WMI Abfragen zu Forefront TMG erlauben fuer VAMT Zugriff

Hallo Leutz,

basierend auf den Blogeintrag: http://blog.forefront-tmg.de/?p=741 gab es heute eine Nachfrage von Gaylord Josupeit wie man Forefront TMG und VAMT (Volume Activation Management Tool) dazu bekommt miteinander zu sprechen. Lest hier, wie Gaylord Josupeit das Problem geloest hat:
Ausgangsproblem:
“Ich versuche grad, mein FF TMG nach deinem PDF anzupassen. Das Ganze scheitert aber darzeit daran, dass ich trotz deaktiviertem “Enforce-strict-RPC-compliance” keine zweite Verbindung vom TMG zum WMI-Server herstellen kann, bzw. der TMG sich weigert, eine solche aufzubauen. Konkret geht es um VAMT, das auf meinem DC mitläuft. Alle anderen Server werden vom VAMT sauber erkannt, registriert und aktiviert, nur für das TMG krieg ich immer nur “Unable to connect to the WMI service on the remote machine.”

Loesungsansatz von Gaylord Josupeit: “Das Problem mit TMG und WMI ist nämlich, dass es zwei Computergruppen gibt, deren Mitglieder keine RPC-Anfrage an TMG stellen dürfen, oder anders ausgedrückt, läßt TMG diese Anfragen anscheinend einfach ins Leere laufen, auch wenn Sie im Log erscheinen.
Diese beiden Gruppen sind „Remote Management Computer“ und „Enterprise Remote Management Computers“. Da ich in meinem Fall ja eine AD-Domäne betreibe(ich schrieb ja, dass VAMT auf dem DC läuft), steht der DC automatisch über das „Internal“-Subnet in der „Enterprise Remote Management Computers“-Gruppe und darf daher keine RPC-Verbindung aufbauen(Warum auch immer?!)
Mein Workaround war nun folgendes:
Da ich in der selbsterstellten Access-Rule für den RPC-Zugriff keine Möglichkeit habe, die Computergruppen anzupassen, mußte ich eine andere Alternative finden:
In den System-Policy-Rules gibt es (standardmäßig) als zweite Regel „Allow remote management from selected computers using MMC“, in der schon systemseitig das RPC-Protocol genutzt wird.
Über „Properties -> From“ sieht man die Computer-Gruppen, die man hier editieren kann. In den Eigenschaften der Enterprise Remote Management Computers findet man dann das „Internal LAN“, dass man hier dann in zwei LAN’s aufsplitten kann, schön um die IP des DC herum.
Hier reicht es nicht aus, einfach den DC im unteren Fenster als „Exception“ einzutragen, das wird anscheinend ignoriert.
Und dann funktioniert der Rest genauso, wie Du es in deinem PDF beschrieben hast!!

Den entscheidenden Hinweis hab ich übrigens hier her:
http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx

Und hier auch auch die notwendigen Aenderungen an der Firewall:
Forefront TMG 2010 für KMS-Verwaltung via VAMT einrichten

1. Neue Firewall-Regel erstellen:
    Name: WMI Access
    Action: Allow
    Protocol: RPC (all interfaces)
    From/Listener: (Der Computer, auf dem VAMT installiert ist
    To: Localhost
    Condition: All Users
    Policy:  Array
2. Im RPC-Protokoll „Enforce Strict RPC Compliance“ deaktivieren
3. Die erstellte FW-Regel erweitern um ein benutzerdefiniertes Protocol mit Port 10002 TCP, Direction outbound.
4. In den System Policy Rules nach einer Regel suchen, die das RPC(all interfaces) Protokoll beinhaltet:
      Dort dann „Properties->From“ die Gruppe „Enterprise Remote Management Computers“ editieren.
      Das vorhandene „Internal LAN“ aufsplitten, so dass der VAMT-Computer ausgeschlossen wird.
5. Nun sollte VAMT Zugriff auf den TMG haben.

Gruss Marc und danke an Gaylord Josupeit

 

SCEP (System Center 2012 Endpoint Protection) – Powerpoint Praesentation

Hallo Leutz,

fuer die WINone Konferenz welche vom 01-02.02.2012 in Muenchen statt findet, habe ich die PPT fuer meinen SCEP Vortrag fertig gestellt.
Download hier: http://www.it-training-grote.de/download/SCEP2012.pdf
Anmerkung: Die PPT spiegelt nur einen Teil der Neuerungen in SCEP 2012 wieder. Der Vortrag wird ueberwiegend aus “Live” Demos bestehen, um das Produkt in seiner kompletten Funktionsweise zu sehen. Also anmelden zur WINone. Es gibt sehr viele interessante Vortraege.
Weitere Informationen: http://www.winone.at/munich/default.aspx

Gruss Marc

Consulter im Hotel … Halbjahresausgabe Part II

Hallo Leutz,

das zweite Halbjahr 2011 naehert sich dem Ende. Heute habe ich den letzten Vor Ort Kundeneinsatz in diesem Jahr und freue mich auf ein paar erholsame Tage Bueroarbeit zwischen den Feiertagen, bevor es dann am 02.01.2012 wieder zum ersten Kundeneinsatz geht. Zeit fuer einen kleinen “Consulter im Hotel” Rueckblick. Wo hat es mich die zweite Haelfte des Jahres hingefuehrt?

Hehlen 1x – 2 Tage (MCITP EA Workshop)
Eberswalde 6x – 29 Tage (Exchange Migration, SQL Cluster, IT Support, Citrix XenApp)
Boehmetal 1x – 1 Tag (Exchange Migrationstroubleshooting)
Hameln 1x – 1 Tag (ISA Migration)
Limburg 1x – 5 Tage (Exchange Migration)
Muenchen 2x – 3 Tage (TMG Migration)
Oberessendorf 1x – 5 Tage (Exchange und PKI Workshop)
Aachen 1x – 7 Tage (Urlaub und Weltherrschaftsplanung mit Karsten Hentrup)
Lueneburg 2x – 8 Tage (Exchange Migration)
Finowfurt 1x – 3 Tage (CCC Treffen)
Cottbus 2x – 13 Tage (Exchange Migration, FEP und FPE Implementierung, Exchange Workshop)
Bookholzberg 3x – 15 Tage (Hyper-V Cluster)
Hamburg 1x – 7 Tage (Exchange 2010 NLB+DAG Implementierung)
Hildesheim 1x – 3 Tage (Forefront UAG Implementierung)
Schwerin 1 x – 1 Tag – (Forefront TMG Beratung)
Stuttgart 1x – 5 Tage (Forefront UAG Implementierung)
Weilerswist 1x – 2 Tage (ISA + Hyper-V Workshop)
Hessisch Oldendorf 1x – 1 Tag (FEP Workshop)
Saarbruecken 1x – 9 Tage (Exchange Migration)
Bensheim 1x – 3 Tage (Forefront TMG Workshop)
Bottrop 1x – 3 Tage (Forefront TMG Migration)
Hannover 1x – 3 Tage (W2k8R2 Workshop)
Ravensburg 1x – 3 Tage (Forefront TMG Workshop)
Augsburg 1x – 1 Tag (Forefront  TMG Workshop)
Asbach/Ried 1x – 1 Tag (Exchange Migration)
Muenchen 2x – 3 Tage (Forefront TMG Consulting und Implementierung)
Ingolstadt 2x – 8 Tage (Forefront TMG und Security Workshop)
Bremerhaven 1x – 1 Tag (Forefront TMG Migration, Exchange Troubleshooting)
Hannover 1x – 1 Tag (DC Migration)

Anreise- / Abreisetage nicht mitgerechnet. Ich komme also wie letztes Jahr wieder auf eine 110-115 Stunden Arbeitswoche und finanziere wie letzes Jahr die kompletten Jahresgehaelter zweier Mitarbeiter des Finanzamtes 🙁

Dazu kamen in Summe noch 26 Fernwartungstermine bei Kunden nach Feierabend und am Wochenende (Korrektur: Am 29.12.2011 und 30.12.2011 kamen noch zwei Fernwartungen dazu), 6 Artikel fuer www.isaserver.org,
2 Artikel fuer den IT-Administrator, einige Blogeintraege sowie unzaehlige Stunden Bueroarbeit und Arbeit in den Forefront Technet Foren, 2 Vortraege zum Thema Forefront, Vorbereitungen fuer Kundentermine und Informationsbeschaffung, sowie wieder Hunderte E-Mails und einige Telefonanrufe von “Unbekannten” und Kunden mit der Bitte um (kostenlose) Hilfestellungen :-(.

Es folgen wieder Bilder von bemerkenswerten Hotels und Erlebnissen dieses zweiten Halbjahres:

   

Weitere Impressionen:

         

Gruss Marc Grote aka Jens Baier

Neuerungen in SCVMM 2012

Hallo Leutz,

momentan beschaeftige ich mich fuer eine Kundenimplementierung im Jahr 2012, sowie fuer einen SCVMM 2012 Vortrag im Februar 2012 bei der WinONE in Muenchen intensivst mit SCVMM 2012 (System Center Virtual Machine Manager 2012). Dazu habe ich bereits vor einigen Monaten in meiner Testumgebung im Buero meine beiden Hyper-V Clusterknoten auf Windows Server 8 (2012) “upgedatet” und am Weihnachtswochenende mein Dell Notebook mit Windows Server 2008 R2 und Hyper-V neu installiert und in die neue SCVMM 2012 Umgebung integriert und ich bin begeistert von den neuen Funktionen 🙂

Zum Thema Hyper-V 3.0 gibt es hier schon einige Informationen von mir:
http://www.it-training-grote.de/download/hyperv-Win8-LiveMig-PartI.pdf
Zum Thema Windows Server 2012 gibt es hier erste Informationen von mir:
http://www.it-training-grote.de/download/W-Server2012.pdf
Zum Thema SCVMM 2012 habe ich folgende Powerpoint Praesentation vorbereitet:
http://www.it-training-grote.de/download/SCVMM2012.pdf
Weitere Informationen zu SCVMM 2012 findet man auch in der Juni 2011 Ausgabe des Magazins “IT Administrator”

Bisher ist mir die Integration der Windows Server 2012 Hyper-V Knoten in SCVMM 2012 noch nicht gelungen. SCVMM meldet die Server als Unbekannt/Pending. Ein Windows Server 2008 R2 Hyper-V Server laesst sich aber problemlos in SCVMM 2012 integrieren, um sich mit vielen der neuen Funktionen in SCVMM 2012 beschaeftigen zu koennen.

Gruss Marc

SCEP 2012 is running in my Office

Hallo Leutz,

momentan beschaeftige ich mich fuer einige Kundenimplementierungen im Jahr 2012, sowie fuer einen SCEP 2012 Vortrag im Februar 2012 bei der WinONE in Muenchen intensivst mit SCEP 2012 (System Center Endpoint Protection 2012), dem Nachfolger der Forefront Endpoint Protection 2010. Dazu habe ich heute meinen FEP 2010 Server mit SCCM 2007 R2 um eine Installation von SCCM 2012 und SCEP 2012 erweitert und in diesem Rahmen alle nicht Domaenen PC meiner Bueroumgebung von FEP 2010 auf SCEP 2012 upgedatet. Insgesamt laufen jetzt 7 verschiedene physikalische Server (u. a. meine Firewalls) und Clients (Netbook, Notebooks) mit SCEP 2012 in einer nicht durch SCCM gemanagten Umgebung :-). Sogar mein Windows 8 Netbook hat den SCEP 2012 Client geschluckt. Hier musste ich die Anwendungskompatibilitaet auf Windows XP SP2 stellen, damit der SCEP 2012 Client installiert und der FEP 2010 Client deinstalliert werden konnte.

Erste Informationen von mir zu SCEP 2012: http://www.it-training-grote.de/download/SCEP2012.pdf

Des weiteren arbeite ich gerade an einer Migrationsanleitung von FEP 2010 zu SCEP 2012, sowie einer Anleitung fuer eine SCEP 2012 Neuinstallation, welche in den naechsten 2-3 Wochen veroeffentlicht wird.

Happy SCEPing 🙂

Gruss Marc

Publishing Microsoft Sharepoint 2010 mit Forefront TMG – Authentifizierungsoptionen

Hallo Leutz,

Forefront TMG und Microsoft Sharepoint Server 2010 stellen eine Vielzahl an Authentifizierungsoptionen zur Verfuegung:
NTLM/Negotiate/Kerberos (KCD)/Basic Authentication/FBA/SSL Client Certificates / SSO

Wie man diese unterschiedlichen Authentifizierungsoptionen in Verbindung mit Microsoft Sharepoint Server 2010 und Forefront TMG nutzen kann, steht in folgendem Bilderbuch: http://www.it-training-grote.de/download/Sharepoint2010-TMG-Auth.pdf

Gruss Marc Grote

Speaker bei der WINone Konferenz zu Windows Server 2012 und SCVMM 2012

Hallo Leutz,

vom 01-03.02.2012 findet die WINone Konferenz in Aschheim-Dornach bei Muenchen statt, welche sich mit vielen Vortraegen und Workshops rund um das Thema Windows Desktop- und Servertechnologien beschaeftigt. Ich habe die Ehre folgende Vortraege halten zu duerfen:

Titel: System Center Endpoint Protection (SCEP) 2012
Abstrakt: In diesem Vortrag werden anhand einer Demoumgebung die neuen Funktionen des Forefront Endpoint Protection (FEP) 2010 Nachfolger SCEP 2012 gezeigt. Nach einem kurzen Ueberblick in die neuen Funktionen des System Center Configuration Manager (SCCM) 2012, wird auf die Implementierung der Microsoft Endpoint Protection gegen Viren und Malware eingegangen. Schwerpunkt des Vortrags ist die Administration von SCEP, der Verteilung der Antimwalwareclients und des SCEP Reportings sowie Best Practices der SCEP-Verwaltung.

Titel: Neuerungen in SCVMM 2012
Abstrakt: In diesem Vortrag werden alle relevanten technischen Neuerungen von System Center Virtual Machine Manager 2012 anhand einer Demoumgebung mit einem Windows Server 2012 Hyper-V Host aufgezeigt oder theoretisch erlaeutert. Schwerpunkte sind die Neuerungen von SCVMM 2012 im Vergleich zu SCVMM 2008 R2. Zu den (wichtigsten) Neuerungen gehoeren: Fabric Management, Cloud Management, Self Service Portal und Resource Optimization. Abschluss des Vortrags bilden Migrationswege von SCVMM 2008 R2 zu SCVMM 2012.

Zusaetzlich biete ich einen Ganztagesworkshop zu folgendem Thema an:
Titel: Windows Server 2012 Hyper-V Failover Cluster mit SCVMM 2012
Abstrakt: In diesem Ganztagesworkshop wird die komplette Installation eines 2-Knoten Hyper-V 3.0 Cluster mit SCVMM 2012 praktiziert. Der Workshop beginnt mit der Installation von zwei Windows Server 2012 und der Einrichtung der Hyper-V 3.0 Rolle. Anschliessend wird die Windows Server 2012 Failover Cluster Rolle installiert
und nach Best Practices konfiguriert und anschliessend ein Hyper-V Cluster mit Anbindung an ein iSCSI SAN eingerichtet und in diesem Cluster ein Windows Client oder Server als hochverfuegbare VM eingerichtet. Auf Basis des eingerichteten Cluster werden dann zahlreiche Neuerungen von Hyper-V 3.0 praktiziert (Live Storage Migration, Hyper-V Replica und mehr). Abschluss des Ganztagesworkshops bildet die Einbindung des Hyper-V Clusters in eine SCVMM 2012 Installation. Es werden im Rahmen des Workshops dann noch einige Neuerungen von SCVMM 2012 gezeigt (sofern die Zeit es zulaesst).

Weitere Informationen findet Ihr hier: http://www.winone.at/munich/default.aspx

Gruss Marc