Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

Forefront TMG Beta 3 Impressionen

Posted by JoergS - 19. Juli 2009

Hi,

dieses Wochenende habe ich mir Zeit genommen und ein eigene kleine Testumgebung für mich aufgebaut. Diese beinhaltet:

  1. Mein ASUS R1E (4 GB RAM) mit Windows Server 2008 R2 RC als Hyper-V Host
  2. Ein Windows Server 2008 R2 RC Domain Controller  Gast (512 MB RAM) mit R2 Schema
  3. das Forefront Thread Managment Gateway Beta 3 Gast auf einem Windows Server 2008 R2 RC (2 GB RAM)

Hier das ganze mal als Übersicht:

forefront_demo_test

forefront_demo_test

Als erstes habe ich mein ASUS R1E mit Windows Server 2008 R2 + Hyper-V Rolle installiert. Die Hyper-V Guest´s und VHD liegen auf meiner externen 2,5” WD500GB. Dann ging es an die Erstellung der Hyper-V Netzwerke, wo ich ein Externes Netzwerk (Zugriff über LAN auf Internet) mit Bindung auf die physische LAN-Verbindung eingerichtet habe. Als 2. Netzwerk habe ich dann noch ein Internes Hyper-V Netzwerk (nur internes Netz für Guest´s) eingerichtet.

Nun ging es an die Erstellung der VM´s. Den Demo-DC1 habe ich mit 512 MB und 40 GB VHD erstellt. Mit dieser habe ich einen Windows Server 2008 R2 installiert und nach dem Setup die VM runtergefahren. Die bisher erzeugte VHD habe ich dann als Vorlage für weitere Windows Server 2008 R2 VM´s schreibgeschützt.

Für den Demo-DC1 habe ich nun eine weitere diffenzierende VHD mit Bezug auf die Win2k8_r2_base.vhd erstellt und den Demo-DC1 damit fertig durch installiert. Den DC hatte ich bis dahin auf dem Externen Hyper-V Netz eingerichtet, damit ich die Windows Updates installierten konnte. Nach der Umstellung des DC auf das interne Hyper-V Netz, der Konfiguration und Vorbereitung, in dem ich dem DC die IP 10.0.0.10/24 mit Gateway 10.0.0.1 und dem DNS 10.0.0.10 eingerichtet habe, wurde die Active Directory Domain Services Rolle (AD DS) von mir installiert. Nach Fertigstellung der Rolleninstallation erfolgte die Promotion zum DC mit “dcpromo”, in der ich eine neue Gesamtstruktur und Domäne im Windows Server 2008 R2 Modus erstellt habe und auch gleich den DNS Server mit installiert habe. Nach dem DC Neustart ging es an die weitere Einrichtung des DNS, wo ich die Weiterleitung zu 10.0.0.1 und die Reverse Lookup Zone für das Netz 10.0.0.x eingerichtet habe. Als OU Struktur habe ich unter der Domain Root eine Computer-, Server- und User-OU erstellt.

Nun konnte ich auch das Forefront TMG mit einer weiteren diffenzierenden VHD mit Bezug auf die Win2k8_r2_base.vhd erstellt und den das Demo-TMG damit fertig durch installiert. Den TMG hat 2 Hyper-V Netzwerke konfiguriert. Das Externe Hyper-V Netz (IP 192.168.150.19/26, Gateway 192.168.150.1, DNS 192.168.150.1), zur Verbindung über mein Home-LAN ins Internet und das interne Hyper-V Netz,  IP 10.0.0.1/24 OHNE Gateway 10.0.0.1 und dem DNS 10.0.0.10 hatte ich über den Hyper-V Manager schon vorher zugewiesen.

Nach der Konfiguration und Vorbereitung (Umbennung der Netzwerkkarte von LAN-Verbindung in Internal und External), in dem ich das Demo-TMG erst mal ebenso per Windows Update auf den aktuellen Stand gebracht. Danach startete ich das Forefront Beta 3 Setup, welches  durch das TMG Preparation Tool unter anderem die Rollen Actice Directory Lightweight Directory Service (AD LDS), den Netzwerk- und Policyserver und das .NET3.5 Feature nachinstalliert hat. Als die Vorbereitung beendet war startet das TMG Setup. Komisch dass im TMG Setup der Pfad “Microsoft ISA Server” verwendet wird, aber egal. Nach Auswahl der internen Netzwerkkarte im Setup wurden die TMG Services installiert. Als das TMG Setup fertiggestellt war, konnte ich über den Wizard in 3 Schritten das TMG einrichten. Dazu startet mal als erste den Network Wizard, in dem ich das Edge Network Template und die richtigen Netzwerkkarten für die Netzwerke External und Internal ausgewählt habe. Als nächstes konfiguriert man die System Settings des TMG. Hier kann man auch gleich das TMG einer Domäne beitreten, womit man schon zum letzten, dem Deployment Wizard übergehen kann. Hier definiert man Windows Update, das neue Network Inspection System (NIS), Customer Feedback und die Telemetry Mitgliedschaft (ähnlich dem Defender SpyNet). Nun ist das TMG Initial fertig eingerichtet.

Im TMG Management kann man unter System gleich ein Zertifikate für den TMG-Server erstellen oder von seiner internen Root CA anzufordern. Nun habe ich das Internal Netzwerk von TMG konfiguriert, wo ich noch die Domäne und das Autodiscovery für den Web Proxy einrichten musste. Neu ist, dass auch auf dem Local Host Netzwerk ein Proxy definiert ist. ACHTUNG! Dadurch MUSS auch im IE des TMG ein Proxyserver (also das TMG selbst) eingerichtet sein!

Nun kann man die Access Rules für DNS und NTP einrichten, damit der Demo-DC1 auch externe DNS und NTP Server einrichten kann. In den neuen Web Access Rules definiert man den Internet Zugang für die Benutzer und auch das neue Feature der Outgoing HTTPS Inspection. Wenn man dieses Feature nutzen möchte, muss dies mit dem ggf. Betriebsrat abgestimmt werden, da hier am TMG eine Inspizierung des kompletten eingehenden und ausgehenden HTTPS Verkehrs statt findet. Dazu wird am TMG der SSL Tunnel mit dem eigentlichen Zertifikat (z.B. von seiner Online Banking Hausbank) terminiert wird und mit einem neuen TMG Zertifikat wieder verschlüsselt wird, also eine ähnlich einer “Man-in-the-Middle” Attacke. Also vorher genau planen und alles schriftlich festlegen bevor man die HTTPS Inspection nutzt.

Zu Schluss habe ich noch eine Web Access Rule (HTTP/HTTPS/FTP) für die DC´s selbst erstellt, damit später die DC´s als anonyme Clients auch Windows Update nutzen können und sonst nur Authentifizierte User in Internet dürfen. Achtung TMG lässt kein Active Mode FTP zu. TMG ändert den FTP-Filter so, dass per Default kein Active Mode FTP erlaubt ist. Diesen Filter muss man verändern um Active Mode FTP zu nutzen. (Danke an Marc Grote für den Tipp)

Neu ist auch das Logging der Web Proxy und Firewall Engine in eine lokale SQL 2005 Express Instanz. Das Remote SQL Logging ist wieder möglich, neu ist hier aber nun auch, dass in TMG der Lockdown Modus (vom ISA2004 oder ISA2006) entschärft wurde. Die Logdaten des TMG werden während der SQL Server nicht erreichbar ist (Verbindung zur Remote SQL-Intanz) oder nur sehr langsam reagiert,  in eine binaere Datei (eine Queue) geschrieben, welche sich LLQ (Large Logging Queue) nennt. Wenn der SQL Server wieder Online ist, werden die LLQ-Daten wieder in die SQL Datenbank geschrieben. Die LLQ-Settings sind über die Registry konfigurierbar, einige Funktionen kann aber auch direkt in der TMG MMC konfigurieren.(Danke an Marc Grote für die Infos)

Hier das Ganze in einer Screenshot Galerie:

Später folgt noch eine UAG und Forefront Client & Server Security bzw Forefront Stirling Installation in der jetzt geschaffenen Demo Umgebung.

Na dann, Viel Spass beim selber Testen!
CU

5 Antworten to “Forefront TMG Beta 3 Impressionen”

  1. […] meinem 1. Arikel mit Forefront TMG Impressionen und der Vorstellung meiner “kleinen” Demo Umgebung hier der […]

  2. […] schon in meinen letzten beiden Artikeln zu TMG und Forefront Client Security nun mein nächster […]

  3. […] schon in meinen letzten beiden Artikeln zu TMG und Forefront Client Security & Server 2008 Server Core RODC nun mein nächster […]

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

 
%d Bloggern gefällt das: