April 2007 - Posts
Was lange währt, wird meistens gut...oder?
Seit heute (30.04.2007) sind die Microsoft Windows Server Update Services 3.0 nach langer Betaphase verfügbar. Erfreulicherweise stehen auf der Downloadseite sowohl eine 64-Bit- als auch eine 32-Bit-Version bereit. Ebenfalls stehen einige Whitepaper und HowTo's zur Verfügung.
Bitte wie immer unbedingt vor der Installation in einer produktiven Umgebung Release Notes etc sorgfältig lesen und testen, testen, testen...
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
Marc Grote beschreibt in diesem Artikel die Konfiguration der ISA Server 2006-Flutabwehreinstellungen zum Schutz von ISA Server vor Denial of Service Attacken (DoS).
Direkt zum Artikel.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
Microsoft hat im November 2006 damit begonnen, für die breite Öffentlichkeit voll funktionsfähige Virtuelle Maschinen zum herunterladen anzubieten. Ich habe in meinem Blogeintrag vom 08. November 2006 bereits darauf hingewiesen. Damit kann man die angebotenen Produkte und Lösungen sehr praktisch und ohne viel Aufwand testen.
Interessant für die Forefront-Familie gab es bislang neben dem bereits erwähnten ISA Server 2006 auch ein Forefront Edge Security and Access Demonstration Toolkit zum herunterladen.
Seit wenigen Tagen steht nun ein Microsoft Forefront and System Center Demonstration Toolkit bereit.
Dieses Toolkit zur Demonstration von Forefront und dem System Center besteht aus 9 virtuellen Maschinen auf Basis von Windows Server 2003 R2, die folgende Produkte enthalten:
-
Forefront:
-
Forefront Security for Exchange (dazu Exchange Server 2007)
-
Forefront Security for SharePoint (dazu SharePoint Services 3.0)
-
Forefront Client Security (beta 2)
-
Intelligent Application Gateway (IAG) 2007
-
ISA Server 2006 Standard Edition
-
System Center
Bitte vor der Verwendung unbedingt die Release-Notes lesen, sie enthalten wichtige Informationen zum Ablaufdatum und zu Sicherheitsupdates.
Neben den virtuellen Maschinen ist auch ein Script und eine Anleitung dabei, um folgende Szenarien abzubilden:
1. System Center Configuration Manager verteilt Forefront Client Security Signaturen um Clients aktuell zu halten
2. Forefront Security for Exchange Server blockt Viren in E-Mails
3. System Center Operations Manager überwacht den Zustand der Server und Clients
4. Intelligent Application Gateway gewährt Zugriff auf SharePoint 2007 abgesichert durch die Möglichkeit der End-Point Policy Erkennung
5. Forefront Client Security bietet Schutz vor Malware.
Also, einfach mal herunterladen und ausprobieren - es lohnt sich!
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
ISA Server 2004 ist zwar nicht mehr die aktuelle ISA-Version aber dennoch viel im Einsatz. Auch Neuinstallationen sind durchaus noch an der Tagesordnung. Was 2004 noch nicht selbstverständlich war, ist heute eigentlich schon nichts besonderes mehr: Server mit mehreren Prozessoren und/oder mehreren Kernen (DualCore etc.).
Eine ISA Server-Lizenz erlaubt den Einsatz von ISA Server 200x auf einem System mit einem Prozessor. Gemeint ist hier ein physikalisch vorhandener Prozessor. Hyperthreading oder DualCore werden lizenzmäßig nicht berücksichtigt.
Installiert man ISA Server 2004 auf einem System mit mehreren (virtuellen) Prozessoren, kann es sein, dass die beiden Dienste Microsoft ISA Server Steuerung (ISACTRL) und Microsoft Firewall (WSPSRV) nicht starten und im Ereignisprotokoll folgender Fehler vermerkt ist:
Event Type: Error
Event Source: Microsoft ISA Server Control
Event Category: None
Event ID: 14109
Date: date
Time: time
User: N/A
Computer: computer name
Description: The ISA Server Standard Edition cannot run. Either the server is using more than 4 processors, or it is configured to use the Active Directory service. Use the source location 100.281.4.0.2161.50 to report the failure. Contact Microsoft (R) Corporation for more information.
Dieses Problem tritt auf, wenn die folgenden Bedingungen zutreffen:
-
Der Computer, auf dem Sie ISA Server installieren, verfügt über mehr als zwei Prozessoren.
-
Hyper-Threading Technology (HT) ist auf diesem Computer aktiviert.
-
Die Prozessoren sind multicore-packaged.
Um das Problem zu lösen muß das Service Pack 2 oder höher für ISA Server 2004 installiert werden.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
Damit ein Server oder Dienst veröffentlicht werden kann, müssen mehrere Voraussetzungen erfüllt sein. Die im Regelfall wichtigste Voraussetzung ist, dass der Server als SecureNAT-Client konfiguriert ist. Das wird dadurch erreicht, in dem man in den TCP/IP-Einstellungen des Servers den ISA Server als Standardgateway einträgt. Der Grund hierfür ist eigentlich logisch: es muss eine Route für die IP-Pakete von und zum ISA Server existieren.
Jetzt gibt es jedoch Situationen, in denen der Server kein SecureNAT-Client sein kann. Dies kann zum Beispiel daran liegen, dass im Unternehmensnetzwerk ein komplexes IP-Routing vorhanden ist oder aber der Server durch zwei voneinander unabhängige ISA Server veröffentlicht werden soll. Wozu das? Wenn ein Server (zum Beispiel ein SMTP-Server) über zwei unterschiedliche Internetanbindungen (ISPs) Mails empfangen soll. Das ist mit einem ISA Server nicht machbar, da die derzeitigen Versionen 2000, 2004 und 2006 keine zwei ISP-Anbindungen unterstützen. Man könnte die ISA-Server-Limitierung nur durch entsprechend vorgeschaltete Hardware umgehen. Oder aber man hängt an jede ISP-Anbindung einen eigenen ISA Server.....
Direkt zum Artikel.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
Marc Grote beschreibt in diesem Artikel, wie man ein funktionierendes Backup der ISA Server-Konfiguration erstellen kann und die Sicherung auch wieder einspielen kann.
Direkt zum Artikel.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
Wer mich kennt weiß, dass ich nichts mehr hasse als falsche Gerüchte...
Eines meiner beliebtesten (und ärgerlichsten) falschen Gerüchte ist die Aussage, dass man in einem Small Business Server (SBS)-Netz keinen zusätzlichen Domänen Controller haben kann. Leider ist dieses Gerücht schon sehr lange im Umlauf und auch namhafte Dozenten/Referenten erzählen heute noch davon. Das ist absoluter Quatsch.Selbstverständlich kann man in einem SBS Netz mehrere DCs hinzufügen. Aber gut.
Heute ärgere ich mich über Falschaussagen zum Thema Forefront Security for Exchange (quasi der Nachfolger von Antigen für die Exchange-Version 2007). Kaum ist das Produkt verfügbar und die ersten Schulungen/Vorträge werden gehalten, tauchen auch schon die wirrsten Aussagen zur Forefront-Lizenzierung auf. Und das ist sehr ärgerlich. Am häufigsten wird behauptet, dass man Forefront nur zusammen mit der Exchange Server Enterprise Edition erhält. Das ist so nicht richtig. Forefront Security for Exchange Server ist Bestandteil der Enterprise CAL und kann selbstverständlich auch bei einem Exchange Server Standard Edition verwendet werden. Das gilt auch für das Unified Messaging (Faxeingang und Voice Access).
Zum Thema CAL für Exchange: Es gibt eine Standard-CAL, die sowohl gegen eine Standard- als auch eine Enterprise-Edition verwendet werden kann. Exchange Server Enterprise Edition hat prinzipiell im Gegensatz zur Standard-Edition zwei Unterschiede: Mehr Datenbanken und Hochverfügbarkeit sind möglich. Die Enterprise-CAL, die _zusätzlich_ zur Standard-CAL gekauft/lizenziert werden muss kann gegen beide Editionen verwendet werden.
Eine gute Übersicht zu den in den jeweiligen CALs verfügbaren Funktionen gibt es hier:
http://www.microsoft.com/exchange/evaluation/editions.mspx
Hier gibt es eine Übersicht über die Systemvoraussetzungen zu Forefront Security for Exchange Server:
http://www.microsoft.com/forefront/serversecurity/exchange/sysreqs.mspx
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server