Архивы Forefront - Блог IT-KB

Гибридное развёртывание Exchange Server 2013. Часть 2. Развёртывание базовой инфраструктуры в тестовой среде для последующей реализации гибридного развёртывания

02.12.2015 Автор:Антон Ивонин
6 846 Просмотров 1 Комментарий

Базовое гибридное развертывание Exchange 2013 от вашей IT инфраструктуры требует установки и настройки минимального количества дополнительных программ, но главная загвоздка состоит в том, что нужно строго придерживаться определенной последовательности при установке. Если пренебречь этим, то мы будем получать ошибки, которые будут сбивать нас с верного пути.

В этой заметке я постараюсь показать вам путь, который был неоднократно “отработан” мной при реализации базового гибридного развертывания в тестовой и реально работающей IT инфраструктуре.

Читать далее...
Медленная работа Internet Explorer 11 через прокси-сервер Squid с использованием Proxy Auto Configuration (WPAD)

13.10.2014 Автор:Алексей Максимов
6 714 Просмотров 3 комментария

После перехода с Forefront TMG на Squid мне не давала покоя одна проблема, разобраться с которой “с наскоку” никак не получалось. При использовании браузера Internet Explorer 11 в связке с прокси-сервером Squid наблюдались задержки при открытии веб-страниц Интернет-ресурсов, и особенно это было ощутимо на https-ресурсах. При этом те же самые веб-страницы открывались в других браузерах без подобных проблем. Так уж получилось, что изначально изучение этой проблемы пошло в неверном направлении и было ориентировано на связку IE11/HTTPS/Squid. Попытка разобрать трафик между клиентом IE11 и прокси-сервером Squid не дала ничего интересного. В ходе поиска возможной причины использовались всевозможные варианты начиная с таких, как например изменение client_persistent_connections в конфигурационном файле Squid и заканчивая такими глупостями, как например, отключение SPDY/3 и HTTP 1.1 в IE11 или даже использование режима предприятия. По пути наткнулся на довольно занятную статью об IE на “Хабре”. В общем перебор возможных вариантов решения дошёл до экспериментов с авто-конфигурацией прокси, где тоже появились интересные подробности. В частности выяснилось, что IE может давать ощутимые задержки в открытии страниц, если в файле автоконфигурации прокси (WPAD) присутствует вызов функций вида isInNet(host,,).

Читать далее...
Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 1. Установка ОС на ВМ Hyper-V Gen2

16.06.2014 Автор:Алексей Максимов
149 929 Просмотров 41 комментарий

В силу того, что некоторое время назад Forefront Threat Management Gateway (TMG) был изъят Microsoft из прайсов, его использование для организаций не имеющих приобретённых ранее экземпляров коробочной версии этого продукта стало невозможно. В такую ситуацию в частности попали компании, которые используют ПО Microsoft в режиме аренды по корпоративным соглашениям EA. В Сети можно найти много обсуждений и споров на тему выбора альтернативы TMG как продукта в целом, так и отдельных его функциональных компонент. Если говорить о функционале прямого прокси (forward proxy), то из вариантов не требующих финансовых затрат на лицензирование можно выбрать один из самых популярных в среде ОС Linux/BSD – кэширующий прокси сервер Squid. С этой заметки я хочу начать серию заметок о том, как установить и настроить прокси сервер Squid 3.3 на ОС Ubuntu Server 14.04 LTS. На базе этой связки ключевым условием задачи будет получение функционала прокси сервера способного проводить аутентификацию пользователей в домене Active Directory с использованием протоколов Kerberos (как приоритетного) и NTLM а также авторизацию аутентифицированных пользователей через разные доменные группы безопасности (с учетом их транзитивности).

Выбор в качестве ОС Linux именно дистрибутива Ubuntu Server 14.04 LTS в моём случае обусловлен требованием установки ОС в виртуальной среде Hyper-V на базе Windows Server 2012 R2, и если проанализировать информацию о поддержке Linux в Hyper-V, то можно убедиться в том, что именно Ubuntu Server 14.04 на текущий момент имеет самые развитые (и развивающиеся) возможности интеграции с гипервизором Hyper-V последнего поколения.

Читать далее...
Установка и базовая настройка SharePoint Server 2013 SP1 на Windows Server 2012 R2 (в топологии Two-tier farm). Часть 7 – Настройка Службы профилей (User Profile Service)

21.04.2014 Автор:Алексей Максимов
26 396 Просмотров 15 комментариев

Очередная заметка цикла об установке и базовой настройке SharePoint Server 2013 SP1 будет посвящена настройке общей службы SharePoint – Службы профилей пользователей (User Profile Service) и связанной с ней службы - Службы синхронизации профилей (User Profile Synchronization Service).

Онлайн документацию на русском языке о развертывании и настройке Службы профилей можно найти в документе Администрирование службы профилей пользователей в SharePoint Server 2013, где мы можем найти краткое определение этих двух служб:

Служба профилей пользователей — это общая служба в SharePoint Server 2013, позволяющая создавать и администрировать профили пользователей, доступ к которым можно получить с нескольких сайтов и из нескольких ферм.

Служба синхронизации профилей в SharePoint Server 2013 позволяет администраторам службы профилей пользователей синхронизировать сведения профилей пользователей и групп, которые хранятся в хранилище профилей SharePoint Server 2013, со сведениями профилей, которые хранятся в службах каталогов и бизнес-системах предприятия.

Согласно документа Создание, изменение и удаление приложений службы профилей пользователей в SharePoint Server 2013 нам необходимо убедиться в том, что выполнены предварительные требования для развертывания Службы профилей:

- Используется редакция SharePoint Server 2013 Standard или Enterprise
- Существует экземпляр Службы управляемых метаданных (Managed Metadata Service).
- Существует пул приложений и развернутое на нём семейство сайтов, которое использует шаблон узла личного сайта (My Site Host template)

Читать далее...
System Center 2012 R2 Operations Manager Console - Operations Manager cannot connect to the Web service - The Microsoft Management Pack Catalog Web Service cannot be contacted at this time

03.02.2014 Автор:Алексей Максимов
5 081 Просмотров 2 комментария

При попытке выполнить импорт пакетов управления Management Pack (MP) в консоли System Center 2012 R2 Operations Manager (SCOM) Console из онлайн-каталога Microsoft мы можем нарваться на ошибку, говорящую о недоступности веб-службы этого самого каталога. Такая ситуация возможна в случае, если доступ в интернет организован через прокси-сервер, как в нашем случае например через Forefront TMG 2010.

На самом деле эта проблема "с бородой" и подобная ситуация наблюдалась мной ещё со времён работы с Operations Manager 2007 R2. Однако в силу того, что практически всегда MP загружались из предварительно загруженных на локальный диск файлов с таким же предварительным изучением сопроводительной документации к MP, этой ошибке я всегда как-то не уделял внимания. Но вот настал тот момент, когда очень захотелось посмотреть доступное содержимое этого каталога через консоль SCOM.

Читать далее...
System Center 2012 Configuration Manager - Обновляемся до уровня SP1

26.02.2013 Автор:Алексей Максимов
8 154 Просмотров 10 комментариев
Продолжая тему развёртывания Service Pack 1 (SP1) для линейки продуктов Microsoft System Center (SC) 2012, в этой заметке опишу опыт обновления Configuration Manager (SCCM).

Обновление инфраструктуры SCCM до уровня SP1 методом In-Place Upgrade будем выполнять в следующей последовательности:
1. Обновляем сервер центрального сайта - Central Administration Site (CAS)
2. Обновляем сервера первичных сайтов Primary Site
3. Обновляем сервера вторичных сайтов Secondary Site
4. Обновляем клиентов SCCM
В данный момент все сервера инфраструктуры SCCM у нас работают на базе Windows Server 2008 R2 и SQL Server 2008 R2.

Читать далее...

Forefront TMG 2010 SP2 Rollup 3

18.01.2013 Автор:Алексей Максимов

3 782 Просмотров 3 комментария

Несмотря на недавние новости - Forefront FPE/FPSP/TMG 2010 – Закат жизненного цикла… команда разработчиков Forefront Threat Management Gateway (TMG) 2010 продолжает бодрствовать. На прошлой неделе стало доступно для загрузки обновление KB2735208 - Rollup 3 for Forefront TMG 2010 Service Pack 2. Обновление имеет очень скромный размер (около 12MB) и состоит исключительно их хотфиксов:

2700248	FIX: A server that is running Forefront Threat Management Gateway 2010 may stop accepting all new connections and may become unresponsive
2761736	FIX: All servers in a load-balanced web farm may become unavailable in Forefront Threat Management Gateway 2010
2761895	FIX: The Firewall service (WSPSRV.EXE) may crash when the firewall policy rules are reevaluated in Forefront Threat Management Gateway 2010
2780562	FIX: PPTP connections through Forefront Threat Management Gateway (TMG) 2010 may be unsuccessful when internal clients try to access a VPN server on the external network
2780594	FIX: A non-web-proxy client in a Forefront Threat Management Gateway (TMG) 2010 environment cannot open certain load-balanced websites when TMG HTTPS inspection is enabled
2783332	FIX: You cannot log on when FQDN is used and Authentication delegation is set to "Kerberos constrained delegation" in a Forefront Threat Management Gateway 2010 environment
2783339	FIX: A closed connection to a domain controller is never reestablished when Authentication delegation is set to "Kerberos constrained delegation" in a Forefront Threat Management Gateway 2010 environment
2783345	FIX: Unexpected authentication prompts while you use an OWA website that is published by using Forefront Threat Management Gateway (TMG) 2010 when RSA authentication and FBA are used
2785800	FIX: A "DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)" Stop Error may occur on a server that is running Forefront Threat Management Gateway (TMG) 2010
2790765	FIX: A "Host Not Found (11001)" error message occurs when an SSL site is accessed by using a downstream Forefront Threat Management Gateway 2010 server that has HTTPS Inspection enabled

После установки номер билда Forefront TMG 2010 повышается до 7.0.9193.575. Несмотря на то, что в описании к обновлению сказано, что в процессе установки перезагрузка серверов TMG не требуется, один из серверов имеющегося у нас массива всё-таки потребовал перезагрузки.

Forefront FPE/FPSP/TMG 2010 - Закат жизненного цикла…

14.09.2012 Автор:Алексей Максимов
4 186 Просмотров 9 комментариев
Пару дней назад наткнулся на не очень радостную новость - Important Changes to Forefront Product Roadmaps. Microsoft анонсировали об окончании развития основной массы продуктов линейки Forefront:
- Forefront Protection 2010 for Exchange Server (FPE)
- Forefront Protection 2010 for SharePoint (FPSP)
- Forefront Security for Office Communications Server (FSOCS)
- Forefront Threat Management Gateway 2010 (TMG)
- Forefront Threat Management Gateway Web Protection Services (TMG WPS)
При этом, как я понял, уже начиная с 01.12.2012 будут прекращены продажи этих продуктов. Для продукта Forefront TMG 2010, в частности, основная фаза поддержки (mainstream support) будет прекращена 14.04.2015, а расширенная фаза поддержки (extended support) будет прекращена 14.04.2020. В любом случае появление такого анонса свидетельствует о том, что ждать дальнейшего развития функционала для этого продукта смысла нет.
Тот же источник сообщает о том, что продукты Forefront UAG 2010 и Forefront Identity Manager 2010 R2 продолжат своё развитие. Возможно в некоторых сценариях и получится заменить функционал TMG на UAG, но в некоторых, как например с организацией proxy, как мне думается, это может стать проблемой, так как UAG по сути своей больше заточен под публикацию внутренних ресурсов для внешних пользователей. Возможно теперь некоторые товарищи вспомнят про SQUID :)
SCCM 2012 - Endpoint Protection и множество процессов msseces.exe

28.08.2012 Автор:Алексей Максимов
9 089 Просмотров 5 комментариев

При использовании Endpoint Protection (SCEP) из состава System Center 2012 Configuration Manager (SCCM) на терминальных серверах можно заметить то, что в конфигурации по-умолчанию SCEP устроен так, что в каждой пользовательской сессии запускается процесс msseces.exe (Microsoft Security Client User Interface), отображающий в частности иконку в области уведомлений (трее).

Помимо того, что происходит нерациональное потребление системных ресурсов есть ещё и проблема того, что пользователям доступен графический интерфейс антивируса, в частности такие волшебные функции как запуск сканирования по требованию.

В текущей реализации SCEP мне не удалось найти возможности отключения пользовательского интерфейса программы через настройки политик клиента SCCM или политик Endpoint Protection. Но можно попробовать воспользоваться методом отключения автозагрузки выше обозначенного программного модуля, например через системную утилиту msconfig

Эта процедура по сути отключает использование параметра реестра MSC в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

После перезагрузки сервера процесс msseces.exe больше не будет запускаться в каждой пользовательской сессии и соответственно исчезнет значок SCEP из области уведомлений. Если же администратору сервера потребуется получить доступ к UI, то можно воспользоваться ручным запуском исполняемого файла
%ProgramFiles%Microsoft Security Clientmsseces.exe

Эксперименты с EICAR показали что функциональность самого основного процесса MsMpEng.exe не страдает после отключения msseces.exe из автозагрузки.
SCCM 2012 - Настраиваем System Center 2012 Endpoint Protection

28.08.2012 Автор:Алексей Максимов
24 969 Просмотров 13 комментариев

Настройку Endpoint Protection (SCEP) в System Center 2012 Configuration Manager (SCCM) начинаем с поднятия роли Endpoint Protection Point (EPP) на сервере сайта верхнего уровня иерархии SCCM. В нашем случае таким сервером является сервер Central Administration site (CAS). После включения роли EPP на сайте верхнего уровня функциональность SCEP станет доступна на всех сайтах нижнего уровня иерархии.

Читать далее...