 versucht zu implementieren. Die Installation und Konfiguration funktionierte ohne Probleme, bis ich die DA Group Policy generieren wollte, welche sich mit folgenden (variablen) Fehlern weigerte:

Fehler 1:
The UAG DirectAccess: Client{3493990e-ef3c-4ed3-b186-a4520a810f12} on domain xxxxx appears to be corrupt, delete the GPO and run the script again. Details: Exception calling “OpenDSGpo” with “4” argument(s): “A GPO with ID {0} was not found in the xxxx domain.”

Fehler 2:
Could not clear values under SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig in Microsoft.GroupPolicy.GroupPolicyObject.Name, delete key manualy and run the script again.
Details: Ausnahme beim Aufrufen von “GetRegistrySettings” mit 2 Argument(en):  “Die folgende Gruppenrichtlinien-Registrierungseinstellung wurde nicht gefunden: “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig”.
Parametername: keyPath”

ich postete mein Problem dann in einer privaten MVP/Microsoft Mailingliste, aber da konnte mir auch niemand helfen 🙂 Zwischenzeitlich hatte der Kunde einen Call bei Microsoft eroeffnet, wurde aber von Consultant zu Consultant gereicht.  Da alle meine UAG Server bisher auf einem englischen Windows Server 2008 R2 liefen, entschieden wir uns, den UAG Server neu auf einem englischen System zu installieren und siehe da, das Problem war behoben.

Gestern erhielt ich ein Hilfegesuch eines Consultants eines grossen Systemhaus in Deutschland, welcher fast die gleiche Fehlermeldung bei einer UAG DA Installation auf einem deutschen Windows Systembei der Erstellung der DA Group Policies erhielt. Ich gab ihm den Tipp,  UAG auf einem englischen Windows 2008 R2 zu installieren und eben gerade habe ich Feedback erhalten, dass sich die DA Group Policy jetzt erstellen laesst!. Es scheint also System dahinter zu stecken, so dass ich hier die Aussage treffe, Forefront UAG nur auf einem englischen Windows Server 2008 R2 zu installieren.

Gruss Marc Grote

Forefront UAG SP1 RC Arraykonfiguration und NLB

Posted on by

Hallo Leutz,

das folgende Bilderbuch zeigt den Umbau eines Single Forefront UAG Server auf ein Array mit NLB mit Forefront UAG SP1 Release Candidate und dem Umbau des vorhandenen Portals und der DirectAccess Anbindung:
http://www.it-training-grote.de/download/FF-UAG-array-SP1-RC.pdf

Weitere Informationen zu Forefront UAG und UAG DA:
http://www.it-training-grote.de/download/FF-UAG-DA-SP1-RC.pdf
http://www.it-training-grote.de/download/FF-UAG-DA.pdf
http://www.it-training-grote.de/download/FF-UAG-nrw2010.pdf
http://www.it-training-grote.de/download/Forefront-UAG.pdf
http://www.it-training-grote.de/download/UAG-Array.pdf
http://www.it-training-grote.de/download/UAG-DA-T-mobile.pdf
http://www.it-training-grote.de/download/UAG-DA-Vodafone.pdf
http://www.it-training-grote.de/download/UAG-DA.pdf
http://www.it-training-grote.de/download/UAG-Update1.pdf
http://www.it-training-grote.de/download/UAG.pdf
http://www.it-training-grote.de/download/UAG2010Beta.pdf

Gruss Marc Grote