• Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 1. Установка ОС на ВМ Hyper-V Gen2

    imageВ силу того, что некоторое время назад Forefront Threat Management Gateway (TMG) был изъят Microsoft из прайсов, его использование для организаций не имеющих приобретённых ранее экземпляров коробочной версии этого продукта стало невозможно. В такую ситуацию в частности попали компании, которые используют ПО Microsoft в режиме аренды по корпоративным соглашениям EA. В Сети можно найти много обсуждений и споров на тему выбора альтернативы TMG как продукта в целом, так и отдельных его функциональных компонент. Если говорить о функционале прямого прокси (forward proxy), то из вариантов не требующих финансовых затрат на лицензирование можно выбрать один из самых популярных в среде ОС Linux/BSD – кэширующий прокси сервер Squid. С этой заметки я хочу начать серию заметок о том, как установить и настроить прокси сервер Squid 3.3 на ОС Ubuntu Server 14.04 LTS. На базе этой связки ключевым условием задачи будет получение функционала прокси сервера способного проводить аутентификацию пользователей в домене Active Directory с использованием протоколов Kerberos (как приоритетного) и NTLM а также авторизацию аутентифицированных пользователей через разные доменные группы безопасности (с учетом их транзитивности).

    Выбор в качестве ОС Linux именно дистрибутива Ubuntu Server 14.04 LTS в моём случае обусловлен требованием установки ОС в виртуальной среде Hyper-V на базе Windows Server 2012 R2, и если проанализировать информацию о поддержке Linux в Hyper-V, то можно убедиться в том, что именно Ubuntu Server 14.04 на текущий момент имеет самые развитые (и развивающиеся) возможности интеграции с гипервизором Hyper-V последнего поколения.

    Читать далее...

  • System Center 2012 R2 Operations Manager Console - Operations Manager cannot connect to the Web service - The Microsoft Management Pack Catalog Web Service cannot be contacted at this time

    imageПри попытке выполнить импорт пакетов управления Management Pack (MP) в консоли System Center 2012 R2 Operations Manager (SCOM) Console из онлайн-каталога Microsoft мы можем нарваться на ошибку, говорящую о недоступности веб-службы этого самого каталога. Такая ситуация возможна в случае, если доступ в интернет организован через прокси-сервер, как в нашем случае например через Forefront TMG 2010.

    image

    На самом деле эта проблема "с бородой" и подобная ситуация наблюдалась мной ещё со времён работы с Operations Manager 2007 R2. Однако в силу того, что практически всегда MP загружались из предварительно загруженных на локальный диск файлов с таким же предварительным изучением сопроводительной документации к MP, этой ошибке я всегда как-то не уделял внимания. Но вот настал тот момент, когда очень захотелось посмотреть доступное содержимое этого каталога через консоль SCOM.

    Читать далее...

  • System Center 2012 Configuration Manager - Обновляемся до уровня SP1

    imageПродолжая тему развёртывания Service Pack 1 (SP1) для линейки продуктов Microsoft System Center (SC) 2012, в этой заметке опишу опыт обновления Configuration Manager (SCCM).

    Обновление инфраструктуры SCCM до уровня SP1 методом In-Place Upgrade будем выполнять в следующей последовательности:

    1. Обновляем сервер центрального сайта - Central Administration Site (CAS)
    2. Обновляем сервера первичных сайтов Primary Site
    3. Обновляем сервера вторичных сайтов Secondary Site
    4. Обновляем клиентов SCCM

    В данный момент все сервера инфраструктуры SCCM у нас работают на базе Windows Server 2008 R2 и SQL Server 2008 R2.

    Читать далее...

  • Forefront TMG 2010 SP2 Rollup 3

    imageНесмотря на недавние новости - Forefront FPE/FPSP/TMG 2010 – Закат жизненного цикла… команда разработчиков Forefront Threat Management Gateway (TMG) 2010 продолжает бодрствовать. На прошлой неделе стало доступно для загрузки обновление KB2735208 - Rollup 3 for Forefront TMG 2010 Service Pack 2. Обновление имеет очень скромный размер (около 12MB) и состоит исключительно их хотфиксов: 

    2700248 FIX: A server that is running Forefront Threat Management Gateway 2010 may stop accepting all new connections and may become unresponsive
    2761736 FIX: All servers in a load-balanced web farm may become unavailable in Forefront Threat Management Gateway 2010
    2761895 FIX: The Firewall service (WSPSRV.EXE) may crash when the firewall policy rules are reevaluated in Forefront Threat Management Gateway 2010
    2780562 FIX: PPTP connections through Forefront Threat Management Gateway (TMG) 2010 may be unsuccessful when internal clients try to access a VPN server on the external network
    2780594 FIX: A non-web-proxy client in a Forefront Threat Management Gateway (TMG) 2010 environment cannot open certain load-balanced websites when TMG HTTPS inspection is enabled
    2783332 FIX: You cannot log on when FQDN is used and Authentication delegation is set to "Kerberos constrained delegation" in a Forefront Threat Management Gateway 2010 environment
    2783339 FIX: A closed connection to a domain controller is never reestablished when Authentication delegation is set to "Kerberos constrained delegation" in a Forefront Threat Management Gateway 2010 environment
    2783345 FIX: Unexpected authentication prompts while you use an OWA website that is published by using Forefront Threat Management Gateway (TMG) 2010 when RSA authentication and FBA are used
    2785800 FIX: A "DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)" Stop Error may occur on a server that is running Forefront Threat Management Gateway (TMG) 2010
    2790765 FIX: A "Host Not Found (11001)" error message occurs when an SSL site is accessed by using a downstream Forefront Threat Management Gateway 2010 server that has HTTPS Inspection enabled

    После установки номер билда Forefront TMG 2010 повышается до 7.0.9193.575. Несмотря на то, что в описании к обновлению сказано, что в процессе установки перезагрузка серверов TMG не требуется, один из серверов имеющегося у нас массива всё-таки потребовал перезагрузки.

  • Forefront FPE/FPSP/TMG 2010 - Закат жизненного цикла…

    imageПару дней назад наткнулся на не очень радостную новость - Important Changes to Forefront Product Roadmaps. Microsoft анонсировали об окончании развития основной массы продуктов линейки Forefront:

    • Forefront Protection 2010 for Exchange Server (FPE)
    • Forefront Protection 2010 for SharePoint (FPSP)
    • Forefront Security for Office Communications Server (FSOCS)
    • Forefront Threat Management Gateway 2010 (TMG)
    • Forefront Threat Management Gateway Web Protection Services (TMG WPS)


    При этом, как я понял, уже начиная с 01.12.2012 будут прекращены продажи этих продуктов. Для продукта Forefront TMG 2010, в частности, основная фаза поддержки (mainstream support) будет прекращена 14.04.2015, а расширенная фаза поддержки (extended support) будет прекращена 14.04.2020. В любом случае появление такого анонса свидетельствует о том, что ждать дальнейшего развития функционала для этого продукта смысла нет.
    Тот же источник сообщает о том, что продукты Forefront UAG 2010 и Forefront Identity Manager 2010 R2 продолжат своё развитие. Возможно в некоторых сценариях и получится заменить функционал TMG на UAG, но в некоторых, как например с организацией proxy, как мне думается, это может стать проблемой, так как UAG по сути своей больше заточен под публикацию внутренних ресурсов для внешних пользователей. Возможно теперь некоторые товарищи вспомнят про SQUID :)

  • SCCM 2012 - Endpoint Protection и множество процессов msseces.exe

    imageПри использовании Endpoint Protection (SCEP) из состава System Center 2012 Configuration Manager (SCCM) на терминальных серверах можно заметить то, что в конфигурации по-умолчанию SCEP устроен так, что в каждой пользовательской сессии запускается процесс msseces.exe (Microsoft Security Client User Interface), отображающий в частности иконку в области уведомлений (трее).

    image

    Помимо того, что происходит нерациональное потребление системных ресурсов есть ещё и проблема того, что пользователям доступен графический интерфейс антивируса, в частности такие волшебные функции как запуск сканирования по требованию.

    В текущей реализации SCEP мне не удалось найти возможности отключения пользовательского интерфейса программы через настройки политик клиента SCCM или политик Endpoint Protection. Но можно попробовать воспользоваться методом отключения автозагрузки выше обозначенного программного модуля, например через системную утилиту msconfig

    image

    Эта процедура по сути отключает использование параметра реестра MSC в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    После перезагрузки сервера процесс msseces.exe больше не будет запускаться в каждой пользовательской сессии и соответственно исчезнет значок SCEP из области уведомлений. Если же администратору сервера потребуется получить доступ к UI, то можно воспользоваться ручным запуском исполняемого файла
    %ProgramFiles%Microsoft Security Clientmsseces.exe

    Эксперименты с EICAR показали что функциональность самого основного процесса MsMpEng.exe не страдает после отключения msseces.exe из автозагрузки.

  • SCCM 2012 - Настраиваем System Center 2012 Endpoint Protection

    imageНастройку Endpoint Protection (SCEP) в System Center 2012 Configuration Manager (SCCM) начинаем с поднятия роли Endpoint Protection Point (EPP) на сервере сайта верхнего уровня иерархии SCCM. В нашем случае таким сервером является сервер Central Administration site (CAS). После включения роли EPP на сайте верхнего уровня функциональность SCEP станет доступна на всех сайтах нижнего уровня иерархии.

    Читать далее...

  • Антивирус для Windows Server - настраиваем список исключений. Обновлено 11.08.2016

    imageВ ходе настройки политик управления клиентами любого антивирусного ПО необходимо определять список каталогов, имён процессов или даже расширений фалов, которые должны исключаться из Real-Time сканирования. Постараюсь собрать в одном месте информацию о рекомендуемых параметрах исключений и по мере необходимости буду его корректировать.  Стоит отметить, что список составлен исходя из приложений, которые эксплуатируются в моём рабочем окружении. Список разделен по основным категориям сервисов и там где возможно есть ссылки на официальные рекомендации производителей ПО. Во всех случаях подразумевается что программное обеспечение установлено в каталоги «по умолчанию».

    Читать далее...

  • SCCM 2012 - Client Push Install для серверов Forefront TMG

    imageВ процессе автоматического развёртывания клиентов System Center 2012 Configuration Manager (SCCM) методом Push-installation мы можем обнаружить, что на сервера Forefront TMG клиент SCCM не устанавливается. Официальный список используемых для этой процедуры портов можно найти в документах Windows Firewall and Port Settings for Client Computers in Configuration Manager и Ports Used by Configuration Manager

    Руководствуясь этими документами у меня так и не получилось добиться желаемого результата и поэтому пришлось методом проб отработать работоспособный вариант решения проблемы. Рассмотрим его.

    Читать далее...