heute morgen hieß es für mich früh austehen, 5:15 Uhr klingelte der Wecker, denn um 06:28 Uhr fuhr mein IC nach Hannover, wo ich planmassig ankam und mit der S5 weiter zum Hannover Flughafen fahren konnte. Hier fand im Maritim Airport Hotel die Microsoft Windows 7 Joint Launch Roadshow statt.
Nach kurzer Registrierung und einem Tee hielt Michael Kalbe die Keynote „Effizienz, neu definiert“.
Kosteneinsparung
Cloud Computing
….
Weiter ging es für mich in Track 3 zu Microsoft Exchange Server 2010 – Die technischen Neuerungen im Detail (Sprecher: Malte Pabst)
Hub Transport ausgebaut und mit weiteren Policy Funktionen
MAPI Client Zugriff über CAS-Server, CAS-Server spricht mit Mailbox-Server
UM Server, integriert SMS in Exchange (Windows Mobile 6.5 nötig), SMS wird dann über Active Sync an WM Geräte übergeben und vom Client Gerät versendet
Mailbox Archivierung direkt im Postfach (extra Archiv pro User)
Native Verbindung/Koexistenz von Exchange Online Service mit Exchange On-Premise im eigenen Unternehmen (SPAM, Archiv, …)
Veränderte Storage Situation, Support für Direct Attached SATA Disks und JBOD SATA (RAID-Less)
DAG – Database Availibility Group
Ab 2 Server
Windows Server 208 R2 Enterprise (Failover Cluster Funktion), für CAS reicht Server 2008 Std (NLB)
Exchange Std (5 Mailbox DB´s) oder Enterprise (100 Mailbox DB´s)
Log File Shipping
Passive Kopie der MBX DB auf anderen DAG Cluster knoten
Sinnvolle Lastverteilung zwischen DAG Cluster Knoten
Ausstattung der Server sollte ähnlich sein, muss aber nicht
Identische Laufwerkszuordnung sinnvoll
Für Öffentliche Ordner kein DAG Support, Replikation der Public Folder
PowerShell v2 nötig, Remote PowerShell Support
Exchange Control Panel
Durchführung von Administrationsaufgaben per Browser
Delegierung (User, Empfänger Verwaltung)
kein ActiveX, Firefox, Safari, … Support
Selfservice für Verteilergruppen und Kontaktinformationen
Nachrichtenverfolgung für Benutzer
Exchange Federation
Teilen von Kalenderinformationen mit Partnern
Rights Management
Message Tracking
Microsoft Federation Gateway (MFG)
Integration von UC in Outlook Web App (OWA)
Clients
Outlook 2010, Mailtip, dass Mail zu gross, dass Mail an Verteilerliste gesendet wird
Konversationsansicht, egal welche Nachrichtenform
Outlook Web App, Tread-View, keine ActiveX -> Firefox, Safari Support
Verteilerlisten
Content Approval Support, Message Moderation
Exchange 2010 Von Architektur und Design zu Deployment und Migration (Sprecher: Malte Pabst)
Windows Server 2003 DCs/GCs ab SP2 in jeder AD Site
Forest Level und Domain Level Windows Server 2003
Alle Exchange 2003 Service SP2/Exchange 2007 SP2
Exchange 2007 Koexistenz Support ab E2k7 SP2
Serverplanung
Mit nur einer Rolle max 12. Cores
Server mit mehreren Rollen max. 24 Cores
CAS:Mailbox 3:4
Hub:Mailbox 1:7 (ohne AV auf Hub), sonst 1:5
GC: Mailbox 1:4 (32 bit), 1:8 (64 bit)
4-12 Cores für MBX Server, 4 GM RAM + 2-10 MB pro User Mailbox (32 MB – 64 GB)
Disk/Storage Calculator für Disk Planung (89 KB – 250 KB pro Mail)
CAS Server, mind 8 GB bzw. 2 GB pro Core (gestiegenen Anforderungen durch MAPI Traffic), 4-12 Cores
Hub Transport 4-8 GB (4-12 Cores)
MBX, CAS, Hub, min. 8 GB RAM +
Deployment Assistent online oder als PDF
Exchange 2010 Profile Analayzer 2010 (EPA) zur Zeit noch Beta
Validierung vor Live Betrieb mit Jetstress 2010 oder Exchange Load Generator 2010 (Achtung NICHT in Produktiv Umgebung einsetzen, da Extra User angelegt werden, Lastsimulation)
Virtualisierung
Planung der Hostsysteme ebenso wichtig
Planung der Gäste sollte ähnlich der physischen Exchange Anforderungen sein
Performanceverlust bis zu ca. 12 %
Host Server 2008 / R2 Hyper-V
Gast Windows Server 2008 R2 für virtuelles Exchange 2010 (PowerShell V2), UM keine Virtualisierung
Fixed Disk für Exchange Gast Systeme, Pass-Throught für MBX Systeme (iSCSI, …)
CAS, Hub, UM, MBX Server
Management von 2010 Exchange Servern nur mit Exchange 2010 Tools, 2007 Exchange Server nur mit 2007 Tools und 2003 Exchange Server mit Exchange 2003 Tools
Exchange 2010 Compliance bzw. rechtssichere Kommunikation (Sprecher: Malte Pabst)
„Paperwork“ -> Gesetze studieren, Regeln definieren und vermitteln
Persönliches Online Archiv pro User
in der gleichen MBX DB (default 10 GB)
kann Offline mitgenommen werden in Outlook (nur Outlook 2010/Outlook Web App 2010),
PSTs können direkt eingebunden/importiert werden
Anwendung von Richtlinien möglich (verschieben der Mails automatisch aus Inbox in Archiv)
Exchange 2010 Enterprise CAL nötig
Definieren von Aufbewahrungsregln
Suche über mehrere Postfächer, Multi-Mailbox Suche, delegiert auf Personenkreis
Journaling, mit erweiterten Funktionen für Überwachung, Auswertung und Kontrolle
Basieren auf Exchange Hub Transport Regeln
Regelbasierende Aufzeichnung von Nachrichten
Integration von RMS
Berichtswesen
Ablage aus ausserhalb der Exchange Org (Weiterleitung per SMTP, Ablage auf WORM Medien)
Überwachung und Auswertung
Transport Regeln, Vorgabe von Regeln auf Hub Transport Server
Verknüpft Informationen im Outlook mit RMS Vorlagen
Integration in AD RMS
Zentral verwaltet über Exchange Org
PowerShell Zuweisung
Transport Verschlüsselung (TLS)
Enhanced Transport Conditions
Moderation (Verteilerlisten)
Mail Tips
PowerShell v2 Umfassende Automation der Serververwaltung (Tobias Weltner)
Effizienz und Skalierung
PowerShell v1 wird von v2 ersetzt
Cmdlets und parameter
Support für PowerShell Remoting (Windows Management), erfordert Windows Server 2008 R2/Windows 7 oder Active Directory Gatway Services zur Umwandlung von DCOM in XML
Microsoft Forefront Integrierte Sicherheit zum Schutz von Client, Server und Netzwerk (Daniel Melanchthon)
Derzeit:
Forefront Client Security für Endpoint Security (Server & Client)
ISA2006 + IAG 2007 für Edge Security
sowie Forefront Security für Exchange, SharePoint und OCS, sowie Forefront Online Protection für Exchange
Forefront Client Security 1 Engine (Microsoft)
Forefront Server Produkte bis 5 Engines nutzbar (Microsoft, Kaspersky, …)
Planung:
sowie Forefront Security für Exchange und sowie Forefront Online Protection für Exchange ist verfügbar, SharePoint in Planung Anfang 2010
Profront Protection Manager (zentrale Mgmt Tool) in Planung Anfang 2010
TMG 2010 ist verfügbar UAG Anfang 2010 für Edge Security
Forefront Endpoint Security in Planung für 2. Halbjahr 2010
Hier noch ein paar Impressionen der Microsoft Windows 7 Joint Launch Roadshow:
zum Schluss zeigte uns Daniel zur Einstimmung das Microsoft DevDays2009 GeekNight Guituar Hero Video
und dann performten die 4 noch eine XBOX360 Guituar Hero Session Live vor Publikum!
SVR313 A-to-Z of Usable Security in Windows Server 2008 R2 and Windows 7
Presenter: Rafal Lukawiecki
Windows Vista und Server 2008 waren/sind sehr sichere Betriebssystem, nur nicht nutzbar oder die vorhandenden Security Verbesserungen waren zu kompliziert
Foundational Security Settings
ASLR (Adress Space Layout Randomasation)
Service Hardening
Managed Service Accounts, Automatisches PW Mgmt über AD, wie bei Computer Konten, Domain Account Isolation
Virtual Accouns: Kein PW, Computer Credentials werden genutzt für Netzwerk Zugriff,Service Isolation
Kernel Patch Protection
Data Execution Prevention
Pointer Obfusication
Neuer TCP/IP Stack – IPv6 und IPv4 (schon ab Vista/Server2008)
Device Driver Signing
Bitlocker + TPM schützt votr OFFLINE Modificationen am System und Verlieren/Stehlen des Gerätes
NAP checkt auf Health Systeme vor dem vollen Zugriff auf das Corpnet
Mehrere Anmeldeverfahren die der User auswählen kann
User arbeiten immer als User, nicht als Admin, wenn User höhere Rechte benötigen, kann über UAC höhere Rechte erlangt werden ohne Ab- und Anmeldung
User können nur bestimmte Applikationen ausführen -> Applocker
DNSSEC sichert vor DNS Phishing
Windows Update wurde verbessert, mehrere Updates erfordern nur 1 Reboot nicht mehrere, es wird sichergestellt, dass das System durch Updates nicht beschädigt, ggf. Rollback der Updates
Verschiedende Firewall Profile sichern das System unterwegs, wenn mehrere Verbindung zu unterschiedlochen Netzwerken besteht, Internet, VPN/DA, Corpnet, WLAN, …
Windows 7
Bitlocker to Go
Multiple Firewall Profiles
Streamlined UAC
Biometric Framework
HTTP PKI Enroll, PKU2U (P2P Security Service Provider), Authentifzierung gegen Devices in Heimnetzen (Homegroup, …), PKI HTTP Enrollment
PIV Smartcard
Windows Server 2008 R2
Direct Access- IPv6 und NRPT, Applikation MUSS IPv6 unterstützen! DNSSEC sollte zusammen mir Direct Access genutzt werden -> DNS Cache Poisoning
Applocker, ersetzten Software Restiction Policy (SRPs), müssen aber für XP genutzt werden, da XP noch keine Applocker GPO verarbeiten kann
Enhanced Storage Access – Passwort geschützte USB Sticks / Platten oder Zertifikat basierende Authentifzierung, keine Verschlüsselung -> Bitlocker
DNSSEC
DNS über SSL, Zertifikats basierende DNS Antworten
Erweitertes Auditing
EFS mit Suite-B – für Server Share / Sharepoint Sicherung, Elliptical Curve Cryptography (ECC), Encryption AES, Digital Signatur EC-DAS, Key Exchange EC-DH oder EC-MQV, Hashing SHA-2
TLS1.2
Kerberos Erweiterung
DES disabled in Win7 und Server 2008 R2
AES256-CTS-HMAC-SHA1-96, AES128-CTS-HMAC-SHA1-96
Kerberos mit Smartcards nutzt ECC
CLI301 Case of the Unexplained… Windows Troubleshooting with Mark Russinovich
Presenter: Mark Russinovich
Sysinternals ProcessExplorer
Svchost + Svchost hog
Process Monitor, auf 64 bit systemen mit /run32 starten
Vista und höher speichert per default keine Crash Dumps von Anwendungen, in Registry kann es aktiviert werden, Speicherung unter %usrprofile%\local\crashdump
Blue Screen Crash Dump Analyse
Um 15 Uhr gings dann zusammen mit Nicki Wruck zum Hauptbahnhof wo wir beiden dann im ICE um 16:18 Uhr den Rückweg nach Hamburg antraten. Nicki musste in Hamburg dann noch nach Lüneburg umsteigen.
Tag 4 und somit der vorletzte Tag der Tech-Ed EMEA 2009 in Berlin.
Für mich standen folgende Vorträge und Themen auf dem Plan:
CLI312 Group Policy Changes for Windows 7 and Windows Server 2008 R2
Presenter: Michael Kleef
Windows 7
Bisher Funktion als Teil des Winlogon, bei Vista und Win7 jetzt ein eigener Dienst
1500 GPs in XP + 800 Vista + 300 in Win7, über 3000 ADMX Settings
Network Location Awareness (NLA) Dienst prüft die Verfügbarkeit eines DC´s, alle 90 min Refresh der GPO´s
User.env.log in XP jetzt XML Eventlog Gefiltert auf GPO Events
ADM Templates jetzt Sprachunabhänige XML Files ADMX die Sprachen in ADML Dateien
In XP nur ein Lokale GPO, nun mehrfache Lokale GPO´s möglich
Windows Server 2008 R2
SYSVOL Replikation Umstellung auf DFS-R (Windows Server 2008 Domain Mode), alles min. W2k8 DC´s, Self-Healing SysVol
Central GPO Store – Kopieren des Lokalen Verzeichnisses „%WINDIR%PolicyDeinitions nach „%SYSVOL%\PolicyDefinitions“
PowerShell Scripting in GP, PowerShell cmdlets für GPMC Operationen, GPMC muss installiert sein!
Policy Preferences sind keine Policy sondern Empfehlungen, User kann diese Einstellungen ändern, GPO´s sind verbindliche Einstellungen, Client Side Extensions (CSE) müssen installiert werden
Vista Update für CSE ist zum Ende des Jahres geplant für Support von Windows 7 Policy Preferences
Advanced Audit Policy Configuration nur Windows 7 und Server 2008 R2, CSE Update für Vista wird das verbessern
Immer die neusten GPMC Tools nutzen, nicht neue Windows 7/Server 2008 R“2 GPMC nutzen dann wieder die alte GPMC (Server 2003)
CLI401 Windows 7 and Windows Server 2008 R2 Kernel Changes (*PDC at TechEd)
Presenter: Mark Russinovich
Windows 7 und Server 2008 R2 Kernel Version 6.1
64 bit only, Server Core WOW64 optional
Windows 7 Footprint Reduzierung gegenüber Vista 10-15 %, über 400 Komponenten
Windows Server 2008 R2 Footprint Reduzierung gegenüber Server 2008 10 %
Core Parking (auf Server und Hyperthreading Workstations, SMT) und komplette Prozessoren können in Deep Sleep State geschickt werden (Intel Core i5 / i7)
Unified Background Process manager, registriert nicht benötige Dienste (Event basierende Dienste), Bluetooth, IP Adress, Domain Join W32, …, Dienste werden gestartet und gestoppt
Virtual Accounts NT Service\servicename, managed Accounts, Dienste die isoliert von anderen Diensten im eigenen Security Kontext laufen
Managed Service Accounts, AD managed diese Accounts wie Computerkonten
Bitlocker 200 MB hide Partition unverschlüsselt zum Start der verschlüsselten Partitionen
Bitlocker to Go verschlüsselt USB-Sticks und -Platten, per Passwort oder SmartCard
Native VHD Support, Boot von VHDs,Ziel: max. 10% Performance Verlust
DFSS Dynamic Fair Share Scheduling – RDS (TS) Sessions werden zwischen allen User gleich behandelt, kein User kann mehr die komplette Performance des TS Servers beeinflußen
Support bis zu 256 Cores/prozessoren
Entfernen des Dispatcher Lock
SVR401 DirectAccess Technical Drilldown, Part 1 of 2: IPv6 and Transition Technologies
Presenter: John Craddock
Direct Access
Patch Mmgt, GPOs, Health Check, NAP, RDP, …
MAC Adress Privacy – Permanent Interface identifer
ZoneID bei mehr NICs
Dual IP Stack
Transition Technologies:
Ipv6 over ipv4
IP -> 6to4 ISATAP
UDP -> Teredo
HTTPS (IP-HTTPS)
6to4
2002:wwxx:yyzz:0:0:0:wwxx:yyzz
Wwxx:yyzz ist die IPv4 Adresse als Hex
144.19.200.2 ist dann 9013:c802
ISATAP – Intra-Site Tunneling
ISATAP Global Block List in DNS aktivieren (dnscmd /query globalblocklist)
10.20.100.55 ist dann fd00:9999:0:100:0:5efe:10.20.100.55
IPv4 only Hosts
NAT-PT und DNS-ALG wird benötigt
Forefront UAG, Support für NAT64 und DNS64
Teredo
Client hinter 1 oder mehr NATs
Teredo Clients spricht mit dem Teredo Server um den NAT Typ rauszufinden
2 IPv4 Adressen für den Teredo Server nötig
2001 Teredo Prefix
Teredo Port 35
IP-HTTPS
Wenn Teredo Port block wird IP-HTTPS als Alternative genutzt
Zertikate müssen ausgestellt werden
CRL muss erreichbar sein
SVR402 DirectAccess Technical Drilldown, Part 2 of 2: Putting It All Together
Presenter: John Craddock
Ipsec
Ipsec Tunnel (authenticatied and encrypted)
Authenticated connects (computer and user authentication)
ESP Tunnel (NULL) zum Direct Acces Endpoint oder ESP Tunnel direkt bis zum App-Server
Direct Access über IP-HTTPS ist doppelt verschlüsselt
Network Location & Network Resolution
Über die HTTPS Website nls.corp.example.com wird über NRPT (Resolution Policy Table) festgestellt ob der Client im Internet ist (DA) oder im CorpNe
Direct Access
ISATAP Global Block List in DNS aktivieren (dnscmd /query globalblocklist)
Computer Zertifikate müssen dem DA Server ausgestellt werden (internal Zertifikate und öffentliches Zertifikate
CRL muss verfügbar sein (veröffentlicht)
Add Direct Accces Mgmt Console Feature
DA Setup
Step 1: Computer/User Gruppe für DA Zugriff definieren
Step 2: Auswahl der Netzwerkinterfaces für internal und external Netzwerke
Zertifkate auswählen für Corp Net und HTTPS Zertifikat für external Name
Step 3: Infrastructure Server definieren -> NLS Server auswählen (HTTPS Website) -> NLRP Tabelle wird automatisch erzeugt für corp.example.com und nls.corp.example.com und ggf. noch Isatap.corp.example.com
Step 4: App-Server definieren
Ggf. End-to-End Authentication einstellen
Save + Finish
IPSec ESP Null benötigt Server 2008
Ipsec über IPv6 kein Support für Windows Server 2003
2 Faktor Authentification benötigt Windows Server 2008 Funktional Level
Direct Acces GPO für Windows 7 Clients erstellen
DA Server und DA Client MÜSSEN Domain Member sein
SIA403 A Deep Dive on the New Microsoft Forefront Threat Management Gateway
Presenters: David Cross, Donny Rose
Web Client Protection
Mail Protection (Exchange Edge Rolle + Forefront Protection for Exchange)
NIS/NIPS
NPS/NAP
Remote Access (VPN, SSTP, Secure Publishing)
Mgmt Funtionen erweitert
Arrays, Load Balancing
Malware Inspection nur Outbound NICHT inbound -> UAG
HTTP/HTTPS Inspection In und Outbound
UTM Unified Thread Management
TMG Direct Access per IPv6 only zu Windows Server 2008 kein Support für IPv6 zu Windows Server 2003 -> UAG oder z.B. auch Cisco NAT-PT
LLQ Files im TMG Logvereichnis für temp. Downtime des SQL Express Dienstes
MRS – Microsoft Reputation Service, Anti-Malware Datenbank für URL-Filtering
URL-Filtering User Lizenz nötig zusätzlich zur Prozessor Lizenz
VoIP Traversal (kein OCS Support ! )
ISP Link Redundancy (Load Balancing/Failover)
NIS System Updates Erweiterung für 3rd Party auf der Liste aber noch kein Zeitplanplan
RTM ???
Release ??? in EN/US und Deutschland
Nach den Session folgte in der Community Halle wieder ein Buffet, an dem ich mich mit Nicki Wruck ausgetauscht habe.
Jetzt gehts noch zur German Language Party im Blue Man Group Haus.
Office Dokumenten Eigenschaften von Sharepoint können genutzt werden
Dokumente können nach spezifischen Informationen wie Sozialversicherungsnr usw. duchsucht werden
Über Tasks kann eine Verschlüsselung von sensitiven Daten erstellt werden, wenn Klassifizierung senstive Daten ergibt- über RMS Templates der Organisation (RMS Bulk Tool, Download von Microsoft)
Dateien können z.b Automatisch in Archiv verschoben, wenn Dateien über bestimmte Zeiten nicht mehr genutzt wurden und abgelaufen sind
PowerShell Host Classifier im Windows Server 2008 R2 SDK für Automatisierung du Skripting
SharePoint Upload Script bald im MSDN Script Center (PowerShell Skript), link zu Sharepoint bleibt im Dateisystem
Über iFilter können PDF´s, JPEG und andere Dateien klassifiziert werden
SIA312 Protecting Information with Microsoft Forefront Business Ready Security Solutions
Presenters: Abhijat Kanade, Cristian Mora
RMS sollen helfen von Block Einstellungen hin zu sicher ermöglichen
Client Maschinen Zertifikate und User Zertifikate werden ausgestellt (%userprofile%\appdata\local\microsoft\drm\*.drm)
RMS Service des AD wird von Client und User kontaktiert und kann sich transparent im Hintergrund die RMS Zertifikate ausstellen lassen und RMS Template und Richtlinien um z.B. RMS geschützte Mails zu senden/empfangen nach Richtlinien der Firma (kein Weiterleiten, kopieren, drucken, usw.)
SharePoint Policy kann automatischen RMS Schutz aufgrund eine Richtlinie implementiren, SharePoint sucht im Standart automisch den RMS Server im AD
Über AD Federation können auch externe User/Partner angebunden werden in Kombination mit RMS
Geneva erweitert AD RMS um mehr Funktionen ermöglichen
Claim mit Gruppierungen -> E-Mail Adresse Atrribut als Eigenschaft
SSO ermöglich seamless Expirience für User der Partner
RMS Templates können ablaufen, somit hat nach Ablaufdatum keiner mehr Zugriff auf diese Inhalte, Caching der Credentials kann deaktiviert werden, d.h. bei jeder Nutzung muss eine Authentifizierung erfolgen
RSA Intregration with RMS nutzt Microsoft IT um die Daten zu schützen mit RSA DLP in Verbindung mit Exchange und SharePoint
SIA309 Secure Endpoints from Emerging Threats Using Business Ready Security from Microsoft Forefront
Presenters: William Jensen, Bashar Kachachi
Forefront TMG
Url Filtering – mehrere URL Filter partner integriert
HTTPS Inspection Out & in, Transparenter Proxy mit Url-Filterung (Ausnahmen können direkt in der Regeln definiert werden -> Banking sites, …)
Anti-Malware Inspection direkt am Edge, Download mit Virus/Malware wird direkt von TMG geblockt
NIS (Network Inspection System) aktualisierung über Windows Update, Signarturen für NIS werden von Microsoft Team signiert und getestet
Set der Urls wird ebenfalls direkt über NIS aktualisiert (nach Kategorien, Sport, Phishing, Media, …) die man blocken oder erlauben kann
Urls können über Microsoft Malware Protection Center (http://www.microsoft.com/security/portal/) gecheckt werden und per Feedback Rückmeldung an Microsoft gesendet werden – False-Positiv, noch nicht im URL Set
Tiny-Url Aufrufe werden getestet, zurzeit übersetzt und ggf. bei Infizierung geblockt
Management von TMG integriert in Forefront Management Console
Windows Server 2008 Standard das gleiche Limit an gleichzeitigen VPN Verbindungen wie TMG also 250 (Danke an Marc für den Kampf mit dem TMG Team um diese Info!)
Microsoft Forefront Client Security
Real-Time Schutz für Clients/Server (File Scanner), Anti-Virus und Spyware
Agent wird über Managment Server verwaltet (Forefront Client Security ->MOM2005)
SQL Datenbank im Backend
AD, WSUS & NAP Integration
Signaturen werden über WSUS auf die Clients/Server ausgerollt
Deployment des FCS Agent über SCCM 2007 R2 unterstützt, sonst über GPO´
Policys werden über GPO´s auf die Clients/Server ausgerollt
1 Engine – Microsoft Engine, bei Forefront Security for Exchange bis zu 8
State Assessment Scan prüft alle Security Einstellungen des Clients (Firewall, Windows Update, AV, Admin Accounts, …)
Event Flood Protection für Mgmt Server
Hohe Performance wenig Resoucren Bedarf, durch Mini-port Treiber, statt Kernel-Treiber, schnelle Quick und Full-Sca
FCSv2 alias Forefront Endpoint Protection
RTM / Release auf 2010 verschiben
Management über SCOM 2007 R2 statt MOM
GPO´s werden durch lokale Richtinien ersetzt
CLI304 Windows XP Mode and MED-V: Microsoft Enterprise Desktop Virtualization
Presenters: Ran Oelgiesser, Praveen Vijayaraghavan
Windows Virtual PC
Für Einzelbenutzer oder SMB Kunden
Prozessor muss im BIOS Intel-VT oder AMD-V unterstützen
fertiges Windows-XP-Image (Sysprep) inklusive Service Pack 3
Differential Disk wird beim ersten Start erstellt pro User
Anti-Virus sollte auch die VM installiert haben
Clear-Type in er Gast VM aktivieren
Remote User Gruppe sollte die User enthalten oder Admins
Windows 7 Security Center integration
Integration Feature (Lokale Laufwerk, Zwischenablage, Smartcards), USB Redirection
Scripting Support
MED-V (SA)
Für große (Enterprise) Kunden
Linezierung: MED-V ist im MDOP (Microsoft Desktop Optimisation Pack) enthalten, welches wiederum in der SA (Software Assurance) Lizenz von Windows 7 (Enterprise) enthalten ist
Kontrolle, Deployment Update der gemanagten Virtuellen XP Images über MED-V, Packet schnüren mit gewünschten Applikationen unter XP
Domain-Join, eigener Name/SID für jede VXP Maschine
Zentrale Einstellung der Virtual PC Einstellungen, Zentrales Monitoring, Zentrales Provisiong (Patchmanagement, …) über Mgmgt Console des Mgmt Servers
Image Repository auf Mgmt Server im AD
Installation eines MED-V Clients zur Verbindung zum MED-V Server
Software kann auch per SCCM in die VXP´s verteilt werden
Können bestimmte Websiten definiert werden die man mit IE6 des VXP besuchen darf (wg. Kompatibilität) alles andere wird vom IE8 von Windows 7 angesprochen (wg. Sicherheit)
MED-V SP1 Windows 7 32+64 Bit Support – Q1 2010, Public Beta Ende 2009
XP Image muss mit Virual PC 2007 SP1 erstellt wurden sein + QFE
MED-V V2 Integration in System Center (SCCM)
Heute abend findet das Dinner statt, von dem ich von SecureGuard eingeladen wurde. Es werden sich dort Microsoft Forefront PM, Entwickler, ISA Team, MVPs uvm. treffen.
Nach der U-Bahn Fahrt mit Marc Grote, zum Restaurant “Das Speisezimmer” wurden wir von Markus Grudl und Helmut Otto in Empfang genommen. Es wurde Sekt kleine kulinarische Häppchen gereicht. In den darauffolgenden 4 Stunden folden dann 4 weitere Gänge. Begleitend dazu gab es die sogenannte “Weinbegleitung”, mit Weiß- und Rotwein.
Weißwein: 2008 Morillon Steirische Klassik, Weingut Erich & Walter Polz, Südsteiermark, Österreich
Vorspeise: Cremige Chilli-Polentasuppe mit Kaninchen-Garnelenroulade
Sorbet: Pfirsich-Champagnersorbet
Hauptgang: Kross gebratenes Filet vom Loup de Mer auf Panchetarisotto mit Kürbis-Mandelraut
Dessert: Crema Catalana mit Olivenöleis
Nach tollem Networking sind Marc, Kai und Thomas und ich gegen 00:30 Uhr mit dem Taxi zum Hotel. Auf Fahrt dahin erhielten wir vom kundigen Kai die Sehenswuerdigkeiten der Stadt zu erläutert. Danke dafür!
Gegen 01:15 Uhr lag ich dann im Bett.
Vielen Dank nochmal an SecureGuard für die Einladung und diesen prima Abend. Es hat sehr viel Spass gemacht.
Hier wieder ein paar Impressionen des 3. Tages der Sessions und auch des Dinners:
Für mich standen folgende Vorträge und Themen auf dem Plan:
CLI201 Windows 7 Demo Mania
Presenters: Tony Krijnen, Daniel van Soest
GUI und User Expirience, Direct Access, BranchCache, Problem Steps Recorder, Bitlocker to Go, NAP, Applocker ,…
SIA306 Microsoft Forefront Unified Access Gateway: DirectAccess and Beyond
Presenter: Meir Mendelovich
weg vom Blocken von Anwendungen und Usern hin zu ermöglichen
Seamless Experience für User ermöglichen, die User sollen sich nicht um Technik oder Verfahren Sorgen machen oder kümmern, sondern einfach produktiv sein
es können nicht nur Web Applikationen veröffentlicht werden auch andere Apps, ggf. per RDS Remote App
OWA/MOSS 2010 können interne URLs verstehen und verwenden –> Alternate Access Mapping (AAM) in MOSS
über Direct Access ist der Client immer “managed”, wenn er mit dem Corpnet verbunden ist –> RDP vom Helpdesk auf den Remote Client möglich
integrietes Load Balancing für Front- (UAG Portal) und Backend Systeme, Windows NLB wird durch Treiber von UAG ergänzt, zur Zeit noch keinen Supoort für externe 3rd Party Load Balancer, ist aber in Planung
RC1 in den nächsten Tagen/Wochen
RTM noch 2009
per NAT64 und DNS 64 Zugriff per IPv6 auch auf IPv4 Resourcen
ISATAP, nativer Zugriff per IPv6 über Direct Access
Access Enabling Tunnel, Machine (Client) Zertifikate oder NTLM Authentifizierung für Kommunikation mit DC zur weiteren User Authentifizierung z.B. per SmartCard
Corp Tunnel, voller Zugriff auf Firmen Resourcen nach Authentifizierung z.B. per SmartCard, NAP Integration möglich (Health Check des Remote Clients)
2 Faktor Authentifizierung z.B. RSA SecureID oder OTP noch nicht möglich, Planung laufen aber und es wird daran gearbeitet
UNC08-GL German Language Session: Migrating to Microsoft Exchange Server 2010
Presenter: Wolfgang Sauer
Mailbox Hight Availiblity – DAG
Windows Server 2008/2008 R2 Enterprise Edition
Exchange 2010 Std oder Enterprise
Exchange 2003 und AD nicht supported
2008 R2 DCs werden von Exchange 2003 nicht supported
2008 und 2008 R2 Domain und Forest Functional Level von Exchange 2003 nicht supporte
Vorrausetungen für Exchange 2010
Forest 2003 oder höhe
DC 2003 SP2 oder höhe
Exchange 2010 Server Windows Server 2008 R2/ Support für 2008 SP2 in Planung
Exchange 2007 SP2 importiert schon die Schemaerweiterung für Exchange 2010 ins AD
Best Practices für den Übergang oder Koexistenz von Exchange 2003 / 2007 /2010
SIA311 Better Together: Microsoft Exchange Server 2010 and Microsoft Forefront Secure Messaging Solution
Presenters: Mike Chan, Cristian Mora, Alexander Nikolayev
Forefront Protection 2010 min. Exchange 2007 SP1
Powershell support
Mit SP1 native 64 bit support
Kombination mit Forefront Online Protection möglich (on-premise und in the cloud), Empfehlung selbst von MS mehrere Möglichkeiten nutzen!
Forefront Online Protection kann keine encrypted Mail scannen (Man-in-the-Attack)
Online Service Lizenz ist in Exchange Enterprise CAL oder Forefront Protection(Security) Suite
Zentrale Konfiguration der On-Premise und Online Sicherheit in einer FPE Konsole
RBL muss nur aktiviert werden ,keine Konfiguration nötig, Datenbank aktualisiert sich von Microsoft Update (SPAMhaus, … Feeds)
Antispam Protection
DNSBL
Backscatter Filter für NDRs
Integration der Cloudmark Content Engine , andere 3rd Party Filter können ebenfalls integriert werden
Suppor t for encrypted Mail, Exchange 2010 RMS Agent
Ab 18:30 Uhr wurde dann das Buffet der „Welcome Reception Drinks“ eröffnet, wo man man Life Musik von Double Take Mitarbeitern, gemütlich Essen und ein Bier trinken konnte. In der Community Launch konnte ich mich so mit Marc Grote und Nicki Wruck, der als Commúnity Manager hier seinen Dienst tut, austauschen.
heute war der erste Tag der Tech-Ed EMEA 2009 in Berlin.
Für mich standen folgende Vorträge und Themen auf dem Plan:
SVR201 Windows Server 2008 R2 Foundation: A New Server Operating System Exclusively for Small Businesses
Presenter: Vikram Ghosh
Neue Windows Server Edition für bis zu 5 – 15 User
Keine Windows Server CAL´s nötig! Für bis zu 15 User, danach Update zu Std Edition
TS/RDS CAL´s sind trotzdem nötig bei Nutzung von TS/RDS Rolle
Basiert auf Windows Server Std. mit einigen Einschnitten
1 Prozessor Sockel
KEIN Hyper-V
Begrenzung auf 30 SMB Verbindungen
15 Domain User, Bei Überschreitug gibt der Foundation Server eine Warung aus
Kein Erstellung einer Child-Domain, Shutdown des Servers nach 10 Tagen
Keine Cross-Forest Trusts erlaubt, Shutdown des Servers nach 10 Tagen
Kein Server Core möglich
Kein Direct Access, Kein BranchCache
Upgrade mit Installer oder mit Lizenz-Key der Std Edition + cmd Befehl, weitere Features der Std Edition werden einfach freigeschaltet
Foundation kann in eine SBS Umgebung betrieben werden, aber nur bis zu 15 User
Windows Web oder Storage Server können in Foundation Umgebungen betrieben werden
Service Accounts werden nicht gezählt zu den den 15 User
Nur mit OEM´s verfügbar
Tech-Ed 101
Presenters: Tony Krijnen, Daniel van Soest
Einführung in die Tech-Ed für Besuche, die das Event zum ersten Mal besuchen
MGT311 Microsoft System Center Essentials 2010 = Integrated Virtual and Physical IT Management for Medium-Sized BusinessesPresenters: Ravikiran Chintalapudi, David Mills, Eamon O’Reilly, Jeremy Winter
Integriertes Management für 50 Server und 500 Clients
Updates, Inventory, Virtualisation, …
RC Winter 2010, RTM Frühling 2010
Benachrichtigungen für neue Management Packs und direkter Import möglich
Eigene Views + Suche
Integration der Virtualisierung in 2010
P2V und V2V
Snapshots ders VM
Software Verteilung
Filter für OS, Plattform, Sprache, …
Alternative Sprachpacket können im Software Packet eingebunden werden
Rückmeldung des Status mit Return Code
Modifikation des Packets nach Erstellung möglich, keine Neuerstellung nötig
Updates Mgmt
Auto Mgmt der Update Packet auf Basis eines Scan´s der IT Umgebung möglich
Auto Approval für Kritische Sicherheitsupdates konfigurierbar
Mehrfacher Sync mit Microsoft Update möglich (bis zu 24x, also stündlich
Set and Forget Regeln über Auto Approvals
Wartung der WSUS Datenbank und des heruntergeladenen Contents
Die Tech·Ed Europe Keynote startete nach am Nachmittag. Achim Berg (Vorsitzender der Geschäftsführung Microsoft Deutschland), hat über 7.200 Teilnehmer aus 104 Ländern begrüsst. Speaker waren dann Stephen Elop (President Microsoft Business Division) und Robert Wahbe (Corporate Vice President, Server and Tools Marketing). Seit heute ist nun auch Microsoft Exchange Server 2010 und Forefront Protection für Exchange 2010 offiziell verfügbar!
Hier ein paar Impressionen der Tech-Ed 2009 Messe und Sessions:
heute bin ich mit mit Bahn von Berlin nach Hamburg gefahren um morgen an der Tech-Ed EMEA 2009 in Berlin teilzunehmen.
Nach dem Check-In im Hotel “Ivbergs Berlin Messe”, bin ich gleich zur schon ab Sonntag geöffneten Registrierung, damit ich Montag morgen in Ruhe zu Tech-Ed gehen kann. Es gab aber ein Problem mit den Druckern (HP), aber nach 30 min gings dann los und war war auch nach ein paar Sekunden schon beendet, Bagde entgegen nehmen und Voucher für den Goodies Stand. Weiter zum Goodies Stand, dort holt man sich die Tech-Ed Tasche ab, welche Windows 7 Ultimate (NFR), einem Tech-Ed T-Shirt und weiterem Infomaterial enthält.
Hier ein paar Impressionen der Tech-Ed und des Hotels:
der Countdown zur Tech-Ed EMEA 2009 läuft, am Montag den 09.11. startet das Event in Berlin!
Ich werde am Sonntag schon anreisen und die Möglichkeit der ab Sonntag geöffneten Registrierung nutzen. Fachlich werde ich mir Hauptsächlich die Forefront Thema ansehen/anhören, aber auch Windows 7, Server 2008 R2, Exchange 2010 und Office 2010 werde ich mir wohl ansehen.
Als Highlights für mich sind dann die Abendveranstaltungen: am 9.11. finden ja Veranstaltungen und Events zum 20. Jahrestag des Mauerfalls. Außerdem bin ich von SecureGuard am Mittwoch zu einem Dinner eingeladen, wo sich Microsoft Forefront PM, Entwickler, ISA Team, MVPs (wie z.B. Marc Grote) uvm. treffen. Darauf freue ich mich schon besonders.
heute ist wieder und damit schon zum 6. Mal die \\ice:Intelligent Communities for Europe! Nicki Wruck, Veranstalter und Organisator hatte auch dieses Jahr wieder die zur geladen. Auch dieses Jahr konnte man z.B. mit einer Spende oder Massage die Aktion “Com for Children”, der Organisatoren Nicki Wruck und seiner Frau unterstützen. Wer das tut nimmt auch automatisch an einer Gewinnspielverlosung teil, bei dem z.B. eine Windows 7 Lizenz, ein TechNet Jahresabo uvm. gewinnen konnte.
Für mich begann der Tag wieder ziemlich früh. Dieses mal gönne ich mir aber die “After-ICE Party” und übernachte in Lingen. Also um 05:37 Uhr in den ICE bis nach Osnabrück, dann weiter per IC bis nach Rheine und zum Schluss im RE bis Lingen, wo ich immer noch pünktlich gegen 08.55 Uhr eintraf. Das Wetter war am super Wetter!
Seine Eintrittskarte, konnte man sich an der Registrierung abholen.
Nach kurzer Einweisung der Organisation und Grußworten von Oberbürgermeister Heiner Pott folgte die Keynote (Microsoft & Red Hat: Innovation made in Germany, Profit made in USA?) vonDr. Johannes Loxen von der SerNet GmbH (Entwickler der Open-Source Software samba).
Nach der Mittagspause in Nicki und seine Helfer wieder ein sehr leckeres Mittagsbuffet aufgebaut hatten folgten die weiteren Vorträge im IT-Pro Track
Data Loss Prevention und E – Mail Outbound Security – So stoppen Sie unerlaubte und unsichere E – Mail Übertragungen von sensiblen Informationen. Heiko Brenn (GROUP Technologies)
Analyse von AUSGEHENDEM Mailverkehr (Firmen Policy, …)
Windows 1.0.1 (Codename Programm Manager) – erste Mausbedienung, wie Norton Commander für MS-DOS
Windows 2.0 – Resize Fenster, mehrere Fenster gleichzeitig (inaktiven wurden angehalten), noch auf mehreren Disketten, SmartCache (Disketten, Festplatten Zugriffe beschläunigen – RAM Caching)
Windows 286/386
Windows 3.0 – 640K Grenze überwunden, VGA Unterstützung (16 Farben, Paint 256 Farben Simulation)
Windows 3.1 – Netzwerk Support, Spiele, Schedule Plus, Chat Funktionen, Telefon Support,
Windows (Portasys) NT 3.1 – Emulator N10 –> NT, Euro fähig, Year2000 fähig (Windows for Pen – Stift Eingabe Support)
Windows 3.5 – CD Rom Support, Trennung der Programme, OpenGL Unterstützung
Windows 95 – ohne Dos Lizenz, 16 bit OS mit 32 bit Aufsatz, A/B/C Versionen mit Langen Dateinamen & FAT32 Unterstützung
Windows NT4.0 / Windows 98 SE – IE 3/4/5, Active Desktop, Einwahl per DFü/VPN, AGP Support
Windows ME – Dateisystemschutz, Windows 2000 Entwicklung für Home und Professional verfehlt, Zip Support
Windows 2000 – Aussblenden von Starmenü Einträgen, USB Support ohne Treiber mit Service Pack nachgeliefert
Microsoft Bob – Gedanke zur Vernutzung der Nutzung von Windows (enthalten auf jeder XP CD, Füllung des ISO auf CD Grösse wg. Piracy)
Windows XP – Support für USB ohne Treiber, Luna Oberfläche (Themes), IE6, Fernzugriff, RDP, Remoteunterstützung, Netzwerk Nutzung nur über Authentifizierung oder Gast Account aktivieren, CD Brennen aus Explorer, Ausblenden von Systemtray Icon´s, Tablet PCs und Stiftbedinung, Service Pack 2 (Security Development Lifecycle Firewall, …)
Windows XP Home / Professional
Tablet PC Edition & 2005
64 Bit Edition
Mediacenter Edition 2004/2005
Starter Edition
N Edition (ohne IE)
KN Edtion (ohne IE & Media Player)
Windows Vista – Desktop Search (Suche als Schnittstelle), Neues Grafiksystem (Aero Glass), SECURITY (UAC), Neue Soundsystem (Sound pro Anwendung), Neuer Netzwerkstack (IPv6, PNRP, …), 64 Bit OS (64 Bit Edition), Bitlocker Laufwerksverschlüsselung, …
Windows 7 – Kompatibilität wie Windows Vista, Treiber Updates über Windows Update, 256 CPU Support, Multi-Touch Unterstützung, …
Windows x64 – Wieso, Weshalb, Warum?Helge Klein (sepago GmbH)
Windows x64 -> Prozessor zählt bei 32 bit bis 2hoch 32 = 4 GB RAM
PAE (Physical Address Extension): ermöglicht es x86-kompatiblen CPUs, im 32-Bit-Modus mehr physischen Arbeitsspeicher anzusprechen als durch die 32-Bit-Wortbreite des Mikroprozessors festgelegt. Mit PAE sind bis zu 64 GiB (236 Byte) Hauptspeicher adressierbar, mit DEP usw. Standart mäßig eingeschaltet
2 GB pro Prozess und 2 GB für Kernel bei 32 bit Systemen
Windows Server 2008 R2 -> 64 Bit ONLY
64 Bit Windows
8 TB pro Adressraum statt nur 2 GB pro Prozess,
Int32 muss int64 sein!
Keine Emulation von 32 Bit, Übersetzung durch WoW64 (Windows-On-Windows 64-bit)
Nur Signierte Treiber, KEINE 32 Bit Treiber!
Sonst per F8 Signatur Prüfung bei JEDEM Start abschalten
Keine 16 Bit Programme!
Mehr RAM nötig (ca. 20 – 50%) Zeige sind 8 Byte nicht mehr 4 Byte
32 bit nur 32 bit DLL´s (SysWOW64) / 64 Bit nur 64 Bit DLL´s (System32)
Wie wird sich die IT in den nächsten 10 Jahren verändern und warum sollte uns das interessieren? Michael Kalbe (Microsoft Deutschland GmbH)
Hardware Hersteller & Käufer
Baby Boomer & Digital Natives
Cloud Computing & IT Jobs in der Zunkunft?
Der \\ice:2009 endete dann schließlich im Knut bei einem gemütlichen Bier und abermals leckerem Essen. Übernachtet habe ich im Gasthaus Thien, direkt am Dortmund-Ems Kanal.
Die nächste \\ice:2010 findet statt am 21. August 2010 und die Registrierung öffnet wieder am 01.06.2010 …
! )
