ISA zu TMG Migration – unterschiedliche Sprachversionen und VPN Site to Site

Hallo Leutz,

bei einem Kunden haben wir am Wochenende von ISA Server auf TMG 2010 migriert. Vorgehensweise wie “immer”:
http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006-Microsoft-Forefront-TMG.html

Besonderheit in diesem Szenario: Der ISA Server war Englisch, das Ziel TMG System ein deutsches.
Die Migration lief ohne Probleme. Wir testeten alle notwendigen Verfahren, lediglich die VPN Site to Site Verbindung zu einem SAP System lief nicht, was wir auf evtl. Wartungsarbeiten des SAP-Systems am Wochenende fuehrten, da die TMG Konsole eine etablierte S2S-Verbindung anzeigte.
Als auch heute Morgen kein Zugriff auf den Remote Standort moeglich war, loeschte ich die S2S-Verbindung und bei der Neuanlage kam die Fehlermeldung: “„Benutzersatz, von Richtlinienregel Zugriff zwischen SAP und internem Netzwerk zulassen verwiesen, ist nicht vorhanden. “Der Fehler ist auf Objekt “Zugriff zwischen SAP und internem Netzwerk zulassen” der Klasse “Richtlinienregel” im Arraybereich “S001″ aufgetreten”.

Nach einigen Versuchen, den Fehler einzugrenzen habe ich festgestellt, dass es im S2S Wizard ein Problem gibt bei der Anlage der Firewallregel zwischen den Netzen. Der Assistent legt eine Firewallregel an fuer “Alle Benutzer”. Die uebernommene Konfiguration kennt aber nur den ISA/TMG Benutzersatz “All Users”.

Aehnlich wie bei Forefront UAG sollte man also auf die korrekte “Sprache” achten:
http://www.it-training-grote.de/blog/?p=3978

Wie man dem Problem beikommen kann steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/ISA-TMG-EN-DE.pdf

Gruss Marc

Microsoft Security Essentials per SCCM 2007 deinstallieren

Hallo Leutz,

wenn auch etwas ungewoehnlich, aber ich bin zur Zeit bei einem Kunden, welcher MSE (Microsoft Security Essentials) auf seinen Workstations ausgerollt hat.
Da die Lizenzbedingungen von MSE bis vor “kurzem” nur die Installation auf einem PC zuliessen und seit einiger Zeit auf PC in Unternehmen auf bis zu 10 PC, sicherlich eine Seltenheit? http://windows.microsoft.com/de-DE/windows/products/security-essentials/eula

Im Rahmen einer FEP 2010 Implementierung wollten wir den FEP-Client per SCCM auf die Workstations und Server ausrollen. Waehrend der FEP-Client Installation durch den SCCM werden einige vorhandene AV-Clients deinstalliert, aber leider nicht MSE: http://technet.microsoft.com/en-us/library/ff823842.aspx

In Unkenntniss der Tatsache (Ich kenne zwar die MS Webseite – ging aber davon aus, dass MSE waehrend der FEP-Client Installation deinstalliert wird, da MSE und FEP-Intune ja die gleiche Engine verwenden und ich hatte bisher noch keinen Kunden der MSE im “grossen Stil” einsetzt), verteilten wir auf einigen Systemen den FEP-Client per SCCM. Das Ergebnis: SCCM erkennt einen installierten “FEP-Client”, versorgt diesen auch zentral mit den definierten FEP-Policies und erlaubt eine zentrale Verwaltung, tauscht den MSE-Client aber nicht durch die FEP-GUI aus!

Also stehen verschiedene Wege zur Verfuegung, den MSE Client zu deinstallieren:
MSE 1.0: http://support.microsoft.com/kb/2435760
MSE 2.0 http://support.microsoft.com/kb/2483120

Um die Deinstallation zu automatisieren kann man den MSE-Client auch durch folgenden Befehl deinstallieren: %ProgramFiles%\Microsoft Security Essentials\setup.exe” /x /s Das funktioniert meiner Recherche nach aber nur mit aelteren MSE-Clients (1.0)? Der aktuelle MSE-Client installiert sich im Verzeichnis %ProgramFiles%\Microsoft Security Client!
Achtung: Das ist der gleiche Pfad wie der Pfad fuer eine FEP-Client Installation. Also bei einer automatisierten Deinstallation aufpassen, nicht auch den FEP-Client zu deinstallieren!

Also versuchte ich den MSE-Client per SCCM zu deinstallieren. Da dies meine erste echte Softwareverteilung per SCCM war, eine spannende (wenn auch schlussendlich einfache) Herausforderung 🙂 Wie das funktioniert steht hier:
http://www.it-training-grote.de/download/MSE-uninstall-SCCM.pdf

Gruss Marc