Dieses habe ich daraufhin direkt euphorisch auf unserem Produktivsystem eingespielt und siehe da: alle Settings und somit alle Portale waren nach dem Einspielen des Patches nicht mehr vorhanden!

Ein Blick in die Systemdienste ließ Schlimmes erahnen: der “Microsoft Forefront UAG Session Manager” startete nicht mehr und darauf dann auch nicht mehr der “Word Wide Web Publishing Service”, da Abhängigkeiten existieren. Ich berichtete den üblichen Verdächtigen das auffällige Verhalten und siehe da: Markus Grudl von SecureGUARD (http://www.secureguard.at/Support/Default.aspx) konnte das Verhalten nachstellen. Aus gut unterrichteter Quelle konnte Markus auch eine Begründung zu Tage fördern, bitte anschnallen:

Wenn zwischen dem Einspielen von zwei UAG-Patches die UAG-Konfiguration nicht aktiviert wird, dann schlägt die oben erwähnte ungewollte “Bereinigung” zu! Dabei ist völlig egal ob sich zwischen den Installationen irgendwas an der Konfiguration geändert hat [sic!]. Somit sei die Empfehlung vor dem Einspielen eines UAG-Patches einmal die Konfiguration zu aktivieren:

Bitte danach nicht vergessen solange zu warten bis die Kiste Synced ist, einfach in der TMG-Konsole festzustellen:

Tja, was nun mit meinem korrumpierten UAG anstellen? Ein Un-Install des letzten Patches ist leider keine Lösung, die Konfiguration bleibt verschwunden (ich erwähne jetzt nicht, das der Un-Install bei mir auch Ärger machte – eine andere Geschichte). Auch hier konnte mir Markus einen tollen Tipp geben. Im UAG-Installationsverzeichnis befindet sich das “UAGSchemaUgradeUtil”:

Mit diesem Tool lässt sich mit etwas Glück eine alte Konfiguration (XML-File) in den UAG pusten und der alte Zustand wieder herstellen. Dies klappte bei mir einwandfrei, bei Markus hingegen nicht!

Hentrup an Portal, bitte melden:

Bevor erste Kommentare dazu einfliegen: Nein, dies ist kein verspäteter Aprilscherz! Wie heißt es so schön in der Gaming-Szene: Save often, save early – insofern ein weiterer Grund für das Anfertigen von Backups vor dem Einspielen von Updates.

Gruß, Karsten Hentrup aka Jens Mander…

<j-j>

seit heute ist das Updaterollup 1 für das UAG SP3 verfügbar. Mehr dazu hier:

http://support.microsoft.com/kb/2827350

Gruß,

Karsten Hentrup aka Jens Mander…

<j-j>

Mein Windows-8-DA-Client (Stichwort: NCA) signalisiert mir neuerdings, das er dabei wäre seine DA-Verbindung herzustellen:

Dieser Zustand ändert sich aber leider nicht wie vorher in “Verbunden”. Trotzdem sind alle Zugriffsmöglichkeiten gegeben wie bisher auch. D.h. die Symbolik zeigt mir einen falschen Zustand an. Beim analysieren der NCA-Protokolle viel meinem Kollegen und mir auf, das der externe Client keine Verbindung zum Webprobehost herstellen kann:

Die Funktion des Webprobehost ist ein Connectivity-Verifier, siehe dazu auch folgenden Ausschnitt aus der Technet (http://technet.microsoft.com/en-us/library/jj574101.aspx):

Bei der weiteren Analyse stellten wir fest das die hierfür benötigten DNS-Einträge nicht im DNS vorhanden waren. Im Lab flux nachgestellt wurde uns klar, das der DirectAccess-Assistent diese Einträge automatisch für das DNS erstellt:

Die Records sind allerdings nicht statisch, sodass diese bei uns durch’s DNS-Scavenging (http://technet.microsoft.com/en-us/library/cc771677.aspx) gelöscht wurden. Nach manueller Pflege der statischen Einträge funktioniert auch die Symbolik wieder einwandfrei.

Gruß und Danke an den geschätzten Kellog “Funny”,

Karsten Hentrup aka Jens Mander…

<j-j>

DirectAccess wird unter Windows Server 2012 in der alt-bekannten Oberfläche eingerichtet, wie Marc hier schon passend beschrieben hat: http://www.it-training-grote.de/blog/?p=5128

Im Gegensatz zum UAG-DirectAccess lässt sich über die aktuelle DirectAccess-GUI kein Skript mehr exportieren um die für DirectAccess erforderlichen GPOs mittels Domain-Admin auf einem DC via Powerhell [sic!] ins AD zu pusten.

Eine Export-Funktion gibt es zwar schon noch, diese kann aber erst nach dem Abfeuern der Settings verwendet werden?!

Ist DirectAccess ausgerollt und versucht man nun mit einem Service-Account (Domänenbenutzer mit lokalen Adminrechten auf dem DirectAccess-Gateway) auf die Remotezugriffs-Verwaltungskonsole zuzugreifen, wird einem dies mit einer leidlichen Fehlermeldung quittiert:

Die GUI ist somit für das Service-Account unbrauchbar, weder die Konfiguration noch das Monitoring oder das Reporting kann eingesehen werden. Abhilfe schafft hier die Delegierung auf den betroffenen Gruppenrichtlinienobjekten:

Nach der Berechtigungsvergabe funktioniert auch die DirectAccess-GUI für das Serviceaccount wie gewünscht:

Vielen Dank an meinen geschätzten Kollegen “Funny” für den Tipp.

Gruß, Jens Mander aka Karsten Hentrup…

<j-j>

Das vierte FUGN Treffen findet am 15.04.2013 in der Zeit von 19:00 Uhr bis ca. 22:15 Uhr an folgender Adresse statt:

Invenate GmbH
Mengendamm 12
30177 Hannover

Die geplante Agenda:
19:00 – 19:15 – Begruessung und Vorstellungsrunde
19:15 – 20:45 – Laengeres Leben fuer TMG 2010 mit der SecureGUARD Content Security Solution based on IKARUS security.proxy – Markus Grudl (SecureGUARD)
20:45 – 21:15 – Pause / Networking
21:15 – 22:15 – DirectAccess in Windows Server 2012 – Karsten Hentrup und Marc Grote
22:15 – Ende – Diskussionen / Networking

Fuer das Anmeldeprocedere verwenden wir die XING-Gruppe Forefront User Group: https://www.xing.com/net/pric9d398x/ffug
Weitere Informationen: http://blog.forefront-tmg.de/?page_id=482 Wer also bereits einen XING Account besitzt, den moechten wir bitten, sich ueber diese Gruppe zu den Treffen anzumelden.
Sollte jemand XING nicht verwenden moechten, kann er sich auch per E-Mail bei folgenden Adressen anmelden:
Karsten Hentrup (mailto:hentrup@forefront-tmg.de) und Marc Grote (grote@forefront-tmg.de)

Gruss von der FUGN Karsten Hentrup und Marc Grote

eine Kundenanfrage wie man die Forefront TMG Edition per Registry ermitteln kann brachte folgendes Ergebnis:
HKLM\Software\Microsoft\FPC – Edition
Enterprise = 563f7924-6ac8-4ae6-bbfb-189dca3dd594
Standard = 5933b383-0f51-46de-a54c-e9838062ecaf

Gruss Marc

Forefront UAG SP3 steht zum Download zur Verfuegung: http://www.microsoft.com/en-us/download/details.aspx?id=36788

Achtung: Moegliche Funktionen die entfernt wurden oder in weiteren Funktionen entfernt werden: http://technet.microsoft.com/en-us/library/jj878164.aspx

Wesentliche Neuerungen ist die Unterstuetzung von:
- Windows 8 and IE10 Clients
- Office 2013 Clients
- Exchange 2013
- SharePoint 2013
- RDP 8.0 Client fuer Windows 7 SP1

Gruss Marc

eine kleine wichtige Information zu Forefront UAG NLB Arrays bei der Verwendung von Software/Hardware welche eine MAC Adress Authentifizierung / -Suche im LAN durchfuehrt und nur erlaubten MAC-Adressen Zugang zum LAN erteilt: Bei einem Kunden bin ich diese Woche dabei ein Forefront UAG NLB Array einzurichten und bei der Aktivierung des NLB-Array im Unicast Modus hatten wir massive Probleme das NLB-”Cluster” zum Laufen zu bringen. Die Admins hatten zwar in der ARP Guard (das Produkt) Konfiguration die Unicast MAC Adresse der Clusterknoten als erlaubte MAC-Adressen hinterlegt aber irgendwie hat das nicht funktioniert, da ARP Guard immer noch die MAC-Adresse als Intrusion erkannt hat. Wir vermuten das das Problem dadurch ausgeloest wurde das die Unicast MAC-Adresse ja an allen vier Switch Ports der internen LAN-Adapter auftaucht und ARP Guard dieses als Bedrohung erkannt hat. Eine Umstellung auf Multicast NLB war aufgrund der Switch-Einschraenkungen nicht moeglich. Die Loesung des Problems war dann ganz einfach an alle Switch-Ports wo die UAG Array Member angeschlossen waren den ARP Guard zu deaktivieren und anschlissend funktioniert auch das Windows NLB in Verbindung mit Forefront UAG

Gruss Marc

wer sich berufen fühlt kann hier eine Online-Petition zur Weiterentwicklung von TMG unterzeichnen:

http://www.change.org/petitions/microsoft-corp-renew-forefront-tmg-development?utm_campaign=twitter_link&utm_medium=twitter&utm_source=share_petition

Gruß,

Karsten Hentrup…

<j-j>

Updaterollup 3 für Forefront Threat Management Gateway (TMG) 2010 Servicepack 2 steht zum Download zur Verfuegung:
http://support.microsoft.com/kb/2735208

Gruss Marc