Microsoft Forefront 2010 for Exchange

Beschreibung zur vorherigen Version finden Sie im Archiv auf Forefront.

Aktuelle Version (Stand Nov 2011)  Forefront Exchange 2010 Hotfix 4
2619883 Hotfix Rollup 4 for Microsoft Forefront Protection for Exchange

Nachdem Microsoft die Firma Sybari aufgekauft hat und mit Forefront unter eigenem Namen einen Virenscanner für Exchange veröffentlicht hat, gibt es mittlerweile auch eine Version für Exchange 2010 und Sharepoint. Hinter der Produktline "Forefront" verbergen sich aber mehrere Produkte, von denen genau eines für Exchange relevant ist.

Name Anwendungsfall und Links
Forefront Exchange 2010 Der eigentliche Virenscanner für Exchange 2007 und Exchange 2010
Forefront Exchange Online Protection (FOPE) Nach der Installation von Forefront für Exchange wird die Installation von FOPE optional gestartet. Dabei handelt es sich um einen "gehosteten" Spam und Virenschutz von Microsoft. Das FOPE-Modul überträgt ihre Spameinstellungen und Empfängerliste zum Microsoft Datacenter und nachdem Sie ihren MX-Eintrag umgestellt haben, kommen in ihrem Exchange Server nur noch vorgefilterte Mails an.
Forefront Sharepoint 2010 Diese Produkt schützt Sharepoint und kann nicht zusammen mit Forefront für Exchange 2010 auf dem gleichen Server installiert werden.
Forefront Endpoint Security Dieses Produkt schützt Server und Clients auf Dateisystembasis und ist eine erweiterte Firmenversion des für Privatkunden kostenfrei erhältlichen "Microsoft Security Essentials"-Virenscanner.
Forefront Identity Manager Früher als MIIS oder ILM bekannt, wird das Metadirectory nun ebenfalls als "Forefront"-Produkt geführt, auch wenn es nichts mit Virenscanner o.ä. zu tun hat.
Forefront Thread Management Aus dem früheren ISA-Server (Internet Security and Acceleration Server) wurde in 2010 nun das "Forefront Thread Management"-Gateway.

Bei der ganzen Menge an Forefront-Produkten müssen Sie also schon genau hinschauen, welche Version sie gerade herunter laden und für welche Version ein Rollup verfügbar ist.

Sie können Forefront problemlos bei Microsoft auch als 120 Tage Evaluierungsversion herunter laden und danach "aktivieren"
http://www.microsoft.com/forefront/downloads.mspx

Updates for Microsoft Forefront and Related Technologies
http://technet.microsoft.com/en-us/forefront/ff899332
2420647 Description of Hotfix Rollup 2 for Forefront Protection for Exchange
Der Hotfix2 ist eine komplette Installationsquelle mit Build 11.0.705.0

Installation

Prüfen Sie die Versionsverträglichkeit und Installationsreihenfolgen. So kann es erforderlich sein, vor der Installation eines Exchange Service Pack erst Forefront zu deinstallieren oder zumindest zu deaktivieren und danach die aktuelle Version zu installieren.
Zudem gibt es Abhängigkeiten, wenn Sie Exchange Rollen deinstallieren oder installieren. Auch hier kann eine vorherige Deinstallation von Forefront erforderlich sein.
Auch gibt es Einschränkungen zum Parallelbetrieb mit anderen Produkten, z.B. Forefront für Sharepoint.

Die Installation ist relativ überschaubbar. Das Setupprogamm ist über 200 MB groß, und installiert lokal nach Eingabe der Pfade die Forefront-Dienste mit den Abhängigkeiten zu den Exchange Diensten. Auch wenn die Forefront-Dienste auf "Manuell" stehen, so werden Sie über die Exchange-Abhängigkeiten mit gestartet.

Jeder Dienst selbst startet eventuell mehrere Threads, wie im Taskmanager gut zu sehen ist

Eine "Remote Installation", wie dies einige Wettbewerber vorsehen, ist nicht möglich. Sie müssen sich also schon "auf" dem Server anmelden und installieren oder schauen, wie Sie per Softwareverteilung ein Paket schnüren.

Bei der Installation werden aber nicht nur Dateien und Einstellungen auf dem lokalen Computer vorgenommen, sondern auch am Computerobjekt gibt es einen weiteren Unterpunkt mit dem Namen LDAP://CN=ForefrontProtection,

distinguishedname :      : {CN=ForefrontProtection,CN=W2K8R2E2010,OU=Domain Controllers,DC=E2010,DC=local}
showinadvancedviewonly   : {True}
keywords                 : {11.0.0677.0, Bridgehead/Mailbox Server, Forefront Protection 2010 for Exchange Server, Microsoft...}
serviceclassname         : {ForefrontProtection}
servicednsname           : {W2K8R2E2010.E2010.local}
objectcategory           : {CN=Service-Connection-Point,CN=Schema,CN=Configuration,DC=E2010,DC=local}
servicednsnametype       : {A}
servicebindinginformation: {x}

Zudem wird der Server in die Gruppe "Hygiene-Management"  (CN=Hygiene Management,OU=Microsoft Exchange Security Groups,dc=...) addiert.

istinguishedname : {CN=Hygiene Management,OU=Microsoft Exchange Security Groups,DC=E2010,DC=local}
action            : MemberAdd
field             : Member
value             : CN=W2K8R2E2010,OU=Domain Controllers,DC=E2010,DC=local

Konfiguration und Management

Mit der Installation von Forefront landet auf dem Server auch eine grafische Verwaltungskonsole, mit dem Sie sowohl Einstellungen als auch einfache Ergebnisse (Logs und Reports) erhalten können. Diese sind aber immer auf den Server bezogen. Wer also mehrere Exchange Server betreibt, muss die Einstellungen zumindest per GUI jedes mal neu machen.

Aber mit der Installation von Forefront wird auch eine Powershell für Forefront eingerichtet, über welche viele Dinge per Skript ausgeführt werden können.

Eine ganze Menge von Commandlets, die alle mit *-FSE* starten, unterstützt Sie bei der Einrichtung

Es gibt sogar ein eigenes Skript-Kit mit weiteren Beispielen.

Microsoft Forefront Protection Server Script Kit
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=70a3fb33-a4bf-4a08-aa3c-cc05c81e4ee3

Reporting und Überwachung

Aber speziell für das Reporting helfen alle Skripte nur bedingt weiter, so dass Microsoft mitterlweile auch eine zentrale Konsole geschaffen hat, die auf Windows 2008 R2 installiert werden kann und in einer lokalen SQL Express-Instanz die Daten verschiedener Serverinstallationen zusammenfasst.

Microsoft Forefront Protection Server Management Console (FPSMC) 2010
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=31F66155-50F0-4665-ADC0-DE94DA027ED7
Kostenfreies Addon zur zentralen Verwaltung
http://blogs.technet.com/b/fss/archive/2010/10/25/forefront-protection-server-management-console-2010-update.aspx

Die Bedienung und Anzeige erfolgt allein in einem Browser und per Konfiguration müssen die Server vorab installiert werden. Hierbei hilft aber, dass der Forefront sich am Computerobjekt im Active Directory hinterlässt, so dass sie recht einfach erkennen können, auf welchen Servern Forefront installiert ist.

Forefront hinterlässt sich als ordentliches Windows Produkt sowohl in den Performance Countern als auch im Eventlog. Es ist daher nicht schwer, die Funktion und Betriebsparameter mit einer passenden Lösung überwachen. Es gibt sogar ein Management Pack für MOM/System Center:

Forefront Protection 2010 for Exchange Server Management Pack for System Center Operations Manager 2007
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=74ba19df-0fc2-4dd3-86cc-07cb086a47c8#tm

Verteilung der Updates

Per Default holt jede Instanz sich seine Updates direkt aus dem Internet, wozu bei der Installation schon ein Proxy-Server erfragt wird. Dies ist aber gar nicht erforderlich. Sie können einen Server als "Master" definieren, welcher die Updates aus dem Internet bezieht und als Share intern freigibt. Dazu sind aber mehrere Schritte erforderlich:

Achtung: Aufgrund höherer Sicherheitseinstellungen kann es sein, dass die anderen Server keine Rechte auf die Dateien in dem Pfad haben. Prüfen Sie daher die Rechte auf dem Verzeichnis bzw. aktivieren die Vererbung auf Unterverzeichnisse und Dateien.

Bei der UNC-Verbindung können Sie ebenfalls alternative Credentials eingeben, da ansonsten der Forefront Controller als "LocalSystem", d.h. mit dem Computername$ versucht zuzugreifen.

Weitere Links

Tags:Produkte Forefront 2010