Consulter im Hotel … Halbjahresausgabe 2012 – Part I

Hallo Leutz,

das erste Halbjahr 2012 naehert sich dem Ende. Zeit fuer einen kleinen “Consulter im Hotel” Rueckblick, zumal ich wie so haeufig an einem Samstag im Zug sitze um von einem Kundentermin wieder nach Hause zu fahren, ehe es am Sonntag mit dem Auto zum naechsten Kunden geht 🙁 Wo hat es mich die erste Haelfte des Jahres hingefuehrt?

Bad Pyrmont 4x – 20 Tage (SCEP 2012 Migration, Exchange/TMG, Firewallbereinigung, SCVMM 2012 Migration)
Walsrode 1x – 3 Tage (Forefront / Exchange  Consulting)
Muelheim-Kaerlich 1x – 2 Tage (TMG/UAG/SCVMM Workshop)
Weilerswist 1x – 10 Tage (ISA-TMG Migration, UAG Einfuehrung, FEP Einfuehrung, CA Migration/Workshop)
Reutte/Tirol 1x – 3 Tage (Forefront UAG Consulting)
Verden 1x – 2 Tage (ISA zu TMG Migration)
Bonn 1x – 3 Tage (Hyper-V 2.0/3.0 Workshop)
Bernau 1x – 2 Tage (Exchange 2010 Workshop, Hyper-V Review)
Eberswalde 6x – 30 Tage (Citrix XenAPP, IT-Support, Exchange Migration, Windows 7 Rollout Planung)
Koenigslutter 1x – 2 Tage (Exchange 2010 Workshop)
Sulzbach 1x – 1 Tag (Forefront UAG Portal)
Muenchen-Dornach 1x – 4 Tage (WinOne Konferenz (Speaker + Workshop)
Borkum 1x – 6 Tage (Forefront UAG Einfuehrung)
Oberhaching 1x – 5 Tage (UAG/TMG/PKI Workshop)
Berlin 2x – 7 Tage (Forefront TMG Implementierung)
Huerth 1x – 4 Tage (TMG/UAG Workshop)
Bitterfeld 1x – 2 Tage (Exchange 2010 Workshop)
Hannover 1x – 6 Tage (Cebit Forefront Stand Microsoft)
Hamburg 1x – 1 Tag (TMG Workshop)
Hannover 1x – 1 Tag (FUGN Treffen)
Lingen 1x – 5 Tage (Exchange 2010 Workshop)
Hannover 1x – 1 Tag (ISA-TMG Migration, FPE)
Salzgitter 1x – 3 Tage (PKI Workshop)

Anreise- / Abreisetage nicht mitgerechnet.

Dazu kamen in Summe noch 17 Fernwartungstermine bei Kunden nach Feierabend und am Wochenende, 6 Artikel fuer www.isaserver.org,
1 Artikel fuer den IT-Administrator, 3 Artikel fuer das Windows Server Magazin, einige Blogeintraege sowie unzaehlige Stunden Bueroarbeit und Arbeit in den Forefront Technet Foren, 2 Vortraege zum Thema Forefront, Vorbereitungen fuer Kundentermine und Informationsbeschaffung, sowie wieder Hunderte E-Mails und einige Telefonanrufe von “Unbekannten” und Kunden mit der Bitte um (kostenlose) Hilfestellungen :-( . Diese Aktivitaeten sorgten dafuer das es KEINE Veraenderung meiner Wochenarbeitszeit von ca. 110 Stunden gegeben hat, ich arbeite aber daran das zu verbessern.

Es folgen wieder Bilder von “bemerkenswerten” Hotels und Erlebnissen dieses ersten Halbjahres:

                      

 

Forefront TMG SP2 – Firewall Service stoppt

Hallo Leutz,

seit gestern Nacht scheint auf einer Vielzahl von Forefront TMG Servern mit installiertem SP2 ohne zusaetzliche Hotfixe der Microsoft Forefront TMG Firewall Dienst zu stoppen. Ich habe heute bereits zwei Kundenanrufe und einige E-Mails von Kunden erhalten welche von diesem Problem berichten.
In einer Forefront Mailingliste werden diese Probleme von einer Vielzahl von TMG Systemen weltweit berichtet.
Das Problem scheint mit Forefront TMG SP2 Rollup 1 behoben zu sein:
http://support.microsoft.com/kb/2658903
Am besten gleich SP2 Rollup 2 installieren
Weitere Erkenntnisse sind zum jetzigen Zeitpunkt noch nicht bekannt. Updates folgen
Update 29.06.2012: http://blogs.technet.com/b/isablog/archive/2012/06/29/tmg-services-stopping-unexpectedly.aspx

Gruss Marc

PKI/Zertifikatinfrastruktur: RSA Keys unter 1024 Bit Laenge werden ab August 2012 auf Windows Systemen geblockt

Hallo Leutz,

das Microsoft Windows PKI Team hat angekuendigt, dass mit einem Windows Update im August 2012 ausgestellte Zertifikate mit einem RSA Key kleiner als 1024 Bit blockiert werden.
Das betrifft zur Zeit folgende CSP, welche unter Umstaenden noch von einigen Windows Certificate Templates verwendet werden:
– Microsoft Base Cryptographic Provider v1.0 (RSA)
– Microsoft Base DSS and Diffie-Hellman Cryptographic Provider (DH)
– Microsoft DH SChannel Cryptographic Provider (DH)

Auessern kann sich das neue Blockverhalten wie folgt:
– Error messages when browsing to web sites that have SSL certificates with keys that are less than 1024 bits
– Problems enrolling for certificates when a certificate request attempts to utilize a key that is less than 1024 bits
– Creating or consuming email (S/MIME) messages that utilize less than 1024 bit keys for signatures or encryption
– Installing Active X controls that were signed with less than 1024 bit signatures
– Installing applications that were signed with less than 1024 bit signatures (unless they were signed prior to January 1, 2010, which will not be blocked by default).

Quelle: http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

Der Artikel beschreibt auch wie man die eigene CA Infrastruktur pruefen kann, ob Zertifikatvorlagen mit RSA Key kleiner 1024 Bit verwendet werden und ob Zertifikate basierend auf dem Certificate Template ausgestellt sind. Desweiteren wird beschrieben wie man bereits ausgestellte Zertifikat mit einer hoeheren Schluesselstaerke ausstellen/erneuern kann.

Administratoren sollten sich also umgehend daran machen Ihre Infrastruktur zu pruefen denn aus meiner PKI Erfahrung bei Kunden der zahlreichen letzten Jahre kann ich sagen, dass viele Administratoren dazu neigen, Zertifikate mit sehr langer Lebensdauer auszustellen und wenn das damals noch auf Basis von RSA Keys kleiner als 1024 Bit erfolgte, kann es zu massiven Problemen kommen. Das gleiche gilt fuer die Verwendung von Self Signed Zertifikaten welche sehr gerne verwendet werden. Alle in den letzten Jahren ausgestellte Zertifikate sollte in der Regel RSA Keys groesser als 1024 Bit verwenden, aber einer Pruefung sollte man seiner Umgebung trotzdem goennen.

Der Blog beschreibt auch wie man das Logging der CryptoAPI erhoehen kann (steuerbar ueber Windows Gruppenrichtlinien) und wie man auf aktuellen Windows Systemen das CAPI2 Logging (ab Vista verfuegbar) aktivieren kann um festzustellen, welche Crypto Prozesse noch RSA Keys unter 1024 Bit verwenden. Das CAPI Logging kann man auch sehr gut dazu verwenden um den Windows Event Collector Sevice zu nutzen, alle relevanten EventIDs auf einem zentralen System zu sammeln und auszuwerten.

Gruss Marc

Hyper-V 3.0 Failover Cluster und VM Replica

Hallo Leutz,

die RC Version von Windows Server 2012 ist verfuegbar. Anlass genug, alle meine VM, Notebooks, Netbook und meinen Hyper-V 3.0 Cluster von der Beta auf die RC zu bringen und in meinen SCVMM 2012 neu zu integrieren.
Nach Neueinrichtung des Clusters habe ich “endlich” die VM Replica Funktionen von Hyper-V 3.0 mit den Windows Failoverdiensten und dem Hyper-V Replica Broker erfolgreich eingerichtet. Dabei ist folgendes Bilderbuch entstanden:
http://www.it-training-grote.de/download/HYPERV-30-REPLICA.pdf

Weitere Informationen zur Einrichttung eines Hyper-V 3.0 Clusters:
http://www.it-training-grote.de/download/Hyper-v-livemig-complete.pdf

Gruss Marc