|
|
|
|
|
|
|
|
|
|
Accueil -
<--- Le blog d'Alexandre GIRAUD (Alex117) MVP Forefront --->
|
|
|
Articles et annonces sur toute la gamme Microsoft Forefront et autres outils de sécurité. |
03/09/2010
 Windows Phone 7 est enfin terminé ! Il est en cours de livraison aux constructeurs téléphoniques (HTC, Samsung, …) tel que nous l'apprends le blog de l'équipe : http://windowsteamblog.com/windows_phone/b/windowsphone/
Il devrait donc ne pas tarder à arriver sur le marché les prochains Smartphones équipés de Windows Phone 7 J
 Source : http://blogs.technet.com/b/isablog/archive/2010/09/03/update-center-for-microsoft-forefront-and-related-technologies.aspx
Vous en aviez rêvé, …. Microsoft l'a fait ! Et plus particulièrement l'équipe produit Forefront qui vient de mettre à disposition un Update Center. Kesako ? C'est une page web qui va centraliser tous les produits Microsoft et y indiquer pour chacun l'état de mise à jour. On y trouvera donc le dernier niveau de service pack, la dernière update et ainsi que le numéro de version de la mise à jour cumulé. Pour cela, se rendre sur le site Update Center de Forefront et l'ajouter dans vos favoris : http://technet.microsoft.com/en-us/forefront/ff899332.aspx
Cela concerne tous les produits Microsoft Forefront et les technologies proches :
- Microsoft Forefront Protection 2010 for Exchange Server
- Forefront Protection 2010 for SharePoint
- Microsoft Forefront Client Security
- Microsoft Forefront Security for Exchange Server
- Forefront Security for SharePoint
- Forefront Server Security Management Console
- Forefront Security for Office Communications Server
- Antigen 9.0 for Exchange
- Antigen 8.0 for Microsoft SharePoint Portal Server
- Forefront Threat Management Gateway 2010
- ISA Server 2006
- Forefront Unified Access Gateway 2010
- Intelligent Application Gateway 2007
Et voilà le tableau de mise à jour de ce jour :
02/09/2010
L'équipe produit TMG a identifié un problème lors de l'installation du service Pack 1 Exchange 2010 sur un serveur TMG ou la fonction de protection de messagerie (Email Protection) est utilisée. En effet, le service Pack 1 d'Exchange 2010 apporte des changements sur les cmdlets, qui mettent en erreur les contrôles effectués par Microsoft Forefront TMG par l'intermédiaire du service « Microsoft TMG Managed Control ».
Microsoft recommande donc de ne pas installer SP1 Exchange 2010 sur les serveurs TMG, tant que l'hotfix ne sera pas publié. Il sera disponible très rapidement. Pour ceux qui ont déjà installé le SP1 d'Exchange, alors il faudra passer par l'assistant Ajout/Suppression de programme pour le désinstaller ou contacter le support Microsoft si le problème persiste.
Voilà le billet original de l'équipe produit : http://blogs.technet.com/b/isablog/archive/2010/09/01/problems-when-installing-exchange-2010-service-pack-1-on-a-tmg-configured-for-mail-protection.aspx
24/08/2010
Avec Microsoft Forefront TMG, il y a plusieurs façons de générer des logs concernant le trafic ou des évènements liés à votre solution TMG. L'une d'entre elles ne sera pas interprétable et utilisable, car seul le support Microsoft a les outils pour lire certains fichiers (isalog.bin). Nous allons ici, tout de même vous montrer comment cela fonctionne, afin de vous familiariser avec l'outil prévu pour le public et d'être prêt le cas échéant … je ne vous le souhaite pas J
Journalisation TMG
Tout d'abord, nous allons voir la journalisation intégrée de TMG. Cette dernière est basée sur une capture réseau et peut être fait en « live ». Elle vous permettra de comprendre parfois pourquoi une connexion est inaccessible depuis un poste bien précis. Nous allons donc prendre un exemple, d'un poste interne qui ne devrait pas se connecter en RDP vers le réseau externe, alors pourquoi ?
Il faut se rendre dans la console de gestion TMG, et parcourir l'arborescence jusqu'à « Logs & Reports ». Un onglet « Logging » se présentera.
Il est possible d'éditer le filtre afin d'affiner la requête pour n'avoir que le flux nécessaire. Par exemple, si le flux est de type Proxy Web (Reverse ou Forward), ne sélectionnez que « Web Proxy Filter » dans « Log Record Type ». Ensuite dans « Log Time » indiquez si vous effectuez une journalisation en direct « Live » ou au cours de la dernière heure, … de la période indiqué.
L'important est surtout de rajouter LE ou LES critères qui vous permettent d'affiner correctement les seuls flux pertinents, afin d'éviter d'être noyé dans la masse d'informations de trafic. Dans mon cas, je ne souhaite connaître que le trafic d'un poste dont l'adresse IP est 192.168.0.1 et que la destination est vers le réseau externe. Le trafic ne devra concerner que des connexions non Web. Cela donne donc un filtre comme ceci :
Ensuite on lance la requête avec le bouton « Start Query », et on se rend immédiatement sur le poste client pour « tenter » une connexion. Cela donne ceci :
On voit donc clairement que le poste a tenté de faire une résolution DNS vers le serveur 126.43.103.253, puis une tentative de connexion TCP sur le port 3389 vers 65.55.12.249. La règle TMG qui autorise le flux se nomme « Routage UAG ». En effet, une règle subsistait dans mon TMG ; une règle trop laxiste mais est ici pour démontrer le fonctionnement.
Cet exemple vous permet donc de comprendre comment détecter les règles trop restrictives ou trop ouvertes, et surtout de bien comprendre le ou les protocoles nécéssaires lors d'utilisations d'applications client/server. Avec ces informations-là, il vous sera plus à même de créer des règles « justes » pour ne pas créer de « trou de sécurité ». Bon logging ;)
TMG Best Practices Analyzer
J'ai expliqué précédemment qu'une nouvelle version de TMG BPA est disponible : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=108. Vérifiez bien à utiliser systématiquement la dernière version. Cet outil vous permettra d'analyser si votre serveur TMG respecte bien tous les prérequis éditeur, suite à l'analyse de la configuration de votre solution TMG. Cet outil est à installer sur TOUTES vos solutions TMG, cela vous sera utile en cas d'analyse urgente et surtout si vous n'avez plus d'Internet J L'installation peut se faire également sur les postes Help Desk ou le vôtre si vous souhaitez interprétez les analysez BPA de vos clients et partenaires, ou encore si vous êtes au support SI.
Il faut donc pour une analyse distante, demander au technicien local (ou si vous êtes connecté en RDP) d'effectuer une analyse TMG BPA. Depuis l'outil, il faut indiquer un nom pour l'analyse, le nom de votre contrôleur de domaine, et pensez à utiliser le mode « All tasks » afin d'avoir le maximum d'informations. Ensuite, cliquez sur « Start scanning ».
L'analyse va porter à la fois sur le matériel, les infos TMG, l'OS, la configuration et l'installation de TMG. Veuillez patienter pendant la collecte des informations.
A la fin de l'analyse, il vous sera proposé un rapport présentant tous les avertissements et erreurs détectés. Chacun de ces points est détaillé, et il est même possible d'accéder directement à l'aide associé (local avec le fichier chm et même parfois directement vers des articles complet Technet).
Pour une analyse distante, vous pouvez indiquer à votre prestataire (client, collègue, …) d'effectuer un export de l'analyse. Un fichier XML sera généré, et devra vous être envoyé par le moyen de votre choix. (dur dur … si le môsieur n'a pas Internet et de clé 3G J)
Une fois que vous avez récupéré le fichier XML sur votre propre station de travail (en supposant que TMG BPA est déjà installé) vous pouvez l'importer facilement.
Vous aurez donc la même vision que celle vue précédemment et localement sur le serveur TMG. Vous avez toujours accès aux mêmes fichiers d'aide associés, et toutes les informations liées à la solution TMG analysée…
… et même vous pouvez avoir encore de plus riches informations, bien trop souvent oubliés par cet outil. Vous pourrez découvrir l'adressage IP de chaque carte réseau, les informations sur les disques, les version de drivers/dll, le détail des règles d'accès, des règles de routage, du matériel, etc… TOUT !
Ainsi, cela vous évitera de nombreux aller/retour avec le technicien distant afin de connaître le détail de certains paramètres. Avec ceci, vous devriez être capable de résoudre 98% des problèmes sans poser de questions supplémentaires en dehors du contexte intial. Vous serez donc plus efficace et gagnerez un temps bien précieux !
Et si on appelle Microsoft pour un incident ? TMG Data Packager !
En cas de problème de production majeur, et que votre support local en peut résoudre le problème il vous sera surement recommandé de contacter le support éditeur : Microsoft J Microsoft vous demandera d'utiliser TMG Data Packager. Cet outil est inclus dans TMG BPA. Cet outil devra être utilisé dans à travers un scénario précis, et vous devrez reproduire le problème. Cela peut venir d'un problème de connexion TCP, connexion VPN, d'impossibilité de démarrer les services TMG, de la journalisation SQL, …
L'outil se trouve dans le même dossier que TMG BPA
En le lançant, vous avez le choix de plusieurs scénarios. Laissez-vous guider par l'ingénieur support qui vous indiquera les options à sélectionner. Parfois, un fichier personnalisé de configuration peut vous être envoyé, alors vous prendrez l'option « Load custom configuration ». Ici on va faire une repro basique pour l'exemple sur ce billet.
Chaque scénario détaillera les informations qui seront collectés
Il est possible de modifier les options, en fonction du besoin des ingénieurs. L'option « Forefront TMG Tracing » ne pourra être analysée que par le support Microsoft. En fait cette option récupère le fichier isalog.bin qui se situe dans « C:\Windows\debug ».
Si vous décidez d'utiliser une analyse réseau dans la trace, il faudra installer Netmon 3.3. Il vous sera proposé de l'installer directement lors du lancement de la collecte d'informations en pressant la touche y. Ensuite pour valider le début de capture, pressez la barre « espace ».
Vous devrez à présent reproduire le problème (connexion TCP, tentative de lancement service, accès, …). Après que le problème a été reproduit, vous devrez à nouveau presser la touche « espace » pour terminer la capture. La collecte peut durer un certain temps, donc soyez patient. Un fichier avec l'extension .cab contiendra toutes les données et est déposé par défaut sur le bureau. Ce fichier sera à envoyer par mail ou à déposer un espace sécurisé auprès du support Microsoft.
A l'aide de ce billet, vous connaissez désormais les principes de bases sur le debugging TMG, enjoy ! 
L'équipe produit Microsoft Forefront UAG a publié un article expliquant comment utiliser une authentification sur UAG en utilisant en identifiant un email au lieu du compte AD (SamAccountName ou UPN). Le billet est expliqué ici : http://blogs.technet.com/b/edgeaccessblog/archive/2010/08/23/authenticating-to-uag-with-an-email-address-instead-of-user-id.aspx
Cette méthode est pratique en effet, surtout si vous utilisez un portail de messagerie Exchange avec des utilisateurs externes. J'ai déjà été amené à rencontrer le problème avec ISA/TMG pour lequel mes clients souhaitaient utiliser leurs adresses emails en tant que login sur la page OWA. Les expressions de login avec TMG en mode LDAP ne fonctionnait sur ce mode que sous certaines conditions, notamment si le nom de domaine AD est le même que le nom de domaine des emails. Avec UAG, de par sa grande flexibilité cela rend possible ce type de manipulations sans contrainte de domaine DNS. Mais cela peut fonctionner également avec d'autres scénarios, comme par exemple des connexions applicatives sur un SharePoint pour des partenaires sans mettre en œuvre ADFS, … Je vais donc franciser leur billet ici, afin que vous comprenez bien son implémentation.
Alors dans mon cas j'ai un serveur UAG qui publie les services de messagerie. J'ai donc un portail SSL nommé « messagerie » avec lequel une authentification LDAP.
Il faut vérifier bien entendu que l'authentification fonctionne à l'aide d'un compte SAM
Je vais donc créer un fichier hook pour avant la validation de mon login. Pour cela le fichier devra se nommer <nom_portail><0/1>PreValidate.inc. Cela donne donc messagerie1PreValidate.inc et devra être placé dans ce dossier « C:\Program Files\Microsoft Forefront Unified Access Gateway\von\InternalSite\inc\CustomUpdate ». Le fichier devra contenir ceci :
<%
If instr(Session("user_name"&num),"@") > 0 then
Dim oConn
Dim rs
Set oConn = Server.CreateObject("ADODB.Connection")
oConn.Provider = "ADSDSOObject"
oConn.Open "Ads Provider", "BRAZIL\ldap", "ldap"
Set rs = oConn.Execute("<LDAP://dc=BRAZIL,dc=local>;(&(objectClass=user)(mail=" & Session("user_name"&num) & "));sAMAccountName")
if not rs.eof then
if rs.recordcount = 1 then ' we found our user!
Session("user_name"&num) = trim(rs("sAMAccountName").value) ' Required for SSO and change password
user_name = trim(rs("sAMAccountName").value) ' Required to pass CheckCredentials()
else
response.write "<font color=""red""><b><center>More than one user was found with the e-mail address " & Session("user_name"&num) & "<br></center></font></b>"
end if
else
response.write "<font color=""red""><b><center>No user was found with the e-mail address " & Session("user_name"&num) & "<br></center></font></b>"
end if
set oConn = nothing
set rs = nothing
End if
%> |
Le fichier devra être modifié aux trois endroits surlignés en jaune :
- oConn.Open "Ads Provider", "BRAZIL\ldap", "ldap" -> Ici vous devez indiquer le compte de service LDAP sous la forme DOMAINE\compte et le mot de passé associé
- ("<LDAP://dc=BRAZIL,dc=local>;(&( … -> Ici, vous devrez indiquer le chemin LDAP en fonction de votre nom de domaine AD.
Je vais donc vérifier un compte utilisateur qui possède une adresse mail, pour cela je le vois dans la console de gestion des utilisateurs AD (dsa.msc)
 ^
On voit bien que mon adresse mail est différente de mon UPN (ma zone DNS qui fait autorité sur mon AD est « brazil.local » alors que pour le réseau public c'est « brazil.com »)
Maintenant, je vais tenter de me connecter avec mon adresse email administrator@brazil.com , authentification avec succès évidemment !
 12/08/2010
Alors pensant être le nouveau heureux possesseur d'un portable HP EliteBook 8540w doté de son Intel Corei5 et de ces 8Gb de RAM … J'ai dû déjà remplacer le disque interne par un SSD pour sentir déjà une réelle différence. Par ailleurs, étant donné que les disques SSD n'ont pas de grosse capacité (je n'ai pas un salaire de ministre), j'ai donc complété par cet achat utile : http://newmodeus.com/shop/index.php?main_page=product_info&products_id=216 . Cela me permet de retirer le lecteur/graveur DVD intégré qui me sert à rien (j'utilise que des ISO avec Daemon Tools et installe l'OS avec une clé USB bootable) et donc bénéficier d'un second disque interne de grande capacité en SATA. Le prix est de 42$ avec quelques dollars supplémentaires pour vous le faire livrer en France. J'en suis pleinement satisfait. De plus il est accompagné avec les kits de visserie, etc… parfait !
Le pc avait été commandé en 8gb de RAM, et d'après les configurations disponibles il y en a une autre qui permet les 16Gb de RAM J Ca cela aurait été top, mais bon l'idée était de le faire évoluer ultérieurement … SAUF Que ce n'est pas possible !!! En effet, d'après les spécs générales la carte mère accepte au maximum une barrette mémoire de 4Gb de RAM. Donc j'en conclue que ma carte mère a 4 emplacements … et NON ! Elle n'en a que deux et tu vois bien pourtant les broches prévues à cet effet pour connecter deux autres emplacements. En fait dans leurs configurations, si tu prends le modèle à 8Gb RAM alors carte mère différente de celui à 16Gb de RAM. LA différence n'étant apparemment que sur les slots prévus pour héberger les cartes mémoires. Donc si tu veux passer à 16Gb, il faut changer la carte mère. Merci qui ? Merci HP !!!!
Mémoire | Mémoire maximale | Jusqu'à : 4 Go 1333 MHz DDR3 SDRAM
Extensible à 16 Go | Logements pour la mémoire | 2 ou 4 logements SODIMM prenant en charge la mémoire double canal |
Tout d'abord, que ne fut pas ma surprise lorsque j'ai tenté de configurer les options de virtualisation …. Oui il faut activer un mot de passe BIOS pour activer certaines fonctions virtuelles, ok soit. Je saisis mon mot de passe actuel et le confirme …. Depuis je ne plus accéder au BIOS car il refuse mon mot de passe. J'ai essayé de le saisir en QWERTY (au cas où) etc… rien n'y fait, mon BIOS est définitivement bloqué. Comme en plus j'avais changé l'ordre de démarrage, je suis obligé à chaque démarrage de presser F9 pour indiquer d'utiliser mon disque interne comme lecteur de boot L. Après un appel au support HP pour trouver une solution (j'ai tenté de retirer la pile CMOS, la batterie, … mais sans succès). La réponse a été tout simplement : « Il faut changer la carte mère Mr Giraud ». Non non, ce n'est pas une blague. Bravo HP, comme quoi on a beau se plaindre de Dell, mais il était pas mal mon Latitude E6500 finalement J Alors cela peut rejoindre mon idée précédente concernant les 16Gb de RAM, est-ce que HP m'autoriserai à me remplacer ma carte mère actuelle avec une autre possédant deux bouts de plastique supplémentaires afin d'héberger 4 slots mémoire ? si oui, qu'ils n'hésitent pas à me contacter J
Bon je ne vais pas me lamenter sur un BIOS et changer ma carte mère maintenant, je verrais plus tard. Je me penche donc sur le lecteur d'empreintes et le logiciel de gestion intégré de sécurité : HP ProtectTools. J'essaye donc d'enrôler mon doigt depuis 20mn désormais … J'abandonne J Je viens d'enregistrer 173 fois d'affilé mon doigt (l'annulaire, peut-être qu'avec le majeur il appréciera mieuxJ), et j'ai une erreur toutes les 3 tentatives. Donc à mon avis l'outil valide l'enrôlement dès qu'il en a un certain nombre d'enrôlements avec succès consécutivement, mais ne semble pas le faire correctement... trop sensible ? Par ailleurs j'ai essayé mes SmartCard de la Java, à la .Net et la .Net v2 etc... .tous les modèles en ma possession (et nombreux sont-ils). Il n'en détecte aucune ! Impossible donc d'exploiter cet outil correctement.
Bon globalement le pc est certes performant, mais faîtes bien attention à certains points spécifiques. Je vais continuer à le triturer logiciellement et matériellement dans le futur, car il devient malgré tout mon nouveau compagnon quotidien et surtout mon outil de travail donc je n'hésiterai pas soit à continuer de l'enfoncer et vous le déconseiller ou peut-être vous le conseiller si il répond aux besoins et devient plus souple que je le pense. 11/08/2010 
Ce sera donc nos deux chers experts internationaux Ran Dolev et Erez Ben Ari qui vont nous mettre à disposition d'ici peu le premier ouvrage sur Microsoft Forefront UAG 2010. Ca envoyer du très lourd car Ran Dolev travailler sur la technologie VPN SSL depuis le début avec Whale Communication et leur produit eGap, puis lors du rachat de Microsoft avec IAG et maintenant UAG et ce depuis 12 ans en Israël. Il a été longtemps développeur sur le produit, donc c'est pour dire qu'il le connaît très bien. Quant à Erez, il a rejoint Microsoft en Israël en 2000 pour travailler au centre de développement de Microsoft ISA Server en tant qu'ingénieur. Intéressé ensuite par IAG et maintenant UAG, Erez s'est spécialisé dans le troubleshooting et est devenu maintenant un ingénieur sénior au support clientèle Microsoft aux Etats-Unis. Qui mieux que Erez peut réparer ton UAG … presque personne ! Donc voilà pour les présentations, l'ouvrage est donc très prometteur aux vue de l'expérience de deux auteurs.
L'ouvrage peut être déjà visualisé en version électronique (eBook) pour moins de 20€. Pour l'instant les trois premiers chapitres sont disponibles, et le reste de l'ouvrage le sera pour Septembre 2010. Il est également possible de le prendre en eBook pour l'instant et de lire les chapitres en eBook et de recevoir l'ouvrage quand ce dernier est terminé. Actuellement une remise de 40% est offerte, ce qui donne 42€ pour l'eBook et la version imprimée.
Voilà les chapitres que contient cet ouvrage et les dates de disponibilités :
N° chapitre | Titre | Disponibilité | 1 | Planning your deployment | IN THE BOOK | 2 | Installation | IN THE BOOK | 3 | Trunk types and uses | IN THE BOOK | 4 | Publishing Web Applications | AUGUST 2010 | 5 | Advanced Applications and Remote Connectivity technologies | AUGUST 2010 | 6 | Authenticating and controlling access | AUGUST 2010 | 7 | Configuring and using Clients | AUGUST 2010 | 8 | Endpoint Management | SEPTEMBER 2010 | 9 | Server Maintenance and upkeep | SEPTEMBER 2010 | 10 | Advanced Configuration options and improvements | SEPTEMBER 2010 | 11 | Direct Access concepts and configuration | SEPTEMBER 2010 | 12 | Troubleshooting servers and clients | SEPTEMBER 2010 |
Le nom exact de cet ouvrage est « Microsoft Forefront UAG 2010 Administrator's Handbook: RAW » et sera en version anglaise uniquement. Il est disponible à la vente et avec de plus amples informations sur ce site : https://www.packtpub.com/microsoft-forefront-uag-2010-administrators-handbook/book
Je vous invite à chacun d'entre vous qui n'ont pas de problèmes avec la langue de Shakespeare et que vous soyez intéressé ou déjà initié avec des technologies de publication web, de sécurisation périmétrique, de nomadisme, … et aussi de parler de DIrectAccess ; alors cet ouvrage est fait pour vous ou pour un de vos collègues ;) 10/08/2010
Aujourd'hui je vais enfin m'intéresser à la nouvelle solution antivirale pour stations et serveurs. Microsoft Forefront Endpoint Protection 2010 sera la nouvelle version qui remplace Forefront Client Security. Avant de rentrer dans les détails de configuration, nous allons déjà voir son installation. Ici je vais me baser sur la version CTP2. Cela devra être très proche de la version RTM qui arrivera en fin d'année, mais cela nous donnera déjà une idée.
Tout d'abord, je tiens à préciser que cela demande beaucoup de patience et de précision quant à l'installation de tous les prérequis. Ici dans ce billet, je vais utiliser comme système hôte un serveur Windows 2008 R2. Tous les logiciels utilisés ici sont en anglais.
L'installation décrite ici concerne une installation basique, dite mono serveur. C'est-à-dire que le serveur FEP hébergera tous les rôles (SQL, SCCM, Reporting, WSUS, …). Par ailleurs, il n'y a aucune sécurisation et bonnes pratiques utilisés car j'utilise systématiquement l'administrateur du domaine pour réaliser mes actions. Ce billet est donc juste une découverte du produit et vous permettre de l'installer dans votre lab afin d'approfondir les possibilités du produit.
Qu'est-ce qu'il vous faut en logiciel :
- Microsoft SQL Server 2008 SP1
- Microsoft System Center Configuration Manager 2007 avec SP2
- Microsoft System Center Configuration Manager 2007 R2
- Microsoft Windows Software Update Server 2.0 avec SP2
- Microsoft Report Viewer 2008 SP1
… rien que ça J
Ensuite au niveau infrastructure vous devez vous assurer d'avoir :
- Une architecture Active Directory
- Une infrastructure de clé publique (PKI) en mode entreprise
- Un accès Internet
Pour l'installation de Forefront Endpoint Protection 2010, l'installation se déroulera en plusieurs étapes sur un serveur membre du domaine avec au moins 2Gb de RAM et 60Gb de disque :
- Installation et configuration de Microsoft SQL
- Installation et configuration de WSUS
- Installation et configuration de SCCM
1 – Installation SQL
Lors de l'installation de Microsoft SQL Server 2008, un message d'avertissement de compatibilité vous sera notifié. Vous pouvez l'ignorer et continuer. Il indique juste de bien penser à installer le Service Pack 1 ultérieurement. L'installation de Microsoft SQL Server 2008 doit comprendre les composants suivants : Database Engine Services, Analysys Services, Reporting Services et Management Tools.
Il ne faut pas nommer l'instance SQL, car la version actuelle de FEP ne prend pas encore en charge les instances nommées (cela concernant notamment le reporting de SQL sous peine de presque tout réinstaller.. ne rigolez pas cela m'est arrivéJ)
Utilisez le compte Local System et un démarrage automatique pour tous les services SQL (sous peine d'avoir plein d'erreurs plus tard, et de devoir régénérer les clés d'encryptions pour SQL Report Server … ne pas rire cela m'est aussi arrivé J)
Ajouter le compte administrateur (Add Current User) en tant qu'administrateur SQL
Idem à l'action précédente
Utiliser une configuration native des services de rapports SQL
Pour finir, appliquer le Service Pack 1 de SQL 2008 : http://www.microsoft.com/downloads/details.aspx?FamilyID=66ab3dbb-bf3e-4f46-9559-ccc6a4f9dc19&displaylang=en
2 – Installation SCCM
L'installation de SCCM 2007 R2, nécessite d'abord l'installation de la version non R2. De plus certains prérequis sont à prendre en compte. 2.1 Configuration PKI
Au niveau de votre AC, se rendre dans les modèles de certificats et dupliquer le modèle « Computer ».
Utilisez le niveau Windows 2003
Indiquez le nom de modèle : « ConfigMgr Site Server Signing Certificate »
Dans l'onglet « Issuance Requirements », cochez la case « CA certificate manager approval »
Dans l'onglet « Subject Name », cochez l'option « Supply in the request »
Au niveau des stratégies (onglet Extensions), éditez « Application Policies » et supprimer toutes les extensions (client/server authentication) et ajouter uniquement « Document Signing »
Ajoutez à présent le certificat dans les modèles à publier
2.2 Certificat SCCM
A présent il va nous falloir le certificat de site pour le serveur SCCM. Un site doit être déclaré dans SCCM composé d'un code de 3 caractères. Dans mon cas j'utilise « FEP ». Pour cela, directement depuis le serveur SCCM, ouvrez le notepad et y indiquez ceci :
[NewRequest]
Subject = "CN=The site code of this site server is <site-code>"
MachineKeySet = True
[RequestAttributes]
CertificateTemplate = ConfigMgrSiteServerSigningCertificate
Remplacez <site-code> par votre code site. Vous pouvez enregistrer le fichier sous le nom sitesigning.inf Dans mon cas cela donne ceci :
Ensuite, depuis l'interpréteur de commande on va effectuer deux commandes pour transformer le modèle en requête puis le soumettre à l'AC en ligne :
certreq –new sitesigning.inf sitesigning.req
treq –submit sitesigning.req sitesigning.cer
Au niveau de l'AC, il ne reste plus qu'à valider l'émission du certificat (pensez à noter le n° de la Request ID)
Revenir sur le serveur SCCM et complétez ces deux commandes en indiquant le n° de la Request ID relevé précédemment (remplacez le 23 dans mon cas)
certreq –retrieve 23 sitesigning.cer
certreq –accept sitesigning.cer
2.3 D'autres prérequis !
Extension de schéma
Depuis les sources SCCM, exécutez EXTADSCH pour étendre le schéma AD
Installation IIS
L'installation de IIS se fait depuis l'ajout de rôles
Bien indiquez les fonctionnalités suivantes :
Ensuite il faut configurer WebDav, pour ceux qui sont en Windows 2008 (IIS7.0) se rendre ici pour le téléchargement des composants : http://go.microsoft.com/fwlink/?LinkId=108052
Mais pour IIS 7.5 (W2K8 R2), rajoutez cette fonctionnalité dans IIS :
Ensuite se rendre dans le gestionnaire IIS
Active WebDAV
Ajoutez une règle
Certificat Web SSL
Vous pouvez profiter à ce niveau ayant la PKI et le gestionnaire IIS de générer votre certificat web SSL pour le serveur FEP. Pensez à bien indiquer son nom FQDN. Je n'explique pas ici comment réaliser cette action, qui devient maintenant de plus en plus commune. Cependant, vous pouvez vous appuyer sur un de mes précédents billets qui expliquent les grandes lignes : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=60
Installation WSUS
Téléchargement :
Il faut télécharger la dernière version de WSUS, actuellement c'est la WSUS 3.0 SP2 : http://www.microsoft.com/downloads/details.aspx?FamilyId=a206ae20-2695-436c-9578-3403a7d46e40&displaylang=en
Il faut télécharger également Microsoft Report Viewer 2008 SP1 Redistributable: http://www.microsoft.com/downloads/details.aspx?familyid=BB196D5D-76C2-4A0E-9458-267D22B6AAC6&displaylang=en
Installation :
L'installation de MS Report Viewer ne demande aucune configuration particulière (Next, Next, … Finish !)
Ensuite on installe WSUS
Indiquez de stocker localement les mises à jours
Utilisez l'instance SQL existante
Il ne faut pas modifier le site web par défaut qui est déjà utilisé, donc utilisez un site dédié
Au niveau des catégories, ne sélectionnez que Forefront Endpoint Protection 2010
Puis les classifications suivantes
2.4 Installation SCCM, enfin !
Maintenant tous les prérequis sont installés et configurés pour l'installation de SCCM. Il faut donc insérer le média de SCCM 2007 avec SP2 (pas le R2) et lancez le setup automatique
Utilisez une configuration personnalisée
Indiquez l'installation en tant que site primaire
Indiquez bien le bon code de site (en fonction du certificat que vous avez installé précédemment)
Vous pourrez donc utiliser le mode natif si et seulement si le certificat est correct
N'utilisez que les options suivantes (Software Inventory, Hardware Inventory, Desired configuration management)
Indiquez l'instance SQL
Indiquez le nom du serveur (par défaut)
Par défaut …
Utilisez le SSL
Laissez le programme acquérir les mises à jour depuis Internet
Indiquez un dossier local
Patientez pendant le téléchargement
Un dernier test de prérequis sera effectué par l'assistant avant de lancer l'installation définitive de SCCM
Et voilà SCCM 2007 est installé !
2.5 Installation de SCCM 2007 R2
Et on continue avec la mise à jour R2 de SCCM. Pour cela on insère le média et hop Next et … Finish ! Bon là c'était facile !
Redémarrez le serveur avant de continuer.
3 - Installation Forefront Endpoint Protection 2010 Server
Alors voilà enfin le cœur du sujet du billet, mais on s'aperçoit que les prérequis sont nombreux et important … de plus j'espère que vous avez dimensionné correctement le serveur (mémoire notamment) car SQL et SCCM utilise déjà pas mal de ressources … et là on continue dans l'installation !
3.1 Quelques vérifications avant de se lancer dans la dernière ligne droite
Pensez-bien à mettre à jour le serveur et le configurer en Microsoft Update.
Bien désinstaller les agents FCS ou FEP (voir autres AV) avant de poursuivre l'installation. Dans le cas d'un échec d'installation et donc en cours de réinstallation supprimez le dossier « C:\Program Files\Microsoft Forefront ».
3.2 Passons à présent à l'installation de FEP 2010 Server
On va donc utiliser le média FEP et se rendre dans la partie x64 (dossier amd64 sur le CD) et lancer serversetup.exe. Indiquez d'installer une topologie basique avec un service de rapport distant (car on a une instance nommée SQL L .. surement encore une correction à venir dans les versions suivantes)
Indiquez les informations de votre instance SQL et pensez à bien vérifier l'url de Reporting et la mettre en SSL (il vous faudra configurer IIS pour utiliser SSL)
Next … (ça change J)
Le seul avertissement indique que SQL n'utilise pas de connexion crypté … à évaluer lors d'un prochain billet
Veuillez patienter pendant l'installation, jusqu'à qu'un joli message vous indique que tout est OK
Dans les prochains billets, nous verrons la configuration, le déploiement, la gestion, les mises à jours, les politiques de sécurité, … enfin tout quoi J
Quelques sources :
08/08/2010
Avec Microsoft Forefront UAG, l'avantage est de pouvoir personnaliser le produit tel qu'on le souhaite. On peut donc mettre en œuvre des pages personnalisées pour apporter des modifications visuelles ou fonctionnelles. Encore faut-il savoir comment manipuler les fichiers, les variables et surtout respecter le une méthodologie précises sous peine de de ne plus être supportée, voire de perdre toutes les personnalisations lors de l'application de mises à jour.
A travers ce billet, je vais vous donner quelques exemples concernant les variables de stratégies de conformité. Cela peut s'avérer très utile si vous souhaitez appliquer des scripts personnalisés sur des applications ou sur le comportement en fonction de l'état de santé ou applicative du poste client.
Si vous souhaitez connaître toutes les variables de stratégie de conformité, vous pouvez les lister avec ce bout de code à inclure dans un fichier .inc :
<%
set varlstRes = GetSessionParamsByType(g_cookie,"Policy")
For Each param in varlstRes.ParamVec
Response.Write param.Name & ": " & param.Value & "<br>"
Next
%> |
Il est possible dans cette boule for/next, d'évaluer une condition en fonction du nom de la variable de stratégie, comme par exemple :
<%
set varlstRes = GetSessionParamsByType(g_cookie,"Policy")
For Each param in varlstRes.ParamVec
if param.Name = "Any_WMI_Anti_Virus" then
Response.Write (param.Value)
end if
Next
%> |
Si vous souhaitez ne récupérer qu'une information spécifique de ce tableau, alors il faudra connaître l'index (le n° de la ligne, vous pouvez le trouver à l'aide du premier script) et utiliser ce petit bout de code :
<%
set varlstRes = GetSessionParamsByType(g_cookie,"Policy")
Param_Vec = varlstRes.ParamVec
valeur = param_vec(1).Value
nom = param_vec(1).Name
%> |
Voir même tout simplement, en utilisant le nom exact mais le résultat ne sera pas sous la forme d'un tableau :
<%
varlstRes = GetSessionParam(g_cookie,"Any_WMI_Anti_Virus")
Response.write ("AV : "& varlstRes)
%> |
Et voilà un script qui reprendrait tous les précédents points, il peut vous aider à chercher une information particulière afin d'affiner au mieux votre script :
</br><TABLE>
<%
set varlstRes = GetSessionParamsByType(g_cookie,"Policy")
int a = 0
For Each param in varlstRes.ParamVec
%><TR><TD><% Response.Write a %></TD>
<TD><% Response.Write param.Name %></TD>
<TD><% Response.Write param.Value %></TD></TR><%
a = a + 1
Next
set varlstRes = Nothing
%>
</TABLE></br>
<%
set varlstRes = GetSessionParamsByType(g_cookie,"Policy")
For Each param in varlstRes.ParamVec
if param.Name = "Any_WMI_Anti_Virus" then
Response.Write ("AV : "& param.Value)
end if
Next
set varlstRes = Nothing
%>
</br>
<%
set varlstRes = GetSessionParamsByType(g_cookie,"Policy")
Param_Vec = varlstRes.ParamVec
valeur = param_vec(1).Value
nom = param_vec(1).Name
Response.Write (nom &" : "& valeur)
set varlstRes = Nothing
%>
</br>
<%
varlstRes = GetSessionParam(g_cookie,"Any_WMI_Anti_Virus")
Response.write ("AV : "& varlstRes)
set varlstRes = Nothing
%>
</br> |
Le résultat HTML donnerait ceci :
03/08/2010
Avec Microsoft IAG 2007, il était possible de créer un « basic trunk » qui permettait notamment de publier des sites de manière très simple à la sauce « ISA ». Lors des maquettes, cette fonction était largement utilisée surtout pour publier la CRL de notre CA interne. Avec Microsoft Forefront UAG cette fonction de publication a été supprimée. Car l'accès à la CRL est parfois obligatoire pour les clients externes suivant les modes d'authentification, d'utilisation, ou encore d'autres scénarios en tout genre.
Pour contourner ceci, je recommande l'utilisation d'un serveur « externe » qui pourra faire office de serveur DNS et PKI. J'utilise dans mon cas un bon vieux Windows 2003 avec 64Mb de RAM seulement, ce qui n'impacte pas les performances. Cela me permet d'y générer mes certificats serveurs publics (de type Verisign, etc…) et même de serveur DNS public. Je lui aie même rajouté la fonction de DHCP afin que mes clients virtuels « externes » obtiennent une adresse IP publique usurpé et contacte le serveur DNS pour connaître les ressources. Cela me permet donc même de simuler en fait un pseudo internet, même sans avoir Internet (idéal lorsque vous travaillez dans le TGV, …). Pour aller un peu plus loin, avec un IIS vous pouvez même simuler le NCSI (on verra ça dans un autre article ultérieurement).
Grossièrement cela donne ceci :
Et maintenant pour ceux qui continuent à ne pas créer une infrastructure virtuelle pour simuler un Internet complet, Tom Shinder (alias EdgeMan) a publié un article complet afin de permettre de publier la CRL avec Microsoft Forefront UAG. Inutile de le réexpliquer ici, car son billet est très complet et accompagné d'impressions écran complètes : http://blogs.technet.com/b/tomshinder/archive/2010/08/03/how-to-configure-uag-to-publish-your-private-certificate-revocation-list.aspx
02/07/2010J'avais déjà rédigé un article sur l'explication concernant la suppression d'un périphérique désactivée. Cette action était notamment utile lorsque l'on remplace une carte réseau sans avoir libérer l'adresse IP pour avoir un message indiquant que l'adresse IP est déjà assignée par une autre carte réseau. Voir mon article ici : http://www.alexgiraud.net/blog/Lists/Categories/Category.aspx?Name=Windows%207
En effet, suite à un remarque d'un internaute cela ne fonctionne pas tout à fait pareil avec Windows Vista, Windows 7 ou encore Windows 2008. Il faut tout simplement élever le niveau de privilèges pour les commandes saisies.
Ensuite vous pouvez saisir les commandes normalement, comme expliquée dans mon précédent article
Vous verrez maintenant les cartes réseaux débranchées après avoir activé la vue des périphériques cachés
  Un rollup pour Forefront Protection 2010 for Exchange Server est disponible en téléchargement. Il comprend 23 corrections, qui sont détaillés dans l'article de la base de connaissance Microsoft KB2181692 : http://support.microsoft.com/kb/2181692
Le package est à télécharger directement depuis la KB, en effectuant la demande située en haut à gauche.
 24/06/2010
6 mois déjà que Microsoft Forefront TMG, le successeur de Microsoft ISA Server 2006, et les développeurs viennent de nous livrer le premier service Pack du produit. Le service Pack est téléchargeable à cette adresse : Microsoft Forefront TMG SP1 Download
Alors qu'apporte comme nouveauté ce nouveau service Pack :
- Améliorations sur les rapports
- Améliorations sur la gestion des catégories d'url
- Prise en charge des scénarios Branch Office
- Supporte la publication de SharePoint 2010
C'est surtout que maintenant il est possible de permettre aux utilisateurs d'outrepasser une mauvaise gestion de catégorisation url. Scénario idéale lors de la mise en œuvre de cette nouvelle fonctionnalité au sein d'une entreprise qui en était dépourvue jusqu'à présent.
Pour tous les détails techniques concernant les nouveautés se rendre sur :
Et pour l'installation, sur le site Technet : http://technet.microsoft.com/en-us/library/ff717843.aspx
Bonne install ;) 23/06/2010
Je me suis rendu compte récemment que si j'ai un compte utilisateur qui dispose d'un mot de passe trop long (>20 caractères) UAG fait une erreur d'authentification.
Par exemple, ici je tente de passer une authentification sur le compte alexandre avec un mot de passe 123456789012345678901234567890 , ce qui lui fait une longueur de 30 caractères.
Avec HttpWatch je regarde la valeur POST. Cette dernière a été tronqué à 20 caractères.
En fait c'est une fonctionnalité du produit, c'est donc une erreur normale. Pour permettre à UAG d'utiliser des mots de passe avec une longueur supérieur à 20 caractères, il suffit de copier le fichier C:\Program Files\Microsoft Forefront Unified Access Gateway\von\InternalSite\inc\customDefault.inc dans le dossier : C:\Program Files\Microsoft Forefront Unified Access Gateway\von\InternalSite\inc\CustomUpdate. Ensuite il faut l'éditer comme ceci :
Il faut donc indiquer dans le fichier la modification de la variable PasswordLimit, qui par défaut est à 20 vers une valeur supérieure. Pour finir, activez la configuration !
Vous trouverez des informations officielles sur ce site : http://technet.microsoft.com/en-us/library/ff607319.aspx
18/06/2010
Sur un de mes labs virtuels, j'ai rencontré une erreur lors d'une tentative de mise à jour UAG avec l'Update 1.
Voir le billet sur UAG Update 1 : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=131
Le message d'erreur indique : « Microsoft Forefront UAG Update 1 Setup Wizard ended prematurely »
Au niveau de mon journal d'évènements, j'ai un code d'erreur Windows Installer 1603 :
L'emplacement du fichier de log est indiqué dans le détail de l'erreur, je vais donc le localiser :
Il suffit de faire une recherche dans ce fichier contenant la chaîne de caractère suivante « UAG CA: Error ». Voilà ce que dit le fichier de log :
Lors de la tentative de la création d'un package de type Windows Cabinet, l'étape échoue sans trop donner de détails … L L'erreur complète est :
UAG CA: Error: Caught error (will rethrow after rollback): Microsoft.UAG.Transformer.Util.CabinetException: Failed to create cabinet.
at Microsoft.UAG.Transformer.Util.CabUtil.MakeCab(String sourcePath, String searchPath, String cabinetPath)
at Microsoft.UAG.Transformer.Core.PersistanceGateway.SaveConfigurationIntoStorage()
at Microsoft.UAG.Transformer.Core.PersistanceGateway.Commit()
at Microsoft.UAG.Transformer.Core.SchemaConversionRuntime.Run() |
J'ai donc procédé à de nombreuses petites corrections, comme m'assurer que NLA (Network Location Awareness) est fonctionnel (voir billet : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=130 ), j'ai également tenté en désactivant l'UAC, lancer la mise à jour en tant qu'administrateur et même vérifié Windows Update :
Avec toutes ces mises à jours oubliées, je pensais que cela était un début de solution bien que sans explications ; hélas ce ne change rien après l'application des patchs et le redémarrage du système. J'ai ensuite tenté une réparation de Microsoft Forefront UAG à l'aide du composant ajout/suppression de programmes
Et là encore, rien n'y fait. L'installation de cette mise à jour ne peut être effectuée avec succès … Mon idée est de rendre plus « verbeux » le journal de log Windows installer pour mieux détecter la raison de cette erreur. Pour cela je saisis la commande suivante dans un interprète de commande MS-Dos : « msiexec /p ForefrontUAG_KB981323_ENU.msp /lv c:\log.log ». Cependant le log ne donne pas plus d'informations, cet update n'a peut-être pas été prévu pour être plus verbeux
Finalement, c'est en échangeant avec Ben Ari de Microsoft qu'il m'a mis sur la piste. Il avait déjà rencontré ce problème. Cela vient des fichiers de personnalisation (CustomUpdate) qui ne peuvent être sauvegardés dans un fichier cabinet (.cab) à l'aide des fonctions MakeCab.
J'ai donc sauvegardé et supprimé tous les fichiers de personnalisation situés dans les dossiers CustomUpdate.
Puis j'ai activé la configuration UAG depuis la console de gestion, un Reload de la configuration et une dernière activation.
Pour finir, un bon IISRESET et j'ai tenté de réinstaller l'Update 1 … et cette fois-ci avec succès !
Sur un de mes labs virtuels, j'ai rencontré une erreur lors d'une tentative de mise à jour UAG avec l'Update 1.
Voir le billet sur UAG Update 1 : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=131
Le message d'erreur indique : « Microsoft Forefront UAG Update 1 Setup Wizard ended prematurely »
Au niveau de mon journal d'évènements, j'ai un code d'erreur Windows Installer 1603 :
L'emplacement du fichier de log est indiqué dans le détail de l'erreur, je vais donc le localiser :
Il suffit de faire une recherche dans ce fichier contenant la chaîne de caractère suivante « UAG CA: Error ». Voilà ce que dit le fichier de log :
Lors de la tentative de la création d'un package de type Windows Cabinet, l'étape échoue sans trop donner de détails … L L'erreur complète est :
UAG CA: Error: Caught error (will rethrow after rollback): Microsoft.UAG.Transformer.Util.CabinetException: Failed to create cabinet.
at Microsoft.UAG.Transformer.Util.CabUtil.MakeCab(String sourcePath, String searchPath, String cabinetPath)
at Microsoft.UAG.Transformer.Core.PersistanceGateway.SaveConfigurationIntoStorage()
at Microsoft.UAG.Transformer.Core.PersistanceGateway.Commit()
at Microsoft.UAG.Transformer.Core.SchemaConversionRuntime.Run() |
J'ai donc procédé à de nombreuses petites corrections, comme m'assurer que NLA (Network Location Awareness) est fonctionnel (voir billet : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=130 ), j'ai également tenté en désactivant l'UAC, lancer la mise à jour en tant qu'administrateur et même vérifié Windows Update :
Avec toutes ces mises à jours oubliées, je pensais que cela était un début de solution bien que sans explications ; hélas ce ne change rien après l'application des patchs et le redémarrage du système. J'ai ensuite tenté une réparation de Microsoft Forefront UAG à l'aide du composant ajout/suppression de programmes
Et là encore, rien n'y fait. L'installation de cette mise à jour ne peut être effectuée avec succès … Mon idée est de rendre plus « verbeux » le journal de log Windows installer pour mieux détecter la raison de cette erreur. Pour cela je saisis la commande suivante dans un interprète de commande MS-Dos : « msiexec /p ForefrontUAG_KB981323_ENU.msp /lv c:\log.log ». Cependant le log ne donne pas plus d'informations, cet update n'a peut-être pas été prévu pour être plus verbeux
Donc c'est en échangeant avec Ben Ari de Microsoft, qui m'expliquait avoir déjà rencontré ce problème. En fait cela vient de la création d'un fichier cabinet de ces fichiers. Pour cela j'ai donc sauvegardé tous les fichiers situés dans les dossiers CustomUpdate.
Par exemple :
Ensuite j'ai sauvegardé la configuration UAG depuis la console de gestion, puis un reload et encore une activation de la configuration.
Après un bon IISRESET, j'ai tenté d'appliquer la mise à jour Update 1 ; et là succès !
|
|
|
|
|
|
|
|
 |
|
|
|
|