February 2007 - Posts
Dieser Artikel beschreibt die notwendigen Schritte, um einen DNS-Server zu installieren, eine DNS-Zone einzurichten und diese mit Hilfe von ISA Server sicher zu veröffentlichen. Damit kann zum Beispiel eine Internetdomain gehostet werden.
Direkt zum Artikel.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
Exchange Server 2007 ist ja schon seit ein paar Tagen verfügbar und nun hat Microsoft erste Details für das Service Pack 1 bekanntgegeben. Erscheiniungstermin ist geplant für das 2. Halbjahr 2007 - im Zusammenhang mit Windows Server "Longhorn"
Hier die wesentlichen Fakten (nach derzeitigem Stand):
(Hoch-)Verfügbarkeit:
Mit Exchange Server 2007 wurden schon zwei Methoden eingeführt, um mehr Ausfallsicherheit zu gewährleisten. LCR (Local Continuous Replication) ermöglicht das redundante speichern der Logfiles auf dem selben Rechner. CCR (Clustered Continuous Replication) bietet eine Replikation der Daten zwischen 2 Servern innerhalb eines Clusters (MSCS) des gleichen Datacenters.
Neun mit SP1 soll SCR (Standby Continuous Replication) hinzukommen. Damit hat man die Möglichkeit, Daten auf einen Server zu replizieren, der nicht als Cluster konfiguriert ist (spart Geld!) und der auch nicht im selben Datacenter stehen muss (somit kann man den Backupserver an einem anderen Standort betreiben).
Mobilität:
Es sind auch neue Funktionen und Verbesserungen im Bereich der mobilen Endgeräte geplant:
- Verschlüsselung des Hauptspeichers bei mobilen Endgeräten kann erzwungen werden
- verschiedene Funktionen der mobilen Endgeräte können per Richtlinie konfiguriert (ein-/ausschalten) werden: SMS, MMS, POP3/IMAP, Kamera, WLAN, Bluetooth, Infrarot, externer Speicher
- ähnlich wie bei einem Desktop Betriebssystem können per Richtlinien Anwendungen verboten werden
Exchange Management Konsole:
-
Öffentliche Ordner (Public folder) können nun über die Managementkonsole verwaltet werden
-
POP3 und IMAP kann konfiguriert werden
-
Berechtigungen für "Senden Als" können vergeben werden
-
Verwaltungsberechtigungen können konfiguriert werden
Outlook Web Access:
Auch bei OWA sind Verbesserungen geplant, die unter anderem folgende Punkte umfassen:
-
persönliche verteilerlisten anlegen, pflegen und nutzen
-
Digitale Signatur von E-Mails durch S/MIME
-
Regeln können erstellt und verwaltet werden
-
Die Kalenderansicht "Monat" soll wieder hinzugefügt werden
-
Gelöschte Elemente können recht einfach wiederhergestellt werden
-
Rechtschreibprüfung für arabisch und koreanisch ergänzt
-
Office 2007 Dateien sollen in HTML umgewandelt und dargestellt werden können (zum Verhindern, dass Anlagen auf unsichere Clients heruntergeladen werden)
-
Zugang zu Öffentlichen Ordnern
IPv6:
Sofern Exchange Server 2007 auf einem Windows Server "Longhorn" ausgeführt wird, besteht eine komplette Unterstützung von IPv6.
Sonstiges:
Der "Move Mailbox Wizard" wird mit Funktionen erweitert, um pst-Dateien importieren und exportieren zu können. Ausserdem werden natürlich weitere Details verbessert oder geändert werden.
Ich hatte die Gelegenheit, einige der Funktionen schon etwas näher zu betrachten und ich muss sagen, das was ich gesehen habe sieht sehr gut aus! Wir können gespannt sein, wann das SP wirklich fertig wird und welche Funktionen wirklich reinkommen. Natürlich werde ich euch hier auch darüber berichten!
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
In meinem Blogeintrag vom 12. August 2006 habe ich auf die jährlich stattfindende TechEd-Konferenz in Europa hingewiesen.
Heute möchte ich auf die wesentlich größere Veranstaltung in den USA hinweisen. Die TechEd US findet dieses Jahr in Orlando, Florida vom 03. bis 08. Juni 2007 statt. Im Gegensatz zur europäischen Konferenz wechselt die amerikanische TechEd jedes Jahr den Standort. 2006 hatte ich das Vergnügen, in Boston, MA, dabei zu sein. Das war meine erste US-TechEd. Mit ca. 10000 Teilnehmern pro Jahr ist sie doppelt so groß wie in Europa. Und diese Dimensionen sind als Teilnehmer schon beeindruckend - und das bei stets sehr guter Organisation. Zur TechEd Party am vorletzten Abend mussten die Teilnehmer per Buskolonne quer durch Boston in das Baseball-Stadion der Boston RedSox gefahren werden - da sperrt die Polizei mal eben die Autobahnen ;-) OK, zurück zur Arbeit... die TechEd US hat wesentlich mehr Vorträge und naturgemäß trifft man viel mehr Microsoft-Mitarbeiter an den Ständen als in Europa oder den anderen Kontinenten. Und gerade das macht zumindest für mich die TechEd US so interessant. Aktuelle Infos "from the horse's mouth" - also aus direkter Quelle. Ebenfalls naturgemäß trifft man dort auch mehr MVPs an. Aus meiner Sicht kann ich jedem nur empfehlen, sich das mal zu überlegen.
Von der Kostenseite her ist eine TechEd US nicht viel teurer als die TechEd in Europa (zumindest solange der Dollarkurs für uns so günstig steht). Der Eintritt zur Konferenz kostet in der Frühbucherphase $1,795 (danach $1,995), ein Pre-Conference Seminar schlägt nochmals mit $350 oder $450 (je nach Inhalt) zu buche. Im günstigsten Fall sind das also $2,145, was rund 1650€ entspricht. Zum Vergleich: Die TechEd Europe kostete 2006 für Frühbucher 1895€ + 250€ für das Pre-Conference Seminar. Dazu kommen noch die Hotelkosten. Vernünftige Hotels in der Nähe des Konferenzzentrums in Orlando kosten zwischen $100 und $130 (zzgl. Steuer), was also so um die 110€ im Schnitt sind. Die Hotels in Barcelona sind da meist deutlich teurer; ich habe 2006 etwa 150€/Nacht für ein nicht besonders komfortables Hotel bezahlt. Flüge von Deutschland nach Orlando (MCO) bekommt man in diesem Zeitraum für ab etwa 650€. Dazu kommt, dass die Lebenshaltungskosten in den USA meist niedriger sind als in Europa - sprich zusätzliches Essen etc. ist in der Regel günstiger. Was man jedoch nicht vergessen darf sind die 6 Stunden Zeitverschiebung, die dem ein oder anderen - gerade wenn es ungewohnt ist - JetLag-Probleme bereiten kann.
Weitere Informationen zur TechEd US.
Also, vielleicht sieht man sich in Orlando?
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
Wenn man sich über die Leistungsfähigkeit oder mögliche Einsatzszenarien für verschiedene Softwarelösungen informieren möchte, bedeutet das in der Regel zuerstmal viel Arbeit. Entweder muss man viele Dokumentationen lesen und durcharbeiten, Vorträge oder Schulungen besuchen, einen Consultant mit einer Lösungsdemo beauftragen oder alles selber in einer Testumgebung nachbauen. Für eigene Testumgebungen eignet sich natürlich die Virtualisierungstechnik hervorragend. Ohne großen Hardwareaufwand kann man mehrere Systeme installieren und ausprobieren. Ich denke, jeder Leser dieses Blogs weiß, wovon ich schreibe. Doch auch virtuelle Umgebungen erfordern viel Zeit im Aufbau. Und wenn man zum Beispiel ein Szenario mit einem ISA Server zum Schutz interner Server nachstellen nmöchte, kommen schon einige virtuelle Maschinen zusammen. Seit einiger Zeit kann man bei Microsoft eine fertige Virtuelle Maschine für ISA Server 2006 für Testzwecke herunterladen.
Nun stellt Microsoft eine komplette Testumgebung mit nicht weniger als neun virtuellen Maschinen unter dem Namen Forefront Edge Security and Access Demonstration Toolkit als Download zur Verfügung.
Mit dieser Umgebung lassen sich vier verschiedene Szenarien darstellen (*):
-
Secure Remote Access with IAG 2007
This scenario shows Intelligent Application Gateway 2007 working with Exchange Server 2007 and Windows SharePoint Services 3.0, and optionally Dynamics CRM 3.0 (see Additional Information), being accessed via both a managed and an unmanaged client. The following features of IAG 2007 will be highlighted:
-
Secure Remote Access with ISA Server 2006
This scenario shows ISA Server 2006 working with Antigen for Exchange, Antigen for SharePoint and Windows Rights Management Services to provide comprehensive protection for Exchange Server and Windows SharePoint Services. The following features of ISA Server 2006 highlighted:
-
HTML Form Authentication
-
Single Sign-On
-
SSL Bridging
-
Branch Office Security with ISA Server 2006
This scenario shows ISA Server 2006 working with Windows Server 2003 R2 to connect, secure and optimize bandwidth between branch offices. The following features of ISA Server 2006 and Windows Server 2003 R2 will be highlighted:
-
Internet Access Protection with ISA Server 2006
This scenario shows ISA Server 2006 being used for network edge protection against internal and externally originating threats. The following features of ISA Server 2006 will be highlighted:
Nachdem man die gut 1 Gigabyte komprimierten Dateien heruntergeladen und auf 5,3 GB entpackt hat, findet man die erwähnten 9 virtuellen Maschinen im vhd/vmc-Format für VirtualPC bzw. Virtual Server. Es wird auch eine kleine hta-Anwendung mitgeliefert, die die vier Sznarien anhand erläuterter Netzwerschemata darstellt. Ein umfangreiches Worddokument mit der Dokumentation liegt ebenfalls dabei. Die Dokumentation enthält auch eine detaillierte Beschreibung, wie man die Maschinen nutzt und wie man welche Lösung einrichtet.
Folgende Microsoft-Produkte und -Technologien sind enthalten:
-
ISA Server 2006 SE
-
Intelligent Application Gateway 2007
-
Exchange Server 2003 SP2
-
Exchange Server 2007
-
Windows SharePoint Services 2.0
-
Windows SharePoint Services 3.0
-
Antigen for Exchange
-
Antigen for SharePoint
-
Windows Rights Management Services
-
Windows Server 2003 R2 EE
-
Operations Manager Server 2005 SP1 mit Management Packs für Antigen, RMS und ISA
-
Windows Defender
-
Word 2003
-
Internet Information Server 6.0
-
Zertifizierungsstelle
-
Internet Authentication Service
Ich habe mir die Umgebung angesehen und finde sie sehr nützlich. Herzlichen Dank an dieser Stelle an Ronald Beekelaar (der Ersteller der Maschinen)!
Weitere Informationen und Download
(*)
Obwohl das ein deutsch-sprachiger Blog ist, lässt es sich nicht immer verhindern, englische Zitate/Abschnitte einzufügen. Gerade bei Fachbegriffen lasse ich lieber den Originalbegriff stehen - er wird meist besser verstanden als eine deutsche Überstzung. Ausserdem ist es alles eine Frage der Zeit, die eine Übersetzung benötigt.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server
Microsoft hat im Juli 2006 die Firma "Whale Communications" aus New Jersey aufgekauft. Whale war ein Anbieter von Lösungen, um interne Anwendungen per SSL sicher zu veröffentlichen. Dabei gehen die Möglichkeiten weit über die HTTP-Filtermöglichkeiten von ISA Server hinaus. Anhand von Regular Expressions kann zum Beispiel die erlaubte URL sehr granular gefiltert werden. Verschiedene Intranetanwendungen können auf einem gesicherten Portal zusammengefasst werden und es besteht die Möglichkeit, einzelne nicht-Web-Anwendungen (wie zum Beispiel telnet.exe) über eine authentifizierte Webverbindung zu veröffentlichen (stichwort: SSL VPN).
Bevor sich ein Client überhaupt an dem Webportal oder an einer veröffentlichten Anwendung authentifizieren kann, besteht die Möglichkeit, ähnlich wie bei VPN-Quarantäne einige Sicherheitsüberprüfungen durch ein ActiveX-Control auf dem Client ablaufen zu lassen. So kann zum Beispiel auf einen aktuellen Virenscanner, auf bestimmte Netzwerkkonfigurationen oder nahezu jeder andere Parameter überprüft werden. Erst nach bestehen des Tests gelangt man zur Authentifizierung.
Seit der Übernahme durch Microsoft wurde an der Lösung weiterentwickelt und es wird an der Annäherung an die üblichen Microsoft-Vorgaben und an der Integration in die Microsoft-Infrastruktur gearbeitet. IAG wird ISA nicht ersetzen sondern als Zusatzprodukt ergänzen.
Seit dem 01. Februar ist die aktuelle Version "Intelligent Application Gateway 2007" verfügbar. Allerdings nicht als Einzelsoftwareprodukt sondern vorerst nur als Appliance zusammen mit ISA Server 2006 von den beiden Herstellern "Celestix Networks" und "Network Engines". Intelligent Application Gateway wird sich mittelfristig genauso wie ISA Server in die Forefront-Produktfamilie integrieren. Wir können gespannt sein, wie genau sich die Produkte integrieren werden und in welcher Form gerade diese beiden Lösungen künftig angeboten werden.
Ich hatte Mitte Januar die Gelegenheit, an einem einwöchigen tief technischen Training mit ausgewählten Teilnehmern zu IAG in Redmond teilzunehmen. Da haben wir sämtliche Konfigurationsmöglichkeiten und Einsatzszenarien besprochen, das sehr umfangreiche Regelwerk kennengelernt und auch feststellen müssen, dass man komplexe Anforderungen nicht in 5 Minuten erfüllen kann. Mittels asp-Seiten und xml-Konfigurationsdateien können sehr kundenindividuelle Anpassungen vorgenommen werden.
Noch ein paar Anmerkungen von mir:
In diesem Zusammenhang wird immer wieder der Begriff "SSL VPN" verwendet. Nun mag man auf den ersten Blick denken, das ist eine klassische VPN-Verbindung über IPSec/L2TP, PPTP oder OpenVPN, die einfach über HTTPS/SSL TCP 443 getunnelt wird. Naja, nicht ganz. Es wird schon eine SSL-Verbindung über TCP 443 verwendet, allerdings kein DFÜ/VPN-Netzwerk im klassischen Sinne. Eine gute Erklärung zu SSL VPN findet man in der Wikipedia.
In manchen Internetforen wird IAG belächelt. Whale war ein anerkannter und verbreiteter Anbieter dieser Technologie. Microsoft wird das nun integrieren und seine eigene Produktpalette damit erweitern. Das ist ja eigentlich nicht so ungewöhnlich. Natürlich gibt es weiterhin Marktbegleiter und andere Lösungen für diese Probemstellung. Aber mal ehrlich, gibt es nicht für nahezu alles verschiedene Alternativen? Ist nicht das gerade das, was IT ausmacht? Und jede Lösung hat seine Vor- und Nachteile. Man muss sich eben heraussuchen, was für seine individuelle Aufgabenstellung passt.
Weitere Informationen gibt es hier:
* Microsoft IAG Website
* Microsoft Forefront Website
Viele Grüße
Dieter
--
Dieter Rauscher
MVP ISA Server