Jump to content

Jordan_Tsafaridis

Members
 View Profile  See their activity

  • Posts

    106

  • Joined

  • Last visited

 Content Type 

Blog Entries posted by Jordan_Tsafaridis

  1. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας, με το παρόν άρθρο θα ήθελα να κοινοποιήσω τα αποτελέσματα των δοκιμών τα οποία έλαβαν χώρα από το Microsoft Exchange Team τα οποία είχαν σαν σκοπό να πιστοποιήσουν την συμβατότητα του Microsoft Exchange Server 2010 με το Windows Server 2008 R2 Service Pack 1. Προκειμένου το κείμενο να μην παρερμηνευτεί το παραθέτω αυτούσιο στην Αγγλική γλώσσα και όχι μεταφρασμένο στην Ελληνική γλώσσα.
     

    Support for Windows Server 2008 R2 SP1 on your Exchange 2010 Servers
     

    February 11, 2011 By Paul Cunningham
    Update: the Microsoft Exchange Team has announced that it is supported to run the following Exchange versions on Windows Server 2008 R2 SP1:

    Exchange 2010 SP1 Exchange 2010 RTM Exchange 2007 SP3
    The best news of all is that Windows Server 2008 R2 SP1 now includes
    all of the pre-requisite hotfixes for Exchange Server 2010 SP1, so no
    more manually downloading and installing the 6 or 7 patches that were
    previously needed.

    Original post below:

    Henrik Walther has answered the question from many Exchange 2010
    administrators as to whether it is supported to run Windows Server 2008
    R2 Service Pack 1 (SP1 has just been released) on Exchange 2010 servers.

    From Henrik’s blog:


    I see more and more questions from folks asking whether
    it’s supported to install Exchange 2010 SP1 on Windows Server 2008 R2
    with the new SP1 applied or even upgrade an existing server Exchange
    2010 SP1 server running on Windows Server 2008 R2 to this new service
    pack.

    There’s still no information about this in the Exchange Server 2010
    Supportability Matrix, but according to the Exchange team this is not
    supported with the current Exchange 2010 SP1 build but will be with
    Exchange 2010 SP2 (or with some luck with a future Exchange 2010 SP1
    roll-up update).

    So if you were considering the upgrade its best that you hold off until an official support statement is made.
    Windows 2008 R2 SP1 general availability and what it means for Exchange


    Now that you might have seen the announcement for general availability of Windows 2008 R2 SP1, we wanted to get ahead of the inevitable question: "Is Exchange supported running on Windows Server 2008 R2 SP1?"
    We
    wanted to let you know that we've completed testing with Windows 2008
    R2 SP1 and the following versions of Exchange are supported to run on
    Windows 2008 R2 SP1 (the RTM version of SP1):
    Exchange 2010 SP1
    Exchange 2010 RTM
    Exchange 2007 SP3
    Please note that Exchange 2007 was not supported to run on Windows 2008 R2 at all before Exchange 2007 SP3 release.
     
    Also note, Windows 2008 R2 SP1 includes the hotfixes required to install Exchange 2010 SP1 (listed in Exchange 2010 SP1 FAQ and Known Issues
    — 979744, 983440, 979099, 982867 and 977020). If you're installing
    Exchange 2010 SP1 on a server running Windows 2008 R2 SP1, you don't
    need to install these hotfixes separately.

    Nino Bilic

     
     
     
  2. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας παρακάτω σας παραθέτω την διασύνδεση (link) για ένα εξαιρετικά πιστεύω χρήσιμο e-book από τον εκδοτικό οίκο RealTimePublishers.com, όπου μπορεί ο καθένας μας να γίνει μέλος δωρεάν αποκτώντας πρόσβαση σε μια μεγάλη συλογή ηλεκτρονικών βιβλίων όσον αφορά τον χώρο μας, με θεματογράφια η οποία καλύπτει και τις πλέον εξεζετημένες τεχνολογίες. Το συγκεκριμένο e-book με τίτλο "How to Install SSL Certificates on Microsoft Servers by Dan Sullivan" έχετε την δυνατότητα να το κατεβάσετε από τον παρακάτω σύνδεσμο :
     
    http://nexus.realtimepublishers.com/htis.php
     
    Για την καλύτερη ενημέρωσή σας, παραθέτω παρακάτω τα περιεχόμενα του συγκεκριμένου ηλεκτρονικού βιβλίου από το πρωτότυπο στην Αγγλική γλώσσα. Ελπίζω ότι θα το βρείτε χρήσιμο.
     


    Synopsis
    Windows administrators are continually tasked with securing
    servers and applications, including installing SSL certificates for
    authentication and encryption. This raises a number of questions for
    system administrators: which kind of SSL certificate should be used?
    How are SSL certificates installed? What is the Certificate Store? How
    does SSL work in Internet Information Server (IIS), Exchange Server,
     SQL Server and SharePoint?  This how-to guide provides detailed step by
    step instructions on how to select, install and maintain SSL
    certificates in Microsoft environments. Whether you are just starting
    out and need to know how to acquire a certificate, or you are looking
    for tips on troubleshooting and maintaining existing certificate
    configurations, this guide has pragmatic and detailed information to
    help you.

    Chapter Previews
    Chapter 1: Getting Started with SSL Certificates in Windows Server

    We are constantly making use of SSL certificates, although we may not appreciate the
    frequency. When we navigate to a site using HTTPS, we are making use of an SSL certificate.
    When we encrypt a message to send to another party, we are depending on an SSL
    certificate. When we install software that has been signed by a trusted source, we are once
    again making use of SSL certificates. Their prevalence in IT environments indicates just
    how valuable they are in a number of applications. It is not surprising that sooner or later,
    many systems administrators, application managers, and other Windows professionals
    need to install and manage SSL certificates.

    This book is designed to help you understand how to select an SSL certificate, install it in a
    Windows environment, manage multiple certificates, and use them with specialized
    applications, such as the SQL Server relational database. The guide is organized into four
    chapters.


    Chapter 2: Understanding the Microsoft Certificate Store

    One of the things we quickly realize when we start to work with SSL certificates is how
    many we need to manage. We can have SSL certificates for Web servers, mail servers,
    various kinds of application servers, and individual users can have servers, too. And those
    are just the servers we generate or acquire for internal purposes. We also need to manage
    certificates for trusted third parties, like Microsoft or security vendors that provide SSL
    certificates. Certificates from these trusted sources are kept on our computers so that we
    can determine the authenticity of certificates signed by these parties. Clearly, we need a
    way to keep track of all the digital certificates. This is where a certificate store comes in.

    In this, the second chapter of How to Install SSL Certificates for on Microsoft Servers, we will
    examine some of the basic tasks associated with managing and maintaining SSL certificates.
    Before we jump into various certificate operations, we need to understand a bit about the
    certificate store and tools for working with that store.

    The chapter is organized into three main sections:

    Overview of the purpose of the certificate store How to manage certificates with the Microsoft Management Console (MMC) Maintenance tasks associated with SSL certificates
    The object of this chapter is to familiarize you with how the Windows operating systems
    (OSs) manage certificates and what you need to do to before taking the next step of
    deploying SSL certificates in your Web servers, email servers, database servers, and other
    enterprise applications.


    Chapter 3: Using SSL Certificates in Microsoft Internet Information Server (IIS)

    The goal of this book is to provide readers a step‐by‐step guide to working with SSL
    certificates in a Windows environment. In the first chapter, we considered different types
    of SSL certificates and the reasons for choosing one type over another. In the second
    chapter, we delved into the Microsoft Certificate Store and reviewed how to use the
    Microsoft Management Console (MMC) to perform basic certificate operations and
    management tasks. In this chapter, we turn our attention to one of the most common
    business drivers for using SSL certificates: providing assurance about the authenticity of
    our business' Web sites.

    Web sites make use of SSL certificates to authenticate themselves to clients and to support
    encrypted communication with clients. Windows systems administrators responsible for
    maintaining Web sites will likely have to install and maintain SSL certificates for one or
    more sites. This chapter provides a detailed explanation of how to install SSL certificates
    with Internet Information Server (IIS) Manager, including binding certificates to sites,
    configuring SSL settings, and verifying installation. The role of authenticating clients with
    SSL certificates is also discussed. We conclude this chapter with a discussion of setting up
    development and test environments with self‐signed certificates.

    The chapter is organized around three tasks commonly performed when working with IIS:

    Installing SSL certificates in IIS with the IIS Manager Authenticating clients with client certificate mapping Setting up SSL‐enabled development and test environments
    Most of the work involved in these steps occurs within the IIS Manager, but as we will see
    next, an important step begins with requesting a certificate from a trusted third‐party
    provider.


    Chapter 4: Installing SSL Certificates in Microsoft Exchange Server, Microsoft SharePoint, and Microsoft SQL Server

    SSL certificates are often associated with Web servers such as
    Microsoft IIS, but they are actually used in a variety of Microsoft
    applications, including Microsoft Exchange email server, Microsoft
    SharePoint collaboration server, and the Microsoft SQL Server database.
    The process of installing an SSL certificate has both common and
    application-specific steps across these applications. This final chapter
    discusses how to install an SSL certificate in Microsoft Exchange
    Server, Microsoft SharePoint Server, and Microsoft SQL Server. We begin
    with a quick overview of the common parts of the installation process,
    then discuss each application in more detail.


     
  3. Jordan_Tsafaridis
    Όταν κάνουμε login σε έναν Exchange 2010 server, και εν συνεχεία ανοίγουμε το Exchange
    Management Console, είναι πολύ πιθανόν να εμφανιστεί ένα μήνυμα λάθους. Αυτό το μήνυμα λάθους σχετίζεται άμεσα με δύο θέματα.  Είτε ο Exchange 2010 Server έχει όντως πρόβλημα επικοινωνίας με τους Ιn-Site Domain Controllers, είτε υπάρχει profile corruption του λογαριασμού (account) τον οποίο χρησιμοποιούμε για να κάνουμε login στον Exchange 2010 Server.  Σύμφωνα δε με πληροφορίες οι οποίες προέρχονται από διάφορα user forums το συγκεκριμένο πρόβλημα κατά πλειοψηφία οφείλεται σε profile
    corruption του Exchange Management Console file.   

    Βήματα επίλυσης του προβλήματος

    Επαλίθευση και πιστοποίηση της επικοινωνίας με τους Domain Controllers:
    Πρώτα απ' όλα θα πρέπει να επαληθεύσουμε ότι ο Exchange 2010 Server δεν λαμβάνει λάθη κατά ην διάρκεια του MSExchange DSAccess suitability testing.  Αυτό μπορεί να εξακριβωθεί διαμέσου του Event log\Application
    EventID:  2080
    Source:  MSExchange ADAccess

    Εφόσον δεν εμφανίζονται στην λίστα όλοι οι In-Site
    domain controllers τους οποίους έχουμε εγκατεστημένους Ή το suitability score διαφέρει σημαντικά το ένα από το άλλο, τότε θα πρέπει να διερευνήσουμε μήπως υπάρχουν προβλήματα επικοινωνίας (communication) καθώς επίσης και προβλήματα στο replication μεταξύ των εγκατεστημένων DCs.  Εάν όλα είναι εντάξει τότε προχωρούμε στην διαδικασία επιδιόρθωσης του profile corruption.
    Profile corruption:
    Για την επιδιόρθωση :
    1. Κάνουμε login στον Exchange 2010 Server, και εν συνεχεία μεταβαίνουμε στην ακόλουθη θέση :
    C:\Users\<Username>\AppData\Roaming\Microsoft\MMC\
    2. Διαγράφουμε ή μετονομζουμε (Delete or rename) το ακόλουθο αρχείο : “Exchange Management Console”
    3. Αμέσως μετά κάνουμε Log out και εν συνεχεία κάνουμε ξανά login. Ανοίγουμε το Exchange Management Console και το λάθος θα πρέπει να μην εμφανιστεί ξανά.
  4. Jordan_Tsafaridis
    Εισαγωγή
    Στο πρώτο μέρος αυτής της σειράς τεχνικών άρθρων τα οποία αναφέρονται στα Access Rules, παρουσιάσα τον σκοπό και τις διαδικασίες για την δημιουργία ενός Access Rule καθώς και τον τρόπο χρήσης του Access Rule wizard για την δημιουργία ενός κανόνα.
    Στο δεύτερο αυτό μέρος θα δώσουμε έμφαση στις λεπτομέριες των Access Rules αφότου αυτοί έχουν δημιουργηθεί από τον wizard. Ο λόγος για τον οποίο θέλουμε να το κάνουμε αυτό είναι υπάρχει μια σειρά ρυθμίσεων η οποία δεν εμφανίζεται κατά την διάρκεια χρήσης του Access
    Rule wizard.

    Εάν κάνουμε διπλό κλικ σε ένα access rule αμέσως μετά την δημιουργία του, θα εμφανιστεί το Properties dialog box του συγκεκριμένου κανόνα. Το πρώτο tab το οποίο θα παρουσιαστεί είναι το General
    tab. Σε αυτό το σημείο μπορούμε να αλλάξουμε το όνομα του κανόνα (rule) και να συμπληρώσουμε επίσης και μια σύντομη περιγραφή του κανόνα. Θα ανακαλύψετε όπως και εγώ ότι το description box αποτελεί μια πραγματική βοήθεια, διότι σε αυτό μπορούμε να καταγράψουμε τον λόγο για τον οποίο δημιουργήσαμε τον συγκεκριμένο κανόνα, ποιος δημιουργήσε τον κανόνα, πότε δημιουργήθηκε ο κανόνας, αλλά επίσης και τον λόγο για τον οποίο δημιουργήσαμε τον κανόνα, όπως για παράδειγμα ποιος απαίτησε την δημιουργία του κανόνα ή ποιο επιχειρησιακό πρόβλημα ο κανόνας αυτός επιλύει.

    Σημειώστε ότι το Evaluation order περιλαμβάνεται σε αυτό το tab.
    Παρόλα αυτά, θα πρέπει να είμαστε προσεκτικοί διότι αυτό το evaluation order για την λίστα των firewall rules βρίσκεται εκτός (outside) από τα System Policy rules. Τα System Policy rules πάντοτε αξιολογούντε (evaluated) πριν την αξιολόγηση των firewall policy rules. Εδώ μπορούμε να ενεργοποιήσουμε ή να απενεργοποιήσουμε τον κανόνα χρησιμοποιώντας το Enable checkbox.


    Εικόνα 1

    Στο Action tab, έχουμε την παρακάτω σειρά επιλογών:

    Allow - Όταν επιλέγουμε αυτήν την επιλογή, τότε ο κανόνας μετατρέπεται σε έναν allow rule με συνέπεια όταν το connection attempt πιστοποιεί (matches) τις συγκεκριμένες ρυθμίσεις σε αυτόν τον κανόνα, τότε η σύνδεση είναι επιτρεπτή. (Τhe connection will be allowed)
    Deny - Όταν επιλέγουμε αυτήν την επιλογή, τότε ο κανόνας μετατρέπεται σε έναν κανόνα άρνησης (deny rule) με συνέπεια όταν το connection attempt πιστοποιεί (matches) τις συγκεκριμένες ρυθμίσεις σε αυτόν τον κανόνα, τότε η σύνδεση είναι
    μη επιτρεπτή. (Τηε connection will be denied)

    Display denial notification to user - Εάν ο κανόνας είναι ένας κανόνας HTTP, και επιλέξουμε αυτήν την επιλογή, έχουμε την δυνατότητα να εισάγουμε ένα κείμενο το οποίο θα κοινοποιείται στον χρήστη ενημερώνοντάς τον ότι η σύνδεση την οποία προσπάθησε να πραγματοποιήσει δεν επιτρέπεται. Η πληροφορία αυτή θα εμφανίζεται σε ένα browser window. Χρησιμοποιώντας αυτό το χαρακτηριστικό ο χρήστης θα είναι σε θέση να γνωρίζει γιατί η σύνδεση την οποία πήγε να πραγματοποιήσει δεν επιτράπηκε.
    Add denied request category to notification - Η επιλογή αυτή είναι διαθέσιμη όταν το URL filtering είναι ενεργοποιημένο εφόσον εάν έχουμε ενεργοποιήσει το URL filtering στον TMG firewall, έχοντας την δυνατότητα να ενημερώσουμε τον χρήστη, πότε το request δεν έγινε αποδεκτό, καθώς επίσης και σε ποια κατηγορία απαγορευμένων ιστοσελίδων προσπάθησε να μπει ο συγκεκριμένος χρήστης. Κατά γενική ομολογία οι χρήστες δεν ενδιαφέρονται γι' αυτήν την πληροφορία, αλλά εάν έχουμε κανόνες οι οποίοι απευθύνονται σε admins ή power users,
    τότε είναι πιθανόν γι' αυτούς τους χρήστες η πληροφορία αυτή να είναι ιδιαίτερα χρήσιμη έτσι ώστε να προχωρήσουν σε επανακατηγοριοποίηση των ιστοσελίδων.

    Redirect web client to the following URL - Εάν για κάποιο λόγο δεν επιθυμούμε να εμφανίσουμε μια ιστοσελίδα στην οποία να εξηγούμε στον χρήστη γιατί δεν επιτράπηκε η σύνδεσή του, εδώ έχουμε την επιλογή να ανακατευθύνουμε τον χρήστη (redirect the user) σε μια ιστοσελίδα της αρεσκείας μας.
    Τέτοια ιστοσελίδα μπορεί να είναι μια ιστοσελίδα στην οποία περιγράφονται οι κανονισμοί πρόσβασης και χρήσης του διαδικτύου στην συγκεκριμένη επιχείρηση στην οποία εργαζόμαστε.

    Log requests matching this rule - Αυτή η επιλογή είναι εξ ορισμού ενεργοποιημένη και επιτρέπει συνδέσεις οι οποίες είναι εναρμονισμένες με τον συγκεκριμένο κανόνα να γίνονται logged στα TMG firewall logs. Βεβαίως υπάρχουν και περιπτώσεις για τις οποίες δεν είναι απαραίτητη η καταγραφή πληροφορίας όπως τα επονομαζόμενα garbage traffic (NetBIOS broadcasts, LLMNR broadcasts, κ.τ.λ.). Αυτή η κίνηση θα έχει ως άμεση συνέπεια την σημαντική μείωση του όγκου των log files
    και θα μετατρέψει τα logs σε καθαρότερη και εύκολότερα αναγνώσιμη μορφή.


    Εικόνα 2

    Στην σελίδα Protocols, έχουμε επιλογές οι οποίες είναι παρόμοιες με αυτές οι οποίες περιλαμβάνονται στον Access Rule wizard. Το This rule applies to drop down box παρέχει τις ίδιες επιλογές, και μπορούμε να χρησιμοποιήσουμε τα Add, Edit και Remove buttons για να προσθέσουμε, να επεξεργαστούμε ή να αφαιρέσουμε protocols τα οποία θα βρίσκουν εφαρμογή σε αυτόν τον κανόνα. Επιπροσθέτως έχουμε το Ports option το οποίο ήταν διαθέσιμο. Το Filtering button, όταν ενεργοποιηθεί, μας επιτρέπει να ρυθμίσουμε το HTTP Policy
    γι'αυτόν τον κανόνα (Εάν αυτός είναι ένας κανόνας HTTP). Αυτό το χαρακτηστικό περιλαμβανόταν και σε παλαιότερες εκδόσεις του ISA firewall, το οποίο ήυαν ευρέως γνωστό ως HTTP Security Filter. Άλλα φίλτρα μπορούν να είναι διαθέσιμα - αναλόγως των πρωτόκολων τα οποία χρησιμοποιούμε – εφόσον αυτά βρίσκουν εφαρμογή σε πρωτόκολα outbound. Η πλειοψηφία των protocol filters τα οποία είναι διαθέσιμα στον TMG είναι σχεδιασμένα για το inbound protection, αλλά υπάρχουν ορισμένα τα οποία έχουν εφαρμογή σε πρωτόκολα outbound.


    Εικόνα 3

    Στο From tab, μπορούμε να καθορίσουμε τα source locations στα οποία αυτός ο κανόνας θα βρίσκει εφαρμογή. Με άλλα λόγια είναι οι clients οι οποίοι βρίσκονται σε ένα δίκτυο το οποίο προστατεύεται από τον TMG. Η επιλογή αυτή είναι όμοια με αυτήν την οποία είδαμε και στον Access Rule
    wizard. Όταν κάνουμε κλικ στο Add, εμφανίζεται το Add Network Entities
    dialog box και μπορούμε να επιλέξουμε από έναν μεγάλο αριθμό από network entities ή να δημιουργήσουμε καινούριες. Μια επιλογή η οποία είναι διαθέσιμη σε αυτό το tab, η οποία δεν εμφανίζεται στον Access Rule wizard, είναι ο τομέας των Exceptions.
    Εδώ είμαστε σε θέση να καθορίσουμε τα sources στα οποία επιθυμούμε αυτός ο κανόνας να εφαρμόζεται, αλλά εάν υπάρχει ένα υποσύνολο μέσα σε αυτήν την ομάδα (group) στο οποίο ο κανόνας δεν πρέπει να εφαρμοστεί,
    τότε μπορούμε να το τοποθετήσουμε μέσα στον τομέα των Exceptions. Αυτό αποτελεί μια πανίσχυρη επιλογή και θα πρέπει πάντοτε να το λαμβάνουμε υπόψην μας όταν σχεδιάζουμε Access Rules.


    Εικόνα 4

    Το To tab είναι όμοιο με το From tab, όπου καθορίζουμε τον προορισμό (destination) με τον θέλουμε να συμπίπτει ο κανόνας. Όταν κάνουμε κλικ στο Add, ανοίγει αυτόματα το Add Network Entities
    dialog box στο οποίο μας δίνετε η δυνατότητα να επιλέξουμε την θέση προορισμού (destination location) από την λίστα η οποία παρουσιάζεται,
    ή μπορούμε να δημιουργήσουμε μια καινούρια θέση προορισμού. Όσον αφορά το From tab, έχουμε επίσης την δυνατότητα δημιουργίας Exceptions.


    Εικόνα 5

    Στο Users tab, μπορούμε να καθορίσουμε σε ποιους χρήστες ο συγκεκριμένος κανόνας θα έχει εφαρμογή. Εξ ορισμού, το σετ χρηστών All Users χρησιμοποιείται για όλα τα Access Rules. Βεβαίως στο σημείο αυτό θα πρέπει να λάβουμε υπόψην μας ότι όταν αναφερόμαστε στο All Users δεν σημαίνει στην πραγματικότητα ότι συμπεριλαμβάνονται όλοι οι χρήστες (all
    users), αλλά αντιθέτως αντιπροσωπεύει ανώνυμες συνδέσεις και επικυρωμένες συνδέσεις (anonymous connections and authenticated
    connections). Εάν επιθυμούμε να εξαναγκάσουμε τους χρήστες να επικυρώσουν την σύνδεσή τους (authenticate), θα πρέπει να χρησιμοποιήσουμε κάποιο άλλο σετ χρηστών και να διαγράψουμε το All Users user set.

    Εάν κάνουμε κλικ στο Add, μπορούμε να επιλέξουμε το All Authenticated Users
    και τότε μόνον στους χρήστες οι οποίοι έχουν επικυρώσει την σύνδεσή τους με τον TMG firewall θα έχουν πρόσβαση διαμέσου του συγκεκριμένου κανόνα. Η επικύρωση του χρήστη μπορεί να πραγματοποιηθεί του web proxy client configuration ή του Firewall client (TMG client)
    configuration. Εάν θέλουμε να δημιουργήσουμε το δικό μας σετ χρηστών, απλά κάνουμε κλικ στο κουμπί New.


    Εικόνα 6

    Όταν κάνουμε κλικ στο New, εμφανίζεται ο Welcome to the New User Set
    wizard. Στην πρώτη σελίδα του wizard, εισάγουμε το όνομα του σετ χρηστών.
    Σε αυτό το παράδειγμα θα δημιουργήσουμε ένα σετ χρηστών το οποίο θα περιλαμβάνει το Domain
    Admins Active Directory group, και συνεπώς θα ονομάσουμε τον καινούριο κανόνα ως Administrators και εν συνεχεία κάνουμε κλικ στο Next.


    Εικόνα 7

    Στην σελίδα Users, όταν κάνουμε κλικ στο Add, εμφανίζεται ένα μενού τύπου fly out. Αυτό το fly out μενού περιλαμβάνει τις ακόλουθες πηγές πιστοποίησης:

    Windows users and groups - Αυτοί είναι οι χρήστες και οι ομάδες (users & groups) που περιλαμβάνονται στο Active Directory domain ή σε αξιόπιστο τομέα στον οποίο ο TMG Firewall ανήκει.
    LDAP - Αυτοί είναι οι χρήστες και οι ομάδες (users & groups) που περιλαμβάνονται στο Active Directory και μπορούμε να τους χρησιμοποιήσουμε όταν ο TMG firewall δεν είναι μέλος ενός τομέα (domain). Λάβετε υπόψην σας ότι ο TMG δεν υποστηρίζει LDAP authentication σε Access Rules.

    RADIUS - Αυτοί είναι οι χρήστες οι οποίοι είναι προσβάσιμοι διαμέσου του RADIUS. Σημειώστε ότι ο RADIUS δεν υποστηρίζει Group Membership, ασχέτως αν μας επιτρέπεται να δημιουργήσουμε έναν χρήστη ό οποίος εμπεριέχει πολλαπλούς λογαριασμούς - (multiple accounts) - οι οποίοι είναι προσβάσιμοι διαμέσου του RADIUS, γεγονός το οποίο έχει ως αποτέλεσμα ένα ad hoc group στον
    TMG firewall. Ο RADIUS υποστηρίζεται σε outbound web connections διαμέσου του TMG firewall.

    SecurID - Αυτοί είναι οι χρήστες καθορίζονται από το SecurID. Το SecurID δεν υποστηρίζεται στα outbound connections διαμέσου του TMG firewall και των αντίστοιχων Access Rules.
    Στο παράδειγμα αυτό, ο TMG firewall έχει συνδεθεί (joined) στο Active Directory domain, και για τον λόγο αυτό θα επιλέξουμε το Windows users and groups.


    Εικόνα 8

    Η προηγούμενη επιλογή φέρνει στο προσκήνι0 το Select Users or Groups dialog box. Στο σημείο αυτό εισαγάγουμε τους Domain Admins στο Enter the object names to select text box και εν συνεχεία κάνουμε κλικ στο Check Names και αμέσως μετά κάνουμε κλικ στο OK έτσι ώστε να συμπεριλάβουμε αυτό το Active Directory group στο σετ χρηστών.


    Εικόνα 9

    Σε αυτό το σημείο βλέπουμε τον νέο χρήστη στην σελίδα Users. Μπορούμε να προσθέσουμε περισσότερους χρήστες σε αυτό το σετ χρηστών εφόσον το επιθυμούμε. Στο παράδειγμα αυτό θα κάνουμε κλικ στο Next και δεν θα προσθέσουμε κανέναν άλλο χρήστη σε αυτό το σετ χρηστών.


    Εικόνα 10

    Στην σελίδα Completing the New User Set Wizard, κάνουμε κλικ στο Finish για να δημιουργήσουμε το καινούριο σετ χρηστών.


    Εικόνα 11

    Τώρα μπορούμε να δούμε το Administrators group στο Add Users dialog box και μπορούμε να χρησιμοποιήσουμε αυτό το group στα Access Rules και στα publishing rules.


    εικόνα 12

    Στο Schedule tab, μπορούμε να καθορίσουμε ένα χρονοδιάγραμμ για τον κανόνα ο οποίος καθορίζει με την σειρά του τις ώρες κατά τις οποίες ο κανόνας αυτός θα εφαρμόζεται. Σημειώστε ότι όταν ορίζουμε ένα χρονοδιάγραμμα, το χρονοδιάγραμμα εφαρμόζεται μόνον στις καινούριες συνδέσεις και συνεπώς για ήδη συνδεδεμένους χρήστες πριν από την εφαρμογή του κανόνα ο κανόνας αυτός δεν θα σταματήσει τις συνδέσεις τους. Ωστόσο, αν μια νέα προσπάθεια σύνδεσης που ταιριάζει με τον κανόνα είναι έξω από το χρονοδιάγραμμα, τότε η σύνδεση θα αρνηθεί. Το εξ ορισμού χρονοδιάγραμμα (schedule) είναι το Always, αλλά υπάρχουν επίσης αλλα δύο ενσωματωμένα χρονοδιαγράμματα που είναι : το  Weekends και το Work hours. Εάν παρόλα αυτά δεν μας αρέσει κανένα από τα παραπάνω ενσωματωμένα χρονοδιαγράμματα τότε κάνουμε κλικ στο New button και δημιουργούμε το δικό μας χρονοδιάγραμμα.


    Εικόνα 13

    Το Malware Inspection tab είναι καινούριο και είναι διαθέσιμο μόνον στον TMG firewall. Υπάρχει μια σειρά επιλογών σε αυτό το tab οι οποίες δεν εμφανίζονται στον Access Rule wizard:

    Inspect content downloaded from web servers to clients - Όταν ενεργοποιούμε αυτήν την επιλογή, όλο το περιεχόμενο το οποίο γίνεται downloaded από web servers θα ελέγχονται για κακόβουλο λογισμικό χρησιμοποιώντας την Microsoft AV μηχανή η οποία χρησιμοποιείται από τον TMG firewall.

    Force full content requests (remove HTTP Range header) - Αυτό αναγκάζει το firewall να ζητήσει το πλήρες περιεχόμενο, έτσι ώστε το περιεχόμενο να μπορεί να αξιολογηθεί στο σύνολό του. Εάν μόνο σειρές αξιολογήθηκαν, ενδεχόμενες απειλές ενδέχεται να έχουν παραληφθεί.

    Use rule specific settings for malware inspection - Μπορούμε να προσαρμόσουμε τις ρυθμίσεις του anti-malware για τον συγκεκριμένο κανόνα, όταν κάνουμε αυτήν την επιλογή. Συνεπώς εάν επιλέξουμε αυτή την επιλογή, θα πρέπει να κάνουμε κλικ στο
    Rule Settings button για να ολοκληρώσουμε την προσαρμοσμένη ρύθμιση των παραμέτρων μας.

    Εικόνα 14

    Στην σελίδα Edit Rule Malware Inspection Settings, υπάρχει ένας αριθμός επιλογών. Η παρακάτω εικόνα δείχνει τις εξ ορισμού ρυθμίσεις:

    Attempt to clean the infected files - Όταν αυτή η ενότητα είναι ενεργοποιημένη, το firewall TMG θα προσπαθήσει να καθαρίσει το αρχείο πριν το διαβιβάσει στο χρήστη. Εάν το αρχείο δεν μπορεί να καθαριστεί, θα διαγραφεί.
    Block files with low and medium severity threats (higher level threats are blocked automatically) - Ο TMG firewall δεν θα μπλοκάρει εξ ορισμού αρχεία με απειλές μεσαίου και χαμηλού κινδύνου, χρησμοποιώντας το Microsoft AM engine classification system.
    Block suspicious files - Ο TMG firewall χρησιμοποιεί τα heuristics για να καθορίσει πότε ένα αρχείο εάν ένα αρχείο είναι πιθανώς κακόβουλο. Όταν αυτή η επιλογή είναι επιλεγμένη, τότε το αρχείο θα μπλοκαριστεί εάν τα heuristics καθορίσουν ότι το αρχείο είναι πιθανώς malware.
    Block corrupted files - Όταν αυτή η επιλογή είναι ενεργοποιημένη, τα αρχεία που έχουν καθοριστεί ότι είναι κατεστραμμένα, θα μπλοκαριστούν. Block files that cannot be scanned - Όταν αυτή η επιλογή είναι ενεργοποιημένη, η Microsoft AV engine δεν μπορεί να σαρώσει το αρχείο, και το αρχείο θα μπλοκαριστεί.
    Block encrypted files - Εάν το αρχείο είναι κρυπτογραφημένο, η Microsoft AV engine δεν είναι σε θέση να αξιολογήσει το αρχείο και εάν αυτή η επιλογή αυτή είναι ενεργοποιημένη το αρχείο θα μπλοκαριστεί.
    Block files if scanning time exceeds (seconds) - Όταν αυτή η επιλογή είναι ενεργοποιημένη, περιορίζει τον χρόνο κατά τον οποίο η Microsoft AV engine μπορεί να χρησιμοποιήσει για να αξιολογήσει το αρχείο πριν το ελευθερώσει ή το μπλοκάρει. Η προεπιλεγμένη τιμή είναι 5 λεπτά.
    Block files if archive level depth exceeds - Όταν αυτή η επιλογή είναι ενεργοποιημένη, η AV engine μπλοκάρει εκείνα τα αρχεία τα οποία έχουν υπερβεί το archive depth το οποίο έχει καθοριστεί εδώ. Η προεπιλεγμένη τιμή είναι 20 επίπεδα (levels).

    Block files larger than (MB) - Όταν αυτή η επιλογή είναι ενεργοποιημένη, θα μπλοκάρει αρχεία τα οποία είναι μεγαλύτερα από την αξία η οποία παρουσιάζεται στο text box, με την εξ ορισμού τιμή να είναι 1000 MB (1 GB). Αυτή η επιλογή μπορεί να χρησιμοποιηθεί για να βελτιώσουμε την απόδοση του TMG firewall, αλλά θα πρέπει να είμαστε ιδιαίτερα προσεκτικοί να μην μπλοκάρουμε αρχεία τα οποία χρειάζονται οι χρήστες μιας και οι χρήστες μπορεί να εργάζονται με μεγάλα σε μέγεθος αρχεία.

    Block archive files if unpacked content is large than (MB) - Αυτή η επιλογή καθορίζει το μέγιστο μέγεθος ενός αποσυμπιεσμένου αρχείου. Αυτή η τιμή χρησιμοποιείται για να συντηρήσει τη μνήμη (preserve memory) στον TMG firewall.

    Εικόνα 15

    Συμπέρασμα

    Σε αυτό το άρθρο ασχοληθήκαμε με τις λεπτομέρειες των Access Rules. Ενώ οι περισσότερες επιλογές τις οποίες θέλουμε να ρυθμίσουμε είναι προσβάσιμες από τον Access Rule Wizard, εντούτοις υπάρχουν κάποιες σημαντικές επιλογές οι οποίες είναι προσβάσιμες μόνον αφότου έχουμε δημιουργήσει τον κανόνα πηγαίνοντας στο Properties dialog box του συγκεκριμένου κανόνα. ελπίζω ότι θα βρειτε το συγκεκριμένο άρθρο ιδιαιτέρως χρήσιμο για σας οι οποίοι χρησιμοποιείται τον TMG firewall.
  5. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας του Autoexec παρακάτω σας παραθέτω μια εξαιρετικά σοβαρή περιπτώση προβλήματος ασφάλειας του λειτουργικού συστήματος Mac OS X η οποία έγινε γνωστή την Τετάρτη 10 Νοεμβρίου 2010.
    Μάλιστα ιδιαίτερη εντύπωση προκαλεί το γεγονός ότι οι Penetration testing specialists της Core Security είχαν δημοσίως κοινοποιήσει όλη εκείνη την απαραίτητη πληροφορία σχετικά με ένα serious security vulnerability του λειτουργικού συστήματος Apple Mac OS X και σχολίαζαν με επικριτικό τρόπο το γεγονός του ότι ο κατασκευαστής έχει καθυστερήσει την κυκλοφορία του απαραίτητου διορθωτικού patch.
    Παρακάτω σας παραθέτω αυτούσια προς μελέτη την σχετική δημοσίευση :


    The vulnerability, which only affects Apple Mac OS X v10.5, could
    allow hackers to take complete control of a vulnerable machine via
    malicious PDF files.



    In an advisory, Core Security said Apple claims it already has a
    patch prepared for this issue but failed to release the fix despite
    several promises.

    Apple did not give any reasons for skipping the patch release.

    Here’s the skinny on the problem:

    The Apple Type Services is prone to
    memory corruption due a sign mismatch vulnerability when handling the
    last offset value of the CharStrings INDEX structure.

    This vulnerability could be used by a
    remote attacker to execute arbitrary code, by enticing the user of Mac
    OS X v10.5.x to view or download a PDF document containing a embedded
    malicious CFF font (Compact Font Format.

    This vulnerability is a variation of the vulnerability labeled as CVE-2010-1797 (FreeType JailbreakMe iPhone exploit variation).

    Core encourages Apple users to upgrade to Apple Mac OSX 10.6, which is not affected by this vulnerability.

    Apple has a history of being tardy with security patches.  According to this list maintained by TippingPoint ZDI, there are several outstanding high-risk vulnerabilities in Apple’s software.
    Για περισσότερες πληροφορίες δείτε τον παρακάτω σύνδεσμο : http://www.zdnet.com/blog/security/mac-os-x-security-flaw-publicized-after-apple-fails-to-patch/7712

  6. Jordan_Tsafaridis
    Σε μια εταιρική εγκατάσταση χρησιμοποιώ τον Forefront TMG 2010 ως proxy server καθώς επίσης και για να κάνει publishe μια ομάδα υπηρεσιών στο διαδίκτυο.
    Το πρόβλημα το οποίο αντιμετώπισα ήταν ότι για να διαχειρστώ τον TMG αυτό έπρεπε να γίνει διαμέσου του console viewer στον HyperV,
    διότι πολύ απλά κατά την εγκατάσταση του Microsoft ForeFront TMG 2010 είναι κλειδωμένη η χρήση του Remote Desktop (RDP). Για τον λόγο αυτό έψαξα στο διαδίκτυο για πληροφορίες σχετικά με το πως κάνουμε το setup για να ενεργοποιήσουμε το internal RDP
    access έτσι ώστε να είναι δυνατή η χρήση του remote desktop. Οι ενέργειες τις οποίες πρέπει να κάνουμε είναι οι εξής παρακάτω :

    Πρώτα απ' όλα ανοίγουμε το Forefront TMG Management console και στο αριστερό pane κάνουμε κλικ στο Firewall Policy.

    Στο δεξιό pane, κάνουμε κλικ στο Toolbox και αναζητούμε (drill down) μέσα στο Computer Sets να βρούμε το Enterprise Remote Management.



    Εν συνεχεία κάνουμε διπλό κλικ στο Enterprise Remote Management για να ανοίξουμε το συγκεκριμένο set και αμέσως μετά χρησιμοποιούμε το Add button για να επιβεβαιώσουμε ότι το εσωτερικό μας δίκτυο περιλαμβάνεται στην συγκεκριμένη λίστα.



    Εν συνεχεία επιστρέφουμε στο αριστερό pane και κάνουμε δεξί κλικ στο Firewall Policy και δημιουργούμε έναν καινούριο access rule:



    Εδώ θα πρέπει να ονοματίσουμε τον συγκεκριμένο κανόνα (Access Rule) με ένα χαρακτηριστικό όνομα το οποίο θα υποδηλώνει την λειτουργία του, π.χ. TMG RDP Management
    και εν συνεχεία κάνουμε setup στον κανόνα έτσι ώστε να επιτρέπει το RDP (Terminal Services) traffic από το εσωτερικό δίκτυο προς τον Local Host.



    Στο σημείο αυτό αποθηκεύουμε το καινούριο μας configuration και πλέον έχουμε την δυνατότητα διαχείρισης του TMG 2010 διαμέσου του RDP από το εσωτερικό δίκτυό μας.
  7. Jordan_Tsafaridis
    Το event log είναι ένα windows service το οποίο διαχειρίζεται το event logging σε ένα υπολογιστικό σύστημα. Όταν αυτή η υπηρεσία ξεκινά την λειτουργία της, τα Windows καταγράφουν (logs) όλη εκείνην την σπουδαία πληροφορία η οποία αφορά την λειτουργία του συγκεκριμένου υπολογιστικού συστήματος καθώς και των εφαρμογών οι οποίες τρέχουν / εκτελούνται σε αυτό. Τα διαθέσιμα logs σε ένα υπολογιστικό σύστημα εξαρτώνται άμεσα από τον ρόλο του συστήματος (system’s
    role) και τις εγκατεστημένες υπηρεσίες (Installed Services).

    Δύο γενικοί τύποι αρχείων log χρησιμοποιούνται


    Windows log Application and services log
    Τα Event log καταγράφουν γεγονότα (events) διαφόρων κατηγοριών όπως :

    Information Warning Error Critical Audit success Audit failures
    Το γραφικό περιβάλλον (GUI) του Event Viewer χρησιμοποιείται για την απεικόνιση και επισκόπηση αυτόνομων γεγονότων (individual  events) και αποτελεί ένα event log. Επιπροσθέτως, συμπληρωματικά του GUI tool, το PowerShell μπορεί να χρησιμοποιηθεί για να επικοινωνεί (query) με το event log. Τα παρακάτω PowerShell cmdlets μπορούν να χρησιμοποιηθούν για την διαχείριση του event log:

    Get-WinEvent Get-EventLog Clear-EventLog Limit-EventLog Show-EventLog
    Το παρακάτω script εμφανίζει εγγραφές (records) από το event log το οποίο παρουσιάζει ένα “error” state στα Application, System και Security logs.



    Η παράμετρος “-Newest 100” μας δίνει μόνον τα τελευταία 100 entries από το event log.
    Μπορούμε εφόσον το επιθυμούμαι να αποστείλουμε / αποθηκεύσουμε το συγκεκριμένο output σε ένα αρχείο text απλά χρησιμοποιώντας το Out-File cmdlet
    ή χρησιμοποιώντας τα προσθετικά σύμβολα “>” και “>>” (append symbols).

    Get-EventLog -Newest 100
    -LogName "system" | Where-Object {$_.entrytype -match
    "error"} > D:\Log_Repository\CurrentLogs.txt

    Get-EventLog -Newest 100
    -LogName "application" | Where-Object {$_.entrytype -match
    "error"} >> D:\Log_Repository\CurrentLogs.txt

    Get-EventLog -Newest 100
    -LogName "security" | Where-Object {$_.entrytype -match
    "error"} >> D:\Log_Repository\CurrentLogs.txt
    Ολοκληρώνοντας έχουμε την δυνατότητα να προγραμματίσουμε μια εργασία (schedule a job) η οποία θα τρέχει καθημερινά με σκοπό την συλλογή και παρακολούθηση όλων των “error” log entries όπως παρουσιάζεται στις παραπάνω εντολές και το αποτέλεσμα (report) να μας αποστέλλεται το μέσω email δίδοντάς μας την δυνατότητα να αναπτύξουμε ένα απλό σύστημα παρακολούθησης ενός υπολογιστικού συστήματος με σκοπό την έγκαιρη διάγνωση και άμεση αντιμετώπιση των προβλημάτων τα οποία είναι δυνατόν να προκύψουν. (Simple health
    montioring and alerting system)
  8. Jordan_Tsafaridis
    Λειτουργικό Περιβάλλον : Μετάβαση (Migration) από τον Exchange Server 2003 στον Exchange Server 2010. Το συγκεκριμένο πρόβλημα εμφανίστηκε αμέσως μετά την επιτυχημένη μετάβαση στην έκδοση 2010.

    Θέματα : Κατά την διαδικασία του Downloading του offline address book δημιουργείται το παρακάτω λάθος (error) στους outlook clients.
    The Microsoft Exchange server reported 0x80190194 the operation failed

    Πρώτα απ' όλα θα πρέπει να προχωρήσουμε στους παρακάτω ελέγχους εάν λαμβάνουμε τέτοιας μορφής μηνυμάτα λάθους :

    Ελέγχουμε τα application logs για να διαπιστώσουμε εάν κάτι σχετίζεται με το ίδιο θέμα.
    Βρίσκουμε σε ποια database ο χρήστης ή οι χρήστες βρίσκονται καταχωρημένοι (problematic user) και εν συνεχεία ελέγχουμε την PF folder database (Δείχνει τον σωστό διακομιστή). Offline
    address book : Προσπαθούμε να δημιουργήσουμε ένα καινούριο και το αφήνουμε να κάνει replicate από το υπάρχον και προβληματικό και χρησιμοποιούμε το καινούριο ΟΑΒ στην συγκεκριμένη DB έτσι ώστε να διαπιστώσουμε έαν επιλύεται το πρόβλημα. Πηγαίνουμε στα properties του OAB , και ελέγχουμε εάν είναι τσεκαρισμένα/επιλεγμένα (enabled) τα Version2, και Version 3,
    καθώς και το public folder distribution είναι τσεκαρισμένο/επιλεγμένο (enabled) και ο σωστός PF διακομιστής (server) εμφανίζεται εκεί.
    Εάν συνεχίζουμε να αντιμετωπίζουμε τα ίδια προβλήματα τότε οι ενέργειες οι οποίες πρέπει να λάβουν χώρα είναι οι ακόλουθες :
    Διαγραφή όλων των αρχείων στον κατάλογο (Directory) : C:\Program Files\Microsoft\Exchange Server\Client Access\OAB
    Δημιουργία καινούριου OAΒ. Επανεκίννηση του Microsoft Exchange File Distribution Service και επιβεβαιώνουμε ότι το καινούριο OAB έχει δημιουργηθεί στον συγκεκριμένο κατάλογο (directory) ο οποίος έχει αναφερθεί παραπάνω. Ολοκληρώνοντας για την αποφυγή αλλά και αντιμετώπιση τέτοιων λαθών καλό είναι να παρακολουθούμε τα application logs, ακθώς επίσης θα πρέπει να αυξήσουμε το επίπεδο του diagnostic logon εάν αυτό κρίνεται απαραίτητο στους CAS servers.
  9. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας του autoexec παρακάτω σας παραθέτω δύο εξαιρετικά σοβαρές περιπτώσεις ασφάλειας του λειτουργικού συστήματος linux οι οποίες έγιναν γνωστές σήμερα Δευτέρα 25 Οκτωβρίου 2010.

    Μια ομάδα Security experts ανακάλυψε δύο vulnerabilities στην πλατφόρμα του Linux operating system οι οποίες δίνουν την δυνατότητα σε κακόβουλους attackers να αποκτήσουν root privileges σε ένα παραβιασμένο/μολυσμένο σύστημα (infected system).

    Το πρώτο Linux vulnerability αναφέρθηκε από την εταιρία ασφάλειας δεδομένων δικτύων VSR,
    η οποία τεκμηρίωσε ότι το συγκεκριμένο security flaw σχετίζεται με την εγκατάσταση/ανάπτυξη του Reliable Datagram Sockets protocol (RDS) στις εκδόσεις 2.6.30 εως και την 2.6.36-rc8 του Linux kernel.

    Σύμφωνα με την επιστημονική ομάδα της εταιρίας, το συγκεκριμένο vulnerability θα επιτρέψει σε έναν attacker να εγγράψει arbitrary data στην kernel memory τα οποία με την σειρά τους μπορούν να χρησιμοποιηθούν για να αναβαθμίσουν το επίπεδο πρόσβασης σε επίπεδο root. (Escalate
    privileges to root)

    Για τον σκοπό αυτό παραθέτω αυτούσια την ανακοίνωση της εν λόγω εταιρίας στην Αγγλική γλώσσα :
    “The exploit leverages the ability to write
    into kernel memory to reset the kernel's security operations structure
    and gain root privileges. The exploit requires that kernel symbol
    resolution is available to unprivileged users”.

    Το δεύτερο Linux vulnerability, το οποίο ανακαλύφθηκε από τον security researcher
    Tavis Ormandy, σχετίζεται σε ένα flaw το οποίο βρέθηκε στο library loader του GNU C library, το οποίο και αυτό με την σειρά του μπορεί να χρησιμοποιηθεί για την απόκτηση δικαιώματων πρόσβασης σε επίπεδο root user.

    Για περισσότερες πληροφορίες δείτε τον παρακάτω σύνδεσμο : http://www.portal.itproportal.com/portal/news/article/2010/10/25/linux-flaws-provide-root-access-hackers/#ixzz13OFYCc7U
  10. Jordan_Tsafaridis
    Αγαπητοί Συνάδελφοι της κοινότητας του autoexec,
     
    με το παρόν άρθρο θα ήθελα να δώσω την δυνατότητα πρόσβασης σε ένα πολύ χρήσιμο εργαλείο για όλους εμάς που ασχολούμαστε επαγγελματικά με την τεχνολογία του Active Directory. Στο link το οποίο παρατίθεται παρακάτω, επισυνάπτεται σε μορφή αρχείου Adobe Acrobat PDF, ένας οδηγός ο οποίος περιλαμβάνει όλα τα πλέον χρησιμοποιούμενα PowerShell cmdlets για το Active Directory στον Windows Server 2008 R2. Άλλωστε πόσες φορές έχουμε βρεθεί σε κάποιο κρίσιμο σημείο μιας εγκατάστασης κατά το οποίο δεν θυμόμαστε κάποια απλή εντολή. Εδώ πιστεύω ότι βρίσκεται η χρησιμότητα του συγκεκριμένου οδηγού.
     
    Ο σύνδεσμος στο διαδίκτυο είναι ο παρακάτω :
     
    http://www.jonathanmedd.net/wp-content/uploads/2009/10/ADPowerShell_QuickReference.pdf
     
    Ελπίζω ότι θα τον βρείτε ιδιαιτέρως χρήσιμο.
     
     
  11. Jordan_Tsafaridis
    Εισαγωγή
     

    Έχοντας ήδη εγκαταστήσει και ρυθμίσει τον Data Protection Manager (DPM)
    2010
    για να πραγματοποιούμε τις λειτουργίες του backup και του restore, το
    επόμενο βήμα είναι η προστασία των συστημάτων Hyper-V host τα οποία
    βρίσκονται σε λειτουργία. Στο άρθρο αυτό θα εξηγήσουμε με απλό και
    κατανοητό τρόπο την διαδικασία της ρύθμισης (process of configuring)
    έναν Hyper-V
    host για την προστασία του, υλοποιώντας το backup και εν συνεχεία το
    restore ως αναπόσπαστα μέρη της συγκεκριμένης διαδικασίας ρύθμισης. Έτσι
    λοιπόν το συγκεκριμένο άρθρο αποτελεί το τρίτο μέρος μιας σειράς άρθρων
    τα οποία εξηγούν την εγκατάσταση, την ρύθμιση και την χρήση - how to
    install, configure, and utilize - τον DPM 2010 για να πραγματοποιούμε
    την λειτουργία του backup και του restore
    σε virtual machines και Hyper-V servers.

    Ρυθμίσεις DPM


    Πριν προχωρήσουμε στις απαραίτητες ρυθμίσεις για την προστασία ενός Hyper-V host, θα πρέπει να έχουμε ήδη εγκατεστημένο τον
    DPM 2010 καθώς επίσης θα πρέπει να εχουν προστεθεί και τα αντίστοιχα storage pool disks added με μη προκαθορισμένη χωρητικότητα (un-allocated
    capacity). Στο τέλος του δεύτερου άρθρου της συγκεκριμένης σειράς είχα προσθέσει στο σύστημα του DPM
    server ένα storage pool drive χωρητικότητας 127GB. Στο σημείο αυτό δεν υπάρχει καμία προστασία για τον οποιοδήποτε Hyper-V hosts διότι πολύ απλά δεν έχει ρυθμιστεί ακόμη. Θα πρέπει και στην δική σας αντίστοιχη προσπάθεια να βλέπετε ένα unallocated storage διαθέσιμο στα storage pool disks κάτω από το Disks
    tab στον Management section.


    Εικόνα 1


    Εγκαθιστώντας τον DPM 2010 Agent στον Hyper-V Host


    Για να μπορέσουμε να προστατεύσουμε έναν Hyper-V host, είναι απαραίτητο να εγκαταστήσουμε τον DPM agent στο συγκεκριμένο υπολοστικό σύστημα. Υπάρχουν διαθέσιμοι τρεις διαφορετικοί τρόποι για να εγκαταστήσουμε τον DPM 2010
    Agent.

    Χρησιμοποιώντας την DPM 2010 console
    Χρησιμοποιώντας μία λύση software deployment solution όπως ο System Center Configuration Manager 2007
    Χειροκίνητη (Manually) εγκατάσταση του DPM agent
    Κάθε μία από τις παραπάνω μεθόδους έχει τα πλεονεκτήματα και τα μειονεκτήματά της. Χρησιμοποιώντας την DPM 2010
    console είναι η πιο εύκολη μέθοδος. Η όλη διαδικασία γίνεται διαμέσου ενός απλού wizard και το μόνον το οποίο απατείται να γνωρίζουμε είναι το όνομα της μηχανής και το αντίστοιχο user name και password του χρήστη ο οποίος έχει τοπικά administrative δικαιώματα σε αυτήν. Το μειονέκτημα στην συγκεκριμένη περίπτωση είναι ότι πρέπει να έχουμε απενεργοποιημένο το firewall πριν από την εγκατάσταση του client. Αμέσως μετά την εγκατάσταση μπορούμε να επανενεργοποιήσουμε το firewall, ενεργοποιώντας ταυτοχρονα την εξαίρεση του DPM agent από τα firewall options.

    Εάν έχουμε ήδη εγκατεστημένο τον System Center Configuration Manager 2007, τότε είναι δυνατόν να χρησιμοποιήσουμε τον SCCM για να εγκαταστήσουμε τον DPM
    agent. Στην μηχανή στην οποία θα λάβει χώρα η εγκατάσταση θα πρέπει να υπάρχει εγκατεστημένος και σε λειτουργία ο SCCM agent και ο DPM
    agent θα πρέπει να έχει δημιουργηθεί/υλοποιηθεί ως software distribution package. Αμέσως μετά την δημιουργία του πακέτου, μπορούμε να δημιουργήσουμε μια συλλογή (collection) και εν συνεχεία να κάνουμε target αυτήν την συλλογή με το advertisement του DPM software package. Επίσης θέλουμε αυτό το πακέτο να είναι mandatory έτσι ώστε να μην απαιτείται ο χρήστης να είναι logged on. Το πλεονέκτημα αυτής της μεθόδου είναι ότι το Windows Firewall
    δεν αποτελεί πρόβλημα. Το μειονέκτημα όμως της συγκεκριμένης μεθόδου είναι ο όγκος της εργασίας ο οποίος απαιτείται για να εγκατασταθεί ο agent.

    Εάν δεν έχουμε εγκατεστημένο τον SCCM και αποτελεί μείζον θέμα ασφάλειας η απενεργοποίηση του firewall στην συγκεκριμένη μηχανή, τότε η τελευταία μέθοδος της χειροκίνητης εγκατάστασης του DPM agent στην συγκεκριμένη μηχανή είναι ο ενδεδειγμένος τρόπος και αμέσως μετά την εγκατάσταση επισυνάπτουμε (attach) τον agent στην DPM console έτσι ώστε να καθοριστεί το mapping γι' αυτήν την μηχανή.

    Η παρακάτω διαδικασία παρουσάζει τον τρόπο με τον οποίο γίνεται η εγκατάσταση του DPM agent χρησιμοποιώντας την DPM console. Στο σημείο αυτό υπάρχει μια παραδοχή σύμφωνα με την οποία το firewall έχει ήδη απενεργοποιηθεί έτσι ώστε να είναι δυνατή η εγκατάσταση του agent.

    Μέσα από την DPM 2010 Administrator Console, κάνουμε κλικ στο Management Tab, και εν συνεχεία κάνουμε κλικ στο Agents tab

    Εικόνα 2


    Κάνουμε κλικ στο Install option στην δεξιά πλευρά του nd actions bar για να ξεκινήσει ο Protection Agent Installation Wizard
    Στην σελίδα Select Agent Deployment Method, επιλέγουμε το Install Agents option, και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 3


    Στην σελίδα Select Computers, επιλέγουμε τον Hyper-V host στον οποίο επιθυμούμε να γίνει η εγκατάσταση του agent και κάνουμε κλικ στο Add button. Εφόσον ο Hyper-V server έχει προστεθεί στο Selected Computers list, τότε κάνουμε κλικ στο Next

    Εικόνα 4


    Στην σελίδα Enter Credentials page, συμπληρώνουμε τα domain credentials τα οποία έχουν τοπικά administrative δικαιώματα στις μηχανές στις οποίες επιθυμούμε να εγκαταστήσουμε τον , και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 5


    Στην σελίδα  Choose Restart Method, επιλέγουμε Yes για να πραγματοποιηθεί restart στις μηχανές στις οποίες ο DPM agent έχει εγκατασταθεί (Αμέσως μετά την ολοκλήρωση της εγκατάστασης του DPM Agent), και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 6


    Στην σελίδα Summary, κάνουμε κλικ στο Install για να ξεκινήσει η διαδικασία της εγκατάστασης του agent.

    Εικόνα 7


    Στην σελίδα Installation, θα παρακολουθήσουμε το status της διαδικασίας της εγκατάστασης. Αμέσως μετά την επιτυχή ολοκλήρωση της εγκατάστασης κάνουμε κλικ στο Close.

    Εικόνα 8


    Στο Agents tab στην DPM 2010 console, θα πρέπει τώρα να βλέπουμε την ένδειξη ότι ο agent είναι εγκατεστημένος και το Status να εμφανίζεται ως OK. Εάν παρόλα αυτά το  status δεν εμφανίζεται ως Ok, τότε κάνουμε highlight το Hyper-V server entry και χρησιμοποιούμε το Refresh Information action στο δεξιο panel για να ανανεώσουμε την πληροφορία.


    Εικόνα 9


    Τώρα πηγαίνουμε στον Hyper-V server και επιβεβαιώνουμε ότι τα Windows Firewall exceptions έχουν ενεργοποιηθεί για τον DPM agent έτσι ώστε αυτός να επικοινωνεί με τον DPM server. Θα πρέπει να βλέπουμε δύο εξαιρέσεις :
    - DPMRA
    - DPMRA_DCOM_135

    Στο σημείο αυτό μπορούμε να επαναφέρουμε το firewall ξανά σε κατάσταση on.

    Δημιουργία Protection Group για τον Hyper-V Server


    Τώρα που έχουμε πλέον εγκατεστημένο τον DPM 2010 στον Hyper-V server,
    μπορούμε να δημιουργήσουμε ένα protection group και εν συνεχεία να προσθέσουμε τον Hyper-V σε αυτό το group.
    Αυτή η διαδικασία θα ενεργοποιήσει το backup και το restoration του Hyper-V server και των virtual machines που τρέχουν σε αυτόν. Σε αυτό το άρθρο δεν καλύψουμε την περίπτωση χρήσης των tape libraries, αλλά σημειώστε ότι εάν πρόκειται να χρησιμοποιήσετε ένα tape library θα πρέπει να το προσθέσετε στο configuration τώρα.

    Για να δημιουργήσουμε ένα protection group ακολουθούμε τα παρακάτω βήματα :

    Στο DPM 2010 Administrator console, κάνουμε κλικ στο Protection Tab.
    Εν συνεχεία κάνουμε κλικ στο Create Protection Group action στο δεξιό pane για να ξεκινήσει η διαδικασία, με την εκκίνηση του New protection Group wizard,
    και κάνουμε κλικ στο Next


    Εικόνα 10


    Όταν δημιουργούμε ένα protection group, μπορούμε να επιλέξουμε να προστατεύσουμε servers ή clients. Προστατεύοντας servers απαιτεί ο agent να έχει προεγκατασταθεί στον server έτσι ώστε να είναι δυνατή η επιλογή του protection information βάση του ρόλου του συγκεκριμένου server. Στην σελίδα Select Protection Group Type, επιλέγουμε το protect Servers και κάνουμε κλικ στο Next


    Εικόνα 11


    Στην σελίδα Select Group Members, επιλέγουμε τον Hyper-V server, αναπτύσουμε (expand) την πληροφορία κάτω από αυτόν, και επιλέγουμε τι πρόκειται να προστατεύσουμε. Όπως μπορείτε να δείτε και στην παρακάτω εικόνα, έχουμε την δυνατότητα να ενεργοποιήσουμε τα Share protection, Volume protection, Hyper-V protection, και System Protection. Επιλέγουμε το Hyper-V protection και κάνουμε κλικ στο Next. Επιλέγοντας το Hyper-V
    protection, αυτομάτως προστατεύονται και όλες οι virtual machines οι οποίες είναι εγγεγραμμένες στον Hyper-V server καθώς και το Hyper-V store.


    Εικόνα 12


    Στην σελίδα Select Data Protection Method, εισάγουμε ένα όνομα για το Protection Group, και εν συνεχεία στο Select the protection method επιλέγουμε short term using Disk, και αμέσως μετά κάνουμε κλικ στο Next


    Εικόνα 13


    Στην σελίδα Specify Short Term Goals, ορίζουμε το retention range (με άλλα λόγια το χρονικό διάστημα για το οποίο επιθυμούμε η συγκεκριμένη προστασία να διατηρείται), και εν συνεχεία κάνουμε κλικ στο Next. Στην συγκεκριμένη περίπτωση θα διατηρήσουμε το default application recovery point setting πραγματοποιώντας ένα express full backup κάθε μέρα.

    Εικόνα 14


    Στην σελίδα Review Disk Allocation, αποδεχόμαστε τα defaults και κάνουμε κλικ στο Next

    Εικόνα 15


    Στην σελίδα Choose Replica Creation Method, αφήνουμε το default setting χρησιμοποιώντας το τοπικό δίκτυο για την μεταφορά των replica data, αφότου έχουμε επιβεβαιώσει ότι είναι επιλεγμένο το Now
    έτσι ώστε η replica να γίνει captured αμέσως, και εν συνεχεία κάνουμε κλικ στο Next


    Εικόνα 16


    Στην σελίδα Consistency Check Options, ενεργοποιούμε την επιλογή Run a consistency check if the replica becomes inconsistent, και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 17


    Στην σελίδα Summary, επιβεβαιώνουμε όλες τις επιλογές τις οποίες έχουμε κάνει και εν συνεχεία κάνουμε κλικ στο Create Group.

    Εικόνα 18


    Στην σελίδα Status θα εμφανιστεί το protection group process.Το replica space θα πρέπει να δημιουργηθεί σε ένα από τα διαθέσιμα storage pool και αμέσως μετά το protection group θα δημιουργηθεί. Κάνουμε κλικ στο Close αμέσως μετά την επιτυχημένη δημιουργία.

    Εικόνα 19


    Ο wizard θα κλείσει και στο Protection tab θα εμφανιστεί το καινούριο protection group καθώς και το status του συγκεκριμένου protection group. Θα παρακολουθήσετε ότι η διαδικασία δημιουργίας της replica είναι σε κατάσταση επεξεργασίας. Αφότου ολοκληρωθεί η δημιουργία της replica, το protection status θα αλλάξει σε OK. Αυτό σημαίνει ότι η replica είναι έτοιμη να δεχτεί τα πραγματικά δεδομένα (actual recovery point transfer) από την πηγή. Μέχρι τα δεδομένα (recovery point) να μεταφερθούν στην replica, η μηχανή δεν είναι προστατευμένη. Η default επιλογή, είναι ότι η μεταφορά δεδομένων να λαμβάνει χώρα στις 18:00 η ώρα κάθε μέρα.


    Εικόνα 20


    Αμέσως μετά την μεολοκλήρωση της μεταφοράς του αρχικού (initial) recovery point, τότε η μηχανή είναι προστατευμένη και θα συνεχίσει να είναι προστετευμένη βάση του προκαθορισμένου χρονοδιαγράμματος.
     

    Συμπέρασμα


    Σε αυτό το άρθρο παρουσιάσαμε τα προαπαιτούμενα για την δημιουργία ενός protection group στον DPM 2010, την δημιουργία ενός protection group και τέλος την επαλήθευση ότι η replica έχει ήδη δημιουργηθεί σε συνδυασμό με το ότι το recovery point έχει ήδη μεταφερθεί στον DPM 2010 server. Στην διαδικασία αυτή εμπεριέχονται η χρήση του Protection Group Creation
    wizard, καθώς επίσης και τα options για την προστασία ενός Hyper-V server,
    ρυθμίζοντας το short term recovery, και καθορίζοντας το χρονοδιάγραμμα για την δημιουργία του recovery point. Στο επόμενο άρθρο θα ασχοληθούμε με το recovery ενός Hyper-V server και συγκεκριμένων (individual) virtual machines.
  12. Jordan_Tsafaridis
    Όταν είναι απαραίτητο να προχωρήσουμε στην απεγκατάσταση ή στην επανεγκατάσταση (remove or reinstall) ενός Exchange Server 2010 server role τότε είναι πολύ πιθανόν να αντιμετωπίσουμε τα παρακάτω λάθος.




    The following error was generated when “$error.Clear();
    uninstall-MsiPackage -PackagePath ($RoleInstallPath +
    “Mailbox\MSFTE.MSI”) -LogFile ($RoleSetupLoggingPath +
    “\InstallSearch.msilog”)” was run: “Couldn’t open package ‘C:\Program
    Files\Microsoft\Exchange Server\V14\Mailbox\MSFTE.MSI’. Another version
    of this product is already installed. Installation of this version
    cannot continue. To configure or remove the existing version of this
    product, use Add/Remove Programs on the Control Panel. Error code is
    1638.”.

    Couldn’t open package ‘C:\Program Files\Microsoft\Exchange
    Server\V14\Mailbox\MSFTE.MSI’. Another version of this product is
    already installed. Installation of this version cannot continue. To
    configure or remove the existing version of this product, use Add/Remove
    Programs on the Control Panel. Error code is 1638.

    Another version of this product is already installed. Installation of
    this version cannot continue. To configure or remove the existing
    version of this product, use Add/Remove Programs on the Control Panel

    Το λάθος αυτό μπορεί να οφείλεται σε μια σειρά από διαφορετικούς λόγους, και συνεπώς για την επίλυσή του μπορεί να υποχρεωθούμε να δοκιμάσουμε περισσότερες της μιας λύσεις.

    Η πιο γρήγορη λύση είναι να δοκιμάσουμε να επισκευάσουμε την Microsoft Full Text Indexing Engine for Exchange.  Στο Control Panel -> Uninstall a Program επιλέγουμε-χρωματίζουμε το indexing engine entry και εν συνεχεία κάνουμε κλικ στο Repair button.



    Εφόσον ολοκληρωθεί πλήρως η επισκευή τότε αμέσως μετά δοκιμάζουμε να εγκαταστήσουμε ή να απεγκαταστήσουμε τον συγκεκριμένο Exchange server role ξανά.

    Εάν το πρόβλημα συνεχίζει να υφίσταται τότε προχωρούμε σε επανεγκατάσταση του πιο τελευταίου/πρόσφατου Update
    Rollup το οποίο είχε εγκατασταθεί στον συγκεκριμένο Exchange 2010 server.  Για να διαπιστώσουμε πιο είναι αυτό update επιλέγουμε Control Panel -> Uninstall a Program.  Εν συνεχεία κάνουμε κλικ στο View Installed Updates στο αριστερό action pane.



    Σημειώστε εδώ ποιο είναι το συγκεκριμένο Update Rollup (ή το ποιο πρόσφατο εφόσον υπάρχουν περισσότερα του ενός) το οποίο είναι εγκατεστημένο στον Exchange server.




    Κάνουμε Download του συγκεκριμένου Update Rollup και το εφαρμόζουμε εκ νέου στον server, και αμέσως μετά κάνουμε restart στον Exchange server.  Εν συνεχεία προσπαθούμε εκ νέου κάνουμε απεγκατάσταση ή επανεγκατάσταση  (remove or reinstall) του Exchange
    Server 2010 role. Σε μερικές περιπτώσεις έχει διαπιστωθεί ότι η εφαρμογή για δεύτερη φορά του Update Rollup είναι απολύτως απαραίτητη για την διόρθωση του λάθους.

    Εάν και πάλι ο Exchange server role δεν καθίσταται δυνατόν να απεγκατασταθεί τότε τότε κάνουμε απεγκατάσταση (Uninstall) του Update Rollup.

    Όταν τελικά το πρόβλημα επιλυθεί τότε ο Exchange server θα περάσει με επιτυχία τα readiness checks και έτσι θα μπορέσουμε να προχωρήσουμε στην απεγκατάσταση ή την επανεγκατάσταση των Exchange server roles.


  13. Jordan_Tsafaridis
    Σε αυτόν τον οδηγό των 46 σελίδων, γίνεται μια εισαγωγή στο λειτουργικό σύστημα των Windows 7 και στο τι καινούριο έχει να προσφέρει στον τελικό χρήστη. Επίσης αυτός ο οδηγός αναφέρεται σε θέματα τα οποία σχετίζονται με software
    compatibility. Επιπροσθέτως, μας παρέχει λεπτομερείς πληροφορίες για την καινούρια taskbar, πως να χρησιμοποιούμε και να παραμετροποιούμε το Windows Aero, τι ακριβώς είναι τελικά τα Windows 7 Libraries, τι λογισμικό περιλαμβάνεται στα Windows 7, και τέλος πόσο εύκολη είναι η ρύθμιση του networking στα
    Windows 7 μαζί με ορισμένα άλλα χαρακτηριστικά.



    Κάνετε κλικ εδώ για να κατεβάσετε τον οδηγό “The Windows 7 Guide: From newbies to Pros”
  14. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας ο σκοπός του συγκεκριμένου άρθρου είναι να σας βοηθήσει με τέτοιο τρόπο έτσι ώστε να έχετε πρόσβαση από έναν και μόνο σημείο χωρίς να χάνετε το χρόνο σας ψάχνοντας στα Microsoft support links για να κατεβάσετε όλα τα απαιτούμενα hot fixes και updates για να εγκαταστήσετε τον Exchange 2010 SP1.
     
     
     
    Συνεπώς κατά την λογική μου κάνω download όλα τα updates και τα διαχωρίζω σε 3 διαφορετικά
    ZIP files. Το αρχείο 2008-R1.zip για τα Server 2008 R1 hot fixes. Το αρχείο 2008-R2.zip για τα Server 2008 R2 hot fixes. Τέλος το αρχείο Shared.zip για όλα εκείνα τα updates τα οποία είναι κοινα και για τις λειτουργικές πλατφόρμες. Τα αποθηκελυω εν συνεχεία για ευκολία σε ένα USB thumb drive.
     
     
     
    Contents of Shared:
     
    FilterPack64bit.exe
     
    UcmaRedist.msp (August 2010 - 3.5.6907.210)
     
     
     
    Contents of 2008-R1:
     
    KB 973136 - request
     
    KB 977592 - request
     
    KB 977624-v2 - request
     
    KB 979099 - request
     
    KB 979744 - request
     
    KB 979917 - request
     
    KB 982867-v2 - request
     
     
     
    Contents of 2008-R2:
     
    KB 977020-v2 - request
     
    KB 977357 - request
     
    KB 979099 - request
     
    KB 979744 - request
     
    KB 979917 - request
     
    KB 981314 - request
     
    KB 982867-v2 - request
     
    KB 983440 - request
     
     
     
    Contents of W7:
     
    KB 977020-v2 - request
     
    KB 982867-v2 - request
     
     
     
    Τα μοναδικά updates στην παραπάνω λίστα τα οποία δεν αποτελούν αναστολείς της εγκατάστασης (deployment blocker)από τον εγκαταστάτη του
    Exchange 2010 SP1 είναι τα Server 2008 R2 WMI memory leak
    hot fixes - KB 977357 και 981314.
    Εφόσον παρακολουθείτε τους Exchange servers με το System Center Operations
    Manager ή με οτιδήποτε άλλο λογισμικό το οποίο συνεχώς καλεί την WMI Win32_Service class, αυτό το hot fix είναι απαραίτητο.
     
     
     
    Από καιρό σε καιρό η Microsoft ανανεώνει αυτά τα hot fixes. Όπως θα παρατηρήσετε μερικά από αυτά τα hot fixes βρίσκονται ήδη στην έκδοση 2.
     
     
     
    Τα επερχόμενα service packs των Windows και του .NET Framework θα αντικαταστήσουν την χρησιμότητα των συγκεκριμένων updates και έτσι δεν θα χρειάζονται πλέον
     
    Ελπίζω ότι το συγκεκριμένο άρθρο θα σας φανεί χρήσιμο.
     
     
  15. Jordan_Tsafaridis
    Όπως είναι γνωστό το Exchange 2010 SP1 είναι διαθέσιμο εδώ και ημέρες για το κοινό και μπορούμε να το κατεβάσουμε σε αυτό από εδώ.
     
     
     
    Υποθέτωντας ότι έχουμε ήδη εγκαταστήσει ή πρόκειται να εγκαταστήσουμε σε έναν server ο οποίος έχει ενεργούς όλους τους ρόλους του Exchange, τότε τα παρακάτω hot fixes είναι απαραίτητα πριν από την εγκατάσταση του Exchange 2010 Service Pack 1 σε λειτουργικό περιβάλλον Microsoft Windows Server R2:
     
     
    Απαραίτητες Αναβαθμίσεις για τον Windows Server 2008 R2:
     
     
     
    KB 977020 - .NET Framework 2.0 hotfix
     
    KB 979099 - AD RMS hotfix
     
    KB 979744 - .NET Framework 2.0 hotfix
     
    KB 979917 - ASP.NET 2.0 hotfix
     
    KB 2282949 - UCMA hotfix - August 2010 - 3.5.6907.210
     
    KB 982867 - .NET Framework 3.5 SP1 hotfix
     
    KB 983440 - ASP.NET 2.0 hotfix rollup
     
    Office 2010 Filter Pack
     
     
     
    Βεβαίως είναι πολλοί αυτοί οι οι οποίοι θα αναρωτηθούν γιατί αναφέρομαι σε αυτές τις αναβαθμίσεις. Ο λόγος είναι πολύ απλά ότι οι αναβαθμίσεις αυτές δεν αναπτύσσονται από το Exchange
    team, και συνεπώς δεν συμπεριλαμβάνται στα download binaries του Exchange 2010 Service Pack 1.
     
  16. Jordan_Tsafaridis
    Εισαγωγή
    Ο ISA Firewall ήταν διαθέσιμος στην αγορά πληροφορικής για ένα αρκετά μεγάλο χρονικό διάστημα. Αρκετοί ISA Firewall Administrators, τον χρησιμοποίησαν σε πλήρη παραγωγική χρήση ήδη από την beta phase του
    ISA 2000, όταν ήταν γνωστός με την κωδική ονομασία “Comet” πίσω στο έτος 2000. Για τα επόμενα δέκα έτη, χιλιάδες ISA firewall admins υιοθέτησαν και εργάστηκαν με τον ISA firewall και προχώρησαν στην επόμενη έκδοσή του. Μετά τον ISA 2000 παρουσιάστηκε ο ISA 2004 και δύο χρόνια αργότερα παρουσιάστηκε ο ISA 2006. Ο ISA 2004 αποτέλεσε μια ριζική ανανέωση σε σχέση με τον ISA 2000 firewall, γεγονός το οποίο καθιέρωσε τον ISA 2004 στην αγορά πληροφορικής αντάξιο όλων των enterprise network firewalls. Ο ISA 2006 αποτέλεσε θα μπορούσε να πει κανείς μια “R2” release, περιλαμβάνοντας κυρίως βελτιώσεις των web proxy components του firewall.

    Το 2010, η καινούρια έκδοση του ISA Firewall όχι μόνον περιλάμβανε σημαντικά - επαναστατικά νέα χαρακτηριστικά και δυνατότητες, αλλά συνάμα και την μετονομασία του πλέον σε TMG – the Threat Management Gateway 2010. Σύμφωνα δε την Microsoft όπως προκύπτει από τα στοιχεία πωλήσεων του συγκεκριμένου προϊόντος, εξαιρετικό ενδιαφέρον έχει το γεγονός ότι μετά την έναρξη κυκλοφορίας του TMG firewall, υπάρχουν πολλοί νέοι TMG firewall admins οι οποίοι στο παρελθόν ουδέποτε είχαν χρησιμοποιήσει τον ISA firewall. Οι περισσότεροι από αυτούς τους admins απαξιώνουν τα παλαιά
    “hardware” firewalls διότι πολύ απλά το κόστος συντήρησής του είναι εξαιρετικά υψηλό με αποτέλεσμα να μην λειτουργεί προς όφελος της επιχείρησης ιδιαίτερα δε σε συνθήκες οικονομικής κρίσης. Ακόμη περισσότερο ενδιαφέρον παρουσιάζει επίσης το γεγονός της μετακίνησης στον TMG Firewall, διότι λόγω της συσσωρευμένης εμπειρίας ετών την οποία έχουν αποκτήσει οι Firewall Admins σε σχέση με το παρελθόν, διαπιστώνουν ότι τα επονομαζόμενα hardware firewalls σε πολλές περιπτώσεις, είναι υποδεέστερα σε ασφάλεια σε σύγκριση με τον TMG firewall. Αυτό αποτελεί μια σημαντική εξέλιξη, η οποία υποδειλώνει την αλλαγή στη νοοτροπία της Microsoft, ενώ ταυτόχρονα είναι μια απόδειξη για την αποτελεσματικότητα του Microsoft’s
    Security Development Lifecycle, στοιχείο το οποίο άλλαξε εντελώς τον τρόπο με τον οποίο η Microsoft δημιούργησε το λογισμικό επικεντρώνοντας στην ασφάλεια σε κάθε φάση της ανάπτυξης
    του λογισμικού.

    Αν και υπάρχει σημαντικός όγκος αρθρογραφίας στο διαδίκτυο σχετικά με τον ISA, TMG Firewall, όπου παρουσιάζονται διεξοδικά περίπλοκες εγκατστάσεις, παρόλα αυτά γι' συτόν που ασχολείται συστηματικά με το συγκεκριμένο λογισμικό υπάρχει απαίτηση για αναλυτική παρουσίαση των βασικών χαρακτηριστικών από administrators οι οποίοι θέλουν να χρησιμοποιήσουν τον TMG Firewall.
     

    Είναι χαρακτηριστικό να αναφέρουμε ότι υπάρχει πρόβλημα όσον αφορά την αρθρογραφία σχετικά με το outbound access. Πάρα πολλοί νέοι TMG firewall admins έχουν εστιάσει την προσοχή τους στο
    inbound access control (π.χ., control access του Exchange και του
    SharePoint). Τώρα όμως θέλουν να αποκτήσουν τεχνογνωσία όσον αφορά το control access των outbound connections. Αυτό θα είναι και το θέμα του συγκεκριμένου άρθρου πάνω στα Access
    Rules.

    Κατανοώντας τα Access Rules

    Τα Access Rules χρησιμοποιούνται για τον έλεγχο του control outbound access σε ένα δίκτυο το οποίο προστατεύεται από τον TMG
    firewall. Όταν θέλουμε να επιτρέψουμε σε έναν Η/Υ πίσω από τον TMG firewall να έχει πρόσβαση σε ένα άλλο δίκτυο (συμπεριλαμβανομένου και του Internet), τότε είναι απαραίτητο να δημιουργήσουμε ένα Access Rule έτσι ώστε να επιτραπείο αυτή η σύνδεση. Εξ ορισμού, δεν υπάρχει κανένας
    Access Rules τα οποία επιτρέπουν συνδέσεις διαμέσου του firewall. Αυτή η εξ ορισμού κλειστή κατάσταση αποτελεί την βέλτιστη από πλευράς ασφάλειας ρύθμιση (configuration), αλλά ταυτόχρονα σημαίνει ότι εφόσον θέλουμε να επιτρέψουμε κίνηση (traffic) διαμέσου του TMG firewall, θα πρέπει να κατανοήσουμε πλήρως πως δουλεύουν τα Access
    Rules και πως τα δημιουργούμε.

    Δημιουργώντας έναν Outbound Access Rule
    Για να ξεκινήσουμε, θα δημιουργήσουμε έναν απλό outbound access rule, ο οποίος επιτρέπει σε όλους τους χρήστες να έχουν outbound access στο Internet χρησιμοποιώντας όλα τα πρωτόκολα επικοινωνίας. Στο επόμενο άρθρο θα παρουσιάσουμε με λεπτομέρεια τα
    Access Rules και θα παρουσιάσουμε ποιες είναι οι εξαρτήσεις (dependencies) των Access Rules και τον τρόπο με τον οποίο μπορούμε να τις διαχειριστούμε.

    Ας ξεκινήσουμε εκιννώντας την TMG firewall console. Εν συνεχεία κάνουμε κλικ στο Firewall Policy node στην αριστερή πλευρά της console, όπως παρουσιάζεται στην παρακάτω εικόνα 1.


    Εικόνα 1

    Αφού κάνουμε κλικ στο Firewall Policy, κάνουμε κλικ στο Tasks
    Tab στο δεξιό μέρος της console. Εδώ υπάρχει μια σειρά επιλογών (options), οι περισσότερες των οποίων σχετίζονται με την δημιουργία διαφόρων firewall rules. Στο συγκεκριμένο παράδειγμα, θέλουμε να δημιουργήσουμε ένα Access Rule το οποίο θα επιτρέπει το outbound
    access διαμέσου του TMG firewall. Για τον λόγο αυτό κάνουμε κλικ στο Create Access Rule link για να ξεκινήσει το Access Rule wizard, όπως αυτό παρουσιάζεται στην εικόνα 2 παρακάτω.


    Εικόνα 2

    Στην σελίδα Welcome to the New Access Rule Wizard, εισάγουμε ένα χαρακτηριστικό όνομα στο Access Rule name
    text box. Μιλώντας γενικά, θα πρέπει να χρησιμοποιούμε ένα σύστημα βάση του οποίου όλα τα Access Rules θα έχουν ονόματα τα οποία θα υποδηλώνουν τι κάνουν, έτσι ανά πάσα στιγμή να είμαστε σε θέση να γνωρίζουμε σε μια firewall policy ποιος είναι ο σκοπός του κάθε κανόνα. Σε αυτό το παράδειγμα, θα ονοματήσουμε τον κανόνα ως All Open 1.
    Σαφέστατα σε ένα παραγωγικό περιβάλλον, δεν θα θέλαμε να δημιουργήσουμε έναν κανόνα της μορφής αυτής διότι πολύ απλά ο κανόνας αυτός θα επιτρέψει σε όλους ανεξαιρέτως τους χρήστες και τους υπολογιστές να έχουν outbound
    access στο internet και είναι πολύ πιθανόν να μην αυτό το οποίο επιθυμούμε για ένα παραγωγικό περιβάλλον.


    Εικόνα 3

    Στην σελίδα Rule Action, μας παρέχεται η δυνατότητα ορίσουμε τον κανόνα ως Allow ή Deny
    rule. Σημειώστε ότι εξ ορισμού δημιουργούμε έναν Deny rule, στοιχείο το οποίο αποτελεί καλή ιδέα κάτω από το πρίσμα της ασφάλειας. Συνεπώς θα αλλάξουμε την κατάσταση από Deny σε Allow πριν κάνουμε κλικ στο Next έτσι ώστε να γίνει ο κανόνας μας ένας Allow rule.


    Εικόνα 4

    Στην σελίδα των Protocols, επιλέγουμε τα πρωτόκολα στα οποία ο κανόνας αυτός πόκειται να εφαρμοστεί. Στο This rule applies to drop down box, έχουμε τις παρακάτω τρεις επιλογές :

    All outbound traffic - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε ο κανόνας μας να έχει εφαρμογή σε όλα τα πρωτόκολα.
    Selected protocols - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε να επιλέξουμε συγκεκριμένα πρωτόκολα, στα οποία πρόκειται να εφαρμοστεί ο κανόνας μας. All outbound traffic except selected - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε επιτρέπουμε ή να μην επιτρέπουμε (to allow or deny) όλα τα πρωτόκολα εκτός από ένα υποσύνολο αυτών τα οποία επιλέγουμε στην συγκεκριμένη σελίδα.

    Εικόνα 5

    Εάν επιλέξουμε την δεύτερη ή την τρίτη επιλογή, τότε κάνουμε κλικ στο Add button για να επιλέξουμε τα πρωτόκολα στα οποία θέλουμε ο κανόνας αυτός να έχει εφαρμογή. Αφού κάνουμε κλικ στο Add button, θα μας έρθει στο προσκήνιο το πλαίσο διαλόγου Add Protocols. Όταν κάνουμε κλικ σε έναν φάκελο σε αυτό το πλαίσιο διαλόγου, ο φάκελος ανοίγει παρουσιάζοντας μια λίστα των πρωτοκόλων. Η ομάδα ανάπτυξης του TMG firewall για να διευκολύνει το έργο μας διαχώρισε τα πρωτόκολα σε νοηματικές ομάδες (meaningful groups) έτσι ώστε να είναι ευκολότερο για εμάς να βρίσκουμε το-α συγκεκριμένο-α πρωτόκολο-α που μας ενδιαφέρει. Κάνουμε διπλό κλικ στα πρωτόκολα στα οποία θέλουμε να επιτρέψουμε την πρόσβαση και αυτά θα εμφανιστούν στην σελίδα Protocols στο Protocols list.


    Εικόνα 6

    Υπάρχει μια ακόμη επιλογή στην οποία έχουμε πρόσβαση στην σελίδα αυτή, και εμφανίζεται εάν κάνουμε κλικ στο Source Ports button. Αυτό εμφανίζει στο προσκήνιο το Source Ports dialog box. Εδώ μας δίνεται η δυνατότητα ελέγχου των επιτρεπόμενων source ports οι οποίες αναφέρονται στις συνδέσεις του συγκεκριμένου κανόνα. Εξ ορισμού είναι επιλεγμένο το Allow traffic from any allowed source port , αλλά εάν θέλουμε να κάνουμε κλείδωμα (lock down) στα source ports, μπορούμε να επιλέξουμε το Limit access to traffic from this range of source ports και εν συνεχεία εισάγουμε τιμές (values) στα From και To text boxes για να υποδηλώσουμε αυτά τα source ports.


    Εικόνα 7

    Στην συγκεκριμένη χρονική στιγμη δεν θα επιλέξουμε καμία ειδικά specific source ports.  Θα επιλέξουμε την επιλογή All outbound traffic και εν συνεχεία κάνουμε κλικ στο Next.

    Η επόμενη σελίδα είναι η σελίδα Access Rule Sources. Εδώ μπορούμε να επιλέξουμε την τοποθεσία (location) στην οποία βρίσκονται οι υπολογιστές πίσω από τον TMG firewall στους οποίους θέλουμε αυτός ο κανόνας να εφαρμοστεί. Κάνουμε κλικ στο Add button και εν συνεχελια θα εμφανιστεί το Add Network Entities
    dialog box. Κάνουμε κλικ στον φάκελο ο οποίος περιέχει  το network element το οποίο υποδηλώνει την πηγαία τοποθεσία (source location) των υπολογιστών στους οποίους θέλουμε αυτός ο κανόνας να εφαρμοστεί. Στο παράδειγμα αυτό, θα ρυθμίσουμε τον κανόνα αυτό να έχει εφαρμογή σε όλους τους υπολογιστές οι οποίοι βρίσκονται στο εσωτερικό δίκτυο (Internal Network), κάνοντας κλικ στο φάκελο
    Networks και εν συνεχεία κάνουμε διπλό κλικ στο Internal Network.


    Εικόνα 8

    Αφού επιλέξουμε το source Network ως το εξ ορισμού Internal Network κάνοντας κλικ στο Next, θα εμφανιστεί η επόμενη σελίδα, η οποία είναι η Access Rule Destinations. Εδώ καθορίζουμε τον-ους προορισμό-ούς (destinations) στους οποίους θέλουμε οι υπολογιστές από την πηγαία τοποθεσία (source location), τους οποίους είχαμε επιλέξει προηγουμένως να έχουν πρόσβαση διαμέσου του συγκεκριμένου κανόνα. Η σελίδα Access Rule Destinations λειτουργεί όπως και η προηγούμενη σελίδα, όπου κάνουμε κλικ στο Add button και εν συνεχεία στο εμφανιζόμενο Add Network Entities
    dialog box, κάνουμε κλικ στον φάκελο και αμέσως μετά διπλό κλικ στο στοιχείο του δικτύου (network
    element) για το οποίο θέλουμε να επιτρέψουμε την πρόσβαση χρησιμοποιώντας αυτόν τον κανόνα. Στο παράδειγμά μας θα επιλέξουμε το εξ ορισμού επιλεγμένο External network.


    Εικόνα 9

    Η επόμενη σελίδα του wizard είναι η σελίδα User Sets. Σε αυτήν την σελίδα καθορίζουμε τους χρήστες στους οποίους πρόκειται να εφαρμόσουμε αυτόν τον κανόνα. Εξ ορισμού τα Access Rules εφαρμόζονται σε όλους τους χρήστες. Τώρα ο ορισμός “all users” μπορεί να μην αντιστοιχεί σε αυτό το οποίο επιθυμούμε, σε σχέση με αυτό το οποίο καθορίζει ο TMG firewall ως όλοι οι χρήστες (all users). Το λογικό είναι ότι αναφερόμαστε με τον όρο “all users”, ο οποίος θα εφαρμοστεί σε όλους τους λογαριασμούς των χρηστών στον οργανισμό / επιχείριση στον οποίο εργαζόμαστε. Δυστυχώς είναι ΛΑΘΟΣ!!! Ο όρος “All users”
    όσον αφορά τον TMG firewall’s αναφέρεται στους ανώνυμους χρήστες (anonymous users) – με άλλα λόγια είναι μη εξουσιοδοτημένοι χρήστες, και επακριβώς αναφερόμαστε στα unauthenticated connections. Εάν κάνουμε κλικ στο Add button, μπορούμε να επιλέξουμε διαφορετικούς χρήστες, όπως οι All Authenticated Users ή το System and Network Service.
    Μπορούμε επίσης να δημιουργήσουμε custom user sets βασισμένα σε λογαριασμούς Active Directory ή
    RADIUS αντίστοιχα. Θα αναφερθούμε σε αυτό στο επόμενο άρθρο. Στο παράδειγμα αυτό θα επιλέξουμε την επιλογή All Users και εν συνεχεία κάνουμε κλικ στο Next για να συνεχίσουμε στην επόμενη σελίδα.


    Εικόνα 10

    Η τελευταία σελίδα του wizard είναι η σελίδα Completing the New Access Rule Wizard. Εδώ κάνουμε επισκόπηση των ρυθμίσεών μας και κάνουμε κλικ στο Finish.


    Εικόνα 11

    Αμέσως μετά την δημιουργία του κανόνα, αυτός δεν εφαρμόζεται παρά μόνον αφότου κάνουμε κλικ στο Apply button στην κορυφή του μεσαίου pane της TMG firewall console. Έτσι θα κάνουμε κλικ αμέσως στο Apply button.


    Εικόνα 12

    Επιπρόσθετες Επιλογές

    Αφότου κάνουμε κλικ στο Apply, τότε ενφανίζεται το Configuration Change Description
    dialog box. Στο σημείο μας παρέχεται η δυνατότητα προσθήκης περιγραφής της αλλαγής η οποία έλαβε χώρα όσον αφορά το firewall policy με συνέπεια αυτή να εμφανιστεί στο change log. το
    change log είναι εξαιρετικά χρήσιμο ιδαιτέρως όταν πρόκειται να ανατρέξουμε σε παλαιότερες ενέργειες οι οποίες πραγματοποιήθηκαν από κάποιον άλλον administrator και άλλαξαν το firewall policy με αποτέλεσμα το σύστημα να μην λειτουργεί όπως θα θέλαμε.

    Σημεώστε επίσης ότι έχουμε την επιλογή του back up του firewall policy κάνοντας κλικ στο Export
    button σε αυτό το σημείο. Αυτή η διαδικασία μας επιτρέπει να έχουμε πάντοτε διαθέσιμο ένα αντίγραφο ασφαλείας των ρυθμίσεων (backup of the
    configuration), έτσι ώστε να μπορούμε εύκολα να επιστρέψουμε πίσω στο σημείο που ήταν το σύστημα πριν από τις αλλαγές. Επιπροσθέτως έχουμε την επιλογή να μην εμφανιστεί το prompt ξανά στο μέλλον, κάτι το οποίο δεν το συνιστώ, διότι πολύ απλά θα διαπιστώσετε την χρησιμότητα αυτού του dialog box συνεχώς στο μέλον. Έτσι λοιπό κάνουμε κλικ στο Apply.


    Εικόνα 13

    Το Saving Configuration Changes dialog box εμφανίζεται αμέσως και μας κοινοποιεί ότι τα firewall policy settings αποθηκεύτηκαν στο configuration
    storage. Σημειώστε εδώ ότι την παρατήρηση που εμφανίζεται και λέει ότι Existing client connections will be
    reevaluated according to the new configuration. Client connections not
    matching the newly enforced policy will be dropped. Αυτό αποτελεί ένα καινούριο χαρακτηριστικό του TMG firewall. Με το ISA firewall, κάθε καινούρια firewall policy εφαρμόζεταισε νέες συνδέσεις και σε ήδη υπάρχουσες. Αυτό το στοιχείο από μόνο του αποτελεί σημαντική βελτίωση και αποτελεί από μόνο του λόγο για τον οποίο θα πρέπει να προχωρήσουμε στην αναβάθμιση από τον ISA firewall στον TMG firewall.


    Εικόνα 14

    Ο καινούριος κανόνας πλέον εμφανίζεται στο firewall policy list, όπως αυτό παρουσιάζεται στην παρακάτω εικόνα. Η θέση του στην λίστα εξαρτάται από το σημείο στο οποίο κάναμε κλικ όταν ξεκινησαμε τον wizard. Παρόλα αυτά, όπως θα σας παρουσιάσω στο επόμενο άρθρο μπορούμε να μετακινησουμε έναν κανονα πάνω ή κάτω στην λίστα αλλάζοντάς του την θέση του.


    Εικόνα 15

    Συμπέρασμα
    Ολοκληρώνοντας, σε αυτό το άρθρο σκοπός μου ήταν η παρουσιάση των βασικών χαρακτηριστικών των Access Rules για έναν νέο firewall admin. Οι Access Rules χρησιμοποιούνται για να ελέγχουν το traffic moving το οποίο εξέρχεται (outbound) από ένα προστατευμένο δίκτυο από τον TMG σε κάποιο άλλο δίκτυο. Εξ ορισμού δεν υπάρχουν Access Rules και κανένα traffic δεν διακινείται διαμέσου του TMG firewall. Ένας An Access Rule πρέπει να δημιουργηθεί για να επιτρέψει το outbound traffic. Οι Access Rules μας επιτρέπουν τον έλεγχο του traffic, βασιζόμενοι σε μια σειρά παραγόντων, όπως οι source location, destination location, οι χρήστες (users), και τα πρωτόκολα τα οποία χρησιμοποιούνται. Οπωσδήποτε υπάρχουν και άλλες επιλογές οι οποίες θα παρουσιαστούν στο επόμενο άρθρο.
  17. Jordan_Tsafaridis
    Στο δεύτερο μέρος της σειράς άρθρων τα οποία αφορούν τον DPM 2010, θα ασχοληθούμε με την την εγκατάσταση, ρύθμιση και χρήση του DPM 2010 για να υλοποιήσουμε backup και restore σε virtual machines και Hyper-V servers.
    Εισαγωγή

    Όπως αναφέρθηκα και στο εισαγωγικό κείμενο, ο σκοπός του συγκεκριμένου άρθρου είναι η ρύθμιση των αποθηκευτικών μέσων - configuring storage and settings - στον DPM 2010 έτσι ώστε να είναι δυνατόν πραγματοποιήσουμε backup και restore σε Hyper-V servers και virtual machines. Το συγκεκριμένο άρθρο προϋποθέτει ότι έχουμε ολοκληρώσει την εγκατάσταση του DPM 2010 όπως αυτή περιγράφεται λεπτομερειακά στο πρώτο άρθρο της σειράς.
    Τώρα αυτό το οποίο χρειαζόμαστε είναι να ρυθμίσουμε τον DPM 2010 σε σχέση με τα διαθέσιμα αποθηκευτικά μέσα και εν συνεχεία να διαμορφώσουμε τις ρυθμίσεις του έστι ώστε να μπορούμε να κάνουμε backup και restore των Hyper-V servers οι οποίοι είναι εγκατεστημένοι στο περιβάλλον εργασίας μας.

    Απαιτήσεις σε αποθηκευτικά μέσα (Storage Requirements)


    Ο DPM απαιτεί τα αποθηκευτικά μέσα (storage) να είναι τοπικά συνεδεμένα (locally attached),  πριν αυτά χρησιμοποιηθούν από τον DPM σαν backup storage. Ο DPM μπορεί να χρησιμοποιήσει direct-attached storage
    (DAS), ή storage area network (SAN) devices, τα οποία συνδέονται με το υπολογιστικό σύστημα στο οποίο είναι εγκατεστημένος ο DPM διαμέσου
    iSCSI ή fibre channel connections. Ο DPM δεν μπορεί να χρησιμοποιήσει κάποιο storage το οποίο έχει αναγνωριστεί ως removable media όπως USB, IEEE 1394 (Firewire), ή άλλα μέσα όπως μια compact flash. Αυτό γίνεται άμεσα αντιληπτό διότι αποθηκευτικά μέσα αυτής της μορφής δεν βρίσκονται πάντοτε συνδεδεμένα στο υπολογιστικό σύστημα, όταν αυτό τα χρειάζεται, αλλά κυρίως γιατί δεν υποστηρίζουν το VSS.
    Οποιαδήποτε volumes τα οποία έχουν ρυθμιστεί ως DPM storage πρέπει να είναι dedicated στον
    DPM, χωρίς να χρειάζεται η συνολική χωρητικότητα του αποθηκευτικού μέσου να είναι σεσμευμένη (allocated) για χρήση από τον DPM.

    Storage Pools


    Ένα Storage pool αποτελείται από έναν ή περισσότερους δίσκους ρυθμισμένους σε μια ομάδα (set) τους οποίους ο DPM χρησιμοποιεί για να αποθηκεύσει replicas και recovery points. Πριν από την πραγματοποίηση του πρώτου backup με τον DPM, ένα storage pool πρέπει να δημιουργηθεί, στο οποίο προστίθενται ένας ή περισσότεροι δίσκοι. Μία replica είναι ένα πλήρες αντίγραφο (copy) του protected
    data source το οποίο βρίσκεται αποθηκευμένο (residing) στον DPM server. Μία replica δημιουργείται για κάθε
    protected data source το οποίο έχει οριστεί μέσα σε ένα protection group. Η δυνατότητα μετεγκατάστασης (Co-location) επιτρέπει πολλαπλές replicas από διαφορετικά protected data sources τα οποία είναι αποθηκευμένα (residing) στο ίδιο volume. Ένα protection group αποτελεί μια συλλογή από protected data
    sources τα οποία μοιράζονται μια κοινή ρύθμιση και ένα χρονοδιάγραμμα (common configuration and schedule) για την προστασία των δεδομένων.

    Όταν προσθέτουμε έναν δίσκο σε ένα storage pool, αυτός ο δίσκος δεν πρέπει να έχει κανένα
    partition. Ο DPM αναλαμβάνει πλήρως την διαχείριση του δίσκου,
    εμπεριέχοντας το format του δίσκου, διαγράφοντας τα οποιαδήποτε δεδομένα βρίσκονταν αποθηκευμένα σε αυτόν πριν αυτός προστεθεί στο συγκεκριμένο storage pool. Επίσης δεν είναι δυνατόν να χρησιμοποιήσουμε έναν system disk στον DPM server ως storage pool storage.

    Προσθέτοντας δίσκους στο Storage Pool


    Όπως τόνισα και προηγουμένως, οι όποιοι δίσκοι πρόκειται να χρησιμοποιηθούν από τον DPM ως storage των replicas και των recovery points, δεν πρέπει να χρησιμοποιούνται από τον DPM server.

    Χρησιμοποιήστε την παρακάτω διαδικασία για να επαληθεύσεται ότι οι δίσκοι έχουν ρυθμιστεί σωστά για να μπορούν να προστεθούν στο DPM storage pool.

    Προσθέστε έναν physical disk, iSCSI LUN ή SAN LUN στον DPM server
    Aνοίγουμε το Disk Management MMC (diskmgmt.msc)

    Figure
    1

    Βρίσκουμε τον δίσκο τον οποίο θέλουμε να προσθέσουμε στο Storage Pool μέσα από την λίστα των δίσκων ο οποίος είναι συνήθως στο τέλος της οθόνης (bottom of the screen). Ο δίσκος θα πρέπει να παρουσιάζεται ως offline.

    Figure
    2

    Κάνουμε δεξί κλικ στο disk button για τον συγκεκριμένο δίσκο και επιλέγουμε Online. Η διαδικασία αυτή μετατρέπει τον δίσκο σε κατάσταση online στον server σε μορφή raw disk, χωρίς να ειναι εγκαινιασμένος (not initialized) και χωρίς να έχουν καθοριστεί partitions.

    Figure
    3

    Σε αυτό το σημείο έχουμε έναν δίσκο ο οποίος είναι έτοιμος να προστεθεί στο συγκεκριμένο storage
    pool.


    Figure
    4

    Χρησιμοποιούμε την παρακάτω διαδικασία για να προσθέσουμε τον δίσκο στο DPM 2010 storage
    pool:

    Ανοίγουμε το DPM 2010 administrative console

    Figure
    5

    Κάνουμε κλικ στο Management button

    Figure
    6

    Εν συνεχεία κάνουμε κλικ στο Disks Tab

    Figure
    7

    Κάνουμε κλικ στο add option στο δεξιό (right) menu για να προσθέσουμε δίσκους στο storage pool.


    Figure
    8

    Θα παρατηρήσετε ότι ο δίσκος τον οποίο κάνατε online εμφανίζεται στην Available Disks list στα αριστερά της οθόνης. Κάνουμε κλικ στον δίσκο και τον επιλέγουμε, και αμέσως μετά κάνουμε κλικ στο Add για να προσθέσουμε τον δίσκο στην επιλεγμένη λίστα.


    Figure
    9

    Κάνουμε κλικ στο OK για να προσθέσουμε τον δίσκο στο storage pool

    Figure
    10

    Μας παρέχεται η δυνατότητα να προσθέσουμε πολλαπλούς δίσκους στο storage pool κατά την αρχική ρύθμιση (initial
    configuration), ή να προσθέσουμε δίσκους αργότερα ακολουθώντας την ίδια διαδικασία.

    Custom Volumes


    Δεδομένου του ότι το DPM storage pool αποτελεί την ενδεδειγμένη λύση για τις περισσότερες εφαρμογές, εντούτοις μερικές φορές θέλουμε να έχουμε καλύτερο έλεγχο όσον αφορά το storage το οποίο χρησιμοποιείται για ένα συγκεκριμένο protection
    group ή γιατί θέλουμε να ορίσουμε multiple tiers of storage για λόγους απόδοσης (performance
    requirements). Το Storage pool δεν έχει την δυνατότητα να δημιουργήσει multiple tiers of storage, αλλά υπάρχει ένας τρόπος να δημιουργήσουμε ένα custom volume το οποίο θα μπορεί να χρησιμοποιηθεί για replica ή ως recovery point storage.

    Ένα custom volume είναι ένα volume το οποίο δεν έχει γίνει assigned στο storage
    pool, αλλά παρόλα αυτά είναι διαθέσιμο στον DPM server.  Ένας δίσκος ή ένα LUN μπορούν να διασπαστούν σε πολλαπλά volumes. Κάθε ένα από αυτά τα volumes μπορεί να χρησιμοποιηθεί ως custom
    volume.

    Για να μπορέσουμε να χρησιμοποιήσουμε τα custom volumes θα πρέπει για ένα protection group data
    source, να προσθέσουμε δύο volumes στον DPM server. Το ένα volume θα χρησιμοποιηθεί για την αποθήκευση των replicas και το άλλο volume θα χρησιμοποιηθεί για την αποθήκευση των recovery
    points. Επιπροσθέτως θα πρέπει να έχουμε δύο custom volumes για κάθε data
    source τα οποία θέλουμε να προστατεύσουμε και εμπεριέχονται μέσα σε ένα protection group.

    Για παράδειγμα, εάν έχουμε επιλέξει να προστατεύσουμε το C: volume του DPM
    server και το system state, θα χρειαστούμε δύο custom volumes για να προστεύσουμε το C: και δύο επιπλέον custom volumes για να προστεύσουμε το system
    state.  Σημειώστε ότι είναι δυνατόν να προστετεύσουμε ένα ή περισσότερα μέλη (members) μέσα σε ένα protection group κάνοντας χρήση custom volumes ενώ ταυτόχρονα αφήνουμε τα εναπομείναντα data
    sources να προστατεύονται χρησιμοποιώντας το storage pool.

    Για να δημιουργήσουμε ένα custom volume, διαδικασία την οποία μπορείται να εκλάβεται ως εργασία (assignment), ακολουθούμε τα παρακάτω βήματα :

    Προσθέτουμε δίσκους/LUNs στον DPM server ο οποίος χρησιμοποιείται για την δημιουργία custom volumes
    Μετρέπουμε τους Δίσκους/LUNs σε κατάσταση online
    Δημιουργούμε simple volumes σε κάθε disk/LUN. Έχουμε επίσης την δυαντότητα να δημιουργήσουμε ένα single volume ανά disk/LUN ή μπορούμε να δημιουργήσουμε multiple volumes.
    Όταν προχωρούμε στην διαδικασία του simple volume wizard, δεν πρέπει να κάνουμε assign drive letters στα volumes, αλλά μπορούμε να κάνουμε format σε αυτά.

    Επίσης θα πρέπει να βεβαιωθούμε ότι έχουμε κάνει assign διακριτά names στα volumes έτσι ώστε να γνωρίζουμε εκ των προτέρων γιατί εργασία πρόκειται να χρησιμοποιηθούν.
    Αριθμομηχανή αποθηκευτικών χώρων (Storage Calculator)


    Η σχεδίαση και η σωστή πρόβλεψη για τις απαιτήσεις σε αποθηκευτικά μέσα (storage requirements), είναι ένα εξαιρετικά σημαντικό βήμα για την υλοποίηση ενός περιβάλλοντος εργασίας DPM 2010 server. Συνεπώς όχι μόνον θα πρέπει να καθορίσουμε εξ αρχής το σωστό tier of storage το οποίο θα απαιτήσει το κάθε data source, αλλά ταυτόχρονα θα πρέπει να σχεδιάσουμε και να καταγράψουμε το μέγεθος του storage pool και κάθε ένα ξεχωριστά τα οποιαδήποτε custom volumes θα χρειαστούν.

    Η Microsoft έχει δημιουργήσει πριν από εμάς για εμάς ένα storage calculator tool το οποίο μπορεί να μας βοηθήσει έτσι ώστε να ελαχιστοποιήσουμε τον χρόνο εργασίας και το stress της διαδικασίας του storage planning.  Το storage calculator είναι διαθέσιμο από την Microsoft χρησιμοποιώντας αυτό το link.

    Το storage calculator είναι ένα Excel spreadsheet το οποίο μας επιτρέπει να εισάγουμε πληροφορίες για τον DPM server, τους Hyper-V hosts, και τις
    virtual machines τις οποίες θέλουμε να προστατεύσουμε. Τα αποτελέσματα του
    calculator αποτελούν ένα storage model το οποίο μπορεί να χρησιμοποιηθεί ως την βάση για τον σχεδιασμό ενός καινούριου περιβάλλοντος DPM 2010 server.

    Συμπέρασμα


    Σε αυτό το άρθρο επικεντρωθήκαμε στην ρύθμιση των αποθηκευτικών μέσων (storage) στον DPM 2010. Η διαδικασία περιλαμβάνει την πρόσθεση disks/LUNs στον DPM server έστι ώστε αυτοί να χρησιμοποιηθούν σε ένα storage
    pool ή ως custom volumes, την δημιουργία ενός storage pool, και τέλος την δημιουργία custom
    volumes. Στο επόμενο άρθρο της σειράς DPM 2010 θα ασχοληθούμε με την δημιουργία protection groups για το backup και recovery των Hyper-V R2 servers.
     
  18. Jordan_Tsafaridis
    Εισαγωγή

    Ο Forefront
    Threat Management Gateway (TMG) 2010, είναι διαθέσιμος εδώ και περίπου έξι μήνες από την Microsoft. Παρόλα αυτά στα πλαίσια της διαδικασίας εξέλιξης και βελτιστοποίησης του συγκεκριμένου προϊόντος η Microsoft, παρουσιάσε πριν από λίγες ώρες την τελική έκδοση του Service Pack 1 του TMG 2010. Εκτός από τις συνηθισμένες διορθώσεις bugs, το συγκεκριμένο update περιλαμβάνει νέα χαρακτηριστικά και βελτιωμένη λειτουργικότητα. Τα νέα αυτά χαρακτηριστικά περιλαμβάνουν βελτιώσεις στο URL filtering, enhanced reporting, και integration με το Windows
    BranchCache. Σε αυτό το άρθρο θα παρουσιάσουμε αναλυτικά τα καινούρια αυτά χαρακτηριστικά.
     

    Βελτιώσεις στο URL Filtering


    Μια σειρά βελτιώσεων αναπτύχθηκαν για το URL filtering στο TMG 2010 SP1.
    Ορισμένες από αυτές είναι οι παρακάτω :

    User override for blocked categories – Με την έκδοση TMG RTM, σε μια κατηγορία URL επιτρέπετε ή δεν επιτρέπετε η πρόσβαση, χωρίς να παρέχεται η δυνατότητα στον χρήστη να συνεχίσει με δική του απόφαση στην συγκεκριμένη ιστοσελίδα στην οποία ο TMG δεν επιτρέπει την πρόσβαση. Το καινούριο χαρακτηριστικό override επιτρέπει στους διαχειριστές του συστήματος (Administrator), να προειδοποιούν αποτελεσματικά τους χρήστες σχετικά με την πρόθεσή τους να επισκεφθούν ορισμένες ιστοσελίδες, παρέχοντάς τους την δυνατότητα να συνεχίσουν εφόσον το επιλέξουν βάση κανόνα ασφαλείας σε επίπεδο χρήστη.Ένα τέτοιο παράδειγμα η απαγόρευση πρόσβασης σε Online
    Communities category, έτσι ώστε να μην είναι δυνατή η χρήση ιστοσελίδων όπως το FaceBook και το Twitter,εμφανίζοντας στους χρήστες μια σελίδα 'soft' block, βάση της οποίας ενημερώνονται ότι μπορούν να συνεχίσουν την πλοήγηση στην συγκεκριμένη ιστοσελίδα, αλλά η πρόσβασή τους βρίσκεται υπό παρακολούθηση και καταγράφεται. (Monitoring & Logging)
     

    Για να ρυθμίσουμε το blocked category override, δημιουργούμε έναν access rule ο οποίος δεν επιτρέπει την πρόσβαση σε μια συγκεκριμένη κατηγορία ιστότοπων (URL Category) όπως συνηθίζεται σε αυτές τις περιπτώσεις. Πριν από την εφαρμογή του συγκεκριμένου κανόνα (applying
    the configuration), κάνουμε δεξί - κλικ στον συγκεκριμένο κανόνα και επιλέγουμε το Properties.


    Figure 1

    Εν συνεχεία επιλέγουμε το Action tab, και αμέσως μετά επιλέγουμε το option Allow
    user override. Επιπροσθέτως έχουμε την δυνατότητα εφόσον το επιθυμούμε να ορίσουμε και την χρονική διάρκεια κατά την οποία θα επιτέπεται το override.


    Figure 2

    Συνεπώς όταν ένας χρήστης προσπαθεί να έχει πρόσβαση σε μια συγκεκριμένη ιστοσελίδα, στην οποία η πρόσβαση δεν επιτρέπεται λόγω του υφιστάμενου access
    rule, ο κανόνας είναι έτσι ρυθμισμένος ώστε επιτρέπει στον χρήστη το override. Έτσι όταν εμφανίζεται στην οθόνη του χρήστη το block page αυτή περιλαμβάνει και την δυνατότητα του Override Access Restriction.


    Figure 3

    Εφόσον ο χρήστης επιλέξει το override του block της συγκεκριμένης ιστοσελίδας για να συνεχίσει την πλοήγηση σ'αυτήν,
    ο TMG πολύ απλά κάνει bypass στον κανόνα rule και συνεχίζει την επεξεργασία. Αυτή η διαδικασία είναι ζωτικής σημασίας, διότι απλά σημαίνει ότι ο χρήστης θα πρέπει να έχει πρόσβαση διαμέσου κάποιου άλλου κανόνα στην πολιτική ασφαλείας (Policy Rule Order) για να έχει εξασφαλισμένη την πρόσβαση στην ιστοσελίδα την οποία επιθυμεί να επισκεφτεί. Στην αντίθετη περίπτωση η πρόσβαση δεν επιτέπεται.

    Enterprise category override – Αυτό το νέο χαρακτηριστικό επιτρέπει τα category overrides να ρυθμίζονται σε enterprise level. Στο παρελθόν έαν είχαμε πολλαπλούς (multiple) arrays, τα category overrides έπρεπε να ρυθμιστούν σε κάθε array ξεχωριστά. (individually)

    Για να ρυθμίσουμε τα enterprise-level category overrides, επιλέγουμε το Enterprise
    node στο console tree.


    Figure 4

    Εν συνεχεία στο Tasks pane, κάνουμε κλικ στο Configure URL Category
    Overrides link.


    Figure 5

    Τα Category overrides τα οποία καθορίζονται σε αυτό το σημείο έχουν ισχύ για όλα τα arrays τα οποία είναι μέλη του Enterprise.


    Figure 6

    Request information available for block page redirects – Για οργανισμούς οι οποίοι επιλέγουν να μην χρησιμοποιήσουν τα native TMG block pages, αλλά αντ' αυτών να κάνουν redirect τα denied requests σε κάποιον άλλον web server (Για να έχουν το πλεονέκτημα του scripting το οποίο δεν είναι διαθέσιμο στο
    TMG block page), επιπρόσθετη πληροφορία είναι πλέον διαθέσιμη στο query
    string η οποία επιτρέπει στους administrators να παρουσιάσουν ενδελεχή πληροφόρηση (detailed information) στα δικά τους (custom) block pages. Το redirect query string μπορεί πλέον να περιλαμβάνει πληροφορία σχετική με το original request, όπως το αιτούμενο URL, το
    category name, το category ID, καθώς και το user override option.

    Για να ρυθμίσουμε το redirect σε κάποιον άλλο web server όταν ένα αίτημα γίνεται μη επιτρεπτό - μη αποδεκτό από το
    URL filtering, κάνουμε διπλό κλικ στον access rule, εν συνεχεία επιλέγουμε το Action
    tab, και τέλος κάνουμε κλικ στο Advanced… button.


    Figure 7

    Επιλέγουμε την option του Redirect web client to the following URL:.
    Καθορίζουμε το destination URL με βάση το ακόλουθο format:

    http://<server_name>/default.aspx?OrigUrl=[DESTINATIONURL]&Category=[urlCATEGORYNAME]&CategoryId=[urlCATEGORYID]&ArrayGUID=[OVERRIDEGUID]


    Figure 8

    Τα πεδία (fields) τα οποία περιλαμβάνονται στο query string καθορίζονται (mapped) όπως παρακάτω :

    [DESTINATIONURL] = URL του μη επιτρεπόμενου αιτήματος (denied request).

    [urlCATEGORYNAME] = Όνομα του category του μη επιτρεπόμενου αιτήματος στο οποίο ανήκει.

    [urlCATEGORYID] = ID number του category του μη επιτρεπόμενου αιτήματος στο οποίο ανήκει.

    [OVERRIDEGUID] = Array GUID το οποίο χρησιμοποιείται για το blocked category
    override.

    Ενσωμάτωση (Integration) της υπηρεσίας Branch Cache


    Το TMG SP1 τώρα περιλαμβάνει και τηνυποστήριξη του integrated hosted-mode τουWindows
    BranchCache. Όταν ο TMG εγκαθίσταται σε λειτουργικό σύστημα Windows Server 2008 R2 Enterprise
    edition, τότε το BranchCache μπορεί να ρυθμιστεί και να διαχειρίζεται απευθείας από την TMG management console. Για να ρυθμίσουμε το BranchCache με τον TMG SP1, επιλέγουμε το Firewall Policy node στο console tree.


    Figure 9

    Στο Tasks pane, κάνουμε κλικ στο Configure BranchCache
    link.


    Figure 10

    Επιλέγουμε την option του Enable BranchCache (Hosted Cache Mode).


    Figure 11

    Εν συνεχεία επιλέγουμε το Authentication tab, και αμέσως μετά κάνουμε κλικ στο Select…
    buttonέτσι ώστε να επιλέξουμε το πιστοποιητικό (certificate) το οποίο θα παρουσιάσει ο TMG στους χρήστες (client
    computers) για ταυτοποίηση (authentication).


    Figure 12

    Επιπροσθέτως μας παρέχεται η δυνατότητα να επιλέξουμε το Storage tab και να καθορίσουμε μια εναλλακτική τοποθεσία (alternate location) για να αποθηκεύσουμε την cache οριοθετώντας το ποσοστό του partition το οποίο μπορεί να χρησιμοποιηθεί για cache.


    Figure 13

    Reporting Enhancements

    Ορισμένες ουσιώδεις αλλαγές έχουν πραγματοποιηθεί και στο reporting του TMG SP1. Η εμφάνιση (look-and-feel) των reports έχει αλλάξει ελαφρώς έτσι ώστε να δείχνει πιο μοντέρνο. Τώρα είναι διαθέσιμο ένα καινούριο user activity report το οποίο παρέχει λεπτομερή αναφορά όσον αφορά το individual user access, και τα υπόλοιπα reports επίσης περιλαμβάνουν επιπρόσθεστη πληροφορία - λεπτομέρεια σχετικά με τα user category overrides και την απόδοση του BranchCache. Για να δημιουργήσουμε ένα activity report, κάνουμε highlight το Logs
    & Reports node στο console tree.


    Figure 14

    Στο Tasks pane, κάνουμε κλικ στο Create User Activity Report
    Job link.


    Figure 15

    Ο New User Activity Report Job Wizard ξεκινά. Εισάγουμε ένα χαρακτηριστικό όνομα για το συγκεκριμένο report.


    Figure 16

    Επιλέγουμε την επιθυμητή χρονική περίοδο Report Period για το υπό κατασκευή report.


    Figure 17

    Εισάγουμε τα ονόματα και τις ΙΡ διευθύνσεις (name(s) and/or IP address(es)) του χρήστη ή των χρηστών για τον οποίο ή τους οποίους θα δημιουργήσουμε το report. Πολλαπλοί χρήστες ή ΙΡ διευθύνσεις (Multiple users or IP addresses) μπορούν να συμπεριληφθούν, διαχωριζόμενοι από semicolons. Εάν οι χρήστες είναι μέλη ενός domain, χρησιμοποιούμε το DOMAIN\USERNAME
    format όπως αυτό παρουσιάζεται παρακάτω.


    Figure 18

    Μόλις ολοκληρωθεί κάνουμε δεξί κλικ στο report και επιλέγουμε Generate and
    View Report.


    Figure 19


    Figure 20

    Βελτιώσεις στο Monitoring

    Η πληροφορία η οποία αφορά το BranchCache performanceπλέον εμφανίζεται με τον πλέον ενδεδειγμένο τρόπο στο dashboard του TMG management console.


    Figure 21

    Νέα BranchCache alert definitions περιλαμβάνονται επίσης.


    Figure 22

    Συμπέρασμα

    Το TMG Service Pack 1 όχι μόνον περιλαμβάνει αναβαθμίσεις (updates) οι οποίες διορθώνουν λογικά λάθη (bug fixes),αλλά συνάμα περιλαμβάνει και μια σειρά από νέα χαρακτηριστικά σε συνδυασμό με τον εμπλουτισμό με καινούριες δυνατότητες ήδη υπαρχόντων χαρακτηριστικών. Συγκεκριμάνα στο URL filtering, η δυνατότητα του override option επιτρέπει στους administrators
    να προειδοποιούν τους χρήστες ότι η επίσκεψη σε συγκεκριμένους ιστότοπους μπορεί μεν να επιτρέπεται, αλλά αυτό ταυτόχρονα δεν ενθαρρύνεται διότι θα βρίσκονται πάντοτε υπό στενό έλεγχο. Επίσης το enterprise-level category override θα διευκολύνει την διαχείριση πολλαπλών συστημάτων που περιλαμβάνουν πολλαπλά arrays, η δε προσθήκη του user activity reporting είναι ιδιαίτερα ευπρόσδεκτη.
    Το BranchCache integration θα απλοποιήσει τα branch office
    deployments εξαλείφοντας την ανάγκη για έναν αποκλειστικό (dedicated) BranchCache server.
    Ολοκληρώνοντας το SharePoint 2010 υποστηρίζεται πλήρως από τον TMG SP1.
  19. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας σκοπός του συγκεκριμένου άρθρου είναι να παρουσίασουμε τον τρόπο με τον οποίο μπορούμε να κάνουμε
    publish τις δικές μας external DNS services χρησιμοποιώντας τον TMG 2010. Φυσικά κάποιος εύλογα θα ρωτήσει για ποιό λόγο θα θέλαμε να το πραγματοποιήσουμε αυτό; Απλά ο λόγος είναι ένας και μόνος Α Σ Φ Α Λ Ε Ι Α.

    Εφαρμόζοντας αυτήν την τεχνική, διασφαλίζουμε ότι δικοί μας BIND servers βρίσκονται - κρατούνται ασφαλείς στο εσωτερικό δίκτυο, χρησιμοποιώντας κανόνες για secure web publishing για όλες τις Internet facing services, έχοντας το πλεονέκτημα το οποίο απορρέει από το DNS
    application filtering του TMG 2010, χαρακτηριστικό το οποίο επιτρέπει την επιπλέον θωράκιση από επιθέσεις των δικών μας name servers. Θεωρήστε την τεχνική της DMZ παλαιά και ξεπερασμένη, σε αντίθεση με το secure publishing το οποίο αποτελεί το νέο hotness.





    Η διαδικασία αυτή είναι πάρα πολύ εύκολη στην υλοποίηση της. Οι μόνες προϋποθέσεις που απαιτούνται είναι η ύπαρξη external ip address για τον TMG 2010, καθώς επίσης ότι το εξωτερικό Firewall (external firewall), είναι ρυθμισμένο να επιτρέπει το UDP 53 inbound από το Internet.

    Κάνουμε Log In στον TMG server, και εν συνεχεία τρέχουμε την Forefront TMG management
    console.

    Κάνουμε στο Right-click Firewall Policy, και επιλέγουμε New, Non-Web Server Protocol
    Publishing Rule…
     
     

    Καταχωρούμε ένα όνομα (Name) για τον κανόνα publishing rule external dns, και εν συνεχεία κάνουμε κλικ στο Next.

     

    Εισάγουμε την εσωτερική IP διεύθυνση (internal ip.addr) του δικού μας BIND server,και εν συνεχεία κάνουμε κλικ στο Next.


     

    Από την εμφανιζόμενη drop down list, επιλέγουμε το DNS Server protocol. Μπορούμε να κάνουμε κλικ στο Properties, μετά στο Parameters έτσι ώστε να είμαστε σίγουροι ότι αυτό επιτρέπει το TCP 53
    Inbound, και το UDP 53 στο Receive και Send. Θα πρέπει να επιτρέπουμε πρόσβαση μόνονσ το UDP 53
    από το Internet. Όπως γίνεται αντιληπτό αυτό είναι σωστό. Εν συνεχεία κάνουμε κλικ στο Next.
    Σκοπός μας είναι να επιτρέψουμε την πρόσβαση στην πόρτα TCP 53 εφόσον θα χρειαστούμε να κάνουμε τα οποιαδήποτε zone transfers πάνω από το Internet… Οι κανόνες του TMG υποθέτουν πως αυτή η διαδικασία θα χρειαστεί. Μπορούμε να καθορίσουμε ένα νέο φίλτρο για τον DNS, αλλά κατά την άποψή μου αυτό στην παρούσα φάση δεν είναι απαραίτητο, εάν ποτέ χρειαστούμε να εγκαταστήσουμε έναν επιπλέον DNS server ο οποίος κάνει transfer πάνω από το Internet, διαδικασία την οποία μπορούμε να ελέγξουμε από το perimeter firewall χωρίς να χρειαστούμε να κάνουμε την οποιαδήποτε αλλαγή στον TMG.


    Επιλέγουμε την external address η οποία πρόκειται να χρησιμοποιηθεί για το DNS
    publishing.
     
     

    Κάνουμε κλικ στο Next, και αμέσως μετά κάνουμε κλικ στο Finish, εν συνεχεία κάνουμε access στα properties του συγκεκριμένου κανόνα (publishing
    rule). Εκτός και αν ο δικός μας TMG server αποτελεί την default gateway, τότε το ρυθμίζουμε με τέτοιο τρόπο έτσι ώστε τα
    requests να φαίνονται ότι έρχονται από τον TMG server.

     

    Σκοπός μας είναι να βελτιστοποιήσουμε τα default DNS application filter settings*. Για να το πραγματοποιήσουμε αυτό, επιλέγουμε το Intrusion Prevention, εν συνεχεία επιλέγουμε το Behavioural Intrusion
    Detection, μετά κάνουμε κλικ στο Configure Detection Settings for Common Network
    Attacks, και αμέσως μετά κάνουμε κλικ στο DNS Attacks tab. Κάνουμε Check στο κουτάκι του "DNS zone
    transfer" με σκοπό την επιπλέον προστασία εναντίον κακόβουλων επιθέσεων. (Στα Αγγλικά : to further protect against bad guys trying to pull your
    entire zone)
     
    Εάν για τον οποιοδήποτε λόγο χρειαστούμε έναν ακόμη DNS server ο οποίος θα κάνει "pull zone transfers over the Internet",
    θα χρειαστεί να αποεπιλέξουμε αυτή την επιλογή.


    Από το top της συγκεκριμένης κονσόλας, κάνουμε κλικ στο Apply, εισάγουμε την αλλαγή στην περιγραφή του configuration, και αμέσως μετά κάνουμε κλικ στο Apply για να ολοκληρώσουμε.

     

    *Αναγνώριση των επιθέσεων DNS (Detection of DNS attacks)

    Η πληροφορία η οποία προέρχεται αυτούσια από το TechNet, μας δίνει την δυαντότητα να αντιληφθούμε από τι επιθέσεις προστατεύει ο TMG
    τους DNS servers. Για τον λόγο αυτό παραθέτω το κείμενο στην Αγγλική γλώσσα.


    The DNS Filter, which is installed with Forefront TMG, intercepts and
    analyzes all inbound DNS traffic destined for the Internal network and
    other protected networks. If DNS attack detection is enabled, you can
    specify that the DNS Filter will check for the following types of
    suspicious activity.

    DNS host name overflow. A DNS response for a host
    name exceeds a certain fixed limit (255 bytes). Applications that do not
    check the length of the host names may overflow internal buffers when
    copying this host name, allowing a remote attacker to execute arbitrary
    commands on a targeted computer. DNS length overflow. A DNS response for an IP
    address exceeds the specified length of 4 bytes. By crafting a DNS
    response with a longer value, some applications executing DNS lookups
    will overflow internal buffers, allowing a remote attacker to execute
    arbitrary commands on a targeted computer. Forefront TMG also checks
    that the value of RDLength does not exceed the size of the rest of the
    DNS response. DNS zone transfer. A client system uses a DNS
    client application to transfer zones from an internal DNS server.
    Όταν αναγνωρίζονται offending packets, τότε αυτά απορρίπτονται, και αυτομάτως δημιουργείται ένα event
    το οποίο μας ενημερώνει ότι υπάρχει ένα DNS Intrusion alert. Μπορούμε να ρυθμίσουμε έτσι ώστε τα alerts τα εγείρονται γι' αυτά τα events, να μας ενημερώνουν άμεσα ότι αναγνωρίστηκε μια επίθεση (Attack Detection). Αντιστοίχως όταν δημιουργείται ένα DNS Intrusion event πέντε φορές κατά την διάρκεια ενός δευτερολέπτου και αφορά DNS zone transfer, τότε εγείρεται ένα DNS Zone Transfer
    Intrusion alert. Από την αρχική ρύθμιση του TMG (By default), όταν εγείρονται applicable
    predefined alerts, δεν πρόκειται να εμφανιστούν ξανά μέχρι να γίνουν reset χειροκίνητα. Είναι στην διακριτική μας ευχέρεια να ρυθμίσουμε το συγκεκριμένο alert να μας αποστέλει ένα email, ή να ενεργοποιεί μια συγκεκριμένη ενέργεια εφόσον το απαιτούμαι, ή απλά μπορούμε να χρησιμοποιούμε το logging για να κρατούμε ένα ιστορικό για το δίκτυο μας.

    Για λόγους σύνδεσης με την προηγούμενη έκδοση του TMG-2010, η διαδικασία ρύθμισης του ISA 2006 είναι σχεδόν ταυτόσιμη, με μόνη διαφοροποίηση ότι το Intrusion Detection βρίσκεται κάτω από το Configuration, στο General
    section.
  20. Jordan_Tsafaridis
    ΣΕ
    ΔΙΑΓΩΝΙΣΜΟ ΠΟΥ ΕΓΙΝΕ ΕΔΕΙΞΑΝ ΟΤΙ ΔΕΝ ΠΡΟΣΤΑΤΕΥΟΥΝ ΟΣΟ ΥΠΟΣΧΟΝΤΑΙ

    Τα
    προγράμματα κατά των ιών δεν είναι και τόσο αποτελεσματικά
     

    ΔΗΜΟΣΙΕΥΘΗΚΕ: Σάββατο 15 Μαΐου 2010
    Σ΄ έναν διαγωνισμό που οργανώθηκε το περασμένο Σαββατοκύριακο στο Παρίσι, 15 προγράμματα κατά των ιών των ηλεκτρονικών υπολογιστών υποβλήθηκαν σε επτά
    επιθέσεις οργανωμένες από φοιτητές και ειδικούς σε θέματα ασφάλειας των Η/Υ.
    Κανένα λογισμικό δεν κατάφερε να εμποδίσει περισσότερες από δύο.
     
    Ο
    διαγωνισμός «ΡWΝ2ΚΙLL» έδειξε ότι πρέπει να αμφιβάλλουμε για την
    αποτελεσματικότητα των προγραμμάτων κατά των ηλεκτρονικών που διαφημίζουν οι
    κατασκευαστές τους. Κανένα από τα 15 αντιιικά προγράμματα που κυκλοφορούν στην
    αγορά δεν μπόρεσε να εμποδίσει περισσότερες από δύο στις επτά επιθέσεις που
    έγιναν σε υπολογιστές εφοδιασμένους με Windows 7. Επτά υποψήφιοι, οι
    περισσότεροι από τους οποίους ήταν φοιτητές της Πληροφορικής, διέθεταν
    συνηθισμένα ΡC στα οποία είχαν συνδεθεί 15 εικονικά ΡC, καθένα από τα οποία ήταν
    εφοδιασμένο μ΄ ένα διαφορετικό λογισμικό ασφαλείας από αυτά της αγοράς. Τα
    «κακόβουλα» προγράμματα, οι ιοί που δημιουργήθηκαν από τον κάθε υποψήφιο,
    αντιγράφηκαν σε κάθε εικονική συσκευή. Από τους επτά υποψηφίους, μόνον ένας είδε
    τον ιό του να μπλοκάρεται από όλα τα αντιιικά προγράμματα (τα πλήρη αποτελέσματα
    δημοσιεύονται στη διεύθυνση : http://www.esiea-recherche.eu/data/iawacs2010/pwn2kill/pwn2killdebrief.pdf ).
     
    Εκτός μάχης. Για τον Ερίκ Φιλιόλ,
    διευθυντή έρευνας της ΕSΙΕΑ (Ανώτερη Σχολή Πληροφορικής, Ηλεκτρονικής και
    Αυτοματισμού), «όλα τα προγράμματα κατά των ιών είναι εξίσου αναποτελεσματικά.
    Τα αποτελέσματα του διαγωνισμού αποδεικνύουν πως ο εντοπισμός της «υπογραφής»
    του ιού δεν είναι πλέον αρκετή. Το πιο ανησυχητικό είναι πως, σε μια κλίμακα από
    το 1 ώς το 10, το μέσο τεχνικό επίπεδο των επιθέσεων βρισκόταν περίπου στο 4. Αν
    οι επιθέσεις ήταν ακόμη πιο περίπλοκες, το αποτέλεσμα θα ήταν ακόμη πιο
    καταστροφικό. Και υπήρξε άλλη μια ανησυχητική διαπίστωση: μία από τις επιθέσεις
    βασιζόταν σ΄ έναν ιό των τριών γραμμών, ο οποίος εμφανίστηκε πριν από 10 χρόνια
    και υπάρχει στο ΥouΤube. Ομως έθεσε εκτός μάχης όλα τα αντιιικά προγράμματα!».
     
     
    Παρά τον πολύ αρνητικό αυτό απολογισμό, η εγκατάσταση προγράμματος κατά
    των ιών παραμένει αναγκαία.
     
     
     
  21. Jordan_Tsafaridis
    Εισαγωγή

    Όταν κάνουμε εγκατάσταση της τεχνολογίας Hyper-V στο data center στο οποίο εργαζόμαστε, ή δημιουργούμε εργαστηριακά περιβάλλοντα εργασίας, είναι απαραίτητο να έχουμε και μια λύση για την δημιουργία αντιγράφων ασφαλείας τόσο για τις virtual machines όσο και για τους Hyper-V servers. Για τον λόγο αυτό η Microsoft πρόσφατα έδωσε στην κυκλοφορία την τελευταία έκδοση του δικού της enterprise
    backup and disaster recovery λογισμικού το οποίο είναι ο Data Protection Manager 2010. Το συγκεκριμένο άρθρο αποτελεί το πρώτο μιας σειράς άρθρων η οποία σκοπό έχει να εξηγήσει το πως κάνουμε install, configure, και χρησιμοποιούμε τον DPM 2010 έτσι ώστε να πραγματοπούμε backup και restore σε virtual machines και Hyper-V servers.
    Απαιτήσεις για την Εγκατάσταση


    Πριν ξεκινήσουμε την εγκατάσταση του DPM 2010 θα πρέπει να είμαστε σίγουροι ότι ο server στον οποίο θα λάβει χώρα η εγκατάσταση θα πρέπει πληρεί ορισμένες προδιαγραφές. Στην συγκεκριμένη περίπτωση, η εγκατάσταση του DPM 2010 θα γίνει σε έναν server με λειτουργικό σύστημα Windows Server 2008 R2
    Standard ή Enterprise Edition (Η έκδοση Datacenter επίσης υποστηρίζεται).

    Απαιτήσεις Συστήματος (System Requirements)

    Για την εγκατάσταση του DPM 2010 απαιτούνται τα παρακάτω :

    64-bit version of Windows Server 2008 or 2008 R2
    4GB RAM (recommended)
    2.3 GHz quad core CPU
    System drive installation space of 3GB for installing1.  
    DPM installation files
    2.   Database files
    3.   SQL 2008

    PowerShell 2.0
    .Net Framework 3.5.1
    Single Instance Store (SIS)
    Windows Installer 4.5
    Οι ελάχιστες προδιαγραφές για τον server στον οποίο πρόκειται να εγκατασταθεί ο DPM 2010 είναι υπεραρκετές για την πλειοψηφία των εταιριών. Εν τούτοις ο DPM 2010 έχει υψηλές απαιτήσεις τόσο σε χωρητικότητα δίσκων όσο και σε disk I/O performance, όταν πρόκειται να εγκατασταθεί σε απαιτητικά περιβάλλοντα εργασίας.
     

    Ο DPM 2010 απαιτεί μια εγκατάσταση ενός dedicated SQL server για την αποθήκευση των πληροφοριών του backup. Η εγκατάσταση της SQL μπορεί να βρίσκεται σε κάποιο άλλο σύστημα ή τοπικά στον ίδιο server στον οποίο θα εγκατασταθεί και ο DPM 2010, η δε έκδοση της SQL θα πρέπει να είναι SQL 2008
    (Standard ή Enterprise). Είναι χαρακτηριστικό να αναφέρουμε ότι στις περισσότερες εταιρίες υπάρχει εγκατεστημένη μια βάση SQL η οποία συνήθως βρίσκεται σε dedicated servers. Για να καλύψουμε όλες τις περιπτώσεις στο συγκεκριμένο άρθρο θα αναφερθούμε στην εγκατάσταση του DPM 2010 τόσο με remote όσο και με local instance του SQL 2008. Συστήνεται επίσης η χρήση της SQL 2008 64-bit η οποία είναι εγκατεστημένη σε ένα remote
    instance όταν πρόκειται για ένα βεβαρημένο περιβάλλον εργασίας για τον DPM 210 server.

    Απαιτήσεις για Active Directory


    Ο DPM 2010 απαιτεί έναν περιβάλλον Windows 2008 Active Directory για την εγκατάστασή του. Ο server στον οποίο ο DPM πρόκειται να εγκατασταθεί θα πρέπει να είναι member ενός Active Directory domain, καθώς επίσης και το account το οποίο θα χρησιμοποιήσουμε για να εγκαταστήσουμε τον
    DPM θα πρέπει να είναι ένα domain user account το οποίο έχει local administrator
    privileges. Θα πρέπει να τονίσουμε ότι μετά την εγκατάσταση θα πρεπει να είμαστε ένας χρήστης domain με local
    administrative access για να μπορούμε να τρέξουμε την DPM 2010 console.

    Έτσι λοιπόν είναι δυνατό το backup και το restore σε servers οι οποίοι βρίσκονται στο ίδιο
    forest ή σε ομάδα από forests. Στην περίπτωση του backup ή restore across forests θα πρέπει να έχουμε forest level trusts, και το forest level θα πρέπει να είναι σε Windows 2008
    forest mode.

    Περιορισμοί στην Εγκατάσταση


    Ο DPM έχει επίσης και ορισμένους περιορισμούς για την εγκατάστασή τουσε συνδυασμό με τις απαιτήσεις για την εγκατάσταση. Ο DPM 2010 έχει σχεδιαστεί να τρέχει σε έναν dedicated
    server. Επίσης ο DPM 2010 δεν μπορεί να εγκατασταθεί στους παρακάτω τύπους servers :

    Domain Controller
    Cluster Services cannot be installed
    System Center Operations Manager
    Exchange Server
    Εγκατάσταση Remote Instance του SQL 2008


    Εάν θέλουμε να χρησιμοποιήσουμε ένα remote instance του SQL 2008, τότε αυτό θα πρέπει να ικανοποιεί τις παρακάτω απαιτήσεις κατά την εγκατάσταση.

    Νέα εγκατάσταση του SQL 2008
    Απαιτούμενα χαρακτηριστικά1.   Database services (and all
    subsections)
    2.   Reporting Services
    3.   Management tools –
    complete
    4.   SQL Client Connectivity SDK

    Windows Authentication
    Εγκατάσταση Single Instance Store


    Ο DPM 2010 απαιτεί την υπηρεσία Single Instance Store (SIS) service έτσι ώστε να περιορίσει δραστικά το storage overhead όταν αποθηκεύονται duplicate files. Είναι δε προτιμότερο να επανεγκαταστήσουμε την υπηρεσία Single Instance Store πριν από την εγκατάσταση του DPM
    2010. Εάν δεν εγκαταστήσουμε εκ των προτέρων την υπηρεσία SIS τότε ο DPM θα την εγκαταστήσει για μας, κατά το βήμα της εγκατάστασης με την χαρακτηριστική ονομασία prerequisite installation step, αλλά θα απαιτήσει μετά την εγκατάσταση της συγκεκριμένης υπηρεσίας την επανεκκίνηση του συτήματος, με αποτέλεσμα να είμαστε υποχρεωμένοι να ξεκινήσουμε την εγκατάσταση του DPM από την αρχή.
     

    Για να εγκαταστήσουμε την υπηρεσία SIS, χρησιμοποιούμε την παρακάτω command line:

    OCSetup.exe SIS-Limited /quiet

    Η παραπάνω εντολή θα εγκαταστήσει την υπηρεσία SIS και εν συνεχεία θα επανεκκινήσει τον υπολογιστή. Εάν επιθυμούμε να έχουμε τον έλεγχο όσον αφορά την επανεκκίνηση του συστήματος τότε δεν έχουμε παρά να προσθέσουμε την επιλογή /Norestart command line χάρις την οποία η επανεκκίνηση θα γίνει χειροκίνητα από εμάς.

    Εγκατάσταση του DPM 2010 με τοπική SQL 2008


    Ακολουθούμε τα παρακάτω βήματα για την εγκατάσταση του DPM 2010 σε συνδυασμό με τοπικό instance του SQL
    2008. Σημειώστε ότι δεν είναι απαραίτητη η επανεγκατάσταση του SQL 2008 διότι η εγκατάσταση του DPM
    2010 περιλαμβάνει και την εγκατάσταση του SQL 2008.

    Κάνουμε logon στον server και εγκαταστούμε τον DPM 2010 κάνοντας χρήση ενός domain account ο οποίος έχει local administrative privileges
    Εισαγάγουμε το DPM 2010 DVD
    Στην DPM 2010 Splash screen, κάνουμε κλικ στο Install Data Protection Manager


    Figure 1

    Στην σελίδα Microsoft License Terms, διαβάζουμε το κείμενο της συμφωνίας (agreement), επιλέγουμε I accept the license terms and conditions, και εν συνεχεία κάνουμε κλικ στο OK.


    Figure 2

    Ορισμένα προαπαιτούμενα χαρακτηριστικά (prerequisites) θα εγκατασταθούν πρώτα, και μετά θα ξεκινήσει η εγκατάσταση.
     

    Στην σελίδα Welcome, κάνουμε κλικ στο Next

    Figure 3

    Στην σελίδα Prerequisites Check, ο εγκαταστάτης του DPM θα εγκαταστήσει τα basic components και θα αξιολογήσει (validate) το hardware στο οποίο γίνεται η εγκατάσταση. Επιπροσθέτως θα προχωρήσει σε έλεγχο έτσι ώστε να διαπιστωθεί εάν είναι εγκατεστημένα το .Net Framework 3.5.1, το PowerShell 2.0 και το Single Instance Store (SIS). Στην περίπτωση κατά την οποία τα παραπάνω δεν είναι εγκατεστημένα τότε θα τα εγκαταστήσει ως μέρος της εγκατάστασης του DPM 2010.
    Εάν η υπηρεσία SIS δεν είναι εγκατεστημένη, τότε η εγκατάσταση του DPM θα απαιτήσει την επανεκκίνηση του συστήματος μετά την ολοκλήρωση της εγκατάστασης της υπηρεσίας SIS.


    Figure 4

    Κάνετε κλικ στο Next για να συνεχίσει η εγκατάσταση.
    Στην σελίδα Product Registration, εισάγουμε το Username και το όνομα της εταιρίας-Company που επιθυμούμε και κάνουμε κλικ στο Next.

    Figure 5

    Στην σελίδα Installation Settings, επιλέγουμε τον τύπο εγκατάστασης του SQL (dedicated or existing) και μετά κάνουμε κλικ στο Next.

    Figure 6

    Για την συγκεκριμένη εγκατάσταση θα χρησιμοποιήσουμε την επιλογή dedicated SQL installation.
    Σας παρακαλώ να ανατρέξετε στα εγχειρίδια χρήσης του DPM 2010 για τις επιλογές οι οποίες υπάρχουν στην περίπτωση κατά την οποία θέλουμε να χρησιμοποιήσουμε μια ήδη υπάρχουσα εγκατάσταση βάσης δεδομένων SQL.

    Στην σελίδα Security Settings, εισάγουμε το password για την τοπική βάση δεδομένων SQL server service acct την οποία ο DPM πρόκειται να δημιουργήσει, και εν συνεχεία κάνουμε κλικ στο Next

    Figure 7

    Στην σελίδα Microsoft Update Opt-In, επιλέγουμε εφόσον θέλουμε να γίνεται ή να μην γίνεται έλεγχος για security updates του DPM και μετά κάνουμε κλικ στο Next.

    Figure 8

    Στην σελίδα Customer Experience, επιλέγουμε εάν θέλουμε να συμμετάσχουμε ή όχι στο Microsoft Customer Experience program, και μετά κάνουμε κλικ στο Next.

    Figure 9

    Στην σελίδα Summary of settings, παρουσιάζεται ένας συνοπτικός πίνακας των ρυθμίσεων-επιλογών για την εγκατάσταση του DPM και εν συνεχεία κάνουμε κλικ στο Install για να ξεκινήσει η εγκατάσταση.

    Figure 10

    Η εγκατάσταση ξεκινά.


    Figure 11

    Έτσι τώρα έχουμε πλέον εγκαταστήσει τον DPM 2010.


    Figure 12

    Συμπέρασμα


    Ολοκληρώνοντας, με το συγκεκριμένο άρθρο καταδείξαμε ότι η εγκατάσταση του DPM 2010 με σκοπό να προστατεύσουμε Hyper-V R2
    servers και virtual machines είναι απλή και εύκολη διαδικασία. Στο επόμενο άρθρο το οποίο θα αφορά τον DPM 2010, θα παρουσιάσουμε τις ρυθμίσεις οι οποίες απαιτούνται έτσι ώστε να κάνουμε backup και recovery σε Hyper-V R2 servers και virtual
    machines.
  22. Jordan_Tsafaridis
    Εισαγωγή

    Ένα από τα νέα χαρακτηριστικά του TMG, το οποίο μάλιστα ήταν εδώ και καιρό απαίτηση των administrator προς την ομάδα ανάπτυξης του TMG, είναι η δυνατότητα υποστήριξης πολλαπλών εξωτερικών δικτυακών συνδέσεων. Η λειτουργία αυτή ονομάζεται σύμφωνα με την διεθνή ορολογία ISP Redundancy (ISP-R), η οποία αποτελεί πλέον αναπόσπαστο κομμάτι του TMG 2010. Ο σκοπός του άρθρου αυτού είναι να διερευνήσουμε τις δυνατότητες τις οποίες μα παρέχει αυτή η υπηρεσία του TMG 2010, σε επίπεδο operating modes, εξήγηση του αλγορίθμου load balancing, και τέλος το Dead link process. συνεπώς με την δυνατότητα υποστήριξης δύο μοναδικών και ανεξάρτητων συνδέσεων σε δύο διαφορετικούς ISP's, μπορούμε πλέον να έχουμε fault tolerance και redundancy μεταξύ των Internet ή των WAN συνδέσεων, τις οποίες έχουμε σε χρήση.
     

    Operating Modes

    Η λειτουργία ISP-R στον TMG έχει δύο operating modes – Load Balancing και
    Failover. Στο Load Balancing mode, οι συνδέσεις εξυπηρετούνται
    (balanced) μεταξύ δύο εξωτερικών δικτύων evenly (by default) ή unevenly
    (configurable by the administrator). Εάν κάποια από τις εξωτερικές συνδέσεις καταστεί μη διαθέσιμη τότε όλη η επικοινωνία δρομολογείται από την σύνδεση εκείνη η οποία είναι ενεργή. Στο Failover mode, το ένα από τα δύο εξωτερικά δίκτυα ρυθμίζεται ως primary connection, και το δεύτερο εξωτερικό δίκτυο ως secondary
    connection. Όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το primary connection. Εάν το primary connection καταστεί μη διαθέσιμο, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το secondary connection. Όταν το primary connection καταστεί διαθέσιμο και πάλι, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται ξανά από το primary connection.

    Προετοιμάζοντας τα Network Interfaces

    Το ISP-R υποστηρίζει μόνον δύο συνδέσεις εξωτερικών δικτύων (external network connections), και κάθε σύνδεση θα πρέπει να βρίσκεται σε ένα και μοναδικό subnet. Για την σωστή λειτουργία και την βέλτιστη απόδοση του συστήματος, είναι απαραίτητο και τα δύο external network interfaces νε ρυθμιστούν ταυτόσημα (identically - δώστε ιδιαίτερη προσοχή στο NIC driver
    offload settings). Το ιδανικό θα είναι οι δύο network interface cards να είναι του ιδίου κατασκευαστή και τύπου.

    Ξεκινώντας θα πρέπει να δώσουμε σε κάθε network interface ένα χαρακτηριστικό όνομα (π.χ.
    External_Otenet and External_Vodafone). Εν συνεχεία ρυθμίζουμε το πρώτο fexternal
    network interface με IP address, subnet mask, και default gateway. Εάν ο TMG firewallδεν είναι μέλος ενός domain και δεν επικοινωνεί με κανένα εσωτερικό δίκτυο τότε μπορούμε να χρησιμοποιήσουμε τους ISP’s DNS servers. Ωστόσο, εάν ο TMG firewall είναι domain member, μην χρησιμοποιήσετε εδώ τους ISP DNS servers (Οι Internal DNS servers χρησιμοποιούνται μόνον στο internal network interface). Μόλις ολοκληρώσουμε τις ρυθμίσεις, κάνουμε κλικ στο Advanced…
    button.


    Figure 1

    Uncheck το κουτί με τίτλο Automatic metric, και στην συέχεια εισάγεται την τιμή 1στο κουτί  Interface metric.


    Figure 2

    Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network
    interface, χρησιμοποιώντας τώρα Interface metric: με τιμή 2. Θα πρέπει να βεβαιωθείταιότι έχετε όρίσει default gateway στο δεύτερο external
    interface. Μιλώντας σε ενιαία βάση αυτό κανονικά δεν συνιστάται, με συνέπεια τα Windows να παραπονεθούν όταν επιχειρήσετε να το ενεργοποιήσετε.


    Figure 3

    Σε αυτό το σενάριο είναι απολύτως ασφαλές να αγνοήσουμε την προεοδοποίηση και επιλέγουμε Yes για να συνεχίσουμε.

    Σημείωση :
    Εάν οι ISPs που είστε συνδεδεμένοι χρησιμοποιούν DHCP για να αναθέτουν IP addresses, τότε δεν έχετε την δυαντότητα να χρησιμοποιήτε multiple default gateways. Στην περίπτωση αυτή είμαστε υποχρεωμένοι να εισαγάγουμε default persistent static routes πριν από την ρύθμιση των ISP-R. Στο συγκεκριμένο παράδειγμα, τα routes θα πρέπει να ρυθμιστούν όπως περιγράφεται παρακάτω :

    route add –p 0.0.0.0 mask 0.0.0.0 131.107.54.46

    route add –p 0.0.0.0 mask 0.0.0.0 207.213.91.214

    Ρυθμίσεις του ISP Redundancy

    Μόλις το αρχικό network interface configuration ολοκληρωθεί , ανοίγουμε την TMG management console και στο console tree επιλέγουμε Networking,και εν συνεχεία επιλέγουμε το  ISP Redundancy tab.


    Figure 4

    Στο Tasks pane, κάνουμε κλικ στο Configure ISP Redundancy.


    Figure 5

    Επιλέγουμε Next, και ενσυνεχεία επιλέγουμε το ISP redundancy mode που εξυπηρετεί τις απαιτήσεις μας. Στην συγκεκριμένη περίπτωση θα επιλέξουμε το default
    option Load balancing with failover capability.


    Figure 6

    Καθορίζουμε το ISP connection name:, και εν συνεχεία επιλέγουμε το network
    adapter από το drop-down list.


    Figure 7

    Γίνεται έλεγχος, έτσι ώστε να επιβεβαιώσουμε ότι το gateway address και το subnet mask είναι τα σωστά. Εάν ο
    TMG firewall δεν αποτελεί μέλος ενός domain και δεν επικοινωνεί με κανένα internal network κάνοντας χρήση ονομάτων (By name), τότε μπορούμε να ορίσουμε τους ISP’s DNS
    servers εδώ. Εάν ο TMG firewall είναι μέλος domain, τοτε δεν καθορίζουμε εδώ τους
    ISP DNS servers (Οι εσωτερικοί DNS servers ρυθμίζονται μόνον στο
    internal network interface).


    Figure 8

    Σε ορισμένες περιπτώσεις κάποιοι external servers μπορούν να έχουν επικοινωνία μόνον διαμέσου ένός συγκεκριμένου external link. Ένα τέτοιο παράδειγμα μπορεί να είναι ο  ISP DNS
    server ή ένας mail server. Eάν απαιτείται θα πρέπει να εισαγάγουμε αυτούς τους servers εδώ. Έτσι λοιπόν σε αυτό το σημείο έχουμε την δυαντότητα να καθορίσουμε συγκεκριμένους computers, computer sets, ή address
    ranges.


    Figure 9

    Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network connection,και στην συνέχεια επιλέγουμε το  distribution percentage μετακινώντας το slider στην επιθυμητή θέση. Εφόσον και τα δύο external links έχουν το ίδιο bandwidth,τότε μπορείτε με ασφάλεια να αφήσετε την ρύθμιση στο 50%. Στην αντίθετη περίπτωση κατά την οποία το bandwidth του ενός link είναι μελύτερο από το άλλο, τότε ηρύθμισετε γίνεται έτσι ώστε το συγκεκριμένο link να δέχεται μεγαλύτερο ποσοστό
    traffic.


    Figure 10

    Επιλέγουμε Finish για να ολοκληρωθεί η διαδικασία ISP-R configuration.


    Figure 11

    Εάν έχουμε ρυθμίσει DNS servers στα external network
    interfaces, τότε θα πρέπει να βεβαιωθούμε ότι έχουμε δημιουργήσει τα αντίστοιχα persistent static routes έτσι ώστε να εξασφαλίσουμε ότι τα requests για τα συγκεκριμένα resources δρομολογούνται (routed) από το σωστό
    network interface.


    Figure 12

    Στο παράδειγμά μας, τα routes αυτά είναι τα παρακάτω:

    route add -p 131.107.54.200 mask 255.255.255.255 131.107.54.46

    route add -p 207.213.91.214 mask 255.255.255.255 207.213.91.214

    Μόλις τα ρυθμίσουμε, η TMG management console θα εμφανίσει την πληροφορία για κάθε σύνδεση ISP, καθώς και το προεπιλεγμένο
    redundancy mode.


    Figure 13

    Μετά από την ρύθμιση του ISP-R, για να κάνουμε αλλαγές στην ρύθμιση κάποιου συγκεκριμένου
    ISP connection κάνουμε right-click στο connection και επιλέγουμε Properties.


    Figure 14

    Εδώ μπορούμε να λλάξουμε το όνομα της σύνδεσης, να μεταβάλλουμε την πληροφορία IP
    address/subnet mask, να ενεροποιήσουμε ή να απενεροποιήσουμε την συγκεκριμένη σύνδεση, να τροποιήσουμε το load balancing ratio, ή να προσθέσουμε, να αλλάξουμε, ή να διαγράψουμε dedicated
    servers.


    Figure 15

    Αλλαγή του ISP-R Operating Mode

    Στο συγκεκριμένο παράδειγμα έχουμε ρυθμίσει το ISP-R για Load Balancing. Εάν θέλουμε να αλλάξουμε το ISP-R operating mode, κάνουμε κλικ στο Change ISP Redundancy
    Mode to Failover στο Tasks pane.
     


    Figure 16

    Όταν γίνεται αλλαγή από το Load Balancing mode στο Failover
    mode, θα πρέπει να κάνουμε edit στα connection properties και να επιλέξουμε το ενδεδειγμένο connection role για την συγκεκριμένη σύνδεση. Θυμηθείτε, ότι στο Failover
    mode όλο το traffic θα σταλεί διαμέσου του primary external connection και το secondary connection θα χρησιμοποιηθεί τότε και μόνον τότεόταν το primary connection καταστεί μη διαθέσιμο.


    Figure 17

    Monitoring ISP-R

    Για να δούμε το status του κάθε ISP connection, highlight Dashboard στο console tree.


    Figure 18

    Το status του κάθε ISP link θα εμφανιστεί στο Network
    Status frame.


    Figure 19

    Εάν καποιο από τα link καταστεί μη διαθέσιμο, τότε το connection status θα εμφανίσει ένα
    alert.


    Figure 20

    Επιπροσθέτως μπορούμε να παρακολουθήσουμε τα Connections Unavailable alert κάτω από το  Alerts tab.


    Figure 21

    Όταν η σύνδεση είναι και πάλι online, ο TMG θα εμφανίσει ένα informative
    alert ενημερώνοντας ότι η σύνδεσηείναι και πάλι διαθέσιμη.


    Figure 22

    Υπάρχει ένας αριθμός από ISP-R alerts με σκοπό ο TMG firewall
    administrator να είναι πάντοτε ενημερωμένος για το the status και το health των external
    network connections.


    Figure 23

    Load Balancing και Dead Link Detection

    Είναι σημαντικό να αντιληφθούμε ότι το ISP-R διανέμει συνδέσεις, και όχι φορτίο. Ο τρόπος με τον οποίο το ISP-R αποφασίζει σε ποιο από τα external interface θα διανείμει το traffic καθορίζεται από την εκτέλεση ενός hash στην source
    IP address και στην destination IP address. Το αποτέλεσμα είναι ένας αριθμός μεταξύ 0 και 100. Εάν το αποτέλεσμα είναι κάτω από το ποσοστό το οποίο έχει επιλεγεί για το πρώτο ISP connection, τότε οTMG θα χρησιμοποιήσει αυτό το connection. Εάν όχι, τότε ο
    TMG θα χρησιμοποιήσει το άλλο external connection. Αυτό εξασφαλίζει το session
    affinity(Ορολογία - Affinity : all connections for a specific source/destination address
    pair will be delivered through the same external network interface). Το
    hash υπολογίζεται για κάθε εξερχόμενη σύμδεση. (Outgoing Connection)

    Για να καθοριστεί η διαθεσιμότητα ενός συγκεκριμένου ISP connection, ο TMG εκτελεί περιοδικά ένα dead link detection επιλέγοντας τυχαία έναν από τουε δεκατρείς (13) Internet root DNS servers στο TCP port 53 (Εάν ο TMG  έχει εγκατασταθεί ωςback firewall, βεβαιωθείτε ότι το TCP port 53 είναι ανοιχτό στο Internet). Εάν ο επιλεγμένος root DNS server ανταποκριθεί, τότε ο TMG θεωρεί ότι το συγκεκριμένο connection είναι διαθέσιμο. Εάν δεν απαντήσει, τότε TMG θα χρησιμοποιήσει επιπλέον root DNS servers σε χρονικά διαστήματα του ενός λεπτού. Εάν και πάλι δεν ληφθούν απαντήσεις μετά από τρεις συνεχείς προσπάθειες, τότε ο TMG θεωρεί ότι το συγκεκριμένο
    connection είναι μη διαθέσιμο και εμφανίζει ένα alert. Εφόσον ο TMG διαπιστώσει ότι ένα
    connection είναι μη διαθέσιμο, θα περιμένει πέντε λεπτά πριν επιχειρήσει ξανά να διαπιστώσει εάν είναι διαθέσιμο ή όχι. Όταν τελικά λάβει μια απάντηση, τότε ο TMG θα συνεχίσει να ρωτά εάν είναιδιαθέσιμο κάθε ένα λεπτό. Όταν τρεις συνεχόμενες απαντήσεις έχουν ληφθεί, τότε ο TMG θα θεωρήσει ότι το connection είναι και πάλι διαθέσιμο.

    Σενάρια Deployment


    Η επιλογή των ISP-R operating modes επηρεάζεται πρωτίστως από τον τύπο των Internet ή των WAN connections τα οποία έχετε. Για παράδειγμα, εάν έχετε δύο όμοια Ιnternet connections όσον αφορά το bandwidth,το Load
    Balancing mode είναι μια καλή επιλογή. Εάν όμως έχετε ένα high bandwidth
    connection και ένα low bandwidth connection, τότε το Failover mode είναι η σωστή επιλογή. Παρόλα αυτά αν και αυτή η τεχνολογία ονομάζεται ‘ISP’
    redundancy, δεν περιορίζεται μόνον στα Internet-connected links. Το ISP-R μπορεί να χρησιμοποιηθεί για να παρέχει load balancing και failover για WAN links μεταξύ ενός υποκαταστήματος και των κεντρικών γραφείων μιας επιχείρησης.

    Επιπλέον Θέματα


    Θα πρέπει να λάβετε υπόψην σας τα παρακάτω όταν σχεδιάζεται και υλοποιείται μια εγκατάσταση ISP-R :
    Τα παρακάτω είναι στην Αγγλική γλώσσα, προκειμένου να μην αλλοιωθεί το νόημά τους μιας και προέρχονται από το Microsoft Technet.
     

    Works with NAT only – ISP-R will only provide load balancing and failover for traffic originating from TMG protected networks and
    destined for the default External network, and will only work when the
    network relationship is configured as NAT. If the network relationship
    is configured as route, ISP-R will not function. This is
    important because traffic originating from the TMG firewall itself will
    not be processed by ISP-R, as the network relationship between the Local
    Host network and the External network is route.
     

    E-NAT overrides ISP-R – For traffic processed by a network rule configured with Enhanced NAT (E-NAT), E-NAT takes
    precedence and will override any routing decisions made by ISP-R.
     

    Load balancing is not perfect – The load balancing mechanism in ISP-R does not distribute traffic perfectly. Since traffic
    is distributed by connections, not load, the potential exists for some
    connections to consume more bandwidth than others, skewing the
    distribution percentage.

    When ISP-R is configured to provide load balancing or failover for
    branch office WAN connections, the default dead link detection mechanism
    may not be appropriate. If you recall, TMG will randomly poll Internet
    root DNS servers to verify connectivity. If, for example, the TMG
    firewall is configured to NAT traffic between a branch office and a main
    office and the main office Internet connection is unavailable, TMG will
    report both of its WAN connections as being unavailable, when in fact
    they are.

    In some cases, branch office TMG firewalls may not have direct
    connectivity to the Internet, which will prevent TMG from polling
    Internet root DNS servers. In this branch office firewall scenario it
    would be better to poll services located directly on the other side of
    the WAN connection. To change the default link detection parameters and
    to make changes to polling frequency, please refer to this article
    [http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx]
    on the Forefront TMG product team blog.

    Συμπέρασμα

    Το ISP Redundancy αποτελεί ένα πολύτιμο χαρακτηριστικό του TMG διότι παρέχει fault
    tolerance και redundancy για εξωτερικές συνδέσεις δικτύου (external network connections); Επίσης σε περιπτώσεις κατά τις οποίες έχουμε ISP
    connections σε ανάπτυξη edge firewall, ή WAN links σε
    branch office firewall scenario. Τα Load Balancing και Failover operating
    modes παρέχουν την δυνατότητα ευέλικτων ρυθμίσεων έτσι ώστε να προσαρμόζονται με βάση τις προδιαγραφές των οποιονδήποτε εξωτερικών δικτύων, και σε συνδυασμό με τις απεριόριστες δυνατότητες πληροφόρησης κρατούν πάντοτε τον TMG
    firewall administrator ενημερωμένο για την κατάσταση των εξωτερικών συνδέσεων δικτύου. (Εxternal network connection
    status)
  23. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι,
     
    Ελπίζω ότι θα βρείτε το επισυναπτώμενο αρχείο εξαιρετικά χρήσιμο. Το αρχείο είναι σε μορφή Adobe Acrobat PDF, και είναι συμπιεσμένο με το WinZip.
     
    Το περιεχόμενο του αρχείου είναι το Symantec Internet Security Threat Report - Απρίλιος 2010. Όπως είναι γνωστό, η Symantec έχει εγκαταστήσει ένα από τα πλέον ολοκληρωμένα συστήματα διαχείρισης, καταγραφής και επεξεργαίας Internet Threat Data, το οποίο ονομάζεται Symantec Global Intelligence Network. το σύστημα αυτό έχει εγκατεστημένους περισσότερους από 240.000 Sensors, σε 200 χώρες παγκοσμίως με σκοπό να παρακολουθείται η δραστηριότητα των διαδικτυακών επιθέσεων.
     
    Με την πληροφορία η οποία συλλέγεται από το σύστημα αυτό, η Symantec τελειοποεί τα συστήματα προστασίας τα οποία διαθέτει, προς όφελος του τελικού χρήστη. Βεβαίως, ο καθένας μας μπορεί να χρησιμοποιεί τα προϊόντα διαδικτυακής ασφάλειας τα οποία κατά τα δικά του κριτήρια επιλέγει. Παρόλα αυτά θέλω να πιστεύω ότι η πληροφορία η οποία εμπεριέχεται στην συγκεκριμένη μελέτη είναι εξαιρετικά χρήσιμη.
     
    Ευχαριστώ πολύ.
     
    Ιορδάνης Τσαφαρίδης
     
  25. Jordan_Tsafaridis
    Γιά όσους ασχολούνται με συμόρφωση σύμφωνα με διεθνή πρότυπα (κανονιστικές αρχές - Sarbanes Oxley Act (SOX), Basel II, Solvency κ.τ.λ.), η Microsoft προσφέρει για download ένα πάρα πολύ χρήσιμο και δωρεάν εργαλείο γι'αυτόν το σκοπό το οποίο ονομάζεται Security Compliance Manager.
     
    Μπορείτε να το κατεβάσετε από το παρακάτω link :
     
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5534bee1-3cad-4bf0-b92b-a8e545573a3e&displaylang=en
     
    Ελπίζω ότι θα σας φανεί χρήσιμο.
     




    Κύρια Χαρακτηριστικά και Δυνατότητες
    Centralized
    Management and Baseline Portfolio: Η κεντρική κονσόλα διαχείρισης του Microsoft Security Compliance Manager παρέχει στον χρήστη του συγκεκριμένου λογισμικού μια ενοποιημένη επιφάνεια εργασίας διαμέσου της οποίας είμαστε σε θέση να σχεδιάζουμε, να παραμετροποιημούμε και να εξάγουμε κανόνες ασφαλείας σύμφωνα με τις ανάγκες του οργανισμού, όπως αυτές καθορίζονται από το κανονιστικό πλαίσιο το οποίο έχουμε επιλέξει προς συμόρφωση.Το συγκεκριμένο εργαλείο μας παρέχει πρόσβαση σε όλο το φάσμα του λογισμικού της Microsoft.
    Security Baseline Customization: Η παραμετροποίηση, η σύγκριση, η συνένωση, ο έλεγχος αξιοπιστίας και η διαχείριση των κανόνων αλλά και της πολιτικής ασφάλειας ενός οργανισμούς γίνεται με τον πλέον φιλικό προς τον χρήστη τρόπο.
    Multiple Export
    Capabilities: Επιτρέπει την εξαγωγή των κανόνων ασφαλείας σε μορφή αρχείου XLS, Group Policy objects
    (GPOs), Desired Configuration Management (DCM) packs, ή Security
    Content Automation Protocol (SCAP).

    Παρακάτω σας παρουσιάζω την εγκατάσταση του συγκεκριμένου λογισμικού βήμα προς βήμα :
     

    Απαιτεί την ύπαρξη του Microsoft SQL Server διαφορετικά εγκαταστεί αυτόματα τον Microsoft SQL Server Express :
     

    Μετά την ολοκλήρωση της εγκατάστασης γίνεται αυτόματη ενημέρωση με τα τελευταία updates τα οποία είναι διαθέσιμα:
     

    Ακολουθεί η εισαγωγή των βασικών
    ρυθμίσεων ασφαλείας επιλέγοντας από μια σειρά τυπικών ρόλων.


    Και, τέλος, το πρώτο συμπέρασμα είναι ότι για να
    εξοικειωθεί κάποιος με τις δυνατότητες του λογισμικού αυτού χρειάζεται ένα ελεύθερο απόγευμα:
     
     
×
×
  • Create New...