FEP 2010 Definitionsupdates per SCCM 2007 verteilen

Hallo Leutz,

das folgende Bilderbuch zeigt wie man die FEP 2010 Definitionsupdates per SCCM 2007 verteilen kann. Verwendet wird das FEP 2010 Definition Update Automation Tool. Die Automatisierung wird einmal mit einem geplanten Task und einer SCCM Statusfilterregel durchgefuehrt:
http://www.it-training-grote.de/download/SCCM-FEP-Definitions.pdf

Gruss Marc

Custom HTTP-Protokoll in VPN Site to Site Verbindungen (Forefront TMG)

Hallo Leutz,

bei einem Kunden hatte ich letzte Woche eine Fernwartung bzgl. Forefront TMG und Problemen bei der HTTP-Verbindung durch einen VPN Site to Site Tunnel. Die Standard Methode, ein Custom HTTP-Protokoll ohne Webproxyfilterbindung zu erstellen funktionierte nicht:
http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeVPN/thread/35fb404a-786d-4831-b16e-ee739cf28e51/

Hintergrund: Auch bei einem TMG Netzwerkverhaeltnis vom Typ ROUTE, wird HTTP Traffic durch den Webproxyfilter geleitet, welcher die Verbindung immer NATed.

Nachdem ich nicht mehr weiter wusste, hat der Kunde einen PSS Call bei Microsoft eroeffnet und heute kam die einfache Loesung:
http://blogs.technet.com/b/isablog/archive/2006/09/25/why-do-i-need-a-deny-rule-to-make-an-allow-rule-for-a-custom-protocol-work-correctly.aspx.

Der Trick ist also nach der Zugriffsregel mit dem custom HTTP-Protokoll noch eine Deny-Regel zu erstellen, welches das standardmaessige HTTP-Protokoll verweigert 🙂

Gelesen hatte ich das auch schon mal, bisher musste ich das aber nie machen, bzw. hatte ich bei der Problemloesung beim Kunden nicht daran gedacht. Also schoenen Dank an Timo Schoenfeld (Kunde) fuer die Benachrichtigung ueber die erfolgte Problemloesung.

Gruss Marc Grote

Exchange Server 2010 Federation Trust Erstellung schlaegt fehl

Hallo Leutz,

die Erstellung eines Exchange Server 2010 Federation Trust durch ein Forefornt TMG Array schlaegt fehl mit der Fehlermeldung: “Fuer den geschuetzen SSL/TLS Kanal konnte keine Vertrauensstellung hergestellt werden”. Schuld war nach einiger Suche die aktivierte ausgehende HTTPS-Inspection in Forefront TMG:
http://www.it-training-grote.de/download/ExchangeFederation-FF-TMG.pdf

Gruss Marc

Microsoft Forefront UAG / DirectAccess Informationen

Hallo Leutz,

zusammenfassend eine Sammlung meiner UAG/DirectAccess Informationen aus Kundenprojekten und Testumgebungen:
Grundlagen:
http://www.it-training-grote.de/download/UAG-nrw2010.pdf
http://www.it-training-grote.de/download/UAG.pdf
http://www.it-training-grote.de/download/Forefront-UAG.pdf
http://www.it-training-grote.de/download/UAG-DA.pdf
http://www.it-training-grote.de/download/UAG-EndpointPolicies.pdf
http://www.it-training-grote.de/download/UAG-Array.pdf
http://www.it-training-grote.de/download/UAG-Migration.pdf
http://www.it-training-grote.de/download/FF-UAG-DA.pdf
http://www.it-training-grote.de/download/FF-UAG-Starter.pdf
http://www.it-training-grote.de/download/FF-UAG-array-SP1-RC.pdf
http://www.it-training-grote.de/download/UAG-DA-Multicast.pdf

Spezialfaelle:
http://www.it-training-grote.de/download/FF-UAG-DA-Lync.pdf
http://www.it-training-grote.de/download/FF-UAG-DA-SAPGUI.pdf

Probleme mit UMTS Providern:
http://www.it-training-grote.de/download/UAG-DA-T-mobile.pdf
http://www.it-training-grote.de/download/UAG-DA-Vodafone.pdf
http://www.it-training-grote.de/download/UAG-DA-VodafoneII.pdf

Gruss Marc

Custom Certificate Request mit der Windows MMC

Hallo Leutz,

zur Beantwortung eines Postings in dem deutschen Forefront Technet Forum, habe ich eine Anleitung erstellt, wie man mit der MMC eines Windows Server 2008 R2 einen Custom CSR-Request erstellen kann um ein Zertifikat von einer internen Windows CA oder einer kommerziellen CA anzufordern:
http://www.it-training-grote.de/download/Custom-CSR-request-MMC.pdf

Gruss Marc

Forefront UAG – DirectAccess und Fun mit Vodafone UMTS – Part III

Hallo Leutz,

weiter geht es Forefront UAG und Direct Access Fun. Diesmal wieder mit Vodafone. Joerg Schmidtke war so nett, mich ueber eine neue Erkenntnis zu unterrichten, aber lest selbst:
http://www.it-training-grote.de/download/UAG-DA-VodafoneII.pdf
Weitere Artikel:
http://www.it-training-grote.de/blog/?p=3546
http://www.it-training-grote.de/blog/?p=3536

Gruss Marc

ISA zu TMG Migration – unterschiedliche Sprachversionen und VPN Site to Site

Hallo Leutz,

bei einem Kunden haben wir am Wochenende von ISA Server auf TMG 2010 migriert. Vorgehensweise wie “immer”:
http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006-Microsoft-Forefront-TMG.html

Besonderheit in diesem Szenario: Der ISA Server war Englisch, das Ziel TMG System ein deutsches.
Die Migration lief ohne Probleme. Wir testeten alle notwendigen Verfahren, lediglich die VPN Site to Site Verbindung zu einem SAP System lief nicht, was wir auf evtl. Wartungsarbeiten des SAP-Systems am Wochenende fuehrten, da die TMG Konsole eine etablierte S2S-Verbindung anzeigte.
Als auch heute Morgen kein Zugriff auf den Remote Standort moeglich war, loeschte ich die S2S-Verbindung und bei der Neuanlage kam die Fehlermeldung: “„Benutzersatz, von Richtlinienregel Zugriff zwischen SAP und internem Netzwerk zulassen verwiesen, ist nicht vorhanden. “Der Fehler ist auf Objekt “Zugriff zwischen SAP und internem Netzwerk zulassen” der Klasse “Richtlinienregel” im Arraybereich “S001″ aufgetreten”.

Nach einigen Versuchen, den Fehler einzugrenzen habe ich festgestellt, dass es im S2S Wizard ein Problem gibt bei der Anlage der Firewallregel zwischen den Netzen. Der Assistent legt eine Firewallregel an fuer “Alle Benutzer”. Die uebernommene Konfiguration kennt aber nur den ISA/TMG Benutzersatz “All Users”.

Aehnlich wie bei Forefront UAG sollte man also auf die korrekte “Sprache” achten:
http://www.it-training-grote.de/blog/?p=3978

Wie man dem Problem beikommen kann steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/ISA-TMG-EN-DE.pdf

Gruss Marc

Microsoft Security Essentials per SCCM 2007 deinstallieren

Hallo Leutz,

wenn auch etwas ungewoehnlich, aber ich bin zur Zeit bei einem Kunden, welcher MSE (Microsoft Security Essentials) auf seinen Workstations ausgerollt hat.
Da die Lizenzbedingungen von MSE bis vor “kurzem” nur die Installation auf einem PC zuliessen und seit einiger Zeit auf PC in Unternehmen auf bis zu 10 PC, sicherlich eine Seltenheit? http://windows.microsoft.com/de-DE/windows/products/security-essentials/eula

Im Rahmen einer FEP 2010 Implementierung wollten wir den FEP-Client per SCCM auf die Workstations und Server ausrollen. Waehrend der FEP-Client Installation durch den SCCM werden einige vorhandene AV-Clients deinstalliert, aber leider nicht MSE: http://technet.microsoft.com/en-us/library/ff823842.aspx

In Unkenntniss der Tatsache (Ich kenne zwar die MS Webseite – ging aber davon aus, dass MSE waehrend der FEP-Client Installation deinstalliert wird, da MSE und FEP-Intune ja die gleiche Engine verwenden und ich hatte bisher noch keinen Kunden der MSE im “grossen Stil” einsetzt), verteilten wir auf einigen Systemen den FEP-Client per SCCM. Das Ergebnis: SCCM erkennt einen installierten “FEP-Client”, versorgt diesen auch zentral mit den definierten FEP-Policies und erlaubt eine zentrale Verwaltung, tauscht den MSE-Client aber nicht durch die FEP-GUI aus!

Also stehen verschiedene Wege zur Verfuegung, den MSE Client zu deinstallieren:
MSE 1.0: http://support.microsoft.com/kb/2435760
MSE 2.0 http://support.microsoft.com/kb/2483120

Um die Deinstallation zu automatisieren kann man den MSE-Client auch durch folgenden Befehl deinstallieren: %ProgramFiles%\Microsoft Security Essentials\setup.exe” /x /s Das funktioniert meiner Recherche nach aber nur mit aelteren MSE-Clients (1.0)? Der aktuelle MSE-Client installiert sich im Verzeichnis %ProgramFiles%\Microsoft Security Client!
Achtung: Das ist der gleiche Pfad wie der Pfad fuer eine FEP-Client Installation. Also bei einer automatisierten Deinstallation aufpassen, nicht auch den FEP-Client zu deinstallieren!

Also versuchte ich den MSE-Client per SCCM zu deinstallieren. Da dies meine erste echte Softwareverteilung per SCCM war, eine spannende (wenn auch schlussendlich einfache) Herausforderung 🙂 Wie das funktioniert steht hier:
http://www.it-training-grote.de/download/MSE-uninstall-SCCM.pdf

Gruss Marc