Update von ISA Server 2004/2006 auf Forefront TMG

May 23, 2009

Zwar ist Forefront TMG noch Beta (RTM ist für Ende 2009 geplant), dennoch gibt es schon einiges, worüber wir sprechen/schreiben kõnnen.

Da TMG ja nur auf Windows Server 2008 laufen wird und ISA Server nur maximal Windows Server 2003 unterstützt, ist ein Inplace-Update logischerweise nicht machbar.

Microsoft plant aber einen Weg, um die 2004/2006er Konfiguration in TMG importieren zu koennen:

Another common concern was the upgrade story from ISA 2004/2006 to TMG. We definitely will be providing a clear path for you. Obviously, TMG will only support Windows Server 2008 and Windows Server 2008 R2 64-bit as the operating system. With that said, you will be export your rules and configurations from ISA and then import them on a clean installation of TMG. I hope that alleviates any concerns you might have in the portability of the rules and policies you know and love in your environments today. (TMG Team-Blog)

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


ISA/TMG Best Practices Analyzer Version 7

May 7, 2009

Die nächste Version des ISA BPA ist verfügbar. Ein BPA hilft, die aktuelle Konfiguration gegen die empfohlenen Einstellungen von Microsoft zu prüfen.

Folgende ISA/TMG-Versionen werden unterstützt:

  • ISA Server 2004 Standard Edition
  • ISA Server 2004 Standard Edition with Service Pack 1
  • ISA Server 2004 Standard Edition with Service Pack 2
  • ISA Server 2004 Enterprise Edition with Service Pack 2
  • ISA Server 2004 Standard Edition with Service Pack 3
  • ISA Server 2004 Enterprise Edition with Service Pack 3
  • ISA Server 2006 Standard Edition
  • ISA Server 2006 Enterprise Edition
  • Forefront Threat Management Gateway (TMG), Medium Business Edition
  • Forefront Threat Management Gateway (TMG) Beta

Weitere Informationen:

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


MS09-012 und ISA Server Standard Edition 14109 Fehler

April 19, 2009

Es gibt Berichte, dass in einigen Fällen bei ISA Server (2004/2006) Standard Edition nach dem Einspielen des Sicherheitsupdates von letzter Woche ein Fehler beim Neustart auftritt.

Aufgrund der an Microsoft berichteten Probleme lässt sich derzeit folgendes feststellen:

The error message observed in this circumstance is: "Event ID 14109 (The ISA Server Standard Edition cannot run. Either the server is using more than 4 processors….)."

1. this specific problem only affects ISA Server Standard Edition and only when it’s running on a computer that has a total of more than 4 CPU cores.
2. this issue does not affect Forefront TMG (MBE)

Jim Harrison vom Forefront-Team hat dazu einen Blogeintrag mit einem Workaround veröffentlicht.

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


MS09-16: Security Bulletin mit Sicherheitsupdates fuer ISA und TMG

April 15, 2009

Wie bereits am Wochenende vorangekündigt, gab es gestern zum April-Patchday auch Updates für ISA und TMG. Zur Info, die letzten Sicherheitsupdates für ein ISA-Produkt gab es vor ca. 4 Jahren.

Weitere Informationen:

Hier geht es zu den Downloadmöglichkeiten der Updates (die aber auch bereits über MU und WSUS erhältlich sind):

Bislang habe ich in den Mailinglisten etc. noch von keinen Problemen bei der Updateinstallation gelesen.

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


Microsoft Security Bulletin Advance Notification for April 2009 und Forefront-Produkte

April 11, 2009

Microsoft hat in der Vorabbenachrichtigung für den kommenden Patchday (14.04.2009) angekündigt, auch etwas für Forefront-Produkte dabei zu haben.

Konkret soll es um ISA Server 2004, 2006 und TMG MBE gehen.

Sobald ich nähere Informationen habe, werde ich hier wieder schreiben – ich denke, das wird am Dienstag sein.

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


ISA/TMG Updates zu MS08-037

November 11, 2008

Wer heute in den WSUS geschaut hat, wird Updates für alle ISA Server-Versionen gefunden haben.

These updates change ISA / TMG behavior such that the source port randomization applied by the MS08-037 update is re-applied across a NAT relationship. The details and application of each update are described in the related KB (there are some functional and installation differences between versions).

Es geht hier um DNS Verwundbarkeiten.

Ich hatte leider noch keine Zeit, mir die Updates genauer anzusehen, wollte euch aber schnellstmöglich mit den relevanten Informationen versorgen.

Weitere Informationen auch hier:

Wie gesagt, über WSUS sind die Updates schon erhältlich. Alternativ auch über Microsoft Update und das Download Center.

image

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


Windows Server 2008 DNS und WPAD

September 5, 2008

In den meisten Netzwerken, in denen ein ISA Server als Proxy Server dient, wird auch WPAD verwendet. Eine an sich einfache und gut funktionierende Methode. Ne Kleinigkeit im ISA einrichten und einen WPAD-Eintrag in der internen DNS-Zone setzen. Fertig. Bei Windows 2000 Server und Windows Server 2003 ist das wirklich einfach und schnell.

Wer jedoch einen Windows Server 2008 DNS-Server betreibt und nicht die dazugehörende Doku gelesen hat, wird feststellen, dass WPAD nicht mehr funktioniert, sobald der betreffende Client eben den 2008er DNS abfragt. Wenn man dann versucht, von diesem Client aus den WPAD zu pingen, bekommt man:

C:\Users\Administrator>ping wpad
Ping request could not find host wpad. Please check the name and try again.

Auch ein ping wpad.domain.tld schlägt fehl. OK, als nächstes wird man ein nslookup versuchen. Auch damit bekommt man mitgeteilt, dass wpad nicht existiert. Alles andere lässt sich pingen beziehungsweise auflösen. Ein Blick in den DNS-Server ergibt allerdings, dass da sehr wohl ein A-Record existiert.

Der Grund für die Nichtauflösbarkeit liegt am Windows Server 2008 DNS-Dienst und der Windows Server 2008 DNS block list:

Protocols such as WPAD use the DNS dynamic update feature, which enables DNS client computers to register and dynamically update resource records when clients change a network address or host name. The dynamic update feature makes clients vulnerable to hijacking. For example, a malicious user could register a computer as a WPAD server and direct all WPAD queries to it. No system administrator intervention is required.

The DNS Server role in Windows Server 2008 introduces a global query block list to reduce this vulnerability risk.

OK, also ein Sicherheitsfeature ;-)

Da in dem beschriebenen Fall aber WPAD benötigt wird, muss eine kleine Konfigurationsänderung am DNS Server vorgenommen werden. Man sollte das aber wirklich auch nur dann tun, wenn es nicht anders geht.

Folgende Kommandozeilenbefehle stehen auf dem entsprechenden Windows Server 2008 zur Verfügung:

dnscmd /info /enableglobalqueryblocklist

Damit kann der Status der block list überprüft werden. Ist das Ergebnis 1, ist die Liste aktiv.

dnscmd /info /globalqueryblocklist

Dieser Befehl zeigt die aktuellen Einträge der block list an. Standardmäßig sollte das Ergebnis wie folgt aussehen:

Query result:
String:  wpad
String:  isatap

Command completed successfully.

dnscmd /config /enableglobalqueryblocklist 0

Damit wird die block list deaktiviert.

Nach einer Änderung muss der DNS-Serverdienst neu gestartet werden.

Anschließend kann WPAD wieder wie gewohnt aufgelöst und vom Browser verwendet werden.

Diese Änderung muss an jedem DNS-Server vorgenommen werden, der WPAD-Informationen bereit hält. Sind in einem AD mehrere AD-DNS-Server vorhanden, müssen sie alle entsprechend behandelt werden. 

Weitere Informationen hierzu:

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


ISA Server Tool: MSDE Export

May 18, 2008

Auf www.isatools.org gibt es ein neues nützliches Script, um Logfiles aus einer MSDE-Datenbank von ISA Server zu exportieren.

How is this different from other similar tools?

  1. it uses SQL bulk copy (BCP), which is self-throtting (read: won’t choke your ISA)
  2. avoid the whole detach, copy, reattach (or delete) mess
  3. logs all activity to %windir%\temp\msde_bcp.wsf.log
  4. works in a standalone or array environment 6. provides self-debugging capability (only available via Jscript; VBscript isn’t nearly as self-aware).

Das beigefügte Readme liefert Beispiele und eine Hilfe.

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


Infos zur naechsten ISA Server Generation

April 9, 2008

Seit heute sind nun einige Informationen rund um die neu Forefront-Generation (Codename “Stirling”) verfügbar. Unter dem Arbeitstitel Forefront Threat Management Gateway (TMG) wird an der nächsten Version von ISA Server gearbeitet.

We have been very busy for the past year and we also have been fairly quiet on the messaging front of our plans. Well, the time is over, and I am excited to say that we can announce what we have been up to! Today we (publicly) announced our next-generation network security product, the Forefront Threat Management Gateway (TMG), a comprehensive network protection solution. Forefront TMG is the future version of the Microsoft Internet Security & Acceleration Server (ISA Server) and will extend the capabilities of ISA Server with new features and security technologies. I know many of you have loved and embraced the ISA Server name and brand for a long time – but it is time for new naming, new logos, blogs, books and of course new technology directions.

Forefront TMG will be available as both a standalone solution but also part of new integrated suites to be released in the future such as the Microsoft Windows Essential Business Server, the recently announced server solution designed for mid-sized companies due out later this year as well as the Forefront “Stirling” suite announced today, a unified protection solution that combines Forefront client, server, and edge security solutions with a single management and policy layer. A “first look” preview of Stirling Beta 1 was shown at RSA this week. It is also available for download.

Why am I so excited about this announcement? To begin, it is the first version of ISA Server that will fully support the Windows Vista and Server 2008 platforms. It also will natively support the 64-bit Windows Server platform which provides significant scalability and security capabilities to the Threat Management Gateway. The three other main areas of enhancement we are announcing today are the following:

  1. Multiple Threat Protection: We will enable numerous new protection technologies and capabilities, including integration of the Microsoft Anti-Virus Engine for protection against Internet-based malware and other threats. As part of Stirling, Forefront TMG will also include the “Dynamic Response” functionality to enable shared intelligence and response. This is a major step forward in how our customers rely upon the Microsoft gateway for protection and access to the Internet.
  2. Simplified Management: Forefront TMG will include new set-up wizards, improved management interface and enhanced reporting. As part of the Stirling suite, Forefront TMG will be part of the Stirling central visibility dashboard and policy control.
  3. Secure Connectivity: Forefront TMG will build on current ISA Server capability around secure Internet access and other connectivity features.

More details about the features in Forefront TMG will be available with the public beta scheduled for the second half of 2008. I wish I could share more details and plans now, but that will come with time. I promise to personally keep you updated as our plans and product evolve to keep you updated here. We really look forward to your feedback on our plans and our first beta. I am sure you will be as excited as we are in finally announcing this next generation of our network security product line. Stay tuned to this channel!

Da ich gerade in San Diego auf der Interact 2008 bin, fehlt mir die Zeit, mir die öffentliche Beta anzusehen. Ich werde das bald nachholen und berichten.

Weitere Infos:

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront


Die haeufigsten Fragen zum ISA Server

March 18, 2008

Auch (hm, oder vielleicht gerade?) beim ISA Server gibt es viele Fragen, die immer wieder gestellt werden. Und das interessante dabei ist, dass sie nichtmal regional verschieden sind. Mein US-MVP-Kollege Thomas Shinder hat ein Dutzend davon in seinem Beitrag “ISA Firewall Dirty Dozen” für die isaserver.org festgehalten und erläutert.

  1. I want to have multiple external interfaces on my ISA  firewall. How do I set this up?
  2. My Yahoo/AOL/MSN/Windows Messenger is not working. How do I fix this?
  3. I put Exchange on my ISA firewall and OWA/SMTP/POP3/IMAP4/NNTP is not sending/receiving? How do I fix this?
  4. My Secure Exchange RPC Server Publishing rule and/or my Exchange RPC over HTTP Web publishing rule is not working. I did everything you said to do in your articles on the ISAserver.org Web site. What is wrong?
  5. My Firewall client shows a red arrow on it and cannot contact the ISA firewall. What is up with that?
  6. I need user names in the log files and I need to control access based on user/group account. I do not want to install the Firewall Client or configure the browsers as Web Proxy clients. What is the next step?
  7. I want to put my ISA Server between two “firewalls” and put a single NIC in the ISA firewall. I need all the features available in ISA, including Firewall client support. How do I do this?
  8. I want to run a Web/FTP/NNTP/Quake/Kazaa/Morpheus server on my ISA firewall. I have created the right Access Rules, but it does not work. Why?
  9. How do I get Internet Explorer/Outlook Express/Hello Kitty working on the ISA firewall? I tried to create packet filters, but the ISA  firewall does not have a packet filter feature.
  10. I cannot get POP3 and/or FTP working. I do not want to install the firewall client. How do I get mail and FTP files?
  11. How do I see the files in the cache? Also, how to I prevent sites from being cached? Oh, and one more question, how do I clear the cache?
  12. Tech Support told me to “open ports X, Y and Z”. How do I do this?

Hier geht’s zum ganzen Artikel (in Englisch).

Danke Tom, für die Zusammenstellung!

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront