[UAG] Service Pack 1 Update 1 released

Microsoft recently released Forefront UAG Service Pack 1 Update 1.

The new functionalities are:

• Publishing Lync web services like: Address book, Live Meeting component, group expansion, ...
• Microsoft Dynamics CRM 2011 publishing support
• Sharepoint 2010 with Office Web Apps publishing support
• More web browsers are now supported

Some steps are required in order to update to this service pack when using Forefront UAG array with NLB: http://go.microsoft.com/fwlink/?LinkId=230662.

The SP1U1 are now available on Microsoft Download Center: http://www.microsoft.com/download/en/details.aspx?id=27604

[UAG] Service Pack 1 Update 1

Microsoft a récemment publié le Service Pack 1 Update 1 de Forefront UAG.
Parmi les nouveautés l'on peut noter :

• La publication des services web associés à Lync à savoir : le carnet d'adresse, les composants Live Meeting, l'analyse des groupes Exchange, ...
• Le support de la publication de Microsoft Dynamics CRM 2011
• Le support de Sharepoint 2010 avec Office Web Apps
• L'augmentation des navigateurs Web supportés

Certaines précautions sont à prendre afin d'installer ce service pack sur une ferme utilisant la répartition de charge NLB : http://go.microsoft.com/fwlink/?LinkId=230662.

Le SP1U1 étant disponible sur Microsoft Download Center : http://www.microsoft.com/download/en/details.aspx?id=27604

[TMG] Service Pack 2 released

Microsoft just released the Service Pack 2 for Forefront TMG with the following improvements:

• New reports: showing the data transfer between users and specific websites for any user.
• New error pages: new theme introduced, easier to customize. Included embedded objects are now possible.
• Kerberos authentication: now possible on a TMG array using Network Load Balancing.

Be careful before deploying this service pack that the actual version of your TMG infrastructure is Service Pack 1 Update 1.

Before deploying the Service Pack 2 take care to read the TMG Service pack deployment how to.

For more information and download: http://www.microsoft.com/download/en/details.aspx?id=27603

[TMG] Service Pack 2

Microsoft viens de publier le Service Pack 2 pour Forefront TMG qui apporte les améliorations suivantes :

• Nouveaux rapports : permet désormais d'afficher le trafic utilisé entre utilisateurs ainsi que  vers un site en particulier.
• Nouvelles pages d'erreur : mise en place d'un nouveau thème, simplification de la modification de ces dernières. De plus il sera possible d'y inclure des objets plus facilement.
• Authentification Kerberos : l'utilisation de l'authentification Kerberos sera désormais possible sur une ferme TMG utilisant la répartition de charge logicielle NLB

Attention cependant pour installer ce dernier vous devrez vous assurer que le niveau de patch actuellement déployé soit bien le Service Pack 1 Update 1 au minimum.

Avant le déploiement de ce service pack veuillez à bien suivre le How to sur le déploiement d'un service pack pour TMG.

Pour plus d'information et le téléchargement : http://www.microsoft.com/download/en/details.aspx?id=27603

[FIM] Version Beta de FIM 2010 R2

Microsoft vient d'annoncer la sortie de Forefront Identity Manager 2010 R2 dans une version Beta. Cette dernière apporte :

•  La réinitialisation du mot de passe au travers d'une interface web
• Intégration avec le data warehouse de System Center Service Manager pour des fins de rapports et d'historiques
• Améliorations des performances
• Support d'Outlook 2010 et de Microsoft SharePoint Foundation 2010

Afin de participer au programme beta l'inscription est possible au travers du site Microsoft connect.

[FIM] FIM 2010 R2 Beta

Microsoft just announced Forefront Identity Manager 2010 R2 Beta version.
You could found more information on the Forefront Team Blog.

[UAG] Hardening HRESULT 0x80070057 issue

It's possible for those who want greater security on Forefront UAG, it's possible to make hardening for Windows Server 2008 R2. This is possible with the Security Configuration Wizard administration tool with the security policy template for Forefront UAG available for download on the Microsoft website.

Beware: this step must be done after installing Forefront UAG, on the contrary you will loose supportability. I also advice to make a backup of the server as described on this article.

But on Windows 2008 R2 Service Pack 1 you will encounter the HRESULT 0x80070057 error.

This issue means that the template does not support the Windows version, in order to solve this open the xml file and found the following line:

<SecurityPolicy OSMajorVersion="6" OSMinorVersion="1" ServicePackMajorVersion="0" ServicePackMinorVersion="0">

update it as below:

<SecurityPolicy OSMajorVersion="6" OSMinorVersion="1" ServicePackMajorVersion="1" ServicePackMinorVersion="0">

And when you will try again everything will goes fine :)

[UAG] Problème HRESULT 0x80070057 lors du hardening

Il est possible pour ceux qui souhaitent avoir une sécurité accrue sur un serveur Forefront UAG de faire du hardening au niveau de Windows Server 2008 R2. Ceci est possible grâce à l'outil d'administration nommé Security Configuration Wizard pour lequel il faut fournir un modèle spécifique à Forefront UAG disponible en libre téléchargement sur le site de Microsoft.

Attention : cette étape doit être effectuée après l'installation de Forefront UAG, dans le cas contraire vous perdriez toute supportabilité. De plus je vous invite à effectuer une sauvegarde du système comme décrit sur cet article.

Cependant sur un OS Windows 2008 R2 Service Pack 1 vous tomberez face à une erreur HRESULT 0x80070057.

Afin de remédier à cette dernière qui veut tout simplement dire que la version de Windows n'est pas supportée par le template, ouvrez le fichier xml afin de trouver la ligne suivante :

<SecurityPolicy OSMajorVersion="6" OSMinorVersion="1" ServicePackMajorVersion="0" ServicePackMinorVersion="0">

puis modifier la comme suit :

<SecurityPolicy OSMajorVersion="6" OSMinorVersion="1" ServicePackMajorVersion="1" ServicePackMinorVersion="0">

Et lorsque vous relancerez le processus de hardening tout se passera sans aucun problème :)

[TMG] Join error: encryption key copy step

While deploying a Forefront TMG EMS replica server with an EMS Master SP1 Update 1 Rollup 3, I got the following installation error.

Indeed when replicating the configuration I got this error message about an encryption key.

After analyzing the setup log and some research about the following errors:

• 0x80070002
• Error 28583
• Error code 1603
• CA ERROR 0x653

I notice that the replica EMS server and also the array members must get the same update level in order to join the EMS master realm.

We have to prepare an installation master with the SP1 Update 1 Rollup 3 splited. In order to do that on a 64bits client or server OS:

• Extract the msp file with the following command: TMG-KBnumber-amd64-GLB.exe /t [destination_folder]
• Split the update with the following command: msiexec /a [TMG_source]\FPC\MS_FPC_Server.msi /p [update_path]\TMG-KBnumber-amd64-GLB.msp

[TMG] Erreur de jointure : lors de la copie de la clé de cryptage

Lors d'un déploiement d'un rôle EMS replica RTM auprès d'un EMS Master SP1 Update 1 Rollup 3 je suis tombé sur un message d'erreur lors de l'installation.

En effet lors de l'étape de la réplication de la configuration je suis tombé sur le message d'erreur concernant une clé d'encryption qui en premier lieu m'a laissé pantois.

Après analyse du journal d'installation et une recherche par rapport aux codes d'erreurs associés à savoir :

• 0x80070002
• Error 28583
• Error code 1603
• CA ERROR 0x653

Il s'avère que le serveur EMS réplica aussi bien que les serveurs membres doivent être au même niveau de mise à jour afin de pouvoir joindre un royaume EMS.

Il faut donc préparer un master d'installation avec le SP1 Update 1 Rollup 3 intégré. A cet effet il faut sur un poste ou serveur en 64bits :

• Extraire le fichier msp depuis le fichier exe avec la commande : TMG-KBnumber-amd64-GLB.exe /t [répertoire_de_destination]
• Intégrer la mise à jour avec la commande : msiexec /a [emplacement_média_TMG]\FPC\MS_FPC_Server.msi /p [emplacement_patch]\TMG-KBnumber-amd64-GLB.msp

[UAG] DiretAccess : ERROR_IPSEC_AUTH_FAIL

Il y a un moment lors d'un déploiement de DirectAccess au travers d'UAG je suis tombé sur un souci assez atypique. En effet bien que les interfaces de transition (IP-HTTPS ou Teredo) étaient bien connectée, les tunnels IPsec quant à eux refusaient de se connecter.

Suite à une analyse de trame il s'avère que le problème se situait au niveau des certificats avec pour code d'erreur ERROR_IPSEC_AUTH_FAIL, alors que l'administrateur me confirmait bien avoir suivi tous les prérequis liés à ces derniers.

En regardant de plus près cette erreur le code d'erreur 0x000035E9 ERROR_IPSEC_AUTH_FAIL remontait un problème au niveau de la négociation d'identification dans les échanges IKE.

Cette erreur était aussi immédiatement suivie d'une seconde erreur  0x000035EE ERROR_IPSEC_IKE_NO_CERT alors que le poste client ainsi que la passerelle DirectAccess possédait bien tous deux des certificats machine.

[UAG] DiretAccess : ERROR_IPSEC_AUTH_FAIL issue

On a DirectAccess deployment with UAG I got a weird issue. Indeed even if the transition interface de transition (IP-HTTPS or Teredo) are up, the IPsec connection refused to be in online state.

While analyzing the network capture I noticed that the problems were on the certificate with the  ERROR_IPSEC_AUTH_FAIL error code, while the certificate administrator said that all the prerequisites were followed.

When looking closely the error code 0x000035E9 ERROR_IPSEC_AUTH_FAIL describe an error on the IKE authentication credentials negotiation.

This error was immediately followed by the 0x000035EE ERROR_IPSEC_IKE_NO_CERT error even with a computer certificate deployed on the client laptop and the DirectAccess gateway.

MVP Forefront 2011

C'est avec joie que j'ai été récompensé pour le domaine d’expertise Forefront par Microsoft en tant que Most Valuable Professional pour la première fois. Je rejoins donc Alexandre GIRAUD sur ce domaine d'expertise.

Je tiens donc à remercier les différentes personne ayant soutenue ma candidature à savoir Benoît SAUTIERE, Alexandre GIRAUD et Frédéric ESNOUF. Et aussi en particulier ceux qui ont eu le courage de lire mes articles et mes tweets.

Mon profil MVP est désormais disponible à cette adresse : https://mvp.support.microsoft.com/profile=6EA71DAD-DEF7-4E57-97D3-E8F8FDCC5AFD

MVP on Forefront area

I'm glad to learn today that I was awarded by Microsoft on Forefront field of expertise as Most Valuable Professional for the first year. I join Alexandre GIRAUD on the same field of expertise.

I want to thank those who support my apply:  Benoît SAUTIERE, Alexandre GIRAUD and Frédéric ESNOUF. And also in particular all of you who read my blog and tweets.

My MVP profile is now available at: https://mvp.support.microsoft.com/profile=6EA71DAD-DEF7-4E57-97D3-E8F8FDCC5AFD

[FEP] Update Rollup 1disponible

Microsoft vient de publier l'Update Rollup 1 pour Forefront EndPoint Protection 2010 qui apporte les améliorations majeurs suivantes :

• Support de Windows 7 embedded
• Le déploiement des mises à jours de définition au travers de SCCM est désormais possible
• Ajout des templates suivants pour les serveurs : Forefront TMG et Lync 2010

Pour plus d'information : http://support.microsoft.com/kb/2551095
Pour le téléchargement : http://go.microsoft.com/fwlink/?LinkId=223229

[FEP] Update Rollup 1 available

Microsoft just released the Update Rollup 1 for Forefront EndPoint Protection with some new features like:

• Support for Windows 7 embedded
• Deploying signature update is now available through SCCM
• New preconfigured policy template for server: Forefront TMG and Lync 2010

For more information: http://technet.microsoft.com/en-us/library/hh211541.aspx
For downloading: http://go.microsoft.com/fwlink/?LinkId=223229

[TMG] Késako sur les versions

I / Obtenir la version actuelle

La première méthode afin d'obtenir la version courante du serveur Forefront TMG 2010 reste la plus simple, à savoir la boite de dialogue « A propos de ».

[TMG] What is my current version

I / How to find the current version

The first way to obtain the current version of Forefront TMG 2010is the easiest one, the « About » dialogue box.

[Ports used] FPSMC

On the posts related to network flux here's those used by FPSMC.

Port	Protocol	Remark
FPSMC ⇔ Administration computer
80	TCP	Used for accessing to the FPSMC portal
443	TCP	Used for accessing to the FPSMC portal
FPSMC ⇒ FPE and/or FPSP
445	TCP	Used for FPSMC agent deployment
8815	TCP	Used for giving action to FPSMC agent
8816	TCP	Used for FPSMC agent push mode installation
FPSMC ⇐ FPE and/or FPSP
8817	TCP	Used by the FPSMC agent for notification (Stats, Quarantine, ...)

[Matrice de flux] FPSMC

Afin de compléter la série de billets concernant les matrices de flux voici celle concernant FPSMC.

Port	Protocole	Remarque
FPSMC ⇔ Poste d'administration
80	TCP	Utilisé pour l'accès à la console FPSMC
443	TCP	Utilisé pour l'accès à la console FPSMC
FPSMC ⇒ FPE et/ou FPSP
445	TCP	Utilisé pour le déploiement de l'agent FPSMC
8815	TCP	Utilisé pour pousser des commandes à l'agent FPSMC
8816	TCP	Utilisé pour l'installation en mode push de l'agent FPSMC
FPSMC ⇐ FPE et/ou FPSP
8817	TCP	Utilisé par l'agent FPSMC pour remonter les informations (Stats, Quarantaine, ...)

[TMG] Update 1 Rollup 4

Microsoft viens de publier l'Update 1 Rollup 4 pour Forefront TMG Service Pack 1 qui apporte des correctifs aux scénario suivants :

• Lorsque l'inspection HTTPS est activée
• Lorsque la E-Mail policy est activée

Pour plus d'information et le téléchargement : http://support.microsoft.com/kb/2517957

[TMG] Update 1 Rollup 4

Microsoft just released the Update 1 Rollup 4 for Forefront TMG Service Pack 1 which solve the problems mainly on the following scenarios:

• When HTTPS is enabled
• When the E-Mail policy is enabled

For more information and download: http://support.microsoft.com/kb/2517957

Désactiver l'UAC sur Windows Server 2008 / 2008 R2

Microsoft vient de publier un article afin d'expliquer comment désactiver l'UAC sous Windows Server 2008 ou 2008 R2. Bien en tendu le fait de désactiver l'UAC fait partie des bonnes pratiques uniquement dans des cas très rare et sous certaines conditions tels que :

• Seul les administrateurs peuvent s'y connecter en mode console ou en bureau distant
• Les administrateurs s'y connectent uniquement pour y effectuer des tâches d'administration

Si vous remplissez ces conditions ou bien que vous sachiez ce que vous faites l'article en anglais uniquement, est référencé sous la KB 2526083.

Disabling UAC on Windows Server 2008 / 2008 R2

Microsoft published a how to for disabling UAC on Windows Server 2008 or 2008 R2. Of course disabling UAC is a best practice and recommended only on certain circumstances like:

• Only administrators could access to the server on a console or remote desktop connection
• The administrator open a session only for administrative tasks

If you're on this case or you know what you do the article is the KB 2526083.

[UAG] Web Monitor d'un serveur DirectAccess : partie NAP

Pour faire suite au précédent billet [UAG] Problèmes lors de la publication du Web Monitor d'un serveur DirectAccess, j'ai aussi remarqué que la partie NAP du WebMonitor est impacté lorsque le moteur NAP est actif ou non sur une passerelle DirectAccess.

Afin de résoudre ce problème mineur les pages à ajouter dans les régles sont :

• NAPTSQuery.asp
• NAPTSEventReport.asp

Si vous souhaitez avoir la procédure, cette dernière est similaire à celle décrite dans cet article.

[UAG] Web Monitor of DirectAccess gateway : NAP node issue

After my post [UAG] Minor issue when publishing Web Monitor of a DirectAccess gateway, I also notice that the NAP node of the WebMonitor got some issue even if it's not enabled on a Forefront UAG server.

In order to solve this minor issue the following pages must be add on the rules:

• NAPTSQuery.asp
• NAPTSEventReport.asp

You could learn more on how to do this in this article.

[UAG] Problèmes lors de la publication du Web Monitor d'un serveur DirectAccess

Lors d'un déploiement de l'application Web Monitor d'un serveur UAG distant faisant office de passerelle DirectAccess au travers d'un portail Forefront UAG, quelle fut ma surprise de tomber nez à nez avec la page d'erreur suivante sur la section DirectAccess: