CeBIT – Tag 0

Hallo Leutz,

heute Morgen ging es um 11:00 Uhr mit der Strapazenbahn zum CeBIT Messegelaende zum Kickoff Meeting, den Microsoft Stand besichtigen, meinen Forefront Arbeitsplatz in Betrieb, sowie die Microsoft Arbeitskleidung in Empfang nehmen. Ein leckerer Imbiss rundete den Tag ab.
Es folgen Bilder (und so wie es aussieht beginnt die Cloud bei mir 🙂 )

    

Gruss Marc

Forefront TMG – Windows Server 2008 R2 SP1 und der RPC-Filter

Hallo Leutz,

Lt. Aussage von Microsoft ist die Installation von Windows Server 2008 R2 SP1 auf Forefront TMG und UAG offiziell supported (ein offizieller Blogeintrag des ISA/TMG Team von Microsoft folgt noch).
Auf meinen Testmaschinen und meiner produktiven TMG/UAG Appliance von SecureGURAD konnte ich bisher auch keine Probleme feststellen -bis gestern 🙁
Bei einem Kunden haben wir auf vier Forefront TMG Enterprise Maschinen (deutsch, aktuell gepatched, EMS verwaltete Array Member mit NLB) Windows Server 2008 R2 SP1 installiert. Die “besondere” Konstellation ist hier, dass die Firewalls zwei Standorte verbinden und drei Windows Domaenen aus Firewallsicht trennen, sprich die Firewalls sind nicht klassische Backend- Frontendfirewalls oder Forward- Reverse Proxy.
Das Exchange Cluster steht in der Ressourcendomaene und die Benutzer aus den drei Domaenen und zwei Standorten greifen per Outlook auf das CAS-Array und den dahinterliegenden DAG Cluster zu. Am naechsten Tag nach der Installation beklagten sich die Anwender des entfernten Standorts, sowie der Subdomaenen in denen kein Exchange Server steht, dass Outlook sich nicht richtig verbindet und der Zugriff auf oeffentliche Ordner teilweise nicht moeglich ist. Im Outlook 2007/2010Verbindungssymbol sah man laufende getrennte und verbundene Exchange Server Verbindungen und einige TCP-Fehler. Wenn der Outlook Cached Mode verwendet wird, kommen auch keine Mails mehr im Outlook an, obwohl Outlook staendig eine korrekte Synchronisation mit dem Exchange Server meldet. Sobald man den Cached Mode ausschaltet, kommen E-Mails wieder an, aber weitere Probleme schlagen auf. Bei dem Versuch auf oeffentliche Ordner von Exchange zuzugreifen kam es teilweise zu Fehlermeldungen, dass ein Clientvorgang fehlgeschlagen sei und beim Aufruf von diversen PDF- und PPT-Dokumenten in oeffentlichen Ordnern kam die Meldung, dass der Preview Handler nicht verfuegbar sei!
In den Logs der Firewall sieht man unzaehlige RPC Fehlermeldungen fuer das Protokoll RPC und etliche blockierte Highport Verbindungen. die Meldung im TMG ist, dass die Verbindung gespoofed waere. Nach etlichen erfolglosen Tests zur Eingrenzung der Problematik sind wir zu der Feststellung gekommen, dass mit Windows Server 2008 R2 SP1 Aenderungen des RPC-Verhalten eingefuehrt wurden, welche mit dem in Forefront TMG enthaltenen RPC-Filter nicht kompatibel sind. ANMERKUNG: Da dies meine erste Windows Server 2008 R2 SP1 Installation auf produktiven TMG Servern in diesem speziellen Szenario ist, kann ich noch keinen eindeutigen Beweis fuer diese Vermutung erbringen, die Symptome sind aber eindeutig und konnten zumindest in diesem Szenario bewiesen werden.
Gruende, warum ich den RPC Filter im Verdacht habe:
Benutzer mit Outlook Postfach in der gleichen Domaene wie der Exchange Server haben keine Probleme
Wenn man an den betroffenen Clients Outlook Anywhere aktiviert und per HOSTS Datei oder DNS FLZ den OA Aufruf auf den FQDN des internen CAS Array legt, funktioniert alles einwandfrei
Wenn man einen neuen Exchange Benutzer mit Postfach anlegt, wird eine OST-Datei erstellt, aber keine Outlook / Exchange Synchronisation durchgefuehrt, Aendert man auch hier das Outlook Profil auf OA funktioniert es.
Wenn OA aktiviert ist erhalten die Benutzer beim Aufruf von oeffentlichen Ordnern im Exchange auch keine Fehlermeldungen mehr

Loesungsansaetze:
Datensicherung der TMG Server zurueckspielen
Windows Server 2008 R2 SP1 deinstallieren
OA aktivieren (Achtung CAS Server Belastung beachten)
RPC Filter in TMG deaktivieren und Zugriffsregel fuer Outlook erstellen ohne RPC-Filterbindung. Hierbei ist zu beachten, dass man je nach Veroeffentlichungsumfang und Funktionsumfang des TMG Servers auch andere Funktionalitaeten verliert!

Bei einem naechsten Termin an einem Wochenende im Maerz werden wir versuchen die Probleme naeher einzukreisen, bis dahin haben wir erst mal einen Workaround fuer die betroffenen User in Form von OA eingefuehrt, da die CAS Server genuegend Power haben 🙂   

Ich werde in diesem Blog ueber Updates berichten.

Gruss Marc Grote

Forefront TMG und FTPS

Hallo Leutz,

Forefront TMG bringt wie sein Vorgaenger ISA Server 200x einen FTP-Filter mit, mit dessen Hilfe FTP-Verbindungen sicher etabliert werden koennen. Der FTP-Filter ist u. a. auch fuer die Aushandlung der FTP Data und FTP Control Channel zustaendig. Problematisch wird die Kommunikation, wenn zum Beispiel FTPS verwendet werden soll. Wie man Forefront TMG fuer FTPS konfigurieren kann, steht in folgendem Bilderbuch, begleitet von einigen weiteren Erlaeuterungen zu FTP und den Besonderheiten bei Forefront TMG:
http://www.it-training-grote.de/download/TMG-FTPS.pdf

Gruss Marc Grote

1. Treffen der Forefront User Group Nord (FUGN)

Liebe Forefront Gemeinde,

seit Jahren hat sich im sueddeutschen Raum erfolgreich die Forefront User Group von Dieter Rauscher und Christian Groebner etabliert und wir (Karsten Hentrup / Marc Grote) moechten paralell dazu eine Forefront User Group im norddeutschen Raum etablieren. Als Abkuerzung haben wir uns fuer den Namen FUGN entschieden.

Veranstaltungsort fuer derzeit geplante Treffen im Halbjahres Rythmus ist die Firma Invenate GmbH in Hannover, welche uns freundlicherweise die Raeumlichkeiten fuer dieses und zukuenftige Treffen zur Verfuegung stellt.

Das erste Treffen findet am 18.04.2011 in der Zeit von 19:00 Uhr bis ca. 21:45 Uhr an folgender Adresse statt:
Invenate GmbH
Mengendamm 12
30177 Hannover

Die geplante Agenda:
19:00 – 19:15 – Vorstellung FUGN / Mission – Hentrup & Grote
19:15 -19:45 – Forefront Identity Manager 2010 – Ueberblick und Bericht aus Projekterfahrungen – Invenate GmbH
19:45 – 20:30 – Vortrag Forefront UAG Direct Access – Hentrup & Grote
20:30 – 21:00 – Pause / Networking
21:00 – 21:45 – Branch-Office Deployment anhand der Success Story VAOS – SecureGUARD
21:45 – Open End – Diskussionen / Networking

Fuer das Anmeldeprocedere verwenden wir die XING-Gruppe Forefront User Group: https://www.xing.com/net/pric9d398x/ffug
Wer also bereits einen XING Account besitzt, den moechten wir bitten, sich ueber diese Gruppe zu den Treffen anzumelden. Sollte jemand XING nicht verwenden moechten, kann er sich auch per E-Mail bei folgenden Adressen anmelden:
Karsten Hentrup (mailto:hentrup@forefront-tmg.de) und Marc Grote (grote@forefront-tmg.de)

Gruss von der FUGN

Karsten Hentrup und Marc Grote

Consulter im Hotel 2010 Reprise…

…Tach Allerseits,

nach langer Blogabstinenz, welche ich durch laufende Kundenprojekte verordnet bekommen habe, melde ich mich endlich mal wieder. Hier ein Nachtrag zur Fallstudie Consulter im Hotel 2010. Ende letzten Jahres war ich bei einem Kunden südlich von Ulm (Texas sagt man dort) und habe mich mal wieder in eine Ferienwohnung getraut. Kann ich definitiv empfehlen!!! So mancher Hotelier sollte sich hier eine Scheibe abschneiden.

2011 beginnt prima – viele Aufträge im Tagespendelbereich, insofern wenig Hoteimpressionen von meinereiner.

IMAG0089IMAG0086IMAG0087IMAG0088
IMAG0085

Gruß, Karsten Hentrup aka Jens Mander…

|<-|

[j-j]

CeBIT 2011 Termine

Hallo Leutz,

dieses Jahr habe ich eine Menge CeBIT Aktivitaeten auf dem Plan.
Vom 28.02.2011 – 05.03.2011 bin ich fuer Microsoft auf dem Forefront CeBIT Stand in Halle 4, Stand A26 taetig.
Am 01.03.2011 um 12:30 Uhr halte ich dann einen Vortrag auf dem ix CeBIT Forum des Heise Verlag in Halle 3, Stand E08. Thema: Microsoft Forefront Protection fuer Exchange Server 2010.
Weitere Informationen:
http://www.ix-konferenz.de/konf.php?konferenzid=114.
Mein Vortrag kann hier heruntergeladen werden:
http://www.it-training-grote.de/download/FPE.pdf

Am 04.03.2011 bin ich dann Abends im Rahmen der CLIP/MVP Community beim gemeinsamen GetTogether Abendessen und wenn es die Zeit erlaubt …
am 05.03.2011 beim Community GetTogether im CeBIT Convention Center, wo Microsoft das jaehrliche GetTogether fuer die CLIP und MVP Community veranstaltet.

Also genug Gelegenheiten, das man mal den ein oder anderen Bekannten oder auch Leute aus den Technet Foren trifft. Ich freue mich schon.

Gruss Marc Grote