Category Archives: Forefront TMG

2. Treffen der Forefront User Group Nord (FUGN)

Posted on by

Liebe Forefront Gemeinde,

seit Jahren hat sich im sueddeutschen Raum erfolgreich die Forefront User Group von Dieter Rauscher und Christian Groebner etabliert und wir (Karsten Hentrup / Marc Grote) haben paralell dazu eine Forefront User Group im norddeutschen Raum etabliert. Als Abkuerzung haben wir uns fuer den Namen FUGN entschieden.

Veranstaltungsort fuer derzeit geplante Treffen im Halbjahres Rythmus ist die Firma Invenate GmbH in Hannover, welche uns freundlicherweise die Raeumlichkeiten fuer dieses und zukuenftige Treffen zur Verfuegung stellt.

Das zweite Treffen findet am 16.05.2012 in der Zeit von 19:00 Uhr bis ca. 22:15 Uhr an folgender Adresse statt:
Invenate GmbH
Mengendamm 12
30177 Hannover

Die geplante Agenda:
19:00 – 19:15 – Begruessung und Vorstellungsrunde
19:15 – 20:30 – Forefront Identity Manager 2010 “Live Demo” – Invenate GmbH Andreas Lassen
20:30 – 21:00 – Pause / Networking
21:00 – 21:30 – SCEP2012 – Alles besser als FEP2010 – Marc Grote
21:30 – 22:15 – Exchange Active Sync (Pushmail) via Forefront TMG + zertifikatbasierte Authentifizierung – Karsten Hentrup
22:15 – Ende – Diskussionen / Networking

Fuer das Anmeldeprocedere verwenden wir die XING-Gruppe Forefront User Group: https://www.xing.com/net/pric9d398x/ffug
Weitere Informationen: http://blog.forefront-tmg.de/?page_id=482
Wer also bereits einen XING Account besitzt, den moechten wir bitten, sich ueber diese Gruppe zu den Treffen anzumelden. Sollte jemand XING nicht verwenden moechten, kann er sich auch per E-Mail bei folgenden Adressen anmelden:
Karsten Hentrup (mailto:hentrup@forefront-tmg.de) und Marc Grote (grote@forefront-tmg.de)

Gruss von der FUGN

Karsten Hentrup und Marc Grote

Celestix MSA – TMG Best Practice Workshop – Wick Hill GmbH

Posted on by

Hallo Leutz,

am 30.03.2012 darf ich fuer die Wick Hill GmbH in Hamburg einen Forefront TMG Best Practice Workshop halten.
Inhalte:
– Celestix Hardware und deren Mehrwerte im Überblick
– Aus der Praxis für die Praxis, alle wichtigen Kniffe für eine schnelle Inbetriebnahme
– Publishing Exchange Services Best Practices (HTTP to HTTPS redirection, /Path Redirection, Fine Grained Password Policies für OWA Users from Internet)
– Sharepoint Publishing with AAM
– Publishing Remote Desktop Gateway with KCD
– TMG Logging Best Practice (Garbage Rule / Log Optimization)
– TMG Debugging with TMG Data Packager and TMG Diagnostic Logging
– TMG Features (Web Access Policy / HTTPS Inspection / Malware Inspection / Intrusion Prevention System) und ihre Funktionsweise

Detaillierte Agenda: http://www.it-training-grote.de/download/WH-Agenda-CEL-TMG-WS.pdf (Original steht auf der Wick Hill Webseite zur Verfuegung, da der Link aber recht lang ist, steht die Agenda auch hier zur Verfuegung)
Weitere Informationen und Anmeldung: http://www.wickhill.de/

Gruss Marc

Forefront TMG 2010 Exchange 2010 SMTP Filter

Posted on by

Hallo Leutz,

wieder ein interessantes Erlebnis vom “Kollegen” Joerg Schmidtke, welches ich Euch nicht vorenthalten moechte. Der TMG Server wird als Exchange Edge Gateway benutzt und seit neustem stauen sich Mails auf dem internen Exchange Server mit der Meldung: “X-ANONYMOUSTLS – 500 5.5.1 Unrecognized command”.
Die Fehleranalyse und den Workaround findet Ihr hier:
http://www.it-training-grote.de/download/TMG2010-EX2K10-SMTP-Filter.pdf

Gruss Marc 

Custom HTTP-Protokoll in VPN Site to Site Verbindungen (Forefront TMG)

Posted on by

Hallo Leutz,

bei einem Kunden hatte ich letzte Woche eine Fernwartung bzgl. Forefront TMG und Problemen bei der HTTP-Verbindung durch einen VPN Site to Site Tunnel. Die Standard Methode, ein Custom HTTP-Protokoll ohne Webproxyfilterbindung zu erstellen funktionierte nicht:
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeVPN/thread/35fb404a-786d-4831-b16e-ee739cf28e51/

Hintergrund: Auch bei einem TMG Netzwerkverhaeltnis vom Typ ROUTE, wird HTTP Traffic durch den Webproxyfilter geleitet, welcher die Verbindung immer NATed.

Nachdem ich nicht mehr weiter wusste, hat der Kunde einen PSS Call bei Microsoft eroeffnet und heute kam die einfache Loesung:
http://blogs.technet.com/b/isablog/archive/2006/09/25/why-do-i-need-a-deny-rule-to-make-an-allow-rule-for-a-custom-protocol-work-correctly.aspx.

Der Trick ist also nach der Zugriffsregel mit dem custom HTTP-Protokoll noch eine Deny-Regel zu erstellen, welches das standardmaessige HTTP-Protokoll verweigert 🙂

Gelesen hatte ich das auch schon mal, bisher musste ich das aber nie machen, bzw. hatte ich bei der Problemloesung beim Kunden nicht daran gedacht. Also schoenen Dank an Timo Schoenfeld (Kunde) fuer die Benachrichtigung ueber die erfolgte Problemloesung.

Gruss Marc Grote

Exchange Server 2010 Federation Trust Erstellung schlaegt fehl

Posted on by

Hallo Leutz,

die Erstellung eines Exchange Server 2010 Federation Trust durch ein Forefornt TMG Array schlaegt fehl mit der Fehlermeldung: “Fuer den geschuetzen SSL/TLS Kanal konnte keine Vertrauensstellung hergestellt werden”. Schuld war nach einiger Suche die aktivierte ausgehende HTTPS-Inspection in Forefront TMG:
http://www.it-training-grote.de/download/ExchangeFederation-FF-TMG.pdf

Gruss Marc

Microsoft Forefront UAG / DirectAccess Informationen

Posted on by

Hallo Leutz,

zusammenfassend eine Sammlung meiner UAG/DirectAccess Informationen aus Kundenprojekten und Testumgebungen:
Grundlagen:
http://www.it-training-grote.de/download/UAG-nrw2010.pdf
http://www.it-training-grote.de/download/UAG.pdf
http://www.it-training-grote.de/download/Forefront-UAG.pdf
http://www.it-training-grote.de/download/UAG-DA.pdf
http://www.it-training-grote.de/download/UAG-EndpointPolicies.pdf
http://www.it-training-grote.de/download/UAG-Array.pdf
http://www.it-training-grote.de/download/UAG-Migration.pdf
http://www.it-training-grote.de/download/FF-UAG-DA.pdf
http://www.it-training-grote.de/download/FF-UAG-Starter.pdf
http://www.it-training-grote.de/download/FF-UAG-array-SP1-RC.pdf
http://www.it-training-grote.de/download/UAG-DA-Multicast.pdf

Spezialfaelle:
http://www.it-training-grote.de/download/FF-UAG-DA-Lync.pdf
http://www.it-training-grote.de/download/FF-UAG-DA-SAPGUI.pdf

Probleme mit UMTS Providern:
http://www.it-training-grote.de/download/UAG-DA-T-mobile.pdf
http://www.it-training-grote.de/download/UAG-DA-Vodafone.pdf
http://www.it-training-grote.de/download/UAG-DA-VodafoneII.pdf

Gruss Marc

ISA zu TMG Migration – unterschiedliche Sprachversionen und VPN Site to Site

Posted on by

Hallo Leutz,

bei einem Kunden haben wir am Wochenende von ISA Server auf TMG 2010 migriert. Vorgehensweise wie “immer”:
http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006-Microsoft-Forefront-TMG.html

Besonderheit in diesem Szenario: Der ISA Server war Englisch, das Ziel TMG System ein deutsches.
Die Migration lief ohne Probleme. Wir testeten alle notwendigen Verfahren, lediglich die VPN Site to Site Verbindung zu einem SAP System lief nicht, was wir auf evtl. Wartungsarbeiten des SAP-Systems am Wochenende fuehrten, da die TMG Konsole eine etablierte S2S-Verbindung anzeigte.
Als auch heute Morgen kein Zugriff auf den Remote Standort moeglich war, loeschte ich die S2S-Verbindung und bei der Neuanlage kam die Fehlermeldung: “„Benutzersatz, von Richtlinienregel Zugriff zwischen SAP und internem Netzwerk zulassen verwiesen, ist nicht vorhanden. “Der Fehler ist auf Objekt “Zugriff zwischen SAP und internem Netzwerk zulassen” der Klasse “Richtlinienregel” im Arraybereich “S001″ aufgetreten”.

Nach einigen Versuchen, den Fehler einzugrenzen habe ich festgestellt, dass es im S2S Wizard ein Problem gibt bei der Anlage der Firewallregel zwischen den Netzen. Der Assistent legt eine Firewallregel an fuer “Alle Benutzer”. Die uebernommene Konfiguration kennt aber nur den ISA/TMG Benutzersatz “All Users”.

Aehnlich wie bei Forefront UAG sollte man also auf die korrekte “Sprache” achten:
http://www.it-training-grote.de/blog/?p=3978

Wie man dem Problem beikommen kann steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/ISA-TMG-EN-DE.pdf

Gruss Marc