Jordan_Tsafaridis

Εισαγωγή Ένα από τα νέα χαρακτηριστικά του TMG, το οποίο μάλιστα ήταν εδώ και καιρό απαίτηση των administrator προς την ομάδα ανάπτυξης του TMG, είναι η δυνατότητα υποστήριξης πολλαπλών εξωτερικών δικτυακών συνδέσεων. Η λειτουργία αυτή ονομάζεται σύμφωνα με την διεθνή ορολογία ISP Redundancy (ISP-R), η οποία αποτελεί πλέον αναπόσπαστο κομμάτι του TMG 2010. Ο σκοπός του άρθρου αυτού είναι να διερευνήσουμε τις δυνατότητες τις οποίες μα παρέχει αυτή η υπηρεσία του TMG 2010, σε επίπεδο operating modes, εξήγηση του αλγορίθμου load balancing, και τέλος το Dead link process. συνεπώς με την δυνατότητα υποστήριξης δύο μοναδικών και ανεξάρτητων συνδέσεων σε δύο διαφορετικούς ISP's, μπορούμε πλέον να έχουμε fault tolerance και redundancy μεταξύ των Internet ή των WAN συνδέσεων, τις οποίες έχουμε σε χρήση. Operating Modes Η λειτουργία ISP-R στον TMG έχει δύο operating modes – Load Balancing και Failover. Στο Load Balancing mode, οι συνδέσεις εξυπηρετούνται (balanced) μεταξύ δύο εξωτερικών δικτύων evenly (by default) ή unevenly (configurable by the administrator). Εάν κάποια από τις εξωτερικές συνδέσεις καταστεί μη διαθέσιμη τότε όλη η επικοινωνία δρομολογείται από την σύνδεση εκείνη η οποία είναι ενεργή. Στο Failover mode, το ένα από τα δύο εξωτερικά δίκτυα ρυθμίζεται ως primary connection, και το δεύτερο εξωτερικό δίκτυο ως secondary connection. Όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το primary connection. Εάν το primary connection καταστεί μη διαθέσιμο, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το secondary connection. Όταν το primary connection καταστεί διαθέσιμο και πάλι, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται ξανά από το primary connection. Προετοιμάζοντας τα Network Interfaces Το ISP-R υποστηρίζει μόνον δύο συνδέσεις εξωτερικών δικτύων (external network connections), και κάθε σύνδεση θα πρέπει να βρίσκεται σε ένα και μοναδικό subnet. Για την σωστή λειτουργία και την βέλτιστη απόδοση του συστήματος, είναι απαραίτητο και τα δύο external network interfaces νε ρυθμιστούν ταυτόσημα (identically - δώστε ιδιαίτερη προσοχή στο NIC driver offload settings). Το ιδανικό θα είναι οι δύο network interface cards να είναι του ιδίου κατασκευαστή και τύπου. Ξεκινώντας θα πρέπει να δώσουμε σε κάθε network interface ένα χαρακτηριστικό όνομα (π.χ. External_Otenet and External_Vodafone). Εν συνεχεία ρυθμίζουμε το πρώτο fexternal network interface με IP address, subnet mask, και default gateway. Εάν ο TMG firewallδεν είναι μέλος ενός domain και δεν επικοινωνεί με κανένα εσωτερικό δίκτυο τότε μπορούμε να χρησιμοποιήσουμε τους ISP’s DNS servers. Ωστόσο, εάν ο TMG firewall είναι domain member, μην χρησιμοποιήσετε εδώ τους ISP DNS servers (Οι Internal DNS servers χρησιμοποιούνται μόνον στο internal network interface). Μόλις ολοκληρώσουμε τις ρυθμίσεις, κάνουμε κλικ στο Advanced… button. Figure 1 Uncheck το κουτί με τίτλο Automatic metric, και στην συέχεια εισάγεται την τιμή 1στο κουτί Interface metric. Figure 2 Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network interface, χρησιμοποιώντας τώρα Interface metric: με τιμή 2. Θα πρέπει να βεβαιωθείταιότι έχετε όρίσει default gateway στο δεύτερο external interface. Μιλώντας σε ενιαία βάση αυτό κανονικά δεν συνιστάται, με συνέπεια τα Windows να παραπονεθούν όταν επιχειρήσετε να το ενεργοποιήσετε. Figure 3 Σε αυτό το σενάριο είναι απολύτως ασφαλές να αγνοήσουμε την προεοδοποίηση και επιλέγουμε Yes για να συνεχίσουμε. Σημείωση : Εάν οι ISPs που είστε συνδεδεμένοι χρησιμοποιούν DHCP για να αναθέτουν IP addresses, τότε δεν έχετε την δυαντότητα να χρησιμοποιήτε multiple default gateways. Στην περίπτωση αυτή είμαστε υποχρεωμένοι να εισαγάγουμε default persistent static routes πριν από την ρύθμιση των ISP-R. Στο συγκεκριμένο παράδειγμα, τα routes θα πρέπει να ρυθμιστούν όπως περιγράφεται παρακάτω : route add –p 0.0.0.0 mask 0.0.0.0 131.107.54.46 route add –p 0.0.0.0 mask 0.0.0.0 207.213.91.214 Ρυθμίσεις του ISP Redundancy Μόλις το αρχικό network interface configuration ολοκληρωθεί , ανοίγουμε την TMG management console και στο console tree επιλέγουμε Networking,και εν συνεχεία επιλέγουμε το ISP Redundancy tab. Figure 4 Στο Tasks pane, κάνουμε κλικ στο Configure ISP Redundancy. Figure 5 Επιλέγουμε Next, και ενσυνεχεία επιλέγουμε το ISP redundancy mode που εξυπηρετεί τις απαιτήσεις μας. Στην συγκεκριμένη περίπτωση θα επιλέξουμε το default option Load balancing with failover capability. Figure 6 Καθορίζουμε το ISP connection name:, και εν συνεχεία επιλέγουμε το network adapter από το drop-down list. Figure 7 Γίνεται έλεγχος, έτσι ώστε να επιβεβαιώσουμε ότι το gateway address και το subnet mask είναι τα σωστά. Εάν ο TMG firewall δεν αποτελεί μέλος ενός domain και δεν επικοινωνεί με κανένα internal network κάνοντας χρήση ονομάτων (By name), τότε μπορούμε να ορίσουμε τους ISP’s DNS servers εδώ. Εάν ο TMG firewall είναι μέλος domain, τοτε δεν καθορίζουμε εδώ τους ISP DNS servers (Οι εσωτερικοί DNS servers ρυθμίζονται μόνον στο internal network interface). Figure 8 Σε ορισμένες περιπτώσεις κάποιοι external servers μπορούν να έχουν επικοινωνία μόνον διαμέσου ένός συγκεκριμένου external link. Ένα τέτοιο παράδειγμα μπορεί να είναι ο ISP DNS server ή ένας mail server. Eάν απαιτείται θα πρέπει να εισαγάγουμε αυτούς τους servers εδώ. Έτσι λοιπόν σε αυτό το σημείο έχουμε την δυαντότητα να καθορίσουμε συγκεκριμένους computers, computer sets, ή address ranges. Figure 9 Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network connection,και στην συνέχεια επιλέγουμε το distribution percentage μετακινώντας το slider στην επιθυμητή θέση. Εφόσον και τα δύο external links έχουν το ίδιο bandwidth,τότε μπορείτε με ασφάλεια να αφήσετε την ρύθμιση στο 50%. Στην αντίθετη περίπτωση κατά την οποία το bandwidth του ενός link είναι μελύτερο από το άλλο, τότε ηρύθμισετε γίνεται έτσι ώστε το συγκεκριμένο link να δέχεται μεγαλύτερο ποσοστό traffic. Figure 10 Επιλέγουμε Finish για να ολοκληρωθεί η διαδικασία ISP-R configuration. Figure 11 Εάν έχουμε ρυθμίσει DNS servers στα external network interfaces, τότε θα πρέπει να βεβαιωθούμε ότι έχουμε δημιουργήσει τα αντίστοιχα persistent static routes έτσι ώστε να εξασφαλίσουμε ότι τα requests για τα συγκεκριμένα resources δρομολογούνται (routed) από το σωστό network interface. Figure 12 Στο παράδειγμά μας, τα routes αυτά είναι τα παρακάτω: route add -p 131.107.54.200 mask 255.255.255.255 131.107.54.46 route add -p 207.213.91.214 mask 255.255.255.255 207.213.91.214 Μόλις τα ρυθμίσουμε, η TMG management console θα εμφανίσει την πληροφορία για κάθε σύνδεση ISP, καθώς και το προεπιλεγμένο redundancy mode. Figure 13 Μετά από την ρύθμιση του ISP-R, για να κάνουμε αλλαγές στην ρύθμιση κάποιου συγκεκριμένου ISP connection κάνουμε right-click στο connection και επιλέγουμε Properties. Figure 14 Εδώ μπορούμε να λλάξουμε το όνομα της σύνδεσης, να μεταβάλλουμε την πληροφορία IP address/subnet mask, να ενεροποιήσουμε ή να απενεροποιήσουμε την συγκεκριμένη σύνδεση, να τροποιήσουμε το load balancing ratio, ή να προσθέσουμε, να αλλάξουμε, ή να διαγράψουμε dedicated servers. Figure 15 Αλλαγή του ISP-R Operating Mode Στο συγκεκριμένο παράδειγμα έχουμε ρυθμίσει το ISP-R για Load Balancing. Εάν θέλουμε να αλλάξουμε το ISP-R operating mode, κάνουμε κλικ στο Change ISP Redundancy Mode to Failover στο Tasks pane. Figure 16 Όταν γίνεται αλλαγή από το Load Balancing mode στο Failover mode, θα πρέπει να κάνουμε edit στα connection properties και να επιλέξουμε το ενδεδειγμένο connection role για την συγκεκριμένη σύνδεση. Θυμηθείτε, ότι στο Failover mode όλο το traffic θα σταλεί διαμέσου του primary external connection και το secondary connection θα χρησιμοποιηθεί τότε και μόνον τότεόταν το primary connection καταστεί μη διαθέσιμο. Figure 17 Monitoring ISP-R Για να δούμε το status του κάθε ISP connection, highlight Dashboard στο console tree. Figure 18 Το status του κάθε ISP link θα εμφανιστεί στο Network Status frame. Figure 19 Εάν καποιο από τα link καταστεί μη διαθέσιμο, τότε το connection status θα εμφανίσει ένα alert. Figure 20 Επιπροσθέτως μπορούμε να παρακολουθήσουμε τα Connections Unavailable alert κάτω από το Alerts tab. Figure 21 Όταν η σύνδεση είναι και πάλι online, ο TMG θα εμφανίσει ένα informative alert ενημερώνοντας ότι η σύνδεσηείναι και πάλι διαθέσιμη. Figure 22 Υπάρχει ένας αριθμός από ISP-R alerts με σκοπό ο TMG firewall administrator να είναι πάντοτε ενημερωμένος για το the status και το health των external network connections. Figure 23 Load Balancing και Dead Link Detection Είναι σημαντικό να αντιληφθούμε ότι το ISP-R διανέμει συνδέσεις, και όχι φορτίο. Ο τρόπος με τον οποίο το ISP-R αποφασίζει σε ποιο από τα external interface θα διανείμει το traffic καθορίζεται από την εκτέλεση ενός hash στην source IP address και στην destination IP address. Το αποτέλεσμα είναι ένας αριθμός μεταξύ 0 και 100. Εάν το αποτέλεσμα είναι κάτω από το ποσοστό το οποίο έχει επιλεγεί για το πρώτο ISP connection, τότε οTMG θα χρησιμοποιήσει αυτό το connection. Εάν όχι, τότε ο TMG θα χρησιμοποιήσει το άλλο external connection. Αυτό εξασφαλίζει το session affinity(Ορολογία - Affinity : all connections for a specific source/destination address pair will be delivered through the same external network interface). Το hash υπολογίζεται για κάθε εξερχόμενη σύμδεση. (Outgoing Connection) Για να καθοριστεί η διαθεσιμότητα ενός συγκεκριμένου ISP connection, ο TMG εκτελεί περιοδικά ένα dead link detection επιλέγοντας τυχαία έναν από τουε δεκατρείς (13) Internet root DNS servers στο TCP port 53 (Εάν ο TMG έχει εγκατασταθεί ωςback firewall, βεβαιωθείτε ότι το TCP port 53 είναι ανοιχτό στο Internet). Εάν ο επιλεγμένος root DNS server ανταποκριθεί, τότε ο TMG θεωρεί ότι το συγκεκριμένο connection είναι διαθέσιμο. Εάν δεν απαντήσει, τότε TMG θα χρησιμοποιήσει επιπλέον root DNS servers σε χρονικά διαστήματα του ενός λεπτού. Εάν και πάλι δεν ληφθούν απαντήσεις μετά από τρεις συνεχείς προσπάθειες, τότε ο TMG θεωρεί ότι το συγκεκριμένο connection είναι μη διαθέσιμο και εμφανίζει ένα alert. Εφόσον ο TMG διαπιστώσει ότι ένα connection είναι μη διαθέσιμο, θα περιμένει πέντε λεπτά πριν επιχειρήσει ξανά να διαπιστώσει εάν είναι διαθέσιμο ή όχι. Όταν τελικά λάβει μια απάντηση, τότε ο TMG θα συνεχίσει να ρωτά εάν είναιδιαθέσιμο κάθε ένα λεπτό. Όταν τρεις συνεχόμενες απαντήσεις έχουν ληφθεί, τότε ο TMG θα θεωρήσει ότι το connection είναι και πάλι διαθέσιμο. Σενάρια Deployment Η επιλογή των ISP-R operating modes επηρεάζεται πρωτίστως από τον τύπο των Internet ή των WAN connections τα οποία έχετε. Για παράδειγμα, εάν έχετε δύο όμοια Ιnternet connections όσον αφορά το bandwidth,το Load Balancing mode είναι μια καλή επιλογή. Εάν όμως έχετε ένα high bandwidth connection και ένα low bandwidth connection, τότε το Failover mode είναι η σωστή επιλογή. Παρόλα αυτά αν και αυτή η τεχνολογία ονομάζεται ‘ISP’ redundancy, δεν περιορίζεται μόνον στα Internet-connected links. Το ISP-R μπορεί να χρησιμοποιηθεί για να παρέχει load balancing και failover για WAN links μεταξύ ενός υποκαταστήματος και των κεντρικών γραφείων μιας επιχείρησης. Επιπλέον Θέματα Θα πρέπει να λάβετε υπόψην σας τα παρακάτω όταν σχεδιάζεται και υλοποιείται μια εγκατάσταση ISP-R : Τα παρακάτω είναι στην Αγγλική γλώσσα, προκειμένου να μην αλλοιωθεί το νόημά τους μιας και προέρχονται από το Microsoft Technet. Works with NAT only – ISP-R will only provide load balancing and failover for traffic originating from TMG protected networks and destined for the default External network, and will only work when the network relationship is configured as NAT. If the network relationship is configured as route, ISP-R will not function. This is important because traffic originating from the TMG firewall itself will not be processed by ISP-R, as the network relationship between the Local Host network and the External network is route. E-NAT overrides ISP-R – For traffic processed by a network rule configured with Enhanced NAT (E-NAT), E-NAT takes precedence and will override any routing decisions made by ISP-R. Load balancing is not perfect – The load balancing mechanism in ISP-R does not distribute traffic perfectly. Since traffic is distributed by connections, not load, the potential exists for some connections to consume more bandwidth than others, skewing the distribution percentage. When ISP-R is configured to provide load balancing or failover for branch office WAN connections, the default dead link detection mechanism may not be appropriate. If you recall, TMG will randomly poll Internet root DNS servers to verify connectivity. If, for example, the TMG firewall is configured to NAT traffic between a branch office and a main office and the main office Internet connection is unavailable, TMG will report both of its WAN connections as being unavailable, when in fact they are. In some cases, branch office TMG firewalls may not have direct connectivity to the Internet, which will prevent TMG from polling Internet root DNS servers. In this branch office firewall scenario it would be better to poll services located directly on the other side of the WAN connection. To change the default link detection parameters and to make changes to polling frequency, please refer to this article [http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx] on the Forefront TMG product team blog. Συμπέρασμα Το ISP Redundancy αποτελεί ένα πολύτιμο χαρακτηριστικό του TMG διότι παρέχει fault tolerance και redundancy για εξωτερικές συνδέσεις δικτύου (external network connections); Επίσης σε περιπτώσεις κατά τις οποίες έχουμε ISP connections σε ανάπτυξη edge firewall, ή WAN links σε branch office firewall scenario. Τα Load Balancing και Failover operating modes παρέχουν την δυνατότητα ευέλικτων ρυθμίσεων έτσι ώστε να προσαρμόζονται με βάση τις προδιαγραφές των οποιονδήποτε εξωτερικών δικτύων, και σε συνδυασμό με τις απεριόριστες δυνατότητες πληροφόρησης κρατούν πάντοτε τον TMG firewall administrator ενημερωμένο για την κατάσταση των εξωτερικών συνδέσεων δικτύου. (Εxternal network connection status)

Αγαπητοί συνάδελφοι, Ελπίζω ότι θα βρείτε το επισυναπτώμενο αρχείο εξαιρετικά χρήσιμο. Το αρχείο είναι σε μορφή Adobe Acrobat PDF, και είναι συμπιεσμένο με το WinZip. Το περιεχόμενο του αρχείου είναι το Symantec Internet Security Threat Report - Απρίλιος 2010. Όπως είναι γνωστό, η Symantec έχει εγκαταστήσει ένα από τα πλέον ολοκληρωμένα συστήματα διαχείρισης, καταγραφής και επεξεργαίας Internet Threat Data, το οποίο ονομάζεται Symantec Global Intelligence Network. το σύστημα αυτό έχει εγκατεστημένους περισσότερους από 240.000 Sensors, σε 200 χώρες παγκοσμίως με σκοπό να παρακολουθείται η δραστηριότητα των διαδικτυακών επιθέσεων. Με την πληροφορία η οποία συλλέγεται από το σύστημα αυτό, η Symantec τελειοποεί τα συστήματα προστασίας τα οποία διαθέτει, προς όφελος του τελικού χρήστη. Βεβαίως, ο καθένας μας μπορεί να χρησιμοποιεί τα προϊόντα διαδικτυακής ασφάλειας τα οποία κατά τα δικά του κριτήρια επιλέγει. Παρόλα αυτά θέλω να πιστεύω ότι η πληροφορία η οποία εμπεριέχεται στην συγκεκριμένη μελέτη είναι εξαιρετικά χρήσιμη. Ευχαριστώ πολύ. Ιορδάνης Τσαφαρίδης

FixWin is a 529 KB freeware portable application to repair & fix common Windows annoyances & issues. Here are the screen-shots, which also shows the list of fixes for Windows 7 & Vista issues & annoyances. FixWin Utility v 1.2 has been developed by MVP & Windows Registry Guru Ramesh Kumar, for The Windows Club.

Γιά όσους ασχολούνται με συμόρφωση σύμφωνα με διεθνή πρότυπα (κανονιστικές αρχές - Sarbanes Oxley Act (SOX), Basel II, Solvency κ.τ.λ.), η Microsoft προσφέρει για download ένα πάρα πολύ χρήσιμο και δωρεάν εργαλείο γι'αυτόν το σκοπό το οποίο ονομάζεται Security Compliance Manager. Μπορείτε να το κατεβάσετε από το παρακάτω link : http://www.microsoft.com/downloads/details.aspx?FamilyID=5534bee1-3cad-4bf0-b92b-a8e545573a3e&displaylang=en Ελπίζω ότι θα σας φανεί χρήσιμο. Κύρια Χαρακτηριστικά και Δυνατότητες Centralized Management and Baseline Portfolio: Η κεντρική κονσόλα διαχείρισης του Microsoft Security Compliance Manager παρέχει στον χρήστη του συγκεκριμένου λογισμικού μια ενοποιημένη επιφάνεια εργασίας διαμέσου της οποίας είμαστε σε θέση να σχεδιάζουμε, να παραμετροποιημούμε και να εξάγουμε κανόνες ασφαλείας σύμφωνα με τις ανάγκες του οργανισμού, όπως αυτές καθορίζονται από το κανονιστικό πλαίσιο το οποίο έχουμε επιλέξει προς συμόρφωση.Το συγκεκριμένο εργαλείο μας παρέχει πρόσβαση σε όλο το φάσμα του λογισμικού της Microsoft. Security Baseline Customization: Η παραμετροποίηση, η σύγκριση, η συνένωση, ο έλεγχος αξιοπιστίας και η διαχείριση των κανόνων αλλά και της πολιτικής ασφάλειας ενός οργανισμούς γίνεται με τον πλέον φιλικό προς τον χρήστη τρόπο. Multiple Export Capabilities: Επιτρέπει την εξαγωγή των κανόνων ασφαλείας σε μορφή αρχείου XLS, Group Policy objects (GPOs), Desired Configuration Management (DCM) packs, ή Security Content Automation Protocol (SCAP). Παρακάτω σας παρουσιάζω την εγκατάσταση του συγκεκριμένου λογισμικού βήμα προς βήμα : Απαιτεί την ύπαρξη του Microsoft SQL Server διαφορετικά εγκαταστεί αυτόματα τον Microsoft SQL Server Express : Μετά την ολοκλήρωση της εγκατάστασης γίνεται αυτόματη ενημέρωση με τα τελευταία updates τα οποία είναι διαθέσιμα: Ακολουθεί η εισαγωγή των βασικών ρυθμίσεων ασφαλείας επιλέγοντας από μια σειρά τυπικών ρόλων. Και, τέλος, το πρώτο συμπέρασμα είναι ότι για να εξοικειωθεί κάποιος με τις δυνατότητες του λογισμικού αυτού χρειάζεται ένα ελεύθερο απόγευμα:

1. Εισαγωγή Ο Forefront TMG 2010 είναι έτσι ρυθμισμένος έτσι ώστε να αποθηκεύει το Firewall και το Web Proxy Logging σε βάση δεδομένων Microsoft SQL Server 2008 Express. Πάρα πολλοί Forefront TMG administrators έχουν την ανάγκη πρόσβασης σε πληροφορίες και δεδομένα πολύ παλαιότερα τα οποία μπορούν πολύ εύκολα να αποθηκευτούν και να είναι έτοιμα αναπάσα στιγμή προς διαχείριση στον server στον οποίο τρέχει ο Forefront TMG 2010. Εντούτοις για λόγους απόδοσης και για να μην επηρεαστεί η λειτουργικότητα του TMG είναι απαραίτητο να έχουμε έναν απλό τρόπο - μέθοδο με τον οποίο να μπορούμε να μεταφέρουμε τα log data σε έναν άλλο server για επεξεργασία. Στο άρθρο αυτό θα περιγράψουμε τον τρόπο με τον οποίο μπορούμε να εξάγουμε τα Forefront TMG SQL Express logs σε έναν αρχείο text χρησιμοποιώντας την λειτουργία SQL Express Log Export. 2. Exporting TMG Logs Είναι απαραίτητο να ορίσουμε - προγραμματίσουμε ότι η διαδικασία log export process θα πρέπει να λαμβάνει χώρα σε ένα χρονικό διάστημα κατά το οποίο ο TMG δεν έχει φόρτο επεξεργασίας έτσι ώστε να αποφύγουμε το overworking του Forefront TMG log instance, με πιθανό αποτέλεσμα την διακοπή λειτουργίας ή την δυδλειτουργία του TMG λόγω της επεξεργασίας του log queue. Έτσι λοιπόν για να εξάγουμε της SQL Server Express database η οποία είναι εγκατεστημένη στον TMG, ακολουθούμε τα παρακάτω βήματα : Στον Forefront TMG κάνουμε κλικ στο All Programs / Microsoft SQL Server 2008 / Import and Export Data. Κάνουμε κλικ στο Next στο welcome window. Επιλέξτε το Data Source και την database όπως παρουσιάζεται στην εικόνα (Παρατηρήστε ότι σε αυτή την περίπτωση γίνεται εξαγωγή και του Web Proxy log) και κάνουμε κλικ στο Next για να συνεχίσουμε : Σημείωση : Να Μην Επιχειρήσετε να εξάγεται την log database η οποία είναι σε χρήση εκείνη την δεδομένη χρονική στιγμή. Η επιλογή αυτή μπορεί να έχει σαν αποτέλεσμα το κλείδωμα πρόσβασης στην βάση δεδομένων (database access contention). 4. Στο παράθυρο Choose Destination page, αλλάξτε - επιλέξατε το destination σε Flat File Destination, ορίστε την τοποθεσία και επιλέξτε τα options σύμφωνα με την παρακάτω εικόνα. Κάνουμε κλικ στο Next για να συνεχίσουμε. 5. Στο παράθυρο Specify Table Copy or Query page, αφήστε επιλεγμένη την default option (Copy data from one or more tables or views) και κάνουμε κλικ στο Next για να συνεχίσουμε. 6. Στο παράθυρο Configure Flat File Destination επιβεβαιώστε ότι το source table είναι το σωστό, επιλέγουμε “tab” στο column delimiter και κάνουμε κλικ στο Next για να συνεχίσουμε. 7. Στο παράθυρο Run Package, αφήνουμε επιλεγμένο το default option και κάνουμε κλικ στο Next. 8. Κάνουμε κλικ στο Finish για να ολοκληρώσουμε την διαδικασία και θα πρέπει να δούμε το execution summary όπως απεικονίζεται στην παρακάτω εικόνα : 3. Διαβάζοντας τα LogsΤώρα μπορούμε να ανοίξουμε το αρχείο μας (χρησιμοποιώντας το Microsoft Excel για παράδειγμα) και συνεπώς μπορούμε να επεξεργαστούμε τα δεδομένα. Μπορείτε να χρησιμοποιήσετε και το άρθρο Web Proxy Log Fields για περισσότερες πληροφορίες για κάθε πεδίο μέσα σε αυτόν τον πίνακα καθώς και τα παρακάτω άρθρα : Object source http://technet.microsoft.com/en-us/library/cc441680.aspx Return code http://technet.microsoft.com/en-us/library/cc441734.aspx Cache status http://technet.microsoft.com/en-us/library/cc441710.aspx Ένα στοιχείο το οποίο θα παρατηρήσετε καθώς επεργάζεστε τα log data είναι ότι το πεδίο ClientIP δεν εμφανίζει την IP Address όπως αυτή εμφανίζεται κανονικά στον Forefront TMG log viewer. Ο λόγος είναι ότι το client IP address αποθηκεύεται σε αυτό το format διότι είναι απαραίτητο να αποθηκεύονται τόσο IPV4 όσο και IPV6 addresses στο ίδιο field type. Αναλυτικότερα οι IPv4 και IPv6 addresses απεικονίζονται χρησιμοποιώντας διαφορετικού μεγέθους δεδομένα (different-sized data) και έχουμε διαθέσιμο μόνο ένα πεδίο (field), και έτσι ο Forefront TMG κωδικοποιεί τις IPv4 addressμε έναν ειδικό τρόπο. Για να έχουμε την τιμή αυτή σε μορφή dotted-decimal IPv4, θα πρέπει να την μετρέψουμε. Στο παραπάνω παράδειγμα, η τιμή C0A8019A-ffff-0000-0000-000000000000 αναφέρεται σε μια IPv4 address. Για να μετρέψουμε την παραπάνω τιμή σε dotted-decimal ακολουθούμε την παρακάτω μέθοδο : · Διαχωρίζουμε τα πρώτα οκτώ ψηφία σε δεκαεξαδικά ζεύγη, όπως τα C0, A8, 01, 9A · Μετρέψτε αυτές τις τιμές στις αντίστοιχες δεκαδικές : C0 = 192 A8 = 168 01 = 1 9A = 154 · Συνενώστε τις δεκαδικές τιμές με την σειρά την οποία εμφανίζονται χρησιμοποιώντας ενδιάμεσα τελείες “.”: 192.168.1.154 Ολοκληρώνοντας, αποθηκεύουμε τις IPv4 στο παρακάτω format: xxxxxxxx-ffff-0000-0000-000000000000. Για να αυτοματοποιήσουμε την διαδικασία μετατροπής, μπορούμε να δημιουργήσουμε μια καινούρια στήλη στο Microsoft Excel την οποία θα ονομάσουμε ClientIPV4Converted (ή οποιοδήποτε όνομα το οποίο θέλετε) και γράψτε την παρακάτω formula σε αυτή την κυψέλη (B2): =HEX2DEC(MID(A17,2)) &"."&HEX2DEC(MID(A17,3,2))&"."&HEX2DEC(MID(A17,5,2))&"."&HEX2DEC(MID(A17,7,2)) Παρατηρήστε το αποτέλεσμα : A B 1 ClientIP ClientIPV4Converted 2 {C0A8019A-FFFF-0000-0000-000000000000} 192.168.1.154 4. Συμπέρασμα Αυτά τα απλά βήματα μπορεί να είναι εξαιρετικά χρήσιμα για τους administrators έτσι ώστε να έχουν ταχύτατη πρόσβαση στα TMG logs σε μορφή flat file έτσι ώστε να μπορούν να τα διαχειριστούν κατά τον τρόπο με τον οποίο επιθυμούν. Ο σκοπός αυτού του άρθρου είναι να καταδείξει ότι το ενσωματωμένο εργαλείο του Microsoft SQL Server Express μπορεί να μας βοηθήσει στο Forefront TMG log maintenance.

Αγαπητοί συνάδελφοι, Χριστός Ανέστη. Τα Windows 7 είναι η τελευταία έκδοση του desktop λειτουργικού συστήματος της Microsoft η οποία βασίζεται στα ισχυρά σημεία και τις αδυναμίες των προκατόχων του, τα Windows XP και τα Windows Vista. Κάθε πτυχή του βασικού λειτουργικού συστήματος, καθώς και οι υπηρεσίες που τρέχει αλλά συνάμα και ο τρόπος που διαχειρίζεται τις εφαρμογές που φορτώνονται στο εσωτερικό έχει αναθεωρηθεί με σκοπό να καταστεί πιο ασφαλής, όσο ποτέ. Όλες οι υπηρεσίες έχουν ενισχυθεί και νέες επιλογές ασφάλειας, το καταστούν πλέον το πιο αξιόπιστο επιτραπέζιο λειτουργικό σύστημα. Εκτός από τις βασικές βελτιώσεις του συστήματος και των νέων υπηρεσιών, τα Windows 7 προσφέρουν περισσότερες λειτουργίες ασφαλείας, ενισχυμένες δυνατότητες ελέγχου και παρακολούθησης σε συνδυασμό με την δυνατότητα κρυπτογράφησης των απομακρυσμένων συνδέσεων και των δεδομένω αυτών. Στα Windows 7, επίσης, υπάρχουν εσωτερικά συστήματα προστασίας για την προάσπιση του λειτουργικού συστήματος και σημαντικών τμημάτων αυτού όπως τα Kernel Patch Protection, Service Hardening, Data Execution Prevention, Address Space Layout Randomization, και τα Mandatory Integrity Levels. Παρακάτω παραθέτω το link το οποίο αναφέρεται στην δομή ασφαλείας των Microsoft Windows 7 : http://www.windowsecurity.com/articles/Windows-7-Security-Primer-Part1.html Ελπίζω ότι θα σας φανεί ιδιαίτερα χρήσιμο.

Αγαπητοί συνάδελφοι της κοινότητας καλησπέρα και σας εύχομαι Καλή Ανάσταση σε όλους σας και στις οικογένειές σας. Λαμβάνοντας αφορμή από την πρόσφατη δημοσίευση με τίτλο "Second MX record for exchange", παρακάτω παραθέτω το παρακάτω άρθρο αυτούσιο στην Αγγλική. Δυστυχώς δεν είχα τον απαραίτητο χρόνο για να το μεταφράσω. Ελπίζω ότι ο xrisxal2000 θα βρει τις απαντήσεις τις οποίες χρειάζεται στο θέμα του στο άρθρο αυτό. Ιορδάνης Τσαφαρίδης Configure MX Records for Incoming SMTP E-Mail TrafficHow do I configure and test the MX Record for my Internet Domain name? When you want to run your own mail server, and it does not matter what version and make of mail server you're using - as long as the mail server is using SMTP as the e-mail transfer mechanism - you'll need to configure the MX Records for your domain. MX is an acronym for Mail eXchange. MX is defined in RFC 1035. It specifies the name and relative preference of mail servers for the zone. MX is a DNS record used to define the host(s) willing to accept mail for a given domain. I.e. an MX record indicates which computer is responsible for handling the mail for a particular domain. Without proper MX Records for your domain, only internal e-mail will be delivered to your users. External e-mail from other mail servers in the world will not be able to reach your server simply because these foreign servers cannot tell to which server they need to "talk" (or open a connection to) in order to send the mail destined for that domain. You can have multiple MX records for a single domain name, ranked in preference order. If a host has three MX records, a mailer will try to deliver to all three before queuing the mail. MX Records must be in the following format: domain.com. IN MX 10 mail.domain.com. The Preference field is relative to any other MX Record for the zone and can be on any value between 0 and 65535. Low values are more preferred. The preferred value is usually 10 but this is just a convention, not a thumb rule. Any number of MX Records may be defined. If the host is in the domain it requires an A Record. MX Records do not need to point to a host in the same zone, i.e. an MX Record can. point to an A Record that is listed in any zone on that DNS or any other DNS server. External and Internet-connected networks When connecting your mail server to the Internet (or to another ex-organizational mailing system that uses SMTP) you must always make sure that the rest of the world can successfully resolve your domain's MX Record. Failing to do so will cause e-mail traffic not to be delivered to you. In order to properly configure your domain's MX Record you should contact your ISP (Internet Service Provider) or the party responsible for hosting your DNS Domain name. They will ask you for your FQDN (Fully Qualified Domain Name) and IP address of your mail server. Make sure you know them. When your mail server is connected directly to the Internet In cases where no NAT (Network Address Translation) is being used and where your mail server is directly connected to the Internet, you will need to provide them with the FQDN and IP address of your mail server. Note: This is, by far, the least secure method for connecting a mail server to the Internet. Let's say you have the following LAN configuration: In the above example you need to give the mail server's IP address as your MX Record. Domain name: dpetri.net Record FQDN Record Type Record Value MX Pref mail.dpetri.net A 212.143.143.130 dpetri.net MX mail.dpetri.net 10 You should make sure the ISP has had all the necessary routing tables updated in order to provide Internet availability to your internal IP network range. Note: It doesn't matter if the real host name of the mail server is NOT "mail". Internet hosts don't mind that, they just need to know what's the name of the mail server, and what's the IP address for that name. When NAT is being used In cases where NAT (Network Address Translation) is being used you will need to provide them with the IP address of your external NAT interface, and configure your NAT device with Static Mapping for TCP Port 25, and have all TCP Port 25 traffic forwarded to the internal IP address of your mail server. Let's say you have the following LAN configuration: In the above example you need to give the NAT's IP address as your MX Record. Domain name: dpetri.net Record FQDN Record Type Record Value MX Pref mail.dpetri.net A 192.90.1.1 dpetri.net MX mail.dpetri.net 10 Note: Make sure you properly configure the NAT device to forward all TCP Port 25 traffic to 192.168.0.10. When a Mail Relay is being used In cases where you have a DMZ (Demilitarized Zone) with a Mail Relay host (i.e. Linux, Windows 2000/2003 + IIS and SMTP, a dedicated appliance and so on) you will need to provide the FQDN and IP address of your Mail Relay machine, and configure the Firewall to only allow TCP Port 25 traffic to be sent to the Mail Relay's IP address, not to your real mail server. You should then configure the Mail Relay to forward the incoming e-mail traffic to the real mail server (after scanning it for spam, viruses and so on). Let's say you have the following LAN configuration: In the above example you need to give the Mail Relay's IP address as your MX Record. Domain name: dpetri.net Record FQDN Record Type Record Value MX Pref mail.dpetri.net A 192.90.1.17 dpetri.net MX mail.dpetri.net 10 Note: Make sure you properly configure the Firewall device to forward all TCP Port 25 traffic to 192.90.1.17, and to allow 192.90.1.17 to send TCP Port 25 traffic to your internal mail server at 192.168.0.10. Also, make sure you let the internal mail server communicate only with the Mail Relay device and that you set up an SMTP Connector on the mail server and configure it to relay all external mail to the Mail Relay. Note: Some networks might use the Internet Router as their NAT device, and let the Firewall do just that. In those cases, the scenario is a mixture between option #2 (NAT) and this one. Internal networks As stated above, there is usually no need to configure MX Records for internal use, simply because internal (i.e. inter-organization) e-mail and replication traffic is usually controlled via Active Directory-store information. However there are some cases where you will want to configure internal MX Records. While these MX Records will generally not cause any harm even if you configure them without actually needing them, you must pay close attention to various configuration issues, especially when Mail-Relays and Smart-Hosts are involved. Therefore I cannot say for sure if configuring non-necessary MX Records will cause any problems to your local network. If you do not know for sure (and this might be the case since you've bothered to read this article in the first place) I suggest you consult a network specialist before doing any changes. Fault Tolerance In case your mail server fails you'd like to still be able to receive incoming e-mail messages. Most small to medium sized companies will pay their ISPs some monthly fee and that will buy them storage space on the ISPs mail servers. For that to happen, a new MX Record will be added to their DNS information, pointing to the ISPs mail server with a higher priority. For example: Record FQDN Record Type Record Value MX Pref mail.dpetri.net A 192.90.1.17 mail.isp.com A 212.143.25.1 dpetri.net MX mail.dpetri.net 10 dpetri.net MX mail.isp.com 100 Load Balancing Medium to large sized companies will want to configure some load balancing features for their incoming mail servers. For that to happen, the company must set up a number of mail servers, each one with a different IP address (actually, one can use Network Load Balancing - NLB, or even clustering but that's a topic for a different article). Then new MX Records will be added to their DNS information, pointing to the mail servers, all with the same priority. For example: Record FQDN Record Type Record Value MX Pref maila.dpetri.net A 192.90.1.17 mailb.dpetri.net A 192.90.1.18 mailc.dpetri.net A 192.90.1.19 mail.isp.com A 212.143.25.1 dpetri.net MX maila.dpetri.net 10 dpetri.net MX mailb.dpetri.net 10 dpetri.net MX mailc.dpetri.net 10 dpetri.net MX mail.isp.com 100 Testing the MX Record configuration Testing the MX Record configuration is critical especially when configuring it for the first time with a new ISP you don't know that well and so on. Use NSLOOKUP or DIG or any other DNS querying tool to make sure your records are set straight. Sample screenshot is of an NSLOOKUP test to Microsoft's MX Records: Also, make sure you can connect to the mail server by using the MX Record information. You can do so by using Telnet, as described in the SMTP, POP3 and Telnet in Exchange 2000/2003 and Test SMTP Service in IIS and Exchange articles.

Ημερομηνία Δημοσίευσης : Τρίτη 30 Μαρτίου 2010 This bulletin summary lists security bulletins released for March 2010. The full version of the Microsoft Security Bulletin Summary for March 2010 can be found at http://www.microsoft.com/technet/security/bulletin/ms10-mar.mspx. With the release of the out-of-band security bulletin on March 30, 2010, this revised bulletin summary replaces the out-of-band bulletin advance notification originally issued on March 29, 2010. The revised bulletin summary Web page includes the out-of-band security bulletin as well as the security bulletins already released on March 9, 2010. For more information about the bulletin advance notification service, see http://www.microsoft.com/technet/security/Bulletin/advance.mspx. To receive automatic notifications whenever Microsoft Security Bulletins are issued, subscribe to Microsoft Technical Security Notifications on http://www.microsoft.com/technet/security/bulletin/notify.mspx. Microsoft will host a webcast to address customer questions on the out-of-band security bulletin on Tuesday, March 30, 2010, at 1:00 PM Pacific Time (US & Canada). Register for the Security Bulletin Webcast at http://www.microsoft.com/technet/security/bulletin/summary.mspx. Microsoft also provides information to help customers prioritize monthly security updates with any non-security, high-priority updates that are being released on the same day as the monthly security updates. Please see the section, Other Information. Critical Security Bulletins =========================== Microsoft Security Bulletin MS10-018 - Affected Software: - Affected Software: - Internet Explorer 5.01 Service Pack 4 when installed on Microsoft Windows 2000 Service Pack 4 - Internet Explorer 6 Service Pack 1 when installed on Microsoft Windows 2000 Service Pack 4 - Internet Explorer 6 for Windows XP Service Pack 2 and Windows XP Service Pack 3 - Internet Explorer 6 for Windows XP Professional x64 Edition Service Pack 2 - Internet Explorer 6 for Windows Server 2003 Service Pack 2 - Internet Explorer 6 for Windows Server 2003 x64 Edition Service Pack 2 - Internet Explorer 6 for Windows Server 2003 with SP2 for Itanium-based Systems - Internet Explorer 7 for Windows XP Service Pack 2 and Windows XP Service Pack 3 - Internet Explorer 7 for Windows XP Professional x64 Edition Service Pack 2 - Internet Explorer 7 for Windows Server 2003 Service Pack 2 - Internet Explorer 7 for Windows Server 2003 x64 Edition Service Pack 2 - Internet Explorer 7 for Windows Server 2003 with SP2 for Itanium-based Systems - Internet Explorer 7 in Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2 - Internet Explorer 7 in Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2 - Internet Explorer 7 in Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected) - Internet Explorer 7 in Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected) - Internet Explorer 7 in Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 - Internet Explorer 8 for Windows XP Service Pack 2 and Windows XP Service Pack 3 - Internet Explorer 8 for Windows XP Professional x64 Edition Service Pack 2 - Internet Explorer 8 for Windows Server 2003 Service Pack 2 - Internet Explorer 8 for Windows Server 2003 x64 Edition Service Pack 2 - Internet Explorer 8 in Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2 - Internet Explorer 8 in Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2 - Internet Explorer 8 in Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected) - Internet Explorer 8 in Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected) - Internet Explorer 8 in Windows 7 for 32-bit Systems - Internet Explorer 8 in Windows 7 for x64-based Systems - Internet Explorer 8 in Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 Server Core installation not affected) - Internet Explorer 8 in Windows Server 2008 R2 for Itanium-based Systems - Impact: Remote Code Execution - Version Number: 1.0

LoadingΕάν ξέραμε τι θα ερχόταν, όλοι θα είμασταν προφήτες. Η M86 Security στην παρακάτω παρουσίαση παρουσιάζει τις προβλέψεις της για τις πιθανές απειλές οι οποίες πρόκειται κατά το 2010 να προκαλέσουν προβλήματα σε Η/Υ και δίκτυα, και προσφέρει κάποιες συμβουλές για την καταπολέμησή τους. Αυτό που καταγράφεται στην παρουσίαση περιλαμβάνει: * Τι μάθαμε για το 2009 * Αναγνωρίζοντας τα ψεύτικα μηνυμάτα από τα πραγματικά και η αντιμετώπιση αυτών * Γιατί η βελτιστοποίηση μηχανών αναζήτησης μπορεί να είναι πολύ αποτελεσματική * Το BOT πρόβλημα και γιατί είναι εδώ για να μείνει * Γιατί το «νόμιμο», δεν σημαίνει και «ασφαλές» Στο παρακάτω link μπορείται να καταβάσετε την συγκεκριμένη παρουσίαση της M86 Security : http://www.m86security.com/predictions_2010/ Ελπίζω ότι θα την βρείτε χρήσιμη.

Με τον Forefront Identity Manager και σε συνδυασμό με το Active Directory, έχουμε μια πλήρη λύση όσον αφορά την διαχείριση της ταυτότητας και της πρόσβασης των χρηστών σε ένα εταιρικό ή άλλης μορφής δίκτυο. Με τον ForeFront Identity Manager ο οποίος είναι ο διάδοχος του Identity Lifecycle Manager 2007 η Microsoft και πάλι πρωτοπορεί. περισσότερες πληροφορίες στο παρακάτω link : http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx

Ο σκοπός του συγκεκριμένου άρθρου είναι πώς να εξαγάγουμε και να εισαγάγουμε το σύνολο της διαμόρφωσης του Forefront TMG (ή τμήματα της διαμόρφωσης TMG) για backup και πειραματικούς σκοπούς. ΕισαγωγήΟ Forefront TMG καθιστά εύκολο να αναπαραχθεί η όλη ρύθμιση ή τμήματα της διαμόρφωσης για σκοπούς δημιουργίας αντιγράφων ασφαλείας σε περίπτωση έκτακτης ανάγκης ή απλά για την δημιουργία αντιγράφων ασφαλείας σε μια διαμόρφωση κλώνο σε έναν άλλο διακομιστή με εγκατεστημένο τον TMG Server. Ο Forefront TMG χρησιμοποιεί τον εγγραφέα VSS (Volume Shadow Copy Service) έτσι ώστε να εξάγει τη διαμόρφωση σε ένα αρχείο .Xml και στην ουσία αναθέτει σαν πάροχος στην υπηρεσία VSS την εξαγωγή της διαμόρφωσης σε XML αρχείο. Σε περίπτωση επαναφοράς, ο πάροχος VSS χρησιμοποιεί αυτό το αρχείο για την αποκατάσταση της διαμόρφωσης, χρησιμοποιώντας τη λειτουργία εισαγωγής του Forefront TMG. Backup & restore ολόκληρης της διαμόρφωσηςΞεκινήστε την κονσόλα διαχείρισης του Forefront TMG έτσι ώστε να δημιουργήσετε ή να αποκαταστήσετε το σύνολο της διαμόρφωσης του TMG. Είναι αναγκαίο να δημιουργούμε σε τακτά χρονικά διαστήματα αντίγραφα ασφαλείας ολόκληρης της διαμόρφωσης του TMG, και θα πρέπει να είναι μέρος του προγράμματος πρόληψης καταστροφών και αποκατάστασης των συστημάτων σας. Εικόνα 1: Αντίγραφο ασφαλείας του συνόλου της διαμόρφωσης του TMG. Εκκινήστε το οδηγό εξαγωγής της διαμόρφωσης του TMG. Εικόνα 2: Εκκινήστε το οδηγό εξαγωγής της διαμόρφωσης του TMG. Εάν θέλετε να εξαγάγετε εμπιστευτικές πληροφορίες όπως NPS (RADIUS) μοιραζόμενα μυστικά, καθορίστε έναν κωδικό πρόσβασης με τουλάχιστον 8 χαρακτήρες για την κρυπτογράφηση των πληροφοριών. Αν και εσείς θέλετε να κάνετε backup των λογαριασμών των διαχειριστών τουTMG, θα πρέπει να ενεργοποιήσετε το checkbox για να εξαχθούν τα δικαιώματα των χρηστών. Εικόνα 3: Καθορισμός των παραμέτρων εξαγωγής της διαμόρφωσης του TMG. Καθορίστε μια τοποθεσία για το αρχείο εξαγωγής. Η τοποθεσία θα πρέπει να είναι σε NTFS διαμορφωμένο αποθηκευτικό χώρο με σκοπό την παροχή δικαιωμάτων NTFS για τη διασφάλιση του αρχείου και σε περίπτωση απώλειας του διακομιστή θα πρέπει να αποθηκεύσετε το αρχείο XML σε άλλο διακομιστή, ο οποίος δεν είναι ο διακομιστής TMG. Εικόνα 4: Τοποθεσία εξαγωγής αρχείου διαμόρφωσης. Αναλόγως με το μέγεθος του αρχείου διαμόρφωσης του TMG η διαδικασία εξαγωγής μπορεί να διαρκέσει αρκετό χρόνο. Εικόνα 5: Διαδικασία εξαγωγής. Εάν σας ενδιαφέρει να μελετήσετε το περιεχόμενο του εξαχθέντος αρχείου XML, δεν έχετε παρά να εισάγετε το αρχείο με την εντολή Open του Microsoft Internet Explorer, ή κάνοντας χρήση ενός XML file viewer. Εικόνα 6: Τα περιεχόμενα του αρχείου XML. Εισαγωγή της διαμόρφωσης του TMGΣε περίπτωση καταστροφής, είναι δυνατόν να εισάγουμε το σύνολο της διαμόρφωσης του Forefront TMG. Πρώτα επανεγκαταστήσετε το λειτουργικό σύστημα σε περίπτωση αποτυχίας του λειτουργικού συστήματος (Operating System Failure), και στη συνέχεια εγκαταστήστε ξανά τον Forefront TMG με τις προεπιλεγμένες ρυθμίσεις και μετά την έναρξη του Forefront TMG μέσα από την κονσόλα διαχείρισης πραγματοποιούμε την εισαγωγή της διαμόρφωσης TMG. Εικόνα 7: Εισαγωγή της διαμόρφωσης του TMG. Καθορίστε την τοποθεσία στην οποία έλαβε χώρα η εξαγωγή της διαμόρφωσης του TMG. Εικόνα 8: Καθορίστε την τοποθεσία του αρχείου XML. Είναι δυνατόν να εισαχθεί ή να αντικατασταθεί η τρέχουσα διαμόρφωση του TMG. Εάν θέλετε να επαναφέρετε ολόκληρη την διαμόρφωση του TMG επιλέξτε την αντικατάσταση (αποκατάσταση). Εικόνα 9: Εισαγωγή ή αντικατάσταση της διαμόρφωσης του TMG. Επιλέξτε τις πληροφορίες που θέλετε να εισαγάγετε. Εικόνα 10: Επιλογή δεδομένων προς εισαγωγή. Προσδιορίστε τον κωδικό που χρησιμοποιείται για την προστασία των εμπιστευτικών πληροφοριών κατά την εξαγωγή της διαμόρφωσης του Forefront TMG σε αρχείο το οποίο θα εισαχθεί (overwrite) στην τρέχουσα διαμόρφωση TMG. Εικόνα 11: Εισαγωγή κωδικού προστασίας του προς εξαγωγή αρχείου. Η προς εισαγωγή διαμόρφωση θα αντικαταστήσει την υφιστάμενη διαμόρφωση του Forefront TMG, συνεπώς θα ήταν ασφαλέστερο να εξάγουμε πρώτα την τρέχουσα διαμόρφωση έτσι ώστε να μπορούμε να επιστρέψουμε στην προηγούμενη διαμόρφωση εάν κάτι πάει στραβά κατά τη διάρκεια της διαδικασίας εισαγωγής. Εικόνα 12: Επιβεβαιώστε την διαδικασία αντικατάστασης. Η διαδικασία εισαγωγής μπορεί να διαρκέσει λίγο χρόνο ανάλογα με τον όγκο των πληροφοριών στο εξαγόμενο αρχείο και την επεξεργαστική ισχύ της υπολογιστικής μηχανής. Εικόνα 13: Εισαγωγή της διαμόρφωσης. Μετά την επιτυχημένη εισαγωγή της διαμόρφωσης θα πρέπει να εφαρμόσετε τις αλλαγές στις παραμέτρους, όπως φαίνεται στο παρακάτω screenshot. Εικόνα 14: Εφαρμογή των αλλαγών. Δημιουργία αντιγράφων ασφαλείας και επαναφορά τμημάτων της διαμόρφωσης του TMGΕίναι δυνατόν να εξάγουμει σχεδόν τα πάντα από τη διαμόρφωση TMG σε XML. Για παράδειγμα, είναι δυνατόν να εξάγουμε το σύνολο των κανόνων του τείχους προστασίας(Firewall), ορισμούς πρωτοκόλλων, τα δίκτυα και πολλά άλλα. Το παρακάτω screenshot δείχνει τη λειτουργία των εξαγωγών του συνόλου Firewall Policy. Εικόνα 15: Εξαγωγή του συνόλου των κανόνων του τείχους προστασίας. Το επόμενο παράδειγμα δείχνει το παράθυρο διαλόγου για εξαγωγή ενός URL που δημιουργήθηκε από το Forefront TMG στην εργαλειοθήκη του Forefront TMG. Εικόνα 16: Εξαγωγή επιλεγμένων αντικειμένων. Εισαγωγή της διαμόρφωσης ενός ISA Server 2006Υποστηρίζεται επίσημα η μετάβαση από το ISA Server 2006 στον Forefront TMG. Ως πρώτο βήμα, πρέπει να εξάγουμε την διαμόρφωση του ISA Server 2006 και ενσυνεχεία πρέπει να εγκαταστήσουμε τον Forefront TMG σε ένα νέο διακομιστή με λειτουργικό σύστημα Windows Server 2008 R2. Μετά την ολοκλήρωση της εγκατάστασης του λειτουργικού συστήματος, συνεχίζουμε με την εγκατάσταση του Forefront TMG. Ολοκληρώνοντας εφόσον τώρα θα εισάγουμε το αρχείο διαμόρφωσης του ISA Server 2006 θα πρέπει να κλείσουμε τον wizard του Microsoft Forefront TMG ο οποίος εμφανίζεται αμέσως μετά την ολοκλήρωση της εγκατάστασης του Microsoft Forefront TMG . Τέλος εισαγάγουμε το αρχείο αρχείο διαμόρφωσης του ISA Server 2006 με την επιλογή της αντικατάστασης (overwrite). Εικόνα 17: Εισαγωγή της διαμόρφωσης του ISA Server 2006. Δημιουργία αντιγράφων ασφαλείας και αποκατάσταση χρησιμοποιώντας τον VSS Writer.Μπορείτε να δημιουργήσετε αντίγραφα ασφαλείας και επαναφοράς της διαμόρφωσης του Forefront TMG χρησιμοποιώντας το Volume Shadow Copy Service (VSS). Στον Forefront TMG, η διαμόρφωση είναι αποθηκευμένη σε μια εμφάνιση (instance) του Active Directory Lightweight Directory Services (AD LDS). Όταν χρησιμοποιείτε την υπηρεσία VSS για την δημιουργίς αντιγράφων ασφαλείας και επαναφορά της διαμόρφωσης του Forefront TMG, ο Forefront TMG καλεί τον AD LDS VSS Writer. Το όνομα της συμβολοσειράς γι’ αυτόν τον συγγραφέα (Writer) είναι "ISA Writer". Το αναγνωριστικό για το συγγραφέα μητρώου είναι 25F33A79-3162-4496-8A7D-CAF8E7328205. Για να δείτε το συγγραφέα VSS ξεκινήσετε μια γραμμή εντολών με την εκτέλεση του CMD.EXE και πληκτρολογήστε το κείμενο vssadmin λίστα Συγγραφέων. Το παρακάτω screenshot δείχνει την έξοδο vssadmin. Εικόνα 18: VSSadmin output Άλλα πράγματα για τα οποία μπορείται να δημιουργήσετε αντίγραφα ασφαλείαςΤι άλλο πρέπει να έχουμε στο εναλλακτικό σχέδιο μας; Είναι πάντα μια καλή ιδέα η δημιουργία αντιγράφων ασφαλείας για ολόκληρο τον Forefront TMG Server με ένα πρόγραμμα δημιουργίας αντιγράφων ασφαλείας, όπως το ενσωματωμένο στα Windows Sever πρόγραμμα δημιουργίας αντιγράφων ασφαλείας. Για μια κανονική διαδικασία επαναφοράς θα πρέπει να είναι αρκετό να επανεγκαταστήσετε το Forefront TMG και να εισάγετε το αρχείο backup XML. Σε περίπτωση πλήρους αποτυχίας του λειτουργικού συστήματος, εγκαταστήστε ξανά το λειτουργικό σύστημα, εγκαταστήστε ξανά το Forefront TMG και εισαγάγετε το αρχείο αντιγράφου ασφαλείας της διαμόρφωσης του Forefront TMG. Στην περίπτωση που θα χάσετε όλα τα αρχεία καταγραφής, που δημιουργήθηκαν από τον Forefront TMG και η πολιτική ασφαλείας σας δεν το επιτρέπει αυτό, θα πρέπει να δημιουργήσετε αντίγραφα ασφαλείας των αρχείων καταγραφής (log files) και της βάσης δεδομένων που δημιουργήθηκε από τη βάση δεδομένων MSDE ή από τα TMG αρχεία καταγραφής (text log files), αλλά αυτό είναι εκτός του πεδίου του παρόντος άρθρου. Πιστοποιητικά ΑσφαλείαςΤα SSL πιστοποιητικά δεν αποτελούν μέρος της δημιουργίας αντιγράφων ασφαλείας στον Forefront TMG. Αν έχουν εκδοθεί πιστοποιητικά για την έκδοση του OWA ή κάτι άλλο σε HTTPS, είναι απαραίτητο να εξάγουμε τα πιστοποιητικά με άλλα εργαλεία. Τα πιστοποιητικά SSL αποθηκεύονται στις υπολογιστικές μηχανές σε τοπική αποθήκευση. Μπορείτε να χρησιμοποιήσετε την υπηρεσία Certutil.exe, από την γραμμή εντολών για την δημιουργία αντιγράφων ασφαλείας και επαναφορά των SSL πιστοποιητικών ή το Certificate MMC Snap για την εξαγωγή των πιστοποιητικών από το GUI. ΣυμπεράσματαΣε αυτό το άρθρο, σας έδωσα μια γενική εικόνα της εξαγωγής και επαναφοράς της διαμόρφωης του Microsoft Forefront TMG. Η πρωτοπορία της Microsoft στον TMG είναι ότι επιτρέπει με ένα απλό αντίγραφο ασφαλείας την αποκατάσταση του συνόλου της διαμόρφωσης του Forefront TMG ή μόνο τμημάτων της διαμόρφωσης του TMG. Θα ήθελα να συστήσω δημιουργία αντιγράφων ασφαλείας του TMG κάνοντας χρήση ενός εξειδικευμένου προγράμματος αντιγράφων ασφαλείας.

ΕισαγωγήΟ σκοπός αυτού του άρθρου ειναι να παρουσιάσουμε το πως μπορούμε να χρησιμοποιήσουμε τα Microsoft Forefront TMG network templates, καθώς επίσης και τον τρόπο με τον οποίο μπορούμε να δημιουργήσουμε επιπλέον δίκτυα (additional networks). Τέλος θα παρουσιάσουμε και την μεθοδολογία με την οποία μπορούμε να παραμετροποιήσουμε τις ρυθμίσεις δικτύου του Forefront TMG (Customizing TMG network settings). Ας Ξεκινήσουμε Ο Forefront TMG χρησιμοποιεί το πρότυπο του πολλαπλού δικτύου (concept of multi networking). Για να καθορίσουμε την τοπολογία δικτύου μπορούμε να δημιουργήσουμε δίκτυα μέσα στον Forefront TMG. Εφόσον όλα τα απαραίτητα δίκτυα έχουν δημιουργηθεί, τότε είναι δυνατόν χρησιμοποιώντας δύο τύπων κανόνες δικτύου (Networking Rules) να φέρουμε σε επικοινωνία - συσχετισμό τα δημιουργηθέντα δίκτυα μεταξύ τους. Ο Forefront TMG υποστηρίζει τους παρακάτω δύο τύπους κανόνων δικτύου : Route – Ο δικτυακός κανόνας του τύπου Route καθορίζει – εφαρμόζει μια δικτυακή σύνδεση διπλής κατεύθυνσης (bidirectional network connection) μεταξύ δύο δικτύων η οποία επιτρέπει την διαμεταγωγή δεδομένων χρησιμοποιώντας τις αυθεντικές διευθύνσεις IP μεταξύ αυτών των δικτύων. NAT - Ο δικτυακός κανόνας του τύπου NAT (Network Address Translation) εφαρμόζει μια δικτυακή σύνδεση μονής κατεύθυνσης μεταξύ δύο δικτύων, ο οποίος εφαρμόζει μάσκες στις διευθύνσεις IP από το τμήμα δικτύου με τη διεύθυνση IP του προσαρμογέα δικτύου που αντιστοιχεί Forefront TMG. Αφότου τα Δίκτυα και οι Κανόνες δικτύου έχει δημιουργηθεί, θα πρέπει να δημιουργήσουμε τους κανόνες Firewall οι οποίοι επιτρέπουν ή δεν επιτρέπουν την κυκλοφορία δεδομένων δικτύου (network traffic) μεταξύ των συνδεδεμένων δικτύων. Network templatesΓια να διευκολυνθεί η διαμόρφωση του Forefront TMG, ο TMG προβλέπει την δημιουργία δικτυακών προτύπων τα οποία επιτρέπουν τη δημιουργία τυπικών σεναρίων Firewall. Βεβαίως είναι δυνατόν να αλλάξει ο σχεδιασμός του δικτύου αναπάσα στιγμή μετά την αρχική εγκατάσταση. Το μόνο που έχετε να κάνετε είναι να ξεκινήσει η Getting Started Wizard στο TMG κονσόλα διαχείρισης. Το παρακάτω screenshot δείχνει την εκκίνηση Ξεκινώντας θέση οδηγού. Εικόνα 1: Forefront TMG Getting Started Wizard Διαμορφώσετε τις ρυθμίσεις δικτύουΜε την εκκίνηση του οδηγού - Getting Started Wizard – ο TMG μας επιτρέπει να επιλέξουμε το απαιτούμενο δικτυακό πρότυπο. Ο Forefront TMG έρχεται με 4 templates δικτύου : Edge Firewall 3-Leg perimeter Back firewall Single network Adapter Edge Firewall Το πρότυπο (Template) δικτύου Edge Firewall είναι ένα κλασικό πρότυπο δικτύου και συνδέει το εσωτερικό δίκτυο με το Διαδίκτυο, τα οποία προστατεύονται από τον Forefront TMG. Χαρακτηριστικό του προτύπου Edge Firewall είναι ότι απαιτεί τουλάχιστον δύο προσαρμογείς δικτύου για την Forefront TMG Server. 3-Leg Perimeter Το πρότυπο (Template) δικτύου 3-Leg Perimeter Firewall αποτελεί έναν Forefront TMG Server με τρεις ή περισσότερους προσαρμογείς δικτύου. Ένας προσαρμογέας δικτύου συνδέει το εσωτερικό δίκτυο, ένας προσαρμογέας δικτύου που συνδέεται με το εξωτερικό δίκτυο, και ένας προσαρμογέας δικτύου που συνδέεται με την DMZ (αποστρατικοποιημένη ζώνη), που ονομάζεται επίσης και περιμετρικό δίκτυο. Το Περιμετρικό δίκτυο περιλαμβάνει υπηρεσίες, οι οποίες θα πρέπει να είναι προσβάσιμες από το Internet, αλλά ταυτόχρονα προστατεύεται από τον Forefront TMG. Τυπικές υπηρεσίες στην DMZ είναι Web Servers, DNS Servers ή WLAN δικτύων. Το πρότυπο 3-Leg Perimeter Firewall επίσης συχνά ονομάζεται "Firewall του φτωχού", επειδή δεν είναι μια "πραγματική" DMZ. Μια αληθινή DMZ είναι η ζώνη μεταξύ δύο διαφορετικών εμπορικών σημάτων Firewall (π.χ. Cisco, FortiNet). BackfirewallΤο πρότυπο (Template) δικτύου Back Firewall μπορεί να χρησιμοποιηθεί από τον Administrator του Forefront TMG, όταν ο ForeFront TMG βρίσκεται πίσω από ένα Front Firewall. Το Back Firewall προστατεύει το εσωτερικό δίκτυο από την πρόσβαση από την DMZ και το εξωτερικό δίκτυο καθώς επίσης ελέγχει την κίνηση στο δίκτυο η οποία επιτρέπεται από τους DMZ hosts και από τον Front Firewall. Σημείωση : Ο Forefront TMG δεν περιλαμβάνει κανενός είδους πρότυπο δικτύου (network template) Front Firewall. Single Network AdapterΤο πρότυπο (Template) δικτύου Single Network Adapter έχει κάποιους περιορισμούς, επειδή αποτελεί έναν Forefront TMG server με μια και μόνη διεπαφή δικτύου, και δεν μπορεί να χρησιμοποιηθεί ως ένα πραγματικό τείχος προστασίας, με συνέπεια πολλές υπηρεσίες δεν είναι διαθέσιμες. Μόνο τα ακόλουθα χαρακτηριστικά είναι διαθέσιμα: Προωθώντας Web Proxy αιτήματα μεσολάβησης που χρησιμοποιούν HTTP, Secure HTTP (HTTPS), ή File Transfer Protocol (FTP) για downloads Cache περιεχόμενο στον Παγκόσμιο Ιστό (Cache Web content) για χρήση από τους πελάτες σχετικά με το εταιρικό δίκτυο Web Publishing με σκοπό να συμβάλει στην προστασία δημοσιευμένων Web ή FTP servers Microsoft Outlook Web Access, το ActiveSync, και κλήση απομακρυσμένης διαδικασίας (RPC) μέσω HTTP εκδόσεων (που ονομάζεται επίσης Outlook Anywhere στον Exchange Server 2007 και άνω) Εικόνα 2: Επιλογή δικτυακού προτύπου Ως επόμενο βήμα, επιλέξτε το προσαρμογείς δικτύου που θα πρέπει να χρησιμοποιούνται για το δίκτυο αυτό το πρότυπο. Για αυτό το παράδειγμα χρησιμοποιείται το Edge Firewall πρότυπο κι επομένως θα πρέπει να επιλέξετε τον προσαρμογέα δικτύου που συνδέεται με το LAN και τον προσαρμογέα δικτύου που συνδέεται με το εξωτερικό (μη αξιόπιστο) δίκτυο. Εικόνα 3: Επιλογή προσαρμογέα δικτύου Στον Forefront TMG είναι πλέον δυνατόν να καθορίσετε πρόσθετες γραμμές του δικτύου με το UI. Δεν χρειάζεται να χρησιμοποιήσετε την εντολή Route add από τη γραμμή εντολών. Το παρακάτω screenshot δείχνει την προεπιλογή των δικτύων που δημιουργούνται από την εγκατάσταση του Microsoft Forefront TMG. Μόνο το εσωτερικό δίκτυο έχει τη δυνατότητα να ρυθμίσει τις περιοχές διευθύνσεων IP. Εικόνα 4: Forefront TMG δίκτυα Ο Forefront TMG έρχεται με ενσωματωμένους ορισμένους κανόνες δικτύου που καθορίζουν τις σχέσεις μεταξύ των δικτύων. Εικόνα 5: Forefront TMG – Δικτυακοί κανόνες Επίσης, νέο στοιχείο στον Microsoft Forefront TMG είναι η ενσωματωμένη δυνατότητα να καθορίζει ο χρήστης κάποιες βασικές ρυθμίσεις του προσαρμογέα δικτύου, όπως οι διευθύνσεις IP, Default Gateways και περισσότερο. Εικόνα 6: Forefront TMG – Προσαρμογείς δικτύου Το παρακάτω screenshot δείχνει τις επιλογές διαμόρφωσης για τους προσαρμογείς δικτύου του TMG. Εικόνα 7: Forefront TMG – Ιδιότητες διευθύνσεων IP. Με τον Forefront TMG είναι πλέον δυνατόν να δημιουργηθούν νέες γραμμές δικτύου (new network routes), κάνοντας χρήση της κονσόλα διαχείρισης του TMG. Εικόνα 8: Forefront TMG Network routes Το παρακάτω screenshot δείχνει ένα παράδειγμα δημιουργίας μιας νέας διαδρομής στην υπάρχουσα τοπολογία δικτύου και η λειτουργία αυτή γίνεται στο παράθυρο διαλόγου με τίτλο : Network Topology Route. Εικόνα 9: Forefront TMG – Δημιουργία νέας διαδρομής στην υπάρχουσα τοπολογία δικτύου. Νέα δίκτυα στον TMGΕίναι δυνατόν να δημιουργηθούν επιπλέον δίκτυα στον Forefront TMG. Ο Forefront TMG έρχεται με ενσωματωμένο οδηγό για τη δημιουργία νέων δικτύων. Εικόνα 10: Forefront TMG – Νέο όνομα δικτύου Νέα δίκτυα μπορούν να δημιουργηθούν για διάφορους τομείς. Για παράδειγμα, είναι δυνατόν να δημιουργηθεί ένα νέο δίκτυο για επιπλέον DMZ στον Microsoft Forefront TMG. Εικόνα 11: Forefront TMG – Καθορισμός τύπου δικτύου Προσδιορίστε το εύρος διευθύνσεων IP για το νέο δίκτυο. Εικόνα 12: Forefront TMG – Εύρος διευθύνσεων IP Αφότου το νέο δίκτυο έχει δημιουργηθεί, θα πρέπει να συνδέσουμε το νέο δίκτυο με έναν υπάρχον κανόνα δικτύου ή αντίστοιχα είναι δυνατόν να δημιουργήσουμε έναν νέο σχεσιακό κανόνα δικτύου τύπου Route ή NAT. Εξάγωγή και εισαγωγή ρυθμίσεων δικτύουΕίναι δυνατόν να εξάγουμε όλες τις ρυθμίσεις του Forefront TMG (Forefront TMG networks and network settings) σε ένα αρχείο XML με τις ενσωματωμένες δυνατότητες εισαγωγής και εξαγωγής του Forefront TMG. Εικόνα 13: Forefront TMG – Εξαγωγή και εισαγωγή ρυθμίσεων δικτύου ΣυμπέρασμαΣε αυτό το άρθρο, προσπάθησα να σας δώσω μια γενική εικόνα σχετικά με τον τρόπο χρήσης των δικτύων, των προτύπων δικτύων και των κανόνων δικτύου του Forefront TMG με σκοπό να δημιουργήσετε την δική σας τοπολογία δικτύου με τον TMG. Όπως έχετε δει σε αυτό το άρθρο είναι πολύ εύκολο να δημιουργήσετε μια τοπολογία του δικτύου με τη βοήθεια των προτύπων δικτύου. Ο Forefront TMG έχει μερικές χρήσιμες βελτιώσεις που σχετίζονται με τη διαμόρφωση του δικτύου. Είναι ένα καλό χαρακτηριστικό γνώρισμα ότι είναι πλέον δυνατόν για τους διαχειριστές του TMG να δημιουργούν διαδρομές δικτύου με την κονσόλα διαχείρισης του TMG και ότι επίσης είναι δυνατόν να ρυθμίσετε μερικές βασικές ρυθμίσεις των διευθύνσεων IP με την κονσόλα του TMG. Οι περισσότερες από τις υπόλοιπες ρυθμίσεις παρέμειναν αμετάβλητες σε σύγκριση με τον Microsoft ISA Server 2006.

Με τον όρο Relaying αναφερόμαστε στην μεταφορά μηνυμάτων ηλεκτρονικού ταχυδρομείου από ένα server σε έναν άλλο. Είναι απαίτηση να μην επιτρέπεται σε μη εξουσιοδοτημένους αποστολείς (unauthorized senders) – με άλλα λόγια spammers – να χρησιμοποιούν τον Exchange Server σας ως SMTP relay έτσι ώστε να κρύβουν την πραγματική διεύθυνση των μηνυμάτων τα οποία στελνουν. Με το κείμενο αυτό θέλω παρουσιάσω μια μεθοδολογία βάση της οποίας μπορούμε να διαπιστώσουμε εάν ο mail server μας κάνει ή όχι relaying. H διαδικασία είναι πολύ απλή και το μόνο το οποίο απαιτείται είναι ένας ηλεκτρονικός υπολογιστής ο οποίος βρίσκεται εκτός του δικτύου της εταιρίας στην οποία εργάζεται ο καθένας μας. Όλες οι εντολές οι οποίες απαιτούνται παρουσιάζονται στους παρακάτω πίνακες και εκτελούνται από command prompt. Στα παρακάτω παραδείγματα, όπου mail.example.com είναι ο mail server για τον οποίον θέλετε να διαπιστώσετε εάν κάνει relaying ή όχι. Αντιστοίχως [email protected] είναι ένας έγκυρος λογαριασμός ηλεκτρονικού ταχυδρομείου στον συγκεκριμένο email server - στο παράδειγμά μας mail.example.gr (μπορεί να είναι και μια fake email address) - , και τέλος [email protected] είναι ο λογαριασμός ηλεκτρονικού ταχυδρομείου στον οποίο θέλετε να στείλετε το συγκεκριμένο μήνυμα. Οι εντολές τις οποίες πρέπει να πληκτρολογήσετε είναι αυτές οι οποίες βρίσκονται στην αριστερή στήλη του κάθε πίνακα και οι απαντήσεις τις οποίες θα πρέπει να λάβετε βρίσκονται στην δεξιά στήλη του κάθε πίνακα. Το παρακάτω παράδειγμα παρουσιάζει έναν mail server ο οποίος ΔΕΝ ΕΠΙΤΡΕΠΕΙ relaying. Πληκτρολογείτε το παρακάτω κείμενο Ο Server πρέπει να απαντήσει TELNET mail.example.gr 25 Trying 10.10.10.1. Connected to mail.example.gr. Escape character is '^]'. 220 mail.example.gr HELO mail.example 250 OK MAIL FROM:<[email protected]> 250 OK - Mail from <[email protected]> RCPT TO:<[email protected]> 550 Relaying is prohibited QUIT 221 Closing connect, good bye Το παρακάτω παράδειγμα παρουσιάζει έναν mail server ο οποίος ΕΠΙΤΡΕΠΕΙ relaying. Πληκτρολογείτε το παρακάτω κείμενο Ο Server πρέπει να απαντήσει TELNET mail.example.gr 25 Trying 10.10.10.1. Connected to mail.example.gr. Escape character is '^]'. 220 mail.example.gr HELO mail.example 250 OK MAIL FROM:<[email protected]> 250 OK - Mail from <[email protected]> RCPT TO:<[email protected]> 250 OK DATA 354 End data with <CR><LF><CR><LF> From: [email protected] To: [email protected] Subject: Relay test This is a relay test and only a test. (type <CR><LF>.<CR><LF> or [enter].[enter] to end data) 250 OK: Queued as T22122A5 QUIT 221 Closing connect, good bye Οδηγίες για τις ρυθμίσεις οι οποίες απαιτούνται έτσι ώστε ο MS - Exchange 2003 να μην λειτουργεί ως open relay θα βρείτε σε αυτόν τον σύνδεσμο : http://www.petri.co.il/preventing_exchange_2000_2003_from_relaying.htm Οδηγίες για τις ρυθμίσεις οι οποίες απαιτούνται έτσι ώστε ο MS - Exchange 2007 να μην λειτουργεί ως open relay παρουσιάζονταιπαρακάτω : Open exchange 2007 console and go to "Organization Configuration" and then to "Hub Transport" Select "Transport Rules" tab From the "Action Pane" on the right select "New Transport Rule" Type any name and any comment and press next From the conditions window select "From users inside or outside my organization" and "Send to users inside or outside my organization" and from the details select the "Inside" links and switch both to "outside" then press next From the "Actions" window select the last action "Silently drop the message" and press next If you have any exceptions you can configure it in the "Exceptions" window ,If not just press next again Press "New" then "finish" Τα παραπάνω απαγορεύουν οποιοδήποτε email το οποίο έχει αποσταλεί από τον οποιοδήποτε εκτός της εταιρίας στην οποία εργάζεστε και παραλήπτης είναι πάλι κάποιος ο οποίος είναι εκτός της εταιρίας, δηλαδή δεν επιτρέπει στον Microsoft Exchange Server 2003/2007 να γίνει relay server. Αγαπητοί συνάδελφοι την κοινότητας ελπίζω να το βρείτε χρήσιμο. Ιορδάνης Τσαφαρίδης

Θανάση βεβαίως και το έχω δοκιμάσει. Μάλιστα βρίσκεται σε λειτουργία από τον περασμένο Οκτώβριο χωρίς προβλήματα. Ιορδάνης

Αγαπητοί συνάδελφοι του autoexec.gr παρακάτω σας παραθέτω την Εφαρμογή αλγορίθμου ασφαλείας Captcha Validation σε περιβάλλον OWA 2007 με Forms-Based Authentication. Δεδομένης της αυξανόμενης ζήτησης για ασφάλεια σε κάθε μορφή διαδικτυακής επικοινωνίας πιστεύω ότι το παρακάτω άρθρο είναι πολύ χρήσιμο για όποιον θέλει πραγματικά να ασφαλίσει με ένα επιπλέον επίπεδο ασφαλείας το logon page του outlook web access 2007. Δυστυχώς λόγω ελλείψεως χρόνου δεν προλαβαίνω να μεταφράσω το κείμενο από τα αγγλικά στα Ελληνικά, αλλά το κείμενο είναι απόλυτα κατανοητό : CAPTCHA stands for Completely Automated Public Turing test to tell Computers and Humans Apart. You will no doubt have seen this implemented in various web pages as an image of a visually distorted common word, which must be typed into an input field, thus proving that you are indeed a real person. This has become necessary to prevent the actions of bots, which roam the web looking for opportunities to inject spam into message boards, etc. Shown here in Figure 1 is an example of such an image. The idea is that a human user will recognize the word 'part', whereas a spambot will not. Figure 1: A CAPTCHA image displaying the word 'part' OWA Forms-based Authentication is very secure by itself, of course, since you still need to supply valid credentials to log in, but there is still a significant amount of interest in adding CAPTCHA validation to it. Here, I will show how it can be done by modifying Exchange's logon.aspx file. I have chosen to use a freely available CAPTCHA script written by Jonathan Feaster, which is available for download from Archreality (http://www.archreality.com/jcap/) . This script uses JavaScript, and unlike some other solutions has the advantage of not requiring a second .aspx page to process the form input; the validation is done by the user's browser before the credentials are sent to the OWA server. Any CAPTCHA scripts which require a second page will not work with FBA, since there is no opportunity to insert anything between the logon page and the OWA GUI. Procedure First, extract the files to a suitable place on the server. There are two .js files, and a folder named cimg, which contains the word images to be displayed on the logon page. Place the entire extracted jcap folder in the C:\Program Files\Microsoft\Exchange Server\ClientAccess\Owa\auth folder as shown in figure 2: Figure 2: The extracted jcap files in the auth folder Next, use Explorer to locate the logon.aspx file that creates the FBA logon page. This is inside the same auth folder that you just placed the jcap folder into. Before doing anything else, make a backup copy of the logon.aspx file. Right-click it, then select Copy, then right-click the folder, and then select Paste. This creates a copy of your logon.aspx file named 'Copy of logon.aspx' . If your modifications are unsuccessful, you will need to revert to this original file to restore FBA functionality. Now, open the logon.aspx using Notepad. I'm going to insert the image just above the 'Public Computer' radio button, so press F3 and search for the text rdoPblc . Assuming that you successfully found the text, insert the following just before the preceding <tr> tag: <script type="text/javascript" language="javascript" src="jcap/md5.js"></script> <script type="text/javascript" language="javascript" src="jcap/jcap.js"></script> <script type="text/javascript" language="javascript"> function doJcap() { if (jcap() == true) {document.forms[0].action = "owaauth.dll"; return true;} else return false } </script> <tr><td colspan="2" align="center"> Enter the code as it is shown below <script language="JavaScript">sjcap();</script> <noscript>This resource requires a JavaScript enabled browser</noscript> </td></tr> The result should look something like figure 3: Figure 3: The amended contents of logon.aspx in Notepad Next, press CTRL-HOME to go back to the top of the file, and then press CTRL-F, and search for the text <form (without a closing angled bracket). Assuming that you successfully found the form tag, remove its action attribute and replace it with the following text: onsubmit="return doJcap();" This part of the page should now look like that shown in figure 4: Figure 4: The modified <form> tag Now save the file back to disk, and close Notepad. All that is required now is a small change to the jcap.js file that was saved in C:\Program Files\Microsoft\Exchange Server\ClientAccess\Owa\auth\jcap . Right-click the jcap.js file, and select Edit. It should open in Notepad. On the line that begins with var imgdir, you need to change the path to point to the current location of the cimg folder. Change it so that the beginning of the line looks like this: var imgdir = "/owa/auth/jcap/cimg/"; The complete line looks like this: Figure 5: Defining the path to the image files Save the file, and we're finished. The next time you open the FBA logon page, it should look something like this (figure 6). Also shown is the alert message displayed if the typed text does not match the distorted text in the image when you click the Log On button. Figure 6: The modified FBA logon page Please remember that due to updates made by Exchange service packs and patches, future versions of the logon.aspx file may be different to the version shown. The basic principles described should, however, remain the same. References CAPTCHA described at Wikipedia Turing test discussed at Wikipedia The CAPTCHA Project · A CAPTCHA or Captcha (pronounced /ˈkæptʃə/) is a type of challenge-response test used in computing to ensure that the response is not generated by a computer. The process usually involves one computer (a server) asking a user to complete a simple test which the computer is able to generate and grade. Because other computers are unable to solve the CAPTCHA, any user entering a correct solution is presumed to be human. Thus, it is sometimes described as a reverse Turing test, because it is administered by a machine and targeted to a human, in contrast to the standard Turing test that is typically administered by a human and targeted to a machine. A common type of CAPTCHA requires that the user type letters or digits from a distorted image that appears on the screen. · The term "CAPTCHA" (based upon the word capture) was coined in 2000 by Luis von Ahn, Manuel Blum, Nicholas J. Hopper (all of Carnegie Mellon University), and John Langford (then of IBM). It is a contrived acronym for "Completely Automated Public Turing test to tell Computers and Humans Apart." Carnegie Mellon University attempted to trademark the term,[2] but the trademark application was abandoned on 21 April 2008.[3] Currently, CAPTCHA creators recommend use of reCAPTCHA as the official implementation.[4] Ελπίζω να το βρείτε χρήσιμο. Ιορδάνης Τσαφαρίδης

Αγαπητοί συνάδελφοι του Autoexec.gr ως μέλος της κοινότητας θα ήθελα να δηλώσω ότι θα είναι χαρά μου να παραβρεθώ στην εκδήλωση αυτή. Ιορδάνης Τσαφαρίδης

Πρόσφατα λόγω κάποιας δυσλειτουργίας στην εγκατάσταση του Microsoft Exchange Server 2007 SP2, αναγκάστηκα να επαναφέρω τον Exchange Server 2007 μέσω του λογισμικού Symantec BackUp Exec for Windows Servers με επιτυχία. Εν συνεχεία εγκατέστησα εκ νέου με επιτυχία το Microsoft Exchange Server 2007 SP2. Το πρόβλημα το οποίο υπάρχει είναι ότι ενώ το Microsoft Outlook 2007, αποστέλει μηνύματα ηλεκτρονικού ταχυδρομείου, δεν λαμβάνει μηνύματα. Εάν συνδεθώ μέσω του Microsoft Outlook Web Access τα νέα μηνύματα λαμβάνονται κανονικά και τα βλέπω. Μετά από έρευνα στο διαδίκτυο το πρόβλημα εντοπίζεται στο ότι υπάρχει Outlook Cache Synchronization after Exchange 2007 restore. Εάν κάποιος από τους αγαπητούς συναδέλφους του autoexec.gr έχει αντιμετωπίσει με επιτυχία αυτό το πρόβλημα θα παρακαλούσα πάρα πολύ να έχω την μεθοδολογία επίλυσής του. Ευχαριστώ πολύ εκ των προτέρων για την βοήθειά σας. Δρ Ιορδάνης Τσαφαρίδης BTI Hellas AEE

Σε ευχαριστώ πολύ πρώτα απ' όλα για την άμεση ανταπόκριση. Τα δύο πρώτα σημεία τα οποία αναφέρεις τα έχω ήδη περάσει από λεπτομερή έλεγχο. Τώρα όσον αφορά το τρίτο, να κάνω telnet τον exchange server από τον gfi faxmaker server και το αντίστροφο? Βέβαια θα ήθελα να ενημερώσω την παρέα του autoexec ότι ψάχνοντας στο διαδίκτυο το πρόβλημα απ'ότι φαίνεται είναι γνωστό σε πολύ κόσμο και το γνωρίζει και η ίδια η microsoft. Ευχαριστώ πολυ για μια ακόμη φορά. Ιορδάνης Τσαφαρίδης

Αγαπητοί φίλοι του autoexec.gr, θα παρακαλούσα να έχω την βοήθειά σας στο παρακάτω πρόβλημα το οποίο αντιμετωπίζω : Στην εταιρία στην οποία εργάζομαι έχω εγκατεστημένο τον Microsoft Exchange Server 2007 SP1, σε λειτουργικό περιβάλλον windows Server 2008 active directory. Το σύστημα λειτουργεί άψογα εκτός από την συνεργασία του με το GFI Faxmaker Server for Exchange SMTP λογισμικό το οποίο τρέχει σε ξαχωριστό server. Για να είναι δυνατή η λήψη και η αποστολή fax μέσω απαιτείται η δημιουργία στον Exchange server ενός Receive και ενός Send Connector. O Receive Connector είναι απαραίτητος για την λήψη των εισερχομένων fax, ενώ ο δε Send Connector για την αποστολή των εξερχομένων fax. Ο Receive Connector λειτουργεί άψογα σε αντίθεση με τον Send Connector ο οποίος δεν λειτουργεί και παρουσιάζει το παρακάτω μήνυμα λάθους στην κονσόλα του Exchange server/Toolbox/queue viewer: 451 4.4.0 Primary Terget IP address responded with error : 421 4.2.1 Unable to Connect. Αυτό έχει ως αποτέλεσμα να μην είναι η δυνατή η αποστολή μηνυμάτων fax της μορφής τηλ_αριθμός@faxmaker.com ([email protected]) μέσω του microsoft outlook 2007. Κάθε πρόταση για βοήθεια δεκτή. Δρ Ιορδάνης Τσαφαρίδης Υπεύθυνος Μηχανογράφησης BTI Hellas A.E.E.