Jordan_Tsafaridis

Αγαπητοί συνάδελφοι της κοινότητας μέσα από την αναζήτηση για δημοσίευση θεματογραφίας εξαιρετικού ενδιαφέροντος η οποία αφορά τον Microsoft Forefront TMG 2010 και την πληθώρα των δυνατοτήτων, παρουσιάζω παρακάτω τον τρόπο υλοποίησης και πιστοποίησης της διαλειτουργικότητας μεταξύ του Juniper SRX 210H και του security gateway Microsoft Forefront TMG 2010, με άλλα λόγια σκοπός μας είναι η δημιουργία ενός secure tunnel. Συγγραφέας του συγκεκριμένου άρθρου είναι o Axel Dittmann. Μετά από την δημιουργία/ρύθμιση του route-based VPN στο Juniper SRX, προχωρούμε εν συνεχεία διαμέσου του VPN-Wizard στον Microsoft Firewall. Λαμβάνοντας υπόψην ότι θα πρέπει να γίνουν ορισμένες αλλαγές (modifications) στα Microsoft standard IKE και IPSec Proposals τα οποία παρέχονται διαμέσου του wizard, τα πάντα λειτούργησαν άψογα με αποτέλεσμα το ping από το ένα site στο άλλο λειτούργησε άψογα. Το setup είναι το παρακάτω : Όπως γίνεται άμεσα αντιληπτό με μία γρήγορη ματιά στις παρακάτω εικόνες από τον VPN-Wizard η εγκατάσταση είναι σχετικά απλή μιας και οι συγκεκριμένες εικόνες μικούν από μόνες τους : Βήμα1ο : VPN Βήμα 2ο: Υλοποίηση remote site VPN Βήμα 3ο: Εκκίνηση του wizard Βήμα 4ο : Ονομάζοντας το VPN Βήμα 5ο: tunnel endpoints Βήμα 6ο: shared secret Βήμα 7ο: Τα tunnel endpoints βρίσκονται σε προστατευόμενο δίκτυο – Τα διαγράφουμε Βήμα 8ο: Εν συνεχεία εισάγουμε τα προστατευόμενα δίκτυα Βήμα 9ο: Αμέσως εμφανίζεται ένα warning το οποίο μας ενημερώνει ότι ορισμένα πράγματα δεν λειτουργούν Βήμα 10ο: Δημιουργία network rule Βήμα 11ο: Δημιουργία access rule Βήμα 12ο: Ολοκλήρωση Τώρα θα ασχοληθούμε με το πιο ενδιαφέρον μέρος της δημιουργίας του συγκεκριμένου VPN. Ανοίγουμε προς επεξεργασία το πρόσφατα δημιουργημένο VPN remote sites και επικεντρώνουμε το ενδιαφέρον μας στα default proposal settings: (Δεξί κλικ στο remote site, Επιλογή του <Connection> και του <IPSec Settings …>) Τα default settings του IKE Phase 1 Τα default settings του Phase 2 Προχωρούμε σε αλλαγές των settings έτσι ώστε να είμαστε συμβατοί με το σύστημα της Juniper. Απλά για να είμαστε σίγουροι ότι το σύστημα SRX είναι σε θέση να χρησιμοποιεί σωστά και να επικοινωνεί με τα συγκεκριμένα proposals --- Στο σημείο αυτό η ασφάλεια του υποκατασκευή δικτύου δεν είναι το ζητούμενο: Συνεπώς χρησιμοποιούμε στο Phase 1: Εncryption = 3DES, Αuthentication = SHA1, DH-Group = group2 and lifetime 28800 Στο Phase 2: Εncryption = 3DES, Αuthentication = SHA1, no pfs, rekey every 3600 seconds. Αμέσως μετά την εφαρμογή του νέου configuration το tunnel δεν στάθηκε δυνατόν να ξεκινήσει. Με προσεκτική παρατήρηση βρίσκουμε το παρακάτω μήνυμα μέσα στα SRX log: 172.16.100.180:500 (Responder) <-> 172.16.100.183:500 { 8f4cd363 13dcf3af - 9f6ff605 4d145fab [0] / 0x90b59c54 } Info; Received notify err = No proposal chosen (14) to isakmp sa, delete it Εκ πρώτης όψεως το μήνυμα είναι λίγο παράξενο, αλλά με μια γρήγορη ματιά κάνοντας χρήση ενός packet analyzer μας δίνει την απάντηση: Ο Microsoft Forefront TMG 2010 μας παρέχει τα παλαιά credentials τα οποία εμπεριέχονται στην default value. Οι αλλαγές αυτές δεν έχουν καμία επίδραση στο VPN. Έτσι λοιπόν αυτό το οποίο πρέπει να κάνουμε στο σημείο αυτό είναι να επανεκκινήσουμε (restart) τα Forefront TMG services γεγονός το οποίο έχει σαν αποτέλεσμα την παροχή των σωστών credentials: Τελικά το VPN tunnel ανέβηκε : Όσον αφορά τον Juniper SRX VPN (route bases) το απαιτούμενι configuration είναι το εξής παρακάτω: IKE policy: [edit security ike] root# show proposal ikeproptmg { description toTMG; authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; lifetime-seconds 28800; } policy ikepoltmg { mode main; description PolicyToTMG; proposals ikeproptmg; pre-shared-key ascii-text "$9$Sivlv8-VYZUHX7UHqmF3SreKXNZGjf5zGU/Cu0IR"; ## SECRET-DATA } gateway ikegatewaytmg { ike-policy ikepoltmg; address 172.16.100.183; external-interface ge-0/0/0; } IPSec Policy: [edit security ipsec] root# show proposal ipsecproptmg { description IPSEC_to_TMG; protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } policy ipsecpoltmg { description PolicyToTMG; proposals ipsecproptmg; } vpn vpntmg { bind-interface st0.0; ike { gateway ikegatewaytmg; proxy-identity { local 192.168.113.0/24; remote 192.168.13.0/24; service any; } ipsec-policy ipsecpoltmg; } establish-tunnels on-traffic; } Και το αποτέλεσμα: root> show security ike sa Index Remote Address State Initiator cookie Responder cookie Mode 12 172.16.100.183 UP 039708c225e6394e e13125bff2db04af Main root> show security ipsec sa Total active tunnels: 1 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <131073 172.16.100.183 500 ESP:3des/sha1 f2f8ab03 3562/ unlim - 0 >131073 172.16.100.183 500 ESP:3des/sha1 6cc8f853 3562/ unlim - 0 Το ping λειτούργησε σωστά φέρνοντας την σωστή απάντηση και συνεπώς το tunnel βρίσκεται σε λειτουργία. Ελπίζω ότι θα βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.

Σκοπός αυτού του άρθρου είναι να παρουσιάσουμε εν συντομία το τρόπο με τον οποίο μπορούμε να διαχειριστούμε τον Forefront TMG κάνοντας χρήση VBScript καθώς επίσης πως μπορούμε να συλλέξουμε πληροφορίες διαμέσου της δυνατότητας υποστήριξης πρόσβασης "read only" PowerShell στον Forefront TMG. Ας ξεκινήσουμε Πρώτα απ'όλα θα πρέπει να σας εκμηστηρευτώ ότι σε καμία περίπτωση δεν είμαι ένας Scripting ή programming guru. Κατά την διάρκεια των φοιτητικών μου χρόνων ασχολήθηκα με προγραμματισμό σε γλώσσες όπως η Borland Turbo Pascal, η COBOL καθώς και η C++, αλλά ποτέ δεν ασχολήθηκα με τον προγραμματισμό επαγγελματικά. Παρόλα αυτά νομίζω ότι σε αυτό το άρθρο θα λάβετε αρκετή πληροφορία η οποία θα σας φανεί ιδιαίτερα χρήσιμη έτσι ώστε να καταλάβετε την δύναμη του VBScript και του PowerShell στον Forefront TMG, έτσι ώστε να είναι εύκολο για τον καθέναν μας να αναπτύξει τα δικά του scripts. Επιπροσθέτως θα ρίξουμε μια ματιά στο Forefront TMG SDK, στο οποίο περιλαμβάνεται και μια σειρά από ιδιαιτέρως χρήσιμα preconfigured scripts τα οποία έχουν σαν σκοπό να αυτοματοποιήσουν την εργασία της διαχείρισης του. O Forefront TMG ως COM To COM χρησιμοποιείται από τις τεχνολογίες scripting όπως η VBScript για την απόκτηση πρόσβασης στον Forefront TMG με την μέθοδο του προγραμματισμού. Σύμφωνα με την Wikipedia ο όρος COM σημαίνει Component Object Model. Το Component Object Model (COM) αποτελεί ένα πρότυπο binary-interface το οποίο σχετίζεται άμεσα με το software componentry και ανακοινώθηκε για πρώτη φορά από την Microsoft το 1993. Χρησιμοποιείται για την ενεργοποίηση του interprocess communication και του dynamic object creation σε ένα μεγάλο εύρος γλωσσών προγραμματισμού. Συχνά δε ο όρος COM χρησιμοποιείται στην βιομηχανία ανάπτυξης λογισμικού γύρω από τα προϊόντα της Microsoft ο οποίος λειτουργεί ως ομπρέλλα κάτω από την οποία περιλαμβάνονται και τα OLE, OLE Automation, ActiveX, COM+ και οι DCOM technologies. Το COM αποτελεί μια interface technology η οποία καθορίζεται και εφαρμόζεται/αναπτύσεται ως πρότυπο μόνον στα Microsoft Windows και στο Apple's Core Foundation 1.3 και νεότερες εκδόσεις. Σε κάποιες δε εφαρμογές το COM αντικαταστάθηκε σε κάποιο βαθμό από το Microsoft .NET framework, όπως επίσης και η υποστήριξη των Web Services διαμέσου του Communication Foundation (WCF). Εντούτοις, τα COM objects μπορούν να χρησιμοποιηθούν με όλες τις .NET languages διαμέσου του .NET COM Interoperability. Ο Forefront TMG COM έχει ένα root object το οποίο ονομάζεται FPC.Root. Αυτό το root object διαχειρίζεται το Enterprise object το οποίο ταυτοποιείται/αναγνωρίζεται ως FPCEnterprise και στους Arrays ως FPCArrays.FPC. Το Root αποτελεί το root του administration COM object hierarchy, και παρέχει πρόσβαση κάνοντας χρήση προγραμματισμού - (programmatic access) - σε άλλα FPC objects. Κάθε υπολογιστικό σύστημα Forefront TMG σχετίζεται - (associated) - με έναν μοναδικό array ως ένα από αρκετά fpcServer objects μέσα σε μία συλλογή από fpcServers. Άλλα objects τα οποία διαχειρίζονται από αυτό το Enterprise object και από το Array object είναι τα ακόλουθα: Admin Security object (χρησιμοποιείται από το Enterprise και από το Array) Extensions object (χρησιμοποιείται από το Enterprise και από το Array) Policy Rule object (χρησιμοποιείται από το Enterprise και από το Array) Server object (χρησιμοποιείται από το Array) Rule Elements object (χρησιμοποιείται από το Enterprise και από το Array) Cache object (χρησιμοποιείται από το Array) Network Configuration object (χρησιμοποιείται από το Enterprise και από το Array) Array Policy object (χρησιμοποιείται από το Array) IP object (χρησιμοποιείται από το Array) Based on this knowledge you should have a better understanding about the VBScript script examples which you can found on several Internet websites and in the Forefront TMG SDK. An understanding of COM objects is also helpful when you use the PowerShell to query Forefront TMG objects. Forefront TMG has no built-in PowerShell CMDLets and will use COM. Forefront TMG SDK Αρχικά θα ξεκινήσουμε με το Forefront TMG SDK, το οποίο μπορούμε να το κατεβάσουμε δωρεάν από το Microsoft website. Θα βρείτε τον διαδικτυακό σύνδεσμο (link) για να κατεβάσετε αυτό το SDK στο τέλος αυτού του άρθρου. Το Forefront TMG SDK έρχεται με ένα πάρα πολύ χρήσιμο documentation στο οποίο περιγράφεται εκτενώς ο προγραμματισμός του Forefront TMG καθώς επίσης πληροφορίες ανώτερου επιπέδου σχετικά με μία σειρά από εσωτερικά Forefront TMG concepts. Το Forefront TMG SDK περιλαμβάνει και μια σειρά από παραδείγματα scripting από τα οποία θα χρησιμοποιήσω ορισμένα κομμάτια κώδικα. Εικόνα 1: Forefront TMG SDK – Παραδείγματα Script Ένα από τα παραδείγματα scripts μας επιτρέπει να προσθέσουμε Forefront TMG Administrators στο role based access model του Forefront TMG, όμως μόνον στο Monitor group. Εδώ επιτρέψτε μου ότι θα αποτελούσε μια ευχάριστη άσκηση ο εμπλουτισμός του συγκεκριμένου script έτσι ώστε να προσθέσετε τον Αdministrator και σε άλλα Forefront TMG roles. Εικόνα 2: Προσθήκη χρήστη στο Monitor role group του Forefront TMG Παραδείγματα VBScript Ο ευκολότερος τρόπος για να αυτοματοποιήσουμε ορισμένα tasks στον Forefront TMG είναι με την χρήση των VBScript. Τα VBScript ήταν επίσης διαθέσιμα και στην παλαιότερη έκδοση του Forefront TMG και μπορούν να χρησιμοποιηθούν για την αυτοματοποίηση ορισμένων administration tasks. Το πρώτο παράδειγμα script σας εμφανίζει όλους τους Forefront TMG arrays. Το script ξεκινα με την ρύθμιση του Forefront TMG root το οποίο είναι πάντοτε το FPC.Root και οριοθετεί μια παράμετρο - (set a variable) - η οποία θα περιέχει τους Forefront TMG arrays (objFPC.Arrays). Το script θα εμφανίζει ένα Input Box όπου θα εισάγουμε το όνομα του Forefront TMG array ή αντιστοίχως θα αφήνουμε το dialog box κενό έτσι ώστε να αλμβάνουμε μία λίστα από όλους τους διαθέσιμους Forefront TMG arrays. Εικόνα 3: Εμφάνιση πληροφοριών για τον Forefront TMG array. Ένα κλασικό Script Ένα κλασικό script το οποίο έχω χρησιμοποιήσει αρκετές φορές σε εγκαταστάσεις ISA Server και Forefront TMG είναι η εξαγωγή όλου του Forefront TMG configuration κάνοντας χρήση ενός script. Μπορείτε να χρησιμοποιήσετε το παρακάτω script σε συνδυασμό με τον Windows Task Scheduler για να εξάγετε το όλο το Forefront TMG configuration σε κάποιον άλλο host σε επαναλαμβάνομενα χρονικά διαστήματα. Dim fileName Dim WSHNetwork Dim shareName: shareName = WScript.Arguments(0) Dim xmldom : set xmldom = CreateObject("Msxml2.DOMDocument") Dim fpc : set fpc = WScript.CreateObject("Fpc.Root") Dim array : set array = fpc.GetContainingArray set WSHNetwork = CreateObject("WScript.Network") fileName=shareName & "\" & WSHNetwork.ComputerName & "-" & Month(Now) & "-" & Day(Now) & "-" & Year(Now) & ".xml" array.Export xmldom, 0 xmldom.save(fileName) Αυτό το script χρησιμοποιεί το Windows Scripting Host (WSH), καθορίζει το Forefront TMG Root (FPC.Root), ορίζει κα΄ποιες μεταβλητές και εν συνεχεία δημιουργεί ένα αρχείο XML το οποίο βασίζεται στην συγκεκριμένη ημέρα κατά την οποία αυτό το script εκτελέστηκε. Συνεπώς δεν έχετε παρά να σώσετε το παραπάνω παράδειγμα scripting ως ένα αρχείο με .VBS extension και αμέσως μετά δημιουργήστε ένα αρχείο batch με την ακόλουθη σύνταξη: Cscript TMGBACKUP.VBS \\RemoteServer\TMG-BACKUP Το παραπάνω θα δημιουργήσει ένα αντίγραφο ασφαλείας του Forefront TMG configuration στο προκαθορισμένο file share (TMG-Backup). Εάν επιθυμείτε να δημιουργήσετε επαναλαβάνομενα backups του δικού σας Forefront TMG configuration απλά πρέπει να δημιουργήσετε ένα task με το Windows Task Scheduler, το οποίο θα εκτελεί το συγκεκριμένο αρχείο batch. Εξαγωγή του ISA Server 2006 VPN configuration και εισαγωγή του στον Forefront TMG Το επόμενο παράδειγμα είναι πιο περίπλοκο. Πραγματοποιεί την εξαγωγή του ISA Server 2006 VPN configuration και την εισαγωγή του σε έναν Forefront TMG Server. Το script αυτό δημιουργήθηκε από τον MVP Christian Groebner. To πλήρες άρθρο μπορείτε να το βρείτε στον παρακάτω σύνδεσμο ο οποίος είναι αφιερωμένος αποκλειστικά στον ISA Server και τον Forefront TMG. Εάν θέλετε να χρησμοποιήσετε αυτό το script example απλά κάνετε copy όλο το κείμενο στο Notepad και το σώζετε με .VBS extension. ' ----- Sub restore_ipsec_settings ----- Sub restore_ipsec_settings(fpcRoot, VPN_Name, Int_PhaseI, Enc_PhaseI, Int_PhaseII, Enc_PhaseII) Dim Intproviders Dim Encproviders Intproviders = Array("SHA1","MD5") Encproviders = Array("DES","3DES") set objIPSec = fpcRoot.GetContainingArray.NetworkConfiguration.Networks.Item(VPN_Name).VPNConfiguration.IPSecSettings wscript.echo "Restoring IPSec-settings for network" & VPN_Name & vbCrLf wscript.echo "Phase I integrity : " & Intproviders(Int_PhaseI) objIPSec.Phase1Integrity = Int_PhaseI wscript.echo "Phase I encryption : " & Encproviders(Enc_PhaseI) objIPSec.Phase1Encryption = Enc_PhaseI wscript.echo "Phase II integrity : " & Intproviders(Int_PhaseII) objIPSec.Phase2Integrity = Int_PhaseII wscript.echo "Phase II encryption : " & Encproviders(Enc_PhaseII) & vbCrLf objIPSec.Phase2Encryption = Enc_PhaseII wscript.echo "Successfully applied the settings" wscript.echo "-----------------------------------------------------------" & vbCrLf End Sub ' ------ Sub Main ------- Sub Main() Dim PhaseI_Int Dim PhaseI_Enc Dim PhaseII_Int Dim PhaseII_Enc Dim config config = Inputbox("Please enter the complete path and filename with extension to the existing configuration file of ISA 2006 : (Example: C:\Temp\config.xml)") Set xmlFile = CreateObject("Microsoft.XMLDOM") If xmlFile.load(config) then set objFPC = CreateObject("FPC.Root") Set networkNodes = xmlFile.getElementsByTagName("fpc4:Network") For each networkNode in networkNodes If (Not(networkNode.selectSingleNode("fpc4:NetworkConnectionType") is Nothing)) Then If (networkNode.selectSingleNode("fpc4:NetworkConnectionType").Text = 4) Then PhaseI_Int = 0 PhaseI_Enc = 1 PhaseII_Int = 0 PhaseII_Enc = 1 Name = networkNode.selectSingleNode("fpc4:Name").Text Set ipsecSettingsNode = networkNode.selectSingleNode("fpc4:VpnNetworkConfiguration/fpc4:VpnNetworkIPSecSettings") If (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption") is Nothing)) Then PhaseI_Enc = ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Encryption").Text If (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity") is Nothing)) Then PhaseI_Int = ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase1Integrity").Text If (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption") is Nothing)) Then PhaseII_Enc = ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Encryption").Text If (Not(ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity") is Nothing)) Then PhaseII_Int = ipsecSettingsNode.selectSingleNode("fpc4:VpnNetworkPhase2Integrity").Text restore_ipsec_settings objFPC, Name, PhaseI_Int, PhaseI_Enc, PhaseII_Int, PhaseII_Enc End If End If Next objFPC.GetContainingArray.Save Else wscript.echo("The file does not exist!") End If End Sub '------ Start the script ------ Main Εμφάνιση των Forefront TMG URL κατηγοριών Μία από τις καινούριες ιδιότητες - λειτουργίες του Forefront TMG είναι η υποστήριξη του for dynamic URL filtering. Το URL filtering χρησιμοποιεί κατηγορίες. Για να εμφανίσετε όλες τις τις Forefront TMG URL filter κατηγορίες, θα πρέπει να δημιουργήσετε ένα script με τον παρακάτω κώδικα: set root=CreateObject("FPC.Root") For Each cat in root.GetContainingArray().RuleElements.UrlCategories wscript.echo "'" & cat.Name & "' --> " & cat.CategoryID Next Το output του παραπάνω script παρουσιάζεται παρακάτω: Εικόνα 4: Εμφάνιση του Forefront TMG array information Ο Forefront TMG και το PowerShell Ο Forefront TMG δεν έχει ενσωματωμένο το Windows PowerShell cmdlet, αλλά μπορούμε αν'αυτού να χρησιμοποιήσουμε τα COM objects. Όταν έχουμε πρόσβαση στο ProgID ενός COM component, το οποίο είναι αποθηκευμένο στην Registry μπορούμε να χρησιμοποιήσουμε την εντολή New-Object command στο Windows PowerShell όπως θα διαπιστώσετε στο επόμενο screenshot (Root Object is always FPC.Root). Εικόνα 5: Καθορισμός του TMG Root Object Εμφάνιση του Forefront TMG Root Αμέσως μετά τον καθορισμό του Forefront TMG Root Object στο Windows PowerShell μπορούμε να λάβουμε πληροφορία σχετικά με το Forefront TMG Root Object configuration, όπως αυτό παρουσιάζεται στο παρακάτω screenshot. Εικόνα 6: Εμφάνιση του Forefront TMG root Query single Forefront TMG objects. Εάν θέλουμε να κάνουμε query σε ένα και μόνον Forefront TMG objects εισάγουμε $TMGRoot. στο Windows PowerShell window και κάνουμε κλικ στο TAB key πίσω από το $TMGRoot. definition για να εμφανιστούν όλα τα στοιχεία (all elements). Εικόνα 7: Query Forefront TMG objects κάτω από το FPC.Root Εικόνα 8: Εμφάνιση των properties του FPC.Root Καθορισμός του Forefront TMG Enterprise και του Array configuration με το Export Στο τελευταίο μας παράδειγμα θα μάθουμε τον τρόπο με τον οποίο μπορούμε να χρησιμοποιήσουμε το PowerShell σε συνδυασμό με τον Forefront TMG. Αυτό το παράδειγμα script μπορείτε να το κατεβάσετε από αυτόν τον σύνδεσμο. Το script αυτό καθορίζει τον Forefront TMG Enterprise και τους συνδεόμενους σε αυτόν arrays και εξάγει το configuration σε ένα αρχείο XML. Συμπέρασμα Ολοκληρώνοντας σε αυτό το άρθρο σας παρουσίασα μια σύντομη εισαγωγή του τρόπου με τον οποίο μπορείτε να διαχειριστείτε τον Forefront TMG κάνοντας χρήση των VBscript και του Microsoft PowerShell. Υπάρχουν διαθέσιμα στο διαδίκτυο πολλά ελεύθερα προς κατέβασμα και χρήση παραδείγματα Script όπου με λίγη προγραμματιστική προσπάθεια πιστεύω ότι μπορείτε να δημιουργήσετε τα δικά σας scripts τα οποία είμαι βέβαιος ότι θα διευκολύνουν την καθημερινή σας διαχείριση του Forefront TMG. Ελπίζω ότι η επόμενη έκδοση του Forefront TMG θα παρέχει πλήρη υποστήριξη του PowerShell.

Αγαπητοί συνάδελφοι της κοινότητας, με το παρόν άρθρο θα ήθελα να κοινοποιήσω τα αποτελέσματα των δοκιμών τα οποία έλαβαν χώρα από το Microsoft Exchange Team τα οποία είχαν σαν σκοπό να πιστοποιήσουν την συμβατότητα του Microsoft Exchange Server 2010 με το Windows Server 2008 R2 Service Pack 1. Προκειμένου το κείμενο να μην παρερμηνευτεί το παραθέτω αυτούσιο στην Αγγλική γλώσσα και όχι μεταφρασμένο στην Ελληνική γλώσσα. Support for Windows Server 2008 R2 SP1 on your Exchange 2010 Servers February 11, 2011 By Paul Cunningham Update: the Microsoft Exchange Team has announced that it is supported to run the following Exchange versions on Windows Server 2008 R2 SP1: Exchange 2010 SP1 Exchange 2010 RTM Exchange 2007 SP3 The best news of all is that Windows Server 2008 R2 SP1 now includes all of the pre-requisite hotfixes for Exchange Server 2010 SP1, so no more manually downloading and installing the 6 or 7 patches that were previously needed. Original post below: Henrik Walther has answered the question from many Exchange 2010 administrators as to whether it is supported to run Windows Server 2008 R2 Service Pack 1 (SP1 has just been released) on Exchange 2010 servers. From Henrik’s blog: I see more and more questions from folks asking whether it’s supported to install Exchange 2010 SP1 on Windows Server 2008 R2 with the new SP1 applied or even upgrade an existing server Exchange 2010 SP1 server running on Windows Server 2008 R2 to this new service pack. There’s still no information about this in the Exchange Server 2010 Supportability Matrix, but according to the Exchange team this is not supported with the current Exchange 2010 SP1 build but will be with Exchange 2010 SP2 (or with some luck with a future Exchange 2010 SP1 roll-up update). So if you were considering the upgrade its best that you hold off until an official support statement is made. Windows 2008 R2 SP1 general availability and what it means for Exchange Now that you might have seen the announcement for general availability of Windows 2008 R2 SP1, we wanted to get ahead of the inevitable question: "Is Exchange supported running on Windows Server 2008 R2 SP1?" We wanted to let you know that we've completed testing with Windows 2008 R2 SP1 and the following versions of Exchange are supported to run on Windows 2008 R2 SP1 (the RTM version of SP1): Exchange 2010 SP1 Exchange 2010 RTM Exchange 2007 SP3 Please note that Exchange 2007 was not supported to run on Windows 2008 R2 at all before Exchange 2007 SP3 release. Also note, Windows 2008 R2 SP1 includes the hotfixes required to install Exchange 2010 SP1 (listed in Exchange 2010 SP1 FAQ and Known Issues — 979744, 983440, 979099, 982867 and 977020). If you're installing Exchange 2010 SP1 on a server running Windows 2008 R2 SP1, you don't need to install these hotfixes separately. Nino Bilic

Αγαπητοί συνάδελφοι της κοινότητας παρακάτω σας παραθέτω την διασύνδεση (link) για ένα εξαιρετικά πιστεύω χρήσιμο e-book από τον εκδοτικό οίκο RealTimePublishers.com, όπου μπορεί ο καθένας μας να γίνει μέλος δωρεάν αποκτώντας πρόσβαση σε μια μεγάλη συλογή ηλεκτρονικών βιβλίων όσον αφορά τον χώρο μας, με θεματογράφια η οποία καλύπτει και τις πλέον εξεζετημένες τεχνολογίες. Το συγκεκριμένο e-book με τίτλο "How to Install SSL Certificates on Microsoft Servers by Dan Sullivan" έχετε την δυνατότητα να το κατεβάσετε από τον παρακάτω σύνδεσμο : http://nexus.realtimepublishers.com/htis.php Για την καλύτερη ενημέρωσή σας, παραθέτω παρακάτω τα περιεχόμενα του συγκεκριμένου ηλεκτρονικού βιβλίου από το πρωτότυπο στην Αγγλική γλώσσα. Ελπίζω ότι θα το βρείτε χρήσιμο. Synopsis Windows administrators are continually tasked with securing servers and applications, including installing SSL certificates for authentication and encryption. This raises a number of questions for system administrators: which kind of SSL certificate should be used? How are SSL certificates installed? What is the Certificate Store? How does SSL work in Internet Information Server (IIS), Exchange Server, SQL Server and SharePoint? This how-to guide provides detailed step by step instructions on how to select, install and maintain SSL certificates in Microsoft environments. Whether you are just starting out and need to know how to acquire a certificate, or you are looking for tips on troubleshooting and maintaining existing certificate configurations, this guide has pragmatic and detailed information to help you. Chapter Previews Chapter 1: Getting Started with SSL Certificates in Windows Server We are constantly making use of SSL certificates, although we may not appreciate the frequency. When we navigate to a site using HTTPS, we are making use of an SSL certificate. When we encrypt a message to send to another party, we are depending on an SSL certificate. When we install software that has been signed by a trusted source, we are once again making use of SSL certificates. Their prevalence in IT environments indicates just how valuable they are in a number of applications. It is not surprising that sooner or later, many systems administrators, application managers, and other Windows professionals need to install and manage SSL certificates. This book is designed to help you understand how to select an SSL certificate, install it in a Windows environment, manage multiple certificates, and use them with specialized applications, such as the SQL Server relational database. The guide is organized into four chapters. Chapter 2: Understanding the Microsoft Certificate Store One of the things we quickly realize when we start to work with SSL certificates is how many we need to manage. We can have SSL certificates for Web servers, mail servers, various kinds of application servers, and individual users can have servers, too. And those are just the servers we generate or acquire for internal purposes. We also need to manage certificates for trusted third parties, like Microsoft or security vendors that provide SSL certificates. Certificates from these trusted sources are kept on our computers so that we can determine the authenticity of certificates signed by these parties. Clearly, we need a way to keep track of all the digital certificates. This is where a certificate store comes in. In this, the second chapter of How to Install SSL Certificates for on Microsoft Servers, we will examine some of the basic tasks associated with managing and maintaining SSL certificates. Before we jump into various certificate operations, we need to understand a bit about the certificate store and tools for working with that store. The chapter is organized into three main sections: Overview of the purpose of the certificate store How to manage certificates with the Microsoft Management Console (MMC) Maintenance tasks associated with SSL certificates The object of this chapter is to familiarize you with how the Windows operating systems (OSs) manage certificates and what you need to do to before taking the next step of deploying SSL certificates in your Web servers, email servers, database servers, and other enterprise applications. Chapter 3: Using SSL Certificates in Microsoft Internet Information Server (IIS) The goal of this book is to provide readers a step‐by‐step guide to working with SSL certificates in a Windows environment. In the first chapter, we considered different types of SSL certificates and the reasons for choosing one type over another. In the second chapter, we delved into the Microsoft Certificate Store and reviewed how to use the Microsoft Management Console (MMC) to perform basic certificate operations and management tasks. In this chapter, we turn our attention to one of the most common business drivers for using SSL certificates: providing assurance about the authenticity of our business' Web sites. Web sites make use of SSL certificates to authenticate themselves to clients and to support encrypted communication with clients. Windows systems administrators responsible for maintaining Web sites will likely have to install and maintain SSL certificates for one or more sites. This chapter provides a detailed explanation of how to install SSL certificates with Internet Information Server (IIS) Manager, including binding certificates to sites, configuring SSL settings, and verifying installation. The role of authenticating clients with SSL certificates is also discussed. We conclude this chapter with a discussion of setting up development and test environments with self‐signed certificates. The chapter is organized around three tasks commonly performed when working with IIS: Installing SSL certificates in IIS with the IIS Manager Authenticating clients with client certificate mapping Setting up SSL‐enabled development and test environments Most of the work involved in these steps occurs within the IIS Manager, but as we will see next, an important step begins with requesting a certificate from a trusted third‐party provider. Chapter 4: Installing SSL Certificates in Microsoft Exchange Server, Microsoft SharePoint, and Microsoft SQL Server SSL certificates are often associated with Web servers such as Microsoft IIS, but they are actually used in a variety of Microsoft applications, including Microsoft Exchange email server, Microsoft SharePoint collaboration server, and the Microsoft SQL Server database. The process of installing an SSL certificate has both common and application-specific steps across these applications. This final chapter discusses how to install an SSL certificate in Microsoft Exchange Server, Microsoft SharePoint Server, and Microsoft SQL Server. We begin with a quick overview of the common parts of the installation process, then discuss each application in more detail.

Όταν κάνουμε login σε έναν Exchange 2010 server, και εν συνεχεία ανοίγουμε το Exchange Management Console, είναι πολύ πιθανόν να εμφανιστεί ένα μήνυμα λάθους. Αυτό το μήνυμα λάθους σχετίζεται άμεσα με δύο θέματα. Είτε ο Exchange 2010 Server έχει όντως πρόβλημα επικοινωνίας με τους Ιn-Site Domain Controllers, είτε υπάρχει profile corruption του λογαριασμού (account) τον οποίο χρησιμοποιούμε για να κάνουμε login στον Exchange 2010 Server. Σύμφωνα δε με πληροφορίες οι οποίες προέρχονται από διάφορα user forums το συγκεκριμένο πρόβλημα κατά πλειοψηφία οφείλεται σε profile corruption του Exchange Management Console file. Βήματα επίλυσης του προβλήματος Επαλίθευση και πιστοποίηση της επικοινωνίας με τους Domain Controllers: Πρώτα απ' όλα θα πρέπει να επαληθεύσουμε ότι ο Exchange 2010 Server δεν λαμβάνει λάθη κατά ην διάρκεια του MSExchange DSAccess suitability testing. Αυτό μπορεί να εξακριβωθεί διαμέσου του Event log\Application EventID: 2080 Source: MSExchange ADAccess Εφόσον δεν εμφανίζονται στην λίστα όλοι οι In-Site domain controllers τους οποίους έχουμε εγκατεστημένους Ή το suitability score διαφέρει σημαντικά το ένα από το άλλο, τότε θα πρέπει να διερευνήσουμε μήπως υπάρχουν προβλήματα επικοινωνίας (communication) καθώς επίσης και προβλήματα στο replication μεταξύ των εγκατεστημένων DCs. Εάν όλα είναι εντάξει τότε προχωρούμε στην διαδικασία επιδιόρθωσης του profile corruption. Profile corruption: Για την επιδιόρθωση : 1. Κάνουμε login στον Exchange 2010 Server, και εν συνεχεία μεταβαίνουμε στην ακόλουθη θέση : C:\Users\<Username>\AppData\Roaming\Microsoft\MMC\ 2. Διαγράφουμε ή μετονομζουμε (Delete or rename) το ακόλουθο αρχείο : “Exchange Management Console” 3. Αμέσως μετά κάνουμε Log out και εν συνεχεία κάνουμε ξανά login. Ανοίγουμε το Exchange Management Console και το λάθος θα πρέπει να μην εμφανιστεί ξανά.

Εισαγωγή Στο πρώτο μέρος αυτής της σειράς τεχνικών άρθρων τα οποία αναφέρονται στα Access Rules, παρουσιάσα τον σκοπό και τις διαδικασίες για την δημιουργία ενός Access Rule καθώς και τον τρόπο χρήσης του Access Rule wizard για την δημιουργία ενός κανόνα. Στο δεύτερο αυτό μέρος θα δώσουμε έμφαση στις λεπτομέριες των Access Rules αφότου αυτοί έχουν δημιουργηθεί από τον wizard. Ο λόγος για τον οποίο θέλουμε να το κάνουμε αυτό είναι υπάρχει μια σειρά ρυθμίσεων η οποία δεν εμφανίζεται κατά την διάρκεια χρήσης του Access Rule wizard. Εάν κάνουμε διπλό κλικ σε ένα access rule αμέσως μετά την δημιουργία του, θα εμφανιστεί το Properties dialog box του συγκεκριμένου κανόνα. Το πρώτο tab το οποίο θα παρουσιαστεί είναι το General tab. Σε αυτό το σημείο μπορούμε να αλλάξουμε το όνομα του κανόνα (rule) και να συμπληρώσουμε επίσης και μια σύντομη περιγραφή του κανόνα. Θα ανακαλύψετε όπως και εγώ ότι το description box αποτελεί μια πραγματική βοήθεια, διότι σε αυτό μπορούμε να καταγράψουμε τον λόγο για τον οποίο δημιουργήσαμε τον συγκεκριμένο κανόνα, ποιος δημιουργήσε τον κανόνα, πότε δημιουργήθηκε ο κανόνας, αλλά επίσης και τον λόγο για τον οποίο δημιουργήσαμε τον κανόνα, όπως για παράδειγμα ποιος απαίτησε την δημιουργία του κανόνα ή ποιο επιχειρησιακό πρόβλημα ο κανόνας αυτός επιλύει. Σημειώστε ότι το Evaluation order περιλαμβάνεται σε αυτό το tab. Παρόλα αυτά, θα πρέπει να είμαστε προσεκτικοί διότι αυτό το evaluation order για την λίστα των firewall rules βρίσκεται εκτός (outside) από τα System Policy rules. Τα System Policy rules πάντοτε αξιολογούντε (evaluated) πριν την αξιολόγηση των firewall policy rules. Εδώ μπορούμε να ενεργοποιήσουμε ή να απενεργοποιήσουμε τον κανόνα χρησιμοποιώντας το Enable checkbox. Εικόνα 1 Στο Action tab, έχουμε την παρακάτω σειρά επιλογών: Allow - Όταν επιλέγουμε αυτήν την επιλογή, τότε ο κανόνας μετατρέπεται σε έναν allow rule με συνέπεια όταν το connection attempt πιστοποιεί (matches) τις συγκεκριμένες ρυθμίσεις σε αυτόν τον κανόνα, τότε η σύνδεση είναι επιτρεπτή. (Τhe connection will be allowed) Deny - Όταν επιλέγουμε αυτήν την επιλογή, τότε ο κανόνας μετατρέπεται σε έναν κανόνα άρνησης (deny rule) με συνέπεια όταν το connection attempt πιστοποιεί (matches) τις συγκεκριμένες ρυθμίσεις σε αυτόν τον κανόνα, τότε η σύνδεση είναι μη επιτρεπτή. (Τηε connection will be denied) Display denial notification to user - Εάν ο κανόνας είναι ένας κανόνας HTTP, και επιλέξουμε αυτήν την επιλογή, έχουμε την δυνατότητα να εισάγουμε ένα κείμενο το οποίο θα κοινοποιείται στον χρήστη ενημερώνοντάς τον ότι η σύνδεση την οποία προσπάθησε να πραγματοποιήσει δεν επιτρέπεται. Η πληροφορία αυτή θα εμφανίζεται σε ένα browser window. Χρησιμοποιώντας αυτό το χαρακτηριστικό ο χρήστης θα είναι σε θέση να γνωρίζει γιατί η σύνδεση την οποία πήγε να πραγματοποιήσει δεν επιτράπηκε. Add denied request category to notification - Η επιλογή αυτή είναι διαθέσιμη όταν το URL filtering είναι ενεργοποιημένο εφόσον εάν έχουμε ενεργοποιήσει το URL filtering στον TMG firewall, έχοντας την δυνατότητα να ενημερώσουμε τον χρήστη, πότε το request δεν έγινε αποδεκτό, καθώς επίσης και σε ποια κατηγορία απαγορευμένων ιστοσελίδων προσπάθησε να μπει ο συγκεκριμένος χρήστης. Κατά γενική ομολογία οι χρήστες δεν ενδιαφέρονται γι' αυτήν την πληροφορία, αλλά εάν έχουμε κανόνες οι οποίοι απευθύνονται σε admins ή power users, τότε είναι πιθανόν γι' αυτούς τους χρήστες η πληροφορία αυτή να είναι ιδιαίτερα χρήσιμη έτσι ώστε να προχωρήσουν σε επανακατηγοριοποίηση των ιστοσελίδων. Redirect web client to the following URL - Εάν για κάποιο λόγο δεν επιθυμούμε να εμφανίσουμε μια ιστοσελίδα στην οποία να εξηγούμε στον χρήστη γιατί δεν επιτράπηκε η σύνδεσή του, εδώ έχουμε την επιλογή να ανακατευθύνουμε τον χρήστη (redirect the user) σε μια ιστοσελίδα της αρεσκείας μας. Τέτοια ιστοσελίδα μπορεί να είναι μια ιστοσελίδα στην οποία περιγράφονται οι κανονισμοί πρόσβασης και χρήσης του διαδικτύου στην συγκεκριμένη επιχείρηση στην οποία εργαζόμαστε. Log requests matching this rule - Αυτή η επιλογή είναι εξ ορισμού ενεργοποιημένη και επιτρέπει συνδέσεις οι οποίες είναι εναρμονισμένες με τον συγκεκριμένο κανόνα να γίνονται logged στα TMG firewall logs. Βεβαίως υπάρχουν και περιπτώσεις για τις οποίες δεν είναι απαραίτητη η καταγραφή πληροφορίας όπως τα επονομαζόμενα garbage traffic (NetBIOS broadcasts, LLMNR broadcasts, κ.τ.λ.). Αυτή η κίνηση θα έχει ως άμεση συνέπεια την σημαντική μείωση του όγκου των log files και θα μετατρέψει τα logs σε καθαρότερη και εύκολότερα αναγνώσιμη μορφή. Εικόνα 2 Στην σελίδα Protocols, έχουμε επιλογές οι οποίες είναι παρόμοιες με αυτές οι οποίες περιλαμβάνονται στον Access Rule wizard. Το This rule applies to drop down box παρέχει τις ίδιες επιλογές, και μπορούμε να χρησιμοποιήσουμε τα Add, Edit και Remove buttons για να προσθέσουμε, να επεξεργαστούμε ή να αφαιρέσουμε protocols τα οποία θα βρίσκουν εφαρμογή σε αυτόν τον κανόνα. Επιπροσθέτως έχουμε το Ports option το οποίο ήταν διαθέσιμο. Το Filtering button, όταν ενεργοποιηθεί, μας επιτρέπει να ρυθμίσουμε το HTTP Policy γι'αυτόν τον κανόνα (Εάν αυτός είναι ένας κανόνας HTTP). Αυτό το χαρακτηστικό περιλαμβανόταν και σε παλαιότερες εκδόσεις του ISA firewall, το οποίο ήυαν ευρέως γνωστό ως HTTP Security Filter. Άλλα φίλτρα μπορούν να είναι διαθέσιμα - αναλόγως των πρωτόκολων τα οποία χρησιμοποιούμε – εφόσον αυτά βρίσκουν εφαρμογή σε πρωτόκολα outbound. Η πλειοψηφία των protocol filters τα οποία είναι διαθέσιμα στον TMG είναι σχεδιασμένα για το inbound protection, αλλά υπάρχουν ορισμένα τα οποία έχουν εφαρμογή σε πρωτόκολα outbound. Εικόνα 3 Στο From tab, μπορούμε να καθορίσουμε τα source locations στα οποία αυτός ο κανόνας θα βρίσκει εφαρμογή. Με άλλα λόγια είναι οι clients οι οποίοι βρίσκονται σε ένα δίκτυο το οποίο προστατεύεται από τον TMG. Η επιλογή αυτή είναι όμοια με αυτήν την οποία είδαμε και στον Access Rule wizard. Όταν κάνουμε κλικ στο Add, εμφανίζεται το Add Network Entities dialog box και μπορούμε να επιλέξουμε από έναν μεγάλο αριθμό από network entities ή να δημιουργήσουμε καινούριες. Μια επιλογή η οποία είναι διαθέσιμη σε αυτό το tab, η οποία δεν εμφανίζεται στον Access Rule wizard, είναι ο τομέας των Exceptions. Εδώ είμαστε σε θέση να καθορίσουμε τα sources στα οποία επιθυμούμε αυτός ο κανόνας να εφαρμόζεται, αλλά εάν υπάρχει ένα υποσύνολο μέσα σε αυτήν την ομάδα (group) στο οποίο ο κανόνας δεν πρέπει να εφαρμοστεί, τότε μπορούμε να το τοποθετήσουμε μέσα στον τομέα των Exceptions. Αυτό αποτελεί μια πανίσχυρη επιλογή και θα πρέπει πάντοτε να το λαμβάνουμε υπόψην μας όταν σχεδιάζουμε Access Rules. Εικόνα 4 Το To tab είναι όμοιο με το From tab, όπου καθορίζουμε τον προορισμό (destination) με τον θέλουμε να συμπίπτει ο κανόνας. Όταν κάνουμε κλικ στο Add, ανοίγει αυτόματα το Add Network Entities dialog box στο οποίο μας δίνετε η δυνατότητα να επιλέξουμε την θέση προορισμού (destination location) από την λίστα η οποία παρουσιάζεται, ή μπορούμε να δημιουργήσουμε μια καινούρια θέση προορισμού. Όσον αφορά το From tab, έχουμε επίσης την δυνατότητα δημιουργίας Exceptions. Εικόνα 5 Στο Users tab, μπορούμε να καθορίσουμε σε ποιους χρήστες ο συγκεκριμένος κανόνας θα έχει εφαρμογή. Εξ ορισμού, το σετ χρηστών All Users χρησιμοποιείται για όλα τα Access Rules. Βεβαίως στο σημείο αυτό θα πρέπει να λάβουμε υπόψην μας ότι όταν αναφερόμαστε στο All Users δεν σημαίνει στην πραγματικότητα ότι συμπεριλαμβάνονται όλοι οι χρήστες (all users), αλλά αντιθέτως αντιπροσωπεύει ανώνυμες συνδέσεις και επικυρωμένες συνδέσεις (anonymous connections and authenticated connections). Εάν επιθυμούμε να εξαναγκάσουμε τους χρήστες να επικυρώσουν την σύνδεσή τους (authenticate), θα πρέπει να χρησιμοποιήσουμε κάποιο άλλο σετ χρηστών και να διαγράψουμε το All Users user set. Εάν κάνουμε κλικ στο Add, μπορούμε να επιλέξουμε το All Authenticated Users και τότε μόνον στους χρήστες οι οποίοι έχουν επικυρώσει την σύνδεσή τους με τον TMG firewall θα έχουν πρόσβαση διαμέσου του συγκεκριμένου κανόνα. Η επικύρωση του χρήστη μπορεί να πραγματοποιηθεί του web proxy client configuration ή του Firewall client (TMG client) configuration. Εάν θέλουμε να δημιουργήσουμε το δικό μας σετ χρηστών, απλά κάνουμε κλικ στο κουμπί New. Εικόνα 6 Όταν κάνουμε κλικ στο New, εμφανίζεται ο Welcome to the New User Set wizard. Στην πρώτη σελίδα του wizard, εισάγουμε το όνομα του σετ χρηστών. Σε αυτό το παράδειγμα θα δημιουργήσουμε ένα σετ χρηστών το οποίο θα περιλαμβάνει το Domain Admins Active Directory group, και συνεπώς θα ονομάσουμε τον καινούριο κανόνα ως Administrators και εν συνεχεία κάνουμε κλικ στο Next. Εικόνα 7 Στην σελίδα Users, όταν κάνουμε κλικ στο Add, εμφανίζεται ένα μενού τύπου fly out. Αυτό το fly out μενού περιλαμβάνει τις ακόλουθες πηγές πιστοποίησης: Windows users and groups - Αυτοί είναι οι χρήστες και οι ομάδες (users & groups) που περιλαμβάνονται στο Active Directory domain ή σε αξιόπιστο τομέα στον οποίο ο TMG Firewall ανήκει. LDAP - Αυτοί είναι οι χρήστες και οι ομάδες (users & groups) που περιλαμβάνονται στο Active Directory και μπορούμε να τους χρησιμοποιήσουμε όταν ο TMG firewall δεν είναι μέλος ενός τομέα (domain). Λάβετε υπόψην σας ότι ο TMG δεν υποστηρίζει LDAP authentication σε Access Rules. RADIUS - Αυτοί είναι οι χρήστες οι οποίοι είναι προσβάσιμοι διαμέσου του RADIUS. Σημειώστε ότι ο RADIUS δεν υποστηρίζει Group Membership, ασχέτως αν μας επιτρέπεται να δημιουργήσουμε έναν χρήστη ό οποίος εμπεριέχει πολλαπλούς λογαριασμούς - (multiple accounts) - οι οποίοι είναι προσβάσιμοι διαμέσου του RADIUS, γεγονός το οποίο έχει ως αποτέλεσμα ένα ad hoc group στον TMG firewall. Ο RADIUS υποστηρίζεται σε outbound web connections διαμέσου του TMG firewall. SecurID - Αυτοί είναι οι χρήστες καθορίζονται από το SecurID. Το SecurID δεν υποστηρίζεται στα outbound connections διαμέσου του TMG firewall και των αντίστοιχων Access Rules. Στο παράδειγμα αυτό, ο TMG firewall έχει συνδεθεί (joined) στο Active Directory domain, και για τον λόγο αυτό θα επιλέξουμε το Windows users and groups. Εικόνα 8 Η προηγούμενη επιλογή φέρνει στο προσκήνι0 το Select Users or Groups dialog box. Στο σημείο αυτό εισαγάγουμε τους Domain Admins στο Enter the object names to select text box και εν συνεχεία κάνουμε κλικ στο Check Names και αμέσως μετά κάνουμε κλικ στο OK έτσι ώστε να συμπεριλάβουμε αυτό το Active Directory group στο σετ χρηστών. Εικόνα 9 Σε αυτό το σημείο βλέπουμε τον νέο χρήστη στην σελίδα Users. Μπορούμε να προσθέσουμε περισσότερους χρήστες σε αυτό το σετ χρηστών εφόσον το επιθυμούμε. Στο παράδειγμα αυτό θα κάνουμε κλικ στο Next και δεν θα προσθέσουμε κανέναν άλλο χρήστη σε αυτό το σετ χρηστών. Εικόνα 10 Στην σελίδα Completing the New User Set Wizard, κάνουμε κλικ στο Finish για να δημιουργήσουμε το καινούριο σετ χρηστών. Εικόνα 11 Τώρα μπορούμε να δούμε το Administrators group στο Add Users dialog box και μπορούμε να χρησιμοποιήσουμε αυτό το group στα Access Rules και στα publishing rules. εικόνα 12 Στο Schedule tab, μπορούμε να καθορίσουμε ένα χρονοδιάγραμμ για τον κανόνα ο οποίος καθορίζει με την σειρά του τις ώρες κατά τις οποίες ο κανόνας αυτός θα εφαρμόζεται. Σημειώστε ότι όταν ορίζουμε ένα χρονοδιάγραμμα, το χρονοδιάγραμμα εφαρμόζεται μόνον στις καινούριες συνδέσεις και συνεπώς για ήδη συνδεδεμένους χρήστες πριν από την εφαρμογή του κανόνα ο κανόνας αυτός δεν θα σταματήσει τις συνδέσεις τους. Ωστόσο, αν μια νέα προσπάθεια σύνδεσης που ταιριάζει με τον κανόνα είναι έξω από το χρονοδιάγραμμα, τότε η σύνδεση θα αρνηθεί. Το εξ ορισμού χρονοδιάγραμμα (schedule) είναι το Always, αλλά υπάρχουν επίσης αλλα δύο ενσωματωμένα χρονοδιαγράμματα που είναι : το Weekends και το Work hours. Εάν παρόλα αυτά δεν μας αρέσει κανένα από τα παραπάνω ενσωματωμένα χρονοδιαγράμματα τότε κάνουμε κλικ στο New button και δημιουργούμε το δικό μας χρονοδιάγραμμα. Εικόνα 13 Το Malware Inspection tab είναι καινούριο και είναι διαθέσιμο μόνον στον TMG firewall. Υπάρχει μια σειρά επιλογών σε αυτό το tab οι οποίες δεν εμφανίζονται στον Access Rule wizard: Inspect content downloaded from web servers to clients - Όταν ενεργοποιούμε αυτήν την επιλογή, όλο το περιεχόμενο το οποίο γίνεται downloaded από web servers θα ελέγχονται για κακόβουλο λογισμικό χρησιμοποιώντας την Microsoft AV μηχανή η οποία χρησιμοποιείται από τον TMG firewall. Force full content requests (remove HTTP Range header) - Αυτό αναγκάζει το firewall να ζητήσει το πλήρες περιεχόμενο, έτσι ώστε το περιεχόμενο να μπορεί να αξιολογηθεί στο σύνολό του. Εάν μόνο σειρές αξιολογήθηκαν, ενδεχόμενες απειλές ενδέχεται να έχουν παραληφθεί. Use rule specific settings for malware inspection - Μπορούμε να προσαρμόσουμε τις ρυθμίσεις του anti-malware για τον συγκεκριμένο κανόνα, όταν κάνουμε αυτήν την επιλογή. Συνεπώς εάν επιλέξουμε αυτή την επιλογή, θα πρέπει να κάνουμε κλικ στο Rule Settings button για να ολοκληρώσουμε την προσαρμοσμένη ρύθμιση των παραμέτρων μας. Εικόνα 14 Στην σελίδα Edit Rule Malware Inspection Settings, υπάρχει ένας αριθμός επιλογών. Η παρακάτω εικόνα δείχνει τις εξ ορισμού ρυθμίσεις: Attempt to clean the infected files - Όταν αυτή η ενότητα είναι ενεργοποιημένη, το firewall TMG θα προσπαθήσει να καθαρίσει το αρχείο πριν το διαβιβάσει στο χρήστη. Εάν το αρχείο δεν μπορεί να καθαριστεί, θα διαγραφεί. Block files with low and medium severity threats (higher level threats are blocked automatically) - Ο TMG firewall δεν θα μπλοκάρει εξ ορισμού αρχεία με απειλές μεσαίου και χαμηλού κινδύνου, χρησμοποιώντας το Microsoft AM engine classification system. Block suspicious files - Ο TMG firewall χρησιμοποιεί τα heuristics για να καθορίσει πότε ένα αρχείο εάν ένα αρχείο είναι πιθανώς κακόβουλο. Όταν αυτή η επιλογή είναι επιλεγμένη, τότε το αρχείο θα μπλοκαριστεί εάν τα heuristics καθορίσουν ότι το αρχείο είναι πιθανώς malware. Block corrupted files - Όταν αυτή η επιλογή είναι ενεργοποιημένη, τα αρχεία που έχουν καθοριστεί ότι είναι κατεστραμμένα, θα μπλοκαριστούν. Block files that cannot be scanned - Όταν αυτή η επιλογή είναι ενεργοποιημένη, η Microsoft AV engine δεν μπορεί να σαρώσει το αρχείο, και το αρχείο θα μπλοκαριστεί. Block encrypted files - Εάν το αρχείο είναι κρυπτογραφημένο, η Microsoft AV engine δεν είναι σε θέση να αξιολογήσει το αρχείο και εάν αυτή η επιλογή αυτή είναι ενεργοποιημένη το αρχείο θα μπλοκαριστεί. Block files if scanning time exceeds (seconds) - Όταν αυτή η επιλογή είναι ενεργοποιημένη, περιορίζει τον χρόνο κατά τον οποίο η Microsoft AV engine μπορεί να χρησιμοποιήσει για να αξιολογήσει το αρχείο πριν το ελευθερώσει ή το μπλοκάρει. Η προεπιλεγμένη τιμή είναι 5 λεπτά. Block files if archive level depth exceeds - Όταν αυτή η επιλογή είναι ενεργοποιημένη, η AV engine μπλοκάρει εκείνα τα αρχεία τα οποία έχουν υπερβεί το archive depth το οποίο έχει καθοριστεί εδώ. Η προεπιλεγμένη τιμή είναι 20 επίπεδα (levels). Block files larger than (MB) - Όταν αυτή η επιλογή είναι ενεργοποιημένη, θα μπλοκάρει αρχεία τα οποία είναι μεγαλύτερα από την αξία η οποία παρουσιάζεται στο text box, με την εξ ορισμού τιμή να είναι 1000 MB (1 GB). Αυτή η επιλογή μπορεί να χρησιμοποιηθεί για να βελτιώσουμε την απόδοση του TMG firewall, αλλά θα πρέπει να είμαστε ιδιαίτερα προσεκτικοί να μην μπλοκάρουμε αρχεία τα οποία χρειάζονται οι χρήστες μιας και οι χρήστες μπορεί να εργάζονται με μεγάλα σε μέγεθος αρχεία. Block archive files if unpacked content is large than (MB) - Αυτή η επιλογή καθορίζει το μέγιστο μέγεθος ενός αποσυμπιεσμένου αρχείου. Αυτή η τιμή χρησιμοποιείται για να συντηρήσει τη μνήμη (preserve memory) στον TMG firewall. Εικόνα 15 Συμπέρασμα Σε αυτό το άρθρο ασχοληθήκαμε με τις λεπτομέρειες των Access Rules. Ενώ οι περισσότερες επιλογές τις οποίες θέλουμε να ρυθμίσουμε είναι προσβάσιμες από τον Access Rule Wizard, εντούτοις υπάρχουν κάποιες σημαντικές επιλογές οι οποίες είναι προσβάσιμες μόνον αφότου έχουμε δημιουργήσει τον κανόνα πηγαίνοντας στο Properties dialog box του συγκεκριμένου κανόνα. ελπίζω ότι θα βρειτε το συγκεκριμένο άρθρο ιδιαιτέρως χρήσιμο για σας οι οποίοι χρησιμοποιείται τον TMG firewall.

Αγαπητοί συνάδελφοι της κοινότητας του Autoexec παρακάτω σας παραθέτω μια εξαιρετικά σοβαρή περιπτώση προβλήματος ασφάλειας του λειτουργικού συστήματος Mac OS X η οποία έγινε γνωστή την Τετάρτη 10 Νοεμβρίου 2010. Μάλιστα ιδιαίτερη εντύπωση προκαλεί το γεγονός ότι οι Penetration testing specialists της Core Security είχαν δημοσίως κοινοποιήσει όλη εκείνη την απαραίτητη πληροφορία σχετικά με ένα serious security vulnerability του λειτουργικού συστήματος Apple Mac OS X και σχολίαζαν με επικριτικό τρόπο το γεγονός του ότι ο κατασκευαστής έχει καθυστερήσει την κυκλοφορία του απαραίτητου διορθωτικού patch. Παρακάτω σας παραθέτω αυτούσια προς μελέτη την σχετική δημοσίευση : The vulnerability, which only affects Apple Mac OS X v10.5, could allow hackers to take complete control of a vulnerable machine via malicious PDF files. In an advisory, Core Security said Apple claims it already has a patch prepared for this issue but failed to release the fix despite several promises. Apple did not give any reasons for skipping the patch release. Here’s the skinny on the problem: The Apple Type Services is prone to memory corruption due a sign mismatch vulnerability when handling the last offset value of the CharStrings INDEX structure. This vulnerability could be used by a remote attacker to execute arbitrary code, by enticing the user of Mac OS X v10.5.x to view or download a PDF document containing a embedded malicious CFF font (Compact Font Format. This vulnerability is a variation of the vulnerability labeled as CVE-2010-1797 (FreeType JailbreakMe iPhone exploit variation). Core encourages Apple users to upgrade to Apple Mac OSX 10.6, which is not affected by this vulnerability. Apple has a history of being tardy with security patches. According to this list maintained by TippingPoint ZDI, there are several outstanding high-risk vulnerabilities in Apple’s software. Για περισσότερες πληροφορίες δείτε τον παρακάτω σύνδεσμο : http://www.zdnet.com/blog/security/mac-os-x-security-flaw-publicized-after-apple-fails-to-patch/7712

Σε μια εταιρική εγκατάσταση χρησιμοποιώ τον Forefront TMG 2010 ως proxy server καθώς επίσης και για να κάνει publishe μια ομάδα υπηρεσιών στο διαδίκτυο. Το πρόβλημα το οποίο αντιμετώπισα ήταν ότι για να διαχειρστώ τον TMG αυτό έπρεπε να γίνει διαμέσου του console viewer στον HyperV, διότι πολύ απλά κατά την εγκατάσταση του Microsoft ForeFront TMG 2010 είναι κλειδωμένη η χρήση του Remote Desktop (RDP). Για τον λόγο αυτό έψαξα στο διαδίκτυο για πληροφορίες σχετικά με το πως κάνουμε το setup για να ενεργοποιήσουμε το internal RDP access έτσι ώστε να είναι δυνατή η χρήση του remote desktop. Οι ενέργειες τις οποίες πρέπει να κάνουμε είναι οι εξής παρακάτω : Πρώτα απ' όλα ανοίγουμε το Forefront TMG Management console και στο αριστερό pane κάνουμε κλικ στο Firewall Policy. Στο δεξιό pane, κάνουμε κλικ στο Toolbox και αναζητούμε (drill down) μέσα στο Computer Sets να βρούμε το Enterprise Remote Management. Εν συνεχεία κάνουμε διπλό κλικ στο Enterprise Remote Management για να ανοίξουμε το συγκεκριμένο set και αμέσως μετά χρησιμοποιούμε το Add button για να επιβεβαιώσουμε ότι το εσωτερικό μας δίκτυο περιλαμβάνεται στην συγκεκριμένη λίστα. Εν συνεχεία επιστρέφουμε στο αριστερό pane και κάνουμε δεξί κλικ στο Firewall Policy και δημιουργούμε έναν καινούριο access rule: Εδώ θα πρέπει να ονοματίσουμε τον συγκεκριμένο κανόνα (Access Rule) με ένα χαρακτηριστικό όνομα το οποίο θα υποδηλώνει την λειτουργία του, π.χ. TMG RDP Management και εν συνεχεία κάνουμε setup στον κανόνα έτσι ώστε να επιτρέπει το RDP (Terminal Services) traffic από το εσωτερικό δίκτυο προς τον Local Host. Στο σημείο αυτό αποθηκεύουμε το καινούριο μας configuration και πλέον έχουμε την δυνατότητα διαχείρισης του TMG 2010 διαμέσου του RDP από το εσωτερικό δίκτυό μας.

Το event log είναι ένα windows service το οποίο διαχειρίζεται το event logging σε ένα υπολογιστικό σύστημα. Όταν αυτή η υπηρεσία ξεκινά την λειτουργία της, τα Windows καταγράφουν (logs) όλη εκείνην την σπουδαία πληροφορία η οποία αφορά την λειτουργία του συγκεκριμένου υπολογιστικού συστήματος καθώς και των εφαρμογών οι οποίες τρέχουν / εκτελούνται σε αυτό. Τα διαθέσιμα logs σε ένα υπολογιστικό σύστημα εξαρτώνται άμεσα από τον ρόλο του συστήματος (system’s role) και τις εγκατεστημένες υπηρεσίες (Installed Services). Δύο γενικοί τύποι αρχείων log χρησιμοποιούνται Windows log Application and services log Τα Event log καταγράφουν γεγονότα (events) διαφόρων κατηγοριών όπως : Information Warning Error Critical Audit success Audit failures Το γραφικό περιβάλλον (GUI) του Event Viewer χρησιμοποιείται για την απεικόνιση και επισκόπηση αυτόνομων γεγονότων (individual events) και αποτελεί ένα event log. Επιπροσθέτως, συμπληρωματικά του GUI tool, το PowerShell μπορεί να χρησιμοποιηθεί για να επικοινωνεί (query) με το event log. Τα παρακάτω PowerShell cmdlets μπορούν να χρησιμοποιηθούν για την διαχείριση του event log: Get-WinEvent Get-EventLog Clear-EventLog Limit-EventLog Show-EventLog Το παρακάτω script εμφανίζει εγγραφές (records) από το event log το οποίο παρουσιάζει ένα “error” state στα Application, System και Security logs. Η παράμετρος “-Newest 100” μας δίνει μόνον τα τελευταία 100 entries από το event log. Μπορούμε εφόσον το επιθυμούμαι να αποστείλουμε / αποθηκεύσουμε το συγκεκριμένο output σε ένα αρχείο text απλά χρησιμοποιώντας το Out-File cmdlet ή χρησιμοποιώντας τα προσθετικά σύμβολα “>” και “>>” (append symbols). Get-EventLog -Newest 100 -LogName "system" | Where-Object {$_.entrytype -match "error"} > D:\Log_Repository\CurrentLogs.txt Get-EventLog -Newest 100 -LogName "application" | Where-Object {$_.entrytype -match "error"} >> D:\Log_Repository\CurrentLogs.txt Get-EventLog -Newest 100 -LogName "security" | Where-Object {$_.entrytype -match "error"} >> D:\Log_Repository\CurrentLogs.txt Ολοκληρώνοντας έχουμε την δυνατότητα να προγραμματίσουμε μια εργασία (schedule a job) η οποία θα τρέχει καθημερινά με σκοπό την συλλογή και παρακολούθηση όλων των “error” log entries όπως παρουσιάζεται στις παραπάνω εντολές και το αποτέλεσμα (report) να μας αποστέλλεται το μέσω email δίδοντάς μας την δυνατότητα να αναπτύξουμε ένα απλό σύστημα παρακολούθησης ενός υπολογιστικού συστήματος με σκοπό την έγκαιρη διάγνωση και άμεση αντιμετώπιση των προβλημάτων τα οποία είναι δυνατόν να προκύψουν. (Simple health montioring and alerting system)

Λειτουργικό Περιβάλλον : Μετάβαση (Migration) από τον Exchange Server 2003 στον Exchange Server 2010. Το συγκεκριμένο πρόβλημα εμφανίστηκε αμέσως μετά την επιτυχημένη μετάβαση στην έκδοση 2010. Θέματα : Κατά την διαδικασία του Downloading του offline address book δημιουργείται το παρακάτω λάθος (error) στους outlook clients. The Microsoft Exchange server reported 0x80190194 the operation failed Πρώτα απ' όλα θα πρέπει να προχωρήσουμε στους παρακάτω ελέγχους εάν λαμβάνουμε τέτοιας μορφής μηνυμάτα λάθους : Ελέγχουμε τα application logs για να διαπιστώσουμε εάν κάτι σχετίζεται με το ίδιο θέμα. Βρίσκουμε σε ποια database ο χρήστης ή οι χρήστες βρίσκονται καταχωρημένοι (problematic user) και εν συνεχεία ελέγχουμε την PF folder database (Δείχνει τον σωστό διακομιστή). Offline address book : Προσπαθούμε να δημιουργήσουμε ένα καινούριο και το αφήνουμε να κάνει replicate από το υπάρχον και προβληματικό και χρησιμοποιούμε το καινούριο ΟΑΒ στην συγκεκριμένη DB έτσι ώστε να διαπιστώσουμε έαν επιλύεται το πρόβλημα. Πηγαίνουμε στα properties του OAB , και ελέγχουμε εάν είναι τσεκαρισμένα/επιλεγμένα (enabled) τα Version2, και Version 3, καθώς και το public folder distribution είναι τσεκαρισμένο/επιλεγμένο (enabled) και ο σωστός PF διακομιστής (server) εμφανίζεται εκεί. Εάν συνεχίζουμε να αντιμετωπίζουμε τα ίδια προβλήματα τότε οι ενέργειες οι οποίες πρέπει να λάβουν χώρα είναι οι ακόλουθες : Διαγραφή όλων των αρχείων στον κατάλογο (Directory) : C:\Program Files\Microsoft\Exchange Server\Client Access\OAB Δημιουργία καινούριου OAΒ. Επανεκίννηση του Microsoft Exchange File Distribution Service και επιβεβαιώνουμε ότι το καινούριο OAB έχει δημιουργηθεί στον συγκεκριμένο κατάλογο (directory) ο οποίος έχει αναφερθεί παραπάνω. Ολοκληρώνοντας για την αποφυγή αλλά και αντιμετώπιση τέτοιων λαθών καλό είναι να παρακολουθούμε τα application logs, ακθώς επίσης θα πρέπει να αυξήσουμε το επίπεδο του diagnostic logon εάν αυτό κρίνεται απαραίτητο στους CAS servers.

Αγαπητοί συνάδελφοι της κοινότητας του autoexec παρακάτω σας παραθέτω δύο εξαιρετικά σοβαρές περιπτώσεις ασφάλειας του λειτουργικού συστήματος linux οι οποίες έγιναν γνωστές σήμερα Δευτέρα 25 Οκτωβρίου 2010. Μια ομάδα Security experts ανακάλυψε δύο vulnerabilities στην πλατφόρμα του Linux operating system οι οποίες δίνουν την δυνατότητα σε κακόβουλους attackers να αποκτήσουν root privileges σε ένα παραβιασμένο/μολυσμένο σύστημα (infected system). Το πρώτο Linux vulnerability αναφέρθηκε από την εταιρία ασφάλειας δεδομένων δικτύων VSR, η οποία τεκμηρίωσε ότι το συγκεκριμένο security flaw σχετίζεται με την εγκατάσταση/ανάπτυξη του Reliable Datagram Sockets protocol (RDS) στις εκδόσεις 2.6.30 εως και την 2.6.36-rc8 του Linux kernel. Σύμφωνα με την επιστημονική ομάδα της εταιρίας, το συγκεκριμένο vulnerability θα επιτρέψει σε έναν attacker να εγγράψει arbitrary data στην kernel memory τα οποία με την σειρά τους μπορούν να χρησιμοποιηθούν για να αναβαθμίσουν το επίπεδο πρόσβασης σε επίπεδο root. (Escalate privileges to root) Για τον σκοπό αυτό παραθέτω αυτούσια την ανακοίνωση της εν λόγω εταιρίας στην Αγγλική γλώσσα : “The exploit leverages the ability to write into kernel memory to reset the kernel's security operations structure and gain root privileges. The exploit requires that kernel symbol resolution is available to unprivileged users”. Το δεύτερο Linux vulnerability, το οποίο ανακαλύφθηκε από τον security researcher Tavis Ormandy, σχετίζεται σε ένα flaw το οποίο βρέθηκε στο library loader του GNU C library, το οποίο και αυτό με την σειρά του μπορεί να χρησιμοποιηθεί για την απόκτηση δικαιώματων πρόσβασης σε επίπεδο root user. Για περισσότερες πληροφορίες δείτε τον παρακάτω σύνδεσμο : http://www.portal.itproportal.com/portal/news/article/2010/10/25/linux-flaws-provide-root-access-hackers/#ixzz13OFYCc7U

Αγαπητοί Συνάδελφοι της κοινότητας του autoexec, με το παρόν άρθρο θα ήθελα να δώσω την δυνατότητα πρόσβασης σε ένα πολύ χρήσιμο εργαλείο για όλους εμάς που ασχολούμαστε επαγγελματικά με την τεχνολογία του Active Directory. Στο link το οποίο παρατίθεται παρακάτω, επισυνάπτεται σε μορφή αρχείου Adobe Acrobat PDF, ένας οδηγός ο οποίος περιλαμβάνει όλα τα πλέον χρησιμοποιούμενα PowerShell cmdlets για το Active Directory στον Windows Server 2008 R2. Άλλωστε πόσες φορές έχουμε βρεθεί σε κάποιο κρίσιμο σημείο μιας εγκατάστασης κατά το οποίο δεν θυμόμαστε κάποια απλή εντολή. Εδώ πιστεύω ότι βρίσκεται η χρησιμότητα του συγκεκριμένου οδηγού. Ο σύνδεσμος στο διαδίκτυο είναι ο παρακάτω : http://www.jonathanmedd.net/wp-content/uploads/2009/10/ADPowerShell_QuickReference.pdf Ελπίζω ότι θα τον βρείτε ιδιαιτέρως χρήσιμο.

Εισαγωγή Έχοντας ήδη εγκαταστήσει και ρυθμίσει τον Data Protection Manager (DPM) 2010 για να πραγματοποιούμε τις λειτουργίες του backup και του restore, το επόμενο βήμα είναι η προστασία των συστημάτων Hyper-V host τα οποία βρίσκονται σε λειτουργία. Στο άρθρο αυτό θα εξηγήσουμε με απλό και κατανοητό τρόπο την διαδικασία της ρύθμισης (process of configuring) έναν Hyper-V host για την προστασία του, υλοποιώντας το backup και εν συνεχεία το restore ως αναπόσπαστα μέρη της συγκεκριμένης διαδικασίας ρύθμισης. Έτσι λοιπόν το συγκεκριμένο άρθρο αποτελεί το τρίτο μέρος μιας σειράς άρθρων τα οποία εξηγούν την εγκατάσταση, την ρύθμιση και την χρήση - how to install, configure, and utilize - τον DPM 2010 για να πραγματοποιούμε την λειτουργία του backup και του restore σε virtual machines και Hyper-V servers. Ρυθμίσεις DPM Πριν προχωρήσουμε στις απαραίτητες ρυθμίσεις για την προστασία ενός Hyper-V host, θα πρέπει να έχουμε ήδη εγκατεστημένο τον DPM 2010 καθώς επίσης θα πρέπει να εχουν προστεθεί και τα αντίστοιχα storage pool disks added με μη προκαθορισμένη χωρητικότητα (un-allocated capacity). Στο τέλος του δεύτερου άρθρου της συγκεκριμένης σειράς είχα προσθέσει στο σύστημα του DPM server ένα storage pool drive χωρητικότητας 127GB. Στο σημείο αυτό δεν υπάρχει καμία προστασία για τον οποιοδήποτε Hyper-V hosts διότι πολύ απλά δεν έχει ρυθμιστεί ακόμη. Θα πρέπει και στην δική σας αντίστοιχη προσπάθεια να βλέπετε ένα unallocated storage διαθέσιμο στα storage pool disks κάτω από το Disks tab στον Management section. Εικόνα 1 Εγκαθιστώντας τον DPM 2010 Agent στον Hyper-V Host Για να μπορέσουμε να προστατεύσουμε έναν Hyper-V host, είναι απαραίτητο να εγκαταστήσουμε τον DPM agent στο συγκεκριμένο υπολοστικό σύστημα. Υπάρχουν διαθέσιμοι τρεις διαφορετικοί τρόποι για να εγκαταστήσουμε τον DPM 2010 Agent. Χρησιμοποιώντας την DPM 2010 console Χρησιμοποιώντας μία λύση software deployment solution όπως ο System Center Configuration Manager 2007 Χειροκίνητη (Manually) εγκατάσταση του DPM agent Κάθε μία από τις παραπάνω μεθόδους έχει τα πλεονεκτήματα και τα μειονεκτήματά της. Χρησιμοποιώντας την DPM 2010 console είναι η πιο εύκολη μέθοδος. Η όλη διαδικασία γίνεται διαμέσου ενός απλού wizard και το μόνον το οποίο απατείται να γνωρίζουμε είναι το όνομα της μηχανής και το αντίστοιχο user name και password του χρήστη ο οποίος έχει τοπικά administrative δικαιώματα σε αυτήν. Το μειονέκτημα στην συγκεκριμένη περίπτωση είναι ότι πρέπει να έχουμε απενεργοποιημένο το firewall πριν από την εγκατάσταση του client. Αμέσως μετά την εγκατάσταση μπορούμε να επανενεργοποιήσουμε το firewall, ενεργοποιώντας ταυτοχρονα την εξαίρεση του DPM agent από τα firewall options. Εάν έχουμε ήδη εγκατεστημένο τον System Center Configuration Manager 2007, τότε είναι δυνατόν να χρησιμοποιήσουμε τον SCCM για να εγκαταστήσουμε τον DPM agent. Στην μηχανή στην οποία θα λάβει χώρα η εγκατάσταση θα πρέπει να υπάρχει εγκατεστημένος και σε λειτουργία ο SCCM agent και ο DPM agent θα πρέπει να έχει δημιουργηθεί/υλοποιηθεί ως software distribution package. Αμέσως μετά την δημιουργία του πακέτου, μπορούμε να δημιουργήσουμε μια συλλογή (collection) και εν συνεχεία να κάνουμε target αυτήν την συλλογή με το advertisement του DPM software package. Επίσης θέλουμε αυτό το πακέτο να είναι mandatory έτσι ώστε να μην απαιτείται ο χρήστης να είναι logged on. Το πλεονέκτημα αυτής της μεθόδου είναι ότι το Windows Firewall δεν αποτελεί πρόβλημα. Το μειονέκτημα όμως της συγκεκριμένης μεθόδου είναι ο όγκος της εργασίας ο οποίος απαιτείται για να εγκατασταθεί ο agent. Εάν δεν έχουμε εγκατεστημένο τον SCCM και αποτελεί μείζον θέμα ασφάλειας η απενεργοποίηση του firewall στην συγκεκριμένη μηχανή, τότε η τελευταία μέθοδος της χειροκίνητης εγκατάστασης του DPM agent στην συγκεκριμένη μηχανή είναι ο ενδεδειγμένος τρόπος και αμέσως μετά την εγκατάσταση επισυνάπτουμε (attach) τον agent στην DPM console έτσι ώστε να καθοριστεί το mapping γι' αυτήν την μηχανή. Η παρακάτω διαδικασία παρουσάζει τον τρόπο με τον οποίο γίνεται η εγκατάσταση του DPM agent χρησιμοποιώντας την DPM console. Στο σημείο αυτό υπάρχει μια παραδοχή σύμφωνα με την οποία το firewall έχει ήδη απενεργοποιηθεί έτσι ώστε να είναι δυνατή η εγκατάσταση του agent. Μέσα από την DPM 2010 Administrator Console, κάνουμε κλικ στο Management Tab, και εν συνεχεία κάνουμε κλικ στο Agents tab Εικόνα 2 Κάνουμε κλικ στο Install option στην δεξιά πλευρά του nd actions bar για να ξεκινήσει ο Protection Agent Installation Wizard Στην σελίδα Select Agent Deployment Method, επιλέγουμε το Install Agents option, και εν συνεχεία κάνουμε κλικ στο Next Εικόνα 3 Στην σελίδα Select Computers, επιλέγουμε τον Hyper-V host στον οποίο επιθυμούμε να γίνει η εγκατάσταση του agent και κάνουμε κλικ στο Add button. Εφόσον ο Hyper-V server έχει προστεθεί στο Selected Computers list, τότε κάνουμε κλικ στο Next Εικόνα 4 Στην σελίδα Enter Credentials page, συμπληρώνουμε τα domain credentials τα οποία έχουν τοπικά administrative δικαιώματα στις μηχανές στις οποίες επιθυμούμε να εγκαταστήσουμε τον , και εν συνεχεία κάνουμε κλικ στο Next Εικόνα 5 Στην σελίδα Choose Restart Method, επιλέγουμε Yes για να πραγματοποιηθεί restart στις μηχανές στις οποίες ο DPM agent έχει εγκατασταθεί (Αμέσως μετά την ολοκλήρωση της εγκατάστασης του DPM Agent), και εν συνεχεία κάνουμε κλικ στο Next Εικόνα 6 Στην σελίδα Summary, κάνουμε κλικ στο Install για να ξεκινήσει η διαδικασία της εγκατάστασης του agent. Εικόνα 7 Στην σελίδα Installation, θα παρακολουθήσουμε το status της διαδικασίας της εγκατάστασης. Αμέσως μετά την επιτυχή ολοκλήρωση της εγκατάστασης κάνουμε κλικ στο Close. Εικόνα 8 Στο Agents tab στην DPM 2010 console, θα πρέπει τώρα να βλέπουμε την ένδειξη ότι ο agent είναι εγκατεστημένος και το Status να εμφανίζεται ως OK. Εάν παρόλα αυτά το status δεν εμφανίζεται ως Ok, τότε κάνουμε highlight το Hyper-V server entry και χρησιμοποιούμε το Refresh Information action στο δεξιο panel για να ανανεώσουμε την πληροφορία. Εικόνα 9 Τώρα πηγαίνουμε στον Hyper-V server και επιβεβαιώνουμε ότι τα Windows Firewall exceptions έχουν ενεργοποιηθεί για τον DPM agent έτσι ώστε αυτός να επικοινωνεί με τον DPM server. Θα πρέπει να βλέπουμε δύο εξαιρέσεις : - DPMRA - DPMRA_DCOM_135 Στο σημείο αυτό μπορούμε να επαναφέρουμε το firewall ξανά σε κατάσταση on. Δημιουργία Protection Group για τον Hyper-V Server Τώρα που έχουμε πλέον εγκατεστημένο τον DPM 2010 στον Hyper-V server, μπορούμε να δημιουργήσουμε ένα protection group και εν συνεχεία να προσθέσουμε τον Hyper-V σε αυτό το group. Αυτή η διαδικασία θα ενεργοποιήσει το backup και το restoration του Hyper-V server και των virtual machines που τρέχουν σε αυτόν. Σε αυτό το άρθρο δεν καλύψουμε την περίπτωση χρήσης των tape libraries, αλλά σημειώστε ότι εάν πρόκειται να χρησιμοποιήσετε ένα tape library θα πρέπει να το προσθέσετε στο configuration τώρα. Για να δημιουργήσουμε ένα protection group ακολουθούμε τα παρακάτω βήματα : Στο DPM 2010 Administrator console, κάνουμε κλικ στο Protection Tab. Εν συνεχεία κάνουμε κλικ στο Create Protection Group action στο δεξιό pane για να ξεκινήσει η διαδικασία, με την εκκίνηση του New protection Group wizard, και κάνουμε κλικ στο Next Εικόνα 10 Όταν δημιουργούμε ένα protection group, μπορούμε να επιλέξουμε να προστατεύσουμε servers ή clients. Προστατεύοντας servers απαιτεί ο agent να έχει προεγκατασταθεί στον server έτσι ώστε να είναι δυνατή η επιλογή του protection information βάση του ρόλου του συγκεκριμένου server. Στην σελίδα Select Protection Group Type, επιλέγουμε το protect Servers και κάνουμε κλικ στο Next Εικόνα 11 Στην σελίδα Select Group Members, επιλέγουμε τον Hyper-V server, αναπτύσουμε (expand) την πληροφορία κάτω από αυτόν, και επιλέγουμε τι πρόκειται να προστατεύσουμε. Όπως μπορείτε να δείτε και στην παρακάτω εικόνα, έχουμε την δυνατότητα να ενεργοποιήσουμε τα Share protection, Volume protection, Hyper-V protection, και System Protection. Επιλέγουμε το Hyper-V protection και κάνουμε κλικ στο Next. Επιλέγοντας το Hyper-V protection, αυτομάτως προστατεύονται και όλες οι virtual machines οι οποίες είναι εγγεγραμμένες στον Hyper-V server καθώς και το Hyper-V store. Εικόνα 12 Στην σελίδα Select Data Protection Method, εισάγουμε ένα όνομα για το Protection Group, και εν συνεχεία στο Select the protection method επιλέγουμε short term using Disk, και αμέσως μετά κάνουμε κλικ στο Next Εικόνα 13 Στην σελίδα Specify Short Term Goals, ορίζουμε το retention range (με άλλα λόγια το χρονικό διάστημα για το οποίο επιθυμούμε η συγκεκριμένη προστασία να διατηρείται), και εν συνεχεία κάνουμε κλικ στο Next. Στην συγκεκριμένη περίπτωση θα διατηρήσουμε το default application recovery point setting πραγματοποιώντας ένα express full backup κάθε μέρα. Εικόνα 14 Στην σελίδα Review Disk Allocation, αποδεχόμαστε τα defaults και κάνουμε κλικ στο Next Εικόνα 15 Στην σελίδα Choose Replica Creation Method, αφήνουμε το default setting χρησιμοποιώντας το τοπικό δίκτυο για την μεταφορά των replica data, αφότου έχουμε επιβεβαιώσει ότι είναι επιλεγμένο το Now έτσι ώστε η replica να γίνει captured αμέσως, και εν συνεχεία κάνουμε κλικ στο Next Εικόνα 16 Στην σελίδα Consistency Check Options, ενεργοποιούμε την επιλογή Run a consistency check if the replica becomes inconsistent, και εν συνεχεία κάνουμε κλικ στο Next Εικόνα 17 Στην σελίδα Summary, επιβεβαιώνουμε όλες τις επιλογές τις οποίες έχουμε κάνει και εν συνεχεία κάνουμε κλικ στο Create Group. Εικόνα 18 Στην σελίδα Status θα εμφανιστεί το protection group process.Το replica space θα πρέπει να δημιουργηθεί σε ένα από τα διαθέσιμα storage pool και αμέσως μετά το protection group θα δημιουργηθεί. Κάνουμε κλικ στο Close αμέσως μετά την επιτυχημένη δημιουργία. Εικόνα 19 Ο wizard θα κλείσει και στο Protection tab θα εμφανιστεί το καινούριο protection group καθώς και το status του συγκεκριμένου protection group. Θα παρακολουθήσετε ότι η διαδικασία δημιουργίας της replica είναι σε κατάσταση επεξεργασίας. Αφότου ολοκληρωθεί η δημιουργία της replica, το protection status θα αλλάξει σε OK. Αυτό σημαίνει ότι η replica είναι έτοιμη να δεχτεί τα πραγματικά δεδομένα (actual recovery point transfer) από την πηγή. Μέχρι τα δεδομένα (recovery point) να μεταφερθούν στην replica, η μηχανή δεν είναι προστατευμένη. Η default επιλογή, είναι ότι η μεταφορά δεδομένων να λαμβάνει χώρα στις 18:00 η ώρα κάθε μέρα. Εικόνα 20 Αμέσως μετά την μεολοκλήρωση της μεταφοράς του αρχικού (initial) recovery point, τότε η μηχανή είναι προστατευμένη και θα συνεχίσει να είναι προστετευμένη βάση του προκαθορισμένου χρονοδιαγράμματος. Συμπέρασμα Σε αυτό το άρθρο παρουσιάσαμε τα προαπαιτούμενα για την δημιουργία ενός protection group στον DPM 2010, την δημιουργία ενός protection group και τέλος την επαλήθευση ότι η replica έχει ήδη δημιουργηθεί σε συνδυασμό με το ότι το recovery point έχει ήδη μεταφερθεί στον DPM 2010 server. Στην διαδικασία αυτή εμπεριέχονται η χρήση του Protection Group Creation wizard, καθώς επίσης και τα options για την προστασία ενός Hyper-V server, ρυθμίζοντας το short term recovery, και καθορίζοντας το χρονοδιάγραμμα για την δημιουργία του recovery point. Στο επόμενο άρθρο θα ασχοληθούμε με το recovery ενός Hyper-V server και συγκεκριμένων (individual) virtual machines.

Όταν είναι απαραίτητο να προχωρήσουμε στην απεγκατάσταση ή στην επανεγκατάσταση (remove or reinstall) ενός Exchange Server 2010 server role τότε είναι πολύ πιθανόν να αντιμετωπίσουμε τα παρακάτω λάθος. The following error was generated when “$error.Clear(); uninstall-MsiPackage -PackagePath ($RoleInstallPath + “Mailbox\MSFTE.MSI”) -LogFile ($RoleSetupLoggingPath + “\InstallSearch.msilog”)” was run: “Couldn’t open package ‘C:\Program Files\Microsoft\Exchange Server\V14\Mailbox\MSFTE.MSI’. Another version of this product is already installed. Installation of this version cannot continue. To configure or remove the existing version of this product, use Add/Remove Programs on the Control Panel. Error code is 1638.”. Couldn’t open package ‘C:\Program Files\Microsoft\Exchange Server\V14\Mailbox\MSFTE.MSI’. Another version of this product is already installed. Installation of this version cannot continue. To configure or remove the existing version of this product, use Add/Remove Programs on the Control Panel. Error code is 1638. Another version of this product is already installed. Installation of this version cannot continue. To configure or remove the existing version of this product, use Add/Remove Programs on the Control Panel Το λάθος αυτό μπορεί να οφείλεται σε μια σειρά από διαφορετικούς λόγους, και συνεπώς για την επίλυσή του μπορεί να υποχρεωθούμε να δοκιμάσουμε περισσότερες της μιας λύσεις. Η πιο γρήγορη λύση είναι να δοκιμάσουμε να επισκευάσουμε την Microsoft Full Text Indexing Engine for Exchange. Στο Control Panel -> Uninstall a Program επιλέγουμε-χρωματίζουμε το indexing engine entry και εν συνεχεία κάνουμε κλικ στο Repair button. Εφόσον ολοκληρωθεί πλήρως η επισκευή τότε αμέσως μετά δοκιμάζουμε να εγκαταστήσουμε ή να απεγκαταστήσουμε τον συγκεκριμένο Exchange server role ξανά. Εάν το πρόβλημα συνεχίζει να υφίσταται τότε προχωρούμε σε επανεγκατάσταση του πιο τελευταίου/πρόσφατου Update Rollup το οποίο είχε εγκατασταθεί στον συγκεκριμένο Exchange 2010 server. Για να διαπιστώσουμε πιο είναι αυτό update επιλέγουμε Control Panel -> Uninstall a Program. Εν συνεχεία κάνουμε κλικ στο View Installed Updates στο αριστερό action pane. Σημειώστε εδώ ποιο είναι το συγκεκριμένο Update Rollup (ή το ποιο πρόσφατο εφόσον υπάρχουν περισσότερα του ενός) το οποίο είναι εγκατεστημένο στον Exchange server. Κάνουμε Download του συγκεκριμένου Update Rollup και το εφαρμόζουμε εκ νέου στον server, και αμέσως μετά κάνουμε restart στον Exchange server. Εν συνεχεία προσπαθούμε εκ νέου κάνουμε απεγκατάσταση ή επανεγκατάσταση (remove or reinstall) του Exchange Server 2010 role. Σε μερικές περιπτώσεις έχει διαπιστωθεί ότι η εφαρμογή για δεύτερη φορά του Update Rollup είναι απολύτως απαραίτητη για την διόρθωση του λάθους. Εάν και πάλι ο Exchange server role δεν καθίσταται δυνατόν να απεγκατασταθεί τότε τότε κάνουμε απεγκατάσταση (Uninstall) του Update Rollup. Όταν τελικά το πρόβλημα επιλυθεί τότε ο Exchange server θα περάσει με επιτυχία τα readiness checks και έτσι θα μπορέσουμε να προχωρήσουμε στην απεγκατάσταση ή την επανεγκατάσταση των Exchange server roles.

Σε αυτόν τον οδηγό των 46 σελίδων, γίνεται μια εισαγωγή στο λειτουργικό σύστημα των Windows 7 και στο τι καινούριο έχει να προσφέρει στον τελικό χρήστη. Επίσης αυτός ο οδηγός αναφέρεται σε θέματα τα οποία σχετίζονται με software compatibility. Επιπροσθέτως, μας παρέχει λεπτομερείς πληροφορίες για την καινούρια taskbar, πως να χρησιμοποιούμε και να παραμετροποιούμε το Windows Aero, τι ακριβώς είναι τελικά τα Windows 7 Libraries, τι λογισμικό περιλαμβάνεται στα Windows 7, και τέλος πόσο εύκολη είναι η ρύθμιση του networking στα Windows 7 μαζί με ορισμένα άλλα χαρακτηριστικά. Κάνετε κλικ εδώ για να κατεβάσετε τον οδηγό “The Windows 7 Guide: From newbies to Pros”

Αγαπητοί συνάδελφοι της κοινότητας ο σκοπός του συγκεκριμένου άρθρου είναι να σας βοηθήσει με τέτοιο τρόπο έτσι ώστε να έχετε πρόσβαση από έναν και μόνο σημείο χωρίς να χάνετε το χρόνο σας ψάχνοντας στα Microsoft support links για να κατεβάσετε όλα τα απαιτούμενα hot fixes και updates για να εγκαταστήσετε τον Exchange 2010 SP1. Συνεπώς κατά την λογική μου κάνω download όλα τα updates και τα διαχωρίζω σε 3 διαφορετικά ZIP files. Το αρχείο 2008-R1.zip για τα Server 2008 R1 hot fixes. Το αρχείο 2008-R2.zip για τα Server 2008 R2 hot fixes. Τέλος το αρχείο Shared.zip για όλα εκείνα τα updates τα οποία είναι κοινα και για τις λειτουργικές πλατφόρμες. Τα αποθηκελυω εν συνεχεία για ευκολία σε ένα USB thumb drive. Contents of Shared: FilterPack64bit.exe UcmaRedist.msp (August 2010 - 3.5.6907.210) Contents of 2008-R1: KB 973136 - request KB 977592 - request KB 977624-v2 - request KB 979099 - request KB 979744 - request KB 979917 - request KB 982867-v2 - request Contents of 2008-R2: KB 977020-v2 - request KB 977357 - request KB 979099 - request KB 979744 - request KB 979917 - request KB 981314 - request KB 982867-v2 - request KB 983440 - request Contents of W7: KB 977020-v2 - request KB 982867-v2 - request Τα μοναδικά updates στην παραπάνω λίστα τα οποία δεν αποτελούν αναστολείς της εγκατάστασης (deployment blocker)από τον εγκαταστάτη του Exchange 2010 SP1 είναι τα Server 2008 R2 WMI memory leak hot fixes - KB 977357 και 981314. Εφόσον παρακολουθείτε τους Exchange servers με το System Center Operations Manager ή με οτιδήποτε άλλο λογισμικό το οποίο συνεχώς καλεί την WMI Win32_Service class, αυτό το hot fix είναι απαραίτητο. Από καιρό σε καιρό η Microsoft ανανεώνει αυτά τα hot fixes. Όπως θα παρατηρήσετε μερικά από αυτά τα hot fixes βρίσκονται ήδη στην έκδοση 2. Τα επερχόμενα service packs των Windows και του .NET Framework θα αντικαταστήσουν την χρησιμότητα των συγκεκριμένων updates και έτσι δεν θα χρειάζονται πλέον Ελπίζω ότι το συγκεκριμένο άρθρο θα σας φανεί χρήσιμο.

Όπως είναι γνωστό το Exchange 2010 SP1 είναι διαθέσιμο εδώ και ημέρες για το κοινό και μπορούμε να το κατεβάσουμε σε αυτό από εδώ. Υποθέτωντας ότι έχουμε ήδη εγκαταστήσει ή πρόκειται να εγκαταστήσουμε σε έναν server ο οποίος έχει ενεργούς όλους τους ρόλους του Exchange, τότε τα παρακάτω hot fixes είναι απαραίτητα πριν από την εγκατάσταση του Exchange 2010 Service Pack 1 σε λειτουργικό περιβάλλον Microsoft Windows Server R2: Απαραίτητες Αναβαθμίσεις για τον Windows Server 2008 R2: KB 977020 - .NET Framework 2.0 hotfix KB 979099 - AD RMS hotfix KB 979744 - .NET Framework 2.0 hotfix KB 979917 - ASP.NET 2.0 hotfix KB 2282949 - UCMA hotfix - August 2010 - 3.5.6907.210 KB 982867 - .NET Framework 3.5 SP1 hotfix KB 983440 - ASP.NET 2.0 hotfix rollup Office 2010 Filter Pack Βεβαίως είναι πολλοί αυτοί οι οι οποίοι θα αναρωτηθούν γιατί αναφέρομαι σε αυτές τις αναβαθμίσεις. Ο λόγος είναι πολύ απλά ότι οι αναβαθμίσεις αυτές δεν αναπτύσσονται από το Exchange team, και συνεπώς δεν συμπεριλαμβάνται στα download binaries του Exchange 2010 Service Pack 1.

Εισαγωγή Ο ISA Firewall ήταν διαθέσιμος στην αγορά πληροφορικής για ένα αρκετά μεγάλο χρονικό διάστημα. Αρκετοί ISA Firewall Administrators, τον χρησιμοποίησαν σε πλήρη παραγωγική χρήση ήδη από την beta phase του ISA 2000, όταν ήταν γνωστός με την κωδική ονομασία “Comet” πίσω στο έτος 2000. Για τα επόμενα δέκα έτη, χιλιάδες ISA firewall admins υιοθέτησαν και εργάστηκαν με τον ISA firewall και προχώρησαν στην επόμενη έκδοσή του. Μετά τον ISA 2000 παρουσιάστηκε ο ISA 2004 και δύο χρόνια αργότερα παρουσιάστηκε ο ISA 2006. Ο ISA 2004 αποτέλεσε μια ριζική ανανέωση σε σχέση με τον ISA 2000 firewall, γεγονός το οποίο καθιέρωσε τον ISA 2004 στην αγορά πληροφορικής αντάξιο όλων των enterprise network firewalls. Ο ISA 2006 αποτέλεσε θα μπορούσε να πει κανείς μια “R2” release, περιλαμβάνοντας κυρίως βελτιώσεις των web proxy components του firewall. Το 2010, η καινούρια έκδοση του ISA Firewall όχι μόνον περιλάμβανε σημαντικά - επαναστατικά νέα χαρακτηριστικά και δυνατότητες, αλλά συνάμα και την μετονομασία του πλέον σε TMG – the Threat Management Gateway 2010. Σύμφωνα δε την Microsoft όπως προκύπτει από τα στοιχεία πωλήσεων του συγκεκριμένου προϊόντος, εξαιρετικό ενδιαφέρον έχει το γεγονός ότι μετά την έναρξη κυκλοφορίας του TMG firewall, υπάρχουν πολλοί νέοι TMG firewall admins οι οποίοι στο παρελθόν ουδέποτε είχαν χρησιμοποιήσει τον ISA firewall. Οι περισσότεροι από αυτούς τους admins απαξιώνουν τα παλαιά “hardware” firewalls διότι πολύ απλά το κόστος συντήρησής του είναι εξαιρετικά υψηλό με αποτέλεσμα να μην λειτουργεί προς όφελος της επιχείρησης ιδιαίτερα δε σε συνθήκες οικονομικής κρίσης. Ακόμη περισσότερο ενδιαφέρον παρουσιάζει επίσης το γεγονός της μετακίνησης στον TMG Firewall, διότι λόγω της συσσωρευμένης εμπειρίας ετών την οποία έχουν αποκτήσει οι Firewall Admins σε σχέση με το παρελθόν, διαπιστώνουν ότι τα επονομαζόμενα hardware firewalls σε πολλές περιπτώσεις, είναι υποδεέστερα σε ασφάλεια σε σύγκριση με τον TMG firewall. Αυτό αποτελεί μια σημαντική εξέλιξη, η οποία υποδειλώνει την αλλαγή στη νοοτροπία της Microsoft, ενώ ταυτόχρονα είναι μια απόδειξη για την αποτελεσματικότητα του Microsoft’s Security Development Lifecycle, στοιχείο το οποίο άλλαξε εντελώς τον τρόπο με τον οποίο η Microsoft δημιούργησε το λογισμικό επικεντρώνοντας στην ασφάλεια σε κάθε φάση της ανάπτυξης του λογισμικού. Αν και υπάρχει σημαντικός όγκος αρθρογραφίας στο διαδίκτυο σχετικά με τον ISA, TMG Firewall, όπου παρουσιάζονται διεξοδικά περίπλοκες εγκατστάσεις, παρόλα αυτά γι' συτόν που ασχολείται συστηματικά με το συγκεκριμένο λογισμικό υπάρχει απαίτηση για αναλυτική παρουσίαση των βασικών χαρακτηριστικών από administrators οι οποίοι θέλουν να χρησιμοποιήσουν τον TMG Firewall. Είναι χαρακτηριστικό να αναφέρουμε ότι υπάρχει πρόβλημα όσον αφορά την αρθρογραφία σχετικά με το outbound access. Πάρα πολλοί νέοι TMG firewall admins έχουν εστιάσει την προσοχή τους στο inbound access control (π.χ., control access του Exchange και του SharePoint). Τώρα όμως θέλουν να αποκτήσουν τεχνογνωσία όσον αφορά το control access των outbound connections. Αυτό θα είναι και το θέμα του συγκεκριμένου άρθρου πάνω στα Access Rules. Κατανοώντας τα Access Rules Τα Access Rules χρησιμοποιούνται για τον έλεγχο του control outbound access σε ένα δίκτυο το οποίο προστατεύεται από τον TMG firewall. Όταν θέλουμε να επιτρέψουμε σε έναν Η/Υ πίσω από τον TMG firewall να έχει πρόσβαση σε ένα άλλο δίκτυο (συμπεριλαμβανομένου και του Internet), τότε είναι απαραίτητο να δημιουργήσουμε ένα Access Rule έτσι ώστε να επιτραπείο αυτή η σύνδεση. Εξ ορισμού, δεν υπάρχει κανένας Access Rules τα οποία επιτρέπουν συνδέσεις διαμέσου του firewall. Αυτή η εξ ορισμού κλειστή κατάσταση αποτελεί την βέλτιστη από πλευράς ασφάλειας ρύθμιση (configuration), αλλά ταυτόχρονα σημαίνει ότι εφόσον θέλουμε να επιτρέψουμε κίνηση (traffic) διαμέσου του TMG firewall, θα πρέπει να κατανοήσουμε πλήρως πως δουλεύουν τα Access Rules και πως τα δημιουργούμε. Δημιουργώντας έναν Outbound Access Rule Για να ξεκινήσουμε, θα δημιουργήσουμε έναν απλό outbound access rule, ο οποίος επιτρέπει σε όλους τους χρήστες να έχουν outbound access στο Internet χρησιμοποιώντας όλα τα πρωτόκολα επικοινωνίας. Στο επόμενο άρθρο θα παρουσιάσουμε με λεπτομέρεια τα Access Rules και θα παρουσιάσουμε ποιες είναι οι εξαρτήσεις (dependencies) των Access Rules και τον τρόπο με τον οποίο μπορούμε να τις διαχειριστούμε. Ας ξεκινήσουμε εκιννώντας την TMG firewall console. Εν συνεχεία κάνουμε κλικ στο Firewall Policy node στην αριστερή πλευρά της console, όπως παρουσιάζεται στην παρακάτω εικόνα 1. Εικόνα 1 Αφού κάνουμε κλικ στο Firewall Policy, κάνουμε κλικ στο Tasks Tab στο δεξιό μέρος της console. Εδώ υπάρχει μια σειρά επιλογών (options), οι περισσότερες των οποίων σχετίζονται με την δημιουργία διαφόρων firewall rules. Στο συγκεκριμένο παράδειγμα, θέλουμε να δημιουργήσουμε ένα Access Rule το οποίο θα επιτρέπει το outbound access διαμέσου του TMG firewall. Για τον λόγο αυτό κάνουμε κλικ στο Create Access Rule link για να ξεκινήσει το Access Rule wizard, όπως αυτό παρουσιάζεται στην εικόνα 2 παρακάτω. Εικόνα 2 Στην σελίδα Welcome to the New Access Rule Wizard, εισάγουμε ένα χαρακτηριστικό όνομα στο Access Rule name text box. Μιλώντας γενικά, θα πρέπει να χρησιμοποιούμε ένα σύστημα βάση του οποίου όλα τα Access Rules θα έχουν ονόματα τα οποία θα υποδηλώνουν τι κάνουν, έτσι ανά πάσα στιγμή να είμαστε σε θέση να γνωρίζουμε σε μια firewall policy ποιος είναι ο σκοπός του κάθε κανόνα. Σε αυτό το παράδειγμα, θα ονοματήσουμε τον κανόνα ως All Open 1. Σαφέστατα σε ένα παραγωγικό περιβάλλον, δεν θα θέλαμε να δημιουργήσουμε έναν κανόνα της μορφής αυτής διότι πολύ απλά ο κανόνας αυτός θα επιτρέψει σε όλους ανεξαιρέτως τους χρήστες και τους υπολογιστές να έχουν outbound access στο internet και είναι πολύ πιθανόν να μην αυτό το οποίο επιθυμούμε για ένα παραγωγικό περιβάλλον. Εικόνα 3 Στην σελίδα Rule Action, μας παρέχεται η δυνατότητα ορίσουμε τον κανόνα ως Allow ή Deny rule. Σημειώστε ότι εξ ορισμού δημιουργούμε έναν Deny rule, στοιχείο το οποίο αποτελεί καλή ιδέα κάτω από το πρίσμα της ασφάλειας. Συνεπώς θα αλλάξουμε την κατάσταση από Deny σε Allow πριν κάνουμε κλικ στο Next έτσι ώστε να γίνει ο κανόνας μας ένας Allow rule. Εικόνα 4 Στην σελίδα των Protocols, επιλέγουμε τα πρωτόκολα στα οποία ο κανόνας αυτός πόκειται να εφαρμοστεί. Στο This rule applies to drop down box, έχουμε τις παρακάτω τρεις επιλογές : All outbound traffic - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε ο κανόνας μας να έχει εφαρμογή σε όλα τα πρωτόκολα. Selected protocols - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε να επιλέξουμε συγκεκριμένα πρωτόκολα, στα οποία πρόκειται να εφαρμοστεί ο κανόνας μας. All outbound traffic except selected - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε επιτρέπουμε ή να μην επιτρέπουμε (to allow or deny) όλα τα πρωτόκολα εκτός από ένα υποσύνολο αυτών τα οποία επιλέγουμε στην συγκεκριμένη σελίδα. Εικόνα 5 Εάν επιλέξουμε την δεύτερη ή την τρίτη επιλογή, τότε κάνουμε κλικ στο Add button για να επιλέξουμε τα πρωτόκολα στα οποία θέλουμε ο κανόνας αυτός να έχει εφαρμογή. Αφού κάνουμε κλικ στο Add button, θα μας έρθει στο προσκήνιο το πλαίσο διαλόγου Add Protocols. Όταν κάνουμε κλικ σε έναν φάκελο σε αυτό το πλαίσιο διαλόγου, ο φάκελος ανοίγει παρουσιάζοντας μια λίστα των πρωτοκόλων. Η ομάδα ανάπτυξης του TMG firewall για να διευκολύνει το έργο μας διαχώρισε τα πρωτόκολα σε νοηματικές ομάδες (meaningful groups) έτσι ώστε να είναι ευκολότερο για εμάς να βρίσκουμε το-α συγκεκριμένο-α πρωτόκολο-α που μας ενδιαφέρει. Κάνουμε διπλό κλικ στα πρωτόκολα στα οποία θέλουμε να επιτρέψουμε την πρόσβαση και αυτά θα εμφανιστούν στην σελίδα Protocols στο Protocols list. Εικόνα 6 Υπάρχει μια ακόμη επιλογή στην οποία έχουμε πρόσβαση στην σελίδα αυτή, και εμφανίζεται εάν κάνουμε κλικ στο Source Ports button. Αυτό εμφανίζει στο προσκήνιο το Source Ports dialog box. Εδώ μας δίνεται η δυνατότητα ελέγχου των επιτρεπόμενων source ports οι οποίες αναφέρονται στις συνδέσεις του συγκεκριμένου κανόνα. Εξ ορισμού είναι επιλεγμένο το Allow traffic from any allowed source port , αλλά εάν θέλουμε να κάνουμε κλείδωμα (lock down) στα source ports, μπορούμε να επιλέξουμε το Limit access to traffic from this range of source ports και εν συνεχεία εισάγουμε τιμές (values) στα From και To text boxes για να υποδηλώσουμε αυτά τα source ports. Εικόνα 7 Στην συγκεκριμένη χρονική στιγμη δεν θα επιλέξουμε καμία ειδικά specific source ports. Θα επιλέξουμε την επιλογή All outbound traffic και εν συνεχεία κάνουμε κλικ στο Next. Η επόμενη σελίδα είναι η σελίδα Access Rule Sources. Εδώ μπορούμε να επιλέξουμε την τοποθεσία (location) στην οποία βρίσκονται οι υπολογιστές πίσω από τον TMG firewall στους οποίους θέλουμε αυτός ο κανόνας να εφαρμοστεί. Κάνουμε κλικ στο Add button και εν συνεχελια θα εμφανιστεί το Add Network Entities dialog box. Κάνουμε κλικ στον φάκελο ο οποίος περιέχει το network element το οποίο υποδηλώνει την πηγαία τοποθεσία (source location) των υπολογιστών στους οποίους θέλουμε αυτός ο κανόνας να εφαρμοστεί. Στο παράδειγμα αυτό, θα ρυθμίσουμε τον κανόνα αυτό να έχει εφαρμογή σε όλους τους υπολογιστές οι οποίοι βρίσκονται στο εσωτερικό δίκτυο (Internal Network), κάνοντας κλικ στο φάκελο Networks και εν συνεχεία κάνουμε διπλό κλικ στο Internal Network. Εικόνα 8 Αφού επιλέξουμε το source Network ως το εξ ορισμού Internal Network κάνοντας κλικ στο Next, θα εμφανιστεί η επόμενη σελίδα, η οποία είναι η Access Rule Destinations. Εδώ καθορίζουμε τον-ους προορισμό-ούς (destinations) στους οποίους θέλουμε οι υπολογιστές από την πηγαία τοποθεσία (source location), τους οποίους είχαμε επιλέξει προηγουμένως να έχουν πρόσβαση διαμέσου του συγκεκριμένου κανόνα. Η σελίδα Access Rule Destinations λειτουργεί όπως και η προηγούμενη σελίδα, όπου κάνουμε κλικ στο Add button και εν συνεχεία στο εμφανιζόμενο Add Network Entities dialog box, κάνουμε κλικ στον φάκελο και αμέσως μετά διπλό κλικ στο στοιχείο του δικτύου (network element) για το οποίο θέλουμε να επιτρέψουμε την πρόσβαση χρησιμοποιώντας αυτόν τον κανόνα. Στο παράδειγμά μας θα επιλέξουμε το εξ ορισμού επιλεγμένο External network. Εικόνα 9 Η επόμενη σελίδα του wizard είναι η σελίδα User Sets. Σε αυτήν την σελίδα καθορίζουμε τους χρήστες στους οποίους πρόκειται να εφαρμόσουμε αυτόν τον κανόνα. Εξ ορισμού τα Access Rules εφαρμόζονται σε όλους τους χρήστες. Τώρα ο ορισμός “all users” μπορεί να μην αντιστοιχεί σε αυτό το οποίο επιθυμούμε, σε σχέση με αυτό το οποίο καθορίζει ο TMG firewall ως όλοι οι χρήστες (all users). Το λογικό είναι ότι αναφερόμαστε με τον όρο “all users”, ο οποίος θα εφαρμοστεί σε όλους τους λογαριασμούς των χρηστών στον οργανισμό / επιχείριση στον οποίο εργαζόμαστε. Δυστυχώς είναι ΛΑΘΟΣ!!! Ο όρος “All users” όσον αφορά τον TMG firewall’s αναφέρεται στους ανώνυμους χρήστες (anonymous users) – με άλλα λόγια είναι μη εξουσιοδοτημένοι χρήστες, και επακριβώς αναφερόμαστε στα unauthenticated connections. Εάν κάνουμε κλικ στο Add button, μπορούμε να επιλέξουμε διαφορετικούς χρήστες, όπως οι All Authenticated Users ή το System and Network Service. Μπορούμε επίσης να δημιουργήσουμε custom user sets βασισμένα σε λογαριασμούς Active Directory ή RADIUS αντίστοιχα. Θα αναφερθούμε σε αυτό στο επόμενο άρθρο. Στο παράδειγμα αυτό θα επιλέξουμε την επιλογή All Users και εν συνεχεία κάνουμε κλικ στο Next για να συνεχίσουμε στην επόμενη σελίδα. Εικόνα 10 Η τελευταία σελίδα του wizard είναι η σελίδα Completing the New Access Rule Wizard. Εδώ κάνουμε επισκόπηση των ρυθμίσεών μας και κάνουμε κλικ στο Finish. Εικόνα 11 Αμέσως μετά την δημιουργία του κανόνα, αυτός δεν εφαρμόζεται παρά μόνον αφότου κάνουμε κλικ στο Apply button στην κορυφή του μεσαίου pane της TMG firewall console. Έτσι θα κάνουμε κλικ αμέσως στο Apply button. Εικόνα 12 Επιπρόσθετες Επιλογές Αφότου κάνουμε κλικ στο Apply, τότε ενφανίζεται το Configuration Change Description dialog box. Στο σημείο μας παρέχεται η δυνατότητα προσθήκης περιγραφής της αλλαγής η οποία έλαβε χώρα όσον αφορά το firewall policy με συνέπεια αυτή να εμφανιστεί στο change log. το change log είναι εξαιρετικά χρήσιμο ιδαιτέρως όταν πρόκειται να ανατρέξουμε σε παλαιότερες ενέργειες οι οποίες πραγματοποιήθηκαν από κάποιον άλλον administrator και άλλαξαν το firewall policy με αποτέλεσμα το σύστημα να μην λειτουργεί όπως θα θέλαμε. Σημεώστε επίσης ότι έχουμε την επιλογή του back up του firewall policy κάνοντας κλικ στο Export button σε αυτό το σημείο. Αυτή η διαδικασία μας επιτρέπει να έχουμε πάντοτε διαθέσιμο ένα αντίγραφο ασφαλείας των ρυθμίσεων (backup of the configuration), έτσι ώστε να μπορούμε εύκολα να επιστρέψουμε πίσω στο σημείο που ήταν το σύστημα πριν από τις αλλαγές. Επιπροσθέτως έχουμε την επιλογή να μην εμφανιστεί το prompt ξανά στο μέλλον, κάτι το οποίο δεν το συνιστώ, διότι πολύ απλά θα διαπιστώσετε την χρησιμότητα αυτού του dialog box συνεχώς στο μέλον. Έτσι λοιπό κάνουμε κλικ στο Apply. Εικόνα 13 Το Saving Configuration Changes dialog box εμφανίζεται αμέσως και μας κοινοποιεί ότι τα firewall policy settings αποθηκεύτηκαν στο configuration storage. Σημειώστε εδώ ότι την παρατήρηση που εμφανίζεται και λέει ότι Existing client connections will be reevaluated according to the new configuration. Client connections not matching the newly enforced policy will be dropped. Αυτό αποτελεί ένα καινούριο χαρακτηριστικό του TMG firewall. Με το ISA firewall, κάθε καινούρια firewall policy εφαρμόζεταισε νέες συνδέσεις και σε ήδη υπάρχουσες. Αυτό το στοιχείο από μόνο του αποτελεί σημαντική βελτίωση και αποτελεί από μόνο του λόγο για τον οποίο θα πρέπει να προχωρήσουμε στην αναβάθμιση από τον ISA firewall στον TMG firewall. Εικόνα 14 Ο καινούριος κανόνας πλέον εμφανίζεται στο firewall policy list, όπως αυτό παρουσιάζεται στην παρακάτω εικόνα. Η θέση του στην λίστα εξαρτάται από το σημείο στο οποίο κάναμε κλικ όταν ξεκινησαμε τον wizard. Παρόλα αυτά, όπως θα σας παρουσιάσω στο επόμενο άρθρο μπορούμε να μετακινησουμε έναν κανονα πάνω ή κάτω στην λίστα αλλάζοντάς του την θέση του. Εικόνα 15 Συμπέρασμα Ολοκληρώνοντας, σε αυτό το άρθρο σκοπός μου ήταν η παρουσιάση των βασικών χαρακτηριστικών των Access Rules για έναν νέο firewall admin. Οι Access Rules χρησιμοποιούνται για να ελέγχουν το traffic moving το οποίο εξέρχεται (outbound) από ένα προστατευμένο δίκτυο από τον TMG σε κάποιο άλλο δίκτυο. Εξ ορισμού δεν υπάρχουν Access Rules και κανένα traffic δεν διακινείται διαμέσου του TMG firewall. Ένας An Access Rule πρέπει να δημιουργηθεί για να επιτρέψει το outbound traffic. Οι Access Rules μας επιτρέπουν τον έλεγχο του traffic, βασιζόμενοι σε μια σειρά παραγόντων, όπως οι source location, destination location, οι χρήστες (users), και τα πρωτόκολα τα οποία χρησιμοποιούνται. Οπωσδήποτε υπάρχουν και άλλες επιλογές οι οποίες θα παρουσιαστούν στο επόμενο άρθρο.

Επιτέλους η είδηση για τους IT Pros της χρονιάς που τρέχει. Και όπως λέει και ο αξεπέραστος Θανάσης Βέγγος ως Πράκτωρ Θου-Βου Βουρ για IT Pro| Dev Connections 2010!!!!!!!! Δρ Ιορδάνης Τσαφαρίδης ΙΤ Manager BTI Hellas AEE

Στο δεύτερο μέρος της σειράς άρθρων τα οποία αφορούν τον DPM 2010, θα ασχοληθούμε με την την εγκατάσταση, ρύθμιση και χρήση του DPM 2010 για να υλοποιήσουμε backup και restore σε virtual machines και Hyper-V servers. Εισαγωγή Όπως αναφέρθηκα και στο εισαγωγικό κείμενο, ο σκοπός του συγκεκριμένου άρθρου είναι η ρύθμιση των αποθηκευτικών μέσων - configuring storage and settings - στον DPM 2010 έτσι ώστε να είναι δυνατόν πραγματοποιήσουμε backup και restore σε Hyper-V servers και virtual machines. Το συγκεκριμένο άρθρο προϋποθέτει ότι έχουμε ολοκληρώσει την εγκατάσταση του DPM 2010 όπως αυτή περιγράφεται λεπτομερειακά στο πρώτο άρθρο της σειράς. Τώρα αυτό το οποίο χρειαζόμαστε είναι να ρυθμίσουμε τον DPM 2010 σε σχέση με τα διαθέσιμα αποθηκευτικά μέσα και εν συνεχεία να διαμορφώσουμε τις ρυθμίσεις του έστι ώστε να μπορούμε να κάνουμε backup και restore των Hyper-V servers οι οποίοι είναι εγκατεστημένοι στο περιβάλλον εργασίας μας. Απαιτήσεις σε αποθηκευτικά μέσα (Storage Requirements) Ο DPM απαιτεί τα αποθηκευτικά μέσα (storage) να είναι τοπικά συνεδεμένα (locally attached), πριν αυτά χρησιμοποιηθούν από τον DPM σαν backup storage. Ο DPM μπορεί να χρησιμοποιήσει direct-attached storage (DAS), ή storage area network (SAN) devices, τα οποία συνδέονται με το υπολογιστικό σύστημα στο οποίο είναι εγκατεστημένος ο DPM διαμέσου iSCSI ή fibre channel connections. Ο DPM δεν μπορεί να χρησιμοποιήσει κάποιο storage το οποίο έχει αναγνωριστεί ως removable media όπως USB, IEEE 1394 (Firewire), ή άλλα μέσα όπως μια compact flash. Αυτό γίνεται άμεσα αντιληπτό διότι αποθηκευτικά μέσα αυτής της μορφής δεν βρίσκονται πάντοτε συνδεδεμένα στο υπολογιστικό σύστημα, όταν αυτό τα χρειάζεται, αλλά κυρίως γιατί δεν υποστηρίζουν το VSS. Οποιαδήποτε volumes τα οποία έχουν ρυθμιστεί ως DPM storage πρέπει να είναι dedicated στον DPM, χωρίς να χρειάζεται η συνολική χωρητικότητα του αποθηκευτικού μέσου να είναι σεσμευμένη (allocated) για χρήση από τον DPM. Storage Pools Ένα Storage pool αποτελείται από έναν ή περισσότερους δίσκους ρυθμισμένους σε μια ομάδα (set) τους οποίους ο DPM χρησιμοποιεί για να αποθηκεύσει replicas και recovery points. Πριν από την πραγματοποίηση του πρώτου backup με τον DPM, ένα storage pool πρέπει να δημιουργηθεί, στο οποίο προστίθενται ένας ή περισσότεροι δίσκοι. Μία replica είναι ένα πλήρες αντίγραφο (copy) του protected data source το οποίο βρίσκεται αποθηκευμένο (residing) στον DPM server. Μία replica δημιουργείται για κάθε protected data source το οποίο έχει οριστεί μέσα σε ένα protection group. Η δυνατότητα μετεγκατάστασης (Co-location) επιτρέπει πολλαπλές replicas από διαφορετικά protected data sources τα οποία είναι αποθηκευμένα (residing) στο ίδιο volume. Ένα protection group αποτελεί μια συλλογή από protected data sources τα οποία μοιράζονται μια κοινή ρύθμιση και ένα χρονοδιάγραμμα (common configuration and schedule) για την προστασία των δεδομένων. Όταν προσθέτουμε έναν δίσκο σε ένα storage pool, αυτός ο δίσκος δεν πρέπει να έχει κανένα partition. Ο DPM αναλαμβάνει πλήρως την διαχείριση του δίσκου, εμπεριέχοντας το format του δίσκου, διαγράφοντας τα οποιαδήποτε δεδομένα βρίσκονταν αποθηκευμένα σε αυτόν πριν αυτός προστεθεί στο συγκεκριμένο storage pool. Επίσης δεν είναι δυνατόν να χρησιμοποιήσουμε έναν system disk στον DPM server ως storage pool storage. Προσθέτοντας δίσκους στο Storage Pool Όπως τόνισα και προηγουμένως, οι όποιοι δίσκοι πρόκειται να χρησιμοποιηθούν από τον DPM ως storage των replicas και των recovery points, δεν πρέπει να χρησιμοποιούνται από τον DPM server. Χρησιμοποιήστε την παρακάτω διαδικασία για να επαληθεύσεται ότι οι δίσκοι έχουν ρυθμιστεί σωστά για να μπορούν να προστεθούν στο DPM storage pool. Προσθέστε έναν physical disk, iSCSI LUN ή SAN LUN στον DPM server Aνοίγουμε το Disk Management MMC (diskmgmt.msc) Figure 1 Βρίσκουμε τον δίσκο τον οποίο θέλουμε να προσθέσουμε στο Storage Pool μέσα από την λίστα των δίσκων ο οποίος είναι συνήθως στο τέλος της οθόνης (bottom of the screen). Ο δίσκος θα πρέπει να παρουσιάζεται ως offline. Figure 2 Κάνουμε δεξί κλικ στο disk button για τον συγκεκριμένο δίσκο και επιλέγουμε Online. Η διαδικασία αυτή μετατρέπει τον δίσκο σε κατάσταση online στον server σε μορφή raw disk, χωρίς να ειναι εγκαινιασμένος (not initialized) και χωρίς να έχουν καθοριστεί partitions. Figure 3 Σε αυτό το σημείο έχουμε έναν δίσκο ο οποίος είναι έτοιμος να προστεθεί στο συγκεκριμένο storage pool. Figure 4 Χρησιμοποιούμε την παρακάτω διαδικασία για να προσθέσουμε τον δίσκο στο DPM 2010 storage pool: Ανοίγουμε το DPM 2010 administrative console Figure 5 Κάνουμε κλικ στο Management button Figure 6 Εν συνεχεία κάνουμε κλικ στο Disks Tab Figure 7 Κάνουμε κλικ στο add option στο δεξιό (right) menu για να προσθέσουμε δίσκους στο storage pool. Figure 8 Θα παρατηρήσετε ότι ο δίσκος τον οποίο κάνατε online εμφανίζεται στην Available Disks list στα αριστερά της οθόνης. Κάνουμε κλικ στον δίσκο και τον επιλέγουμε, και αμέσως μετά κάνουμε κλικ στο Add για να προσθέσουμε τον δίσκο στην επιλεγμένη λίστα. Figure 9 Κάνουμε κλικ στο OK για να προσθέσουμε τον δίσκο στο storage pool Figure 10 Μας παρέχεται η δυνατότητα να προσθέσουμε πολλαπλούς δίσκους στο storage pool κατά την αρχική ρύθμιση (initial configuration), ή να προσθέσουμε δίσκους αργότερα ακολουθώντας την ίδια διαδικασία. Custom Volumes Δεδομένου του ότι το DPM storage pool αποτελεί την ενδεδειγμένη λύση για τις περισσότερες εφαρμογές, εντούτοις μερικές φορές θέλουμε να έχουμε καλύτερο έλεγχο όσον αφορά το storage το οποίο χρησιμοποιείται για ένα συγκεκριμένο protection group ή γιατί θέλουμε να ορίσουμε multiple tiers of storage για λόγους απόδοσης (performance requirements). Το Storage pool δεν έχει την δυνατότητα να δημιουργήσει multiple tiers of storage, αλλά υπάρχει ένας τρόπος να δημιουργήσουμε ένα custom volume το οποίο θα μπορεί να χρησιμοποιηθεί για replica ή ως recovery point storage. Ένα custom volume είναι ένα volume το οποίο δεν έχει γίνει assigned στο storage pool, αλλά παρόλα αυτά είναι διαθέσιμο στον DPM server. Ένας δίσκος ή ένα LUN μπορούν να διασπαστούν σε πολλαπλά volumes. Κάθε ένα από αυτά τα volumes μπορεί να χρησιμοποιηθεί ως custom volume. Για να μπορέσουμε να χρησιμοποιήσουμε τα custom volumes θα πρέπει για ένα protection group data source, να προσθέσουμε δύο volumes στον DPM server. Το ένα volume θα χρησιμοποιηθεί για την αποθήκευση των replicas και το άλλο volume θα χρησιμοποιηθεί για την αποθήκευση των recovery points. Επιπροσθέτως θα πρέπει να έχουμε δύο custom volumes για κάθε data source τα οποία θέλουμε να προστατεύσουμε και εμπεριέχονται μέσα σε ένα protection group. Για παράδειγμα, εάν έχουμε επιλέξει να προστατεύσουμε το C: volume του DPM server και το system state, θα χρειαστούμε δύο custom volumes για να προστεύσουμε το C: και δύο επιπλέον custom volumes για να προστεύσουμε το system state. Σημειώστε ότι είναι δυνατόν να προστετεύσουμε ένα ή περισσότερα μέλη (members) μέσα σε ένα protection group κάνοντας χρήση custom volumes ενώ ταυτόχρονα αφήνουμε τα εναπομείναντα data sources να προστατεύονται χρησιμοποιώντας το storage pool. Για να δημιουργήσουμε ένα custom volume, διαδικασία την οποία μπορείται να εκλάβεται ως εργασία (assignment), ακολουθούμε τα παρακάτω βήματα : Προσθέτουμε δίσκους/LUNs στον DPM server ο οποίος χρησιμοποιείται για την δημιουργία custom volumes Μετρέπουμε τους Δίσκους/LUNs σε κατάσταση online Δημιουργούμε simple volumes σε κάθε disk/LUN. Έχουμε επίσης την δυαντότητα να δημιουργήσουμε ένα single volume ανά disk/LUN ή μπορούμε να δημιουργήσουμε multiple volumes. Όταν προχωρούμε στην διαδικασία του simple volume wizard, δεν πρέπει να κάνουμε assign drive letters στα volumes, αλλά μπορούμε να κάνουμε format σε αυτά. Επίσης θα πρέπει να βεβαιωθούμε ότι έχουμε κάνει assign διακριτά names στα volumes έτσι ώστε να γνωρίζουμε εκ των προτέρων γιατί εργασία πρόκειται να χρησιμοποιηθούν. Αριθμομηχανή αποθηκευτικών χώρων (Storage Calculator) Η σχεδίαση και η σωστή πρόβλεψη για τις απαιτήσεις σε αποθηκευτικά μέσα (storage requirements), είναι ένα εξαιρετικά σημαντικό βήμα για την υλοποίηση ενός περιβάλλοντος εργασίας DPM 2010 server. Συνεπώς όχι μόνον θα πρέπει να καθορίσουμε εξ αρχής το σωστό tier of storage το οποίο θα απαιτήσει το κάθε data source, αλλά ταυτόχρονα θα πρέπει να σχεδιάσουμε και να καταγράψουμε το μέγεθος του storage pool και κάθε ένα ξεχωριστά τα οποιαδήποτε custom volumes θα χρειαστούν. Η Microsoft έχει δημιουργήσει πριν από εμάς για εμάς ένα storage calculator tool το οποίο μπορεί να μας βοηθήσει έτσι ώστε να ελαχιστοποιήσουμε τον χρόνο εργασίας και το stress της διαδικασίας του storage planning. Το storage calculator είναι διαθέσιμο από την Microsoft χρησιμοποιώντας αυτό το link. Το storage calculator είναι ένα Excel spreadsheet το οποίο μας επιτρέπει να εισάγουμε πληροφορίες για τον DPM server, τους Hyper-V hosts, και τις virtual machines τις οποίες θέλουμε να προστατεύσουμε. Τα αποτελέσματα του calculator αποτελούν ένα storage model το οποίο μπορεί να χρησιμοποιηθεί ως την βάση για τον σχεδιασμό ενός καινούριου περιβάλλοντος DPM 2010 server. Συμπέρασμα Σε αυτό το άρθρο επικεντρωθήκαμε στην ρύθμιση των αποθηκευτικών μέσων (storage) στον DPM 2010. Η διαδικασία περιλαμβάνει την πρόσθεση disks/LUNs στον DPM server έστι ώστε αυτοί να χρησιμοποιηθούν σε ένα storage pool ή ως custom volumes, την δημιουργία ενός storage pool, και τέλος την δημιουργία custom volumes. Στο επόμενο άρθρο της σειράς DPM 2010 θα ασχοληθούμε με την δημιουργία protection groups για το backup και recovery των Hyper-V R2 servers.

Εισαγωγή Ο Forefront Threat Management Gateway (TMG) 2010, είναι διαθέσιμος εδώ και περίπου έξι μήνες από την Microsoft. Παρόλα αυτά στα πλαίσια της διαδικασίας εξέλιξης και βελτιστοποίησης του συγκεκριμένου προϊόντος η Microsoft, παρουσιάσε πριν από λίγες ώρες την τελική έκδοση του Service Pack 1 του TMG 2010. Εκτός από τις συνηθισμένες διορθώσεις bugs, το συγκεκριμένο update περιλαμβάνει νέα χαρακτηριστικά και βελτιωμένη λειτουργικότητα. Τα νέα αυτά χαρακτηριστικά περιλαμβάνουν βελτιώσεις στο URL filtering, enhanced reporting, και integration με το Windows BranchCache. Σε αυτό το άρθρο θα παρουσιάσουμε αναλυτικά τα καινούρια αυτά χαρακτηριστικά. Βελτιώσεις στο URL Filtering Μια σειρά βελτιώσεων αναπτύχθηκαν για το URL filtering στο TMG 2010 SP1. Ορισμένες από αυτές είναι οι παρακάτω : User override for blocked categories – Με την έκδοση TMG RTM, σε μια κατηγορία URL επιτρέπετε ή δεν επιτρέπετε η πρόσβαση, χωρίς να παρέχεται η δυνατότητα στον χρήστη να συνεχίσει με δική του απόφαση στην συγκεκριμένη ιστοσελίδα στην οποία ο TMG δεν επιτρέπει την πρόσβαση. Το καινούριο χαρακτηριστικό override επιτρέπει στους διαχειριστές του συστήματος (Administrator), να προειδοποιούν αποτελεσματικά τους χρήστες σχετικά με την πρόθεσή τους να επισκεφθούν ορισμένες ιστοσελίδες, παρέχοντάς τους την δυνατότητα να συνεχίσουν εφόσον το επιλέξουν βάση κανόνα ασφαλείας σε επίπεδο χρήστη.Ένα τέτοιο παράδειγμα η απαγόρευση πρόσβασης σε Online Communities category, έτσι ώστε να μην είναι δυνατή η χρήση ιστοσελίδων όπως το FaceBook και το Twitter,εμφανίζοντας στους χρήστες μια σελίδα 'soft' block, βάση της οποίας ενημερώνονται ότι μπορούν να συνεχίσουν την πλοήγηση στην συγκεκριμένη ιστοσελίδα, αλλά η πρόσβασή τους βρίσκεται υπό παρακολούθηση και καταγράφεται. (Monitoring & Logging) Για να ρυθμίσουμε το blocked category override, δημιουργούμε έναν access rule ο οποίος δεν επιτρέπει την πρόσβαση σε μια συγκεκριμένη κατηγορία ιστότοπων (URL Category) όπως συνηθίζεται σε αυτές τις περιπτώσεις. Πριν από την εφαρμογή του συγκεκριμένου κανόνα (applying the configuration), κάνουμε δεξί - κλικ στον συγκεκριμένο κανόνα και επιλέγουμε το Properties. Figure 1 Εν συνεχεία επιλέγουμε το Action tab, και αμέσως μετά επιλέγουμε το option Allow user override. Επιπροσθέτως έχουμε την δυνατότητα εφόσον το επιθυμούμε να ορίσουμε και την χρονική διάρκεια κατά την οποία θα επιτέπεται το override. Figure 2 Συνεπώς όταν ένας χρήστης προσπαθεί να έχει πρόσβαση σε μια συγκεκριμένη ιστοσελίδα, στην οποία η πρόσβαση δεν επιτρέπεται λόγω του υφιστάμενου access rule, ο κανόνας είναι έτσι ρυθμισμένος ώστε επιτρέπει στον χρήστη το override. Έτσι όταν εμφανίζεται στην οθόνη του χρήστη το block page αυτή περιλαμβάνει και την δυνατότητα του Override Access Restriction. Figure 3 Εφόσον ο χρήστης επιλέξει το override του block της συγκεκριμένης ιστοσελίδας για να συνεχίσει την πλοήγηση σ'αυτήν, ο TMG πολύ απλά κάνει bypass στον κανόνα rule και συνεχίζει την επεξεργασία. Αυτή η διαδικασία είναι ζωτικής σημασίας, διότι απλά σημαίνει ότι ο χρήστης θα πρέπει να έχει πρόσβαση διαμέσου κάποιου άλλου κανόνα στην πολιτική ασφαλείας (Policy Rule Order) για να έχει εξασφαλισμένη την πρόσβαση στην ιστοσελίδα την οποία επιθυμεί να επισκεφτεί. Στην αντίθετη περίπτωση η πρόσβαση δεν επιτέπεται. Enterprise category override – Αυτό το νέο χαρακτηριστικό επιτρέπει τα category overrides να ρυθμίζονται σε enterprise level. Στο παρελθόν έαν είχαμε πολλαπλούς (multiple) arrays, τα category overrides έπρεπε να ρυθμιστούν σε κάθε array ξεχωριστά. (individually) Για να ρυθμίσουμε τα enterprise-level category overrides, επιλέγουμε το Enterprise node στο console tree. Figure 4 Εν συνεχεία στο Tasks pane, κάνουμε κλικ στο Configure URL Category Overrides link. Figure 5 Τα Category overrides τα οποία καθορίζονται σε αυτό το σημείο έχουν ισχύ για όλα τα arrays τα οποία είναι μέλη του Enterprise. Figure 6 Request information available for block page redirects – Για οργανισμούς οι οποίοι επιλέγουν να μην χρησιμοποιήσουν τα native TMG block pages, αλλά αντ' αυτών να κάνουν redirect τα denied requests σε κάποιον άλλον web server (Για να έχουν το πλεονέκτημα του scripting το οποίο δεν είναι διαθέσιμο στο TMG block page), επιπρόσθετη πληροφορία είναι πλέον διαθέσιμη στο query string η οποία επιτρέπει στους administrators να παρουσιάσουν ενδελεχή πληροφόρηση (detailed information) στα δικά τους (custom) block pages. Το redirect query string μπορεί πλέον να περιλαμβάνει πληροφορία σχετική με το original request, όπως το αιτούμενο URL, το category name, το category ID, καθώς και το user override option. Για να ρυθμίσουμε το redirect σε κάποιον άλλο web server όταν ένα αίτημα γίνεται μη επιτρεπτό - μη αποδεκτό από το URL filtering, κάνουμε διπλό κλικ στον access rule, εν συνεχεία επιλέγουμε το Action tab, και τέλος κάνουμε κλικ στο Advanced… button. Figure 7 Επιλέγουμε την option του Redirect web client to the following URL:. Καθορίζουμε το destination URL με βάση το ακόλουθο format: http://<server_name>/default.aspx?OrigUrl=[DESTINATIONURL]&Category=[urlCATEGORYNAME]&CategoryId=[urlCATEGORYID]&ArrayGUID=[OVERRIDEGUID] Figure 8 Τα πεδία (fields) τα οποία περιλαμβάνονται στο query string καθορίζονται (mapped) όπως παρακάτω : [DESTINATIONURL] = URL του μη επιτρεπόμενου αιτήματος (denied request). [urlCATEGORYNAME] = Όνομα του category του μη επιτρεπόμενου αιτήματος στο οποίο ανήκει. [urlCATEGORYID] = ID number του category του μη επιτρεπόμενου αιτήματος στο οποίο ανήκει. [OVERRIDEGUID] = Array GUID το οποίο χρησιμοποιείται για το blocked category override. Ενσωμάτωση (Integration) της υπηρεσίας Branch Cache Το TMG SP1 τώρα περιλαμβάνει και τηνυποστήριξη του integrated hosted-mode τουWindows BranchCache. Όταν ο TMG εγκαθίσταται σε λειτουργικό σύστημα Windows Server 2008 R2 Enterprise edition, τότε το BranchCache μπορεί να ρυθμιστεί και να διαχειρίζεται απευθείας από την TMG management console. Για να ρυθμίσουμε το BranchCache με τον TMG SP1, επιλέγουμε το Firewall Policy node στο console tree. Figure 9 Στο Tasks pane, κάνουμε κλικ στο Configure BranchCache link. Figure 10 Επιλέγουμε την option του Enable BranchCache (Hosted Cache Mode). Figure 11 Εν συνεχεία επιλέγουμε το Authentication tab, και αμέσως μετά κάνουμε κλικ στο Select… buttonέτσι ώστε να επιλέξουμε το πιστοποιητικό (certificate) το οποίο θα παρουσιάσει ο TMG στους χρήστες (client computers) για ταυτοποίηση (authentication). Figure 12 Επιπροσθέτως μας παρέχεται η δυνατότητα να επιλέξουμε το Storage tab και να καθορίσουμε μια εναλλακτική τοποθεσία (alternate location) για να αποθηκεύσουμε την cache οριοθετώντας το ποσοστό του partition το οποίο μπορεί να χρησιμοποιηθεί για cache. Figure 13 Reporting Enhancements Ορισμένες ουσιώδεις αλλαγές έχουν πραγματοποιηθεί και στο reporting του TMG SP1. Η εμφάνιση (look-and-feel) των reports έχει αλλάξει ελαφρώς έτσι ώστε να δείχνει πιο μοντέρνο. Τώρα είναι διαθέσιμο ένα καινούριο user activity report το οποίο παρέχει λεπτομερή αναφορά όσον αφορά το individual user access, και τα υπόλοιπα reports επίσης περιλαμβάνουν επιπρόσθεστη πληροφορία - λεπτομέρεια σχετικά με τα user category overrides και την απόδοση του BranchCache. Για να δημιουργήσουμε ένα activity report, κάνουμε highlight το Logs & Reports node στο console tree. Figure 14 Στο Tasks pane, κάνουμε κλικ στο Create User Activity Report Job link. Figure 15 Ο New User Activity Report Job Wizard ξεκινά. Εισάγουμε ένα χαρακτηριστικό όνομα για το συγκεκριμένο report. Figure 16 Επιλέγουμε την επιθυμητή χρονική περίοδο Report Period για το υπό κατασκευή report. Figure 17 Εισάγουμε τα ονόματα και τις ΙΡ διευθύνσεις (name(s) and/or IP address(es)) του χρήστη ή των χρηστών για τον οποίο ή τους οποίους θα δημιουργήσουμε το report. Πολλαπλοί χρήστες ή ΙΡ διευθύνσεις (Multiple users or IP addresses) μπορούν να συμπεριληφθούν, διαχωριζόμενοι από semicolons. Εάν οι χρήστες είναι μέλη ενός domain, χρησιμοποιούμε το DOMAIN\USERNAME format όπως αυτό παρουσιάζεται παρακάτω. Figure 18 Μόλις ολοκληρωθεί κάνουμε δεξί κλικ στο report και επιλέγουμε Generate and View Report. Figure 19 Figure 20 Βελτιώσεις στο Monitoring Η πληροφορία η οποία αφορά το BranchCache performanceπλέον εμφανίζεται με τον πλέον ενδεδειγμένο τρόπο στο dashboard του TMG management console. Figure 21 Νέα BranchCache alert definitions περιλαμβάνονται επίσης. Figure 22 Συμπέρασμα Το TMG Service Pack 1 όχι μόνον περιλαμβάνει αναβαθμίσεις (updates) οι οποίες διορθώνουν λογικά λάθη (bug fixes),αλλά συνάμα περιλαμβάνει και μια σειρά από νέα χαρακτηριστικά σε συνδυασμό με τον εμπλουτισμό με καινούριες δυνατότητες ήδη υπαρχόντων χαρακτηριστικών. Συγκεκριμάνα στο URL filtering, η δυνατότητα του override option επιτρέπει στους administrators να προειδοποιούν τους χρήστες ότι η επίσκεψη σε συγκεκριμένους ιστότοπους μπορεί μεν να επιτρέπεται, αλλά αυτό ταυτόχρονα δεν ενθαρρύνεται διότι θα βρίσκονται πάντοτε υπό στενό έλεγχο. Επίσης το enterprise-level category override θα διευκολύνει την διαχείριση πολλαπλών συστημάτων που περιλαμβάνουν πολλαπλά arrays, η δε προσθήκη του user activity reporting είναι ιδιαίτερα ευπρόσδεκτη. Το BranchCache integration θα απλοποιήσει τα branch office deployments εξαλείφοντας την ανάγκη για έναν αποκλειστικό (dedicated) BranchCache server. Ολοκληρώνοντας το SharePoint 2010 υποστηρίζεται πλήρως από τον TMG SP1.

Αγαπητοί συνάδελφοι της κοινότητας σκοπός του συγκεκριμένου άρθρου είναι να παρουσίασουμε τον τρόπο με τον οποίο μπορούμε να κάνουμε publish τις δικές μας external DNS services χρησιμοποιώντας τον TMG 2010. Φυσικά κάποιος εύλογα θα ρωτήσει για ποιό λόγο θα θέλαμε να το πραγματοποιήσουμε αυτό; Απλά ο λόγος είναι ένας και μόνος Α Σ Φ Α Λ Ε Ι Α. Εφαρμόζοντας αυτήν την τεχνική, διασφαλίζουμε ότι δικοί μας BIND servers βρίσκονται - κρατούνται ασφαλείς στο εσωτερικό δίκτυο, χρησιμοποιώντας κανόνες για secure web publishing για όλες τις Internet facing services, έχοντας το πλεονέκτημα το οποίο απορρέει από το DNS application filtering του TMG 2010, χαρακτηριστικό το οποίο επιτρέπει την επιπλέον θωράκιση από επιθέσεις των δικών μας name servers. Θεωρήστε την τεχνική της DMZ παλαιά και ξεπερασμένη, σε αντίθεση με το secure publishing το οποίο αποτελεί το νέο hotness. Η διαδικασία αυτή είναι πάρα πολύ εύκολη στην υλοποίηση της. Οι μόνες προϋποθέσεις που απαιτούνται είναι η ύπαρξη external ip address για τον TMG 2010, καθώς επίσης ότι το εξωτερικό Firewall (external firewall), είναι ρυθμισμένο να επιτρέπει το UDP 53 inbound από το Internet. Κάνουμε Log In στον TMG server, και εν συνεχεία τρέχουμε την Forefront TMG management console. Κάνουμε στο Right-click Firewall Policy, και επιλέγουμε New, Non-Web Server Protocol Publishing Rule… Καταχωρούμε ένα όνομα (Name) για τον κανόνα publishing rule external dns, και εν συνεχεία κάνουμε κλικ στο Next. Εισάγουμε την εσωτερική IP διεύθυνση (internal ip.addr) του δικού μας BIND server,και εν συνεχεία κάνουμε κλικ στο Next. Από την εμφανιζόμενη drop down list, επιλέγουμε το DNS Server protocol. Μπορούμε να κάνουμε κλικ στο Properties, μετά στο Parameters έτσι ώστε να είμαστε σίγουροι ότι αυτό επιτρέπει το TCP 53 Inbound, και το UDP 53 στο Receive και Send. Θα πρέπει να επιτρέπουμε πρόσβαση μόνονσ το UDP 53 από το Internet. Όπως γίνεται αντιληπτό αυτό είναι σωστό. Εν συνεχεία κάνουμε κλικ στο Next. Σκοπός μας είναι να επιτρέψουμε την πρόσβαση στην πόρτα TCP 53 εφόσον θα χρειαστούμε να κάνουμε τα οποιαδήποτε zone transfers πάνω από το Internet… Οι κανόνες του TMG υποθέτουν πως αυτή η διαδικασία θα χρειαστεί. Μπορούμε να καθορίσουμε ένα νέο φίλτρο για τον DNS, αλλά κατά την άποψή μου αυτό στην παρούσα φάση δεν είναι απαραίτητο, εάν ποτέ χρειαστούμε να εγκαταστήσουμε έναν επιπλέον DNS server ο οποίος κάνει transfer πάνω από το Internet, διαδικασία την οποία μπορούμε να ελέγξουμε από το perimeter firewall χωρίς να χρειαστούμε να κάνουμε την οποιαδήποτε αλλαγή στον TMG. Επιλέγουμε την external address η οποία πρόκειται να χρησιμοποιηθεί για το DNS publishing. Κάνουμε κλικ στο Next, και αμέσως μετά κάνουμε κλικ στο Finish, εν συνεχεία κάνουμε access στα properties του συγκεκριμένου κανόνα (publishing rule). Εκτός και αν ο δικός μας TMG server αποτελεί την default gateway, τότε το ρυθμίζουμε με τέτοιο τρόπο έτσι ώστε τα requests να φαίνονται ότι έρχονται από τον TMG server. Σκοπός μας είναι να βελτιστοποιήσουμε τα default DNS application filter settings*. Για να το πραγματοποιήσουμε αυτό, επιλέγουμε το Intrusion Prevention, εν συνεχεία επιλέγουμε το Behavioural Intrusion Detection, μετά κάνουμε κλικ στο Configure Detection Settings for Common Network Attacks, και αμέσως μετά κάνουμε κλικ στο DNS Attacks tab. Κάνουμε Check στο κουτάκι του "DNS zone transfer" με σκοπό την επιπλέον προστασία εναντίον κακόβουλων επιθέσεων. (Στα Αγγλικά : to further protect against bad guys trying to pull your entire zone) Εάν για τον οποιοδήποτε λόγο χρειαστούμε έναν ακόμη DNS server ο οποίος θα κάνει "pull zone transfers over the Internet", θα χρειαστεί να αποεπιλέξουμε αυτή την επιλογή. Από το top της συγκεκριμένης κονσόλας, κάνουμε κλικ στο Apply, εισάγουμε την αλλαγή στην περιγραφή του configuration, και αμέσως μετά κάνουμε κλικ στο Apply για να ολοκληρώσουμε. *Αναγνώριση των επιθέσεων DNS (Detection of DNS attacks) Η πληροφορία η οποία προέρχεται αυτούσια από το TechNet, μας δίνει την δυαντότητα να αντιληφθούμε από τι επιθέσεις προστατεύει ο TMG τους DNS servers. Για τον λόγο αυτό παραθέτω το κείμενο στην Αγγλική γλώσσα. The DNS Filter, which is installed with Forefront TMG, intercepts and analyzes all inbound DNS traffic destined for the Internal network and other protected networks. If DNS attack detection is enabled, you can specify that the DNS Filter will check for the following types of suspicious activity. DNS host name overflow. A DNS response for a host name exceeds a certain fixed limit (255 bytes). Applications that do not check the length of the host names may overflow internal buffers when copying this host name, allowing a remote attacker to execute arbitrary commands on a targeted computer. DNS length overflow. A DNS response for an IP address exceeds the specified length of 4 bytes. By crafting a DNS response with a longer value, some applications executing DNS lookups will overflow internal buffers, allowing a remote attacker to execute arbitrary commands on a targeted computer. Forefront TMG also checks that the value of RDLength does not exceed the size of the rest of the DNS response. DNS zone transfer. A client system uses a DNS client application to transfer zones from an internal DNS server. Όταν αναγνωρίζονται offending packets, τότε αυτά απορρίπτονται, και αυτομάτως δημιουργείται ένα event το οποίο μας ενημερώνει ότι υπάρχει ένα DNS Intrusion alert. Μπορούμε να ρυθμίσουμε έτσι ώστε τα alerts τα εγείρονται γι' αυτά τα events, να μας ενημερώνουν άμεσα ότι αναγνωρίστηκε μια επίθεση (Attack Detection). Αντιστοίχως όταν δημιουργείται ένα DNS Intrusion event πέντε φορές κατά την διάρκεια ενός δευτερολέπτου και αφορά DNS zone transfer, τότε εγείρεται ένα DNS Zone Transfer Intrusion alert. Από την αρχική ρύθμιση του TMG (By default), όταν εγείρονται applicable predefined alerts, δεν πρόκειται να εμφανιστούν ξανά μέχρι να γίνουν reset χειροκίνητα. Είναι στην διακριτική μας ευχέρεια να ρυθμίσουμε το συγκεκριμένο alert να μας αποστέλει ένα email, ή να ενεργοποιεί μια συγκεκριμένη ενέργεια εφόσον το απαιτούμαι, ή απλά μπορούμε να χρησιμοποιούμε το logging για να κρατούμε ένα ιστορικό για το δίκτυο μας. Για λόγους σύνδεσης με την προηγούμενη έκδοση του TMG-2010, η διαδικασία ρύθμισης του ISA 2006 είναι σχεδόν ταυτόσιμη, με μόνη διαφοροποίηση ότι το Intrusion Detection βρίσκεται κάτω από το Configuration, στο General section.

ΣΕ ΔΙΑΓΩΝΙΣΜΟ ΠΟΥ ΕΓΙΝΕ ΕΔΕΙΞΑΝ ΟΤΙ ΔΕΝ ΠΡΟΣΤΑΤΕΥΟΥΝ ΟΣΟ ΥΠΟΣΧΟΝΤΑΙ Τα προγράμματα κατά των ιών δεν είναι και τόσο αποτελεσματικά ΔΗΜΟΣΙΕΥΘΗΚΕ: Σάββατο 15 Μαΐου 2010Σ΄ έναν διαγωνισμό που οργανώθηκε το περασμένο Σαββατοκύριακο στο Παρίσι, 15 προγράμματα κατά των ιών των ηλεκτρονικών υπολογιστών υποβλήθηκαν σε επτά επιθέσεις οργανωμένες από φοιτητές και ειδικούς σε θέματα ασφάλειας των Η/Υ. Κανένα λογισμικό δεν κατάφερε να εμποδίσει περισσότερες από δύο. Ο διαγωνισμός «ΡWΝ2ΚΙLL» έδειξε ότι πρέπει να αμφιβάλλουμε για την αποτελεσματικότητα των προγραμμάτων κατά των ηλεκτρονικών που διαφημίζουν οι κατασκευαστές τους. Κανένα από τα 15 αντιιικά προγράμματα που κυκλοφορούν στην αγορά δεν μπόρεσε να εμποδίσει περισσότερες από δύο στις επτά επιθέσεις που έγιναν σε υπολογιστές εφοδιασμένους με Windows 7. Επτά υποψήφιοι, οι περισσότεροι από τους οποίους ήταν φοιτητές της Πληροφορικής, διέθεταν συνηθισμένα ΡC στα οποία είχαν συνδεθεί 15 εικονικά ΡC, καθένα από τα οποία ήταν εφοδιασμένο μ΄ ένα διαφορετικό λογισμικό ασφαλείας από αυτά της αγοράς. Τα «κακόβουλα» προγράμματα, οι ιοί που δημιουργήθηκαν από τον κάθε υποψήφιο, αντιγράφηκαν σε κάθε εικονική συσκευή. Από τους επτά υποψηφίους, μόνον ένας είδε τον ιό του να μπλοκάρεται από όλα τα αντιιικά προγράμματα (τα πλήρη αποτελέσματα δημοσιεύονται στη διεύθυνση : http://www.esiea-recherche.eu/data/iawacs2010/pwn2kill/pwn2killdebrief.pdf ). Εκτός μάχης. Για τον Ερίκ Φιλιόλ, διευθυντή έρευνας της ΕSΙΕΑ (Ανώτερη Σχολή Πληροφορικής, Ηλεκτρονικής και Αυτοματισμού), «όλα τα προγράμματα κατά των ιών είναι εξίσου αναποτελεσματικά. Τα αποτελέσματα του διαγωνισμού αποδεικνύουν πως ο εντοπισμός της «υπογραφής» του ιού δεν είναι πλέον αρκετή. Το πιο ανησυχητικό είναι πως, σε μια κλίμακα από το 1 ώς το 10, το μέσο τεχνικό επίπεδο των επιθέσεων βρισκόταν περίπου στο 4. Αν οι επιθέσεις ήταν ακόμη πιο περίπλοκες, το αποτέλεσμα θα ήταν ακόμη πιο καταστροφικό. Και υπήρξε άλλη μια ανησυχητική διαπίστωση: μία από τις επιθέσεις βασιζόταν σ΄ έναν ιό των τριών γραμμών, ο οποίος εμφανίστηκε πριν από 10 χρόνια και υπάρχει στο ΥouΤube. Ομως έθεσε εκτός μάχης όλα τα αντιιικά προγράμματα!». Παρά τον πολύ αρνητικό αυτό απολογισμό, η εγκατάσταση προγράμματος κατά των ιών παραμένει αναγκαία.

Βαγγέλη, σχετικά με το ερώτημα το οποίο ορθώς διατυπώνεις, η απάντηση βρίσκεται στο παρακάτω link : http://technet.microsoft.com/en-us/library/ff399260.aspx

Εισαγωγή Όταν κάνουμε εγκατάσταση της τεχνολογίας Hyper-V στο data center στο οποίο εργαζόμαστε, ή δημιουργούμε εργαστηριακά περιβάλλοντα εργασίας, είναι απαραίτητο να έχουμε και μια λύση για την δημιουργία αντιγράφων ασφαλείας τόσο για τις virtual machines όσο και για τους Hyper-V servers. Για τον λόγο αυτό η Microsoft πρόσφατα έδωσε στην κυκλοφορία την τελευταία έκδοση του δικού της enterprise backup and disaster recovery λογισμικού το οποίο είναι ο Data Protection Manager 2010. Το συγκεκριμένο άρθρο αποτελεί το πρώτο μιας σειράς άρθρων η οποία σκοπό έχει να εξηγήσει το πως κάνουμε install, configure, και χρησιμοποιούμε τον DPM 2010 έτσι ώστε να πραγματοπούμε backup και restore σε virtual machines και Hyper-V servers. Απαιτήσεις για την Εγκατάσταση Πριν ξεκινήσουμε την εγκατάσταση του DPM 2010 θα πρέπει να είμαστε σίγουροι ότι ο server στον οποίο θα λάβει χώρα η εγκατάσταση θα πρέπει πληρεί ορισμένες προδιαγραφές. Στην συγκεκριμένη περίπτωση, η εγκατάσταση του DPM 2010 θα γίνει σε έναν server με λειτουργικό σύστημα Windows Server 2008 R2 Standard ή Enterprise Edition (Η έκδοση Datacenter επίσης υποστηρίζεται). Απαιτήσεις Συστήματος (System Requirements) Για την εγκατάσταση του DPM 2010 απαιτούνται τα παρακάτω : 64-bit version of Windows Server 2008 or 2008 R2 4GB RAM (recommended) 2.3 GHz quad core CPU System drive installation space of 3GB for installing1. DPM installation files 2. Database files 3. SQL 2008 PowerShell 2.0 .Net Framework 3.5.1 Single Instance Store (SIS) Windows Installer 4.5 Οι ελάχιστες προδιαγραφές για τον server στον οποίο πρόκειται να εγκατασταθεί ο DPM 2010 είναι υπεραρκετές για την πλειοψηφία των εταιριών. Εν τούτοις ο DPM 2010 έχει υψηλές απαιτήσεις τόσο σε χωρητικότητα δίσκων όσο και σε disk I/O performance, όταν πρόκειται να εγκατασταθεί σε απαιτητικά περιβάλλοντα εργασίας. Ο DPM 2010 απαιτεί μια εγκατάσταση ενός dedicated SQL server για την αποθήκευση των πληροφοριών του backup. Η εγκατάσταση της SQL μπορεί να βρίσκεται σε κάποιο άλλο σύστημα ή τοπικά στον ίδιο server στον οποίο θα εγκατασταθεί και ο DPM 2010, η δε έκδοση της SQL θα πρέπει να είναι SQL 2008 (Standard ή Enterprise). Είναι χαρακτηριστικό να αναφέρουμε ότι στις περισσότερες εταιρίες υπάρχει εγκατεστημένη μια βάση SQL η οποία συνήθως βρίσκεται σε dedicated servers. Για να καλύψουμε όλες τις περιπτώσεις στο συγκεκριμένο άρθρο θα αναφερθούμε στην εγκατάσταση του DPM 2010 τόσο με remote όσο και με local instance του SQL 2008. Συστήνεται επίσης η χρήση της SQL 2008 64-bit η οποία είναι εγκατεστημένη σε ένα remote instance όταν πρόκειται για ένα βεβαρημένο περιβάλλον εργασίας για τον DPM 210 server. Απαιτήσεις για Active Directory Ο DPM 2010 απαιτεί έναν περιβάλλον Windows 2008 Active Directory για την εγκατάστασή του. Ο server στον οποίο ο DPM πρόκειται να εγκατασταθεί θα πρέπει να είναι member ενός Active Directory domain, καθώς επίσης και το account το οποίο θα χρησιμοποιήσουμε για να εγκαταστήσουμε τον DPM θα πρέπει να είναι ένα domain user account το οποίο έχει local administrator privileges. Θα πρέπει να τονίσουμε ότι μετά την εγκατάσταση θα πρεπει να είμαστε ένας χρήστης domain με local administrative access για να μπορούμε να τρέξουμε την DPM 2010 console. Έτσι λοιπόν είναι δυνατό το backup και το restore σε servers οι οποίοι βρίσκονται στο ίδιο forest ή σε ομάδα από forests. Στην περίπτωση του backup ή restore across forests θα πρέπει να έχουμε forest level trusts, και το forest level θα πρέπει να είναι σε Windows 2008 forest mode. Περιορισμοί στην Εγκατάσταση Ο DPM έχει επίσης και ορισμένους περιορισμούς για την εγκατάστασή τουσε συνδυασμό με τις απαιτήσεις για την εγκατάσταση. Ο DPM 2010 έχει σχεδιαστεί να τρέχει σε έναν dedicated server. Επίσης ο DPM 2010 δεν μπορεί να εγκατασταθεί στους παρακάτω τύπους servers : Domain Controller Cluster Services cannot be installed System Center Operations Manager Exchange Server Εγκατάσταση Remote Instance του SQL 2008 Εάν θέλουμε να χρησιμοποιήσουμε ένα remote instance του SQL 2008, τότε αυτό θα πρέπει να ικανοποιεί τις παρακάτω απαιτήσεις κατά την εγκατάσταση. Νέα εγκατάσταση του SQL 2008 Απαιτούμενα χαρακτηριστικά1. Database services (and all subsections) 2. Reporting Services 3. Management tools – complete 4. SQL Client Connectivity SDK Windows Authentication Εγκατάσταση Single Instance Store Ο DPM 2010 απαιτεί την υπηρεσία Single Instance Store (SIS) service έτσι ώστε να περιορίσει δραστικά το storage overhead όταν αποθηκεύονται duplicate files. Είναι δε προτιμότερο να επανεγκαταστήσουμε την υπηρεσία Single Instance Store πριν από την εγκατάσταση του DPM 2010. Εάν δεν εγκαταστήσουμε εκ των προτέρων την υπηρεσία SIS τότε ο DPM θα την εγκαταστήσει για μας, κατά το βήμα της εγκατάστασης με την χαρακτηριστική ονομασία prerequisite installation step, αλλά θα απαιτήσει μετά την εγκατάσταση της συγκεκριμένης υπηρεσίας την επανεκκίνηση του συτήματος, με αποτέλεσμα να είμαστε υποχρεωμένοι να ξεκινήσουμε την εγκατάσταση του DPM από την αρχή. Για να εγκαταστήσουμε την υπηρεσία SIS, χρησιμοποιούμε την παρακάτω command line: OCSetup.exe SIS-Limited /quiet Η παραπάνω εντολή θα εγκαταστήσει την υπηρεσία SIS και εν συνεχεία θα επανεκκινήσει τον υπολογιστή. Εάν επιθυμούμε να έχουμε τον έλεγχο όσον αφορά την επανεκκίνηση του συστήματος τότε δεν έχουμε παρά να προσθέσουμε την επιλογή /Norestart command line χάρις την οποία η επανεκκίνηση θα γίνει χειροκίνητα από εμάς. Εγκατάσταση του DPM 2010 με τοπική SQL 2008 Ακολουθούμε τα παρακάτω βήματα για την εγκατάσταση του DPM 2010 σε συνδυασμό με τοπικό instance του SQL 2008. Σημειώστε ότι δεν είναι απαραίτητη η επανεγκατάσταση του SQL 2008 διότι η εγκατάσταση του DPM 2010 περιλαμβάνει και την εγκατάσταση του SQL 2008. Κάνουμε logon στον server και εγκαταστούμε τον DPM 2010 κάνοντας χρήση ενός domain account ο οποίος έχει local administrative privileges Εισαγάγουμε το DPM 2010 DVD Στην DPM 2010 Splash screen, κάνουμε κλικ στο Install Data Protection Manager Figure 1 Στην σελίδα Microsoft License Terms, διαβάζουμε το κείμενο της συμφωνίας (agreement), επιλέγουμε I accept the license terms and conditions, και εν συνεχεία κάνουμε κλικ στο OK. Figure 2 Ορισμένα προαπαιτούμενα χαρακτηριστικά (prerequisites) θα εγκατασταθούν πρώτα, και μετά θα ξεκινήσει η εγκατάσταση. Στην σελίδα Welcome, κάνουμε κλικ στο Next Figure 3 Στην σελίδα Prerequisites Check, ο εγκαταστάτης του DPM θα εγκαταστήσει τα basic components και θα αξιολογήσει (validate) το hardware στο οποίο γίνεται η εγκατάσταση. Επιπροσθέτως θα προχωρήσει σε έλεγχο έτσι ώστε να διαπιστωθεί εάν είναι εγκατεστημένα το .Net Framework 3.5.1, το PowerShell 2.0 και το Single Instance Store (SIS). Στην περίπτωση κατά την οποία τα παραπάνω δεν είναι εγκατεστημένα τότε θα τα εγκαταστήσει ως μέρος της εγκατάστασης του DPM 2010. Εάν η υπηρεσία SIS δεν είναι εγκατεστημένη, τότε η εγκατάσταση του DPM θα απαιτήσει την επανεκκίνηση του συστήματος μετά την ολοκλήρωση της εγκατάστασης της υπηρεσίας SIS. Figure 4 Κάνετε κλικ στο Next για να συνεχίσει η εγκατάσταση. Στην σελίδα Product Registration, εισάγουμε το Username και το όνομα της εταιρίας-Company που επιθυμούμε και κάνουμε κλικ στο Next. Figure 5 Στην σελίδα Installation Settings, επιλέγουμε τον τύπο εγκατάστασης του SQL (dedicated or existing) και μετά κάνουμε κλικ στο Next. Figure 6 Για την συγκεκριμένη εγκατάσταση θα χρησιμοποιήσουμε την επιλογή dedicated SQL installation. Σας παρακαλώ να ανατρέξετε στα εγχειρίδια χρήσης του DPM 2010 για τις επιλογές οι οποίες υπάρχουν στην περίπτωση κατά την οποία θέλουμε να χρησιμοποιήσουμε μια ήδη υπάρχουσα εγκατάσταση βάσης δεδομένων SQL. Στην σελίδα Security Settings, εισάγουμε το password για την τοπική βάση δεδομένων SQL server service acct την οποία ο DPM πρόκειται να δημιουργήσει, και εν συνεχεία κάνουμε κλικ στο Next Figure 7 Στην σελίδα Microsoft Update Opt-In, επιλέγουμε εφόσον θέλουμε να γίνεται ή να μην γίνεται έλεγχος για security updates του DPM και μετά κάνουμε κλικ στο Next. Figure 8 Στην σελίδα Customer Experience, επιλέγουμε εάν θέλουμε να συμμετάσχουμε ή όχι στο Microsoft Customer Experience program, και μετά κάνουμε κλικ στο Next. Figure 9 Στην σελίδα Summary of settings, παρουσιάζεται ένας συνοπτικός πίνακας των ρυθμίσεων-επιλογών για την εγκατάσταση του DPM και εν συνεχεία κάνουμε κλικ στο Install για να ξεκινήσει η εγκατάσταση. Figure 10 Η εγκατάσταση ξεκινά. Figure 11 Έτσι τώρα έχουμε πλέον εγκαταστήσει τον DPM 2010. Figure 12 Συμπέρασμα Ολοκληρώνοντας, με το συγκεκριμένο άρθρο καταδείξαμε ότι η εγκατάσταση του DPM 2010 με σκοπό να προστατεύσουμε Hyper-V R2 servers και virtual machines είναι απλή και εύκολη διαδικασία. Στο επόμενο άρθρο το οποίο θα αφορά τον DPM 2010, θα παρουσιάσουμε τις ρυθμίσεις οι οποίες απαιτούνται έτσι ώστε να κάνουμε backup και recovery σε Hyper-V R2 servers και virtual machines.