Forefront Threat Management Gateway BETA

mpriem — Wed, 10 Dec 2008 23:25:00 GMT

Zoals voor velen al bekend houdt de merknaam ISA Server op te bestaan. Deze veelzijdige security oplossing gaat verder onder de naam Forefront Threat Management Gateway (TMG), waarvan reeds een publieke beta beschikbaar is op http://www.microsoft.com/forefront/stirling/en/us/default.aspx .

TMG is onderdeel van de suite onder de codenaam 'Stirling', waar onder andere ook een centrale management console onderdeel van is. Met deze console kunnen alle producten onder de Forefront merknaam beheerd worden.

Deze post gaat over de installatie van TMG. TMG heeft alles wat ISA Server 2006 heeft, maar installeert daarentegen WEL op Server 2008 en op 64 bits versies. Sterker nog, de uiteindelijke versie draait alleen op 64 bits versies van 2003 en 2008.

Installatie van TMG is zeer eenvoudig en vereist eigenlijk geen configuratie vooraf, behalve vaste IP addressen voor de NICs die gebruikt gaan worden en de volgende systeemeisen:

1GB RAM
150MB disk ruimte
1 NIC voor elk netwerk dat verbonden wordt met TMG.
64 bits architectuur

De installatie zal verder alle prerequisites installeren. In dit geval zijn dat:

Routing en Remote Access Services voor de NAT, remote access en routing diensten.
Internet Information Services voor de reports.
SQL Express voor de opslag van de configuratie en logs.

Na de ISO gebrand en geladen te hebben start de installatie met de volgende stappen:

Welcome Screen à Next
EULA à Next
Customer Information , je naam en bedrijf à Next
Component Selection à Next
Internal Network, waarbij je de iprange van het interne netwerk moet opegeven. à Next

Op dit moment waarschuwt de installatie dat het services gaat herstarten als IIS, Routing en Remote Access en SNMP service. Echter op een kale server zijn deze nog niet aanwezig J
Wanneer je de waarschuwing hebt geaccepteerd, kan er gekozen worden de installatie te starten.

Setup installeert de software en alle benodigde extra componenten. Schijnbaar installeert het enkele fixes, want ik moest tijdens de installatie de server rebooten door een hotfix installatie. Aangezien ik geen internetverbinding had, kan het dus niet anders dat TMG dat heeft gedaan.
Ik moest de setup dus opnieuw starten en alle stappen nogmaals doorlopen. Erg slordig vind ik.

Na de installatie start de Getting Started Wizard waarmee de initiele configuratie gestart kan worden.

De Configure Network Settings sectie stelt je in staat te kiezen uit een aantal netwerk typologieën zoals deze ook aanwezig zijn in ISA Server 2006.

De Configure System Settings stelt je in staat de domain/workgroup en hostname voor je server te configureren. Deze beta is echter alleen geschikt voor Domain installaties zoals de helpfile mij verteld. Ik heb echter een workgroup installatie gedaan en deze werkte wel voor de basis firewall.

De Define Deployment Options is tenslotte bedoelt om MS Update, Customer Experience Reporting en Telemetric Services te configureren. Deze laatste stuurt informatie over malware dat geblockeerd wordt naar Microsoft om verbeteringen in het product aan te brengen. Ik stel dus voor dit in te stellenJ

Na de wizard doorlopen te hebben kan je aan de slag met TMG, en zal je zien dat het eigenlijk nog ISA 2006 is, met wat extra managebility features.

Ik zou zeggen, aan de slag!

MSExchangeIS event id 9874 (icm Forefront)

mpriem — Wed, 23 Apr 2008 17:44:00 GMT

Op verschillende plaatsen heb ik meldingen gelezen over bedrijven die last hebben van eventid 9874:
Event Type: Warning Event Source: MSExchangeIS Event Category: Virus Scanning Event ID: 9874 Date: 3/17/2008 Time: 12:23:57 PM User: N/A Computer: <servername> Description: Unexpected error 0x50a occurred in "EcProcessVirusScanQueueItem" during virus scanning. Mailbox Database: /o=<orgname>/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=<servername>/cn=Microsoft Private MDB Folder ID: 1-24 Message ID: 1-D616AA3D

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Dit event heeft te maken met dat Forefront bepaalde instellingen in het register niet goed kan verwerken. In mijn geval had het te maken met Background scanning opties die niet aanwezig waren in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\VirusScan].

Dit is de juiste inhoud van de key voor een server met alleen de mailboxrole (De ontbrekende DWORDS zijn vet gedrukt):

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\VirusScan]
"Library"="C:\\Program Files (x86)\\Microsoft Forefront Security\\Exchange Server\\FSEVsapiEx.dll"
"BackgroundScanning"=dword:00000000
"ProactiveScanning"=dword:00000000
"ScanRTF"=dword:00000001
"ScanTimeout"=dword:00000258
"EnableScanDeletion"=dword:00000001
"OnAccessScanningRollingLowerAgeLimit"=dword:00360d80
"ReloadNow"=dword:00000000
"Enabled"=dword:00000001
"OnAccessThresholdVersion"=dword:00000001
"BackgroundScanningIgnoreStamp"=dword:00000001
"BackgroundScanningOnlyUnscanned"=dword:00000001
"BackgroundScanningAttachmentMessagesOnly"=dword:00000001

Dit kwam omdat de Background scanning job een keer gedraaid moet hebben om deze key op de juiste manier te vullen. Dit doe je door in Forefront het schedule voor de background scanning job aan te passen dat de job in ieder geval 1 keer draait.

Microsofts best practice is om deze job wekelijks te draaien en dan alleen unscanned berichten te scannen, ontvangen in de laatste week, met attachment.

Just do I(nformation)T(echnology) : Forefront

Forefront Threat Management Gateway BETA

MSExchangeIS event id 9874 (icm Forefront)