Archive for the ‘Security’ Category

Forefront TMG – HTTPS Inspection und CNG Zertifikate

Wednesday, May 7th, 2014

Hallo Leutz,

offiziell unterstuetzt Forefront TMG keine CNG Zertifikate:
http://technet.microsoft.com/de-de/library/ee796231.aspx#dfg9o9i8uuy6tre

Da im Rahmen des HeartBleed Bugs (http://de.wikipedia.org/wiki/Heartbleed), viele Webserver Betreiber ihren SSL-Zugang und  SSL-Zertifikate umgestellt haben und CNG Algorithmen wie SHA256 verwenden, hat die HTTPS Inspection in TMG immer haeufiger Probleme mit aktuellen Webserver-Zertifikaten.
Christian Schulenburg (http://www.blog-schulenburg.de) hat mir vor kurzem eine Anfrage zu dem Thema gestellt und ich habe geantwortet, dass TMG kein CNG unterstuetzt. Christian hat recherchiert und dabei folgendes gefunden:
http://social.technet.microsoft.com/forums/forefront/en-US/d9fe04ac-4bc7-4a33-8cb1-fc840a979c8c/httpsinspect-with-staat-der-nederlanden-root-ca-g2
In dem Thread wird auf  ein zu erstellendes PowerShell-Script verwiesen, was ein custom CNG Zertifikat erstellt und von TMG verwendet werden kann. Christian konnte dieses Zertifikat auch erfolgreich bei dem TMG Server seiner Firma verwenden, ich konnte noch keine Tests durchfuehren.

Gruss Marc

Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Administrative Sicherheit und Ueberwachungsfunktionen in Exchange Server 2013

Thursday, May 1st, 2014

Hallo Leutz,

fuer die Mai 2014 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Administrative Sicherheit und Ueberwachungsfunktionen in Exchange Server 2013 geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Austausch eines selbstsignierten Remote Desktop Connection Zertifikats in Windows Server 2012 R2

Saturday, April 19th, 2014

Hallo Leutz,

Windows Server 2012 R2 verwendet fuer die Remote Desktop Connection ein selbst signiertes Zertifikat.
Anders als bei Windows Server 2008 R2 gibt es die MMC TSCONFIG.MSC in Windows Server 2012 / R2 nicht mehr.
Wie also das Zertifikat auf einem Server austauschen, ohne ueber den Server Manager ein Remote Desktop Services Deployment durch zu fuehren?
Die Loesung heisst per WMIC oder Powershell das alte Zertifikat und den Thumbprint zu ermitteln, ein neues Zertifikat anzufordern, mit privaten Schluessel zu exportieren und anschliessend per WMIC wieder an die RDS-Dienste zu binden.

Wie das geht, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/RDS-2012R2-SelfSignedCertificate.pdf

Gruss Marc

NVGRE Gateway mit SCVMM 2012 R2 und Windows Server 2012 R2

Monday, March 31st, 2014

Hallo Leutz,

am Wochenende hatte ich im Rahmen eines ASWE mit meinem Freund und Kollegen Holger Voges die Gelegenheit, ein NVGRE Gateway mit Hyper-V 2012 R2 und SCVMM 2012 R2 einzurichten.
Orientiert haben wir uns an der sehr guten Anleitung: http://gallery.technet.microsoft.com/Hybrid-Cloud-with-NVGRE-aa6e1e9a
Daraus ist dann folgendes Bilderbuch entstanden:http://www.it-training-grote.de/download/NVGRE-SCVMM2012R2.pdf

Gruss Marc

Exchange Server 2007 zu 2013 Migration – Legacy URL Probleme ueber Forefront TMG

Saturday, March 29th, 2014

Hallo Leutz,

im Rahmen einer Exchange 2007 zu 2013 Migration mussten wir den Forefront TMG Server anpassen, dass Outlook Web Access Benutzer sowohl auf Exchange 2007 als auch Exchange 2013 Mailboxen zugreifen koennen.
Dazu wurden in der Exchange Server Umgebung die entsprechenden internen/externen URL / SCP angepasst.
Nach der Anpassung hatten OWA User aus dem Internet aber das Problem, dass ein Exchange 2007 User nicht korrekt ueber die Legacy URL redirected wurde und sich in einer Endlosschleife befand. Im Forefront TMG kam die Meldung “302 Moved Temporarily”.
Wie man das Problem loesen kann, steht in diesem Bilderbuch:
http://www.it-training-grote.de/download/EX2013-Migration-LegacyURL-TMG.pdf

Gruss Marc

Entrust.net Secure Server Certification Authority Probleme mit RSA Key kleiner als 2.048 Bit

Tuesday, March 18th, 2014

Hallo Leutz,

bei einem Kunden wurden fuer die Exchange Server Zertifikate von Entrust verwendet. Seit einigen Tagen haeufen sich bei diversen Clients die Fehlermeldungen, dass die Outlook Web App Seite nicht mehr per HTTPS erreicht werden kann. Es erscheint die Meldung “Die Webseite kann nicht angezeigt werden”, welche auf den ersten Blick vermuten laesst, der IIS stellt kein Socket mehr auf Port 443 zur Verfuegung, was aber nicht der Fall ist, da das Problem nur an vereinzelten Clients auftaucht. Nach einiger Recherchen habe ich festgestellt, dass Entrust (Comodo) die Ausstellung von RSA Schluesseln kleiner als 2.048 Bit fuer eigene Zertifizierungsstellen (Root und Intermediate) gesperrt hat. Wie man die Ursache des Problems ermitteln und eine Loesung schaffen kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/Entrust-RootCA.pdf

Gruss Marc

Sharepoint Server 2013 und anspruchsbasierte Authentifizierung – Aufloesung von Gruppen SID

Friday, January 31st, 2014

Hallo Leutz,

Bei einem Kunden wurden Sharepoint Server 2013 implementiert und spezielle Applikationen eingerichtet, welche die anspruchsbasierte (Claims based Authentication) verwenden. Die Administratoren haben festgestellt, dass man in der Sharepoint Applikation nur Benutzer, aber keine Benutzergruppen berechtigen kann. Wenn statt Benutzer eine Benutzergruppe verwendet wird, erscheint eine Fehlermeldung, dass die entsprechende Anwendung / Funktion nicht aufgerufen werden kann. Ursache fuer das Problem sind neue SID in Windows Server 2012 Domaenen Controller Anmeldetoken mit denen die Sharepoint Applikation nicht klar kommt.

Wie wir das Problem geloest haben, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/Sharepoint-2013-Group-SID.pdf

Gruss Marc

Work Folders in WS 2012 R2

Monday, December 23rd, 2013

Hallo Leutz,

das folgende Bilderbuch zeigt die Konfiguration des Work Folder Features in WS 2012 R2 mit einem Windows 8.1 Client:
http://www.it-training-grote.de/download/WorkFolders-WS2012R2.pdf

Gruss Marc

Exchange Server 2013 Publishing mit Web Application Proxy in WS 2012 R2

Sunday, December 22nd, 2013

Hallo Leutz,

das folgende Bilderbuch zeigt das OWA Publishing von Exchange Server 2013 mit dem Web Application Proxy in WS 2012 R2 mit ADFS Preauthentication:
http://www.it-training-grote.de/download/WebApplicationProxy-EX2013.pdf

Gruss Marc

Important Changes to Forefront Product Roadmaps – Teil IV– Sophos UTM

Monday, December 16th, 2013

Hallo Leutz,

nach Teil I-III:
http://www.it-training-grote.de/blog/?p=5434
http://www.it-training-grote.de/blog/?p=5452
http://www.it-training-grote.de/blog/?p=5628
http://blog.forefront-tmg.de/?p=1076

jetzt eine weitere Ankuendigung:
http://www.sophos.com/de-de/products/unified/utm/tmg-replacement.aspx

Gruss Marc