Archives de catégorie : UAG

Forefront Unified Access Gateway 2010 Service Pack 4 Rollup 2

It’s been a while since last rollup for Microsoft Forefront UAG 2010. These days, Microsoft does not abandon customers using legacy products and continue to deliver hotfix. These days, Microsoft delivered Rollup 2 for Forefront Unified Access Gateway 2010 Service Pack 4. It include the following hotfixes :

  • KB3066351 FIX: Client HTTP connections to the Unified Access Gateway redirect trunk receive errors after you install Rollup 1 for Forefront Unified Access Gateway 2010 Service Pack 4
  • KB3070067 FIX: « Error HTTP 503: The Service is unavailable » error when the connection to the UAG trunk fails in Forefront Unified Access Gateway 2010 Service Pack 4
  • KB3068283 FIX: « HTTP 503 » errors on a server that is running Forefront Unified Access Gateway 2010 Service Pack 4
  • KB3068289 FIX: Moving mailboxes as part of a hybrid Office 365 migration fails in Forefront Unified Access Gateway 2010 Service Pack 4

 

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)

Rollup 1 for Forefront Unified Access Gateway 2010 Service Pack 4

It’s UAG Patching day today. Microsoft just released update 1 for Service Pack 4 of Forefront UAG 2010 (KB2922171). many fixes but also some improvements for Exchange 2013 and SharePoint 2013. Here is the list of included fixes :

  • KB2997481 : FIX: You are not authorized to access applications published through Forefront Unified Access Gateway
  • KB2997483 : FIX: Source IP and user name missing from Event ID 14 in the Web Monitor log file
  • KB2997485 : FIX: "An unknown error occurred while processing the certificate" error when you access an application that is hosted on an Apache web server
  • KB2997486 : FIX: The Forefront Unified Access Gateway portal may be unavailable
  • KB2997487 : FIX: "You have attempted to access a restricted URL" error when you try to access OWA and are close to the idle session time-out period
  • KB2998352 : FIX: "Your client does not support opening this list with Windows Explorer" error when you try to open a SharePoint document library
  • KB2998733 : FIX: You cannot start a RemoteApp application when its name contains accented characters
  • KB2998739 : FIX: The VPN connection disconnects immediately when a Unified Access Gateway 2010 client uses SSTP
  • KB2998752 : FIX: "Authentication failed" error when you try to log on to Unified Access Gateway by using the UPN format
  • KB2998769 : FIX: Exception occurs when you use the Export2Tspub application to export the configuration to a .tspub file
  • KB3003977 : FIX: "Sign-in Error" errors for Internet Explorer 11 clients when they access a Unified Access Gateway portal trunk that has ADFS 2.0 authentication
  • KB3004023 : FIX: Client connections for Form-based SSO fail authentication in Forefront Unified Access Gateway 2010 SP4
  • KB3006827 : FIX: Forefront Unified Access Gateway 2010 template improvements for SharePoint Server 2013
  • KB3006828 : FIX: Forefront Unified Access Gateway 2010 template improvements for Exchange Server 2013
  • KB3006892 : FIX: Windows Firewall is detected as running after a third-party firewall is installed on a computer that is running Forefront Unified Access Gateway 2010
  • KB3006938 : FIX: Soft lockout does not apply if Outlook Anywhere uses KCD for SSO to Exchange Server
  • KB3006940 : FIX: Portal toolbar is not displayed in Forefront Unified Access Gateway 2010
  • KB3007519 : FIX: "Bind the source IP address to the session" option does not work correctly in Forefront Unified Access Gateway 2010
  • KB2997456 : FIX: French client access to Unified Access Gateway trunk by using two-factor authentication fails when user password nears expiration
  • KB2997493 : FIX: "Invalid URL path" error when an external user tries to connect to a shared calendar
  • KB3007842 : FIX: "The website cannot display the page" or "HTTP 500" error if the first user logon is unsuccessful
  • KB3009885 : FIX: Applications that use the Socket Forwarder component may stop responding in Forefront Unified Access Gateway 2010
  • KB3009904 : FIX: "You cannot access this site due to an internal error" error when you log on to Outlook Web App again

 

At last, if not already done, don’t forget to fix the SSLV3 flaw. My valuable MVP colleague Richard HICKS published an excellent article on this subject.

 

BenoîtS – Simple and Secure by Design but Business compliant

Changement dans la gamme Forefront

Nous attendions avec impatience les nouvelles Roadmap des solutions qui composent la gamme Forefront. Il est important de comprendre que Forefront, n’est pas un nom de produit mais un terme marketing lancé par Microsoft il y a maintenant 10 ans. Forefront n’est donc pas un produit, ni une équipe. Ainsi, les équipes de Forefront UAG ne sont pas les mêmes que Forefront FIM par exemple, même si parfois elles peuvent bien entendu collaborer ensemble.

L’année dernière, il a été annoncé l’arrêt de l’évolution majeure de la solution TMG. A cette même occasion, on y apprend que les solutions antimalwares prenaient une nouvelle orientation. Pour rappel voici l’annonce officielle :

Sur cette fin d’année 2013, Microsoft nous annonce un nouveau changement majeur dans la gamme de produit Forefront : . Le terme marketing Forefront est donc amené à disparaitre.

Concernant Microsoft Forefront Identity Manager 2010

Microsoft maintient son investissement dans le produit Identity Manager (FIM) avec l’annonce d’une prochaine version majeure, courant 2015. Les premières informations disponible à son sujet font état de :

  • La prise en charge des scénarios de type Hybride avec l’intégration avec Windows Azure Active Directory.
  • La gestion des accès et des utilisateurs
  • L’audit et la conformité
  • D’autres nouvelles fonctionnalités, notamment avec Azure, sont à venir

Il est à noter que le composant « DirSync » de FIM, est incontournable dans tous les projets Office 365 et autres scénarios Azure. Il permet de mettre en œuvre une synchronisation d’annuaire On-Premise vers Azure Active Directory (AAD) nécessaire pour Office 365. FIM est donc juste incontournable pour tous les projets nécessitant des synchronisations d’annuaire et de gestion des identités. Dans un contexte de sécurité, les principales attaques/vol d’identités viennent de la non-gestion (utilisateurs, groupes, permissions) des identités dans AD.

Ainsi la prochaine version de la solution de gestion des identités changera très certainement de nom, et perdra tout naturellement la dénomination « Forefront » dans son appellation marketing. Nous le découvrirons sous peu, et vous le partagerons dès que possible.

 

Concernant Microsoft Forefront UAG 2010

Microsoft a pris la décision d’arrêter ses investissements dans le produit Forefront Unified Access Gateway 2010. Le produit restera supporté par Microsoft jusqu’au 14 Avril 2015 pour la phase de support standard et s’arrêtera le 14 Avril 2020 pour la phase de support étendue. Les clients disposant d’un contrat de type « Software Assurance » à la date du 1er décembre 2013 seront en mesure de déployer de nouveaux serveurs et prendre en charge de nouveaux utilisateurs sans cout de licence additionnel.

Néanmoins, le produit peut continuer de publier des ressources de manière sécurisée et s’assurer que seuls les utilisateurs autorisés puissent y accéder. Microsoft a récemment mis à disposition le Service Pack 4. Ce dernier Service Pack, prend en charge la publication de services tel que SharePoint 2013 ou Exchange 2013. Il prend en compte les dernières versions des clients (Windows 8.x & Internet Explorer 11). En plus de quelques autres améliorations mineures, le SP4 permet aussi la prise en charge de RemoteApp et les autres services RDS de Windows 2012/2012R2.

Pour les clients disposant déjà d’une solution UAG dans votre SI, il n’est pas obligatoire de migrer rapidement vers une autre solution comme WAP. La flexibilité d’UAG, la mise à jour récente du SP4 et un support jusqu’en 2020 doit permettre de répondre encore longtemps à vos besoins actuels.

Il y a toujours une forte communauté autour de la solution UAG, animée par la présence de nombreux MVP et experts communautaires. Cela permet d’apporter un support continu à la solution UAG, même au-delà de 2020. Le forum à consulter est sur le site de Technet : http://social.technet.microsoft.com/Forums/forefront/en-US/home?forum=forefrontedgeiag

 

Rappel au sujet des accès VPN et DirectAccess dans UAG :

Cela a déjà été évoqué il y a un peu moins de deux ans, depuis la sortie de Windows 2012, Microsoft recommande de privilégier le rôle Unified Remote Access de Windows Server 2012/2012 R2 en lieu et place d’UAG pour implémenter DirectAccess. Microsoft n’apportera plus d’évolution à l’implémentation DirectAccess au sein de Foreront UAG 2010.

Les implémentations de DirectAccess réalisées sur UAG devront donc être migrées vers Windows 2012 R2. Avec la solution Unified Remote Access, il est également possible de faire du VPN PPTP, L2TP et SSTP tout en ayant DirectAccess.

 

Scénario de publication :

Windows 2012 R2 apporte un nouveau rôle nommé WAP (Web Application Proxy). Ce celui-ci permet de prendre en charge certains scénarios jusqu’alors assurés par Forefront UAG 2010. Le tableau-ci-dessous synthétise les fonctionnalités offertes par les deux solutions:

Scénario

Solution possible

Publication simple d’Exchange

WAP ou Forefront UAG

Publication simple de SharePoint

WAP ou Forefront UAG

Publication de Lync WebServices

WAP ou Forefront UAG

Publication Web simple

WAP ou Forefront UAG

Publication d’Exchange avec customisation

Forefront UAG

Publication de SharePoint avec customisation

Forefront UAG

Publication Web avancée

Forefront UAG

Prise en charge de la conformité des postes

Forefront UAG

Mise en œuvre d’un portail

Forefront UAG

Single-sign-on entre les applications publiées

Forefront UAG

Personnalisation avancée

Forefront UAG

BYOD

WAP

Fédération

WAP

Si la solution Forefront UAG est déjà existante dans un réseau il n’est pas nécessaire de migrer vers la solution WAP pour le moment, en effet cette dernière est une solution encore jeune avec certaines limite :

  • Ne propose à ce jour que des scénarios de mise en œuvre « Basiques »
  • Principalement basé sur une pré-authentification AD FS ou pass-through
  • La haute disponibilité se base que sur des répartiteurs de charge matérielle
  • La configuration se trouve stockée dans l’infrastructure AD FS
  • La translation d’URL possède des limitations

 

Voici quelques articles qui présentent comment réaliser la publication des services les plus courants :

En conclusion, la majorité des scénarios de publication courants que nous avions à disposition avec Forefront UAG sont aussi disponibles avec la fonctionnalité Web Application Proxy de Windows Server 2012 R2. A ce jour, la migration de Forefront UAG 2010 vers WAP ne peut être envisagée que pour les scénarios pour lesquels WAP propose le même niveau de fonctionnalité d’UAG.

Auteurs (un peu en retard cette fois) :

UAG 2010 SP4

D’habitude, je laisse cette annonce à mes collègues Alexandre GIRAUD et Lionel LEPERLIER mais ils semblent encore sur le fuseau horaire de Seattle . Le Service Pack 4 de Forefront UAG 2010 a été publié la semaine dernière. Le détail des nouveautés est disponible sur le blog de l’équipe produit. Au programme :

  • Support Windows 8.1
  • Support d’Internet Explorer 11
  • Correction de bogues
  • Quelques fonctionnalités nouvelles

 

Le Service Pack est disponible à cette adresse : Forefront Unified Access Gateway (UAG) 2010 Service Pack 4 (SP4)

 

A vos trunks, prêts partez.

 

Benoîts – Simple and Secure by design but Business compliant

A KB list to keep in mind for your DirectAccess projects

Even if DirectAccess is now much more easier to deploy with Windows Server 2012, there still have some “cases” where Microsoft help is required. Jason Jones (Former Forefront MVP) updated his “Hot list” recently. Keep a bookmark on this list. This can save a lot of time during your next DirectAccess deployment.

 

BenoîtS – Simple and Secure by Design but Business compliant

UAG 2010 SP3 update feedback

Forefront UAG 2010 SP3 update is a pretty strait process. In my case my UAG Box was dedicated to DirectAccess. If the update process is strait forward, there is one thing to do not forget after update : reconfiguring DNS64 service. By default, this service is reconfigured from Automatic startup type to manual witch cause corporate DNS name resolution to fail for DirectAccess Clients. You can check with a simple Get-Service DNSAlgSvc PowerShell command :

0

Just reconfigure the Service StartupType property of the service with a Set-Service and start the service.

1

 

Enjoy Windows 8 clients connecting to your DirectAccess infrastructure.

 

BenoîtS – Simple and Secure by Design but Business compliant

UAG 2010 SP3 for 2013, what to expect for DirectAccess?

According to Forefront UAG team blog, UAG 2010 Service Pack 3 is in progress and should be available in the first quarter of 2013. Additional information are provided by a recent Ben Ari blog post.

image

 

According to ben Ari, support for Windows 8 clients connecting to a UAG 2010 SP3 in DirectAccess will be for SP3. This means that it’s not supported today with UAG 2010 SP2. Why? Because Windows 8 now includes the DirectAccess Connectivity Assistant as a part of the operating system.

 

BenoîtS – Simple and Secure by Design but business compliant.

UAG NLB modes precision

At RTM times of Microsoft Forefront UAG 2010, only Unicast mode was supported for Network Load Balancing scenarios. Since SP1, Multicast support was added but it was not clear for what scenarios. A blog post from Ben Ari provide a clear position about unicast/multicast support in Network Load Balancing.

image

 

One thing to remember about DirectAccess is that both mode are supported

 

BenoîtS – Simple and Secure by design but Business compliant

Microsoft Forefront, refonte de la Roadmap

Nous attendions la communication officielle de Microsoft depuis quelques temps. Maintenant que celle-ci est publique ), il nous est apparu nécessaire d’en préciser certains aspects.

La roadmap des produits de la gamme Forefront subi donc quelques ajustements. Le premier d’entre eux et certainement le plus visible est l’arrêt de l’investissement de Microsoft dans la gamme de produit que nous connaissons sous l’acronyme de TMG :

  • Forefront Threat Management Gateway 2010 (TMG)
  • Forefront Threat Management Gateway Web Protection Services (TMG WPS)

Pour les administrateurs TMG actuels, la première conséquence est que Microsoft arrête tout développement sur TMG et il n’y aura plus de nouvelles fonctionnalités (pas de support d’IPv6, …). Ils sont cependant assurés de disposer d’un support jusqu’au 14 Avril 2015 pour la phase de support principale puis jusqu’au 31 Décembre 2020 pour la phase de support étendu. La solution reste toujours cependant disponible dans le catalogue Microsoft, et encore disponible pour les contrats cadre ECAL.
Au-delà des raisons d’un tel choix de la part de Microsoft, la solution Microsoft Forefront Threat Management Gateway 2010 reste une solution de premier plan dans les scénarios de type Edge Firewall ou Reverse Proxy pour les produits Microsoft tel que Microsoft Exchange, SharePoint, Lync ou même CRM. Cela reste une solution de publication basique. Des infrastructures basées sur Microsoft ISA Server peuvent cependant tout à fait évoluer vers TMG 2010 pour répondre aux besoins de Firewalling ou encore de Proxy. Pour les solutions existantes de Reverse proxy, Il est recommandé de migrer vers Microsoft Forefront UAG 2010 même si vous utilisez déjà TMG pour ce type de scénario, non pas à cause de cette annonce, mais tout simplement car c’est la solution recommandée par MS depuis 4 ans, qui reçoit des investissements. Dans un certain cas, il est tout de même possible d’utiliser TMG. TMG reste encore à jour une solution éprouvée avec de très nombreuses fonctionnalités et, certifié EAL4+.
Concernant la solution Microsoft Forefront Unified Access Gateway 2010, elle reste toujours disponible et aura un successeur. On pourrait penser qu’un investissement faible a été effectué au cours de ces deux dernières années avec seulement quelques mises à jour et une certification EAL2+. Ceci s’explique par sa capacité à s’adapter aux nouveaux scénarios d’entreprise telle que l’émergence des tablettes numériques, l’utilisation des smartphones personnels en entreprise (BYOD) tout en offrant des capacités uniques dans le domaine de la mise à disposition des ressources de l’entreprise à des utilisateurs externes ou des partenaires. Il est par contre très simple de développer avec UAG des spécificités d’entreprise, contrairement à TMG (C#). De nos jours, le pare-feu de nos entreprises ne constitue plus une frontière de sécurité suffisante. Les informations qui font la valeur de nos entreprises circulent entre les utilisateurs internes et externes. C’est là où UAG dispose d’une vraie plus-value par rapport à TMG, en protégeant les applications publiées à l’aide de contrôle de conformité, de filtrage url intelligent, d’identification du device, d’optimisateurs d’url,… Il est par ailleurs moins limité que TMG sur les différents modes d’authentifications, par exemple en supportant la fédération d’identité mais également fournissant on moteur de WebSSO.
UAG est plus qu’une passerelle d’accès distant, c’est une plateforme d’accès aux applications de l’entreprise pouvant proposer plusieurs scénarios d’accès aux utilisateurs connectés tout en s’assurant que les périphériques connectés respectent un certain nombre d’exigences de conformité et utilisant un mécanisme d’authentification forte. UAG supporte tout type de périphériques, depuis les smartphones Windows Mobiles, Android et Apple, les tablettes numériques dont l’usage ne cesse de croitre jusqu’aux postes de travail. L’utilisation d’UAG en tant que passerelle au lieu de TMG est donc plus que recommandé, sachant que l’éditeur a continué les investissements sur ce produit et a été la solution recommandée depuis 4 ans.
Parlons maintenant de Direct Access, même si cette partie n’a rien à voir avec l’annonce de la roadmap Forefront mais l’arrivée de Windows 2012. Les utilisateurs de postes de travail de la génération Windows 7 et Windows 8 pouvaient bénéficier de DirectAccess. Ceci permettait d’étendre le réseau de l’entreprise jusqu’aux utilisateurs, où qu’ils soient connectés sur Internet. Microsoft a développé DirectAccess avec Windows 2008 R2 initialement, puis l’a amélioré avec Microsoft Forefront UAG (avec les transitions 6to4, NAT64, DNS64). Il est désormais possible de retrouver le même niveau de fonctionnalité, mais avec le rôle Unified Remote Access intégré à Windows Server 2012. Les tablettes Windows 8 peuvent tout à fait se connecter à une plateforme DirectAccess reposant sur Microsoft Forefront UAG 2010. La nouvelle solution fournie avec Windows Server 2012 prendra également en charge les clients Windows 7. Voici un résumé des fonctions DirectAccess au fil des versions pour vous montrer l’évolution et l’investissement dans cette technologie .

Fonctionnalité

Windows 2008 R2

Forefront UAG 2010 SP1

Windows Server 2012

Administration simplifié pour les organisations de petites et moyennes tailles Non Non Oui
Configuration automatisée Non Non Oui
Nécessite une PKI interne Oui Oui Non
Brique NAT64 et DNS64 pour les ressources IPv4 Non Oui Oui
Support d’une carte réseau unique Non Non Oui
Support du NAT Non Non Oui
Nécéssite un DC 2008/2008R2 Oui Non Non
Nécéssite un DNS 2008/2008R2 Oui Non Non
Support du Load Balancing Non Oui Oui
Tolérance de panne Limitée Oui Oui
Support du multi domaine AD Non Oui Oui
Intégration avec NAP Oui Oui Oui
Authentification par OTP (token) Non Oui Oui
Interopérabilité IP-HTTPS et amélioration des performances Non Non Oui
Scénario de gestion du parc Non Oui Oui
Géo-Cluster Limité Limité Oui
Support du mode Serveur Core Non Non Oui
Support des clients Windows 7 Oui Oui Oui
Support des clients Windows 8 ??? Limité Oui
Support du PowerShell Non Limité Oui
Monitoring clients et serveur Non Oui Oui
Diagnostics Non Non Oui
Accounting et Reporting Non Limité Oui

Source : Windows Server 2012 DirectAccess: Microsoft DirectAccess Comparison Table par Jason Jones.

La solution Microsoft Forefront Protection 2010 for Exchange Server (FPE) est arrêtée à la date du 1er décembre 2012. Les infrastructures existantes seront bien entendu supportées jusqu’en 2015. Des fonctionnalités antimalwares et anti-spam seront disponibles dans la prochaine version d’Exchange. Pour une protection avancée, il sera possible de compléter avec l’offre Cloud de Microsoft. A ce titre, l’offre Forefront Protection for Exchange devient Exchange Online Protection enrichissant ainsi la gamme Office 365.
Les solutions Microsoft Forefront Protection 2010 for SharePoint 2010 et Forefront Security for Office Communication Servers sont elles aussi arrêtées. Microsoft va continuer à sécuriser les infrastructures SharePoint et Lync en utilisant des fonctionnalités natives des produits concernés.
Ainsi, les protections antimalwares seront désormais intégrées directement dans les solutions produits au lieu d’être dédiés. Cela facilitera ainsi les infrastructures de messagerie, SharePoint et Lync sans composants additionnels, et sans licences supplémentaires.
Au-delà de la sécurité des infrastructures, c’est aujourd’hui la sécurité des informations dont il faut se soucier. Comme évoqué précédemment, nos utilisateurs accèdent à des informations, peuvent les partager voire même les communiquer à des tiers. Un utilisateur dument accrédité à une application de l’entreprise peut tout à fait accéder à des informations sensibles et les faire sortir de l’entreprise selon divers moyens (clé USB, plateforme d’échange de fichiers, messagerie, impression …). C’est typiquement ce type de scénario qu’une solution comme Active Directory Right Management Services est capable d’adresser. AD RMS s’intégrant à plusieurs types de plateformes collaborative (serveurs de fichiers, Espaces collaboratifs sous SharePoint, messagerie Exchange, …) et même Microsoft Office. RMS sécurise les données circulant au sein de l’entreprise ainsi qu’à l’extérieur auprès de nos partenaires afin d’éviter le vol d’informations. Ce produit est bien conservé, et est intégré à Windows Server 2012.
Enfin, Forefront Identity Manager reste maintenu. La version R2 est disponible depuis Juin 2012. Avec l’avènement du Cloud, la gestion des identités sort maintenant de l’entreprise. Au-delà de ses capacités de synchronisation de différentes sources d’annuaires, c’est la synchronisation avec des sources externes telles que l’offre Office 365 de Microsoft qu’il faut considérer. C’est une manière de s’assurer de la bonne gestion des licences consommées dans le Cloud.

Coécrit par GIRAUD Alexandre / SAUTIERE Benoît / LEPERLIER Lionel

Forefront UAG DirectAccess crashes with stop code 0xD1

That’s an interesting problem I had to face to during a recent deployment. My UAG box was crashing randomly without any cause. My first research lead me to the Microsoft Edge Security forum dedicated to DirectAccess, UAG and IAG. After some research, I Finally found people having the same problem as me.

 

The Microsoft Forefront UAG product TEAM published KB2732485 in witch this problem is described as “Race condition” and is not related to a specific UAG deployment scenario. Technically speaking there is no hotfix for this problem but two workarounds.

 

BenoîtS – Simple and Secure by Design but Business compliant