ISA2006 TMG Migration Guide

Hi,

die TMG experten von Microsoft, Jim und Mohit, geben im Webcast ISA to TMG Migration Guidance auf Technet Edge Tipps zur Migration vom ISA Server 2004 oder 2006 zum Forefront Threat Management Gateway 2010.

Microsoft’s TMG experts Jim and Mohit, give us essential information about how to migrate over to Forefront Threat Management Gateway from ISA 2004 or 2006. Jim starts out by giving us various supported migration scenarios and at [13:38], Mohit steps in and walks us through typical steps for migration. At end they provide some general tips on your migration.

Der ISA to TMG Migration guide im Microsoft TechNet Portal beschreibt auch diese Szenarien.

Na dann, Viel Spass beim selber Testen!
CU

Forefront UAG RC1 ist auf Microsoft Connect verfügbar

Hi,

die Forefront UAG RC1 ist auf Microsoft Connect verfügbar!

Leider sieht man das Programm nur, wenn man die Invitation ID hat. Sobald der Download öffentlich ist poste ich den hier ebenfalls.

Na dann, Viel Spass beim selber Testen!
CU

Forefront IAG/UAG: Windows 7, IE 8 und 64 bit client side support

Hi,

auf Faisal Hussain’s weblog und im TechNet UAG Forum wird nun klargestellt, was mit Forefront IAG & UAG sowie Clients wie Windows 7, IE 8 und 64 Bit Clients  wie supported ist:

As I understand based on information I have about windows 7 support would be fully available for UAG (Unified Application Gateway) only. There are two Win7 clients, 32bits and 64bits and the answers are different per platform:

For 32 bit clients: SSL Network Tunneling (Network Connector) won’t work (Win7 + UAG offers instead SSTP) and Terminal Services (RDP) won’t work (TSG will). Please also note that SSL Application Tunneling will only work in socket forwarding (no port forwarding is supported).

For 64 bit clients: in addition to the above, SSL Application Tunneling and Socket Forwarding won’t work, TSG will only work on 32bit IE that supports ActiveX.

As far as I know for IAG there would only be support for 32 bit clients and is expected with update 3 that will be released end of December. IE 8 is fully supported with IAG 3.7 SP2 Update 2 only.

For more clarification please refer to UAG forum:

http://social.technet.microsoft.com/Forums/en-US/forefrontedgeiag/thread/9a4c45fe-a780-4e07-85a9-93b9aa6cf651

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Windows 7 Joint Launch Roadshow

Hi,

heute morgen hieß es für mich früh austehen, 5:15 Uhr klingelte der Wecker, denn um 06:28 Uhr fuhr mein IC nach Hannover, wo ich planmassig ankam und mit der S5 weiter zum Hannover Flughafen fahren konnte. Hier fand im Maritim Airport Hotel die Microsoft Windows 7 Joint Launch Roadshow statt.

Nach kurzer Registrierung und einem Tee hielt Michael Kalbe die Keynote „Effizienz, neu definiert“.

• Kosteneinsparung
• Cloud Computing
• ….

Weiter ging es für mich in Track 3 zu Microsoft Exchange Server 2010 – Die technischen Neuerungen im Detail (Sprecher: Malte Pabst)

• Hub Transport ausgebaut und mit weiteren Policy Funktionen
• MAPI Client Zugriff über CAS-Server, CAS-Server spricht mit Mailbox-Server
• UM Server, integriert SMS in Exchange (Windows Mobile 6.5 nötig), SMS wird dann über Active Sync an WM Geräte übergeben und vom Client Gerät versendet
• Mailbox Archivierung direkt im Postfach (extra Archiv pro User)
• Native Verbindung/Koexistenz von Exchange Online Service mit Exchange On-Premise im eigenen Unternehmen (SPAM, Archiv, …)
• Veränderte Storage Situation, Support für Direct Attached SATA Disks und JBOD SATA (RAID-Less)
• DAG – Database Availibility Group
  • Ab 2 Server
  • Windows Server 208 R2 Enterprise (Failover Cluster Funktion), für CAS reicht Server 2008 Std (NLB)
  • Exchange Std (5 Mailbox DB´s) oder Enterprise (100 Mailbox DB´s)
  • Log File Shipping
  • Passive Kopie der MBX DB auf anderen DAG Cluster knoten
  • Sinnvolle Lastverteilung zwischen DAG Cluster Knoten
  • Ausstattung der Server sollte ähnlich sein, muss aber nicht
  • Identische Laufwerkszuordnung sinnvoll
  • Für Öffentliche Ordner kein DAG Support, Replikation der Public Folder
  • PowerShell v2 nötig, Remote PowerShell Support
• Exchange Control Panel
  • Durchführung von Administrationsaufgaben per Browser
  • Delegierung (User, Empfänger Verwaltung)
  • kein ActiveX, Firefox, Safari, … Support
  • Selfservice für Verteilergruppen und Kontaktinformationen
  • Nachrichtenverfolgung für Benutzer
• Exchange Federation
  • Teilen von Kalenderinformationen mit Partnern
  • Rights Management
  • Message Tracking
  • Microsoft Federation Gateway (MFG)
• Integration von UC in Outlook Web App (OWA)
• Clients
  • Outlook 2010, Mailtip, dass Mail zu gross, dass Mail an Verteilerliste gesendet wird
  • Konversationsansicht, egal welche Nachrichtenform
  • Outlook Web App, Tread-View, keine ActiveX -> Firefox, Safari Support
• Verteilerlisten
  • Content Approval Support, Message Moderation

Exchange 2010 Von Architektur und Design zu Deployment und Migration (Sprecher: Malte Pabst)

• Windows Server 2003 DCs/GCs ab SP2 in jeder AD Site
• Forest Level und Domain Level Windows Server 2003
• Alle Exchange 2003 Service SP2/Exchange 2007 SP2
• Exchange 2007 Koexistenz Support ab E2k7 SP2
• Serverplanung
  • Mit nur einer Rolle max 12. Cores
  • Server mit mehreren Rollen max. 24 Cores
  • CAS:Mailbox 3:4
  • Hub:Mailbox 1:7 (ohne AV auf Hub), sonst 1:5
  • GC: Mailbox 1:4 (32 bit), 1:8 (64 bit)
  • 4-12 Cores für MBX Server, 4 GM RAM + 2-10 MB pro User Mailbox (32 MB – 64 GB)
  • Disk/Storage Calculator für Disk Planung (89 KB – 250 KB pro Mail)
  • CAS Server, mind 8 GB bzw. 2 GB pro Core (gestiegenen Anforderungen durch MAPI Traffic), 4-12 Cores
  • Hub Transport 4-8 GB (4-12 Cores)
  • MBX, CAS, Hub, min. 8 GB RAM +
• Deployment Assistent online oder als PDF
• Exchange 2010 Profile Analayzer 2010 (EPA) zur Zeit noch Beta
• Validierung vor Live Betrieb mit Jetstress 2010 oder Exchange Load Generator 2010 (Achtung NICHT in Produktiv Umgebung einsetzen, da Extra User angelegt werden, Lastsimulation)
• Virtualisierung
  • Planung der Hostsysteme ebenso wichtig
  • Planung der Gäste sollte ähnlich der physischen Exchange Anforderungen sein
  • Performanceverlust bis zu ca. 12 %
  • Host Server 2008 / R2 Hyper-V
  • Gast Windows Server 2008 R2 für virtuelles Exchange 2010 (PowerShell V2), UM keine Virtualisierung
  • Fixed Disk für Exchange Gast Systeme, Pass-Throught für MBX Systeme (iSCSI, …)
• CAS, Hub, UM, MBX Server
• Management von 2010 Exchange Servern nur mit Exchange 2010 Tools, 2007 Exchange Server nur mit 2007 Tools und 2003 Exchange Server mit Exchange 2003 Tools

Exchange 2010 Compliance bzw. rechtssichere Kommunikation (Sprecher: Malte Pabst)

• „Paperwork“ -> Gesetze studieren, Regeln definieren und vermitteln
• Persönliches Online Archiv pro User
  • in der gleichen MBX DB (default 10 GB)
  • kann Offline mitgenommen werden in Outlook (nur Outlook 2010/Outlook Web App 2010),
  • PSTs können direkt eingebunden/importiert werden
  • Anwendung von Richtlinien möglich (verschieben der Mails automatisch aus Inbox in Archiv)
  • Exchange 2010 Enterprise CAL nötig

• Definieren von Aufbewahrungsregln
• Suche über mehrere Postfächer, Multi-Mailbox Suche, delegiert auf Personenkreis
• Journaling, mit erweiterten Funktionen für Überwachung, Auswertung und Kontrolle
  • Basieren auf Exchange Hub Transport Regeln
  • Regelbasierende Aufzeichnung von Nachrichten
  • Integration von RMS
  • Berichtswesen
  • Ablage aus ausserhalb der Exchange Org (Weiterleitung per SMTP, Ablage auf WORM Medien)

• Überwachung und Auswertung
• Transport Regeln, Vorgabe von Regeln auf Hub Transport Server
  • Filtereinstellungen (Absender, Empfänger)
  • Disclaimer
  • Erstellen von Kopien (an, cc, bcc)
  • Manipulation des Mailheaders
  • Integration von Sicherheitsvorlagen (RMS)
  • Annahme verweigern
  • Ausnahmen definieren (Abarbeitung ähnliche FW Regeln)
• Outlook Regeln, können offline mitgenommen werden
  • Verknüpft Informationen im Outlook mit RMS Vorlagen
  • Integration in AD RMS
  • Zentral verwaltet über Exchange Org
  • PowerShell Zuweisung
• Transport Verschlüsselung (TLS)
• Enhanced Transport Conditions
• Moderation (Verteilerlisten)
• Mail Tips

PowerShell v2 Umfassende Automation der Serververwaltung (Tobias Weltner)

• Effizienz und Skalierung
• PowerShell v1 wird von v2 ersetzt
• Cmdlets und parameter
• Support für PowerShell Remoting (Windows Management), erfordert Windows Server 2008 R2/Windows 7 oder Active Directory Gatway Services zur Umwandlung von DCOM in XML

Microsoft Forefront Integrierte Sicherheit zum Schutz von Client, Server und Netzwerk (Daniel Melanchthon)

• Derzeit:
  • Forefront Client Security für Endpoint Security (Server & Client)
  • ISA2006 + IAG 2007 für  Edge Security
  • sowie Forefront Security für Exchange, SharePoint und OCS, sowie Forefront Online Protection für Exchange

• Forefront Client Security 1 Engine (Microsoft)
• Forefront Server Produkte bis 5 Engines nutzbar (Microsoft, Kaspersky, …)
• Planung:
  • sowie Forefront Security für Exchange und sowie Forefront Online Protection für Exchange ist verfügbar, SharePoint in Planung Anfang 2010
  • Profront Protection Manager (zentrale Mgmt Tool) in Planung Anfang 2010
  • TMG 2010 ist verfügbar UAG Anfang 2010 für Edge Security
  • Forefront Endpoint Security in Planung für 2. Halbjahr 2010

Hier noch ein paar Impressionen der Microsoft Windows 7 Joint Launch Roadshow:

Vollständiges Album anzeigen

Na dann, Viel Spass beim selber Testen!
CU

Forefront Threat Management Gateway (TMG) 2010 Eval Download

Hi,

über bink.nu habe ich gesehen dass unter http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd

der Forefront TMG 2010 Eval Download verfügbar ist.

Allerdings ist auf dem TMG Team Blog noch nichts davon „offiziell“ zu lesen … aber bereits auf der Tech-Ed 2009 in Berlin verwendete David Cross (Senior Product Manager) die RTM Version von Forefront TMG 2010 und verkündete, dass Forefront TMG den RTM Status erreicht hat. Verfügbar soll die TMG RTM Version für den 01.12.2009 in US und auch Deutschland sein.

[Update 17.11.09] Jetzt hat auch Yaron Zakai-Or (Group Program Manager, Forefront TMG) in seinem Artikel Forefront Threat Management Gateway 2010 Release das offizielle RTM angekündigt![/UPDATE]

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Forefront TMG 2010 RC verfügbar

Hi,

die Release Candidate Version des Microsoft Forefront TMG ist nun verfügbar! Das schreibt Vladimir Holostov (Lead Program Manager, Release Manager for Forefront TMG 2010) im Artikel Forefront Threat Management Gateway 2010 Release Candidate Now Available.

Die RTM Version von Forefront TMG wird ziemlich wahrscheinlich zur TechEd EMEA 2009 in Berlin vorgestellt. Die finale Version in Englisch, Deutsch und Japanisch soll dann am 01.12.2009, in den weiteren acht Sprachen ab 15.12.2009 erhältlich sein. Neben den Standard- und Enterprise-Servervarianten wird es dann auch die sogenannte „Forefront TMG Web Protection Service Subscription“ angeboten, mit der die Aktualisierungen für das URL-Filtering und das Antimalware-Scanning in einer Lizenz abgedeckt sind.

Download Forefront Threat Management Gateway 2010 Release Candidate

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Forefront Client Security: Update Evaluation Version auf Vollversion

Hi,

Marc Grote hat einen Artikel und PDF zum Update einer Microsoft Forefront Client Security Evaluation (120 Tage Test) Version auf die Vollversion geschrieben, da die Lösung ist etwas komplizierter ist laut: http://technet.microsoft.com/de-de/library/bb625082.aspx!

Sehr empfehlenswert, wer derzeit auch FCS noch testet und bald produktiv damit gehen will.

Hier nochmal die Schritt in kurz:

1. Pruefen, ob eine Eval Version installiert ist, dazu muss man in der Registry unter “HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Operations Manager\2.0\Setup” nachsehen ob bei Wert “InstalledServerSKU” mit “Eval” gesetzt ist
2. Microsoft Forefront Client Security Installation Tool runterladen und installieren
   Wichtig: Beim Aktualisieren muss die gleiche Sprachversion verwendet werden, wie für die Evaluierungsversion, sonst muss die FCS Eval Version deinstalliert werden und anschließend eine Verkaufsversion in der entsprechenden Sprache.
3. Von der Windows Installer-Datei (fcsupgradepackage.msi) wird im Client Security-Installationsordner (standardmäßig %\Programmdateien\Microsoft Forefront\Client Security) der Ordner mit dem Aktualisierungspaket erstellt. Die benötigten Dateien werden in diesen Ordner kopiert
4. Aktualisieren des Auflistungsdatenbankservers, dazu “Msiexec /i \Programmdateien\Microsoft Forefront\Client Security\server\momserver.msi” ausführen und die Standardeinstellungen des Aktualisierungs-Assistenten MOM 2005-Servers alle akzeptieren und den Assistenten abschließen
5. Aktualisieren des Auflistungsservers, dazu “Msiexec /i filelocation\FCScs-kb-939366-x86-enu.msi /qn REBOOT=ReallySuppress” und danach “Msiexec /i speicherortquelldatei\server\momserver.msi” ausführen, die Standardeinstellungen des Aktualisierungs-Assistenten MOM 2005-Servers alle akzeptieren und den Assistenten abschließen,
6. “speicherortquelldatei\server\Q913801.msp” auführen (Nach Abschluss des Assistenten prüfen ob der MOM Dienst automatisch gestartet, wurde, konnte ich aber zum Glueck manuell starten)
7. Aktualisieren des Verwaltungsservers, dazu
   Kopieren der Datei “FCSINSTALL.EXE” aus dem Aktualisierungspaket auf den Verwaltungsserver
   Kopieren der Datei FCSMS.MSI vom Ordner Server in den Installationsdateien für die Verkaufsversion von Client Security in den Ordner, in dem die Datei „FCSINSTALL.EXE” liegt (standardmäßig %\Programmdateien\Microsoft Forefront\Client Security\UpgradePackage).
   Ausführen von “Msiexec /i speicherortquelldatei\server\momserver.msi”,
   Wechseln in das Verzeichnis “\Programmdateien\Microsoft Forefront\Client Security\UpgradePackage”
   Ausführen von “FCSInstall.exe fcsms.msi” (Dieser Befehl wird im unbeaufsichtigten Modus ausgeführt und erzeugt keine Ausgabe), Danach kann man in der Registry sehen, dass eine Konvertierung zur Select Version durchgeführt wurde (HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Operations Manager\2.0\Setup” nachsehen ob bei Wert “InstalledServerSKU” mit “Select” z.B. gesetzt ist) Die Änderungen sind auch ohne Neustart wirksam.

Danke an Marc für die Anleitung!

Na dann, Viel Spass beim selber Testen!
CU

Forefront UAG – Forefront Endpoint Components OfflineClientSetup

Hi,

da Windows 7 wird ja nun leider noch nicht im IAG SP2 Update 2 unterstützt, sondern ggf. erst im Update3 .

Deshalb und aufgrund eines Tipps von Markus Grudl (SecureGuard) habe ich einfach mal die Forefront UAG – Forefront Endpoint Components aus dem OfflineClientSetup (UAG Beta 2/RC0) auf Windows 7 installiert. Komisch nur dass in der Systemsteuerung trotzdem die “Whale Client Componenets 4.0.0” angezeigt werden, dass direkt “Forefront Endpoint Components”.

Damit habe ich zwar Support für Windows 7 und kann mich erfolgreich zu UAG´s, wie auch IAG´s verbinden! Leider hat in meinem Test die Nutzung bestimmter Anwendungen nicht funktioniert, weil die Endpoint Erkennung des IAG nicht funktioniert.

Also muss man anscheinend trotzdem die Installation mit meiner Workaround Anleitung zu den “Whale Client Components” durchführen um wirklich ALLE veröffentlichten Anwendungen im IAG nutzen zu können.

Hier noch ein paar Impressionen der Forefront UAG – Client Components OfflineClientSetup:

Vollständiges Album anzeigen

Na dann, Viel Spass beim selber Testen!
CU

Forefront TMG RTM Datum?

Hi,

im Forefront TMG Product Team Blog hat David Cross (Product Unit Manager des Forefront TMG-Teams), gestern abend heute den  Blogartikel The Momentum is Building for TMG RTM veröffentlicht. Seinen Ausagen zufolge, soll demnach in den nächsten Wochen der TMG RC fertiggestellt und veröffentlicht werden und Microsoft peilt einen Launch während der TechEd in Berlin (9.-13.11.2009) an, was bestätigen würde, dass dann Forefront TMG schon ein paar Tag/wochen zuvor fertig gestellt sein wird (RTM).

Na dann, Viel Spass beim selber Testen!
CU

Demo Umgebung Part 7 Windows Server 2008 TS Web Access Publishing mit ISA Server 2006

Hi,

wie schon in meinen letzten 6 Artikeln meiner Demo Umgebung nun mein nächster Artikel.

Dieses mal zum Thema Windows Server 2008 Terminal Services Web Access (TS Web Access) Publishing mit ISA Server 2006, womit ich von extern per Browser über HTTPS eine RDP Verbindung auf die Server meiner bestehende Demo Umgebung auch von außer Testen kann oder per Remote Sogar nur einzelne Anwendungen starten kann.

Als erstes bereite ich den Windows Server 2008 (R2) mit der Terminal Services Rolle auf seine Aufgabe vor, d.h. die TS Rolle installieren und dafür den Role Service TS Web Access auswählen. Als Abhängige Rolle muss dazu auch der Webserver IIS mit installiert werden.

Zunächst erstelle ich mir ein SSL-Zertifikat für den externen DNS Namen (ts.demolocal.de) oder beantrage es von einer 3rd Party Zertifizierungsstelle (CA) (z.B. Thawte oder Verisign). Da es sich bei mir nur um Demo handelt erstelle ich ein internes Webserver Zertifikat, was meine interne Demo RootCA ausstellt und signiert. Dieses SSL-Webserver muss man dann in den internen Zertifikatsspeicher des ISA Server importieren und zwar in “Eigenen Zertifikate” des Computers (!), nicht des Benutzers. Natürlich sollte im Zertifikatsstore “Vertrauenswürdige Zertifizierungsstellen” das RootCA Zertifikat des internen CA liegen.

Nun folgt als nächstes die Erstellung des TS Web Access HTTPS Listeners. Man vergibt einen Namen z.B. TSWA HTTPS Listener und wählt “Require SSL secured connections with clients” aus. Auf der nächsten Seite wählt man die externe IP aus, auf die der ISA Server HTTPS anfragen zu TSWA entgegen nehmen soll und weißt dem Listener, als nächstes das eben erstellte SSL-Webserver Zertifikat zu. Als Letztes wählt man noch die als Authentication Settings “No Authentification” aus. Somit erhält man beim Aufruf der TSWA Seite eine Anmeldebox zur Eingabe von Usernamen und Passwort, natürlich alles über SSL (HTTPS) abgesichert. Single Sign On (SSO) kann man nicht aktiviern, weil man auf dem Listener ja keine Authentifizierung eingeschaltet hat.

Jetzt erstelle ich erst die eigentliche TSWA Publishing Rule ebenso wie im Listener wähle ich auch hier “Use SSL to connect to published Web Server” aus und definiere auf der nächsten Seite meinen internen Terminal Server mit FQDN, also ts1.demo.local. Auf der nächsten Seite definiere ich den externen DNS Namen unter dem ich TSWA erreichen möchte, welche natürlich derselbe wie im zuvor ausgestellten SSL-Zertifikat (ts.demolocal.de) sein muss. Nun folgt die Auswahl des zuvor angelegten TSWA HTTPS Listeners, welche auch gleicht prüft, ob der DNS Name mit dem SSL-Zertifkat übereinstimmt. Nun folgt noch die Auwahl der Authentifizierungsmethode, “No Authentication Delegation, but Client can authenticate directly”. Wer jetzt Angst hat dass dann ja die Kennwort in Klartext übermittelt werden, brauch an dieser Stelle keine Angst haben, denn die Verbindung ist ja per SSL (HTTPS) verschlüsselt. Als letztes sucht man noch die Gruppe der User aus, die sich per ISA anmelden und TSWA nutzen darf, in der Regel sind das nur "Authentifizierte User” oder eine spezielle TSWA-Gruppe.

Nun kann man per Browser in TSWA auf seine Terminal Server oder Terminal Services Applikationen zugreifen!

Hier noch ein paar Impressionen zu Windows Server 2008 TS Web Access Publishing mit ISA Server 2006:

Vollständiges Album anzeigen

Na dann, Viel Spass beim selber Testen!
CU