Dieters Forefront Blog

Wer kennt ihn nicht, Tom Shinder, den Erfolgsautor englischer ISA Server-Bücher. Nun hat er ein Buch über die aktuelle 2006er Version von ISA Server veröffentlicht mit dem Titel: ISA Server 2006 Migration Guide.

Seit heute ist das - von einigen lange erwartete - Service Pack 1 für 2007 Microsoft Office verfügbar.

Die deutsche Version hat 226MB und kann hier heruntergeladen werden.

Was sich mit diesem Service Pack verändert oder verbessert hat, wurde in KB-Artikel 936982 ausführlich dokumentiert.

Ihr kennt den nun folgenden Satz sicherlich schon auswendig ;-): Vor einer produktiven Installation bitte immer testen!

Viele Grüße
Dieter

--
Dieter Rauscher
MVP ISA Server

Seit gut einem Monat habe ich als Teststellung eine Celestix MSA 2000 Appliance bei uns im Büro im Einsatz. Gemeinsam mit Marc Grote möchte ich dazu etwa im Januar/Februar einen Testbericht auf der msisafaq.de veröffentlichen.

Nur soviel vorweg: Der erste Eindruck ist gut. Die Ersteinrichtung war wirklich schnell und einfach. Mal kurz am Rad gedreht und schon war die interne IP-Adresse konfiguriert. Dann per Webbrowser drauf und den Rest fertigstellen. 99% aller üblichen Konfigurationsarbeiten kann man per Webbrowser vornehmen. Ob das nun gut oder schlecht ist bleibt jedem selber überlassen.

Ich hoffe, euch bald mehr berichten zu können.

Viele Grüße
Dieter

--
Dieter Rauscher
MVP ISA Server

Über den bevorstehenden Launch von Windows Server 2008, SQL Server 2008 und Visual Studio 2008 (manchmal auch als LOK-Launch [Longhorn, Orcas, Katamai] bezeichnet) habe ich ja schon berichtet. Ich werde dort als ATE (Ask the Expert) dabei sein.

Zur Vorbereitung auf das Event und zur Diskussion, Planung und sonstiges wurde vor einigen Tagen eigens eine Gruppe auf XING eröffnet. Dort könnt ihr Fragen stellen, mit anderen Gruppenteilnehmern diskutieren und auch Antworten auf viele organisatorische Fragen finden.

Ihr findet den Zugang zur Gruppe hier - und nach einer kurzen Anmeldeprozedur könnt ihr daran teilnehmen. 

Wer XING nicht kennt: XING (früher als OpenBC bekannt) ist ein Social Networking-System, in dem ihr Kontakte pflegen könnt. Eine gute Erklärung dazu gibt es in der Wikipedia.

Viele Grüße
Dieter

--
Dieter Rauscher
MVP ISA Server

Immer wieder mittwochs.....

Dienstag Abend wurde ich mit einem merkwürdigen Problem konfrontiert: Ein Exchange Server 2007 Edge lehnte scheinbar willkürlich Mails mit unterschiedlichen Anlagen ab - unabhängig von deren Größe. Der Absender bekam stets eine Verzögerungsbenachrichtigung und dann letztendlich eine Unzustellbarkeitsbenachrichtigung. Prima, sowas liebe ich. Keine Regelmäßigkeit, nichts. Der Edge-Server ist an einen 10MBit/s-Glasfaseranschluß angeschlossen und alle MessageSize Limits sind auf 100MB gesetzt.

Also, dutzende Tests machen, um doch eine Regelmäßigkeit zu finden. Mit einem nützlichen SMTP-Test-Tool zuerstmal von intern Mails mit großen Anlagen (50MB) an den Edge gesendet. Ergebnis: problemlos. Dann selbe Mail von extern über einen DSL-Anschluß. Mail wurde abgelehnt mit der Fehlermeldung "10053 Software caused connection abort." Das Agentlog am Edge schreibt folgendes dazu:

12444 2007-12-04T19:38:49.544Z,08CA04C0B8E6AD63,10.201.1.70:25,82.207.207.134:1261,82.207.207.134,34034708l.43709031l1240852l1l@test.tld,dieter@test.tld,dieter@test.tld;,postmaster@test.tld,1,Content Filter Agent,OnEndOfData,AcceptMessage,,SCL,not available: filter unable to process message. Failure at function ID SmartScreenEvaluate : System.Runtime.InteropServices.COMException (0x800710F0): The message provided exceeds the maximum size allowed for this parameter. (Exception from HRESULT: 0x800)

Sehr aufschlußreich, wie ich finde ;-)

Das SMTPReceive Log enthält (hier am Beispiel eines späteren Versuchs) folgende Einträge:

+ 25173 2007-12-04T22:00:12.480Z,edge\ReceiveConnector,08CA04D820129110,0,10.201.1.70:25,82.207.207.134:49375,+,,
+ 25174 2007-12-04T22:00:12.480Z,edge\ReceiveConnector,08CA04D820129110,1,10.201.1.70:25,82.207.207.134:49375,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
+ 25175 2007-12-04T22:00:12.480Z,edge\ReceiveConnector,08CA04D820129110,2,10.201.1.70:25,82.207.207.134:49375,>,"220 mail.test.tld Microsoft ESMTP MAIL Service ready at Tue, 4 Dec 2007 23:00:11 +0100",
+ 25176 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,3,10.201.1.70:25,82.207.207.134:49375,<,EHLO VISTANB02,
+ 25177 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,4,10.201.1.70:25,82.207.207.134:49375,>,250-mail.test.tld Hello [82.207.207.134],
+ 25178 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,5,10.201.1.70:25,82.207.207.134:49375,>,250-SIZE 104857600,
+ 25179 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,6,10.201.1.70:25,82.207.207.134:49375,>,250-PIPELINING,
+ 25180 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,7,10.201.1.70:25,82.207.207.134:49375,>,250-DSN,
+ 25181 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,8,10.201.1.70:25,82.207.207.134:49375,>,250-ENHANCEDSTATUSCODES,
+ 25182 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,9,10.201.1.70:25,82.207.207.134:49375,>,250-AUTH,
+ 25183 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,10,10.201.1.70:25,82.207.207.134:49375,>,250-8BITMIME,
+ 25184 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,11,10.201.1.70:25,82.207.207.134:49375,>,250-BINARYMIME,
+ 25185 2007-12-04T22:00:12.556Z,edge\ReceiveConnector,08CA04D820129110,12,10.201.1.70:25,82.207.207.134:49375,>,250 CHUNKING,
+ 25186 2007-12-04T22:00:12.753Z,edge\ReceiveConnector,08CA04D820129110,13,10.201.1.70:25,82.207.207.134:49375,<,RSET,
+ 25193 2007-12-04T22:00:17.606Z,edge\ReceiveConnector,08CA04D820129110,14,10.201.1.70:25,82.207.207.134:49375,>,250 2.0.0 Resetting,
+ 25194 2007-12-04T22:00:17.651Z,edge\ReceiveConnector,08CA04D820129110,15,10.201.1.70:25,82.207.207.134:49375,<,MAIL FROM: <dieter@test.tld>,
+ 25195 2007-12-04T22:00:17.651Z,edge\ReceiveConnector,08CA04D820129110,16,10.201.1.70:25,82.207.207.134:49375,*,08CA04D820129110;2007-12-04T22:00:12.480Z;1,receiving message
+ 25196 2007-12-04T22:00:17.651Z,edge\ReceiveConnector,08CA04D820129110,17,10.201.1.70:25,82.207.207.134:49375,>,250 2.1.0 Sender OK,
+ 25197 2007-12-04T22:00:17.697Z,edge\ReceiveConnector,08CA04D820129110,18,10.201.1.70:25,82.207.207.134:49375,<,RCPT TO:<postmaster@test.tld>,
+ 25198 2007-12-04T22:00:18.332Z,edge\ReceiveConnector,08CA04D820129110,19,10.201.1.70:25,82.207.207.134:49375,>,250 2.1.5 Recipient OK,
+ 25199 2007-12-04T22:00:18.422Z,edge\ReceiveConnector,08CA04D820129110,20,10.201.1.70:25,82.207.207.134:49375,<,DATA,
+ 25200 2007-12-04T22:00:18.422Z,edge\ReceiveConnector,08CA04D820129110,21,10.201.1.70:25,82.207.207.134:49375,>,354 Start mail input; end with <CRLF>.<CRLF>,
+ 26145 2007-12-04T22:05:13.890Z,edge\ReceiveConnector,08CA04D820129110,22,10.201.1.70:25,82.207.207.134:49375,>,421 4.4.1 Connection timed out,
+ 26146 2007-12-04T22:05:13.890Z,edge\ReceiveConnector,08CA04D820129110,23,10.201.1.70:25,82.207.207.134:49375,-,,Local

Dann das Notebook zwischen Internet Router und ISA Server gehängt und selbe Testmail verschickt - problemlos. Damit wollte ich überprüfen, dass der ISA Server ordnungsgemäß arbeitet.

Mit Christians Hilfe haben wir dann Testmails von einem weiteren Internetzugang mit 4MBit/s verschickt. Auch abgelehnt.

Nach mehrfachen Tests und Auswerten der Logfiles kamen wir darauf, dass immer genau nach 5 Minuten folgender Eintrag auftaucht: 4.1.1 Connection timed out. Auch ein Netzwerkmonitor-Trace bestätigt dies, obwohl der Sender nicht fertig ist mit dem Übertragen der E-Mail.

Das brachte Christian dann auf die beiden Parameter ConnectionTimeout und ConnectionInactivityTimeout, die man an einem ReceiveConnector konfigurieren kann - Danke Christian, das nächste Bier geht auf mich!

-ConnectionTimeout:
This parameter specifies the maximum time that a connection can remain open, even if the connection is actively transmitting data. The default value for a Receive connector that is configured on a Hub Transport server is 10 minutes The default value for a Receive connector that is configured on an Edge Transport server is 5 minutes. To specify a value, enter the value as a time span: dd.hh:mm:ss, where d = days, h = hours, m = minutes, and s = seconds. The value specified by the ConnectionTimeout parameter must be greater than the value specified by the ConnectionInactivityTimeout parameter. The valid input range for either parameter is 00:00:01 to 1.00:00:00.

-ConnectionInactivityTimeout:
This parameter specifies the maximum amount of idle time before a connection to a Receive connector is closed. The default value for a Receive connector that is configured on a Hub Transport server is 5 minutes. The default value for a Receive connector that is configured on an Edge Transport server is 1 minute. To specify a value, enter the value as a time span: dd.hh:mm:ss, where d = days, h = hours, m = minutes, and s = seconds. The value specified by the ConnectionTimeout parameter must be greater than the value specified by the ConnectionInactivityTimeout parameter. The valid input range for either parameter is 00:00:01 to 1.00:00:00.

Aha! Die Verbindung wird also IMMER nach 5 Minuten getrennt, even if the connection is actively transmitting data. Also unabhängig davon, ob noch Daten übertragen werden. Geile Sache. Da dachte wohl jemand, alle Welt wäre mit 10 Gigabit/s-Internetzugängen ausgestattet....

Also den ConnectionTimeout auf 30 Minuten gesetzt und erneut getestet - siehe da, die Mails konnten zugestellt werden und das Problem ist damit gelöst. Jetzt darf die Übertragung einer Mail maximal 30 Minuten betragen - was auch für größere Mails nun ausreichen sollte.

Aus Sicherheitsgründen sollte jedoch das ConnectionInactivityTimeout auf einem niedrigen Wert bleiben, da sonst zu leicht Verbindungen mutwillig offengehalten werden können.

In diesen Stunden soll die RC1-Version des Service Pack 1 für Windows Vista für MSDN- und TechNet-Abonnenten verfügbar sein, ab nächster Woche uneingeschränkt für jeden.

Hier ein paar Informationen, die ich vom Windows Client Communication Team erhalten habe, die für euch nützlich sein könnten:

What’s important to know:

• We are targeting to deliver SP1 RTM in Q1 CY08, and we will collect customer and partner feedback from our beta program before setting a final date.
• Windows Vista SP1 is an update to Windows Vista that, along with improvements delivered to users via Windows Update and via our hardware and software partners, addresses key feedback from our customers.
• Windows Vista SP1 will provide key improvements around security, performance and reliability, especially around scenarios that are most important to end users and businesses including:

1. All previously released updates since RTM
2. Performance and reliability improvements in core scenarios such as file copy, network browsing, and improved response time to resume from sleep.
3. The installation experience is improved as compared to the beta. This is evidenced by higher install reliability rates, smaller standalone installer size, less disk space required for install and reduced install time.
4. There are improvements to the administration experience. One of the most important changes we’re making is that BitLocker now supports encrypting for multiple volumes. 

• Customers currently evaluating and deploying Windows Vista should continue their evaluation, pilot programs, and deployment on Windows Vista RTM.  Microsoft provides the tools and guidance customers need to deploy Windows Vista today.                
• Customers just starting to evaluate Windows Vista should plan a pilot program, targeting the PCs that gain the most business value from Windows Vista (for example, many organizations will find that mobile PCs get the most benefits) and present the simplest upgrade from Windows Vista RTM to SP1. (A customer ready white paper discussing best practices for running a pilot can be found here: http://technet2.microsoft.com/WindowsVista/en/library/a825cf2a-5248-4aa7-b8f5-a074339c729c1033.mspx)  
• Customers who choose to wait for Windows Vista SP1 should start their compatibility testing on Windows Vista RTM now, and then begin their evaluation and pilot programs on the RC of Windows Vista SP1 when it is released.  Windows Vista includes architectural changes relative to Windows XP, in the interest of improved security and reliability. However, these changes can cause some applications which work on Windows XP not to work on Windows Vista.  It is important to note that these architectural changes are also part of Windows Vista SP1.  For this reason, testing applications on Windows Vista RTM will be a very good proxy for compatibility with Windows Vista SP1. 

Weitere Infos dazu könnte ihr auch dem Windows Vista Team-Blogeintrag Announcing Windows Vista SP1 Release Candidate (RC) entnehmen.

Viele Grüße
Dieter

--
Dieter Rauscher
MVP ISA Server

Im Juni gab es die erste Runde an technischen Chats mit US MVPs für Exchange und Security.

Das TechNet Team bei Microsoft in den USA veranstaltet nun eine zweite Chatrunde:

Bei verschiedenen Veranstaltungen taucht auch immer wieder die Frage nach Virtualisierung von Serversystemen auf. ISA Server 2006 wird ja von Microsoft in einer virtuellen Umgebung unter Virtual Server 2005 R2 unterstützt.

Forefront Client Security (FCS) wird hingegen derzeit NICHT in einer virtuellen Maschine unterstützt.

Weitere Informationen dazu im KB 897614.

Viele Grüße
Dieter

--
Dieter Rauscher
MVP ISA Server

Wer das seit 30. November verfügbare Service Pack 1 für Exchange Server 2007 auf einem Server installieren möchte, auf dem auch Forefront Security für Exchange Server (FSE) ausgeführt wird, muss zwingend zuvor das SP1 für FSE installieren. FSE ohne SP1 funktioniert nicht mit E2k7 SP1. Allerdings kann FSE mit SP1 auch ohne E2k7 SP1 eingesetzt werden.

Hinweis: Forefront Security für Exchange-Benutzer, die Exchange 2007 RTM verwenden und auf Exchange 2007 SP1 aktualisieren möchten, müssen zuerst auf Forefront Security für Exchange SP1 aktualisieren.

Hier gibt es Microsoft Forefront Security für Exchange Server mit Service Pack 1

Viele Grüße
Dieter

--
Dieter Rauscher
MVP ISA Server