Archive for October 2007

OWA/RPC – Exchange 2003


Nedenstående link’s beskriver opsætning og fejlfinding for Outlook Web Access og RPC over Https.

How do I configure OWA to use SSL:
http://www.petri.co.il/configure_ssl_on_owa.htm

Implementing Outlook Web Access with Exchange Server 2003:
http://www.msexchange.org/tutorials/OWA_Exchange_Server_2003.html

Configure ISA to Publish OWA:
http://www.petri.co.il/configure_isa_to_publish_owa.htm

configure Forms-Based Authentication in Exchange Server 2003 OWA:
http://www.petri.co.il/configuring_forms_based_authentication_in_exchange_2003.htm

Configure RPC over HTTP/S on Exchange 2003:
http://www.petri.co.il/configure_rpc_over_https_on_a_single_server.htm

How can I test RPC over HTTP/S on Exchange 2003
http://www.petri.co.il/testing_rpc_over_http_connection.htm

Troubleshooting Outlook Web Access logon failures in Exchange 2000 and
in Exchange 2003:
http://support.microsoft.com/kb/327843

Fixing a Damaged or Incorrectly Configured OWA 2003 Installation:
http://www.msexchange.org/tutorials/Fixing-Damaged-Incorrectly-Configured-OWA-2003-Installation.html

How to reset the default virtual directories…….
http://support.microsoft.com/kb/883380

Freeware Terminal and Citrix tools


Dette link giver et rigtig godt overblik for en række tools til et Terminal eller Citrix miljø.
http://www.schinning.net/FreeTools/tabid/54/Default.aspx

Vista performance


Vista er i forhold til XP et OS der stiller krav til hardwaren. Jeg har tidligere læst på diverse blog site og forums, at man kan øge perfomance
ved at disable Windows Defender, UAC og System Restore.
Men det betyder samtidig at man nedbryder sit såkaldte “Defense Layer” og det er jo ikke ligefrem det jeg ønsker.
Jeg har her prøvet at liste en række punkter som vil give en øget performance generelt. Disse punkter kan også benyttes i et enterprise miljø.

  • Forøg memory i dit system. Min bedste oplevelse med Vista har været på en laptop med min. 2 GB memory.
  • Sikre dig, at du kører med den nyeste bios opdatering.
  • Sørg for at du kører med de nyeste system drivere.
  • Kør med en let/enkel antivirus scanner som feks. AVG eller NOD32. (Norton og McAfee er nogle der suger kraften ud af dit system).
  • Afinstaller alle de Vista features du ikke skal benytte (feks. Remote Differential Compression, Tablet PC Optional Components, Windows DFS Replication Service, Windows Fax & Scan, Windows Meeting Space)
  • Afinstaller alle 3 parts programmer du ikke benytter (kan gøres effektivt med Revo Uninstaller).
  • Kør Autoruns fra Microsoft og disable alle de startup features du ikke har brug for. (Undersøg dog først de enkelte programmer før du disabler dem).
  • Disable Windows Sidebar.
  • Disable Vista Aero Themes og skift til Windows Classic.
  • Under Advanced system settings – Advanced Tab – Performance – Visual Effects Tab – Vælg “Adjust for best performance”.
  • Disable unødvendige services (feks. Desktop Window Manager Session Manager, IP Helper, Offline files, Tablet PC Input Service, Themes).

En sidste ting, hvis du oplever at dit Vista system kører langsomt hen over netværket (fil kopiering, Citrix, RDP mfl.), så kan du med fordel afvikle nedenstående kommando linje.
Det Kræver en Runas administrator prompt. “netsh interface tcp set global autotuning=disabled”.
For mere info se dette link.http://www.neoblog.co.uk/?p=13

Exchange – clean out a big SMTP Queue


Jeg har tidligere set eksempler på kunder der har været udsat for NDR spam – Open Relay – Compromised user accounts i deres Exchange miljø.
Hvis man får et stort antal af dead/frozen
queues på sin Exchange server, kan man benytte aqadmcli til at fjerne alle de queued messages.
For at fjerne alle meddelelser i et hug kan man benytte nedenstående kommando.

aqadmcli.exe
setserver [Navn på Exchange serveren]
delmsg flags=all
quit

Hvis man kun ønsker at slette meddelelser fra en bestemt bruger, kan benytte denne kommando

delmsg flags=SENDER,sender=user@domain.com

For mere info omkring Aqadmcli se nedenstående link
http://web.archive.org/web/20060515193356/http://cameron-webb.com/blog/archive/2004/10/06/195.aspx

Microsoft har ligeledes en artikel omkring det.

How to block open SMTP relaying and clean up Exchange Server SMTP queues in Windows Small Business Server
http://support.microsoft.com/kb/324958

ISA FireWall 2006 – Generel Opsætning


Netværks Design for ISA 2004/2006:

Nedenstående figur illustrere et eksempel på en Back-to-Back DMZ med private IP adresser.
Dette dokument tager udgangspunkt i denne model.

  1. XP/Vista klienter – Konfigureret med ISA FireWall Client.
  2. Backend Firewall – ISA Server 2004/2006 med 2 netkort til LAN og DMZ.
    Er member server i domænet og har således AD-integration.
  3. Frontend Firewall – Feks. Sonicwall eller Cisco hvis primær funktion er at beskytte DMZ.

Man benytter i dette tilfælde kun WAN og LAN porten.

Opsætning af Netkort på ISA serveren:

Navngiv de 2 netkort med logiske navne.


Konfig af LAN interface på ISA serveren

TCP/IP:
IP: 192.168.35.1
Subnet: 255.255.255.0
Gateway: Blank (ISA serveren skal kunne route ud til DMZ interfacet)
DNS: skal sættes op med interne DNS servere. Typisk vil disse være DC’ere i domænet.
De interne DNS servere er de eneste der skal kunne lave DNS request ud på WAN.
WINS: Blank
Vælg Properties for LAN og lav konfig, som vist på nedenstående billede:


Konfig af DMZ interface på ISA serveren

TCP/IP:
IP: 192.168.36.254
Subnet: 255.255.255.0
Gateway: 192.168.36.1 (IP-adresse på Frontend firewall)
DNS: Blank
WINS: Blank
Vælg Properties for DMZ og lav konfig, som vist på nedenstående billeder:
Det er kun TCP/IP der skal være hak i.


Vælg TCP/IP proprerties og lav konfig som vist på nedenstående billeder:



Samlet konfig af Netværk på ISA serveren
Under “Network Connections” – Vælg Advanced – Advanced Settings.
Konfig som vist på nedenstående billede. Man skal her sikre sig at LAN connections kommer før DMZ.


Konfig af MTU på ISA serveren:

Lav ping-test, så man finder den optimale MTU for begge netkort på ISA serveren.
http://help.expedient.net/broadband/mtu_ping_test.shtml (brug her 127.0.0.1 i til ping test)

Den værdi den svarer på skal indsættes i registry for begge netkort.
På min ISA server ligger værdien på 1472. Registry Path er som følger:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces<ID for network interface>
Opret her en ny DWORD værdi som kaldes MTU. Her indsættes den fremfundne MTU, som i mit tilfælde er 1472

Se nedenstående link for mere info:
http://support.microsoft.com/kb/900926

Det anbefaledes at man optimerer MTU på ISA 2004/2006.
For at enable MTU Discovery skal man køre nedenstående reg-fil på ISA serveren og reboote.
Det er også beskrevet i ovenstående MS link.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
“EnablePMTUDiscovery”=dword:00000001

Services som kan stoppes og sættes til manuel på ISA serveren:

Computer Browser
DHCP Client
Error Reporting Service
Help And Support
Print Spooler
Remote Registry
Windows Audio
Wireless Configuration
Server
Task Scheduler

Konfig af ISA MSDE, så den max bruger 500 MB af memory:

MSDE på ISA serveren kan være en memory hook. For at begrænse dette, kan man afvikle nedenstående VBS, så den max forbruger 512 MB.
Jeg kører dette script på alle de ISA installationer jeg er i kontakt med.
cscript.exe ISA_MSDE_Max_Memory.vbs 512
Du kan hente ISA_MSDE_Max_Memory.vbs her:
http://www.isascripts.org/

Konfig af WSUS opdateringer ud på ISA serveren:
Som alle andre klienter i ens netværk skal ISA serveren også opdateres med sikkerhedsopdateringer fra Microsoft.
Som default tillader ISA firewallen ikke opdateringer fra den lokale WSUS.
Følg nedenstående for at det kommer til at virke.
Opret en ny Access Regl.


Vælg Allow


Vælg HTTP, HTTPS and Kerberos-sec UDP

Hvis man kører sin WSUS på port 8530, skal denne også medtages.
Porten skal oprettes på ISA Firewallen som følger:
Name: WSUS
Port: 8530
Type: TCP
Direction: Outbound
Vælg Local Host


Vælg her den lokale WSUS server.


Vælg default All Users – Next – Next – Finish


Afslut med at køre nedenstående kommando på ISA serveren.
wuauclt.exe /detectnow

Konfig af grundregler på ISA firewallen + rækkefølge:

Name

Protecols

From

To

Condition

LAN-WAN (SMTP)

SMTP

Localhost

External

All users

DMZ-WAN SMTP)

SMTP

External

Localhost

All users

LAN-WAN (DNS)

DNS

Domain Controllers

External

All users

LAN-WAN (TimeSync)

NTP (UDP)

Domain Controllers

External

All users

LAN-WAN (Security)

http/https/ftp

WSUS_Antivirus

External

All users

LAN-Localhost (WSUS)

http/https/kerb

Localhost

WSUS

All users

LAN-WAN (Http)

http/https

Internal

External

Http

LAN-WAN (News)

NNTP

Internal

External

News

LAN-WAN (FTP)

FTP

Internal

External

FTP

Default rule (deny All)

All Traffic

All Networks

All Networks

All users


Konfig af http filter på ISA firewallen:

Jeg vil her prøve at give 3 eksempler på hvad ISA’s http filter kan tilbyde i forbindelse med at styre brugernes adfærd på internettet.
De nedenstående eksempler vil gælde for Access reglen LAN-WAN (Http). Det betyder at de brugere der er medlem af security gruppen Http, vil få tildelt disse filter begrænsninger.
Keyword filtering + P2P (feks. sex, porn,nude,naked,teen,games,dating,crack m.m)

  1. Blokering af Streaming Media
  2. Blokering af downloads (feks. exe,msi,com,vbs,cab m.m)

Med keyword filter kan man begrænse tilgang til WAN udefra en række ord som man ikke ønsker at sine brugere skal kunne søge eller browse på.
For at blokere søgning på ordet sex skal man gøre følgende:
Højre musetast på den ønskede access regl. I mit eksempel er det reglen LAN-WAN (Http), hvor alle brugere undtagen IT afdelingen er inkluderet.
Vælg “Configure http” – vælg fanebladet Signatures – Klik på Add.
Lav konfig, som vist på nedenstående billede.



For at blokere P2P applikationer som feks diverse Messenger, BitTorrent, Kazaa m.m, skal man gøre følgende:
Gå til signatures, som vist på ovenstående billede. I stedet for et keyword, indsætter man her signaturen, for det program, man ønsker at blokere for.

Et par rigtig gode signatur links finder i her:
http://www.applicationsignatures.com/backend/index.php
http://www.microsoft.com/technet/isa/2004/plan/commonapplicationsignatures.mspx

MSN Signaturer:
MSN 8 BETA Signature / Request Headers: / User-Agent:8.0.689.0
MSN 8 Live Messenger Build 8.0.0787.0 / Request Headers: / User-Agent:8.0.787.0
MSN 8 Live Messenger Build 8.0.0792.0 / Request Headers: / User-Agent:8.0.792.0

For at bestemme en applications signatur, kan man benytter sniffer programmet.
http://www.wireshark.org/. Det er det tidligere Ethereal.

For at blokere for Windows Messenger, skal man gøre følgende, som vist på nedenstående billede:

 

For at blokere for Streaming Media, skal man gøre følgende.
Højreklik på den ønskede access regl og vælg properties. Gå til fane bladet Content Types.
Lav konfig, som vist på nedenstående billede. Hvor det kun er Audio og Video der fravælges.

Hvis man ønsker at tilføje flere extensions til feks video, kan man vælge details og indsætte dem.

For at blokere for bestemte filtyper, skal man gøre følgende:
Vælg “Configure http” – vælg fanebladet Extensions – vælg Block specified extensions (allow all others). Klik på Add

Gode links til ISA 2004/2006:

Generelt:
www.isaserver.org
http://www.microsoft.com/isaserver/techinfo/guidance/2004/configuration.mspx

16 Rules for Deploying Access Rules:
http://blogs.technet.com/isablog/archive/2007/04/11/16-rules-for-deploying-access-rules.aspx

Debunking the Myth that the ISA Firewall Should Not be a Domain Member:
http://www.isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html

ISA Server and Windows Server 2003 Service Pack 2:
http://blogs.technet.com/isablog/archive/2007/03/27/isa-server-and-windows-server-2003-service-pack-2.aspx

ISA Server Best Practices Analyzer Tool:
http://www.microsoft.com/downloads/details.aspx?FamilyID=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en

Konfig excel rapporter på ISA firewallen:
http://www.elmajdal.net/ISAServer/Creating_Detailed_Report_With_ISA_2006.aspx