Hallo Leutz,
nach einigen kleinen TMG Publishings / Implementierungen ging es in den letzten zwei Wochen an meine erste “echte” ISA 2006 EE zu TMG 2010 Migration von zwei ISA 2006 EE Arrays mit jeweils zwei ISA EE Knoten zu TMG 2010. Daraus ist folgende detaillierte “Anleitung” entstanden (zur Zeit ca. 50 Seiten Umfang), welche ich als Basis fuer alle folgenden Implementierungen / Migrationen nehmen werde.
http://www.it-training-grote.de/download/TMG-migration.pdf
Gruss Marc
Hallo Leutz,
zur Ergaenzung zu meinem Blog Eintrag vor einigen Tagen:
http://www.it-training-grote.de/blog/?p=2739
Worum geht es in Kuerze: Windows 2008/R2 verwendet wegen IPv6 Konformitaet (auch um RFC konform zu sein), immer die “niedrigste” IP-Adresse, wenn mehrere IP-Adressen an einer Netzwerkkarte gebunden sind fuer ausgehenden Datenverkehr.
This behaviour is by design:
http://support.microsoft.com/kb/969029
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgePub/thread/52b08c5d-6652-4d79-8f46-f9125905d73d/
Gruss Marc
Hallo Leutz,
das folgende Bilderbuch zeigt die Einrichtung des Firewall- und Webproxy Logging von Forefront TMG Enterprise (2 Node) auf einen zentralen MS SQL Server 2008 Cluster.
http://www.it-training-grote.de/download/TMG-SQL-Logging.pdf
Gruss Marc
Hallo Leutz,
bei einem Kunden haben wir heute die ISA 2006 EE Konfiguration auf TMG EMS migriert und anschliessend begonnen die ISA NLB Node zu entfernen und als neue TMG Server in das TMG EE Array aufzunehmen. Gesagt getan, nach der Neuinstallation eines alten ISA Node mit TMG und Aufnahme in das TMG EMS Array funktionierte auch die Kommunikation der Standorte untereinander mit den anderen ISA Arrays, eingehend funzte auch alles, aber ausgehende Kommunikation war nicht moeglich. Der Kunde hat am Internet Uplink mehrere oeffentliche IP gebunden (fuer Reverse Publishing), aber nur eine ausgehende IP ist an der Front Firewall erlaubt. Bei ISA 2006 wurde ja bekanntlich immer die erste gebundene IP des Netzwerkadapters verwendet, so dass ich auch bei TMG von dem Verhalten ausging. Dem ist aber zumindest in meiner Umgebung nicht so.
Wie das ganze sich verhaelt und wie man(n) einen Wuerkaround schaffen kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/tmg-multiple-ip.pdf
Zusammengefasst: Loesung ist es die neue Funktion des ENAT von TMG zu verwenden. Bei einem NAT Verhaeltnis ist es moeglich die ausgehende IP zu bestimmen. Danach funktionierte der ausgehende Datenverkehr problemlos, bis auf das Surfen am TMG selbst. Hier gibt es die Abhilfe, am TMG im IE den Proxy auf den TMG zu setzen, aber NIS/E-Mail und Malware Updates ueber die TMG-Konsole lassen sich auch nicht laden, da hier der Proxy scheinbar nicht verwendet wird und das TMG Netzwerkobjekt LOCALHOST kann man nicht in die NAT Netzwerkregel fuer ENAT setzen. Loesung war hier mit Proxycfg den Proxy zu setzen.
Die Frage die sich mir stellt: Wie loest man das Problem wenn als Netzwerkverhaeltnis ROUTE verwendet wird. Funktioniert es da dann wieder wie bei ISA 2006?
Mangels eines vergleichbaren und zugreifbaren Kundensystems konnte ich noch nicht abschliessend evaluieren, ob das Problem kundenspezifisch oder ein Bug/Feature von TMG ist. Im April werde ich eine aehnliche Konstellation bei einem anderen Kunden implementieren und dann auf meinem Blog berichten.
ERGAENZUNG 08.04.2010 – Das scheint bei Design so zu sein und kein TMG Problem: http://support.microsoft.com/kb/969029/en-us – Danke an Jason Jones fuer die Info.
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgePub/thread/52b08c5d-6652-4d79-8f46-f9125905d73d/
Gruss Marc
P.S.: Bitte um Comments auf dem Blog oder PM, wenn sich das bei Euch nicht so verhaelt
P.S.2: Geschrieben auf meinem Netbook auf dem Fitnessrad im Fitnesscenter meines Kunden mit VPN Verbindung ueber TMG zum Kundennetz 🙂
Hallo Leutz,
dieses Jahr scheint das Jahr der Exchange Migrationen zu werden. Bis Ende Juni 2010 bin ich bei vier Kunden im Auftrag der Exchange Migration unterwegs. Den Auftakt dieses Jahr machte in den letzten drei Wochen die Migration von zwei Exchange Server 2003 auf Exchange Server 2010 mit zwei CAS/HTS und zwei MBX DAG Clustern in Verbindung mit ISA EE Publishing, Blackberry Update und Forefront Protection 2010 for Exchange. Daraus ist dieses Bilder/Handbuch (ca. 125 Seiten) entstanden. Basis macht das fuer mich bewaehrte HighLevel Dokument zur Migration auf Exchange Server 2007 CCR, welches ich die letztén Jahre erstellt habe. Ich habe das Dokument auf Exchange 2010 angepasst und mit Screenshots versehen und werde das Dokument in den naechsten Monaten weiter verfeinern.
http://www.it-training-grote.de/download/ex2010-migration.pdf
Gruss Marc
Hallo Leutz,
Karsten Hentrup und ich unterhielten uns vorhin per PM ueber die Art und Weise wie Forefront TMG die Konfiguration speichert und was sich im Gegensatz zu ISA Server 2006 geaendert hat.
Daraus ist folgendes Bilderbuch entstanden, welches einige Unterschiede zur Konfigurationsspeicherung in ISA Server 2006 und Forefront TMG hinterleuchtet (Stichwort: ADSIEDIT, EMS, CSS, CN=FPC2 usw.):
http://www.it-training-grote.de/download/TMG-Storage.pdf
Gruss Marc
der fuenfte und damit letzte Tag ist vorbei, Heute wieder ohne Ende Fragen zu TMG, IAG, UAG, FOPE, FPE, FCS und ISA, in Summe war der Tag aber etwas entspannter und ab ca. 16 Uhr kehrte Entspannung ein.
Highlights des heutigen Tages:
1) Flash-mob Auftritt von vielen MS Mitarbeitern zum 40. Geburtstag von Ralf Schnell
2) zwei an meinem Stand geklaute Wasserflaschen (eine war nur halb voll)
3) Stehen im SE von Hannover nach Hause
Es folgen Bilder:
Gruss aus dem Zug Marc
Hallo Leutz,
der vierte Tag ist vorbei, fast genauso anstrengend wie der zweite Tag, gefuehlte 48 Leute am Stand und fast keine Pause. Heute wieder ohne Ende Fragen zu TMG, IAG, UAG, FOPE, FPE, FCS und ISA.
Einziges und somit groesstes Kompliment heute von einem CeBIT Besucher nach einer Forefront TMG Beratung: “Sie arbeiten nicht bei Microsoft und haben trotzdem soviel Ahnung”
Sehr schoen fand ich auch die Aussage von Norbert Klenner, als er den Forefront Stand betrat: “Wo ist denn Marc, macht der Mittagspause? An sich ja nix besonderes nur mit der Ausnahme, dass ich ca. 60 cm vor Norbert am Forefront Arbeitsplatz stand und einen Interessenten beraten hatte 🙂
Aufgrund des riesigen Fleischtellers im Ei habe ich heute mal auf Fruehstueck, Mittag und Abendbrot (na ja Salat) verzichtet 🙁
Highlight des Abends: CLIP und MVP Community Treffen im Sol y Mar in Hannover. Frank und ich sind dann von der CeBIT kurz zu Frank zum umziehen und dann direkt ins Sol y Mar, wo wir gegen 19:30 Uhr eintrafen. Gegen 23:30 Uhr waren wir dann wieder wohlbehalten bei Frank, auch wenn der Neuschnee das Laufen etwas behinderte und trinken gerade einen Whiskey aus Franks Schaetzen.
Es folgen Bilder:
Gruss Marc
Hallo Leutz,
Forefront TMG bietet eine ausgehende HTTPS-Ueberpruefung. Es koennen URL Ausnahmen konfiguriert werden. Wie ist das aber, wenn man nur die IP-Adressen als Ausnahmen konfigurieren moechte? Konkretes Beispiel war die Frage eines Besucher an meinem Stand, wie er Elster von der HTTPS-Ueberpruefung ausschliessen kann, da hier wohl nur IP-Adressen bekannt sind. In den Ausnahmen kann man ja nur URL-Sets konfigurieren, also sind IP-Adressen nicht zulaessig. Eine Antwort hatte ich nicht parat, ausser das DNS umzubiegen und mit gefakten DNS Name Mappings zu arbeiten.
Also kurzerhand die Frage an Experten gestellt 🙂 und kurze Zeit spaeter kam die Antwort von Jim Harrison:
“No, but if you know the certificate subject and SAN names used by those services, you can enter those in the exceptions.
TMG uses the subject and SAN attributes to determine if the upstream server is “exceptional” as well as how to build the spoof cert if it needs to.
The primary reason IPs aren’t usable is that in the hosted cloud Internet of today, IP addresses do not represent anything even remotely like “identity” and identity is exactly the context in which certificate validation operates.”
Gruss Marc
Hallo Leutz,
der dritte Tag ist vorbei, leider anstrengender als der zweite Tag, gefuehlte 80 Leute am Stand und fast keine Pause. Heute wieder ohne Ende Fragen zu TMG, IAG, UAG, FOPE, FPE, FCS und ISA. Mittag gab es wieder den obligatorischen Salat in der Microsoft Kantine.
Highlight des Abends: Essen im “Das Ei” mit Frank Solinske, Arne Wendt, Stefan Walscher und Stefan Bussmann. Fuer alle gab es die Fleischplatte (http://www.das-ei-hannover.de/pdf/Speisekarte_Ei.pdf), welcher 3 Tage Diaet und 6 KM joggen, sowie jeden Morgen “Hotelsport” vorausgingen. Ich durfte dann auch noch von Stefan Walschers Teller naschen.
Es folgen Bilder:
Gruss Marc
