Torgeir Bergsvik ved Microsoft om basis infrastruktur : Forefront

DirectAccess og Microsoft Forefront UAG (Unified Access Gateway)

torgeirb — Tue, 23 Jun 2009 11:47:13 GMT

DirectAccess er en teknologi i Windows 7 og Windows Server 2008 R2 som tillater “VPN løs” tilgang til bedriftens interne nettverk så lenge klienten har tilgang til Internett. Fordelene er flere:

Bruker opplever dette som svært behagelig ved at det ikke er behov for å aktivere en dedikert VPN forbindelse for tilgang til interne ressurser.
Bedriftens IT systemer har tilgang til klienten slik at vedlikeholdsoppgaver kan utføres (for eksempel Group Policy og Network Access Protection (NAP)).
Sømløs overgang mellom interne og eksterne ressurser. Typisk eksempel kan være når en e-post mottas som refererer til en intern side, så vil bruker med DirectAccess kunne gå direkte til denne interne siden uten å måtte starte en egen VPN sesjon.

Det er flere forutsetninger som må på plass for at DirectAccess skal virke, slik som at interne systemer som skal eksponeres mot DirectAccess kjører IPv6 (se forøvrig link referanse for IPv4), sertifikat infrastruktur for å understøtte autentisering og kyptering av trafikk til og fra klient (IPSec).

Men, hovedpoenget med denne posten er at Microsoft Forefront Unified Access Gateway (UAG) er en glimrende løsning for å eksponere DirectAccess ut av bedriftens nettverk.

UAG hjelper til med å nå IPv4 servere ved bruk av overgang mellom IPv4 og IPv6 (NAT-PT), høy tligjengelighet og skalerbarhet gjennom Network Load Balancing (NLB), forenklet oppsett og utrulling av DirectAccess, og ikke minst muligheten for å gi tilgang andre typer klienter til definerte interne ressurser (som er den opprinnelige funksjonen til UAG).

Oversikt finnes her: http://blogs.technet.com/edgeaccessblog/archive/2009/06/22/introducing-uag-directaccess-solution.aspx.

God lesing.

Windows Server 2008 Core - Hyper-V RC1 og Forefront

torgeirb — Mon, 09 Jun 2008 23:05:24 GMT

Lærte noe nytt i dag også. Kjører Hyper-V RC1 escrow på tre HP ProLiant BL460C blades med Windows Server 2008 Core, noe som har fungert som en drøm...inntil... jeg ikke fikk lagd noen nye virtuelle maskiner. Prøvde og prøvde, men fikk bare beskjed om at det virtuelle nettverkskortet enten var borte eller ikke tilgjengelig. Forsøkte videre med System Center Virtual Machine Manager, selv om jeg regnet med at dette ikke hadde noe for seg siden den samarbeider med Hyper-V. Samme feil hver gang.

Så, som noe av det mest naturlige av alt hadde jeg helt glemt at anti-virus var installert på core maskinene, Forefront Client Security. Etter å ha avinstallert denne var alt som det skulle være, nye virtuelle maskiner blir installert akkurat i henhold til mine ønsker, både med SCVMM og Hyper-V MMC.

Avinstallasjon av Forefront Client Security på Core gjør du på denne måten:

Se hva som er installert med wmic product get name /value, deretter avinstaller.
wmic product where name="Microsoft Operations Manager 2005 Agent" call uninstall
wmic product where name="Microsoft Forefront Client Security Antimalware Service" call uninstall
wmic product where name="Microsoft Forefront Client Security State Assessment Service" call uninstall

Om alt går greitt får du beskjed om "Method execution successful".

Regner med at dette er et beta problem som løser seg mot release, eller med SP1 av Forefront Client Security. Får sjekke dette så snart jeg kan.

WSUS i forbindelse med distribusjon av agenter

torgeirb — Wed, 11 Jul 2007 11:12:53 GMT

Både System Center Configuration Manager 2007 og Forefront Client Security kan med fordel benytte WSUS for initiell distribusjonv av klienter til datamaskiner. Fordelen er bruk av Group Policy for å lage en avertering av klienten, og WSUS for å foreta selve installasjonen med standard Windows Update agent. Dette er spesielt interessant siden det stiller lave krav til maskinen hvor klienten skal installeres.

I SCCM 2007 må du benytte Software Update Point client installation i følgende steg:

Endre GPO til å referere til intern WSUS server som også kan brukes i sammenheng med SCCM 2007 for oppdatering av klienter.
Legge til administrative template i GPO som beskriver installasjonsparametere for SCCM 2007 klienten.
Publiser SCCM 2007 klienten til WSUS.

Fyldig beskrivelse finner dere her: http://www.blogcastrepository.com/blogs/kim_oppalfenss_systems_management_ideas/archive/2007/05/19/sccm-2007-client-agent-deployment-using-software-updates.aspx

For Forefront Client Security er dette litt enklere siden denne løsningen er tettere koblet mot GPO i utgangspunktet. WSUS er påkrevd for bruk av Forefront Client Security og følgende steg benyttes:

Endre GPO til å referere til intern WSUS server som benyttes av Forefront Client Security. Dette gjøres som en del av Forefront Client Security konfigurasjonen.
Gå inn i WSUS konsollet og sørg for at updates blir synkronisert for deretter å godkjenne "Client Update for Microsoft Forefront Client Security.." for "Install".
Lag en policy i Forefront Client Security som refererer til for eksempel en OU i Active Directory. Denne beskriver hvordan selve klienten skal konfigureres, selve installasjonen blir utført av WSUS.
Det som deretter vil skje er at de maskiner som faller inn under GPO installerer Forefront Client Security agenten og blir deretter meldt inn i administrasjonsløsningen for Forefront Client Security.

Forefront Client Security

torgeirb — Tue, 20 Feb 2007 14:07:00 GMT

Visste du at Forefront Client Security bruker Microsoft Operations Management server i bunn for å administrere klientene.