lundi 18 juillet 2011

[UAG] Hardening HRESULT 0x80070057 issue


It's possible for those who want greater security on Forefront UAG, it's possible to make hardening for Windows Server 2008 R2. This is possible with the Security Configuration Wizard administration tool with the security policy template for Forefront UAG available for download on the Microsoft website.

Beware: this step must be done after installing Forefront UAG, on the contrary you will loose supportability. I also advice to make a backup of the server as described on this article.

But on Windows 2008 R2 Service Pack 1 you will encounter the HRESULT 0x80070057 error.

This issue means that the template does not support the Windows version, in order to solve this open the xml file and found the following line:

<SecurityPolicy OSMajorVersion="6" OSMinorVersion="1" ServicePackMajorVersion="0" ServicePackMinorVersion="0">

update it as below:

<SecurityPolicy OSMajorVersion="6" OSMinorVersion="1" ServicePackMajorVersion="1" ServicePackMinorVersion="0">

And when you will try again everything will goes fine :)

[UAG] Problème HRESULT 0x80070057 lors du hardening


Il est possible pour ceux qui souhaitent avoir une sécurité accrue sur un serveur Forefront UAG de faire du hardening au niveau de Windows Server 2008 R2. Ceci est possible grâce à l'outil d'administration nommé Security Configuration Wizard pour lequel il faut fournir un modèle spécifique à Forefront UAG disponible en libre téléchargement sur le site de Microsoft.

Attention : cette étape doit être effectuée après l'installation de Forefront UAG, dans le cas contraire vous perdriez toute supportabilité. De plus je vous invite à effectuer une sauvegarde du système comme décrit sur cet article.

Cependant sur un OS Windows 2008 R2 Service Pack 1 vous tomberez face à une erreur HRESULT 0x80070057.

Afin de remédier à cette dernière qui veut tout simplement dire que la version de Windows n'est pas supportée par le template, ouvrez le fichier xml afin de trouver la ligne suivante :

<SecurityPolicy OSMajorVersion="6" OSMinorVersion="1" ServicePackMajorVersion="0" ServicePackMinorVersion="0">

puis modifier la comme suit :

<SecurityPolicy OSMajorVersion="6" OSMinorVersion="1" ServicePackMajorVersion="1" ServicePackMinorVersion="0">

Et lorsque vous relancerez le processus de hardening tout se passera sans aucun problème :)

vendredi 15 juillet 2011

[TMG] Join error: encryption key copy step


While deploying a Forefront TMG EMS replica server with an EMS Master SP1 Update 1 Rollup 3, I got the following installation error.

Indeed when replicating the configuration I got this error message about an encryption key.

After analyzing the setup log and some research about the following errors:
  • 0x80070002
  • Error 28583
  • Error code 1603
  • CA ERROR 0x653
I notice that the replica EMS server and also the array members must get the same update level in order to join the EMS master realm.

We have to prepare an installation master with the SP1 Update 1 Rollup 3 splited. In order to do that on a 64bits client or server OS:
  • Extract the msp file with the following command: TMG-KBnumber-amd64-GLB.exe /t [destination_folder]
  • Split the update with the following command: msiexec /a [TMG_source]\FPC\MS_FPC_Server.msi /p [update_path]\TMG-KBnumber-amd64-GLB.msp

[TMG] Erreur de jointure : lors de la copie de la clé de cryptage


Lors d'un déploiement d'un rôle EMS replica RTM auprès d'un EMS Master SP1 Update 1 Rollup 3 je suis tombé sur un message d'erreur lors de l'installation.

En effet lors de l'étape de la réplication de la configuration je suis tombé sur le message d'erreur concernant une clé d'encryption qui en premier lieu m'a laissé pantois.

Après analyse du journal d'installation et une recherche par rapport aux codes d'erreurs associés à savoir :
  • 0x80070002
  • Error 28583
  • Error code 1603
  • CA ERROR 0x653
Il s'avère que le serveur EMS réplica aussi bien que les serveurs membres doivent être au même niveau de mise à jour afin de pouvoir joindre un royaume EMS.

Il faut donc préparer un master d'installation avec le SP1 Update 1 Rollup 3 intégré. A cet effet il faut sur un poste ou serveur en 64bits :
  • Extraire le fichier msp depuis le fichier exe avec la commande : TMG-KBnumber-amd64-GLB.exe /t [répertoire_de_destination]
  • Intégrer la mise à jour avec la commande : msiexec /a [emplacement_média_TMG]\FPC\MS_FPC_Server.msi /p [emplacement_patch]\TMG-KBnumber-amd64-GLB.msp

mardi 5 juillet 2011

[UAG] DiretAccess : ERROR_IPSEC_AUTH_FAIL


Il y a un moment lors d'un déploiement de DirectAccess au travers d'UAG je suis tombé sur un souci assez atypique. En effet bien que les interfaces de transition (IP-HTTPS ou Teredo) étaient bien connectée, les tunnels IPsec quant à eux refusaient de se connecter.

Suite à une analyse de trame il s'avère que le problème se situait au niveau des certificats avec pour code d'erreur ERROR_IPSEC_AUTH_FAIL, alors que l'administrateur me confirmait bien avoir suivi tous les prérequis liés à ces derniers.

En regardant de plus près cette erreur le code d'erreur 0x000035E9 ERROR_IPSEC_AUTH_FAIL remontait un problème au niveau de la négociation d'identification dans les échanges IKE.

Cette erreur était aussi immédiatement suivie d'une seconde erreur  0x000035EE ERROR_IPSEC_IKE_NO_CERT alors que le poste client ainsi que la passerelle DirectAccess possédait bien tous deux des certificats machine.

[UAG] DiretAccess : ERROR_IPSEC_AUTH_FAIL issue


On a DirectAccess deployment with UAG I got a weird issue. Indeed even if the transition interface de transition (IP-HTTPS or Teredo) are up, the IPsec connection refused to be in online state.

While analyzing the network capture I noticed that the problems were on the certificate with the  ERROR_IPSEC_AUTH_FAIL error code, while the certificate administrator said that all the prerequisites were followed.

When looking closely the error code 0x000035E9 ERROR_IPSEC_AUTH_FAIL describe an error on the IKE authentication credentials negotiation.

This error was immediately followed by the 0x000035EE ERROR_IPSEC_IKE_NO_CERT error even with a computer certificate deployed on the client laptop and the DirectAccess gateway.

lundi 4 juillet 2011

MVP Forefront 2011


C'est avec joie que j'ai été récompensé pour le domaine d’expertise Forefront par Microsoft en tant que Most Valuable Professional pour la première fois. Je rejoins donc Alexandre GIRAUD sur ce domaine d'expertise.

Je tiens donc à remercier les différentes personne ayant soutenue ma candidature à savoir Benoît SAUTIERE, Alexandre GIRAUD et Frédéric ESNOUF. Et aussi en particulier ceux qui ont eu le courage de lire mes articles et mes tweets.

Mon profil MVP est désormais disponible à cette adresse : https://mvp.support.microsoft.com/profile=6EA71DAD-DEF7-4E57-97D3-E8F8FDCC5AFD

MVP on Forefront area


I'm glad to learn today that I was awarded by Microsoft on Forefront field of expertise as Most Valuable Professional for the first year. I join Alexandre GIRAUD on the same field of expertise.

I want to thank those who support my apply:  Benoît SAUTIERE, Alexandre GIRAUD and Frédéric ESNOUF. And also in particular all of you who read my blog and tweets.

My MVP profile is now available at: https://mvp.support.microsoft.com/profile=6EA71DAD-DEF7-4E57-97D3-E8F8FDCC5AFD