Archiv für die Kategorie ‘Edge’
Verfasst von JoergS am 7. Dezember 2009
Hi,
die TMG experten von Microsoft, Jim und Mohit, geben im Webcast ISA to TMG Migration Guidance auf Technet Edge Tipps zur Migration vom ISA Server 2004 oder 2006 zum Forefront Threat Management Gateway 2010.
Microsoft’s TMG experts Jim and Mohit, give us essential information about how to migrate over to Forefront Threat Management Gateway from ISA 2004 or 2006. Jim starts out by giving us various supported migration scenarios and at [13:38], Mohit steps in and walks us through typical steps for migration. At end they provide some general tips on your migration.
Der ISA to TMG Migration guide im Microsoft TechNet Portal beschreibt auch diese Szenarien.
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Edge, Forefront, TechNet | Verschlagwortet mit : Edge, Forefront, ISA Server, Migration, TechNet, TMG | Kommentar schreiben »
Verfasst von JoergS am 26. November 2009
Hi,
die Forefront UAG RC1 ist auf Microsoft Connect verfügbar!
Leider sieht man das Programm nur, wenn man die Invitation ID hat. Sobald der Download öffentlich ist poste ich den hier ebenfalls.
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Betatest, Edge, Forefront, Neuigkeiten | Verschlagwortet mit : Download, release candidate, Microsoft Connect, Forefront, UAG | Kommentar schreiben »
Verfasst von JoergS am 19. November 2009
Hi,
auf Faisal Hussain’s weblog und im TechNet UAG Forum wird nun klargestellt, was mit Forefront IAG & UAG sowie Clients wie Windows 7, IE 8 und 64 Bit Clients wie supported ist:
As I understand based on information I have about windows 7 support would be fully available for UAG (Unified Application Gateway) only. There are two Win7 clients, 32bits and 64bits and the answers are different per platform:
For 32 bit clients: SSL Network Tunneling (Network Connector) won’t work (Win7 + UAG offers instead SSTP) and Terminal Services (RDP) won’t work (TSG will). Please also note that SSL Application Tunneling will only work in socket forwarding (no port forwarding is supported).
For 64 bit clients: in addition to the above, SSL Application Tunneling and Socket Forwarding won’t work, TSG will only work on 32bit IE that supports ActiveX.
As far as I know for IAG there would only be support for 32 bit clients and is expected with update 3 that will be released end of December. IE 8 is fully supported with IAG 3.7 SP2 Update 2 only.
For more clarification please refer to UAG forum:
http://social.technet.microsoft.com/Forums/en-US/forefrontedgeiag/thread/9a4c45fe-a780-4e07-85a9-93b9aa6cf651
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Edge, Forefront, Internet Explorer, Windows 7 | Verschlagwortet mit : Clients Components, Forefront, IAG, IE8, Internet Explorer, UAG, Windows 7, x64 | Kommentar schreiben »
Verfasst von JoergS am 16. November 2009
Veröffentlicht in Edge, Forefront | Verschlagwortet mit : Download, Edge, Evaluation, Forefront, RTM, TMG | Kommentar schreiben »
Verfasst von JoergS am 11. Oktober 2009
Hi,
die Release Candidate Version des Microsoft Forefront TMG ist nun verfügbar! Das schreibt Vladimir Holostov (Lead Program Manager, Release Manager for Forefront TMG 2010) im Artikel Forefront Threat Management Gateway 2010 Release Candidate Now Available.
Die RTM Version von Forefront TMG wird ziemlich wahrscheinlich zur TechEd EMEA 2009 in Berlin vorgestellt. Die finale Version in Englisch, Deutsch und Japanisch soll dann am 01.12.2009, in den weiteren acht Sprachen ab 15.12.2009 erhältlich sein. Neben den Standard- und Enterprise-Servervarianten wird es dann auch die sogenannte „Forefront TMG Web Protection Service Subscription“ angeboten, mit der die Aktualisierungen für das URL-Filtering und das Antimalware-Scanning in einer Lizenz abgedeckt sind.
Download Forefront Threat Management Gateway 2010 Release Candidate
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Edge, Forefront, Neuigkeiten | Verschlagwortet mit : Firewall, Forefront, release candidate, TMG | Kommentar schreiben »
Verfasst von JoergS am 30. September 2009
Hi,
da Windows 7 wird ja nun leider noch nicht im IAG SP2 Update 2 unterstützt, sondern ggf. erst im Update3 .
Deshalb und aufgrund eines Tipps von Markus Grudl (SecureGuard) habe ich einfach mal die Forefront UAG – Forefront Endpoint Components aus dem OfflineClientSetup (UAG Beta 2/RC0) auf Windows 7 installiert. Komisch nur dass in der Systemsteuerung trotzdem die “Whale Client Componenets 4.0.0” angezeigt werden, dass direkt “Forefront Endpoint Components”.
Damit habe ich zwar Support für Windows 7 und kann mich erfolgreich zu UAG´s, wie auch IAG´s verbinden! Leider hat in meinem Test die Nutzung bestimmter Anwendungen nicht funktioniert, weil die Endpoint Erkennung des IAG nicht funktioniert.
Also muss man anscheinend trotzdem die Installation mit meiner Workaround Anleitung zu den “Whale Client Components” durchführen um wirklich ALLE veröffentlichten Anwendungen im IAG nutzen zu können.
Hier noch ein paar Impressionen der Forefront UAG – Client Components OfflineClientSetup:
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Edge, Neuerungen, Windows 7 | Verschlagwortet mit : Clients Components, Edge, Forefront, OfflineClientSetup, UAG, Windows 7 | Kommentar schreiben »
Verfasst von JoergS am 28. September 2009
Hi,
im Forefront TMG Product Team Blog hat David Cross (Product Unit Manager des Forefront TMG-Teams), gestern abend heute den Blogartikel The Momentum is Building for TMG RTM veröffentlicht. Seinen Ausagen zufolge, soll demnach in den nächsten Wochen der TMG RC fertiggestellt und veröffentlicht werden und Microsoft peilt einen Launch während der TechEd in Berlin (9.-13.11.2009) an, was bestätigen würde, dass dann Forefront TMG schon ein paar Tag/wochen zuvor fertig gestellt sein wird (RTM).
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Edge, Forefront, Neuigkeiten | Verschlagwortet mit : Firewall, Forefront, security, Sicherheit, TMG | Kommentar schreiben »
Verfasst von JoergS am 25. September 2009
Hi,
wie schon in meinen letzten 6 Artikeln meiner Demo Umgebung nun mein nächster Artikel.
Dieses mal zum Thema Windows Server 2008 Terminal Services Web Access (TS Web Access) Publishing mit ISA Server 2006, womit ich von extern per Browser über HTTPS eine RDP Verbindung auf die Server meiner bestehende Demo Umgebung auch von außer Testen kann oder per Remote Sogar nur einzelne Anwendungen starten kann.
Als erstes bereite ich den Windows Server 2008 (R2) mit der Terminal Services Rolle auf seine Aufgabe vor, d.h. die TS Rolle installieren und dafür den Role Service TS Web Access auswählen. Als Abhängige Rolle muss dazu auch der Webserver IIS mit installiert werden.
Zunächst erstelle ich mir ein SSL-Zertifikat für den externen DNS Namen (ts.demolocal.de) oder beantrage es von einer 3rd Party Zertifizierungsstelle (CA) (z.B. Thawte oder Verisign). Da es sich bei mir nur um Demo handelt erstelle ich ein internes Webserver Zertifikat, was meine interne Demo RootCA ausstellt und signiert. Dieses SSL-Webserver muss man dann in den internen Zertifikatsspeicher des ISA Server importieren und zwar in “Eigenen Zertifikate” des Computers (!), nicht des Benutzers. Natürlich sollte im Zertifikatsstore “Vertrauenswürdige Zertifizierungsstellen” das RootCA Zertifikat des internen CA liegen.
Nun folgt als nächstes die Erstellung des TS Web Access HTTPS Listeners. Man vergibt einen Namen z.B. TSWA HTTPS Listener und wählt “Require SSL secured connections with clients” aus. Auf der nächsten Seite wählt man die externe IP aus, auf die der ISA Server HTTPS anfragen zu TSWA entgegen nehmen soll und weißt dem Listener, als nächstes das eben erstellte SSL-Webserver Zertifikat zu. Als Letztes wählt man noch die als Authentication Settings “No Authentification” aus. Somit erhält man beim Aufruf der TSWA Seite eine Anmeldebox zur Eingabe von Usernamen und Passwort, natürlich alles über SSL (HTTPS) abgesichert. Single Sign On (SSO) kann man nicht aktiviern, weil man auf dem Listener ja keine Authentifizierung eingeschaltet hat.
Jetzt erstelle ich erst die eigentliche TSWA Publishing Rule ebenso wie im Listener wähle ich auch hier “Use SSL to connect to published Web Server” aus und definiere auf der nächsten Seite meinen internen Terminal Server mit FQDN, also ts1.demo.local. Auf der nächsten Seite definiere ich den externen DNS Namen unter dem ich TSWA erreichen möchte, welche natürlich derselbe wie im zuvor ausgestellten SSL-Zertifikat (ts.demolocal.de) sein muss. Nun folgt die Auswahl des zuvor angelegten TSWA HTTPS Listeners, welche auch gleicht prüft, ob der DNS Name mit dem SSL-Zertifkat übereinstimmt. Nun folgt noch die Auwahl der Authentifizierungsmethode, “No Authentication Delegation, but Client can authenticate directly”. Wer jetzt Angst hat dass dann ja die Kennwort in Klartext übermittelt werden, brauch an dieser Stelle keine Angst haben, denn die Verbindung ist ja per SSL (HTTPS) verschlüsselt. Als letztes sucht man noch die Gruppe der User aus, die sich per ISA anmelden und TSWA nutzen darf, in der Regel sind das nur "Authentifizierte User” oder eine spezielle TSWA-Gruppe.
Nun kann man per Browser in TSWA auf seine Terminal Server oder Terminal Services Applikationen zugreifen!
Hier noch ein paar Impressionen zu Windows Server 2008 TS Web Access Publishing mit ISA Server 2006:
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Edge, Forefront, Windows Server 2008 | Verschlagwortet mit : Windows Server 2008, Forefront, ISA Server, Edge, Terminal Services Web Access, TS Web Acces | Kommentar schreiben »
Verfasst von JoergS am 24. September 2009
Hi,
wie schon in meinen letzten 5 Artikeln meiner Demo Umgebung nun mein nächster Artikel.
Dieses mal zum Thema Exchange 2007 Outlook Web Access (OWA) Publishing mit ISA Server 2006, womit ich von extern per Browser über HTTPS meine bestehende Demo Umgebung auch von außer Testen kann für Mail Verkehr.
Als erstes bereite ich den Exchange 2007 mit der CAS-Server Rolle auf seine Aufgabe vor, OWA Verbindungen anzunehmen. Dazu wählt man in der Exchange Management Console die “Server Configuration” und dort “Client Access”. Gleich auf der ersten Registerkarte steht OWA, was man mit der rechten Maustaste und “Properties” konfiguriert. So muss man eine URL eingegeben und die Authentifizierungsmethode z.B. “Form-based Authentification” auswählen. Weiterhin kann man noch den Zugriff auf OWA Elemente oder den Zugriff von öffentlichen/privaten Computern einschränken bzw. auch den Zugriff auf Remote File Sharing Server zulassen bzw. verweigern.
Zunächst erstelle ich mir ein SSL-Zertifikat für den externen DNS Name oder beantrage es von einer 3rd Party Zertifizierungsstelle (CA) (z.B. Thawte oder Verisign). Da es sich bei mir nur um Demo handelt erstelle ich ein internes Webserver Zertifikat, was meine interne Demo RootCA ausstellt und signiert. Dieses SSL-Webserver muss man dann in den internen Zertifikatsspeicher des ISA Server importieren und zwar in “Eigenen Zertifikate” des Computers (!), nicht des Benutzers. Natürlich sollte im Zertifikatsstore “Vertrauenswürdige Zertifizierungsstellen” das RootCA Zertifikat des internen CA liegen.
Nun folgt als nächstes die Erstellung des OWA HTTPS Listeners. Man vergibt einen Namen z.B. OWA HTTPS Listener und wählt “Require SSL secured connections with clients” aus. Auf der nächsten Seite wählt man die externe IP aus, auf die der ISA Server HTTPS anfragen zu OWA entgegen nehmen soll und weißt dem Listener, als nächstes das eben erstellte SSL-Webserver Zertifikat zu. Als Letztes wählt man noch die als Authentication Settings “Form-based Authentication” mit Active Directory aus. Somit erhält man beim Aufruf der OWA Seite ein Exchange 2007 Anmeldeformular zur Eingabe von Usernamen und Passwort, natürlich alles über SSL (HTTPS) abgesichert. Single Sign On (SSO) aktiviere ich nicht, da ich es in meinem Szenario nicht benötige.
Jetzt erstelle ich erst die eigentliche OWA Publishing Rule und wähle meine Exchange Server Version 2007 und “Publish single Web site” aus. Ebenso wie im Listener wähle ich auch hier “Use SSL to connect to published Web Server” aus und definiere auf der nächsten Seite meinen internen Exchange Server mit FQDN, also Ex07.demo.local. Auf der nächsten Seite definiere ich den externen DNS Namen unter dem ich OWA erreichen möchte, welche natürlich derselbe wie im zuvor ausgestellten SSL-Zertifikat sein muss. Nun folgt die Auswahl des zuvor angelegten OWA HTTPS Listeners, welche auch gleicht prüft, ob der DNS Name mit dem SSL-Zertifkat übereinstimmt. Nun folgt noch die Auwahl der Authentication Delegation, “Basic (HTTP)”. Wer jetzt Angst hat dass dann ja die Kennwort in Klartext übermittelt werden, brauch an dieser Stelle keine Angst haben, denn die Verbindung ist ja per SSL (HTTPS) verschlüsselt. Als letztes sucht man noch die Gruppe der User aus, die sich per ISA anmelden und OWA nutzen darf, in der Regel sind das nur "Authentifizierte User” oder eine spezielle OWA-Gruppe.
Nun kann man per Browser in OWA seine E-Mails von jedem Rechner der Welt auch einsehen und verschicken!
Hier noch ein paar Impressionen des ISA 2006 OWA Publishing:
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Edge, Exchange, Forefront | Verschlagwortet mit : Edge, Exchange, Forefront, ISA Server, OWA | Kommentar schreiben »
Verfasst von JoergS am 23. September 2009
Hi,
das Forefront TMG (ISA Server) Product Team hat in seinem Blog einen kleinen Guide zur Installation und Konfiguration von DirectAccess auf dem Forefront TMG beschreibt:
Forefront TMG and Windows® 7 DirectAccess
Install Forefront TMG
By default Forefront TMG disables various IPv6 transition technologies in Windows. In order to prevent Forefront TMG Setup from doing this, create the following .reg file and import it to the registry:
—————————————————————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\ISACTRL]
"CTRL_SKIP_DISABLE_IPV6_PROTOCOLS"=dword:00000001
—————————————————————————————————————
After the key has been imported, install Forefront TMG.
Please note that once Forefront TMG is installed it takes control of the Windows Firewall’s firewall category to prevent the existence of duplicate policies on the same machine. If you open the “Windows Firewall with Advanced Security” console you will see a warning similar to the one below:
Enable DirectAccess support in Forefront TMG
In order to enable DirectAccess support in Forefront TMG, create and run the following script:
———————————–
set o = createobject("fpc.root")
set arr = o.Arrays.Item(1)
set policy = arr.ArrayPolicy
set IPV6Settings = policy.IPv6Settings
IPV6Settings.DirectAccessEnabled = vbTrue
arr.save
———————————–
After Forefront TMG synchronizes to the new configuration, the following changes take place:
1. IPv6 infrastructure and transition technologies to and from Forefront TMG are allowed by enabling the relevant rules in the Forefront TMG system policy (rules 48-51 in the screenshot below).
2. Forefront TMG routes authenticated IPv6 traffic through it.
Na dann, Viel Spass beim selber Testen!
CU
Veröffentlicht in Edge, Forefront, Neuerungen, Neuigkeiten, Windows 7 | Verschlagwortet mit : DirectAccess, Forefront, TMG, Windows 7 | Kommentar schreiben »
