Zum Inhalt wechseln


Foto

TMG auf Server 2012 R2 - Was zum basteln ;)


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 Weingeist

Weingeist

    Board Veteran

  • 768 Beiträge

 

Geschrieben 16. Februar 2015 - 11:03

Leider konnte ich noch nirgendwo finden WIE man das machen kann. Stehen irgendwie alle vor dem gleichen Problem, dass der Installer irgendwann abbricht.

Hab mal Lust und Laune gehabt und versucht herauszufinden warum. Fazit: Es geht mit einigen Modifikationen am Installer.

 

Auf den ersten Blick funktioniert alles. Es kommt das übliche "Firewall wird durch TMG verwaltet". Verwaltungskonsole läuft, Regeln können erstellt werden etc.

Vielleicht mag ja noch jemand rumspielen und die Erfahrungen teilen.

 

Ob sinnvoll oder nicht, darüber muss man nicht streiten. Ging mir vor allem um: Gehts und falls ja, mit welchen Einschränkungen.

 

Wer selber Lust und Lanune zum ruspielen hat:

Tipp: Zum testen würde ich die SP's und Rollups noch erst ins Image einpflegen, wers noch nicht kennt: hier gibts ne nette Anleitung

 

Danach kann man entweder die Rollen teilweise oder ganz vorbereiten/installieren oder direkt das MSI installieren (weiter mit 3)

 

1. Hab ich von hier:

The TMG installation will call c:\windows\system32\servermanagercmd.exe to preinstall features/roles and even if you manually install it, because there is no such file in windows server 2012, it still failed.

In windows 2012, it's renamed to servermanager.exe, so I copy this shortcut and rename to servermanagercmd.exe and it's working!

--> Obs tatsächlich nötig ist? Bei mir lief der Installer dann nicht wirklich durch. Kommt nur bissel weiter in der Vorbereitung.

 

2. Benötigte restliche Rollen selber vorinstallieren

 

3. Nun zum wichtigen Part: MS_FPC_Server.msi  im Unterordner FPC mit Orca ändern. Es müssen die Zeilen gelöscht werden, welche folgendes enthalten:

   - VerifyWindowsOCPrerqInstalled
   - VerifyWindows2k8SP2

Der Installer läuft so ohne Fehler durch. Ob trotzdem alles läuft, kann ich natürlich nicht sagen. Was sicher nicht geht, ist die Leistungserfassung der Dienste. Da gibts Fehler. Aber rumspielen kann man. =)

 

 

Rein mit der MSI-Installation (ohne die Setup.exe) kann man auch nur den TMG ohne SQL und IIS installieren lassen. Halt weniger Komfort im Logging-Bereich, da man auf die Textfile-basierte Lösung ausweichen muss. Ansonsten dürfte der TMG eigentlich nicht von den beiden Diensten abhängig sein.

 

 

Produktiv würde ich das natürlich nicht verwenden, vor allem nicht ohne vorhergehende Testungen. Auch wenn ich der Meinung bin, dass der reine TMG/ISA-Teil ziemlich fehlerfrei programmiert sein dürfte. Diesbezügliche Security-Updates gibt es ja eigentlich nie für den TMG. Supported ist das ganze natürlich ebensowenig. ;)



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. Februar 2015 - 11:22

Diesbezügliche Security-Updates gibt es ja eigentlich nie für den TMG. Supported ist das ganze natürlich ebensowenig. ;)


Naja diverse Rollups und Servicepacks gibt's schon. Und da sich das TMG relativ intensive in den IPStack von Windows hängt, kann man seine Schlüsse ziehen. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#3 Weingeist

Weingeist

    Board Veteran

  • 768 Beiträge

 

Geschrieben 09. März 2015 - 15:25

oops, übersehen

Meines wissens war aber kein SP oder Rollup sicherheitsrelevant sondern diente der Feature-Erweiterung.



#4 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 09. März 2015 - 18:06

Achso? Das würde ich pauschal (ohne Recherche) erstmal bezweifeln.

Make something i***-proof and they will build a better i***.


#5 Doso

Doso

    Board Veteran

  • 2.507 Beiträge

 

Geschrieben 13. März 2015 - 21:18

Forefront ist eine Sicherheitssoftware, daher ist vermutlich alles sicherheitsrelevant. Auch so Sachen wie aus dem letzten Rollup 5 würde ich da zählen:

 

FIX: Account lockout alerts are not logged after you install Rollup 4 for TMG 2010 SP2

http://support.micro...b/2954173/en-us



#6 gysinma1

gysinma1

    Board Veteran

  • 1.675 Beiträge

 

Geschrieben 03. Mai 2015 - 08:33

Ich wäre da vorsichtig eine Sicherheitsplatform wie TMG Forefront auf einem nicht supporteten Operating System zu installieren. Das würde so höchstwahrscheinlich keiner Sicherheitsprüfung standhalten, da der Hersteller den Support und Betrieb auf 2012 R2 negiert und i.d.r. diese Supportstatements die Basis für weitere Test bilden Updates und Service Packs hin oder her.


Ex-MSFT; MCT; MCSE, MCSA, und so weiter um die Wand zu tapezieren ;). - Als ehemaliger Microsoft Mitarbeiter sind alle meine Threads und Äusserungen meine private Meinung ohne jegliche Haftung und Gewähr für meinen ehemaligen Arbeitgeber. Es sind keinerlei Microsoft verbindliche Aussagen darin enthalten und beeinhalten im Wesentlichen private Erfahrung.


#7 mad-max79

mad-max79

    Member

  • 335 Beiträge

 

Geschrieben 05. Juni 2015 - 05:56

Um so trauriger ist es ja, dass der TMG von MS nicht weiter entwickelt wird.

Aber mit dem neuen Server OS soll ja auch ein Proxy wieder kommen. Nur was der so bringen wird, muss sich noch zeigen.



#8 Weingeist

Weingeist

    Board Veteran

  • 768 Beiträge

 

Geschrieben 05. Juni 2015 - 06:40

Einen Proxy gibts schon in 2012. Total überladen als Bestandteil von IIS. Keine Spur von einem schmalen, vermutlich ziemlich fehlerfreien Paket wie dem TMG mit seinen 124MB.



#9 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 05. Juni 2015 - 06:52

Das ist aber "nur" ein Reverse/Application Proxy, oder?

Make something i***-proof and they will build a better i***.


#10 DocData

DocData

    Board Veteran

  • 1.318 Beiträge

 

Geschrieben 07. Juni 2015 - 16:23

Der WAP ist ein Reverse Proxy. In 2012 haben nur Teile des UAG überlebt. Eine Proxy-Lösung im Sinne eines Caches wird es nicht mehr geben.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#11 mad-max79

mad-max79

    Member

  • 335 Beiträge

 

Geschrieben 10. Juni 2015 - 11:13

@ DocData

 

Der WAP ist ein Reverse Proxy. In 2012 haben nur Teile des UAG überlebt. Eine Proxy-Lösung im Sinne eines Caches wird es nicht mehr geben.

 

Auch nicht mit dem neuen Server OS?

 



#12 DocData

DocData

    Board Veteran

  • 1.318 Beiträge

 

Geschrieben 10. Juni 2015 - 11:33

Nicht das ich wüsste. Wenn du andere Informationen hast, dann würde mich die Quelle interessieren.

Bearbeitet von DocData, 10. Juni 2015 - 11:33.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...