Kemp, az új TMG 05

Nos, eddig csak karcolgattuk a felszínt. Ne felejtsük el, ez egy loadbalancer, értelemszerűen ezen a területen kell neki nagyot domborítania. Ha szigorúan nézzük, akkor egy szerver reverz proxyzása tulajdonképpen a terheléselosztás speciális esete, ekkor ugyanis csak egy szerver között kell elosztanunk a terhelést. Viszont ha már ezen a területen jók vagyunk, akkor nem nagy ugrás […]

Kemp, az új TMG 04

Nos, nézzük meg, hogy muzsikál az eszköz, mint router. De mielőtt mélyebben belemennénk, nem árt tudni, hogy nem routerként árulják. Senki ne várjon funkcióhegyeket, áttekinthetetlen beállítópaneleket. Nagyjából ebből áll a készlet. From Segédlet Nem túl sok, de akár elég is lehet. A Route Management alatti első két menüpont a route tábla szerkesztéséhez kell, emellett van […]

Kemp, az új TMG 03

Bár úgy terveztem, hogy a következő írások már a tesztekről szólnak, de rögtön az elején belefutottam két pofonba. Mondhatni, ez egy bréking nyúz. 1. Ne rúgd tökön magadat Ez egyértelműen a saját hülyeségem. Utólag belegondolva logikus is, de mégis beszoptam. A loadbalancernek van egy külső interfésze (eth0), ennek van egy IP címe. Ezen keresztül lehet […]

Kemp, az új TMG 02

Nem, még ebben a részben sem fogunk checkboxokat kattogtatni. Jelen írásban szeretném felvázolni, milyen teszteket tervezek, hová akarok eljutni. Emellett szeretném bemutatni a tesztkörnyezetet is. From Segédlet Nos, ez a játszótér. Habár az ábra szépen strukturált, de valójában csak a Microtik router, a laptopom és a Hyper-v szerver fizikai gép, minden más elem virtuális, természetesen […]

Kemp, az új TMG 01

Marhára kíváncsi vagyok, hány embernek maradt benne a blog az RSS olvasójában. Persze, ebben én is hibás vagyok, mindenhol azt hirdettem, hogy kész, vége, kampec. Megszűnt. Se kedvem, se időm. Csak szólok, mielőtt még túl nagy remények ébrednének, hogy olyan nagy terveim továbbra sincsenek a bloggal. Ezt a sorozatot megírom, mert érdekel és szeretném magamnak […]

Élet a TMG után

Az Exchange rendszerekkel foglalkozók különösen rossz néven vették, amikor a Microsoft kilőtte a TMG-t. Akárhogy is nézzük, az Exchange publikálásához ez egy remek eszköz volt: csont nélkül vitte az összes protokollt, már a DMZ-ben előautentikált, azaz a belső hálóra csak autentikált forgalmat engedett be, ráadásul magát a használt protokollokat is szűrte. A TMG után nem […]

Együtt működés

Ügyfél úgy érezte, itt az ideje, hogy felrobbantsa felújítsa az informatikai rendszerét. Előbb-utóbb sor került a levelezésre is. A következő peremfeltételek szorongatták a projektet: A telepített rendszernek a meglévőnél robusztusabbnak kell lennie. (Ezt nem volt nehéz megígérnünk.) Licenszelési szempontból támadhatatlannak kellett lennie. Ez egész konkrétan azt jelentette, hogy mivel a felhasználók számához képest egynyolcadnyi Windows […]

A lelkes TMG

Apróság, nem is akkora nagy szívás, de a kognitív energiák elszivárgása képes némi fogcsikorgatást előidézni. Van a DMZ-ben egy levelezőszervered – mondjuk egy Exchange Edge – és az SMTP portját egy TMG szerveren keresztül szeretnéd kipublikálni. Ez nem lehet komoly feladat, a varázsló 2004 óta szinte semmit sem változott. Illetve… From Segédlet Ez bizony egy […]

Kosztüm

Adott a feladat, publikáljunk egy Exchange 2010 OWA szolgáltatást TMG-n keresztül. Ez ma már egyáltalán nem pilótavizsgás munka, nosza. Úgy döntöttünk, saját SAN tanúsítványt használunk, így első lépésben azt gyártjuk le. Certification snap-in, advanced, create a request. Itt kapjuk a következő ablakot. From Segédlet Először is pár szívélyes szóval megemlékeznék az UI tervezőjének felmenőági rokonairól. […]

NIS

Az alábbi videón két medve beszélget a biztonságról: Yuri Diogenes és Tom Shindler. Az első 20 percben eldörmögnek arról, mi mindennel is foglalkoznak mostanában, az utolsó tíz percben viszont Yuri tart egy érdekes bemutatót arról, hogyan is tudja megvédeni a még nem naprakészre patch-elt hálózatunkat egy jól konfigurált NIS (Network Inspection Service) a TMG-n. (Feltéve […]

Espéegy a porcelánboltban

Arról, hogy kijött az Exchange2010 SP1, szándékosan nem írtam semmit. Aki nem tudja meg tizenhét forrásból egy napon belül, az vagy traktorbelsőben él, vagy nem is érdekli a dolog. Azt is leírták sokan, sok helyen, hogy mi újdonságokat hozott a rendszerbe. Foglalkozzunk most azzal, hogy mi mindent nyírt ki? Nem szándékosan persze, de hát így […]

Tanujj tinó

Nincs ám elfelejtve ez a blog, remek ötleteim vannak – csak idő nincs hozzá.(Ha valaki tud nagy tételben olcsón, vevő vagyok rá.) Most is csak egy gyors hivatkozás lesz, mondhatni a delicious helyett ide jegyzem fel ezt a remek linket. Yuri Diogenes egy postban összefoglalta, milyen linkeken jut információkhoz az, aki el szeretne mélyülni a […]

Szabálylista nyomtatása

Egyik ügyfelünknél megérett a helyzet arra, hogy gatyába rázzuk az ISA 2004 szerverük szabálylistáját. Évek hosszú során a tűzfal konfigurációja használhatatlanná evolválódott, bátran növelve ezzel az univerzum entrópiáját. Ez egyben azt is jelentette, hogy nem halogathattam tovább a dokumentálás problémáját. Az természetes, hogy az ISA konfig rendesen (automatikusan) mentve van. De ami nem igazán jött […]

Trükkös HTTPS

Az ember már azt hiszi, ismeri az ISA szervert – aztán az mégis meg tudja lepni. Jött a kérés az ügyféltől, hogy egy kollégájuk szeretne elérni egy weblapot a 8443-as porton. – Na, megint egy istentől, embertől elrugaszkodott webmester – gondoltam – akinek túl kerek szám a 80-as. De gond egy szál se, pillanatok alatt […]

Pislant a hálókártya

Erre az esetmegoldásra nem leszek büszke, de tanulság azért akad benne. Nagyon fontos ügyfél (habár hülyeség, mindegyik az) telefonál, hogy megállt a cégnél az internetelérés. Különböző okok miatt az ISA webproxy-ra gyanakszik. Mivel internet nélkül nincs élet, így a bejelentés magas prioritású. A megoldást nehezíti, hogy magát a belső hálózatot nem mi üzemeltetjük, abszolút semmi […]

Exchange 2007 Edge és az ISA

Nem vagyok egy ISA guru (őszintén nem is használom és piszokul nem is értek hozzá), ezért csak röviden írom le a mai küszködésem végeredményét. Próbáltam beüzemelni egy Edge szervert ami az ISA által kifeszített DMZ-ben lakott. Az Edge és a Hub transport valahogy nem akart kommunikálni egymással ezért a levelezés nagyon nem akart menni. Se […]