Forefront Threat Management Gateway. Part 1 – Web Access Policy

After trying hard for a while.. and failed…to make this article readable on the web.
I decided to just give it to you as pdf until i figured out how to format it, to fit the blog page sizes.

So please download:
http://www.konab.com/tmg/TMG%20Blogg%20-%20Web%20Access%20Policy.pdf

/Kent

Nitrogen beta 1!

Äntligen har den då kommit! Smile

Första betan av Nitrogen (ISA 2008) släpptes i slutet av veckan till TAP deltagarna.

Har inte hunnit slänga upp en ännu eftersom den kräver en x64 Server 2008 i botten.
Men i början på nästa vecka skall jag sätta upp den hos min kund som är med i TAP:en.

Så fort som möjligt ska jag sedan börja bombardera produktteamet med bloggposter för att få godkänt att jag börjar skriva lite om vad ni kan förvänta Er i nästa generation av ISA Server.

Själv har jag bett om pris på en ny server (Dubbla QuadCore o 16GB RAM!) för att kunna börja virtualisera x64 på 2008 RC0’s virtualiserings plattform. När den är på plats (förhoppningsvis om ett par veckor) så kan jag på allvar börja testa den i andra scenarion än dom som min TAP-kund tänker testa för.

Nitrogen TAP Kickoff

First let me apologize for writing this in English.

I will do all my blogging around Nitrogen in English due to the fact (NDA) that i need to send it to the product team for approval before I publish it.

Finally the TAP for Nitrogen is started :-,,)

During three nice days in Berlin, Microsoft ISA Team presented all the new stuff to expect in Nitrogen and off course opportunity for us to give input on features and functions.

Due to the NDA I will NOT, for the moment, be able to tell you much, but one thing is clear.
You are going to like it, many of the features we were hoping for in ISA 2004 and 2006 are now being implemented.

So when are you guys going to have some details. Well basically we will not see public betas until the end of the year. But hopefully I will be allowed to drop some details during the TAP period.

Please keep your eyes on my blog and i will keep you updated and if you think that you have important features you would like to see in the next version of ISA, please drop me an email.

ISA 2004 SP3 o Nitrogen

Microsoft har beslutat släppa en SP3 till ISA Server 2004. Detta ser jag som ett litet bakslag eftersom det antagligen innebär att man upptäckt, precis som jag, att kunderna inte skyndat att uppgradera till ISA 2006.

Någon kod finns ännu inte att testa men det talas om förbättrad diagnostisk hantering. Dvs förbättrad logghantering och felsökning.

Eller som det står i den engelska texten:
“ISA Server 2004 SP3 provides increased security, new troubleshooting options and tools available directly from the ISA Server Management console, new diagnostic logging functionality, and enhanced log viewer and log filtering options for ISA Server 2004 Standard Edition and Enterprise Edition. In addition, this service pack adds support for publishing Microsoft Exchange Server 2007 with ISA Server 2004.”

Man kan väl också misstänka att detta kommer att innebära att vi får se en SP1 till ISA 2006 med ungefär samma innehåll.

Så fort jag fått kod och hunnit testa återkommer jag med rapport om de faktiska förbättringar som ingår.

TAP programmet för ISA 2008 (Nitrogen) är också i startgroparna, även där hoppas jag löpande kunna rapportera om de nyheter som kommer. Jag deltar i detta på två fronter, dels själv men också som tekniskt ansvarig tillsammans med en  kund.

Verisign och ActiveSync

De flesta väljer att köpa ett certifikat från t.ex. Verisign när man börjar prata om att köra ActiveSync.

Tanken är att man inte ska få några problem med att telefonen inte “litar” på certifikatet.
Döm om förvåning när det visar sig att man kan få samma problem även med ett köpt certifikat!

Detta kan inträffa om man t.ex. köper ett certifikat utfärdat att “VeriSign Class 3 Secure Server CA”, detta är nämligen en s.k. intermediate CA och har en RootCA som heter “VeriSign Class 3 Public Primary CA”

Root CA”n finns i Mobile 5 som trusted men inte den intermediate som utfärdat den.
Detta gör att Mobile 5 kan uppfatta certifikatet som icke trusted.

Om man ska publicera ActiveSync i ISA och har ett sådant certifikat (kan tänka mig att det gäller för fler som använder intermediate CA) MÅSTE man i ISA lägga in “VeriSign Class 3 Secure Server CA” som en Intermediate CA i samband med att man imorterar certifikatet.

När man exporterar Certifikatet från den IIS där man gjorde requesten bockar man lämpligen i att ta med alla certifikat i pathen så får man med sig både intermediate certifikatet och rootcertifikatet att installera på ISA”n.

ISA kan nu ge Mobile 5 “hela” pathen för certifikatet och telefonen kan se att den kommer från en “trusted” root CA.