Von 3.-5. Dezember 2007 findet die Microsoft Office Project Conference EMEA in Madrid statt. Es erwarten Sie 3 Tage voller Informationen: Erfahren Sie, wie Sie mit Hilfe der Office Enterprise Project Management (EPM)-Lösung Aufgaben in Ihrem Unternehmen effektiver verwalten und koordinieren können - von einmaligen Projekten bis hin zu komplexen Programmen. Im Rahmen von Best-Practice-Präsentationen und Expertenvorträgen erhalten Sie wertvolle Informationen über die Anforderungen für erfolgreiches Projektmanagement, die Gestaltung von Geschäftsprozessen, Ressourcenplanung, bis hin zu tief gehenden technischen Informationen zur Implementierung einer Microsoft Office-Projektmanagement-Lösung.

Beitrag von Barbara Reiff

Die Microsoft Live Labs sind ja immer für Neuigkeiten gut: Listas ist ein social bookmarking service, für Leute, die Ihre Bookmarks gerne mit anderen teilen. Wie übersetzt man "social bookmarking service" bloß? Vielleicht als "soziales Favoriten Service? ich denke, ich bleibe bei der englischen Version.

Mit Listas können Benutzer ihre Links sammeln, sie mit Text, Bildern oder ganzen Websites versehen. Pro Liste können Sie entscheiden, ob diese nur von Ihnen oder auch von Ihren freunden angesehen werden kann.

Texte können über einen kleinen WYSIWYG Editor hinzugefügt werden.

Beitrag von Martina Grom

Apropos Virtualisierung: Microsoft´s Mann für Virtualisierung Eric Traut befasste sich schon bei Connectix (vor der Übernahme durch Microsoft 2003) mit Emulatoren und Kernel-Technologien und hat mit seinem Team neben den Produkten Virtual PC und Virtual Server eine neue virtuelle Maschinenarchitektur "Viridian" (Hypervisor mit Microkernel) entworfen, die Bestandteil von Windows Server 2008 sein wird.

Wie auch channel9 berichtet, hat Eric vor gut einer Woche im Rahmen der annual computing conference "Reflections | Projections" der Universität von Illinois eine Präsentation über Microsofts Virtualisierungstechnologie gehalten. Dabei gab es auch einen kurzen Ausblick auf Windows 7 (mit dem hübschen Codename Vienna) - den Nachfolger nach Windows Vista - und eine kurze Präsentation von MinWin.

MinWin ist ein internes Microsoft-Projekt mit dem Ziel den höchst effizienten Windows Kernel zu erreichen, der in Windows 7 verwendet werden soll ("scale down"). MinWin soll auf einem sehr kleinen Kernel mit nur etwa 100 Dateien und 25MB Festplattenplatz basieren (im Vergleich: Windows Vista besteht aus etwa 5000 Dateien und 4GB core) und - natürlich ohne grafische Oberfläche - nur um die 33MB RAM verbrauchen. Alle benötigten Services werden auf diesen Kernel einfach hinzugefügt.

Als Startbildschirm für MinWin wurde das Windows-Logo in ASCII-Umsetzung gezeigt, der zweite Screenshot zeigt MinWin mit laufendem Webserver.

Der Microkernel wird allerdings nur intern verwendet werden, aber als Basis für alle Folgeversionen von Windows dienen, so Traut. In Zukunft könnten also auf einer sehr kleine Hypervisor-Schicht das (oder mehrere) Betriebssystem(e) laufen. Mit Windows 7 wird nach Microsoft´s Plänen voraussichtlich um 2010 zu rechnen sein.

Weitere Quellen zu MinWin: Computerworld-Magazin, Blog-IStartedSomething und das Video der Präsentation selbst.

Im Video (Dauer 1:07) zeigt Eric auch noch in Virtual PC´s Look and Feel der Windows Versionen 1 und 2 (bei etwa 0:45), Version 3.11 (etwa 0:44), NT4 (etwa 0:43) - Flashback! - und MinWin Boot und Speicherverbrauch mit Webserver (etwa 0:47). ;-)

Beitrag von Toni Pohl

Jeder, der Virtual Server einsetzt kennt wahrscheinlich das Problem: Die Anforderungen wachsen und die virtualisierten Systeme werden irgendwann einmal zu klein. Windows Updates (WU) tragen ihren Teil dazu bei.

So ist es auch mir passiert. Vor etwa 2 Jahren habe ich begonnen, viele virtuelle Windows Server-Systeme für verschiedenste Zwecke und Funktionen anzulegen - damals mit einer 16GB großen Systempartition C: (ich war der naiven Meinung, dachte das genügt für alle Zeiten ;-), während die Daten (SQL Server Datenbanken, Webs etc.) immer auf einer eigenen Datenpartition D: liegen, Logs auf E: und so weiter.

Nun, die Zeit und WU sind gekommen, wo der Platz auf der Systempartition mit 16GB zu eng geworden ist. In meinem Fall konnte z.B. das Visual Studio 2005 Service Pack 1 für SQL-BI nicht mehr auf dem Rechner installiert werden, weil (hust) nur mehr 200MB frei waren.

Klar, zuerst wird einmal das Pagefile mit 2GB auf eine andere Platte verschoben. Dann folgen Systembereinigung, Entfernung alter Patches, Temp-Files und diverse auf C: gelagerte Installs. Hilft ... kurze Zeit. Nach ein paar Wochen stand ich vor demselben Problem. Diesmal hatte ich allerdings keinen Optimierungs-Spielraum mehr - es war einfach zu wenig Platz.

Also, wie schafft man neuen Festplatten-Platz? Nun hierzu gibt es eine ganze Reihe von Ansätzen und Lösungsmöglichkeiten. Ich wollte eine praktikable Lösung, die einfach und nach Möglichkeit kostenlos ist.

Ich habe sie nun gefunden! Da mir mein Lösungsweg sehr praktikabel erscheint, hier nun die step-by-step Anleitung.

Das Resizing

Zuerst das Tool VHD Resizer von vmToolkit  auf dem eigenen Rechner oder auf dem Virtual Server installieren (Vielen Dank übrigens an Peter Forster für den Tipp zum Tool!). VHD Resizer ist ein kostenloses Tool und kann VHD-Files vergrößern und verkleinern und den Datenträger-Typ ändern, also ein sehr hilfreiches Werkzeug für virtuelle Welten.

Nun wird das Tool gestartet, das VHD-Quellfile ausgewählt, das VHD-Zielfile eingetragen und dynamic oder fixed gewählt und die neue Zielgröße angegeben. Mit Resize wird der Vorgang gestartet.

In meinem Beispiel sieht das dann so aus: Im ersten Schritt wird die neue Festplatte mit der angegebenen Größe erzeugt:
 
Danach werden vom Tool die Sektoren in die neue VHD kopiert:
 
Dieser Vorgang dauert je nach Größe und Performance einige Minuten bis Stunden, auf meinem Server-System mit SATA Festplatten warens für die Verdoppelung der Festplatte von 16GB auf 32GB etwa 20 Minuten. Wenn der Vorgang abgeschlossen wurde, folgt der nächste Schritt.

VHD Resizer legt eine größere Festplatte an - belässt die Partitionen allerdings so, wie sie waren! Das Ändern der Partition muss der Administrator dann also selbst erledigen.

Das Partitionierungs-Tool

Um es gleich vorweg zu nehmen: Es ist natürlich nicht ganz so trivial wie ich dachte...

Es gibt ein Commandline-Tool diskpart.exe, welches Partitionen vergrößern und verkleinern kann. diskpart ist Bestandteil von Windows XP und Windows Server 2003 und natürlich auch ein einer erweiterten Form in Windows Vista enthalten. Siehe dazu auch "Verwenden von "Diskpart.exe" zum Erweitern eines Datenträgers unter Windows Server 2003, Windows XP und Windows 2000".

Die Systempartition neu partitionieren

Diskpart hat allerdings einige Einschränkungen. Das Erweitern funktioniert aber nicht für ... die Systempartition.

Wenn es sich nicht um die Systempartition handelt, kann diskpart einfach im Gastsystem selbst aufgerufen werden. (Murphy´s Law hat wieder zugeschlagen, denn in meinem Fall brauche ich das Ganze natürlich genau für die Systempartition.)

Mal schnell die grauen Zellen anstrengen - und das Internet durchsuchen. Die Lösung dafür ist genauso einfach wie zunächst unvermutet: Was hindert mich daran, die neue VHD in eine bestehende Windows Maschine hinzuzuhängen und dort diskpart auf dieses Volume auszuführen?

Also, gleich ausprobieren: Eine weitere Maschine auf meinem Virtual Server nehmen und dort in deren Configuration die Festplatte (bei mir als Disk 3 hinzufügen):

Nun wird die "Hilfsmaschine" gestartet und mit RDP eine Verbindung dazu hergestellt.

Schauen wir gleich mal nach, wie das neue Volume aussieht: Manage Computer und Disk Management. Ahja, die logische Festplatte ist nun tatsächlich 32GB groß und die Partition 16GB. Es sind also noch 16GB zu "allozieren".

Jetzt wird ein Commandline-Prompt geöffnet und diskpart aufgerufen, danach list volume. Der folgende Screenshot zeigt recht übersichtlich die aktuelle Belegung und den Aufruf:

diskpart

list volume

Nun das zu vergrößernde Volume erkennen und auswählen. In meinem Beispiel ist das Volume 0 (mein Drive E:).

select volume 0

Und jetzt kommts:

extend

Und das ausgewählte Volume wird sofort auf die verfügbare Größe erweitert! Ich war überrascht und sehr angetan, dass dieser Vorgang blitzschnell ausgeführt war. extend besitzt übrigens auch Parameter, u.a. size=n (in MB), um die neue Größe selbst anzugeben.

Mit exit aus dem diskpart-Tool aussteigen und die Hilfsmaschine herunterfahren.
Danach wird im Virtual Server Webinterface das neue Volume wieder mit Remove und OK von der Hilfsmaschine in deren Configuration entfernt:

Zu allerletzt wird noch in meinem RDP zur Virtual Server Maschine das neue VHD von MinniSystem32.vhd auf MinniSystem.vhd umbenannt. Ich empfehle die "alte" VHD aus Sicherheitsgründen immer aufzuheben, daher benenne ich sie ebenfalls auf MinniSystem16.vhd um.

So, das wars. Nun die virtuelle Maschine neu starten und ausprobieren!

Und es hat bestens funktioniert: Ich habe wieder 16GB freien Speicherplatz auf meiner Systempartition!

Jetzt können sie kommen, die neuen (Windows) Updates. ;-)

Beitrag von Toni Pohl

Hallo, liebe Sicherheits-Gemeinde!

Letzten Freitag haben wir wieder unseren Security Webcast abgehalten - ich war leider aus persönlichen Gründen diesmal nicht dabei, aber mein Kollege soll das ja auch ganz gut allein geschafft haben. Wir haben neben den 6 neuen Sicherheitsupdates auch über das Thema IAG gesprochen, und Kristof hat im Webcast die Frage gestellt, wer mit diesem Begriff überhaupt etwas anfangen kann. Sagen wir mal so, die Wortmeldungen waren ziemlich spärlich.

Deswegen möchte ich noch ein paar Worte zu IAG an dieser Stelle anbringen:

IAG steht für Microsoft Intelligent Application Gateway 2007. Es bietet erweiterten Netzwerk-Perimeter Schutz mit anwendungsbezogenen und Richtlinien basierenden Zugang zur Unternehmens-IT.

Es beinhaltet ein Secure Socket Layer (SSL) Virtual Private Network (VPN), eine Web-Applikations Firewall, und eben ein Sicherheitsmanagement, das es dem Administrator sehr einfach ermöglicht, Zugriffskontrollen, Autorsierung und Inhaltsüberprüfung für eine große Palette an Line-of-Business (LOB) Anwendungen zu gewährleisten.

DIese Technologien ermöglicht es mobilen und Remote-Arbeitern einfachen, raschen und sicheren Zugriff auf Basis verschiedener Dienste (Kioske, PCs, mobile Geräte). Und die Administratoren können sicherstellen, dass Compliance gegeben ist, indem zB die Einhaltung gewisser Unternehmensrichtlinien eingefordert wird.

Zum besseren Verständnis hier eine Übersicht:

Die Vorteile noch mal zusammengefasst:

Sicherer Remote-Zugriff: Sicherer Zugriff für Mitarbeiter, Partner und Kunden – unabhängig von Gerät und Standort.
Sicherheit für Geschäftsstellen: Verbesserte Verbindung und Sicherheit für Remote-Standorte.
Internet-Zugriffsschutz: Absicherung der IT-Infrastruktur gegen Gefahren aus dem Internet.

Damit sollte jeder wissen, was mit IAG grundsätzlich alles möglich ist.Falls Ihr an mehr Details interessiert seid, seid Ihr hier richtig: http://www.microsoft.com/germany/forefront/iag/default.mspx.

Ach ja, eines hat mich Barbara, unsere Webcast-Produzentin, noch wisen lassen. Der Link für den nächsten Webcasts steht bereits fest. Ich poste Euch diesen gleich, und verabschiede mich mit dem Hinweis, dass wir auch nächsten Monat wieder attraktive PREISE verlosen werden (natürlich nur für die aktiven Teilnehmer im Security Webcast ).

So, hier der Link:

https://www.livemeeting.com/cc/emea/join?id=SECURITYWEBCASTNOVEMBER2007&role=attend

Stay secure,

Captain Tom (aka Thomas Rothen)

Mit "High Performance Computing" (HPC) werden Rechenarbeiten durchgeführt, deren Bearbeitung eine hohe Rechenleistung oder Speicherkapazität benötigt, beispielsweise in den Gebieten Meteorologie, Physik, Chemie, Biologie, Genetik, Strömungsmechanik, u.v.m, aber auch in Nicht-Wissenschaftlichen Bereichen wie Finanzwirtschaft, Animationserstellung, Produktion, etc. Die Liste der 500 größten Supercomputer sind bislang von proprietären RISC und Unix basierten Systemen wie Cray, SGI, Hewlett-Packard und IBM beherrscht.

Microsoft ist in die Welt des HPC eingestiegen und bietet  mit dem "Compute Cluster Server" (CCS) auch ein umfangreiches technologisches Angebot dazu: Windows Compute Cluster Server 2003. Die Vorteile des CCS sind u.a. die einfache Umgebung (ease of use), die integrierte Applikationsplattform, Security, Active Directory Services und das gewohnte Windows Betriebssystem um eine leistbare und sichere HPC-Lösung zu gewährleisten.

Laut einer Studie IDC wird übrigens der HPC Server Markt stärker als die üblichen IT-Segmente wachsen und zwar von einem Umsatz von über 10 Milliarden US$ im Jahr 2006 auf 14 Milliarden US$ im Jahr 2010. Als Grund werden vor allem fallende Hardware-Kosten und effiziente Nutzung der Mehrkern-Technologien sowie steigende Verfügbarkeit von verteilten Anwendungen genannt.

Gute Startpunkte zur Erforschung der HPC-Möglichkeiten und der Technologie:

• Windows Compute Cluster Server 2003 (Die Home-Site)
• Windows Compute Cluster Server TechCenter (SP1, Webcasts, etc.)
• TechNet CCS (Technical Library)
• Evaluate Windows Compute Cluster Server 2003 today (Voraussetzungen: 64bit-CPU, 2 Partitionen)
• Scripting for Compute Cluster Server (Die Toolbox f��r Automatismen in CCS)
• Ready Blog Austria (u.a. mit einem Link zu einer Studie der Harvard Research Group über CCS).

In Kürze wird es auch ein zweitägiges, kostenloses Training zu High Performance Computing geben! Details dazu finden Sie baldigst in Gerhard´s Marktbeobachtungen. Happy computing!

Beitrag von Toni Pohl 

Nachstehend gebe ich Euch einen Überblick über die TechNet Webcasts, die meine deutschen Kollegen in nächster Zeit durchführen. Mehrere der Webcasts behandeln wieder unsere Launch-Produkte, Windows Server 2008 und SQL Server 2008. Auch der neue System Center Virtual Machine Manager 2007 wird im November in mehreren Webcasts vorgestellt.

Beitrag von: Barbara Reiff

Wie kann man sich sicher sein, dass der Rechner, der sich gerade am Netzwerk anmeldet, auch wirklich sicher ist? Richtlinien in Kraft? Viren-Signatur aktuell?

Anforderungen/Zielsetzung von NAP:

• Zentrale Konfiguration eines Satzes mit Richtlinien, die festlegen, welchen Status ein Remotecomputer haben muss.
• Überprüfung des Systemstatus bevor ein Zugriff auf das private Netzwerk oder Ressourcen in diesem Netzwerk gewährt wird.
• Isolation von Computer mit fehlerhaftem Status in einem eingeschränkten Netzwerk, das Ressourcen enthält, mit denen der Computer in einen passenden Status versetzt werden kann.

Serverseitig braucht man Windows Server 2008, der NAP
Client ist bereits in Windows Vista integriert, bei XP versteckt
er sich im SP3.

Und läuft das auch? Jaaa,... Microsoft hat im März 2007 intern 30.000 Clients eingebunden, mit August waren es dann bereits 120.000 Clients. Interessant:

• Number of NAP related helpdesk calls on day one:  0.
• Number of desktops assumed to be compliant, but weren’t, but now are because of NAP:  hundreds.
• Number of things that worked as expected:  Every.

Mehr zu den Erfahrungen des internen Deployments: Time for your NAP (März 07) und Microsoft IT: 120,000 NAP Clients deployed - it's just too darn easy! (August 07)

Auf Channel 9 hat das NAP Team, vertreten durch Jeff Sigman und Brent Atkison, ein Video gepostet, über die Entwicklung von NAP.

System Center Configuration Manager 2007 und Network Access Protection (oder abgekürzt: SCCM & NAP) passen sehr gut zusammen, mehr dazu auf der SCCM/NAP TechNet Seite.

Mehr Information zu NAP

• NAP Blog
• NAP Forum
• NAP Site

Beitrag von Georg Binder

Diese Fehlermeldung ist mir nun schon bei zwei Umstellungen von Exchange 2003 auf Exchange 2007 unterlaufen. Grund genug sie zu veröffentlich, da die Lösung, zumindest bei den beschriebenen Umgebungen, zwar trivial aber nicht leicht zu finden ist. Sie zeigt sich in der Warteschlangenanzeige eines Exchange 2007 Servers mit der Hub-Tranport Rolle und lautet im kompletten Text.

451 4.4.0 Primary target IP address responded with: "454 4.7.0 Temporary authentication failure." Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts

Wie kommt es nun dazu. Im ersten Fall trat der Fehler bei der Kommunikation zwischen Exchange 2007 und Exchange 2003 auf, als ich sämtliche Replikate der Öffentlichen Ordner übernehmen wollte. Im zweiten Fall bei der Kommunikation zwischen zwei Exchange 2007 Servern, doch dazu später.

Die Fehlermeldung deutet auf einen Authentifizierungsfehler hin. Prinzipiell kommunizieren Exchange Server untereinander über das SMTP Protokoll. Diese Kommunikation erfolgt jedoch immer authentifiziert. Wobei als Authentifizierungsmethode zwischen zwei Exchange 2007 Server Kerberos und bei Exchange 2003 GSSAPI-NTLM verwendet wird. Ausführlichere Informationen dazu finden sich unter:

• Exchange 2007 Transport Permissions Model

Bei meinem ersten Problem mit dem Exchange 2003 Server war der Internet Mail Flow am Exchange 2003 Server schlecht konfiguriert, es gab keinen dedizierten Connector und es wurde direkt der SMTP Dienst konfiguriert. Hier wurde die Integrierte Windows Authentifizierung deaktiviert. Dadurch konnte sich der Exchange 2007 Server nicht authentifizieren und verweigerte die Zustellung der Nachrichten. Ein Fehler der recht einfach zu beheben war.

Das zweite Problem gestaltete sich etwas komplizierter. Das Konfiguration bestand aus zwei Exchange 2007 Servern mit der Hub-Transport Rolle. Server 1 sollte direkt Mails aus dem Internet empfangen und senden können. Es war also kein Server mit der Edge Server Rolle vorgesehen. Entsprechend der Dokumentation unter How to Configure Internet Mail Flow Directly Through a Hub Transport Server wurde beim Default Receive Connector die Berechtigung für Anonyme Benutzer gegeben. Weiters wurde am Default Connector ein Full Qulified Domain Name angegeben. Ein FQDN sollte bei jedem SMTP Dienst im Internet konfiguriert sein, entsprechende RFCs (RFC821, RFC2821) schreiben einen gültigen Host Namen im Ablauf der SMTP-Kommunikation vor. Ab diesem Zeitpunkt konnte Server 2 keine Nachrichten mehr an Server 1 zustellen. Mit der oben angeführten Fehlermeldung ging in diesem Fall auch ein Event Log Eintrag einher:

Quelle: MsExchangeTransport
Event ID: 2017
Fehler TargetUnknown bei der ausgehenden Authentifizierung für den Sendeconnector "Organisationsinterner SMTP-Sendeconnector". Der Authentifizierungsmechanismus ist ExchangeAuth. Das Ziel ist SMTPSVC/mail.contoso.com

Details zu diesem Eventlog Eintrag finden sich hier.

Wobei mail.contoso.com der am Server 1 eingetragene FQDN ist. Eine intensive Studie der Exchange Dokumentation, speziell des Artikels Receive Connectors, lieferte zu dem Problem noch die Notiz, daß man auf dem Default Empfangsconnector (welcher automatisch angelegt wird) keinen FQDN setzen sollte da sonst, bei mehreren Hub Transport Servern, der interne Mail Flow nicht mehr funktioniert.

So weit so gut, es gibt nun mehrere Möglichkeiten dieses Problem zu umgehen:

1. Einen Edge Transport installieren: Die absolut empfohlene Methode!
2. Den FQDN löschen: Nicht zu empfehlen, da ja niemand gegen die RFC verstoßen will.
3. Die Security aufweichen und die Exchange Server zu zwingen, gegenseitig keine Authentifizierung zu benötigen: Lehne ich persönlich strikt ab. Security ist nicht immer angenehm aber wird immer notwendiger.
4. Einen weiteren Empfangsconnector für den Internet Mail Flow konfigurieren und den Default Connector entsprechend durch IP Adressen einschränken: Sicherlich ein gangbarer Weg, den ich aber selbst nicht probiert habe.
5. Den Authentifizierungsfehler beseitigen: Für diesen Weg habe ich mich entschieden und eine Lösung gefunden.

Auf der Suche nach dem Authentifizierungsfehlers blieb ich immer an der Formulierung des Eventlog Eintrags hängen, hier vor allem an der Bezeichnung: SMTPSVC/mail.contoso.com. Nachdem natürlich die DNS Einträge dahingehend überprüft wurden, daß die beiden Hub Transport Server sich prinzipiell finden, war klar, dass sich der Zielserver für diesen Name als nicht zuständig bewertete. Da ich schon des öfteren Probleme mit der Kerberos Authentifizierung hatte, besonders bei Sharepoint Seiten die ebenfalls unter einem FQDN gehostet wurden welcher nicht dem Servernamen entsprach, hatte ich die Vermutung, es könnte an einem fehlenden Service Principal Name (SPN) liegen. Der Service Principal Name wird bei Kerberos dafür verwendet, das genaue Service des Zielservers zu identifizieren für den ein Client ein Kerberos-Ticket beantragt. Eine gute Unterstützung zur Fehler such findet sich unter Troubleshooting Kerberos Errors. Und dies ist auch im vorliegenden Fall die Lösung des Problems, es ist nur nötig, den eingetragenen FQDN zusätzlich als SPN für das Smtp Service (SMTPSVC) zu registrieren. Am einfachsten läßt sich dies mit dem setspn Utility aus den Windows Support Tools erreichen. Der korrekte Aufrauf lautetet in dem beschrieben Fall:

setspn -A SMTPSVC/mail.constoso.com server1

Wobei server1 den Netbiosnamen oder den Domainnamen des Servers bezeichnet. Ein Anleitung zum setzen des SPN findet sich unter Registrieren von Kerberos-Dienstprinzipalnamen (wenn auch hier im Zusammenhang mit HTTP und SQL Server 2005). Eventuell ist nach setzen des SPN ein Serverneustart erforderlich.

Beitrag von Heinrich Pommer

Hallo liebe Sicherheits-Gemeinde!

OK - ich weiß ich bin spät dran - ich gehe natürlich davon aus, dass die aktuellen Sicherheitsupdates sowieso schon auf jedem verwalteten Geräten eingespielt sind. Entweder durch fleißige Administratoren oder automatisch via Updatefunktion.

Für alle, die es noch nicht wissen: Microsoft hat also für Oktober 6 neue Sicherheitsupdates veröffentlicht, davon 4 mit maximalem Schweregrad kritisch, 2 mit maximalem Schweregrad hoch.

Die Security Bulletins sind nummeriert von MS07-055 bis MS07-060 und behandeln Sicherheitsanfälligkeiten im Kodak Bildbetrachter, in Outlook Express und Windows Mail, in Word, im RPC-Protokoll, in Windows Sharepoint Services 3.0 und Office Sharepoint Server 2007 sowie im Internet Explorer (kumulatives Update).

Details findet Ihr hier: http://www.microsoft.com/austria/technet/bulletin/ms07-oct.mspx.

Bitte beachtet auch den Termin für den Webcast zu den Security Bulletins - ja, wir haben auch wieder ein zusätzliches Thema: IAG. Steht für eine Lösung von uns - Microsoft Intelligent Application Gateway 2007. Diese Lösung unterstützt Euch vor allem beim sicheren Zugriff auf Daten - und zwar unabhängig vom Gerät und Standort! Ich will noch nicht zuviel verraten, schaut Euch einfach den Webcast an.

Der nächste Webcast findet am Freitag, 12.10, 2007 um 10:00 statt. Und hier könnt Ihr Euch anmelden: http://www.microsoft.com/austria/technet/technet_security_webcasts.mspx

Die Veranstaltung wird wieder aufgezeichnet, Ihr könnt sie also auch nachher "konsumieren".

Ja, das war es in aller Kürze.

Stay safe,

Captain Tom

Microsoft´s Webserver Internet Information Server geht in eine neue Runde: mittlerweile ist die Version 7 als "major upgrade of IIS" in Windows Vista und in Windows Server 2008 verfügbar: IIS7

Das Ziel des IIS-Teams war einfach: den besten Webserver zu schaffen, den Microsoft je hervorgebracht hat. Webserver sind heutzutage ja mehr als einfache Maschinen, die Webseiten liefern und Logfiles schreiben, sondern Applikations-Server mit Security, Services, Lifecycle-Mechanismen, Automatismen, Balancing und weiteren Fähigkeiten.

Eine Liste der neuen Funktionen des IIS ist auch unter Overview of Available Features in IIS 7.0 zu finden:
IIS7 ist inklusive der Version Windows Vista Home Premium Edition aufwärts Bestandteil des Betriebssystems und natürlich in allen Windows Server 2008-Versionen integriert. FTP ist beispielsweise ab Windows Vista Ultimate, Business und Enterprise Editions verfügbar.

Hier nun einige Highlights in einer kurzen Zusammenfassung:

• Alle Anfragen an den Server (requests) verstehen nun HttpModules und HttpHandlers . Damit werden Themen wie authentication, authorization, logging, url-rewriting, auditing usw. und .NET sehr einfach verwendbar.
• Die ASP.NET configuration ist nun in IIS integriert. IIS verwendet nun dasselbe web.config Modell wie ASP.NET Applikationen. Damit können default pages, IIS security, logging einfach in der web.config eingestellt und diese dann per FTP auf den Webserver kopiert werden! Sehr praktisch, um eine ganze Webapplikation weiterzugeben oder für Hosting-Szenarien...
  
• Es gibt ein integriertes Admin UI-Werkzeug, mit welchem Membership, Roles und Provider administriert werden können. Es gibt eine klare Trennung zwischen den einzelnen Kategorien und Einstellungen.
• Besseres Error-Handling durch "Failed Request Event Buffering". Damit können dem Benutzer genauere Informationen mitgeteilt werden. Zusätzlich gibts noch Anweisungen, wie der Fehler möglicherweise behoben werden kann:
     
• Neue API und command-line-tools: Webs anlegen, ändern, Stati anzeigen usw. Damit ist es beispielsweise rasch möglich, alle aktiven worker-Processes anzuzeigen und wie lange sie bereits laufen. Mit Scripts sind diese "alltäglichen Arbeiten" dann leicht abrufbar und automatisierbar.

Mehr Infos zu IIS7 gibt u.a. in Scott Guthrie´s blog und im IIS DownloadCENTER. Hier gibt´s Tools, Beispiele und Scripts für IIS6 und IIS7. Ein eigenes Video The .NET SHOW: Robert Hess interviews Bill Staples and Scott Guthrie about IIS7 zeigt eine Diskussion und einige der neuen Features des IIS7. Eine neue IIS-Ära beginnt!

Beitrag von Toni Pohl

Bei der TechNet on Tour, mit der wir in den letzten 2 Wochen auf Tour quer durch Österreich waren, konnten wir über 320 Teilnehmer begrüßen. Die Vorträge waren rund um die Microsoft Plattform, sowie speziell auf die neuen Produkte Windows Server 2008, SQL Server 2008 und Visual Studi 2008 (nur in Linz, Graz und Wien) ausgerichtet.

Für all jene, die nicht auf der TechNet on Tour teilnehmen konnten, aber trotzdem gerne die Präsentationen oder die Webcasts sehen möchten > einfach auf den jeweiligen Link klicken.

Beitrag: Barbara Reiff

Ab sofort können Sie Ihrer Sammelleidenschaft freien Lauf lassen und Ihr CollectIT-Stickeralbum mit virtuellen Pickerln füllen! Nicht nur eine gute Gelegenheit, Hardware, Software, EM-Karten, Nespressomaschinen und eine Reise zu gewinnen, sondern natürlich in erster Linie, um sich mit Informationen rund um den Launch von Windows Server 2008, SQL Server 2008 und Visual Studio 2008 zu versorgen. 

 Mitmachen und Gewinnen unter: www.microsoft.com/austria/collectIT

Beitrag von: Barbara Reiff

Seit kurzem ist dieses Tool im Downloadbereich vefügbar. ADTD liest die Active Directory Konfiguration und generiert automatisch anschauliche Visio Diagramme über die Active Directory und Exchange Topologie. Dargestellt werden Domänen, Standorte, Server, Administrative Gruppen, Routing Gruppen und Connectoren. Ein Muß für jede Dokumentation.

Zu finden ist dieses Tool unter: Microsoft Active Directory Topology Diagrammer

Erwähnen möchte ich auch, dass Visio auch direkt Active Directory Informationen auslesen kann. Zu finden unter Extras->Add-Ons->Pläne und Grundrisse->Daten importieren..., jedoch werden hier keine anschauliche Diagramme erstellt, sondern nur entsprechnde Shapes mit Informationen verknüpft. Für alle Programmierer sei auch noch auf folgende Seite verwiesen, wo beschrieben wird, wie Active Directory Informationen mit Visio verknüpft werden können: Integrating Visio 2007 and Active Directory

Beitrag von Heinrich Pommer

Jeff Atwood von Coding Horror hat sich mal angesehen, welcher Font für Code "der Beste" ist. Und zwar mit und ohne ClearType, fett und normal, usw... und da gibt es schon große Unterschiede, und doch einen eindeutigen Gewinner. Consolas! Aber alleine der Vergleich auf Jeffs Blog ist nett zum Ansehen:

Link: Coding Horror: Revisiting Programming Fonts

Beitrag von Georg Binder

Was macht so ein Thema in einem sonst von aktuellen Informationen gefüllten Technet Blog? Eigentlich sind doch Roaming Profiles schon hinlänglich bekannt und es sollte kein Thema sein dies einzurichten beziehungsweise zu verwenden. In der Praxis sieht es leider jedoch anders aus. Ich treffe immer wieder auf Installationen wo zum Beispiel jeder User einen eigenen Share nach der Art \\Server\username$ erhält, was die Useranlage deutlich verkompliziert oder sich Administratoren darüber beschweren, daß es Ihnen nicht möglich ist, die User Profile auf Grunde fehlender Rechte zu administrieren. Da diese Probleme in der Praxis häufiger zu finden sind als man glaubt, möchte ich hier ein paar Tips geben, um den Umgang mit Roaming Profiles zu erleichtern.

Wie legt man die Profil Ordner am Server an?

 Die einfachste Antwort ist oft die Beste: Gar nicht. Der Client kann seinen Ordner selbst anlegen und auch gleich die notwendigen Rechte vergeben. Um hier jedoch nicht Tür und Tor zu öffnen ist es aber nötig, den darüber liegenden Ordner mit entsprechenden Rechten zu versehen. Microsoft Technet empfiehlt dazu folgende NTFS Zugriffsrechte:

Die "User Benutzergruppe" sollten jene Gruppe kennzeichnen, in der sich die entsprechenden Benutzer der Domäne befinden. Für kleinere Installation wird es sich meist um die Gruppe "BENUTZER" handeln.
Ob Administratoren Profile lesen dürfen ist eine Unternehmens-Politische Entscheidung. Bei großen Installationen ist eine feine Aufteilung der Administrations-Rollen unbedingt erforderlich und es macht Sinn den Zugriff auf die Daten zu begrenzen. Bei den meisten Installation im KMU Bereich genießt die EDV-Abteilung jedoch vollstes Vertrauen und ist auch mit vollen Rechten ausgestattet. Daher wird auch der Administratoren Gruppe Vollzugriff auf "Diesen Ordner, Unterordner und Dateien" gegeben. Um zu verhindern, daß Administratoren der Zugriff auf die Profile selbst wieder weggenommen wird (Standardeinstellung bei Roaming Profiles) ist es nötig eine Gruppenrichtlinien Einstellung zu aktivieren:

Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile/Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen 

Diese Einstellung funktioniert aber nur während der Profilerstellung, hat also keinen Einfluß auf bestehende Profile. Ist das Profil bereits angelegt und hat der Administrator keinen Zugriff so ist es nötig zuerst als Administrator den Besitz über das komplette Profil zu übernehmen, die Rechte nach obigen Schema wiederherstellen und abschließend unbedingt wieder den User als Besitzer festlegen. Dies ist insofern nötig, da durch die obigen Einstellungen explizit dem Besitzer Rechte gegeben werden.
Sollte dieses Verfahren aus historischer Sicht nicht so leicht umzusetzen sein, so kann man natürlich auch dem Benutzer selbst mit Vollzugriff auf sein Verzeichnis ausstatten. Die Notwendigkeit der Besitzrechte lassen sich mittels Gruppenrichtlinie auch ausschalten:

Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile/Eigentümer von servergespeicherten Profilen nicht prüfen

Bei den beiden Gruppenrichtlinien Einstellungen sei zu beachten, daß es sich um Computereinstellungen und nicht um Benutzereinstellungen handelt, dies bedeutet, daß die Einstellung nur auf Computerobjekte vererbt wird. Zum Thema Gruppenrichtlinien sei auch folgende Einstellung unbedingt empfohlen:

Computerkonfiguration/Administrative Vorlagen/System/Anmeldung/Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten

Diese Einstellung bewirkt, daß der komplette Netzwerkstack gestartet wird bevor der Anmeldeschirm erscheint. Dies mag auf den ersten Blick den Anmeldeprozeß verlangsamen bringt aber bei genaueren Betrachtung innerhalb von Domänen eine Geschwindigkeitsverbesserung mit sich. Insbesondere dann, wenn auch mit Ordnerumleitung und Offline Dateien gearbeitet wird.

Die Freigabe

Nachdem nun die Verzeichnisstruktur entsprechend erstellt wurde muß natürlich auch noch ein Zugang für die Clients geschaffen werden. Freigegeben wird empfohlenerweise der Stammordner der Profile selbst. Hier wird auch oft ein "$"-Zeichen verwendet um die Sichtbarkeit in der Netzwerkumgebung zu unterdrücken. Es ist aber auch möglich, die Freigabe über DFS zu veröffentlichen und in weiterer Folge über DFSR auf mehrere Server zu replizieren um die Ausfallssicherheit zu erhöhen. Die Rechte sollten so gesetzt sein, daß Administratoren, SYSTEM und die entsprechende Benutzergruppe Vollzugriff erhalten.
Einen wichtigen Punkt gibt es noch zu beachten. Bei dem Punkt "Zwischenspeichern" bei der Freigabe ist unbedingt der Punkt "Dateien oder Programme der Freigabe nicht offline verfügbar machen" auszuwählen, da es sonst zu Problemen kommen kann.

Offlinedateien werden im Bereich der Profile nicht unterstützt. Aus diesem Grunde ist es auch wichtig für die Profile eine separate Stamm-Freigabe einzurichten und diese nicht mit anderen Daten wie umgeleitete Ordner, Homeverzeichnisse oder Arbeitsgruppenverzeichnisse zu mischen.

Active Directory

Damit nun Roaming Profiles für die einzelnen Benutzer auch aktiv werden ist natürlich ein entsprechender Eintrag im Benutzerobjekt im Active Directory vorzunehmen. Hier möchte ich dringend anraten den Loginnamen zu verwenden. Am einfachsten erreicht man dies, indem man immer %username% verwendet. Diese Methode ermöglicht es z.B. dieses Attribut gleich bei mehreren Benutzerobjekten gleichzeitig zu ändern. Es hat auch Vorteile wenn ein  neuer Benutzer durch das Kopieren eines bestehenden Benutzers angelegt wird. In diesem Fall erhält auch der neue Benutzer den richtigen Pfad, da beim Kopieren der Loginname erkannt und ersetzt wird. Vorsicht ist nur beim Ändern des Loginnames (z.B. wegen Namensänderung) geboten, hier wird werde das Profil Attribut noch der Pafd selbst nachgezogen. Hier ist Handarbeit nötig.

Windows XP versus Vista

Sind nun die angeführten Punkte alle erfüllt so wird beim Anmelden eines Benutzers ein neues Profilverzeichnis erstellt welches mit den gewünschten Rechten ausgestattet ist. Der Name des Verzeichnisses ist unter Windows XP wie zu erwarten und im Active Directory angegeben der Loginname. Unter Vista jedoch wird dem zu erwartenden Namen noch ein ".V2" hinzugefügt. Mit Vista wurde die komplette Struktur der Profilordner grundlegend verändert und um dieser Änderung Rechnung zu tragen wird mit V2 die Version 2 für den Profilordner bezeichnet. Dies bedeutet aber auch, daß es nicht möglich ist, Daten zwischen einem XP-Profil und einem Vista-Profil zu sharen. Meldet sich ein Benutzer unter beiden Betriebssystemen an, so existieren zwei unterschiedliche Profile. Um Daten von einem Windows XP Profil in ein Vista Profil überzuführen oder mitzunehmen gibt es den Assistenten "Übertragen von Dateien und Einstellungen". Alternativ besteht die Möglichkeit Ordnerumleitungen zu verwenden. Umgeleitete Ordner (Eigene Dateien, Anwendungsdaten, Desktop usw.) können von beiden Betriebssystemen aus verwendet werden. Dies ist besonders bei beim Umstieg auf Vista zu beachten.

Kopieren von Profilen

Servergespeicherte Profile zu kopieren ist an und für sich kein Problem, solange die Rechte erhalten bleiben. Mein bevorzugtes Tool dafür ist xcopy da es hier möglich ist mit den Parameter /O die kompletten ACL's mitzunehmen. Ein Kopieren zwischen verschieden Benutzern ist jedoch direkt nicht möglich. Das Problem liegt hier weniger an den Rechten im Filesystem, diese könnte man neu setzen, sondern an den Rechten in der Registry Datei ntuser.dat. Diese Datei enthält die komplette Benutzer spezifische Registry und auch innerhalb der Registry gibt es Berechtigungen, wie sich leicht mit regedit überprüfen läßt. Und genau hier liegt das Problem, es ist leider nicht möglich einen anderen Benutzer einfach Vollzugriff auf den kompletten Registry-Baum zu geben, da ein Benutzer nicht in allen Pfaden vollen Zugriff hat beziehungsweise haben darf. Grund dafür sind zum Beispiel die Gruppenrichtlinien für Benutzer. Gruppenrichtlinien werden vom System in eigenen Unterbäumen gespeichert (z.B. HKCU\Software\Policies), dies ist notwendig, damit das System Richtlinien auch wieder entfernen kann. Durch diese Methode werden die ursprünglichen Standard-Werte in der Registry nicht überschrieben. In diesen Unterbäumen darf der Benutzer natürlich keine Schreibrechte besitzen, da er sonst die vom Administrator vorgegebenen Richtlinien verändern könnte. Ein nachträgliches "Pflegen" der Rechte innerhalb der Benutzer-Registry ist also kompliziert und daher nicht anzuraten. Es gibt jedoch eine Möglichkeit, diese Rechte vom System setzen zu lassen, diese funktioniert nur bei einem Profil welches sich im "Dokumente und Einstellungen" Verzeichnis beziehungsweise unter Vista im "Users" Verzeichnis befindet. In den Systemeigenschaften unter Erweitert, Benutzerprofile, Einstellungen (unter Vista erreicht man die Systemeigenschaften mit "Erweiterte Systemeinstellungen") ist der Punkt "Kopieren nach" enthalten.

Mit dieser Aktion wird der "Roaming" Teil eines Profils an eine andere Stelle kopiert und zusätzlich die Berechtigungen auf den angegebenen Benutzer gesetzt. Dies ist auch ein hervorragender Weg um während einer Migration lokale Profile in servergespeicherte Profile zu verwandeln. Es besteht dadurch auch die Möglichkeit, Profile lokaler Benutzer in servergespeicherte Profile für einen Domänen Benutzer zu migrieren. Jede andere Methode Profile zu kopieren oder einem anderen Benutzer zugänglich zu machen schlägt meiner Erfahrung nach fehl oder ist mit wesentlich Problemen oder mühseliger Handarbeit verbunden.

Default und Mandatory Profile

Oft ist es erwünscht, das Profil für Benutzer von Beginn an entsprechend anzupassen. Standardmäßig wird für das erste Profil eines Benutzers das "Default" beziehungsweise "Default User" Profil des Computers verwendet (versteckter Ordner). Wurde auf dem Computer das Betriebssystem vom Hardware Hersteller vorinstalliert so ist dieses Profil meist mit speziellen Konfigurationen wie Hintergrundbilder, speziellen Menüpunkten, Desktopsymbolen oder Ähnlichem versehen. Will man innerhalb der Domäne konsistente Einstellungen erreichen, so sollte man neben Gruppenrichtlinien auch ein unternehmensweites Default Profil erstellen. Um dieses zu erreichen genügt es einfach das gewünschte und angepaßte Profil in ein Verzeichnis mit dem Namen "Default User.V2" für ein Vista Profil oder "Default User" für ein unter Windows XP erstelltes Profil auf die Netlogon Freigabe eines Domain-Controllers zu kopieren. Dieses Profil gilt dann für alle Benutzer welche sich innerhalb der Domäne das erste Mal anmelden. Eine Möglichkeit für Gruppenspezifischer Profile gibt es leider nicht. Es sei hier nochmals erwähnt, dass das Kopieren wieder über die Systemeigenschaften erfolgen sollte, als Benutzer des Profils sollte die Gruppe Jeder (Everyone) angegeben werden.
Abschließend sei auch noch die Möglichkeit von Mandatory und Super Mandatory Profilen erwähnt. Eine Mandatory Profil allgemein ist ein vorgegebenes Profil, welches durch Benutzer nicht verändert werden kann. Eine ähnliche Einschränkung läßt sich auch durch Gruppenrichtlinien erzielen, welches das Zurück-Schreiben des Profils unterbinden. Um ein Mandatory Profil zu erstellen oder genauer gesagt um aus einem bestehenden Profil ein Mandatory Profil zu machen muß einfach die Datei ntuser.dat in ntuser.man umbenannt werden. Mandatory Profile können Benutzerspezifisch sein oder können auch von mehreren Benutzern verwendet werden. Für den zweiten Fall wäre beim Kopieren des Musterprofiles als Benutzer wieder die Gruppe Jeder anzugeben, und der entsprechende Pfad bei allen entsprechenden Benutzerobjekten einzutragen. Steht das Mandatory Profil zum Zeitpunkt der Anmeldung nicht zur Verfügung so erzeugt das Betriebssystem ein temporäreres Profil auf Basis des Default Profils (lokal oder Domänenweit). Dieses Verhalten, welches auch bei nicht Mandatory Profilen auftritt, läßt sich mittels Gruppenrichtlinie verhindern. Alternativ kann bei Mandatory Profilen ein sogenanntes Super Mandatory Profil verwendet werden, welches vom Betriebssystem geladen werden muß oder die Anmeldung der derart konfigurierten Benutzer wird verhindert. Um ein Super Mandatory Profil zu konfigurieren muß einfach am Profilordner selbst die Erweiterung ".man" angegeben werden. Für Vista wäre die korrekte Erweiterung ".man.V2". Diese Erweiterung ist natürlich auch im Profil Pfad im Active Directory Benutzerobjekt anzugeben (Nur die .man Erweiterung, nicht die .V2 für Vista). Auch hier kann wieder ein Profilpfad für mehrere Benutzer verwendet werden.

Jetz sollte eigentlich einer erfolgreichen Implementierung nichts mehr im Wege stehen. Weitere Informationen finden sich unter:

• Implementing Roaming User Profiles
• Managing Roaming User Data Deployment Guide 
• User Profiles and Folder Redirection FAQ

Beitrag von Heinrich Pommer

Die neue Microsoft-Office 2007 Familie verwendet Open XML File-Formate für Word, Excel und PowerPoint - benannt als Office Open XML Format. Diese sind ab 2007 als Standard-Format voreingestellt (können aber jeweils in den Optionen geändert werden) und heißen nun .docx, .xlsx, .pptx. Wenn in den Dokumenten Makros vorhanden sind, wird das finale "x" durch ein "m" ersetzt, also beispielsweise .docm, .xlsm, pptm. Die Vorlagen heißen nun ebenfalls .dotx, etc.

Die Vorteile des neuen Dateiformats sind weniger Platzverbrauch (durch ZIP-Technologie), Interoperabilität und einfache Bearbeitungsmöglichkeiten. Jeder, der mal versucht hat eine binäre Word-Datei .doc ohne Word zu bearbeiten oder sich mit Word Automation befasst hat, weiß, dass dies nun eine wesentliche Vereinfachung im Umgang mit Informationen darstellt, XML sei Dank.

Die neuen Dateiformate sind strikt getrennte XML-Dateien, die in einem ZIP gepackt sind. Das Microsoft-NET-Framework 3.0 bietet Bibliotheken und Funktionen zum Bearbeiten dieser Dateien.

Es gibt bereits eine Reihe von Informationen zum neuen Office Open XML Format:

• Office Open XML Formats Resource Center - Microsofts XML Office Developer Portal
• OpenXML Developer Web - Web mit Spezialisierung auf Open XML
• ...und dort ein neues Buch des niederländischen XML-Experten Wouter Van Vugt, das kostenlos heruntergeladen werden kann: Open XML Explained e-book

Mit dem neuen Dateiformat sind ganz tolle Funktionen umsetzbar. Zum Beispiel automatisches Generieren von Rechnungen als Word-Dokument aus einer Applikation heraus, XML-Bausteine oder Grafiken in bestehende Dokumente einfügen oder löschen und vieles mehr. Eine schier riesige Menge an Möglichkeiten im Umgang mit Office-Dokumenten!

Beitrag von Toni Pohl