Ook voor Office Server 2007 heb ik maar even een lijstje met porten opgesteld om dit in samenwerking met Windows Server 2008 advance firewall te gebruiken.

MOSS heeft SMB nodig om de index te propageren naar de Query servers, search query results op te halen van de Query servers, en om de crawl data te versturen naar de Index Server. Verder gebruikt Sharepoint Web Services voor administratie van de farm services en dergelijke. Ook gebruikt MOSS, wanneer SSO geconfigureerd is gebruik de SSO service een dynamische port, geregisteerd bij de RPC endpoint mapper.
Tenslotte dien je voor elke website die niet op standaard HTTP porten draait een gaatje te prikken.

Gebruik de MMC snapin of console om de rules aan te maken, waarbij het aanbevolen is gebruik te maken van de meer geadvanceerde features van de advanced firewall. Je kan namelijk filteren op RPC en RPC-EPMAP porten, en deze zelfs koppelen aan programma's of windows Services. Voor de SSO rules zou ik dus een rule aanmaken waarbij alleen de RPC service en de RPC-EPMAP port zijn toegestaan, en een rule waarbij alleen de Microsoft Single Sign-on service gekoppeld wordt aan een bij de endpoint mapper geregistreerde port.
Daarnaast kan je voor het System process (waar http.sys leeft) een rule maken die de toegang tot de non-default web applicaties en tot de Office Web Services toestaat.
Tenslotte is er al een standaard rule voor SMB, genaamd "File and Printer sharing (SMB-In)", welke geactiveerd dient te worden.

De volgende voorbeeld commando's (wederom voor het domain profiel, zonder profile=domain gelden de rules voor elk firewall profiel) kunnen gebruikt worden via admin console:

netsh advfirewall firewall add rule name="SSO Service dynamic RPC" service=entsso action=allow protocol=TCP dir=in localport=rpc profile=domain8

netsh advfirewall firewall add rule name="RPC endpoint mapper" service=rpcss action=allow protocol=TCP dir=in localport=rpc-epmap profile=domain8

netsh advfirewall firewall add rule name="Sharepoint intranet portal" program=System action=allow protocol=TCP dir=in localport=81 profile=domain8

netsh advfirewall firewall add rule name="Sharepoint web services" program=System action=allow protocol=TCP dir=in localport=56737,56738 profile=domain8

netsh advfirewall firewall set rule name="File and Printer sharing (SMB-In)" new enable=yes profile=domain8

Meer over NetSh advfirewall: http://support.microsoft.com/kb/947709

Meer informatie over MOSS hardening: http://technet.microsoft.com/en-us/library/cc262849.aspx

Windows Server 2008 heeft standaard de firewall enabled staan. SQL Server 2008 heeft in de installatie een check staan voor de firewall maar past het niet zelf aan. Wanneer de installatie voltooid is, heb je dus nog niets aan SQL (behalve lokaal dan J ). Nu kan je de firewall uitzetten, maar dat is natuurlijk niet de manier…. SQL 2008 heeft verschillende componenten en daarbij ook verschillende services. Nagelang de inrichting dienen de porten geactiveerd te worden. Op MSDN is hier een uitgebreid artikel aan gewijd http://msdn.microsoft.com/en-us/library/cc646023.aspx

Hier is echter een kort overzicht van de default standard ports voor de meest gangbare testinstallatie:

Om deze porten te activeren voor het Domain profiel, gebruik je gemakkelijk de volgende commando's vanuit een admin console:

Netsh advfirewall firewall add rule name="SQL Database Engine" dir=in protocol=tcp action=allow localport=1433 profile=DOMAIN8

Netsh advfirewall firewall add rule name="SQL Browser" dir=in protocol=udp action=allow localport=1434 profile=DOMAIN8

Netsh advfirewall firewall add rule name="SQL Broker" dir=in protocol=tcp action=allow localport=4022 profile=DOMAIN8

Netsh advfirewall firewall add rule name="SQL Analysis Services" dir=in protocol=tcp action=allow localport=2383 profile=DOMAIN8

Netsh advfirewall firewall add rule name="SQL Reporting Services HTTPS" dir=in protocol=tcp action=allow localport=443 profile=DOMAIN8

Netsh advfirewall firewall add rule name="SQL Reporting Services HTTP" dir=in protocol=tcp action=allow localport=80 profile=DOMAIN8

Nu kan je denken: "MAAR wacht… We hebben voor de webrules ook predined rules, waarom gebruiken we die niet??".
Klopt… Maar deze zijn niet bruikbaar, omdat deze alleen gelden voor het SYSTEM process waar HTTP.SYS van IIS normaal leeft. We hebben dus eigen webrules nodig voor SQL Reporting Services, daar deze niet langer gebruikt maakt van IIS (http://blogs.msdn.com/bwelcker/archive/2007/12/04/everybody-why-leave-iis.aspx)

De installatie van MOSS op Windows Server 2008 is uiteraard net even anders dan op Windows Server 2003. Hierbij een korte procedure:

1. MOSS installeert alleen op Server 2008 als SP1 in het installatie medium geslipstreamd is. Slipstream dus eerst SP1 (aanbevolen is de laatste updates meteen mee te nemen).
   http://blogs.technet.com/mpriem/archive/2008/12/11/sharepoint-2007-slipstream.aspx
   
2. Installeer vervolgens de .NET 3.0 feature en de Web Server role met IIS6 metabase compatibility en .NET ondersteuning door ze te selecteren uit server manager of het volgende commando uit een admin console te draaien:
   
   ServerManagerCmd.exe –install Web-Server Web-Metabase Net-Framework8
   
3. Ik zou aanraden .NET framework 3.5 SP1 ook meteen mee te nemen.
   http://www.microsoft.com/downloads/details.aspx?familyid=ab99342f-5d1a-413d-8319-81da479ab0d7
   
4. Start vervolgens de installatie van MOSS zoals je gewend bent.

Technet: http://technet.microsoft.com/en-us/library/cc263408.aspx

Suc6!

Bij een farm installatie komt een hele hoop kijken. Gelukkig kunnen we dat redelijk goed automatiseren met een unattended setup, gebruik makend van een config.xml bestand (http://technet.microsoft.com/en-us/library/cc261668.aspx).

Echter dienen ook altijd de laatste updates dienen geïnstalleerd te worden. Slipstreaming is daarbij een term die meteen teboven komt, maar hoe werkt dat nu voor Sharepoint?

Het is eigenlijk heel simpel. In de root van het Sharepoint installatie medium staat een folder /Updates. Tijdens de installatie checked de installer of daar nog .msp bestanden (MSI patch bestanden) die meegenomen moeten worden in de installatie. Nu zijn de patches die je download van download.microsoft.com geen MSI patch bestanden maar executable archives. Het is echter heel simpel om de msp bestanden hieruit te halen.

Op dit moment zijn de benodigde fixes:

Service Packs:

• WSS 3.0 Service Pack 1
• MOSS 2007 Service Pack 1

Feature Packs:

•  Infrastructure update WSS 3.0
•  Infrastructure update MOSS 2007

Update Rollups (October):

• WSS 3.0 Global
• MOSS 2007 Global
• MOSS 2007 Taal specifiek
• MOSS 2007 Workflow Hotfix

Security fix:

• Microsoft Security Bulletin MS08-077 - Important

De procedure is als volgt:

1. Download de fixes.
2. Extract de fixes naar een eigen folder door de volgende parameters mee te geven:
   
   <update.exe> /extract:<path>8
   
   Bijvoorbeeld voor WSS3.0 SP1:
   wssv3sp1-kb936988-x64-fullfile-en-us.exe /extract:C:\Temp\WSSSP18
   
   Meer parameters: http://support.microsoft.com/kb/262841
3. Na alle patches uitgepakt te hebben, kopieer je de complete content van de fixes naar de /Updates folder op het installatie medium.
   Zorg echter dat je de fixes kopieert in de volgorde dat ze zijn uitgekomen en overschrijf bestanden waar nodig. Het gaat hier voornamelijk om de srvsetup.dll en wsssetup.dll. Deze bevatten de installatiemethodes voor de installer, en veranderen soms met een nieuwe rollup. Ook kan het zijn dat bepaalde mps bestanden vervangen worden in de toekomst.

In principe kan je ook gewoon de extract in de juiste volgorde doen, maar ik zie persoonlijk liever wat er precies overschreven wordt. De extract laat dat zien namelijk.

Nu de /Updates folder is gevuld kan je de installatie uitvoeren. Nog een kleine tip… Om van een directory gemakkelijk een ISO bestand te maken die gemount kan worden in een VM, gebruik ik altijd Folder2Iso, een handig freeware tooltje dat niet geïnstalleerd hoeft te worden (losse executable).

Enjoy J

Zoals voor velen al bekend houdt de merknaam ISA Server op te bestaan. Deze veelzijdige security oplossing gaat verder onder de naam Forefront Threat Management Gateway (TMG), waarvan reeds een publieke beta beschikbaar is op http://www.microsoft.com/forefront/stirling/en/us/default.aspx .

TMG is onderdeel van de suite onder de codenaam 'Stirling', waar onder andere ook een centrale management console onderdeel van is. Met deze console kunnen alle producten onder de Forefront merknaam beheerd worden.

Deze post gaat over de installatie van TMG. TMG heeft alles wat ISA Server 2006 heeft, maar installeert daarentegen WEL op Server 2008 en op 64 bits versies. Sterker nog, de uiteindelijke versie draait alleen op 64 bits versies van 2003 en 2008.

Installatie van TMG is zeer eenvoudig en vereist eigenlijk geen configuratie vooraf, behalve vaste IP addressen voor de NICs die gebruikt gaan worden en de volgende systeemeisen:

• 1GB RAM
• 150MB disk ruimte
• 1 NIC voor elk netwerk dat verbonden wordt met TMG.
• 64 bits architectuur

De installatie zal verder alle prerequisites installeren. In dit geval zijn dat:

• Routing en Remote Access Services voor de NAT, remote access en routing diensten.
• Internet Information Services voor de reports.
• SQL Express voor de opslag van de configuratie en logs.

Na de ISO gebrand en geladen te hebben start de installatie met de volgende stappen:

1. Welcome Screen à Next
2. EULA à Next
3. Customer Information , je naam en bedrijf à Next
4. Component Selection à Next
   
5. Internal Network, waarbij je de iprange van het interne netwerk moet opegeven. à Next
   
   
   Op dit moment waarschuwt de installatie dat het services gaat herstarten als IIS, Routing en Remote Access en SNMP service. Echter op een kale server zijn deze nog niet aanwezig J
   Wanneer je de waarschuwing hebt geaccepteerd, kan er gekozen worden de installatie te starten.
   
   Setup installeert de software en alle benodigde extra componenten. Schijnbaar installeert het enkele fixes, want ik moest tijdens de installatie de server rebooten door een hotfix installatie. Aangezien ik geen internetverbinding had, kan het dus niet anders dat TMG dat heeft gedaan.
   Ik moest de setup dus opnieuw starten en alle stappen nogmaals doorlopen. Erg slordig vind ik.
   
   

Na de installatie start de Getting Started Wizard waarmee de initiele configuratie gestart kan worden.

De Configure Network Settings sectie stelt je in staat te kiezen uit een aantal netwerk typologieën zoals deze ook aanwezig zijn in ISA Server 2006.

De Configure System Settings stelt je in staat de domain/workgroup en hostname voor je server te configureren. Deze beta is echter alleen geschikt voor Domain installaties zoals de helpfile mij verteld. Ik heb echter een workgroup installatie gedaan en deze werkte wel voor de basis firewall.

De Define Deployment Options is tenslotte bedoelt om MS Update, Customer Experience Reporting en Telemetric Services te configureren. Deze laatste stuurt informatie over malware dat geblockeerd wordt naar Microsoft om verbeteringen in het product aan te brengen. Ik stel dus voor dit in te stellenJ

Na de wizard doorlopen te hebben kan je aan de slag met TMG, en zal je zien dat het eigenlijk nog ISA 2006 is, met wat extra managebility features.

Ik zou zeggen, aan de slag!