Archives mensuelles : septembre 2010

Toujours les listes de révocations, …

Lorsque je monte des maquettes, j’ai pris l’habitude de publier la liste de révocation de mes CRL. Cependant, selon les scénarios, cela peut vite devenir compliqué, encore faut-il pouvoir le faire simplement.

 

Le meilleur exemple, reste comment publier une CRL avec UAG 2010. Certes, avant, c’était plus simple. Cependant, il est aussi possible de tout simplement ne pas publier les CRL. C’est le cas de Test Lab Guides de Tom Shinder pour tester DirectAccess.

 

Encore faut-il savoir comment désactiver la publication de la CRL. Pour cela, je recommande la lecture d’un billet de Deb Shinder.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Désactiver DirectAccess sur un poste nomade

Quelle question saugrenue. Pourquoi voudrait-on désactiver une fonctionnalité comme cela? et bien par exemple lorsque l’expérience utilisateur s’en trouverait perturbée (Vous avez déjà essayé de surfer avec une connexion GPRS, …)

 

Problème, dans sa conception même DirectAccess est toujours actif, le système d’exploitation assure la recherche de la connectivité réseau et du maintient de cette connexion.

 

D’un coté, on peut demander à l’utilisateur de désactiver la résolution de nom au travers du DAC.

DAC

C’est la méthode la plus élégante à mon sens mais elle requiert l’intervention de l’utilisateur. De plus, cette désactivation n’est que temporaire, jusqu’au prochain redémarrage du système d’exploitation.

 

Si on creuse un peu DirectAccess, on comprend vite qu’il repose exclusivement sur IPv6 et ses protocoles de transition. Or, ces protocoles de transition sont pris en charge par le service IP Helper.

 

Dès lors que ce service est arrêté, le système d’exploitation ne peut plus utiliser les protocoles de transition. DirectAccess est donc inutilisable. Par contre attention, cette méthode n’a aucun effet si la connectivité réseau repose sur IPv6, …

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Windows Storage Server 2008 R2 est RTM

Voila le retour d’un de mes jouets favoris pour faire du Cluster sur mon laptop! Un Windows 2008 R2 repackagé pour offrir entre autre une baie de disque iSCSI reposant sur des volumes disques VHD.

 

Pour ma part, j’ai hâte de tester :

  • La déduplication avec le Single Instance Storage (SIS)
  • Le nouveau iSCSI Software Target

 

Pour plus d’information, le billet de l’équipe produit.

 

Note : Comme ses prédécesseurs, le produit ne sera disponible qu’au travers d’un OEM proposant son Appliance de stockage.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

HP StorageWorks P4000 Virtual SAN

Voila une initiative intéressante. Le stockage est un sujet sur lequel il est difficile de s former si on a pas de baie de disque sous la main. Pour résoudre cette problématique, HP met à disposition son StorageWork P4000 Virtual SAN Appliance au format ESX et Hyper-V.

 

Dans cette approche, le SAN est virtualisé, c’est du iSCSI. C’est pas parfait mais au moins on peut se faire une première idée de StorageWorks.

 

Le tout est disponible à cette adresse.

UAG 2010 Update 2

On peux dire que le retour de vacances est agité. Déjà, une Update 1 pour TMG SP1, maintenant une Update 2 pour UAG 2010. A première vue, la liste des mises à jour ne semble pas concerner DirectAccess mais bien les fonctionnalités de publication et de SSO d’UAG.

 

Pour plus d’information, voir le billet de mon collègue Alexandre GIRAUD, j’avoue que j’ai un peu la flemme vu qu’il n’y a rien de nouveau concernant DirectAccess.

 

Prochaine étape, un service pack pour UAG?

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

UAG 2010 Security Configuration template

L’installation de Windows 2008 R2 est par défaut assez sécurisée. Seuls les composants nécessaires sont installés et opérationnels, avec des permissions minimales. L’installation d’UAG suit à peut près la même approche.

 

Depuis Windows 2003, le système d’exploitation propose le Security Configuration Wizard qui permet de sécuriser le couple système d’exploitation / application selon des best-practices déjà établies par les équipes produit. Le concept ayant été reconduit sous Windows 2008 / Windows 2008 R2, c’est donc normal qu’on dispose d’un template pour notre Microsoft Unified Access Gateway 2010. Le template inclus :

  • Configuration de l’état de démarrage de certains services
  • Désactivation de certains services
  • Configuration de clés de registre
  • Positionnement de permissions sur le système de fichiers
  • Positionnement de permissions sur le registre

 

Donc un must à conserver pour finaliser la configuration de son UAG.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Here come the time for vacations

It has been a long time since my last vacations. September is the time for my Corsican break. One week without IT, even a Smartphone.

208

One long week before new posts. I have many subjects in the pipe such as :

  • Scenarios around UAG
  • Scenarios around PKI and certificate enrollment
  • Scenarios around Active Directory Federation Services

 

BenoitS – Simple and Secure by Design (I emphasis on Secure)

Le Network Location Awareness démystifié

le Network Location Awareness est un service intégré au système d’exploitation qui lui permet d’identifier le profil à associer au pare-feu. D’un certain point de vue, cela peut paraître simple mais après avoir pas mal travaillé sur DirectAccess, le sujet est plus complexe qu’il n’y parait.

 

Comment un poste de travail qui est connecté à Internet (Prouvé par la détection du NCSI) arrive à déterminer qu’il est connecté au réseau LAN de l’entreprise, c’est un paradoxe?

 

L’équipe Enterprise Networking Team vient de publier un billet détaillant le fonctionnement du NLA. Le billet détaille le fonctionnement depuis Windows XP, en passant par Windows Vista pour enfin arriver à Windows 7. La partie la plus intéressante reste encore la capacité du NLA à déterminer la connectivité à un domaine.

 

La réponse est toute simple, le NLA s’attend à pouvoir énumérer la liste des domaines à l’aide de la fonction DsGetDcName. S’il obtient une réponse sur le port UDP 389, alors oui, le le poste dispose d’une connectivité avec le réseau LAN de l’entreprise. Bref, un article à conserver dans un coin.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Ouvrages MSPress en vue sur la Gamme Forefront

Si vous avez besoin de consolider votre étagère Ikea, rien de mieux que les futurs ouvrages de Tom Shinder dit The Edge Man prévus pour la fin d’année.

 

image 

Juste une critique sur la couverture du livre sur UAG. Ce n’est pas un outil qui illustre le mieux UAG mais bien toute la boîte! Ce produit est une exception chez Microsoft. A vous d’inventer les scénarios cette fois (sans la limite du support, bien entendu).

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

DirectAccess high availability with UAG 2010 : part 2

Default Network binding order

Before installing UAG, the network binding order of network cards on UAG servers must be properly configured, in the following order : LAN then Internet. This measure will preserves us from configuration problems of the UAG (the ADLDS instance must be reachable on the private interface).

0_BINDINGBEFORE

 

Network cards configuration

By default, my first UAG server will be reachable by it’s internal interface. Note that this interface do not have a Default gateway. This is a requirement because the Windows IP stack do not allow default gateway configuration on two different interfaces (public and private). The public interface is only configured with a dedicated public IPV4 address.

0_IPCONFIG_UAG1 

Note that a 6to4 interface is automatically created because the server is directly connected to Internet. In a real world deployment, it is not a good practice.

 

The same configuration with my second UAG server.

0_IPCONFIG_UAG2 

 

DNS configuration

The internal interface must be configured with one or more internal DNS servers. The external interface should be left empty in order to avoid DNS64 performance issue (see the Forefront UAG DirectAccess perquisites for additional information).

 

Required KB before next step

Before installing UAG, please install the KB977342 on Each UAG node. This is a mandatory requirement in the DirectAccess UAG wizard in NLB scenario, unless you want to see the UAG Wizard block you while configuring DirectAccess.

 

UAG setup

The initial setup process is straight forward (next, next, finish). The only required information is the installation path :

2_INSTALL_UAG2

 

Rebooting the UAG server after initial setup because the process introduce many things, especially on the firewall.

2_INSTALL_UAG3

 

Final  Network binding order

The final network bind order must be configured as illustrated bellow. We have no need of the SSL Network Tunneling interface.

2_INSTALL_UAG4

 

ISATAP

On a standard UAG DirectAccess scenario, the Global Query Block List must be configured to allow ISATAP queries. This can be performed using a simple DNSCMD.EXE command line and a restart on the DNS service (Operation must be performed on each DNS server declared in the infrastructure tunnel. Then, we can create the ISATAP host record that will point to the future Internal NLB VIP address.

3_DNSCMD

 

Required updates :

 

For more information about UAG perquisites, please see the Forefront UAG DirectAccess perquisites. Next blog, initial configuration for our future UAG array.

 

BenoîtS – Simple and Secure by Design (I emphasize on “Secure”)