[URA] Livre

C'est avec plaisir que je vous annonce la parution d'un nouveau livre sur Windows Server 2012 URA (Unified Remote Access) qui a été écrit par Ben-Ari Erez et Bala Natarajan. Ce dernier traite des scénarios suivants :

• DirectAccess 2012
• Accès VPN
• VPN site à site

Vous trouverez plus d'information sur le site des éditions PACKT publishing.

[URA] Book

Great news! A new book was released about Windows Server 2012 URA (Unified Remote Access) written by Ben-Ari Erez and Bala Natarajan. You will found the following scenarios:

• DirectAccess 2012
• VPN access
• Site-to-site VPN

You will found more information about it on the PACKT publishing editor website.

[UAG] Erreur d'activation : Invalid External IP address

 

Lors de la création d'un trunk de redirection HTTP vers HTTPS dans le cas d'une ferme de serveur configurée avec du NLB il se peut lors de l'activation que l'on rencontre l'erreur : « Error: Trunk "name of the trunk" cannot be activated due to the following: Invalid External IP address. Please choose a different IP. »

[UAG] Activation error: Invalid External IP address

 

While making an HTTP to HTPPS redirection trunk on an UAG farm with NLB when activating he configuration the following error could occur: « Error: Trunk "name of the trunk" cannot be activated due to the following: Invalid External IP address. Please choose a different IP. »

[UAG] SSL Network Tunneling message : Connection ended

J'ai rencontré récemment le comportement suivant au niveau de l'utilisation du connecteur SSL Network Tunneling :

En effet dans le cadre d'un déploiement pour des postes tournant sous Windows Xp je me suis naturellement tourné vers cette configuration (une des contraintes du client était l'utilisation de Forefront UAG).

Effectivement sur un poste Windows Xp tout se passait comme prévue avec aucun problème de connexion cependant sur un poste Windows 7 juste après l'initialisation du tunnel je tombe nez à nez vers le message suivant qui m'a laissé pantois je l'avoue « Forefront UAG Remote Network Access Connection Ended » :

[UAG] SSL Network Tunneling : Connection ended

I recently got the following issue while using the SSL Network Tunneling connector:

Indeed for deploying VPN access for Windows Xp I use this feature of Forefront UAG (required by the customer).

On a Windows Xp client all goes fine and no problem about the VPN access but on a Windows 7 client after initializing the VPN tunnel I got the following message « Forefront UAG Remote Network Access Connection Ended »:

[DPM] Bienvenu à un nouveau blog

Une fois n'est pas coutume je ne vais pas faire une news en relation directe avec de la sécurité :)

En effet j'ai le plaisir de vous annoncer un nouvel arrivant dans la blogosphère traitant du sujet Data Protection Manager à l'adresse suivante : http://yetanotherdpmblog.blogspot.fr/.

J'ai aussi eu le plaisir de travailler avec Stephane Ladune entre autre sur la série d'articles suivants pour lequel son aide fut précieuse pour la partie dédiée à DPM :

• [Matrice de flux] Protection DPM pour TMG Partie 1
• [Matrice de flux] Protection DPM pour TMG Partie 2
• [Matrice de flux] Protection DPM pour TMG Partie 3
• [Matrice de flux] Protection DPM pour TMG Partie 4
• [Matrice de flux] Protection DPM pour TMG Partie 5
• [Matrice de flux] Protection DPM pour TMG Partie 6

Je lui souhaite que de bonne chose dans cette aventure.

[DPM] Welcome to a new blog

Today I will not make news about security :)

Indeed I'm happy to announce a new blog about Data Protection Manager: http://yetanotherdpmblog.blogspot.fr/.

I work with Stephane Ladune on the following articles with his help on the DPM part:

• [Matrice de flux] Protection DPM pour TMG Part 1
• [Matrice de flux] Protection DPM pour TMG Part 2
• [Matrice de flux] Protection DPM pour TMG Part 3
• [Matrice de flux] Protection DPM pour TMG Part 4
• [Matrice de flux] Protection DPM pour TMG Part 5
• [Matrice de flux] Protection DPM pour TMG Part 6

I wish him good luck for his blog.

Microsoft Forefront, refonte de la Roadmap

Nous attendions la communication officielle de Microsoft depuis quelques temps. Maintenant que celle-ci est publique (http://blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx), il nous est apparu nécessaire d'en préciser certains aspects.

[TMG] Publish Outlook Web App with RSA SecurID authentication

While deploying on Forefront TMG Outlook Web App with RSA SecurID authentication, I was surprised to see that the RSA Authentication manager was replaced by a Web interface on the new versions.

You will found on this article how to generate the required files on RSA, and the main steps on Forefront TMG. Follow the guide :)

[TMG] Outlook Web App avec authentification RSA SecurID

Lors d'une mise en place d'une publication d'Outlook Web App avec une authentification par RSA SecurID au travers de Forefront TMG, j'ai eu la surprise de constater que la console RSA Authentication manager avait été remplacée sur les nouvelles versions par une interface Web.

Vous trouverez dans cet article comment générer les fichiers nécessaires sur la plateforme RSA, ainsi que les étapes importantes pour la configuration sur Forefront TMG. Suivez le guide :)

[TMG] Incorrect key type for the certificate

Sometimes you could meet this error on the certificate when creating a Web Listener: Incorrect key type.

[TMG] Clé du certificat invalide

Il arrive parfois lorsque l'on installe un certificat que l'on rencontre l'erreur suivante lors de la création d'un Listener : Incorrect key type.

[UAG] Service Pack 2 released

Microsoft recently released Forefront UAG Service Pack 2.

The new functionalities are:

• Support of ADFS v2.0 scenarios
• Support Sharepoint 2010 published in a trunk with ADFS v2.0 authentication using Microsoft Office Forms-Based Authentication (MSOFBA)
• Improved support of the following mobile:
• Windows Phone 7.5
• iPad and iPhone (iOS 5+)
• Androïde (4.x) for mobile phone and tablet

Some steps are required in order to update to this service pack when using Forefront UAG array with NLB and others scenarios: http://go.microsoft.com/fwlink/?LinkID=259478.

For more information about the included updates and issue corrected on the KB2710791 and on the associated release note.

The SP2 is now available on Microsoft Download Center: http://go.microsoft.com/fwlink/p/?LinkId=254912

[UAG] Service Pack 2

Microsoft a récemment publié le Service Pack 2 de Forefront UAG.

Parmi les nouveautés l'on peut noter :

• Prise en charge avancée d'ADFS v2.0
• Le support de Sharepoint 2010 avec un trunk utilisant ADFS v2.0 en utilisant Microsoft Office Forms-Based Authentication (MSOFBA)
• Amélioration du support des terminaux mobiles :
• Windows Phone 7.5
• iPad et iPhone (iOS 5+)
• Tablette et mobile Androïde (4.x)

Certaines précautions sont à prendre afin d'installer ce service pack, sur une ferme utilisant la répartition de charge NLB ainsi que dans d'autres scénarios : http://go.microsoft.com/fwlink/?LinkID=259478.

Pour plus d'information sur les mises à jour et corrections apportées vous pouvez consulter la KB2710791 ainsi que la release note associée.

Le SP2 étant disponible sur Microsoft Download Center : http://go.microsoft.com/fwlink/p/?LinkId=254912

[DirectAccess] My transition technologies are gone

On a deployment the DirectAccess connection is not working on a laptop even with all prerequisites (certificate, GPO, Windows 7 Enterprise, ...)

While looking on the network settings none of the transition technologies were listed (ISATAP, 6to4, Teredo et IP-HTTPS).

[DirectAccess] Mes technologies de transition se sont fait la malle

Lors du déploiement chez un client j'ai constaté que le poste ne montait pas de connexion DirectAccess bien que ce dernier présentait tous les pré-requis (certificat, GPO, Windows 7 Enterprise, ...)

Cependant lors de l'analyse de la configuration réseau vue par l'OS ce dernier ne listait aucun des protocoles de transition (ISATAP, 6to4, Teredo et IP-HTTPS).

[Matrice de flux] AD CS / PKI

Afin de compléter la série de billets concernant les matrices de flux voici celle concernant Active Directory Services (AD CS).

[Port used] AD CS / PKI

On the posts related to network flux here's those used by Active Directory Services (AD CS).

MVP 2012 on Forefront area

I'm glad to learn today that I was awarded by Microsoft on Forefront field of expertise as Most Valuable Professional for the second year.

I want to thank Microsoft for the confidence about my participation on the community. And also in particular all of you who read my blog and tweets.

My MVP profile is now available at:
http://mvp.microsoft.com/en-US/findanmvp/Pages/profile.aspx?MVPID=6ea71dad-def7-4e57-97d3-e8f8fdcc5afd

MVP Forefront 2012

C'est avec joie que j'ai été récompensé pour le domaine d’expertise Forefront par Microsoft en tant que Most Valuable Professional pour la seconde année consécutive.

Je tiens donc à remercier Microsoft pour avoir renouvelé sa confiance sur ma participation communautaire. Et aussi en particulier ceux qui ont eu le courage de lire mes articles et mes tweets.

Mon profil MVP est disponible à cette adresse :
 http://mvp.microsoft.com/fr-FR/findanmvp/Pages/profile.aspx?MVPID=6ea71dad-def7-4e57-97d3-e8f8fdcc5afd

[Ports used] How to protect TMG with DPM : Part 6

We finally reach the last article for talking about how to protect Forefront TMG/UAG with DPM 2010.

6/ Test and validating
After applying the new configuration on our Forefront TMG box we could now make some tests to from the DPM server. These tests will help us to check that everything goes well:

Warning: some command lines work only on DOS and not on PowerShell.

[Matrice de flux] Protection DPM pour TMG Partie 6

Cet article clôture la série de billets pour la protection d'un serveur Forefront TMG/UAG par DPM 2010.

6/ Test et validation
Après avoir appliqué la configuration au niveau de notre serveur Forefront TMG il est possible d’effectuer les tests suivant depuis le serveur DPM. Ces derniers permettront de vérifier que l’ajout du serveur Forefront TMG à protégé n’échouera plus :

Attention : certaines de ces commandes ne fonctionnent qu’au travers d’une commande DOS et non sous PowerShell.

[Ports used] How to protect TMG with DPM : Part 5

In this article we will see how to configure the DCOM/RPC communication between our DPM and TMG server.

5/ RPC settings
When the access rules are created, RPC filter used by Forefront TMG don't fully support the DCOM call, in this case we will have a denied connection. We will make a workaround to solve this issue by disabling the Enforce Strict RPC Compliance option on Forefront TMG:

[Matrice de flux] Protection DPM pour TMG Partie 5

Dans cette article nous verrons comment configurer le dialogue DCOM/RPC pour la communication entre notre serveur DPM et TMG.

5/ Configuration RPC
Une fois les règles créées il faut savoir que le filtre RPC utilisés par Forefront TMG ne supporte pas totalement les appels DCOM, ce qui peut résulter à des refus de connexion par ce dernier. Nous allons donc contourner le problème en désactivant l’option Enforce Strict RPC Compliance au niveau de notre serveur Forefront TMG :

[Ports used] How to protect TMG with DPM : Part 4

This article describe how to create the access rules on the TMG firewall in order to allow the communication required for DPM, we will also use the protocols created on the previous article.

4/ Access rules
In order to authorize communication between the DPM server and Forefront TMG 2010 the following two access rules are required, on our lab the DPM Servers is a Computer Set object containing the IP address of the DPM server:

[Matrice de flux] Protection DPM pour TMG Partie 4

Cet article décrit la création de règles au niveau du firewall TMG afin d'autoriser les flux utilisés par DPM, en se reposant sur les protocoles créés dans l'article précédent.

4/ Règles d'accès
Afin d’autoriser les échanges entre le serveur DPM et notre serveur Forefront TMG 2010 à protéger les deux règles suivantes seront nécessaires, dans le cas présent l’objet DPM Servers est un objet de type Computer Set regroupant la ou les adresses IP des différents serveurs DPM :

[Ports used] How to protect TMG with DPM : Part 3

After the network prerequisites we could now see how to create our access rules, first we will create the protocol objects required for them.

3/ Protocols

3.1/ Standard protocols
The following protocols will be used by the access rules:

Name	Protocol type	Direction	From	To
DPM Agent Coordinator	TCP	Outbound	5718	5718
DPM Protection Agent	TCP	Outbound	5719	5719
DPM Dynamic Ports	TCP	Outbound	10000	65535

Be careful for the DPM Dynamic Ports protocol, you must be sure that on the DPM and TMG server that they used the default RPC port. To check this you could use the following command line netsh int ipv4 show dynamicport tcp with the following result:

[Matrice de flux] Protection DPM pour TMG Partie 3

Suite aux différents prérequis nous entrons dans le vif du sujet avec la création des protocoles qui seront utilisés par nos différentes règles d'accès.

3/ Protocoles

3.1/ Protocoles standard
Afin de créer les règles d’accès les protocoles suivant devront être créés :

Nom	Protocol type	Direction	From	To
DPM Agent Coordinator	TCP	Outbound	5718	5718
DPM Protection Agent	TCP	Outbound	5719	5719
DPM Dynamic Ports	TCP	Outbound	10000	65535

Attention pour le protocole DPM Dynamic Ports il faudra s’assurer que sur le serveur DPM et Forefront TMG que ces derniers utilisent bien les ports RPC par défaut afin de s’en assurer la ligne de commande netsh int ipv4 show dynamicport tcp devrait renvoyer le résultat suivant :

[Ports used] How to protect TMG with DPM : Part 2

The second part of the articles about protecting a TMG/UAG with DPM 2010, will talk about the prerequisite for the network configuration.

2/ Prerequisites

In order to the DPM 2010 server to access to the files through the administrative file sharing we will check if the following options are enabled on the internal network card:

• Client for Microsoft Networks
• File and Printer Sharing for Microsoft Networks

Except for these exceptions you could configure the others network parameters as described on the following articles:

• [TMG] NIC setup
• [UAG] NIC setup

[Matrice de flux] Protection DPM pour TMG Partie 2

Voici la seconde partie de la série d'articles pour la protection d'un serveur TMG/UAG au travers de DPM 2010. Cette dernière traite des prérequis nécessaire en terme de configuration réseau.

2/ Pré requis

Afin que le serveur DPM 2010 puisse accéder au fichier au travers des partages administratif il faudra vérifier sur la carte réseau rattachée au réseau interne que les options suivantes soient bien activées :

• Client for Microsoft Networks
• File and Printer Sharing for Microsoft Networks

Vous pouvez mise à parts ces exceptions vous référez aux articles suivants pour le reste de la configuration de la couche réseau :

• [TMG] Configuration des cartes réseaux
• [UAG] Configuration des cartes réseaux

[Ports used] How to protect TMG with DPM : Part 1

After my article on the Microsoft MVP Award Program Blog, you will found the "full" version of it.

1/ Introduction
When we try to protect a Forefront TMG (or UAG) server with Microsoft System Center Data Protection Manager (DPM) 2010, we naturally apply the required port official listed on this article: http://technet.microsoft.com/en-us/library/ff399341.aspx. But we meet the following error when we try to attach the agent deployed on the TMG server (http://technet.microsoft.com/en-us/library/bb870935.aspx) to the DPM 2010 server:

This error means that some required ports are missing in Forefront TMG, confirmed by the entry on the event log on the DPM server:

Indeed when we make some tests we observe that the DPM server can't reach properly the TMG server on the required protocols.