Hallo Leutz,
es gibt ein Update zu folgendem Blogeintrag: http://www.it-training-grote.de/blog/?p=5279
Siehe: http://blogs.technet.com/b/isablog/archive/2012/06/29/tmg-services-stopping-unexpectedly.aspx
Gruss Marc
Hallo Leutz,
es gibt ein Update zu folgendem Blogeintrag: http://www.it-training-grote.de/blog/?p=5279
Siehe: http://blogs.technet.com/b/isablog/archive/2012/06/29/tmg-services-stopping-unexpectedly.aspx
Gruss Marc
Hallo Leutz,
seit gestern Nacht scheint auf einer Vielzahl von Forefront TMG Servern mit installiertem SP2 ohne zusaetzliche Hotfixe der Microsoft Forefront TMG Firewall Dienst zu stoppen. Ich habe heute bereits zwei Kundenanrufe und einige E-Mails von Kunden erhalten welche von diesem Problem berichten.
In einer Forefront Mailingliste werden diese Probleme von einer Vielzahl von TMG Systemen weltweit berichtet.
Das Problem scheint mit Forefront TMG SP2 Rollup 1 behoben zu sein:
http://support.microsoft.com/kb/2658903
Am besten gleich SP2 Rollup 2 installieren
Weitere Erkenntnisse sind zum jetzigen Zeitpunkt noch nicht bekannt. Updates folgen
Update 29.06.2012: http://blogs.technet.com/b/isablog/archive/2012/06/29/tmg-services-stopping-unexpectedly.aspx
Gruss Marc
Hallo Leutz,
das folgende Bilderbuch zeigt die Inplace-Migration von SCVMM 2008 R2 zu SCVMM 2012 sowie den Ersatz des SCVMM SelfService Portals mit System Center App Controller Funktionen:
http://www.it-training-grote.de/download/SCVMM2008R2-SCVMM2012-Migration.pdf
Gruss Marc
Hallo Leutz,
fuer die Juli 2012 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zur Konfiguration der System Center 2012 Endpoint Protection geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de
Gruss Marc Grote
Hallo Leutz,
das Microsoft Windows PKI Team hat angekuendigt, dass mit einem Windows Update im August 2012 ausgestellte Zertifikate mit einem RSA Key kleiner als 1024 Bit blockiert werden.
Das betrifft zur Zeit folgende CSP, welche unter Umstaenden noch von einigen Windows Certificate Templates verwendet werden:
– Microsoft Base Cryptographic Provider v1.0 (RSA)
– Microsoft Base DSS and Diffie-Hellman Cryptographic Provider (DH)
– Microsoft DH SChannel Cryptographic Provider (DH)
Auessern kann sich das neue Blockverhalten wie folgt:
– Error messages when browsing to web sites that have SSL certificates with keys that are less than 1024 bits
– Problems enrolling for certificates when a certificate request attempts to utilize a key that is less than 1024 bits
– Creating or consuming email (S/MIME) messages that utilize less than 1024 bit keys for signatures or encryption
– Installing Active X controls that were signed with less than 1024 bit signatures
– Installing applications that were signed with less than 1024 bit signatures (unless they were signed prior to January 1, 2010, which will not be blocked by default).
Quelle: http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx
Der Artikel beschreibt auch wie man die eigene CA Infrastruktur pruefen kann, ob Zertifikatvorlagen mit RSA Key kleiner 1024 Bit verwendet werden und ob Zertifikate basierend auf dem Certificate Template ausgestellt sind. Desweiteren wird beschrieben wie man bereits ausgestellte Zertifikat mit einer hoeheren Schluesselstaerke ausstellen/erneuern kann.
Administratoren sollten sich also umgehend daran machen Ihre Infrastruktur zu pruefen denn aus meiner PKI Erfahrung bei Kunden der zahlreichen letzten Jahre kann ich sagen, dass viele Administratoren dazu neigen, Zertifikate mit sehr langer Lebensdauer auszustellen und wenn das damals noch auf Basis von RSA Keys kleiner als 1024 Bit erfolgte, kann es zu massiven Problemen kommen. Das gleiche gilt fuer die Verwendung von Self Signed Zertifikaten welche sehr gerne verwendet werden. Alle in den letzten Jahren ausgestellte Zertifikate sollte in der Regel RSA Keys groesser als 1024 Bit verwenden, aber einer Pruefung sollte man seiner Umgebung trotzdem goennen.
Der Blog beschreibt auch wie man das Logging der CryptoAPI erhoehen kann (steuerbar ueber Windows Gruppenrichtlinien) und wie man auf aktuellen Windows Systemen das CAPI2 Logging (ab Vista verfuegbar) aktivieren kann um festzustellen, welche Crypto Prozesse noch RSA Keys unter 1024 Bit verwenden. Das CAPI Logging kann man auch sehr gut dazu verwenden um den Windows Event Collector Sevice zu nutzen, alle relevanten EventIDs auf einem zentralen System zu sammeln und auszuwerten.
Gruss Marc
Hallo Leutz,
das folgende Bilderbuch zeigt die Implementierung einer 2 Faktor Authentifizierung mit Safeword fuer ein Forefront UAG Portal:
http://www.it-training-grote.de/download/FF-UAG-2Factor-Auth.pdf
Gruss Marc
Hallo Leutz,
die RC Version von Windows Server 2012 ist verfuegbar. Anlass genug, alle meine VM, Notebooks, Netbook und meinen Hyper-V 3.0 Cluster von der Beta auf die RC zu bringen und in meinen SCVMM 2012 neu zu integrieren.
Nach Neueinrichtung des Clusters habe ich “endlich” die VM Replica Funktionen von Hyper-V 3.0 mit den Windows Failoverdiensten und dem Hyper-V Replica Broker erfolgreich eingerichtet. Dabei ist folgendes Bilderbuch entstanden:
http://www.it-training-grote.de/download/HYPERV-30-REPLICA.pdf
Weitere Informationen zur Einrichttung eines Hyper-V 3.0 Clusters:
http://www.it-training-grote.de/download/Hyper-v-livemig-complete.pdf
Gruss Marc
…Hallo Allerseits,
hier ein paar Eindrücke des zweiten FUGN-Treffens:
http://blog.forefront-tmg.de/?p=859
Gruß, Jens und Jens…
[j-j]
Hallo Leutz,
das folgende Bilderbuch zeigt wie man von einer Windows Server 2008 R2 Enterpise CA eine neue Zertifikatvorlage mit EV (Extended Validation) Verwendungszweck ausstellen kann:
http://www.it-training-grote.de/download/EV-Certificate-W2K8R2CA.pdf
Ueber Sinn und Unsinn kann sicherlich diskutiert werden, derartige EV-Zertifkate im Intranet zu verwenden 🙂
Gruss Marc
Hallo Leutz,
Rollup 2 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2 steht zum Download zur Verfuegung:
http://support.microsoft.com/kb/2689195
Gruss Marc Grote