Hallo Leutz,
die Erstellung eines Exchange Server 2010 Federation Trust durch ein Forefornt TMG Array schlaegt fehl mit der Fehlermeldung: “Fuer den geschuetzen SSL/TLS Kanal konnte keine Vertrauensstellung hergestellt werden”. Schuld war nach einiger Suche die aktivierte ausgehende HTTPS-Inspection in Forefront TMG:
http://www.it-training-grote.de/download/ExchangeFederation-FF-TMG.pdf
Gruss Marc
Hallo Leutz,
Kollege Christian Groebner hat einen genialen Artikel zur Account Lockout Prevention in TMG SP2 geschrieben:
http://www.msisafaq.de/Anleitungen/TMG/Konfiguration/ALP.htm
Gruss Marc
Hallo Leutz,
zusammenfassend eine Sammlung meiner UAG/DirectAccess Informationen aus Kundenprojekten und Testumgebungen:
Grundlagen:
http://www.it-training-grote.de/download/UAG-nrw2010.pdf
http://www.it-training-grote.de/download/UAG.pdf
http://www.it-training-grote.de/download/Forefront-UAG.pdf
http://www.it-training-grote.de/download/UAG-DA.pdf
http://www.it-training-grote.de/download/UAG-EndpointPolicies.pdf
http://www.it-training-grote.de/download/UAG-Array.pdf
http://www.it-training-grote.de/download/UAG-Migration.pdf
http://www.it-training-grote.de/download/FF-UAG-DA.pdf
http://www.it-training-grote.de/download/FF-UAG-Starter.pdf
http://www.it-training-grote.de/download/FF-UAG-array-SP1-RC.pdf
http://www.it-training-grote.de/download/UAG-DA-Multicast.pdf
Spezialfaelle:
http://www.it-training-grote.de/download/FF-UAG-DA-Lync.pdf
http://www.it-training-grote.de/download/FF-UAG-DA-SAPGUI.pdf
Probleme mit UMTS Providern:
http://www.it-training-grote.de/download/UAG-DA-T-mobile.pdf
http://www.it-training-grote.de/download/UAG-DA-Vodafone.pdf
http://www.it-training-grote.de/download/UAG-DA-VodafoneII.pdf
Gruss Marc
Hallo Leutz,
weiter geht es Forefront UAG und Direct Access Fun. Diesmal wieder mit Vodafone. Joerg Schmidtke war so nett, mich ueber eine neue Erkenntnis zu unterrichten, aber lest selbst:
http://www.it-training-grote.de/download/UAG-DA-VodafoneII.pdf
Weitere Artikel:
http://www.it-training-grote.de/blog/?p=3546
http://www.it-training-grote.de/blog/?p=3536
Gruss Marc
Hallo Leutz,
bei einem Kunden haben wir am Wochenende von ISA Server auf TMG 2010 migriert. Vorgehensweise wie “immer”:
http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006-Microsoft-Forefront-TMG.html
Besonderheit in diesem Szenario: Der ISA Server war Englisch, das Ziel TMG System ein deutsches.
Die Migration lief ohne Probleme. Wir testeten alle notwendigen Verfahren, lediglich die VPN Site to Site Verbindung zu einem SAP System lief nicht, was wir auf evtl. Wartungsarbeiten des SAP-Systems am Wochenende fuehrten, da die TMG Konsole eine etablierte S2S-Verbindung anzeigte.
Als auch heute Morgen kein Zugriff auf den Remote Standort moeglich war, loeschte ich die S2S-Verbindung und bei der Neuanlage kam die Fehlermeldung: “„Benutzersatz, von Richtlinienregel Zugriff zwischen SAP und internem Netzwerk zulassen verwiesen, ist nicht vorhanden. “Der Fehler ist auf Objekt “Zugriff zwischen SAP und internem Netzwerk zulassen” der Klasse “Richtlinienregel” im Arraybereich “S001″ aufgetreten”.
Nach einigen Versuchen, den Fehler einzugrenzen habe ich festgestellt, dass es im S2S Wizard ein Problem gibt bei der Anlage der Firewallregel zwischen den Netzen. Der Assistent legt eine Firewallregel an fuer “Alle Benutzer”. Die uebernommene Konfiguration kennt aber nur den ISA/TMG Benutzersatz “All Users”.
Aehnlich wie bei Forefront UAG sollte man also auf die korrekte “Sprache” achten:
http://www.it-training-grote.de/blog/?p=3978
Wie man dem Problem beikommen kann steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/ISA-TMG-EN-DE.pdf
Gruss Marc
Hallo Leutz,
wenn auch etwas ungewoehnlich, aber ich bin zur Zeit bei einem Kunden, welcher MSE (Microsoft Security Essentials) auf seinen Workstations ausgerollt hat.
Da die Lizenzbedingungen von MSE bis vor “kurzem” nur die Installation auf einem PC zuliessen und seit einiger Zeit auf PC in Unternehmen auf bis zu 10 PC, sicherlich eine Seltenheit? http://windows.microsoft.com/de-DE/windows/products/security-essentials/eula
Im Rahmen einer FEP 2010 Implementierung wollten wir den FEP-Client per SCCM auf die Workstations und Server ausrollen. Waehrend der FEP-Client Installation durch den SCCM werden einige vorhandene AV-Clients deinstalliert, aber leider nicht MSE: http://technet.microsoft.com/en-us/library/ff823842.aspx
In Unkenntniss der Tatsache (Ich kenne zwar die MS Webseite – ging aber davon aus, dass MSE waehrend der FEP-Client Installation deinstalliert wird, da MSE und FEP-Intune ja die gleiche Engine verwenden und ich hatte bisher noch keinen Kunden der MSE im “grossen Stil” einsetzt), verteilten wir auf einigen Systemen den FEP-Client per SCCM. Das Ergebnis: SCCM erkennt einen installierten “FEP-Client”, versorgt diesen auch zentral mit den definierten FEP-Policies und erlaubt eine zentrale Verwaltung, tauscht den MSE-Client aber nicht durch die FEP-GUI aus!
Also stehen verschiedene Wege zur Verfuegung, den MSE Client zu deinstallieren:
MSE 1.0: http://support.microsoft.com/kb/2435760
MSE 2.0 http://support.microsoft.com/kb/2483120
Um die Deinstallation zu automatisieren kann man den MSE-Client auch durch folgenden Befehl deinstallieren: %ProgramFiles%\Microsoft Security Essentials\setup.exe” /x /s Das funktioniert meiner Recherche nach aber nur mit aelteren MSE-Clients (1.0)? Der aktuelle MSE-Client installiert sich im Verzeichnis %ProgramFiles%\Microsoft Security Client!
Achtung: Das ist der gleiche Pfad wie der Pfad fuer eine FEP-Client Installation. Also bei einer automatisierten Deinstallation aufpassen, nicht auch den FEP-Client zu deinstallieren!
Also versuchte ich den MSE-Client per SCCM zu deinstallieren. Da dies meine erste echte Softwareverteilung per SCCM war, eine spannende (wenn auch schlussendlich einfache) Herausforderung 🙂 Wie das funktioniert steht hier:
http://www.it-training-grote.de/download/MSE-uninstall-SCCM.pdf
Gruss Marc
Hallo Leutz,
Rollup 1 for Forefront Unified Access Gateway (UAG) 2010 Service Pack 1 Update 1:
http://support.microsoft.com/kb/2647899
Gruss Marc
Hallo Leutz,
Forefront TMG SP2 Rollup 1 ist verfuegbar:
http://support.microsoft.com/kb/2649961
Gruss Marc
Hallo Leutz,
dieses Jahr habe ich eine Menge CeBIT Aktivitaeten auf dem Plan.
Vom 05.03.2012 – 10.03.2012 bin ich fuer Microsoft auf dem Forefront CeBIT Stand in Halle 4, Stand A26 taetig.
Am 09.03.2012 bin ich Abends im Rahmen der CLIP/MVP Community beim gemeinsamen GetTogether Abendessen und wenn es die Zeit erlaubt …
am 10.03.2012 beim Community GetTogether im CeBIT Convention Center, wo Microsoft das jaehrliche GetTogether fuer die CLIP und MVP Community veranstaltet.
Also genug Gelegenheiten, das man mal den ein oder anderen Bekannten oder auch Leute aus den Technet Foren trifft. Ich freue mich schon.
Gruss Marc Grote
Hallo Leutz,
bei dem Versuch, die beiden Mailbox Server in einem DAG auf Exchange Server 2010 SP2 upzudaten, erschien folgende Fehlermeldung:
“Fuer das Active Directory Konto des Benutzers muss fuer verknuepfte und freigegebene Postfaecher oder fuer Ressourcenpostfaecher eine Anmeldedeaktivierung vorgenommen werden.”
Loesung des Problems (Stichwort: DiscoverySearchMailbox): http://www.it-training-grote.de/download/MSX-2K10-SP2-Update.pdf
BTW: Die beiden CAS + HTS Server liessen sich problemlos updaten (IIS6 WMI Kompatibilitaet nachinstallieren und in diesem Fall die BackupExec Agentendienste waehrend des SP2 Updates deaktivieren).
Gruss Marc