Category Archives: itproblogs.de

Forefront TMG – 0xc0040011 FWX_E_IS_BUSY

Posted on by

Hallo Leutz,

Nach der Implementierung von Forefront TMG kam es in unregelmaessigen Abstaenden, leider nicht reproduzierbar zu der Fehlermeldung Fehlercode 500: Interner Serverfehler beim Aufruf von Webseiten im Browser. Durch mehrfaches betaetigen der F5 Taste konnte die Webseite wieder dargestellt werden.
Wie der Fehler gefunden und behoben werden konnte steht in diesem Bilderbuch:

http://www.it-training-grote.de/download/0xc0040011%20FWX_E_IS_BUSY.pdf

Stichworte: (0xc0040011 FWX_E_IS_BUSY, EDNS, UDP 512 Byte, Cache vor Beschaedigung sichern)

Gruss Marc

HTTPS Inspection in Forefront TMG und IP-Ausnahmen – Ergaenzung

Posted on by

Hallo Leutz,

dieser Beitrag ergaenzt die Aussage des Microsoft TMG Support aus meinem Artikel:
http://www.it-training-grote.de/blog/?p=2591
In dem Artikel steht, dass man mit Forefront TMG keine Ausnahmen von der HTTPS Inspection fuer IP-Adressen machen kann.
Die Original Aussage des MS Support war:

“No, but if you know the certificate subject and SAN names used by those services, you can enter those in the exceptions.
TMG uses the subject and SAN attributes to determine if the upstream server is “exceptional” as well as how to build the spoof cert if it needs to. The primary reason IPs aren’t usable is that in the hosted cloud Internet of today, IP addresses do not represent anything even remotely like “identity” and identity is exactly the context in which certificate validation operates.”

Dem scheint nicht so zu sein. In einem Posting in der deutschen ISA Server Newsgroup vom 30.04.2010 schreibt Alex111:
“Nachtrag: zum Glück erlaubt es TMG die IP wie folgt einzugeben. So hat es bei mir funktioniert: *.236.97.247”

Gruss Marc

IIS 7.0 / 7.5 with ONLY integrated authentication

Posted on by

Hallo Leutz,

bei einem Kunden hatte ich im Rahmen eines Forefront TMG / IIS WebDAV Publishing Problems folgendes Problem: Wenn man im IIS ausschliesslich HTTPS Bindungen zulaesst und ausschliesslich die Integrated (NTLM/Kerberos) Authentication, dann funktioniert die Passthrough Authentication bei der Eingabe des NetBIOS Namen im Link (Bsp.: HTTPS//SERVER01), wenn man jedoch HTTPS://SERVER01.DOMAENE.TLD eingibt, erscheint im Browser immer ein Popup Window und fordert den User zur Eingabe seiner Credentials auf. Ich war erst mal ratlos, also das ganze in der IIS Newsgroup gepostet, aber leider in den letzten zwei Tagen keine Antwort erhalten :-(. Meine eigene Recherche ergab eine Menge MS KB Artikel Informationen zu diesem Problem und einer moeglichen Loesung, aber keine der Loesungen half. Das Problem konnte ich auf verschiedenen IIS7 und IIS 7.5 Maschinen nachstellen. Frustriert sass ich also gestern Abend an einem Rechner und hatte wegen einiger anderer Themen e-mail Kontakt mit meinem Freund/Kollegen Karsten Hentrup und ich dachte mal, stell ihm auch mal die Frage und nach zwei Mails hin und her hat Karsten die Loesung des Problems gefunden – Danke Karsten. Nicht der IIS oder WebDAV ist der schuldige, sondern das Zonenmodell des IE. NetBIOS Namen werden in der Security Zone “Lokales Intranet” ausgefuehrt, DNS (FDDN) Namen in der Security Zone “Internet”. Eine genaue Schilderung des Problems und dessen Loesung findet Ihr in folgendem Bilderbuch, welches ich heute Morgen erstellt habe:

http://www.it-training-grote.de/download/IIS-Auth.pdf

Gruss Marc

Forefront UAG – Update 1 Problem

Posted on by

Hallo Leutz,

bei einem Kunden bin gerade dabei Forefront UAG mit DirectAccess zu implementieren. Nach erfolgter UAG Installation haben wir gleich das UAG Update 1 einspielen wollen und sind auf Berechtigungsprobleme bei der Installation gestossen. Waehrend der Installation des Update 1 werden die Besitzrechte fuer das Monitor Verzeichnis entfernt?, so dass der Installationsaccount keine Zugriffsrechte fuer das Erstellen des Verzeichnisses hat. Wie man das umgehen kann, beschreibt folgender Artikel:

http://www.it-training-grote.de/download/UAG-Update1.pdf

Da es meine erste UAG Update 1 Installation ist (mal abgesehen von der, die in meiner Test VM aus einem anderen Grund gar nicht funktioniert hat), kann ich nicht sagen, ob das Problem reproduzierbar ist.

Gruss Marc

P.S.: Eine “Bilderbuch” ueber die UAG Installation inklusive DirectAccess Konfiguration folgt in Kuerze wenn das Projekt abgeschlossen ist.

Forefront TMG OWA FBA Intern und Extern

Posted on by

Hallo Leutz,

das folgende “Bilderbuch” zeigt, wie man sowohl im internen Netzwerk OWA FBA (Forms Based Authentication) fuer Exchange Server 2003 nutzt, als auch Extern ueber Forefront TMG. Zusaetzlich wird beschrieben, wie man automatisch mit TMG von HTTP auf HTTPS und von “/” auf “/Exchange” umleitet:

http://www.it-training-grote.de/download/TMG-OWA-INT-EXT.pdf

Gruss Marc

Forefront TMG MOC Kurs und MC* Pruefung

Posted on by

Hallo Leutz,

jetzt scheint was offizielles durchgedrungen zu sein, also schnell mal bloggen 🙂
http://www.facebook.com/note.php?note_id=385731105985
Zusammengefasst: Ein 5 Tage MOC Kurs zu Forefront TMG kommt und die Pruefung 071-157 (070-157) ist in Planung. Wann die Pruefung kommt, steht noch nicht fest. Microsoft hat erst per Auslosungsverfahren einige MCT nach Redmond geladen, um die Details zu besprechen.

Gruss Marc

Forefront Client Security Installation

Posted on by

Hallo Leutz,

in den letzten knapp zwei Wochen habe ich bei einem Kunden Forefront Client Security installiert und auf den Clients ausgerollt. Daraus ist folgende detaillierte “Anleitung” entstanden (zur Zeit ca. 30 Seiten Umfang), welche ich als Basis fuer alle folgenden Implementierungen / Migrationen nehmen werde.

http://www.it-training-grote.de/download/FCS-Implementierung.pdf
Weitere FCS/Forefront Informationen:
http://www.it-training-grote.de/download/FCS-DEPLOY-TOOL.pdf
http://www.it-training-grote.de/download/Forefront.pdf
http://www.it-training-grote.de/download/fcs-eval.pdf
http://www.it-training-grote.de/download/fcs.pdf

Gruss Marc

Enteo NetInstall und NIS in Forefront TMG

Posted on by

Hallo Leutz,

bei einem Kunden habe ich Forefront TMG implementiert. Ebenfalls in diesem Netzwerk wird Enteo Netinstall zur System- und Softwarebereitstellung verwendet. Nach der TMG Installation haben wir festgestellt, dass per Enteo PXE Boot und anschliessendem PE Start, der Client keine Verbindung zu den Enteo Servern herstellen kann.
Ursache war nach einiger Suche die aktivierte NIS (Network Inspection System) Funktion von Forefront TMG. Durch das Erstellen von Zielausnahmen war dann der Client-Verbindungsaufbau zum Enteo NetInstall Server moeglich.
Das folgende Bilderbuch zeigt die notwendigen Schritte zur Kommunikation zwischen Enteo und TMG:

http://www.it-training-grote.de/download/enteo-tmg.pdf 

Gruss Marc