Consulter im Hotel …

Hallo Leutz,

willkommen zur Consulter im Hotel – Tanz in den Mai …  aehh MCITP Edition. Heute und Morgen unterrichte ich wieder System Engineers eines befreundeten Systemhaus zum MCITP EA.

Untergebracht bin ich wieder im Hotel http://www.hotel-wesertal-hehlen.de/.

Es folgen Bilder:

    

Einen schoenen “Tanz in den Mai” wuenscht Marc Grote aka Jens Baier

HTTPS Inspection in Forefront TMG und IP-Ausnahmen – Ergaenzung

Hallo Leutz,

dieser Beitrag ergaenzt die Aussage des Microsoft TMG Support aus meinem Artikel:
http://www.it-training-grote.de/blog/?p=2591
In dem Artikel steht, dass man mit Forefront TMG keine Ausnahmen von der HTTPS Inspection fuer IP-Adressen machen kann.
Die Original Aussage des MS Support war:

“No, but if you know the certificate subject and SAN names used by those services, you can enter those in the exceptions.
TMG uses the subject and SAN attributes to determine if the upstream server is “exceptional” as well as how to build the spoof cert if it needs to. The primary reason IPs aren’t usable is that in the hosted cloud Internet of today, IP addresses do not represent anything even remotely like “identity” and identity is exactly the context in which certificate validation operates.”

Dem scheint nicht so zu sein. In einem Posting in der deutschen ISA Server Newsgroup vom 30.04.2010 schreibt Alex111:
“Nachtrag: zum Glück erlaubt es TMG die IP wie folgt einzugeben. So hat es bei mir funktioniert: *.236.97.247”

Gruss Marc

Ich leiste meinen Beitrag zur Finanzierung des Staatshaushalt

Hallo Leutz,

seit gestern ist meine Steuererklaerung fuer 2009 fertig und wird jetzt zum Finanzamt gesendet. Ich bin stolz, nach jetzigen Berechnungen sagen zu duerfen, dass ich mit meinem Steueranteil das Gehalt von 1 1/2 Finanzbeamten fuer 1 Jahr lang bezahle und somit noch mehr Stolz sein kann, dem Staat dienlich zu sein, mit meinen Steuern seinen Verpflichtungen nachzukommen und quasi auch als Arbeitgeber fuer 1 1/2 Finanzbeamte zu dienen. Somit muss ich mir dann wohl keine Vorwuerfe machen, ich wuerde meinen Anteil an Steuerzahlungen nicht leisten. Es stoert mich auch nicht, dass ich dafuer ca. 98 Stunden die Woche arbeite, denn diesen Beitrag leiste ich gerne.

Gruss Marc

P.S.: War dieser Beitrag jetzt ironisch gemeint oder nicht?

IIS 7.0 / 7.5 with ONLY integrated authentication

Hallo Leutz,

bei einem Kunden hatte ich im Rahmen eines Forefront TMG / IIS WebDAV Publishing Problems folgendes Problem: Wenn man im IIS ausschliesslich HTTPS Bindungen zulaesst und ausschliesslich die Integrated (NTLM/Kerberos) Authentication, dann funktioniert die Passthrough Authentication bei der Eingabe des NetBIOS Namen im Link (Bsp.: HTTPS//SERVER01), wenn man jedoch HTTPS://SERVER01.DOMAENE.TLD eingibt, erscheint im Browser immer ein Popup Window und fordert den User zur Eingabe seiner Credentials auf. Ich war erst mal ratlos, also das ganze in der IIS Newsgroup gepostet, aber leider in den letzten zwei Tagen keine Antwort erhalten :-(. Meine eigene Recherche ergab eine Menge MS KB Artikel Informationen zu diesem Problem und einer moeglichen Loesung, aber keine der Loesungen half. Das Problem konnte ich auf verschiedenen IIS7 und IIS 7.5 Maschinen nachstellen. Frustriert sass ich also gestern Abend an einem Rechner und hatte wegen einiger anderer Themen e-mail Kontakt mit meinem Freund/Kollegen Karsten Hentrup und ich dachte mal, stell ihm auch mal die Frage und nach zwei Mails hin und her hat Karsten die Loesung des Problems gefunden – Danke Karsten. Nicht der IIS oder WebDAV ist der schuldige, sondern das Zonenmodell des IE. NetBIOS Namen werden in der Security Zone “Lokales Intranet” ausgefuehrt, DNS (FDDN) Namen in der Security Zone “Internet”. Eine genaue Schilderung des Problems und dessen Loesung findet Ihr in folgendem Bilderbuch, welches ich heute Morgen erstellt habe:

http://www.it-training-grote.de/download/IIS-Auth.pdf

Gruss Marc