Search results matching tag 'Client'

Network Access Protection part 3, 802.1x enforcement

Martijn Bellaard — Tue, 06 Mar 2012 18:15:03 GMT

Een tweede NAP enforcement is op basis van 802.1x. (http://en.wikipedia.org/wiki/IEEE_802.1X). Op het moment dat de een werkplek (supplicant) online komt, krijgt hij van de switch (authenticator) het verzoek voor zijn health status (authentication). Via het radius protocol wordt dit verzoek door gezet naar de NPS (authentication) server. Deze bepaalt de health status van de werkplek. Op basis van deze health status bepaalt de NPS server op welke VLAN de werkplek moet komen. Deze informatie geeft hij dan weer door aan de switch. De switch activeert dan de poort voor het juist VLAN.

Om 802.1x enforcement in te richten heb je dus een switch nodig die 802.1x ondersteunt. Op deze switch definieer je je tweede VLAN. Een productie VLAN waar de werkplek geplaatst wordt als hij healthy is en een quarantaine VLAN als hij niet healthy is. Als de werkplek in de quarantaine VLAN terecht komt moet hij wel de mogelijkheid hebben zichzelf healthy te maken. In de praktijk komt dat er meestal op neer dat hij zijn antivirus en Windows moet kunnen updaten. Hiervoor heb je twee opties. De eerste is een update server in het quarantaine VLAN te plaatsen, de tweede is de werkplek toegang te geven tot internet. In beide gevallen kan de werkplek zichzelf gaan updaten

Naast de Wired (bedraad) oplossing is het ook mogelijk 802.1x in te zetten voor een wireless (draadloos) oplossing. In deze blog gaan we uit van een wired oplossing, maar het opzetten van NAP voor wireless is niet veel anders.

Wat heb je nodig

Voordat je begint moet je een paar zaken geregeld hebben voor dat je kunt beginnen. Hier is een overzicht van wat je minimaal nodig hebt:

1 x Windows 2008 R2 NPS server
1x een computer certificaat voor de NPS server. Deze gebruikt de NPS server voor het PEAP protocol.
1x een 802.1x compliant switch dat het radius tunnel attribute ondersteunt. Het hoeft niet per definitie een layer 3 switch te zijn

Step by Step

We starten op de NPS server, in mijn test lab is dat de RRAS01 server. Start op deze server het Network Policy Server console op.

Selecteer NPS (Local)
Kies voor Configure NAP

Kies voor IEEE 802.1X (Wired),
Druk op Next

Je moet nu opgeven welke switches je gaat gebruiken.

Druk op Add, en vul de gegevens in van je Switch

Onthoudt de shared secret goed. Gebruik je een complexe shared secret, wat aan te raden is, copieer hem dan eventueel in password safe. Deze shared secret heb je later nodig op je switch.

Druk op OK en herhaal deze stap voor elke switch die je wilt inzetten.
Druk op Next

Je hoeft geen computer of users op te geven, als je gebruik maakt van 802.1x in combinatie met NAP. Wel bieden de meeste Switch leveranciers een uitbreiding op hun switch aan dat je gebruik kunt maken van authenticatie op basis van groepen of computers. Hiervoor moet je dus (meestal) een extra licentie kopen.

Druk op Next

Controleer of je de juiste certificaat heb geselecteerd en dat het authenticatie protocol PEAP-MS-CHAPv2 is.

Druk op Next

Nu komt het “lastige” gedeelte. We gaan aangeven welke VLAN voor Full Access gebruikt gaat worden en welke voor Restricted Access gebruikt gaat worden.

Onder Full access Network druk op Configure

Je krijgt nu het volgende scherm voor je:

Tunnel-Type moet VLAN zijn, want de scheiding vindt plaats op basis van VLAN’s. Het medium is 802 inclusief Ethernet. De derde setting is die van Tunnel-Pvt-Group-ID. Dit is de VLAN die een werkplek Full Access geeft. Gebruik hier dus de juiste VLAN ID. In het voorbeeld is dat VLAN 777.

Ga naar de tweede tabblad.
Druk op Add
Selecteer als Vendor: Custom
Selecteer Tunnel-Tag

De Tunnel-Tag attribuut wordt door sommige switches gebruikt om settings op de switch te groeperen. Raadpleeg de handleiding van de switch of je deze nodig hebt. Staat er niets over in dan heb je hem waarschijnlijk niet nodig. Door deze op 1 te zetten heb je in ieder geval een juiste default waarde.

Druk op Add
Als waarde gebruik je 1 of de waarde die je moet opgegeven volgens de handleiding van je switch.
Druk 2x op OK

We gaan nu de restricted access network configureren. Dit gaat op dezelfde manier als bij Full Access. Alleen geef je als Tunnel-Pvt-Group-ID een andere VLAN op. Het VLAN waarop een werkplek komt als hij niet voldoet aan de eisen.

In mijn voorbeeld maak ik gebruik van VLAN ID 666.

Druk op Next

We geven nu aan welke Health Validator we willen gebruiken.

Druk op Next en dan op Finish

De NPS server is nu klaar. Je kunt nu je switch gaan configureren. Hoe dat moet zul je moeten opzoeken in de handleiding van je switch. Veel geluk met NAP en IEEE 802.1x

Martijn Bellaard

Optimaliseer de CRM 2011 Client Performance

Steven Vlaanderen Oldenzeel — Wed, 21 Dec 2011 15:15:00 GMT

In mei 2011 is het MSCRM 2011 Client Performance Whitepaper gereleased. En vandaag, december 2011 is daar een refresh van uitgebracht. Waarom is dit een belangrijk Whitepaper?

In vele CRM projecten worden performance optimalisaties gezien als activiteiten die pas nuttig zijn aan het eind van het project (wanneer de performance wordt getest). Of nog erger, pas na de go-live van de CRM applicatie.

Het probleem is dat functionaliteit in tegenstelling tot performance hoger op de prioriteitlijst staat van het project. Redelijk logisch want als je de functionaliteit niet kan leveren waar de gebruikers om vragen, dan wordt de CRM applicatie uiteraard niet in gebruik genomen. Maar als de functionaliteit wel geleverd kan worden, maar het performed niet, dan wordt de CRM applicatie ook niet in gebruik genomen. Maar waar zit de valkuil nu?

Vaak worden de functionaliteits tests uitgevoerd zonder dat hier de performance in wordt meegenomen. Er wordt dus uitsluitend gekeken of iets werkt en niet hoe lang het duurt om de bewerking te voltooien. Het voordeel (voor het project) is dat deze tests vaak op kleine schaal worden uitgevoerd en de performance problemen dus nauwelijks zichtbaar zijn omdat:
1. De dagelijkse load van de pc niet op een test pc voorkomt
2. De servercapaciteit vaak groot genoeg is om deze kleine load op te vangen
3. Performance niet wordt gemeten tijdens de tests, en er daardoor geen inzicht is van de performance getallen die een gewone user genereert bij normaal gebruik.

Is dit een probleem? JA! Een voorbeeld: Er wordt in een scherm een bepaalde functionaliteit in gebouwd die ervoor zorgt dat data real-time wordt opgehaald uit een ander systeem. Vervolgens worden er aanpassingen gedaan in het scherm waarna het record wordt opgeslagen in CRM. Na deze actie worden er workflows gestart die het opgeslagen record gebruiken als trigger, bijvoorbeeld om terugbel acties te plannen, andere gebruikers te informeren, validatie checks uitvoeren, Audit records opslaan, noem maar op. In je eentje of met een paar mensen is dit niet zo’n probleem. Maar ga je zulke acties met 1000 man tegelijk doen dan wordt het allemaal een ander verhaal.

Oplossing? Eenvoudig. Zorg ervoor door de juiste vragen te stellen dat je vanaf de start van het project begrijpt welke performance impact een bepaalde business requirement kan hebben. Probeer deze in getallen om te zetten zodat het meetbaar wordt. Beperkt de variabele (onzekere) factoren en stel vervolgens de meetmethode vast. Gebruik die kerngetallen om deze om te rekenen naar het concurrent aantal gebruikers.

Een Voorbeeld:
1. Business Requirement – Eenvoudig een lead omzetten naar een opportunity of klant
2. Beoogde performance impact:
Functionele vragen: Hoe vaak komt dit voor? Hoe vaak is dit voorgekomen in de afgelopen periode? Welke acties zitten hier aan vast? Adres validatie? Krediet Check? Audit? Worden andere applicaties gebruikt tijdens deze activiteit? Master Data Management? Welke gebruikers doen deze actie? Etc.
Technische vragen: Hoeveel velden worden ingevuld of aangepast? Hoeveel entiteiten worden geupdate? Hoeveel indexen en views worden met deze actie geupdate? Welke hoeveelheid data wordt er uitgewisseld? Etc.
3. Maak van deze vragen getallen, bijvoorbeeld:
- Hoe vaak komt dit voor? gemiddeld 10 x per dag, max 100 x per dag per gebruiker.
- Welke acties? Opslaan in applicatie, update financieel systeem, synchronisatie outlook.
- Welke gebruikers? Alleen het sales team.
- Hoeveel velden? Maximaal 120, 10 integer, 10 bitvelden, 30 lookups, 50 picklists, 20 textvelden
- Hoeveel Entiteiten, indexen, views? 8 entiteiten, 40 indexen, 5 views
- Hoeveel data? 800Kb naar de server, max 5mb wanneer een attachment wordt mee gesaved.
NB. Dit lijstje kannog worden uitgebreid met het aantal server requests, roundtrips, etc.
4. Maak deze getallen meetbaar, bijvoorbeeld:
CRM server monitoring, IIS logging, SQL logging. Eventueel uitbreiden met custom tools zoals de performance toolkit

Bijkomende voordelen:
1. De impact van het in gebruik nemen van nieuwe functionaliteit is direct inzichtelijk
2. Ervaring met monitoring tools kan gelijk worden opgebouwd en gedocumenteerd
3. Inzichtelijk wat het verschil is tussen verschillende hardware en software configuraties

Succes!

Supersnel kopieren met Windows 8

Helmer Zandbergen — Thu, 22 Sep 2011 23:38:39 GMT

Sinds ongeveer een week draai ik Windows 8 Developer Preview on mijn zakelijke (productie) laptop, gewoon omdat het kan :-). Vandaag moest ik een groot bestand van de ene share naar de andere share van mijn Windows Home Server 2011 machine kopieeren. Normaal gesproken open ik dan een RDP connective naar de machine, omdat (in ieder geval in Windows 7) het kopieren via m’n laptop niet echt de snelste manier is.

Afgelopen week (tenminste toen ik nog Windows 7 draaide) was de gemiddelde snelheid ongeveer 6 MByte/sec., dus ik was nogal verbaasd toen ik de kopieersnelheden richting de 40 MByte/sec. zag lopen. Laat me even uitleggen wat ik exact heb gedaan…

De infrastructuur

De afbeelding hierboven laat een gedeelte van de infrastructuur zien zoals ik die hier thuis heb. Mijn laptop is met een 802.11n WiFi netwerk verbonden en meestal is de snelheid zo’n 144 Mbit.The above pictures shows a part of my infrastructure at home. My laptop is connected to a 802.11n WiFi network and most of the time the connection is around 144Mbit.

Kopieer echt heel snel….met Windows 8
Ik kopieerde een heel groot bestand van de ene share (op WHS2011) naar een andere share (op dezelfde WHS2011). Ik starte het kopieerproces vanaf mijn laptop’s Windows Verkenner. Technisch gesproken gaat het bestand dan van WHS2011-Share01 –> Laptop –> WHS2011-Share02. In Windows 7 zou dit een (theoretisch) maximale kopieersnelheid van ongeveer 150 Mbit betekenen. In de praktijk ligt de werkelijke snelheid meestal rond de 6 MByte/sec.

Maar, toen ik de kopieeractie starte op mijn Windows 8 D.P. laptop, liep de snelheid op tot ongeveer 60 MByte/sec. Als je even nadenkt zul je begrijpen dat het theoretisch onmogelijk is om via een 144 Mbit WiFi verbinding een snelheid van 60 MByte/sec te halen!

Het lijkt er op (in ieder geval in Windows 8 en bij een kopieeropdracht van de ene naar de andere share op dezelfde server) dat de file niet echt over de WiFi verbinding wordt getrokken, maar dat hij op de achtergrond (lokaal op de server) wordt gekopieerd.

Langzaam kopieeren via….Windows 7
Ik kon me niet echt meer herinneren of dit ook al mogelijk was met Windows 7, dus ik heb exact dezelfde kopieeropdracht ook eens uitgevoerd vanaf een Windows 7 laptop.

Kopieren met WHS2011 vs. Windows Server 8
In de vorige test heb ik een file gekopieerd die op de Windows Home Server 2011 machine stond. Gewoon, omdat het kan voeren we de kopieeropdracht nog eens uit. Dit keer kopieren we de binary-test-file welke op de Windows Server 8 machine staat.

De iets lagere snelheid heeft waarschijnlijk te maken met het feit dat de WHS2011 machine een fysieke machine is. De Windows Server 8 machine is een virtuele machine…maar dan is 43 MByte/sec. nog steeds erg snel over een 144 Mbit WiFi verbinding. Zo als je dus een client hebt die het SMB 2.2 protocol ‘praat’, dan kun je dus heel snel bestanden kopieren.

Conclusie
Ik ben erg gecharmeerd van de ‘geupgrade’ versie van het SMB (2.2) protocol. Als je hem vergelijkt met Windows 7 (SMB 2.0 als ik het goed heb) dan zorgt het nieuwe SMB 2.2 protocol voor grote voordelen als het aankomt op een ‘simple’ kopieropdracht. Op dit moment zijn de snelle kopieersnelheden alleen te behalen als je bestanden kopieert van de ene share naar een andere share op dezelfde server, althans dit is wat ik getest heb. Bij het kopieeren van dezelfde file van de WHS2011 machine naar de Windows Server 8 machine (via dezelfde kopieer-methode) kwam de maximale kopieersnelheid niet boven de 3-6 MByte/sec uit. Vergeet niet dat we hier nog te maken hebben met Windows 8 Developer Preview! Ik ben benieuwd of er nog meer nieuwe kopieer-features komen in de BETA/RC/RTM versies!

Microsoft heeft trouwens een leuk document waarin je meer kunt lezen over de SMB 2.2 File Sharing Performance.

Protocol error bij disconnecten van shadow session in Remote Desktop Services op Windows Server 2008 R2 SP1

Erwin Derksen — Tue, 19 Jul 2011 14:40:00 GMT

Kwam laatst het volgende issue tegen bij een klant die zojuist is gemigreerd naar Remote Desktop Services op basis van Windows Server 2008 R2 met Service Pack 1. (Dus zonder Citrix)

Als de beheerders een gebruiker shadowen en vervolgens de shadowsessie beëindigen, wordt de gebruiker ‘gedisconnect’ met de volgende foutmelding:

Because of a protocol error, this session will be disconnected. Please try connecting to the remote computer again.

De gebruiker kan dan weliswaar opnieuw verbinding maken met zijn disconnected desktop, maar het hoeft geen betoog dat dit gedrag irritant is.

Dit gedrag blijkt te worden veroorzaakt door de RDP Compression Settings en het lijkt niet uit te maken of je nu een sessie overneemt die opgezet is vanaf Windows XP of Windows 7, danwel een thin client.

De oplossing is echter erg eenvoudig, pas de RDP Compression Settings op de server aan en het issue is verdwenen. Uiteraard doen we dit via Group Policy, zodat we er zeker van zijn dat alle RDS servers dezelfde instellingen hebben.

Stel de policy als volgt in:

Navigeer naar het volgende pad:

Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Remote Session Environment

Bij mij was het issue is hiermee per direct opgelost.

Folder Redirection – Best Practices

Erwin Derksen — Fri, 03 Dec 2010 21:51:00 GMT

Een item waar klanten regelmatig mee stoeien is Folder Redirection. Ik zie dat toch nog regelmatig misgaan en het leek me een goed idee om hier eens wat over te posten.

Folder Redirection is een zeer handig middel om het zowel de gebruiker als de beheerder gemakkelijk te maken data op te slaan op het netwerk. Dit zorgt ervoor dat gebruikersdata veilig wordt opgeslagen, centraal te backuppen is en, niet onbelangrijk, overal beschikbaar is. De meeste beheerders willen immers niet dat bijvoorbeeld ‘My Documents’ onderdeel is van het profiel ;-) Je haalt dus bepaalde data uit het profiel en slaat dit op een fileserver op, dit zorgt ook voor snellere aanmeldtijden, Windows hoeft immers minder data te kopiëren omdat het profiel compacter is.

Ook werkt folder redirection handig als een gebruiker op meerdere systemen tegelijkertijd is ingelogd. Vaak redirect men “My Documents’ naar de homedrive, zodat er voor de gebruiker maar 1 logische plek is om persoonlijke data op te slaan. Folder Redirection kan overigens gecombineerd worden met Offline files (fors verbeterd in Windows 7 trouwens) voor notebook gebruikers.

Een migratie naar Windows 7 is overigens een uitstekende gelegenheid om folder redirection (weer) eens onder de loep te nemen en goed in te richten….

Zoals voor zoveel dingen in het leven geldt ook hier: Denk eerst goed na over wat je met Folder Redirection wilt bereiken en test het eerst goed uit voordat je het in productie toepast…

Enkele handreikingen:

Accepteer de standaard instellingen, die voldoen voor de meeste gevallen.
Laat bij voorkeur het systeem de mappen aanmaken, dan staan automatisch de rechten goed ingesteld.
- Het kan echter zijn dat er al mappen bestaan of dat men ze perse vooraf wil aanmaken, let er dan op dat de juiste rechten staan ingesteld, zie hiervoor de bijlage onderaan het artikel.
Gebruik alleen UNC paden… DFS kan zaken nog makkelijker maken.
Folder Redirection ondersteunt de volgende variabelen voor het redirection pad:
- %USERNAME%
- %USERPROFILE%
- %HOMESHARE%
- %HOMEPATH%
Laat submappen van ‘My Documents’ waar ze horen: onder ‘My Documents’
Als je redirect naar de home directory…
- …Dan worden de rechten niet gecontroleerd of aangepast. Dit betekent dat de beheerder moet zorgen dat de home directory’s goed zijn beveiligd!
- …Dan moet het homedrive pad in Active Directory goed zijn ingevuld!
- …Dan hebben Domain Admins toegang tot de map
- …Let er in een Terminal Server / RDS Scenario op dat je geen aparte ‘Terminal Server Homedrive’ instelt. Hoewel het technisch wel werkt, zorgt het voor vertraging bij het in- en uitloggen, doordat er data wordt gekopieerd van de standaard homedrive naar de Terminal Server homedrive. In de meeste gevallen zal het pad echter gelijk zijn en zal alleen een standaard homedrive (profile tab in AD) staan ingesteld.

Redirection van de homedrive?

Zorg dan dat onderstaand pad in AD goed staat!

Deze optie is echter niet beschikbaar voor alle mappen! Zo kun je bijvoorbeeld ‘Desktop’ en ‘Start Menu’ niet naar de homedrive verwijzen.

Welke mappen kunnen we redirecten?

Links de mappen die geredirect kunnen worden in de 2003/XP policy. Rechts een policy van 2008(R2) / Windows 7. Zoals je ziet hebben we daar iets meer mogelijkheden, hoewel het principe gelijk blijft.

In 2008 R2 policies heb je voor de submappen ‘Pictures’, ‘Music’ en ‘Videos’ van ‘My Documents’ onderstaande optie om het instellen wat te vereenvoudigen:

Let op, als je XP systemen met een 2008 R2 policy aanstuurt, dan is het handig het volgende vinkje in te schakelen, anders wordt de redirection policy niet op XP toegepast:

Deze instelling is uiteraard alleen van toepassing op mappen die XP herkent.

O ja, ik ben blij dat we nu ook ‘Favorites’ kunnen redirecten, daar zijn gebruikers over het algemeen nogal aan gehecht…

Let wel op met de volgende setting:

Deze zorgt ervoor dat de rechten goed worden gezet, maar deze setting controleert (als het een bestaande map betreft) ook het ownership van de map. Is de te redirecten gebruiker geen owner, dan faalt het redirecten…. Zonder dit vinkje wordt dit niet gecontroleerd en kan de owner van de map dus anders zijn dan de gebruiker…

Redirecten van AppData

Het redirecten van de map AppData naar een share zorgt ervoor dat applicatie instellingen ook centraal op het netwerk worden opgeslagen. Het voordeel is dat een gebruiker dan geen zaken opnieuw hoeft in te stellen wanneer hij aanlogt op een nieuw systeem of om een andere reden een nieuw profiel krijgt.

Toch is het redirecten van Application Data niet geheel zonder risico, er zijn genoeg voorbeelden te vinden van applicaties die toch niet helemaal lekker meer werken zodra je de map AppData redirect. Dit komt dan doordat die applicatie op een niet-standaard manier probeert instellingen naar het profile te schrijven…

Over het algemeen werkt het prima en het kan zeker geen kwaad om hier eens mee te testen. Configureer een testaccount, plaats dit in een aparte OU met een eigen redirection policy en log in op een representatief systeem om vast te stellen of alle applicaties blijven werken.

Overigens is er ook iets voor te zeggen om AppData juist niet te redirecten, gebruikers kunnen dan op verschillende systemen verschillende instellingen hebben. Bovendien betekent een nieuw profiel dan per definitie nieuwe instellingen…

De AppData map ziet er in Vista/7 overigens anders uit. Er is voortaan een onderverdelen in de volgende 3 submappen:

Hierbij bevat alleen ‘Roaming’ de data die ‘roaming’ moet zijn. Machine specifieke data staat in de Local mappen.

Compatibility met XP

O Ja, en het ‘All Users’ profiel heet voortaan ‘Public’. En de Recycle Bin wordt voortaan als hidden file in het profiel geplaatst. Om compatible te blijven met oudere applicaties die nog de XP paden verwachten zijn er ‘junction points’ aangemaakt. Dit zijn verwijzingen naar de nieuwe locatie in de Windows 7 profielstructuur.

Zo zie je hieronder dat Application Data een junction point is naar AppData\Roaming…

Met het commando dir /ad kan men in de c:\users\<gebruikersnaam> map de junction points opvragen.

In de verkenner (hidden folders aan!) ziet het er zo uit:

Zoals je ziet is de profielstructuur vanaf Vista ingrijpend veranderd, vandaar dat gebruikers ook een .V2 profiel krijgen zodra ze inloggen op een 2008(r2) of Vista/7 machine. Dit zorgt er in ieder geval voor dat beide systemen naast elkaar kunnen bestaan.

Ik hoop hiermee wat meer duidelijkheid te hebben gegeven over folder redirection. Hieronder nog de bijlagen met de diverse rechten die nodig zijn als je handmatig de mappen wilt aanmaken.

BIJLAGE: Rechten

Rechten op de root map:

Eventuele share rechten:

" border="0" alt="clip_image018" src="http://blogs.microsoft.nl/blogs/itprocommunity/clip_image0186_thumb_561F3F43.jpg" width="632" height="125" />

En tot slot de rechten voor elke gebruikers map die geredirect wordt:

Configuring Forefront Endpoint Protection Monitoring

Martijn Bellaard — Wed, 03 Nov 2010 19:16:46 GMT

In mijn vorig blogs heb ik stil gestaan bij wat Forefront Endpoint Protection is, hoe je deze installeert, hoe je policy’s maakt en hoe je en client distribueert. Ik heb nu een ICT omgeving die beveiligd wordt met Forefront Endpoint Protection. Maar ik wil ook graag weten hoe de status is van mijn client:

Is er een virus ontdekt,
Zijn alle updates ontvangen,
Komt de policy door.

Het dashboard

Forefront Endpoint Protection beschikt over een eigen Dashboard. Dit dashboard vind je op de volgende locatie:

- Start System Center Configuration Manager console
- Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010

Op het moment dat je Forefront Endpoint Protection 2010 selecteert zal in het midden, van het console, het dashboard worden geopend.

Het dashboard is in vijf velden verdeeld:

Client Deployment Status, Hierin zie je hoeveel clients er zijn gedeployed, hoeveel er nog moeten gebeuren en welke er zijn mislukt. In een vorige blog ben ik hier al op ingegaan.
Malware Activity Status, hierin zie je de activiteiten van malware op je netwerk terug.
Definition Status, hierin zie je de status van de definitie updates distributie.
Policy Distribution Status, hierin zie je de status van de policy distributie.
Forefront Endpoint Protection Baselines, hier kom ik in een latere blog nog op terug.

Malware Activity Status.

In malware activity status zie je dat de laatste 24 uur er 1 malware (virus) gedetecteerd is. Als ik op de 1 klik dan wordt ik doorgewezen naar Site Database (Site)\Computer Management\Collections\FEP collections\Malware activity status\Recently cleaned. Hierin staat 1 computer. Dit is mijn werkplek waarop ik (stiekem) wat virussen heb gedownload. Ik wil nu graag weten welk virus op mijn computer is binnen gekomen.

- Selecteer de computer
- Actions => Start => Windows Event Viewer

De Event Viewer van de computer wordt nu geopend

- Kijk in het System log
- Action => Filter Current Log

Filter op eventid 1116. Je krijgt nu alle Forefront Endpoint Protection Client virus meldingen te zien. In mijn geval zijn het vier meldingen, want ik heb een poging gedaan vier virussen te downloaden.

Definition Status

Elke 3 uur komt er een nieuwe update uit voor Forefront Endpoint Protection. Deze update kun je downloaden via WSUS en distribueren.

Definitie download configureren

Eerst moeten we er voor zorgen dat updates daadwerkelijk worden gedownload.

- Site Database (site)\Site Management\site\Component Configuration
- Selecteer, in het midden, Software Update Point Component
- Action => Properties
- Tabblad: Classifications
- Selecteer: Definition Updates

- OK

Monitoring

WSUS download en distribueert de updates. Op Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010 kunnen we nu gaan kijken welke computers een update krijgen.

In mijn geval heeft 1 computer al maximaal 3 dagen geen updates gekregen. Als ik op de 1 druk word ik weer doorverwezen naar de FEP collections. Hier zie ik dan de betreffende computer staan. Ik kan nu twee dingen doen:

1) Op de computer inloggen en handmatig de update uitvoeren.

- Start Forefront Endpoint Protection Client. Deze vind je terug in je system tray. Je krijgt dan het volgende scherm voor je:

- Update tab
- Update knop
Nu wordt de update binnen gehaald.

2) De tweede manier is via een “software update”

- Selecteer de betreffende computer
- Action => Distribute => Software
- Next
- Browse
- Selecteer “Microsoft Corporation Forefront Endpoint Protection 2010 – Operations 1.0 All”
- Ok
- Next
- Selecteer de distributie punt(en)
- Next
- Update Definitions
- Next
- Next
- Next

Laat de advertisement verlopen na een dag. Als de computer na een dag nog steeds niet de update heeft dan zou je moeten gaan onderzoeken wat er mis gaat. Hierbij is het goed om te weten dat de client gebruik maakt van de Windows update mechanisme om updates binnen te halen. Dit is dan ook het onderdeel dat je moet gaan onderzoeken.

- Next
- Assign (wijs) het ”programma” toe en Ignore maintenance Windows
- Next
- Next
- Close

Policy Distribution

Het laatst onderdeel dat ik wil behandelen is de Policy distribution

In een eerder blog heb ik uitgelegd hoe policy’s werken en hoe je ze kunt distribueren. Net als bij de andere twee onderdelen kun je vanuit het dashboard door klikken om te achterhalen welke computers nog een policy moeten krijgen.

Achter distribution failed kun je klikken op het getal . Je komt dan terecht bij FEP collections\Policy distribution\Distribution failed. Vanuit hier kun je de event viewer openen en onderzoek wat er mis is gegaan. Ook kun je kijken of de client in folder C:\ProgramData\Microsoft\Microsoft Security Client\Support. Hier vind je meerdere logfiles. Deze logfiles kunnen je helpen te onderzoeken wat er mis is gegaan tijdens de policy distributie/update.

Email waarschuwing configureren

Met de Forefront Endpoint Protection is het dus mogelijk om centraal te zien welk virus waar is gevonden. Nu zullen de meeste beheerders niet constant kijken naar het dashboard van Forefront Endpoint Protection. Op het moment dat er een virus uitbraak plaatsvindt kan deze dus makkelijk aan de aandacht van een beheerder ontsnappen. In Forefront Endpoint Protection is het mogelijk om een email te versturen als er een virus uitbraak plaatsvindt.

- Start System Center Configuration Manager console
- Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010\Alerts

Malware Outbreak Alert

Er is sprake van een Malware Outbreak als 1 type virus in een snel tempo allemaal computers begint te besmetten.

- Selecteer Malware Outbreak Alert
- Action => Properties

Bij 1 kun je invullen hoeveel computers er besmet moeten zijn als je wilt praten over een virus uitbraak
Bij 2 kun je het interval tussen de detecties aangeven
Bij 3 geef je het email adres op waarnaar gemaild moet worden.

Malware Detection Alert

Er is sprake van een Malware Detection Alert als er een malware gevonden wordt.

- Selecteer Malware Detection Alert
- Action => Properties

Bij 1 geef je aan welke collectie je wilt monitoren
Bij 2 geef je aan wanneer je een melding wilt hebben:

Low, alleen als een virus niet verwijderd is
Medium, als de melding om een handmatig actie vraagt
High, altijd

Bij 3 vul je dan het email adres in.

Email settings

Als laatste moet je aangeven welke server de mail server is.

- Action => Email settings

- SMTP server (FQDN): geef de FQDN van de Exchange server op.
- Authentication method: Hoe ga je authenticeren bij de exchange
- E-mail from address: Een afzender adres
- OK

Je kunt via Test and Close testen of je alles goed hebt geconfigureerd.

Veel plezier met het monitoren van de omgeving

Martijn Bellaard

Wat is Microsoft Forefront Endpoint Protection 2010

Martijn Bellaard — Mon, 27 Sep 2010 19:29:58 GMT

Al enige tijd is de Beta van Forefront Endpoint Protection 2010 (FEP) te downloaden. Tijd om er eens wat aandacht aan te besteden.

Forefront Client Security

FCS bestaat al een tijdje en is de Microsoft Antivirus & Antimalware oplossing. Deze oplossing werkt op basis van Microsofts eigen Antivirus engine. Hij maakt gebruik van WSUS voor zijn updates, Active Directory voor de policy’s en MOM voor monitoring. Vooral de laatste zorgt voor nogal wat commentaar, want één van de eisen voor FCS was een eigen MOM installatie. Je kunt FCS niet op een bestaande MOM installatie installeren.

Forefront Endpoint Protection 2010

FEP is de opvolger van FCS. FEP wordt, net als FCS, gebruikt als Antivirus & Antimalware client op servers en werkplekken. FEP heeft de volgende kernmerken:

Integratie met de bestaande infrastructuur
Eenvoudig te distribueren
Eenvoudig in gebruik

Integratie

FCS was de eerste antivirus client van Microsoft. Het feit dat FCS zijn eigen MOM server nodig had werd gezien als een groot nadeel. De ontwikkelaars van FEP (en FCS) hebben dan ook eens goed nagedacht over welk console ze zouden gaan gebruiken voor de client. Nu is SCOM de opvolger van MOM en zou dus de logische opvolger zijn. Er zit een groot nadeel aan SCOM, deze is bedoeld voor monitoring. Je zult dus naast SCOM nog een andere tool moeten hebben voor Distributie en Management van de client. In de System Center family is er een speciale tool voor juist deze taken, System Center Configuration Manager 2007. Er is dan ook gekozen om SCCM te gebruiken als console. Hier zitten een aantal voordelen aan:

In SCCM heb je een collectie van al je clients, je kunt dus nu eenvoudig FEP aan zo een collectie toewijzen
SCCM is gemaakt voor software distributie. FEP is niks anders dan een software pakket
WSUS kent ook een integratie met SCCM, dus je kunt ook de updates voor FEP vanuit SCCM doen.
SCCM kent integratie met NAP
SCCM heeft rapportage mogelijkheden.

Distribueren

Virussen en malware zijn iets waar elke organisatie vroeg of laat (of allebei) mee te maken krijgt. Er is dan ook geen organisatie die geen antivirus oplossing heeft. Als je dus kiest voor een nieuw antivirus client zul je dus moeten gaan nadenken hoe je de ene client weghaalt en de andere installeert. Je hebt dan twee opties:

Je installeert de nieuwe en verwijdert daarna de oude, je hebt nu geen window waarin je risico’s loopt, maar de oude antivirus client kan de installatie van de nieuwe in de weg zitten.
Je verwijderd de oude en installeert de nieuwe. Je hebt nu niet dat de oude de nieuwe in de weg zit, maar je hebt wel een window waarin je systeem tijdelijk niet beschermd is.

Bij de distributie van FEP zal de FEP client zelf eerst de oude client verwijderen en daarna zichzelf installeren. Hierdoor heb je een minimale window waarin je systeem onbeschermd is. Als je voor kiest om dit proces buiten kantooruren plaats te laten vinden is het risico bijna te verwaarlozen.

FEP kan niet alle antivirus clients verwijderen. Een overzicht van de clients die automatisch verwijderd worden vindt je terug op:

http://technet.microsoft.com/en-us/library/ff823842.aspx

Gebruik

Naast dat FEP SCCM gebruikt voor distributie kun je ook vanuit SCCM de policy’s bepalen. Eerst maak je binnen SCCM een policy aan en daarna wijs je deze toe aan een collectie. Vervolgens kun je vanuit SCCM de distributie van deze policy monitoren, maar ook een eventuele virus uitbraak wordt bekent gemaakt binnen SCCM.

Samenvatting

FEP is de opvolger van FCS, maar is veel eenvoudiger in het beheer. Alles doe je vanuit één console, het console van SCCM. Het is ook niet langer nodig om een speciaal SCCM server neer te zetten voor FEP. Deze integreert met de bestaande SCCM. Hierdoor is het dus mogelijk om bestaande collecties te gebruiken voor FEP

In een volgende BLOG ga ik in op de installatie van FEP.

Deel II PKI voor Direct Access, Config ADCS

Martijn Bellaard — Wed, 24 Feb 2010 19:01:54 GMT

Direct Access maakt gebruik van IPSec op basis van certificaten om de Direct Access IPv6 verkeer te beveiligen. Hiervoor heb je, in deel I, de ADCS geïnstalleerd, maar deze moet wel worden aangepast aan de eisen van Direct Access

IP-HTTPS custom certificate template (Optioneel)

Als eerste maken we een custom template aan voor de IP-HTTPS. Dit is alleen noodzakelijk als je een eigen SSL certificaat wil gebruiken voor IP-HTTPS

Aanmaken Custom certificaat:

Start de ADCS mmc
Ga naar certificate templates
Action => Manage
Selecteer de Web Server template
Action => Dubplicate Template
Windows Server 2008 Enterprise
Template display name: Web Server 2008
Ga naar de Security Tab
Voeg toe: Domain computer, Allow Enroll
Ga naar de Request Handling tab
Selecteer: Allow private key to be exported
OK en sluit de MMC

Je bent nu weer terug in de ADCS MMC

Ga naar certificate Templates
Action => new => Certificate Template To Issue
Selecteer de nieuw aangemaakte template Web Server 2008

Laat het console maar openstaan, we hebben hem direct weer nodig.

Aanpassen CRL locatie

Onze werkplekken zullen straks via Direct Access een connectie maken met het netwerk. Voordat ze dat kunnen zullen ze een 6over4 tunnel willen opzetten en het IPv6 verkeer beveiligen met IPSec op basis van een certificaat.

De Direct Access kent drie verschillende 6over4 tunnels:

ISATAP
6to4
Teredo
IP-HTTPS

De laatste tunnel techniek maakt gebruik van een SSL tunnel om IPv6 verkeer te routeren over het IPv4 internet. Windows 7 zal hiervoor eerst de CRL willen controleren. We moeten er dus voor zorgen dat onze CRL distributie locatie van buitenaf bereikbaar is. Hiervoor zul je dus een website moeten hebben op het internet waarnaar je de CRL zult publiceren. Je kunt dit automatisch laten verlopen. In dat geval moet je CA schrijfrechten hebben op de webserver. Je kunt het met de hand doen, dan zul je dus zelf de CRL lijsten moeten kopiëren.

Selecteer de server
Action => Properties
Ga naar de Extensions tab
Add
Location = http://externe.url/CRT/<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl
OK
Vink de volgende onderdelen aan:

Include in CRLs. Clients use this ti find delta CRL locations
Include in the CDP externsion issued Certificates

Apply

Nu hebben we de plek aangegeven waar de CRL lijst is te downloaden. Nu moeten we de CA vertellen hoe hij bij deze plek kan komen. Daarnaast zul je de CA toegang moeten geven tot deze plek. Dit doe je door de groep Cert Publishers schrijf- en leesrechten te geven.

Add
Location = file:\\server\CRT$\<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl
Ok
Vink de volgende onderdelen aan:

Publish CRLs to this location
Publish Delta CRLS to this location

Restart de ADCS service om de nieuwe aanpassing door te voeren.

Direct Access PKI policy

Als laatste moet je een policy maken die een computer certificaat automatisch uitdeelt. Deze is nodig voor IPSec.

Maak of edit een GPO
Ga naar Computer\Configuration\Policies\Windows Settings\Public Key Policies\Automatic Certificate Request Settings
Action => New
Next
Select Computer
Next
Finish

IIS configuren voor CRL distributie

We hebben aan de CA vertelt om zijn CRLs te distribueren via http://externe.url/CRT/<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl. De Direct Access server is een internet facing server dus kan goed gebruikt worden om de CRL lijst te distribueren. Heb je dus niet voor een andere server gekozen dan kun je hem dus daarvoor gaan gebruiken.

Aanmaken CRL share

Als eerste gaan we een plek maken waar de CRL lijsten kunnen worden opgeslagen. Maak hiervoor de directory C:\Inetpub\wwwroot\crl Een ander locatie mag ook, maar dan zul je hem moeten toevoegen aan de website.

Select de folder die je net hebt aangemaakt, (C:\Inetpub\wwwroot\crl)
Rechtermuis knop => Properties
Sharing
Advanced Sharing
Selecteer: Share this folder
Share naam: CRL$
Permissions
Add
Cert Publisher
OK
Geef Cert Publisher Full Control
OK
OK
Ga naar de Security tab
Edit
Add
Cert Publisher
OK
Geef Cert Publisher Full Control
OK
OK

Aanpassen CRL website

Het opvragen van de certificaten vanaf een website kan alleen maar als de website Double Escaping toestaat. Default staat IIS 7.0 dat niet toe.

Open IIS Manager

Open de default website
Open CRL
In de contents pane zie je de Configuration Editor staan. Dubbel klik deze
Bovenin zie je section staan. Vul het volgende in: system.webServer/security/requestFiltering.
Zorg dat allowDoubleEscaping op True komt te staan
Action => Apply

Voordat je de IIS manager sluit controleer je een aantal zaken:

De website moet “anonymous access” toestaan
Zit de website achter een reverse proxy moet deze ook anonymous access toestaan.
Op NTFS niveau moet “everyone” toegang hebben tot de CRL lijsten.

Publiceer de CRL lijst

Nu de CRL locatie klaar is kun je de CRL lijst distribueren naar deze nieuwe locatie. Log hiervoor aan op de ADCS server.

Open de ADCS mmc
Selecteer Revoked Certificates
Action => All tasks => Publish
New CRL
OK

Als alles goed gegaan is zie je nu twee CRLs staan in de CRL directory. Direct Access gaat niet werken als de client de CRL lijsten niet kan downloaden. Controleer dit met PKIView. Hierin mogen geen foutmeldingen of waarschuwing voor komen. Heb je wel meldingen of waarschuwing los deze dan eerst op.

Aanvragen SSL certificaat voor de IP-HTTPS server

Als laatste gaan we een SSL certificaat aanvragen voor IP-HTTPS. Dit kun je doen bij je eigen CA of bij een online CA. In deze blog doe ik het bij mijn eigen CA. De template hebben we eerder in deze blog aangemaakt.

Start, type MMC
Enter
File => Add/Remove Snap-in
Selecteer Certificaten
Add
Computer Account
Next
Local Computer
Finish
Ga naar de Certificates (Local Computer)\Personal
Action => All Task => New Certificate
Select Web Server 2008
Druk op More Information is required to enroll for this certificate
Op de subject tab van de Certificate Properties zie je het veld Subject Name staan. Hier kun je verschillende typen kiezen. Selecteer Common Name
Vul zowel je interne als je externe URL in.
Onder Alternative name selecteer DNS
Vul opnieuw je interne en externe URL in.
OK
Enroll
Finish

Je hebt nu een certificaat aangevraagd voor IP-HTTPS.

In mijn volgende blog gaan we direct access configureren.

DeelI, Installatie Direct Access, De voorbereiding

Martijn Bellaard — Tue, 02 Feb 2010 18:31:00 GMT

Ik ga in een aantal aankomende blogs aandacht besteden aan hoe je DirectAccess moet configureren. Voor meer informatie over wat DirectAccess is kijk op:

http://www.microsoft.com/windowsserver2008/en/us/directaccess.aspx

In mijn eerste blog behandel ik de stappen die je moet ondernemen om jou omgeving voor te bereiden op DirectAccess. In de twee blog sta ik dan stil bij PKI voor DirectAccess en in mijn laatste blog doorlopen we de DirectAccess Wizard.

Voordat je aan deze blog begint is het verstandig om je in een aantal IPv6 technieken te verdiepen. Ik behandel ze namelijk niet in deze blog. De volgende IPv6 technieken komen in de blogs voor:

IPv6 routing
IPv6 nummers
IPv6 Teredo
IPv6 6to4
IPv6 ISATAP

Software

Direct Access is een nieuwe functionaliteit van Windows 2008 R2 en combinatie met Windows 7. Deze twee operating systems heb je dan ook nodig voor DirectAccess. DirectAccess werkt niet samen met een andere OS (versie).

Basis Setup

In de basis setup ga ik uit van minimaal 3 servers en een werkstation. De eerste server is een Windows 2008 R2 Domain Controller (DC) en Certificate Authoritie (CA/PKI). De tweede server is een Windows 2008 R2 Direct Access Server, de derde server is een Windows 2008 R2 IIS server die zowel intern als extern te benaderen is. De client is minimaal Windows 7 Enterprise Domain member.

DC/CA setup

De basis setup van de DC/CA is een Windows 2008 R2 Enterprise editie. Om een volledige ondersteuning te krijgen voor de CA is een Enterprise editie noodzakelijk.

http://technet.microsoft.com/en-us/library/cc772393(WS.10).aspx

Voordat we kunnen beginnen moet je eerst een Windows 2008 R2 met de volgende rollen installeren:

-Active Directory Domain Service (ADDS)
- Zorg voor een werkende domain, inclusief DNS.
DHCP Server
- Zorg dat deze een scope heeft om uit te delen.
Active Directory Certification Services (ADCS)

Config IPv6

IPv6 is een voorwaarde om van DirectAccess gebruik te kunnen maken. In deze guide maak ik gebruik van de Unique Local Address range FC00:1310:1969:0001/64. Geef DC de volgende IPv6 config:

IPv6 Nummer: FC00:1310:1969:0001::1/64
Gateway FC00:1310:1969:0001:1::1
DNS: FC00:1310:1969:0001::1

Dit is voorlopig alle configuratie die we doen voor IPv6 op de Domain Controller

Configuratie van Active Directory Domain Service (ADDS)

Nu we IPv6 hebben geconfigureerd op de DC kunnen we de ADDS gaan voorbereiden op DirectAccess. Hierbij ga ik er vanuit dat je al een draaiende Domain hebt.

DirectAccess is een nieuwe “dienst” voor je gebruikers. Nu zul je standaard niet willen dat elke gebruiker/computer toegang krijgt via DirectAccess. Via een Global Security Group geef je de computers toegang met DirectAccess tot het netwerk. Daarnaast zal ik straks ook een aantal policy’s moeten maken voor Direct Access. Hiervoor maak ik een aparte OU aan. Als laatste plaats ik DirectAccess Global Security Group in de OU.

Log in op de Domain Controller
Open Active Directory Users and Computer
Selecteer het domain

Action – New - Organizational Unit
Name: DirectAccessOU <Enter>

Selecteer DirectAccessOU
Action – New - Group

Group name: DAComp
Group Scope: Global <Enter>

DNS config

Direct Access maakt gebruik van verschillend IPv6 in IPv4 tunnel technieken om IPv6 verkeer over een IPv4 netwerk te transporteren. Eén van die technieken is ISATAP. We moeten er voor zorgen dat ISATAP wordt ondersteund door de DNS server.

Log in op de Domain controller
Open een command prompt als Administrator
Voer het volgende commando in: Dnscmd /config /globalqueryblocklist wpad

Windows Firewall

Als laatste moeten we de Windows firewall aanpassen zodat Teredo ICMPv4 en ICMPv6 verkeer doorgelaten wordt. Dit moeten we doen via een GPO, zodat niet alleen de server, maar ook werkstations worden aangepast.

Open de Group Policy Management Console
Selecteer het domain
Action è Create a GPO in this domain, and link it here

Name: DirectAccess <Enter>

Selecteer DirectAccess
Action - Edit
Ga naar Computer\Configuration\Policies\Windows Settings\Windows Firewall with Advanced Security\ Windows Firewall with Advanced Security

ICMPv4 Inbound

Inbound Rule
Action - New
Custom
Next, Next
Protocol type ICMPv4
Customize
Selecteer Specify ICMP type, Echo Request
OK
4x Next
Name: ICMPv4 inbound
Finish

ICMPv6 Inbound

Inbound Rule
Action - New
Custom
Next, Next
Protocol type ICMPv6
Customize
Selecteer Specify ICMP type, Echo Request
OK
4x Next
ICMPv6 inbound
Finish

ICMPv4 Outbound

Outbound Rule
Action è New
Custom
Next, Next
Protocol type ICMPv4
Customize
Selecteer Specify ICMP type, Echo Request
OK
4x Next
ICMPv4 Outbound
Finish

ICMPv6 Outbound

Outbound Rule
Action - New
Custom
Next, Next
Protocol type ICMPv6
Customize
Selecteer Specify ICMP type, Echo Request
OK
4x Next
ICMPv6 Outbound
Finish

De eerste stap naar DirectAccess is gezet. In mijn volgende blog behandel ik de PKI infrastructuur voor DirectAccess

Martijn Bellaard

#tee09

Martijn Bellaard — Mon, 16 Nov 2009 19:18:05 GMT

TechEd 2009 is weer achter de rug. Thuis even een weekendje bijgekomen en nu is het weer tijd om eens na te gaan wat ik allemaal heb geleerd. Ik heb de gewoonte om tijdens mijn bezoek aan TechEd mezelf te focussen op een aantal onderwerpen. Dit jaar waren dit:

- Windows 2008 R2 Active Directory
- Exchange 2010
- Forefront

Windows 2008 R2 Active Directory

Van de sessie over wat er nieuw is in Active Directory zijn mij een paar zaken bij gebleven. Als eerste de Recycle Bin. Het weggooien van een gebruiker account is iets wat je soms sneller doet dan de bedoeling is. Een verkeerde selectie en <DEL> is al genoeg om een gebruikers account naar de eeuwige jachtvelden te sturen. Tot nu toe had je twee opties. Alles opnieuw definiëren of een restore te doen van je Active Directory. Vanaf R2 is het mogelijk om nu een restore te doen vanuit een Recycle Bin.

Het tweede wat me opviel is de ondersteuning voor Active Directory vanuit powershell. Powershell is een krachtige tool om je werk te automatiseren. Regelmatig heb ik tijdens exchange migraties gebruik gemaakt van powershell. Nu kan ik diezelfde kracht gaan gebruiken voor Active Directory. Heb je R2 en je wilt gebruik maken van Powershell voor AD dan zul je wel eerst de module moeten laden met:PS C:\> import-module ActiveDirectory. Daarna kun je gebruik maken van Powershell. Het leuke hieraan is dat de AD nu een “drive” is geworden. Je kunt nu door de verschillende OU’s lopen met CD.

Exchange 2010

Er waren een heleboel sessies over Exchange 2010. Ik heb er dan ook meerdere gevolgd en daar geen spijt van. Het beste nieuws is dat 2010 nu RTM is. We kunnen er dus mee aan de slag.

De eerste Exchange sessie die ik volgde was Microsoft Outlook 2010: Client Overview and Microsoft Exchange Server 2010 Integration. De nieuwe Outlook client, Outlook 2010 kent weer wat nieuwe functies:

Conversatie, als je een conversatie hebt gevoerd met iemand die meerdere emailjes beslaat zal outlook 2010 deze groeperen. Op deze manier zie je alle mailtjes van zo een mail conversatie samen staan. Daarnaast kun je met 1 druk op deze mailtjes opruimen, zodat je alleen de laatste over hebt, maar zo nog wel alle informatie hebt.
Interne spam, iedereen kent dat wel, zo’n emailtje naar iedereen met als onderwerp te koop een auto, of Ik heb een probleem en wie weet een oplossing?. Vervolgens gaan allemaal collega’s hierop reageren naar iedereen. Ondertussen loopt je mailbox vol met allemaal interne spam mail. Nu kun je aangeven dat je niet verder wenst deel te nemen aan de discussie en worden de emails automatisch verwijderd.
Archivering, in Exchange 2010 zit nu archivering. Op dit moment wordt door veel organisaties gebruikt gemaakt van PST files als archief. Vanaf exchange 2010 is het mogelijk om naast de standaard mailbox ook een archief mailbox te maken. Vanuit Outlook 2010 kun je dan deze archief mailbox benaderen.

Daarnaast had de spreker een aantal interessante getallen met ons te delen:

Some Interesting Facts:

Nearly 85% of WW workers have access to e-mail
The average worker receives more than 70 e-mails per day, and read about 1,800 per month
Outlook is kept open over 73% of the time the average worker is at their desk
36% of computer time at work is spent in Outlook

Dit zet je wel aan het denken over outlook en email. Als ik naar mezelf kijk is outlook vaak ook het eerste programma dat ik opstart en het laatste programma die ik afsluit. Daarmee heb ik een persoonlijke relatie met mijn mail programma en doe ik het liefste alles vanuit outlook.

Het tweede dat me bij gebleven is Dumster 2.0. In exchange 2007 (en er onder) zit de Dumster 1.0. Elke keer dat een gebruiker zijn prullenbak leegt (van outlook) komen alle emailtjes in de Dumster . Na 30 dagen worden ze verwijderd uit de Dumster. Tot die tijd kun je de email terughalen vanuit de dumster. In Exchange 2010 hebben ze dit aangepast. Je kunt nu al de email van een gebruiker in de dumster terecht laten komen. Dit is belangrijk als het noodzakelijk is om het email gedrag van een gebruiker te monitoren. Je kunt denken aan een situatie waarbij de gebruiker vertrouwelijke informatie lekt naar buiten. Door alle mail in de Dumster te laten komen kun je nu de mail bekijken. Dit kun je als beheerder zelf doen, maar dit kun je ook laten doen.

Het derde is de sessie Microsoft Exchange Server 2010 Storage Architecture. De manier waarop email in de mailbox database wordt opgeslagen is compleet veranderd. Ze hebben de database schema’s volledig overhoop gegooid. De reden is dat ze het gebruik van storage wilde versnellen. In exchange 2007 wordt de storage random benaderd (Random IO). Dit zorgt er voor dat de kop van de disk steeds moet worden verplaatst. Dit kost tijd (latency). Door het aanpassen van het schema worden de disks nu sequentieel benadert (Sequential IO). Hierdoor kan de email data sneller ingelezen worden. De disk hoeft nu niet steeds zijn kop te verplaatsten. Ook zijn de readblocks vergroot, van 8 naar 32. Ook dit zorgt er voor dat er meer email data tegelijkertijd ingelezen kan worden. De kosten hiervan zijn dat we nu de single instant storage kwijt zijn, maar door een slimme compressie techniek is een database in de nieuwe omgeving nauwelijks nog kleiner/groter dan in een oude omgeving.

De laatste sessie ging over Calendar Sharing and Federation in Microsoft Exchange Server 2010. Met Exchange 2010 hebt je nu de mogelijkheid om agenda’s tussen verschillende organisaties te delen zonder het opzetten van een trust of “speciale” accounts. Microsoft heeft hiervoor een speciale dienst opgezet. Als organisatie meld je jezelf aan bij deze dienst. Microsoft controleert dan of je inderdaad de eigenaar bent van het betreffende domain. Daarna krijg je een eigen sleutel. Met deze sleutel kun je vervolgens, op basis van de FQDN een relatie opzetten met een andere organisatie. Dit laatste kan dan gebeurden door een beheerder of door een eindgebruiker zelf.

Forefront

Natuurlijk waren er weer een hoop sessies over Forefront te volgen, maar de meesten bevatten niet direct nieuws voor mij, ik heb me dus georiënteerd op Forefront technieken waar ik nog niet zo thuis in ben. Ik ben naar de sessie Protecting Information with Microsoft Forefront Business Ready Security geweest. Hier werd er gesproken over AD RMS. Met AD RMS kun je bestanden en emails beveiligen op basis van key words. Stel je een situatie voor waarbij er binnen de organisatie een project is gestart. Dit is een project waarbij er een nieuwe product wordt ontworpen en moet dus voorlopig geheim blijven voor de concurrentie. De codename van het product is “Stirling”. Je kunt nu aangeven dat alle documenten en files waar de naam “Stirling” in voorkomen niet mogen worden gekopieerd of geforward worden. Hiermee kun je dus voorkomen dat project informatie buiten de deur terecht komt.

IPv6

Er waren ook wat sessies over IPv6 en ik kon het niet laten er naar toe te gaan. De eerste was van Mark Minasi, IPv6 for the Reluctant: What to Know Before You Turn It Off. Hierin vertelt hij waarom je aan de slag moet met IPv6. De belangrijkste boodschap was dat als je NIET aan de slag gaat met IPv6 je straks je baan kwijt raakt. Natuurlijk zei hij dit met een grote knipoog en zoals alleen Mark Minasi dit kan zeggen.

De tweede sessie was van John Craddock. John Craddock is net als Mark Minasi een grote spreker op TechEd en bij velen bekend. Hij had twee sessies over Direct Access. De eerste sessie ging over IPv6, wat er is geen Direct access zonder IPv6. Zijn tweede sessie ging over hoe je Direct Access moest configureren. Hierbij is het goed te weten dat je het beste een Direct Access server kan opzetten met de UAG, want dan kan je ook connecten naar IPv4 only devices.

Conclusie

#Tee09 (Zoals teched 2009 in twitter genoemd wordt) was weer een leerzame ervaring. Hoop nieuwe dingen geleerd. Ben je er nooit geweest, ga dan volgend jaar. Het is de moeite waard. Ben je wel geweest hoor ik graag je ervaring.