Rollup 2 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2 steht zum Download zur Verfuegung: http://support.microsoft.com/kb/2689195

Gruss Marc Grote

seit Jahren hat sich im sueddeutschen Raum erfolgreich die Forefront User Group von Dieter Rauscher und Christian Groebner etabliert und wir (Karsten Hentrup / Marc Grote) haben paralell dazu eine Forefront User Group im norddeutschen Raum etabliert. Als Abkuerzung haben wir uns fuer den Namen FUGN entschieden.

Veranstaltungsort fuer derzeit geplante Treffen im Halbjahres Rythmus ist die Firma Invenate GmbH in Hannover, welche uns freundlicherweise die Raeumlichkeiten fuer dieses und zukuenftige Treffen zur Verfuegung stellt.

Das zweite Treffen findet am 16.05.2012 in der Zeit von 19:00 Uhr bis ca. 22:15 Uhr an folgender Adresse statt:
Invenate GmbH
Mengendamm 12
30177 Hannover

Die geplante Agenda:

19:00 – 19:15 – Begruessung und Vorstellungsrunde
19:15 – 20:30 – Forefront Identity Manager 2010 “Live Demo” – Invenate GmbH Andreas Lassen
20:30 – 21:00 – Pause / Networking
21:00 – 21:30 – SCEP2012 – Alles besser als FEP2010 – Marc Grote
21:30 – 22:15 – Exchange Active Sync (Pushmail) via Forefront TMG + zertifikatbasierte Authentifizierung – Karsten Hentrup
22:15 – Ende – Diskussionen / Networking

Fuer das Anmeldeprocedere verwenden wir die XING-Gruppe Forefront User Group: https://www.xing.com/net/pric9d398x/ffug Weitere Informationen: http://blog.forefront-tmg.de/?page_id=482 Wer also bereits einen XING Account besitzt, den moechten wir bitten, sich ueber diese Gruppe zu den Treffen anzumelden. Sollte jemand XING nicht verwenden moechten, kann er sich auch per E-Mail bei folgenden Adressen anmelden: Karsten Hentrup (mailto:hentrup@forefront-tmg.de) und Marc Grote (grote@forefront-tmg.de)

Gruss von der FUGN

Karsten Hentrup und Marc Grote

immer haeufiger wird Forefront UAG mit DirectAccess eingerichtet und meine Kunden wuenschen sich natuerlich auch eine Remote Control-Moeglichkeit dieser Clients. Das Standardkonzept von DA sieht aber keine klassische Remote Control vor, lediglich der Infrastruktur Server Zugriff im ersten IPSEC Infrastrukturtunnel ist geregelt. Wie man aus dem Corporate Network Remote Access auf DA-Clients einrichten kann steht in diesem kleinen Bilderbuch: http://www.it-training-grote.de/download/UAG-DA-RemoteAccess.pdf

Gruss Marc

wieder ein interessantes Erlebnis vom “Kollegen” Joerg Schmidtke, welches ich Euch nicht vorenthalten moechte. Der TMG Server wird als Exchange Edge Gateway benutzt und seit neustem stauen sich Mails auf dem internen Exchange Server mit der Meldung: “X-ANONYMOUSTLS – 500 5.5.1 Unrecognized command”.
Die Fehleranalyse und den Workaround findet Ihr hier:
http://www.it-training-grote.de/download/TMG2010-EX2K10-SMTP-Filter.pdf

Gruss Marc

bei einem Kunden hatte ich letzte Woche eine Fernwartung bzgl. Forefront TMG und Problemen bei der HTTP-Verbindung durch einen VPN Site to Site Tunnel. Die Standard Methode, ein Custom HTTP-Protokoll ohne Webproxyfilterbindung zu erstellen funktionierte nicht: http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeVPN/thread/35fb404a-786d-4831-b16e-ee739cf28e51/

Hintergrund: Auch bei einem TMG Netzwerkverhaeltnis vom Typ ROUTE, wird HTTP Traffic durch den Webproxyfilter geleitet, welcher die Verbindung immer NATed.

Nachdem ich nicht mehr weiter wusste, hat der Kunde einen PSS Call bei Microsoft eroeffnet und heute kam die einfache Loesung: http://blogs.technet.com/b/isablog/archive/2006/09/25/why-do-i-need-a-deny-rule-to-make-an-allow-rule-for-a-custom-protocol-work-correctly.aspx

Der Trick ist also nach der Zugriffsregel mit dem custom HTTP-Protokoll noch eine Deny-Regel zu erstellen, welches das standardmaessige HTTP-Protokoll verweigert

Gelesen hatte ich das auch schon mal, bisher musste ich das aber nie machen, bzw. hatte ich bei der Problemloesung beim Kunden nicht daran gedacht. Also schoenen Dank an Timo Schoenfeld (Kunde) fuer die Benachrichtigung ueber die erfolgte Problemloesung.

Gruss Marc Grote

die Erstellung eines Exchange Server 2010 Federation Trust durch ein Forefornt TMG Array schlaegt fehl mit der Fehlermeldung: “Fuer den geschuetzen SSL/TLS Kanal konnte keine Vertrauensstellung hergestellt werden”. Schuld war nach einiger Suche die aktivierte ausgehende HTTPS-Inspection in Forefront TMG:
http://www.it-training-grote.de/download/ExchangeFederation-FF-TMG.pdf

Gruss Marc

Kollege Christian Groebner hat einen genialen Artikel zur Account Lockout Prevention in TMG SP2 geschrieben: http://www.msisafaq.de/Anleitungen/TMG/Konfiguration/ALP.htm

Gruss Marc

zusammenfassend eine Sammlung meiner UAG/DirectAccess Informationen aus Kundenprojekten und Testumgebungen: Grundlagen:
http://www.it-training-grote.de/download/UAG-nrw2010.pdf
http://www.it-training-grote.de/download/UAG.pdf
http://www.it-training-grote.de/download/Forefront-UAG.pdf
http://www.it-training-grote.de/download/UAG-DA.pdf
http://www.it-training-grote.de/download/UAG-EndpointPolicies.pdf
http://www.it-training-grote.de/download/UAG-Array.pdf
http://www.it-training-grote.de/download/UAG-Migration.pdf
http://www.it-training-grote.de/download/FF-UAG-DA.pdf
http://www.it-training-grote.de/download/FF-UAG-Starter.pdf
http://www.it-training-grote.de/download/FF-UAG-array-SP1-RC.pdf
http://www.it-training-grote.de/download/UAG-DA-Multicast.pdf

Spezialfaelle:
http://www.it-training-grote.de/download/FF-UAG-DA-Lync.pdf
http://www.it-training-grote.de/download/FF-UAG-DA-SAPGUI.pdf

Probleme mit UMTS Providern:
http://www.it-training-grote.de/download/UAG-DA-T-mobile.pdf
http://www.it-training-grote.de/download/UAG-DA-Vodafone.pdf http://www.it-training-grote.de/download/UAG-DA-VodafoneII.pdf

Gruss Marc

weiter geht es Forefront UAG und Direct Access Fun. Diesmal wieder mit Vodafone. Joerg Schmidtke war so nett, mich ueber eine neue Erkenntnis zu unterrichten, aber lest selbst: http://www.it-training-grote.de/download/UAG-DA-VodafoneII.pdf

Weitere Artikel:
http://www.it-training-grote.de/blog/?p=3546
http://www.it-training-grote.de/blog/?p=3536

Gruss Marc

bei einem Kunden haben wir am Wochenende von ISA Server auf TMG 2010 migriert. Vorgehensweise wie “immer”: http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006-Microsoft-Forefront-TMG.html

Besonderheit in diesem Szenario: Der ISA Server war Englisch, das Ziel TMG System ein deutsches. Die Migration lief ohne Probleme. Wir testeten alle notwendigen Verfahren, lediglich die VPN Site to Site Verbindung zu einem SAP System lief nicht, was wir auf evtl. Wartungsarbeiten des SAP-Systems am Wochenende fuehrten, da die TMG Konsole eine etablierte S2S-Verbindung anzeigte. Als auch heute Morgen kein Zugriff auf den Remote Standort moeglich war, loeschte ich die S2S-Verbindung und bei der Neuanlage kam die Fehlermeldung: “„Benutzersatz, von Richtlinienregel Zugriff zwischen SAP und internem Netzwerk zulassen verwiesen, ist nicht vorhanden. “Der Fehler ist auf Objekt “Zugriff zwischen SAP und internem Netzwerk zulassen” der Klasse “Richtlinienregel” im Arraybereich “S001″ aufgetreten”.

Nach einigen Versuchen, den Fehler einzugrenzen habe ich festgestellt, dass es im S2S Wizard ein Problem gibt bei der Anlage der Firewallregel zwischen den Netzen. Der Assistent legt eine Firewallregel an fuer “Alle Benutzer”. Die uebernommene Konfiguration kennt aber nur den ISA/TMG Benutzersatz “All Users”.

Aehnlich wie bei Forefront UAG sollte man also auf die korrekte “Sprache” achten: http://www.it-training-grote.de/blog/?p=3978

Wie man dem Problem beikommen kann steht in folgendem Bilderbuch: http://www.it-training-grote.de/download/ISA-TMG-EN-DE.pdf

Gruss Marc