Hallo Leutz,
zur Beantwortung eines Postings in dem deutschen Forefront Technet Forum, habe ich eine Anleitung erstellt, wie man mit der MMC eines Windows Server 2008 R2 einen Custom CSR-Request erstellen kann um ein Zertifikat von einer internen Windows CA oder einer kommerziellen CA anzufordern:
http://www.it-training-grote.de/download/Custom-CSR-request-MMC.pdf
Gruss Marc
Hallo Leutz,
weiter geht es Forefront UAG und Direct Access Fun. Diesmal wieder mit Vodafone. Joerg Schmidtke war so nett, mich ueber eine neue Erkenntnis zu unterrichten, aber lest selbst:
http://www.it-training-grote.de/download/UAG-DA-VodafoneII.pdf
Weitere Artikel:
http://www.it-training-grote.de/blog/?p=3546
http://www.it-training-grote.de/blog/?p=3536
Gruss Marc
Hallo Leutz,
dieses Jahr habe ich eine Menge CeBIT Aktivitaeten auf dem Plan.
Vom 05.03.2012 – 10.03.2012 bin ich fuer Microsoft auf dem Forefront CeBIT Stand in Halle 4, Stand A26 taetig.
Am 09.03.2012 bin ich Abends im Rahmen der CLIP/MVP Community beim gemeinsamen GetTogether Abendessen und wenn es die Zeit erlaubt …
am 10.03.2012 beim Community GetTogether im CeBIT Convention Center, wo Microsoft das jaehrliche GetTogether fuer die CLIP und MVP Community veranstaltet.
Also genug Gelegenheiten, das man mal den ein oder anderen Bekannten oder auch Leute aus den Technet Foren trifft. Ich freue mich schon.
Gruss Marc Grote
Hallo Leutz,
basierend auf den Blogeintrag: http://blog.forefront-tmg.de/?p=741 gab es heute eine Nachfrage von Gaylord Josupeit wie man Forefront TMG und VAMT (Volume Activation Management Tool) dazu bekommt miteinander zu sprechen. Lest hier, wie Gaylord Josupeit das Problem geloest hat:
Ausgangsproblem:
“Ich versuche grad, mein FF TMG nach deinem PDF anzupassen. Das Ganze scheitert aber darzeit daran, dass ich trotz deaktiviertem “Enforce-strict-RPC-compliance” keine zweite Verbindung vom TMG zum WMI-Server herstellen kann, bzw. der TMG sich weigert, eine solche aufzubauen. Konkret geht es um VAMT, das auf meinem DC mitläuft. Alle anderen Server werden vom VAMT sauber erkannt, registriert und aktiviert, nur für das TMG krieg ich immer nur “Unable to connect to the WMI service on the remote machine.”
Loesungsansatz von Gaylord Josupeit: “Das Problem mit TMG und WMI ist nämlich, dass es zwei Computergruppen gibt, deren Mitglieder keine RPC-Anfrage an TMG stellen dürfen, oder anders ausgedrückt, läßt TMG diese Anfragen anscheinend einfach ins Leere laufen, auch wenn Sie im Log erscheinen.
Diese beiden Gruppen sind „Remote Management Computer“ und „Enterprise Remote Management Computers“. Da ich in meinem Fall ja eine AD-Domäne betreibe(ich schrieb ja, dass VAMT auf dem DC läuft), steht der DC automatisch über das „Internal“-Subnet in der „Enterprise Remote Management Computers“-Gruppe und darf daher keine RPC-Verbindung aufbauen(Warum auch immer?!)
Mein Workaround war nun folgendes:
Da ich in der selbsterstellten Access-Rule für den RPC-Zugriff keine Möglichkeit habe, die Computergruppen anzupassen, mußte ich eine andere Alternative finden:
In den System-Policy-Rules gibt es (standardmäßig) als zweite Regel „Allow remote management from selected computers using MMC“, in der schon systemseitig das RPC-Protocol genutzt wird.
Über „Properties -> From“ sieht man die Computer-Gruppen, die man hier editieren kann. In den Eigenschaften der Enterprise Remote Management Computers findet man dann das „Internal LAN“, dass man hier dann in zwei LAN’s aufsplitten kann, schön um die IP des DC herum.
Hier reicht es nicht aus, einfach den DC im unteren Fenster als „Exception“ einzutragen, das wird anscheinend ignoriert.
Und dann funktioniert der Rest genauso, wie Du es in deinem PDF beschrieben hast!!
Den entscheidenden Hinweis hab ich übrigens hier her:
http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx
Und hier auch auch die notwendigen Aenderungen an der Firewall:
Forefront TMG 2010 für KMS-Verwaltung via VAMT einrichten
1. Neue Firewall-Regel erstellen:
Name: WMI Access
Action: Allow
Protocol: RPC (all interfaces)
From/Listener: (Der Computer, auf dem VAMT installiert ist
To: Localhost
Condition: All Users
Policy: Array
2. Im RPC-Protokoll „Enforce Strict RPC Compliance“ deaktivieren
3. Die erstellte FW-Regel erweitern um ein benutzerdefiniertes Protocol mit Port 10002 TCP, Direction outbound.
4. In den System Policy Rules nach einer Regel suchen, die das RPC(all interfaces) Protokoll beinhaltet:
Dort dann „Properties->From“ die Gruppe „Enterprise Remote Management Computers“ editieren.
Das vorhandene „Internal LAN“ aufsplitten, so dass der VAMT-Computer ausgeschlossen wird.
5. Nun sollte VAMT Zugriff auf den TMG haben.
Gruss Marc und danke an Gaylord Josupeit
Hallo Leutz,
aufgrund einer Frage in dem deutschen Forefront Forum bin ich der Frage mal nachgegangen, warum WMI Abfragen zum TMG Server immer fehlschlagen. WMI verwendet RPC Abfragen und wer sich mit Firewalls auskennt, weiss, RPC ist aufgrund der Portdynamik so eine Sache. Ideen gibt es in der Community eine Menge, aber nicht immer funktioniert der WMI-Zugriff:
http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/fc1d2b2f-99f8-4032-a012-99094b638e76
http://www.paessler.com/knowledgebase/en/topic/1043-my-wmi-sensors-don-t-work-what-can-i-do
Forefront TMG verwendet einen eigenen RPC-Filter und kann auch DCOM/RPC filtern. Wie man TMG dazu bringen kann auf WMI-Anfragen zu hoeren seht Ihr hier:
http://www.it-training-grote.de/download/TMG-WMI.pdf
Gruss Marc
…Hallo Allerseits,
letzte Woche hat es mich nach längerer Zeit nochmal beruflich nach München verschlagen. Nachdem ich dort die Mitarbeiter eines Systemhauses drei Tage entgeltlich quälen durfte habe ich mich flux dazu entschieden eine weitere Übernachtung in der Region zu bleiben. Allerdings war die Intention nicht dem Oktoberfest zu frönen, sondern der Forefront User Group im Süden einen Besuch abzustatten. Da ich dummerweise meinen Besuch angekündigt habe wurde ich von Christian und Dieter direkt dazu verdonnert einen kleinen Vortrag zu halten. 
Moralische Unterstützung habe ich glücklicherweise von meiner “Schwaben-Crew” bekommen, die mich vom Hotel zum Event und zurück shuttelte, sowie mit Sauerstoffzelt und guten Ratschlägen versorgte.
Natürlich versagte bei meiner Präsentation eine TMG-VM, irgendwie konnte ich das überspielen, wurde von den Teilnehmern nicht ausgebucht und konnte mich irgendwie über den Abend retten (einzige negative Reaktion von TK, siehe unten). Michi hat netterweise ein paar Fotos gemacht, die ich euch hier nicht vorenthalten möchte:
Gruß,
Jens Mander, aka Karsten Hentrup…
|<-| [j-j]
Hallo Leutz,
mit Freude habe ich eben die E-Mail von Microsoft erhalten, dass ich ein weiteres Jahr als MVP fuer Forefront ernannt wurde. Danke an die Verantwortlichen des MVP Programm.
Ich bin sehr erfreut, diese Auszeichnung jetzt bereits das siebte Mal erhalten zu haben.
Weitere Informationen zum MVP Programm findet Ihr hier:
http://mvp.support.microsoft.com/default.aspx
Link zu meinem MVP Profil:
https://mvp.support.microsoft.com/profile/Marc.Grote
Auch dieses jahr habe ich wieder unzaehlige Stunden in den Forefront Support investiert:
http://social.technet.microsoft.com/profile/marc.grote%20%5Bj-j%5D/?type=forum
Online Artikel geschrieben:
http://www.isaserver.org/Marc_Grote/
Einige Artikel in Fachzeitschriften (IT Administrator, Sharepoint Magazin)
Zusammen mit Christian und Dieter das Forefront TMG Buch bei Microsoft Press geschrieben:
http://www.amazon.de/Microsoft-Forefront-Threat-Management-Gateway/dp/386645127X
Zahlreiche Consulting Auftraege zum Thema ISA/TMG/UAG/FPE/FEP:
http://www.it-training-grote.de/projekte.php
Den ein oder anderen Forefront Vortrag gehalten und auf der CeBIT 2011 am Microsoft Stand die Forefront Fahne “hochgehalten”
Zusammen mit Karsten Hentrup die FUGN ins Leben gerufen:
http://blog.forefront-tmg.de/?page_id=482
Die NTUG lebt auch noch ab und an 🙂
http://www.it-training-grote.de/ntug.php
Auf meinem Blog und der gemeinsamen Webseite von Karsten Hentrup zum Thema Forefront geblogged:
http://www.it-training-grote.de/blog/
http://blog.forefront-tmg.de/
Gruss Marc
Hallo Leutz,
Auch dieses Jahr habe ich mich als Speaker fuer die diesjaehrige NRW Conf in Wuppertal beworben und ich war sehr angenehm ueberrascht, dass ich als Speaker ernannt wurde. Danke an das ganze Just Community.de Team.
ich werde einen Vortrag zum Thema “TMG/UAG/FEP/FPE/FSSP/FPSMC/FIM/FOPE – Alles klar?” halten.
Weitere Informationen (in Kuerze): http://www.nrwconf.de//
Gruss Marc Grote
Hallo Leutz,
in meinem ersten Posting berichtete ich von Problemen mit Forefront TMG und Windows Server 2008 R2 SP1 in Verbindung mit dem RPC Filter und Exchange Server 2010:
http://www.it-training-grote.de/blog/?p=4350
Weiterhin steht die Aussage des TMG Teams, dass Windows Server 2008 R2 SP1 voll von TMG und UAG supported wird. Bisher gibt es in den Technet Foren auch wenig Klagen. Ein “Bug” ist aber bereits bekannt und erkannt:
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/05a3d0f8-9a50-414a-870c-347f35650e6b
Das SP1 stellt den Zustand wieder her, dass Forefront TMG Server 16 Minuten zum Reboot benoetigen, Abhilfe schafft die Community Loesung bis ein Fix verfuegbar ist:
sc config isactrl depend= RasMan/SSTPSVC/FwEng/ISASTG/bfe/mpssvc/HTTP
Desweiteren gibt es noch einen Workaround fuer die Installation des Windows Server 2008 R2 SP1 in Verbindung mit NLB, aber das sehe ich weniger als Bug an, eher als die Notwendigkeit das Readme zu lesen 🙂
Zurueck zum Thema RPC: Ich hatte gestern und heute die Gelegenheit zu ermitteln, ob das Windows Server 2008 R2 SP1 auf dem TMG Server wirklich fuer die RPC Probleme mit Exchange verantwortlich ist. Wir haben gestern und heute bei einem Kunden einen zusaetzlichen TMG Knoten ohne Windows Server 2008 R2 SP1 in das Array eingebunden und heute Nachmittag auf diesen Knoten umgeswitcht und siehe da: Es funktioniert weiterhin nicht mit diversen Outlook Zugriffen (Public Folder Zugriffe (Handler ungueltig), oeffnen von Anhaengen in E-Mails etc.). Nach einigen Tests haben wir jetzt ein geaendertes RPC Verhalten von Windows Server 2008 R2 SP1 auf Exchange 2010 in Verbindung mit TMG in Verdacht. Der Kunde hat alle Exchange Server 2010 auf Windows Server 2008 R2 SP1 aktualisiert und der Forefront TMG RPC Filter kommt scheinbar nicht mit einem moeglichen geaenderten RPC Verhalten auf den Exchange Servern klar, wenn die Outlook Zugriffe ueber TMG Netzwerke und Firewallregeln gesteuert werden. Wir haben als Workaround den RPC-Filter deaktiviert und eine entsprechende Access Rule von den Outlook Clients der verschiedenen Domaenen und Subnetze erstellt, welche die RPC Zugriffe auf das Exchange CAS Array ohne den RPC-Filter ermoeglicht. Das funktioniert einwandfrei. Zur Zeit ist die Firma SecureGUARD (Danke an Markus Grudl) dabei, das Problem nachzustellen und ggfs. bei Microsoft zu eskalieren. Weitere Infos folgen, wenn neue Erkenntnisse vorliegen.
Gruss Marc
Hallo Leutz,
jetzt auch die offizielle Aussage vom Forefront Team, dass Windows Server 2008 R2 SP1 auf TMG supported ist:
http://blogs.technet.com/b/isablog/archive/2011/03/07/tmg-2010-sp1-and-uag-2010-sp1-are-supported-on-windows-2008-r2-sp1.aspx
Bis auf ein bekanntes NLB “Problem” scheint alles supported zu sein.
In den Technet Foren sieht es auch noch ruhig aus. Bisher gab es einen Beitrag von einem Poster, welcher schreibt, dass nach der SP1 Installation der TMG wieder 16 Minuten zum Starten der Dienste benoetigt, ich selbst schlage mich zur Zeit mit folgendem Problem rum:
http://www.it-training-grote.de/blog/?p=4350
Nachtrag 11.03.2011 – 16:06:
so, das SP1 von W2K8 R2 auf TMG ist nicht unmittelbar Schuld!
Neue TMG Maschine ohne Windows Server 2008 R2 SP1 gleiches Verhalten wie in meinem Blog Post
Es muss am SP1 von Windows auf dem Exchange 2010 liegen.
Wenn ich den RPC Filter am TMG ausschalte und eine Allow Any Rule von den Clients aus den Subnetzen zum Exchange erlaube, ist alles wieder schick.
Vermutung also: Aenderung am RPC Verhalten in Windows Server 2008 R2 SP1. Faellt nicht auf, so lange die Clients ohne eine Firewall sich mit dem Exchange connecten.
Sobald die Client Subnetze und der Exchange durch eine Firewall (TMG) getrennt sind, schlagen viele Funktionen von Outlook fehl, siehe Blogeintrag. Sprich: Der TMG RPC Filter muss durch einen Hotfix / Rollup von MS ISA Team gefixt werden. Die TMG Jungs muessen also mit den Windows Jungs sprechen und schauen, welche Aenderungen am RPC gemacht wurden und den RPC Filter am TMG modifizieren?
Gruss Marc Grote