Under huven på E-Mail Policy i Forefront TMG

Publicerat den 2 november, 2010 av Anders

Forefront TMG har fått en utökad funktionalitet att säkra upp vår E-post. Lösningen bygger på att man installerar Exchange Edge och Forefront Protection for Exchange (FPE) på samma server som TMG. Beroende på hur man ser det kan man även se det som att man använder TMG för att säkra upp vår Exchange Edge server och FPE för att få antivirus och en avancerad antispam funktionalitet.

Jag kommer inte gå in närmare på hur man sätter upp det för det finns det så många andra som gjort:

Deb shinder:
http://www.isaserver.org/tutorials/Installing-Configuring-Email-Hygiene-Solution-TMG-2010-Firewall-Part1.html

Yuri Diogenes:
http://blogs.technet.com/b/yuridiogenes/archive/2009/10/19/walkthrough-exchange-2010-rc-edge-role-and-forefront-protection-2010-beta-for-exchange-installation-on-forefront-tmg-2010-rc.aspx

Där emot så kan det vara bra att veta vad som egentligen händer med denna konfiguration. En “best practice” är bland annat att inte konfigurera något i varken Exchange Edge eller Forefront Protection for Exchange utan sköta allt via TMG konsolen. Det här gör att administrationen blir väldigt mycket enklare om du har en array med flera lastbalanserade TMG servrar för mail protection. Du gör all konfiguration från din Enterprise Management Server (EMS) som i sin tur konfigurerar både TMG, Exchange och FPE på varje arraymedlem.

Men vad är det då som händer när man konfigurerar din E-Mail Policy? I mitt exempel tittar vi på SPAM hanteringen och SCL rating. Om du har skapat din E-mail policy utefter någon av de ovanstående instruktionerna och går in under “Configure SCL Ratings”

I det här fallet har jag konfigurerat TMG att inte radera eller blockera någon SPAM utan skicka allt till en dedikerad postlåda för att i det här exemplet kunna låta en service desk övervaka och hantera den unika postlådan.

Om vi nu öppnar Exchange Management Consol och tittar under properties på “Content filtering” kan vi se att vi hittar motsvarande konfiguration och kan se att den konfiguration vi gjorde i TMG nu har slagit igenom i Exchange.

Ok, då är vi med så långt, men hur definieras då SCL nivån på mailet? Det är tack vare Cloudmarks antispam motor i Forefront Protection for Exchange. Med andra ord så hanterar Exchange Edge mailet baserat på inställningarna i TMG och tack vare FPE så validerats mailets spam nivå av FPE.

Det är dock inte alla inställningar som kan göras i TMG, vissa inställningsmöjligheter saknas i TMG och kan därav konfigureras i Exchange eller FPE.

Om vi går in i Forefront Protection for Exchange under Policy Manger och Configure Antispam finner vi en konfiguration som inte konfigurerats av TMG.
Exempelvis saknas funktionen att skicka vidare mail till en karantänbrevlåda.

Där emot har vi en intressant funktion “Stamp header and continue processing” Den här funktionen gör att mailen blir taggade av Cloudmark motorn med en SCL siffra i sin header och skickas sedan in i Exchange igen, det här resulterar i att mailet hamnar i Outlooks skräppost låda hos mottagaren. Notera att inställningar direkt i FPE måste alltså göra på samtliga FPE servrar i en eventuell TMG array.

Lösningar på diverse problem med denna kombination

E-mail policy reapplied Event ID 31506

Det här felet kan bero på flera saker, främst kan det handla om att du har gjort en inställning i FPE eller Exchange Edge som TMG servern egentligen skall trycka ut, vilket gör att det blir en konflikt, kolla då igenom vilka inställningar som TMG sköter och sätt tillbaka dessa i Exchange och FPE. Det här felet har dock dykt upp oavsett felaktig konfiguration men det har lösts i uppdateringen Service Pack 1 Update 1

Event ID 31308, 3109

Det är ganska vanligt att man ser varningar med Event ID 31308 och 31309 i eventloggen där den även klagar eller får problem att starta isamanagedctrl tjänsten. Det här har att göra med att det är ett flertal tjänster som använder denna service och vi löser det här genom att sätta upp ett beroende på när servicen skall starta men följande kommando:

sc config isamanagedctrl start= delayed-auto depend= isactrl/MSExchangeTransport

Stänga av integrationen mellan produkterna

Om du mot all förmodan vill konfigurera dessa produkter helt separat vilket även gör att du tappar funktionalitet så är det är en inställningar som har smugit sig in under troubleshooting i TMG konsolen.
Under Tasks finner du “Control E-mail Policy Configuration Integration”, sätter du denna på Disabled så kommer inte TMGs inställningar att slå igenom på varken Exchange Edge eller FPE.

Mycket nöje med att säkra upp era Exchange Edge lösningar med Forefront TMG och Forefront Protection for Exchange!

Publicerat i Exchange, Forefront, Forefront TMG | 1 kommentar

Fördefinierade protokoll i TMG

Publicerat den 18 oktober, 2010 av Anders

Forefront Threat Management Gateway har fördefinierade protokoll vilket är riktigt bra om man är osäker på vad en tjänst kan använda sig av för typ av port. Dock blir det lite problem om man vill öppna upp för vissa portar men inte vet om dessa redan är fördefinierade.

Jag har därför tagit mig tid och exporterat alla protokoll från en TMG server och presenterar dessa här. Vill du veta om det finns ett fördefinierat protokoll för just den port du skall öppna upp för, gör då en sökning på listan nedan.

Slit den med hälsan 😉

AOL Instant Messenger American Online Instant Messenger protocol
Category User-defined, Common, Mail
TCP: 5190, Outbound
——————————————————————————–
Archie Archie protocol
Category All
UDP: 1525, Send-Receive
——————————————————————————–
BranchCache – Advertise
Category All
TCP: 443, Outbound
——————————————————————————–
BranchCache – Retrieval
Category All
TCP: 80, Outbound
——————————————————————————–
Chargen (TCP) Character generator protocol (TCP)
Category All
TCP: 19, Outbound
——————————————————————————–
Chargen (UDP) Character generator protocol (UDP)
Category All
UDP: 19, Send-Receive
——————————————————————————–
Daytime (TCP) Daytime protocol (TCP)
Category All
TCP: 13, Outbound
——————————————————————————–
Daytime (UDP) Daytime protocol (UDP)
Category All
UDP: 13, Send-Receive
——————————————————————————–
DHCP (reply)
Category Common
UDP: 68, Send
——————————————————————————–
DHCP (request)
Category Common
UDP: 67, Send
——————————————————————————–
DHCPv6 DHCPv6 Protocol
Category Common, Messaging
TCP: 546, Outbound
——————————————————————————–
Discard (TCP) Discard protocol (TCP)
Category All
TCP: 9, Outbound
——————————————————————————–
Discard (UDP) Discard protocol (UDP)
Category All
UDP: 9, Send-Receive
——————————————————————————–
DNS Domain Name System Protocol
Category User-defined, Common
TCP: 53, Outbound
UDP: 53, Send-Receive
——————————————————————————–
DNS Server Domain Name System protocol – Server. An inbound protocol used for server publishing.
DNS Filter, Included, Array scope
Category Common
TCP: 53, Inbound
UDP: 53, Receive-Send
Application Filter DNS Filter, Included, Array scope
——————————————————————————–
Echo (TCP) Echo protocol (TCP)
Category All
TCP: 7, Outbound
——————————————————————————–
Echo (UDP) Echo protocol (UDP)
Category All
UDP: 7, Send-Receive
——————————————————————————–
Exchange RPC Server Protocol used for publishing Exchange server for RPC access from the External network.
RPC Filter, Included, Array scope
Category Infrastructure
TCP: 135, Inbound
Application Filter RPC Filter, Included, Array scope
——————————————————————————–
Finger Finger protocol
Category All
TCP: 79, Outbound
——————————————————————————–
Forefront Protection Manager WS Web Services protocol between Forefront Protection Manager and Forefront TMG
Category Common
TCP: 1961, Outbound
——————————————————————————–
Forefront TMG Client (Notifications) Protocol used by Forefront TMG to send notifications to Forefront TMG Client.
Category All
UDP: 1745, Send
——————————————————————————–
Forefront TMG Client (TCP) Protocol used by Forefront TMG Client to communicate with Forefront TMG. Also known as the Forefront TMG Client control channel.
Category All
TCP: 1745, Outbound
——————————————————————————–
FTP File Transfer Protocol
FTP Access Filter, Included, Array scope
Category User-defined, Common, Mail, Remote, Web
TCP: 21, Outbound
——————————————————————————–
Gopher Gopher protocol
Category All
TCP: 70, Outbound
——————————————————————————–
H.323 Protocol H.323 protocol – Ports and channels: Q.931/H.245/RTP/RTCP/T.120
H.323 Filter, Included, Array scope
Category User-defined, Common, Mail
TCP: 1720, Outbound
Application Filter H.323 Filter, Included, Array scope
——————————————————————————–
HTTP Hyper Text Transfer Protocol (HTTP)

Web Proxy Filter, Included, Array scope
Category User-defined, Messaging, IPSec-VPN, Web
TCP: 80, Outbound
Application Filter Web Proxy Filter, Included, Array scope
——————————————————————————–
HTTP Proxy Protocol used by HTTP clients (such as Internet Explorer) to send HTTP requests to an outbound HTTP proxy server.
Category All
TCP: 8080, Outbound
——————————————————————————–
HTTPS Secure Hyper Text Transfer Protocol
Category Infrastructure, Mail, Remote, Web
TCP: 443, Outbound
——————————————————————————–
HTTPS Server Secure Hyper Text Transfer Protocol – Server. An inbound protocol used for server publishing.
Category Infrastructure, Mail, Remote, Web
TCP: 443, Inbound
——————————————————————————–
ICA Citrix Intelligent Console Architecture protocol
Category User-defined, Mail, Messaging
TCP: 1494, Outbound
Secondary Connections
UDP: 1604, Send-Receive
——————————————————————————–
ICA session w/ Session Reliability enabled Citrix Intelligent Console Architecture session with Session Reliability enabled protocol
Category User-defined, Mail, Messaging
TCP: 2598, Outbound
Secondary Connections
UDP: 1604, Send-Receive
——————————————————————————–
ICMP Information Request
Category Common
ICMP Type 15, Code 0, Send-Receive
——————————————————————————–
ICMP Timestamp
Category Common
ICMP Type 13, Code 0, Send-Receive
——————————————————————————–
ICMPv6 Echo
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Listener Done
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Listener Query
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Listener Report
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Listener Report v2
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Multicast Router Advertisement
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Multicast Router Solicitation
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Multicast Router Termination
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Neighbor Advertisement
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Neighbor Solicitation
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Router Advertisement
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICMPv6 Router Solicitation
Category Common, Messaging
TCP: 0, Send-Receive
——————————————————————————–
ICQ ICQ instant messenger protocol (legacy)
Category User-defined, Common, Mail
UDP: 4000, Send
Secondary Connections
UDP: 0, Inbound
TCP: 0, Inbound
TCP: 1025 –> 5000, Inbound
TCP: 1025 –> 5000, Outbound
——————————————————————————–
ICQ 2000 ICQ 2000 protocol
Category User-defined, Common, Mail
TCP: 5190, Outbound
——————————————————————————–
Ident Ident protocol
Category All
TCP: 113, Outbound
——————————————————————————–
IKE Client
Category Infrastructure, Messaging, IPSec-VPN
UDP: 500, Send-Receive
——————————————————————————–
IKE Server Internet Key Exchange protocol – Server. An inbound protocol used for server publishing.
Category Infrastructure, Messaging, IPSec-VPN
UDP: 500, Receive-Send
——————————————————————————–
IMAP4 Interactive Mail Access
Category Infrastructure
TCP: 143, Outbound
——————————————————————————–
IMAP4 Server Protocol (IMAP) – Server. An inbound protocol used for server publishing.
Category Infrastructure
TCP: 143, Inbound
——————————————————————————–
IMAPS Secure Interactive Mail Access Protocol
Category Infrastructure
TCP: 993, Outbound
——————————————————————————–
IMAPS Server Secure Interactive Mail Access Protocol (IMAP) – Server. An inbound protocol used for server publishing.
Category Mail
TCP: 993, Inbound
——————————————————————————–
IPsec ESP
Category Infrastructure, Messaging, IPSec-VPN
TCP: 0, Send-Receive
——————————————————————————–
IPsec ESP Server IPsec ESP Protocol — Inbound server protocol used in virtual private network (VPN) site-to-site system policy rules to enable ESP traffic to the TOKE_FAMILY_PRODUCT_NAME computer. This protocol is not used for server publishing.
Category Infrastructure, Messaging, IPSec-VPN
TCP: 0, Receive-Send
——————————————————————————–
IPsec NAT-T Client
Category Infrastructure, Messaging, IPSec-VPN
UDP: 4500, Send-Receive
——————————————————————————–
IPsec NAT-T Server IPsec NAT-T protocol – Server. An inbound protocol used for server publishing.
Category Infrastructure, Messaging, IPSec-VPN
UDP: 4500, Receive-Send
——————————————————————————–
IPv6 Over IPv4 Tunnel IPv6 Over IPv4 Tunnel Protocol
Category All
TCP: 0, Send-Receive
——————————————————————————–
IRC Internet Relay Chat
Category User-defined, Common, Mail
TCP: 6667, Outbound
——————————————————————————–
ISA Server Web Management Protocol used for Web access to the Forefront TMG computer for remote management.
Category User-defined, Mail, Messaging
TCP: 2175, Outbound
——————————————————————————–
Kerberos Password V5
Category User-defined, Mail, IPSec-VPN, Auth
TCP: 464, Outbound
——————————————————————————–
Kerberos-Adm (TCP) Kerberos administration (TCP)
Category User-defined, Mail, IPSec-VPN, Auth
TCP: 749, Outbound
——————————————————————————–
Kerberos-Adm (UDP) Kerberos administration (UDP)
Category User-defined, Mail, IPSec-VPN, Auth
UDP: 749, Send-Receive
——————————————————————————–
Kerberos-IV Kerberos IV Authentication protocol
Category User-defined, Mail, IPSec-VPN, Auth
UDP: 750, Send-Receive
——————————————————————————–
Kerberos-Sec (TCP) Kerberos V authentication protocol
Category User-defined, Mail, IPSec-VPN, Auth
TCP: 88, Outbound
——————————————————————————–
Kerberos-Sec (UDP) Kerberos V authentication protocol (UDP)
Category User-defined, Mail, IPSec-VPN, Auth
UDP: 88, Send-Receive
——————————————————————————–
L2TP Client
Category Infrastructure, Messaging, IPSec-VPN
UDP: 1701, Send-Receive
——————————————————————————–
L2TP Server Layer 2 Tunneling Protocol – Server. An inbound protocol used for server publishing.
Category Infrastructure, Messaging, IPSec-VPN
UDP: 1701, Receive-Send
——————————————————————————–
LDAP Lightweight Directory Access Protocol (LDAP)
Category User-defined, Mail
TCP: 389, Outbound
——————————————————————————–
LDAP (UDP) Lightweight Directory Access Protocol UDP (LDAP-UDP)
Category Infrastructure
UDP: 389, Send-Receive
——————————————————————————–
LDAP GC (Global Catalog) Lightweight Directory Access Protocol global catalog protocol
Category All
TCP: 3268, Outbound
——————————————————————————–
LDAP(EdgeSync) Lightweight Directory Access Protocol used by Exchange Server EdgeSync process
Category User-defined, Mail
TCP: 50389, Outbound
——————————————————————————–
LDAPS Secure Lightweight Directory Access Protocol
Category Infrastructure
TCP: 636, Outbound
——————————————————————————–
LDAPS GC (Global Catalog) Secure Lightweight Directory Access Protocol global catalog protocol
Category All
TCP: 3269, Outbound
——————————————————————————–
LDAPS(EdgeSync) Secure Lightweight Directory Access Protocol used by Exchange Server EdgeSync process
Category User-defined, Mail
TCP: 50636, Outbound
——————————————————————————–
Link-local multicast name resolution
Category Common
UDP: 5355, Send-Receive
——————————————————————————–
Live Messenger Live Messenger protocol
Category Infrastructure, Mail
TCP: 1863, Outbound
——————————————————————————–
Microsoft CIFS (TCP)
Category All
TCP: 445, Outbound
——————————————————————————–
Microsoft CIFS (UDP)
Category All
UDP: 445, Send-Receive
——————————————————————————–
Microsoft Operations Manager Agent
Category Infrastructure
TCP: 1270, Outbound
UDP: 1270, Send-Receive
——————————————————————————–
Microsoft SQL (TCP)
Category All
TCP: 1433, Outbound
——————————————————————————–
Microsoft SQL (UDP)
Category All
UDP: 1434, Send-Receive
——————————————————————————–
Microsoft SQL Server Microsoft SQL Server protocol
Category All
TCP: 1433, Inbound
——————————————————————————–
MMS Microsoft Media Streaming protocol – Client
MMS Filter, Included, Array scope
Category Common, Messaging, Remote
UDP: 1755, Send
TCP: 1755, Outbound
Application Filter MMS Filter, Included, Array scope
——————————————————————————–
MMS Server Microsoft Media Server protocol – Server. An inbound protocol used for server publishing
MMS Filter, Included, Array scope
Category Common, Messaging, Remote
UDP: 1755, Inbound
TCP: 1755, Inbound
Application Filter MMS Filter, Included, Array scope
——————————————————————————–
MS Firewall Control Microsoft Forefront TMG Secure Control Protocol
Category All
TCP: 3847, Outbound
——————————————————————————–
MS Firewall Secure Storage Server Protocol used to publish the configuration storage servers over SSL.
Category All
TCP: 2172, Inbound
——————————————————————————–
MS Firewall Storage Protocol used to access the configuration storage servers.
Category All
TCP: 2171, Outbound
TCP: 2172, Outbound
TCP: 2174, Outbound
——————————————————————————–
MS Firewall Storage Replication Protocol used to replicate data between configuration storage servers.
Category All
TCP: 2173, Outbound
——————————————————————————–
MS Firewall Storage Server Protocol used to publish the configuration storage servers.
Category All
TCP: 2171, Inbound
TCP: 2172, Inbound
——————————————————————————–
MSMQ Microsoft Message Queuing protocol.
Category Common
TCP: 1801, Outbound
——————————————————————————–
MSN MSN Internet Access protocol
Category All
TCP: 569, Outbound
——————————————————————————–
Net2Phone Net2Phone protocol
Category User-defined, Common, Mail
UDP: 6801, Send
Secondary Connections
UDP: 0, Inbound
TCP: 0, Inbound
TCP: 3000 –> 4000, Inbound
UDP: 1025 –> 5000, Send
TCP: 7800 –> 7900, Outbound
UDP: 2000 –> 2100, Send-Receive
——————————————————————————–
Net2Phone registration Net2Phone registration protocol
Category User-defined, Common, Mail
TCP: 6500, Outbound
——————————————————————————–
NetBios Datagram NetBIOS Datagram protocol
Category Common
UDP: 138, Send
——————————————————————————–
NetBios Name Service NetBIOS Name Service protocol
Category Common
UDP: 137, Send-Receive
——————————————————————————–
NetBios Session NetBIOS Session protocol
Category Common
TCP: 139, Outbound
——————————————————————————–
NNTP Network News Transfer Protocol (NNTP)
Category Infrastructure
TCP: 119, Outbound
——————————————————————————–
NNTP Server Network News Transfer Protocol – Server. An inbound protocol used for server publishing.
Category Infrastructure
TCP: 119, Inbound
——————————————————————————–
NNTPS Secure Network News Transfer Protocol
Category Infrastructure
TCP: 563, Outbound
——————————————————————————–
NNTPS Server Secure Network News Transfer Protocol – Server. An inbound protocol used for server publishing.
Category Infrastructure
TCP: 563, Inbound
——————————————————————————–
NTP (UDP) Network Time Protocol (UDP)
Category Common
UDP: 123, Send-Receive
Secondary Connections
UDP: 123, Inbound
——————————————————————————–
PING
Category User-defined, Common
ICMP Type 8, Code 0, Send-Receive
——————————————————————————–
PNM Progressive Networks streaming media protocol

PNM Filter, Included, Array scope
Category Common, Messaging, Remote
TCP: 7070, Outbound
Application Filter PNM Filter, Included, Array scope
——————————————————————————–
PNM Server Progressive Networks streaming media protocol – Server. An inbound protocol used for server publishing
PNM Filter, Included, Array scope
Category Common, Messaging, Remote
TCP: 7070, Inbound
Application Filter PNM Filter, Included, Array scope
——————————————————————————–
POP2 Post Office Protocol v.2

POP Intrusion Detection Filter, Included, Array scope
Category All
TCP: 109, Outbound
Application Filter POP Intrusion Detection Filter, Included, Array scope
——————————————————————————–
POP3 Post Office Protocol v.3
Category Mail
TCP: 110, Outbound
——————————————————————————–
POP3 Server Post Office Protocol v.3 – Server. An inbound protocol used for server publishing.

POP Intrusion Detection Filter, Included, Array scope
Category Mail
TCP: 110, Inbound
Application Filter POP Intrusion Detection Filter, Included, Array scope
——————————————————————————–
POP3S Secure Post Office Protocol v.3
Category Infrastructure
TCP: 995, Outbound
——————————————————————————–
POP3S Server Secure Post Office Protocol v.3 – Server. An inbound protocol used for server publishing.
Category Mail
TCP: 995, Inbound
——————————————————————————–
PPTP Enables PPTP tunneling through Forefront TMG

PPTP Filter, Included, Array scope
Category Infrastructure, Messaging, IPSec-VPN
TCP: 1723, Outbound
Application Filter PPTP Filter, Included, Array scope
——————————————————————————–
PPTP Server Point-to-Point Tunneling Protocol – Server. An inbound protocol used for server publishing
PPTP Filter, Included, Array scope
Category Infrastructure, Messaging, IPSec-VPN
TCP: 1723, Inbound
Application Filter PPTP Filter, Included, Array scope
——————————————————————————–
Quote (TCP) Quote of the day protocol (TCP)
Category All
TCP: 17, Outbound
——————————————————————————–
Quote (UDP) Quote of the day protocol (UDP)
Category All
UDP: 17, Send-Receive
——————————————————————————–
RADIUS Remote Authentication Dial-In User Service protocol
Category All
UDP: 1812, Send-Receive
——————————————————————————–
RADIUS Accounting Remote Authentication Dial-In User Service accounting protocol
Category User-defined, Mail, IPSec-VPN, Auth
UDP: 1813, Send-Receive
——————————————————————————–
RDP (Terminal Services) Remote Desktop Protocol (Terminal Services)
Category User-defined, Mail, Messaging
TCP: 3389, Outbound
——————————————————————————–
RDP (Terminal Services) Server Remote Desktop Protocol (Terminal Services) – Server
Category User-defined, Mail, Messaging
TCP: 3389, Inbound
——————————————————————————–
RIP Routing Information Protocol
Category Common
UDP: 520, Send-Receive
——————————————————————————–
Rlogin Remote login protocol
Category User-defined, Mail, Messaging
TCP: 513, Outbound
——————————————————————————–
RPC (all interfaces)

RPC Filter, Included, Array scope
Category All
TCP: 135, Outbound
Application Filter RPC Filter, Included, Array scope
——————————————————————————–
RPC Server (all interfaces) Remote Procedure Call protocol – Server. An inbound protocol used for server publishing (All RPC interfaces).
RPC Filter, Included, Array scope
Category All
TCP: 135, Inbound
Application Filter RPC Filter, Included, Array scope
Additional Settings
Type 1
Comment Pseudo UUID, enables all RPC UUIDs
——————————————————————————–
RTP Real time protocol – used as VoIP and video media.

Category Media
——————————————————————————–
RTSP Real Time Streaming Protocol – Client

RTSP Filter, Included, Array scope
Category Common, Messaging, Remote
TCP: 554, Outbound
Application Filter RTSP Filter, Included, Array scope
——————————————————————————–
RTSP Server Real Time Streaming Protocol – Server. An inbound protocol used for server publishing

RTSP Filter, Included, Array scope
Category Common, Messaging, Remote
TCP: 554, Inbound
Application Filter RTSP Filter, Included, Array scope
——————————————————————————–
SecurID
Category User-defined, Mail, IPSec-VPN, Auth
UDP: 5500, Send-Receive
——————————————————————————–
SIP Session Initiation Protocol – An outbound protocol used for establishing VOIP and IM sessions.

SIP Access Filter, Included, Array scope
Category Media
UDP: 5060, Send-Receive
Application Filter SIP Access Filter, Included, Array scope
——————————————————————————–
SIP Server Session initiation server Protocol – An inbound protocol used for establishing VOIP and IM sessions.
SIP Access Filter, Included, Array scope
Category Media
UDP: 5060, Receive-Send
Application Filter SIP Access Filter, Included, Array scope
——————————————————————————–
SIPS SIP over TLS – An encrypted outbound protocol used for establishing VOIP and IM sessions.

Category Media
TCP: 5061, Outbound
——————————————————————————–
SIPS Server SIP over TLS server – An encrypted inbound protocol used for establishing VOIP and IM sessions.

Category Media
TCP: 5061, Inbound
——————————————————————————–
SMTP Simple Mail Transfer Protocol (SMTP)
Category Mail
TCP: 25, Outbound
——————————————————————————–
SMTP Server Simple Mail Transfer Protocol – Server. An inbound protocol used for server publishing.

SMTP Filter, Included, Array scope
Category Mail
TCP: 25, Inbound
Application Filter SMTP Filter, Included, Array scope
——————————————————————————–
SMTPS Secure Simple Mail Transfer Protocol
Category Infrastructure
TCP: 465, Outbound
——————————————————————————–
SMTPS Server Secure Simple Mail Transfer Protocol – Server. An inbound protocol used for server publishing.
Category Mail
TCP: 465, Inbound
——————————————————————————–
SNMP Simple Network Management Protocol
Category Common
UDP: 161, Send-Receive
——————————————————————————–
SNMP Trap Simple Network Management Protocol – Trap
Category Common
UDP: 162, Send-Receive
——————————————————————————–
SOCKS Protocol that allows client-server applications to use the services of a network firewall. SOCKS is defined in RFC 1928.
Category All
TCP: 1080, Outbound
——————————————————————————–
SSH Secure Shell protocol
Category User-defined, Mail, Messaging
TCP: 22, Outbound
——————————————————————————–
SSTP (Infrastructure) Protocol used for SSTP traffic between Forefront TMG and Windows SSTP infrastructure
Category All
TCP: 6601, Outbound
——————————————————————————–
System Center Operation Manager Agent Microsoft System Center Operation Manager 2007 Agent
Category Common
TCP: 5723, Outbound
——————————————————————————–
System Center Operation Manager Agent Installation Microsoft System Center Operation Manager 2007 Agent Installation
Category Common
TCP: 5724, Outbound
——————————————————————————–
System Center Operation Manager Agent Installation Server Microsoft System Center Operation Manager 2007 Agent Installation – Server. An inbound protocol used for server publishing.
Category Common
TCP: 5724, Inbound
——————————————————————————–
System Center Operation Manager Agent Server Microsoft System Center Operation Manager 2007 Agent – Server. An inbound protocol used for server publishing.
Category Common
TCP: 5723, Inbound
——————————————————————————–
Telnet Telnet protocol
Category Common, Mail, Messaging
TCP: 23, Outbound
——————————————————————————–
Telnet Server Telnet protocol – Server. An inbound protocol used for server publishing.
Category Common, Mail, Messaging
TCP: 23, Inbound
——————————————————————————–
Teredo Teredo Protocol
Category All
UDP: 3544, Send-Receive
——————————————————————————–
TFTP Trivial File Transfer Protocol

TFTP Access Filter, Included, Array scope
Category All
UDP: 69, Send
Application Filter TFTP Access Filter, Included, Array scope
——————————————————————————–
Time (TCP) Time protocol (TCP)
Category All
TCP: 37, Outbound
——————————————————————————–
Time (UDP) Time protocol (UDP)
Category All
UDP: 37, Send-Receive
——————————————————————————–
WCF Windows Communication Foundation protocol.
Category Common
TCP: 9988, Outbound
——————————————————————————–
WhoIs Nickname/Whois protocol
Category All
TCP: 43, Outbound

Publicerat i Forefront TMG | Lämna en kommentar

Nya funktioner med Update 1 till SP1 på TMG

Publicerat den 3 oktober, 2010 av Anders

I senaste nyhetsbrevet från svenska Technet stod det om min senaste Technetkrönika, där emot fungerade inte medföljande länk.

Jag tror det kommer en rättning i nästa nyhetsbrev, men varför vänta?
Här kommer den:
http://technet.microsoft.com/sv-se/gg236535.aspx

Publicerat i Forefront TMG | Lämna en kommentar

Ny hotfix till TMG SP1

Publicerat den 21 september, 2010 av Anders

Igår natt släptes en uppdatering till TMG för att fixa de kända problemen med

– Integrationen Exchange SP1

– 15 minuters buggen (efter installation av SP1 kan det ta upp till 15 minuter innan TMG controll service startar)

Sen finns det en hel den annat smått och gott, så har du installerat SP1 till TMG installera även den här.
Kom även ihåg att uppdateringen måste in på samtliga TMG servrarna, även EMS om du har en array.

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d

Publicerat i Forefront TMG | Lämna en kommentar

Afterwork med MEET

Publicerat den 9 september, 2010 av Anders

Sedan ganska nyligen är jag med i Microsoft Extended Expert Team. Missa inte vår Afterwork i Stockholm och Göteborg nästa vecka!

Tid, plats och biljett finner du här: http://blogs.technet.com/b/svitproblog/archive/2010/09/01/v-228-lkommen-p-229-aw-technet-amp-msdn-bjuder-in-alla-intresserade-14-9-i-sth-amp-16-9-i-gbg.aspx

Afterworken äger rum efter John Craddocks DirectAccess seminarie på respektive ort: http://www.microsoft.com/sverige/technet/john_craddock/default.html

Mer om MEET finner du här: http://technet.microsoft.com/sv-se/cc299419.aspx

Publicerat i Microsoft Event | Lämna en kommentar

Uppdateringar till alla Forefront teknologier på en och samma sida

Publicerat den 3 september, 2010 av Anders

Fick precis reda på en nyttig länk där Forefront teamet samlat uppdateringar för alla Forefrontprodukter på en och samma sida.
Något som förenklar vardagen för oss Forefrontanvändare:

http://technet.microsoft.com/en-us/forefront/ff899332.aspx

Publicerat i Forefront, Forefront Protection, Forefront TMG, ISA Server | Lämna en kommentar

Windows Server 2008 r2 uppför sig annorlunda vid konfiguration med flera IP adresser

Publicerat den 25 augusti, 2010 av Anders

En kund hade nyligen ett mystiskt problem där en TMG server stod isolerad med hårdvarubrandväggar och öppningar för de portar och IP adresser som skulle kommunicera till och från denna TMG. Allt fungerade fint tills det att de lade till ytterligare en IP adress på ett interface avsett för en webbpublicering. All kommunikation slutade då att fungera FRÅN TMG servern till övriga servrar så som DNS och DC med mera…

Tidigare i Windows maskiner har det alltid varit den primära IP adressen på det fysiska kortet som varit avsändar-IP när servern kommunicerade med andra servrar på samma interface.

Vi har dock en nyhet i Server 2008 r2 som verkligen kan ställa till det. Om man lägger till fler IP adresser på ett nätverkskort stämmer inte längre avsändaradressen.

Det nya är att det numera är den lägsta IP adressen bland de adresser man har definierat på nätverkskortet som kommer agera avsändare.

I det här fallet gjorde jag ett scenario där jag på min TMG skapade en regel som tillät ping från en server med IP 192.168.168.168. På första raden ser vi att TMG servern tillåter trafiken, efter detta lägger jag till två ytterligare IP adresser 192.168.168.170 och 192.168.168.68 på servern jag pingar ifrån. Efter detta blockeras trafiken och ni ser på resterande rader att avsändaradressen numer är den lägsta 192.168.168.68 och matchar därmed inte den definierade regeln.

Det här är alltså en stor ändring i R2 som jag gissar kommer ställa till med en hel del framöver.
Jag har inte hunnit forskat mera i det här utan bara konstaterat att såhär är fallet och skrev det här inlägget för att förhoppningsvis hjälpa några förvirrade.

Publicerat i Microsoft Windows | Lämna en kommentar

Begränsa vilka datorer som får köra webbmail

Publicerat den 17 augusti, 2010 av Anders

Det är ytterst få företag som idag inte når sin E-post via en webbläsare, det jag har uppmärksammat är dock att de ser en stor säkerhetsrisk att man från vilken dator som helst kan nå hela sin postlåda. Det är inte alla anställda som tänker sig för utan nu i semestertider loggar in från en dator i hotellets reception eller internet Café i något tropiskt land utan att ha någon som helst koll på vad det finns på dessa datorer.

Ställ krav på klientcertifikat med hjälp av ISA eller en TMG Server

Det här är en guide för dig som publicerat din webmail via en ISA eller en TMG Server

Genom att rulla ut klient (user) certifikat till våra datorer i domänen kan vi enkelt kräva i både ISA och TMG att klienten innehar ett clientcertifikat för att få nå sin webmail.
Kravet på certifikat är att det är utgivet av en CA Server som även vår TMG litar på (utgivande rootcertifikat skall finnas under trusted root både på TMG och klienten). Eftersom jag brukar rekommendera att ha både ISA och TMG som en memberserver är det här inget problem när vi använder vår interna PKI.

Gå sedan in på under Firewall Policy och egenskaper på den lyssnare du har i din publiceringsregel. Under fliken Authentication och knappen Advanced hittar du Require SSL Client Certificate, bocka i denna checkbox.

Du har nu ställt krav på klient-certifikat. De datorer där det inte finns ett klient certifikat kommer få upp följande fel när de ansluter mot sin webmail:

Direkt efter att ha rullat ut ett klientcertifikat så är resultatet följande:

En enkel lösning för att styra vilka datorer som får nå företagets mailbox via webbläsaren.

VARNING om du har publicerat andra Exchange tjänster så som exempelvis EAS med samma lyssnare, se då till att skapa en ny lyssnare med annan IP/URL just för OWA.

Publicerat i Forefront TMG | 2 kommentarer

Service Pack 1 till Forefront TMG

Publicerat den 24 juni, 2010 av Anders

Igår natt släpptes Service Pack 1 till TMG, i samband med detta kom det ut en väldigt bra artikel på TMG Product Team och Forefront Team blog som går igenom alla nya funktioner i TMG SP1.

Installationen av Service Pack 1 är smidig och installationspaketet är bara på 20Mb. Dock så stoppar den alla tjänster under installation och det anges att man kan behöva starta om servern. I mitt fall så gick inte Firewall tjänsten igång efteråt så min rekommendation är att man startar om servern vid installation oavsett:

Största nyheten är URL Filter Override vilket är precis som det låter. Du kan alltså spärra ut URL kategori men när användaren sedan försöker surfa mot den aktuella kategorien får användaren alltså möjlighet att överskrida detta och få tillgång till webbplatsen ändå. Det här gör att användaren är medveten om att det egentligen inte är ok men får ändå möjlighet att ta sig dit och blir även notifierad över att företaget har koll på detta. En brist här är dock att du kommer få följande fel om du försöker aktivera detta på default regeln för blockeringar av rekommenderade URL kategorier:

Det här beror på att du inte kan använda funktionen om du blockerar även https i samma regel.

Lösningen här är INTE att ta bort https protokollet då du inte vill att användaren skall få möjlighet att trycka sig vidare till en kategorier som exempelvis Phishing, Malware osv. Skapa därför en ny blockeringsregel för de kategorier som är mer en IT-policy fråga än en säkerhetsrisk. Exempelvis Chat och liknande.

Publicerat i Forefront TMG | Lämna en kommentar

Best Practice Analyzer till Forefront UAG

Publicerat den 3 juni, 2010 av Anders

Igår släpptes BPA för UAG 2010 på marknaden. Ett enormt användbart verktyg för att identifiera vanliga felkonfigurationer, larm och även få förslag på hur man åtgärdar dessa. Oavsett hur bra din lösning fungerar lönar det sig att installera och köra detta verktyg:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=d24994ef-8670-4324-957a-805d35f1244e

Publicerat i Forefront UAG | Lämna en kommentar

IT-Säkerhetsguiden

Under huven på E-Mail Policy i Forefront TMG

Fördefinierade protokoll i TMG

Nya funktioner med Update 1 till SP1 på TMG

Ny hotfix till TMG SP1

Afterwork med MEET

Uppdateringar till alla Forefront teknologier på en och samma sida

Windows Server 2008 r2 uppför sig annorlunda vid konfiguration med flera IP adresser

Begränsa vilka datorer som får köra webbmail

Ställ krav på klientcertifikat med hjälp av ISA eller en TMG Server

Service Pack 1 till Forefront TMG

Best Practice Analyzer till Forefront UAG

Read the blog in your language:

Senaste inläggen

Prenumeration via epost