Microsoft Forefront 2010 für Exchange
Beschreibung zur vorherigen Version finden Sie im Archiv auf Forefront.
Aktuelle Version (Stand Nov
2011) Forefront Exchange 2010 Hotfix 4
2619883 Hotfix Rollup 4 für Microsoft Forefront
Protection für Exchange
- Quelle:
http://www.microsoft.com/forefront/ - Betriebssystem:
Windows Server und darauf aufsetzende Dienste (Windows Client, Server, Exchange, Sharepoint etc.) - Preise
Bitte prüfen Sie ihre Microsoft Lizenzmodell. Forefront wird pro Server und Pro User/Device monatlich lizenziert. En Server könnte 10 Euro/Monat und eine Userlizenz 0,50Cent/Monat kosten, so dass eine Installation mit einem Server und 200 User vielleicht 10+200*0,5 = 110€ pro Monat kosten kann. Diese Angaben erfolgen ohne Gewähr und stellen kein Angebot dar.
Nachdem Microsoft die Firma Sybari aufgekauft hat und mit Forefront unter eigenem Namen einen Virenscanner für Exchange veröffentlicht hat, gibt es mittlerweile auch eine Version für Exchange 2010 und Sharepoint. Hinter der Produktline "Forefront" verbergen sich aber mehrere Produkte, von denen genau eines für Exchange relevant ist.
Name | Anwendungsfall und Links |
---|---|
Forefront Exchange 2010 |
Der eigentliche Virenscanner für Exchange 2007 und Exchange 2010 |
Forefront Exchange Online Protection (FOPE) |
Nach der Installation von Forefront für Exchange wird die Installation von FOPE optional gestartet. Dabei handelt es sich um einen "gehosteten" Spam und Virenschutz von Microsoft. Das FOPE-Modul überträgt ihre Spameinstellungen und Empfängerliste zum Microsoft Datacenter und nachdem Sie ihren MX-Eintrag umgestellt haben, kommen in ihrem Exchange Server nur noch vorgefilterte Mails an. |
Forefront Sharepoint 2010 |
Diese Produkt schützt Sharepoint und kann nicht zusammen mit Forefront für Exchange 2010 auf dem gleichen Server installiert werden. |
Forefront Endpoint Security |
Dieses Produkt schützt Server und Clients auf Dateisystembasis und ist eine erweiterte Firmenversion des für Privatkunden kostenfrei erhältlichen "Microsoft Security Essentials"-Virenscanner. |
Forefront Identity Manager |
Früher als MIIS oder ILM bekannt, wird das Metadirectory nun ebenfalls als "Forefront"-Produkt geführt, auch wenn es nichts mit Virenscanner o.ä. zu tun hat. |
Forefront Thread Management |
Aus dem früheren ISA-Server (Internet Security and Acceleration Server) wurde in 2010 nun das "Forefront Thread Management"-Gateway. |
Bei der ganzen Menge an Forefront-Produkten müssen Sie also schon genau hinschauen, welche Version sie gerade herunter laden und für welche Version ein Rollup verfügbar ist.
Sie können Forefront problemlos bei Microsoft auch
als 120 Tage Evaluierungsversion herunter laden und danach "aktivieren"
http://www.microsoft.com/forefront/downloads.mspx
Updates für Microsoft Forefront and Related
Technologies
http://technet.microsoft.com/en-us/forefront/ff899332
2420647 Description of Hotfix Rollup 2 für Forefront Protection für Exchange
Der Hotfix2 ist eine komplette Installationsquelle mit Build 11.0.705.0
Installation
Prüfen Sie die Versionsverträglichkeit und
Installationsreihenfolgen. So kann es erforderlich sein, vor der
Installation eines Exchange Service Pack erst Forefront zu
deinstallieren oder zumindest zu deaktivieren und danach die aktuelle
Version zu installieren.
Zudem gibt es Abhängigkeiten, wenn Sie Exchange Rollen deinstallieren
oder installieren. Auch hier kann eine vorherige Deinstallation von
Forefront erforderlich sein.
Auch gibt es Einschränkungen zum Parallelbetrieb mit anderen Produkten,
z.B. Forefront für Sharepoint.
Die Installation ist relativ überschaubbar. Das Setupprogamm ist über 200 MB groß, und installiert lokal nach Eingabe der Pfade die Forefront-Dienste mit den Abhängigkeiten zu den Exchange Diensten. Auch wenn die Forefront-Dienste auf "Manuell" stehen, so werden Sie über die Exchange-Abhängigkeiten mit gestartet.
Jeder Dienst selbst startet eventuell mehrere Threads, wie im Taskmanager gut zu sehen ist
Eine "Remote Installation", wie dies einige Wettbewerber vorsehen, ist nicht möglich. Sie müssen sich also schon "auf" dem Server anmelden und installieren oder schauen, wie Sie per Softwareverteilung ein Paket schnüren.
Bei der Installation werden aber nicht nur Dateien und Einstellungen auf dem lokalen Computer vorgenommen, sondern auch am Computerobjekt gibt es einen weiteren unterpunkt mit dem Namen LDAP://CN=ForefrontProtection,
distinguishedname : : {CN=ForefrontProtection,CN=W2K8R2E2010,OU=Domain Controllers,DC=E2010,DC=local} showinadvancedviewonly : {True} keywords : {11.0.0677.0, Bridgehead/Mailbox Server, Forefront Protection 2010 für Exchange Server, Microsoft...} serviceclassname : {ForefrontProtection} servicednsname : {W2K8R2E2010.E2010.local} objectcategory : {CN=Service-Connection-Point,CN=Schema,CN=Configuration,DC=E2010,DC=local} servicednsnametype : {A} servicebindinginformation: {x}
Zudem wird der Server in die Gruppe "Hygiene-Management" (CN=Hygiene Management,OU=Microsoft Exchange Security Groups,dc=...) addiert.
istinguishedname : {CN=Hygiene Management,OU=Microsoft Exchange Security Groups,DC=E2010,DC=local} action : MemberAdd field : Member value : CN=W2K8R2E2010,OU=Domain Controllers,DC=E2010,DC=local
Konfiguration und Management
Mit der Installation von Forefront landet auf dem Server auch eine grafische Verwaltungskonsole, mit dem Sie sowohl Einstellungen als auch einfache Ergebnisse (Logs und Reports) erhalten können. Diese sind aber immer auf den Server bezogen. Wer also mehrere Exchange Server betreibt, muss die Einstellungen zumindest per GUI jedes mal neu machen.
Aber mit der Installation von Forefront wird auch eine PowerShell für Forefront eingerichtet, über welche viele Dinge per Skript ausgeführt werden können.
Eine ganze Menge von Commandlets, die alle mit *-FSE* starten, unterstützt Sie bei der Einrichtung
Es gibt sogar ein eigenes Skript-Kit mit weiteren Beispielen.
Microsoft Forefront Protection Server Script Kit
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=70a3fb33-a4bf-4a08-aa3c-cc05c81e4ee3
Reporting und Überwachung
Aber speziell für das Reporting helfen alle Skripte nur bedingt weiter, so dass Microsoft mitterlweile auch eine zentrale Konsole geschaffen hat, die auf Windows 2008 R2 installiert werden kann und in einer lokalen SQL Express-Instanz die Daten verschiedener Serverinstallationen zusammenfasst.
Microsoft Forefront Protection Server Management
Console (FPSMC) 2010
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=31F66155-50F0-4665-ADC0-DE94DA027ED7
Kostenfreies Add-on zur zentralen Verwaltung
http://blogs.technet.com/b/fss/archive/2010/10/25/forefront-protection-server-management-console-2010-update.aspx
Die Bedienung und Anzeige erfolgt allein in einem Browser und per Konfiguration müssen die Server vorab installiert werden. Hierbei hilft aber, dass der Forefront sich am Computerobjekt im Active Directory hinterlässt, so dass sie recht einfach erkennen können, auf welchen Servern Forefront installiert ist.
Forefront hinterlässt sich als ordentliches Windows Produkt sowohl in den Performance Countern als auch im Eventlog. Es ist daher nicht schwer, die Funktion und Betriebsparameter mit einer passenden Lösung überwachen. Es gibt sogar ein Management Pack für MOM/System Center:
Forefront Protection 2010 für Exchange Server
Management Pack für System Center Operations Manager 2007
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=74ba19df-0fc2-4dd3-86cc-07cb086a47c8#tm
- Forefront Protection 2010 für Exchange Server MP für OpsMgr 2007
http://msmvps.com/blogs/ehlo/archive/2009/11/09/1738645.aspx
Verteilung der Updates
Per Default holt jede Instanz sich seine Updates direkt aus dem Internet, wozu bei der Installation schon ein Proxy-Server erfragt wird. Dies ist aber gar nicht erforderlich. Sie können einen Server als "Master" definieren, welcher die Updates aus dem Internet bezieht und als Share intern freigibt. Dazu sind aber mehrere Schritte erforderlich:
- Verteilserver für die Verteilung aktivieren
Über die GUI aktiveren Sie eine Funktion auf einem Server, dass er neben der für den eigenen Betrieb erforderlichen Engines auch noch ein paar vorherige Versionen vorzuhalten
- Freigabe auf "Engines" einrichten
Alle Updates lädt der Server in ein Verzeichnis herunter. Dieses Verzeichnis müssen Sie manuell noch frei geben, welches normalerweise auf "C:\Program Files (x86)\Microsoft Forefront Protection für Exchange Server\Data" liegt.
Den Namen des Share können Sie selbst frei wählen.
Achtung: Aufgrund höherer Sicherheitseinstellungen kann es sein, dass die anderen Server keine Rechte auf die Dateien in dem Pfad haben. Prüfen Sie daher die Rechte auf dem Verzeichnis bzw. aktivieren die Vererbung auf unterverzeichnisse und Dateien.
- UNC-Update eintragen
Auf allen anderen Servern können Sie nun die UNC-Aktualisierung eintragen
Bei der UNC-Verbindung können Sie ebenfalls alternative Credentials eingeben, da ansonsten der Forefront Controller als "LocalSystem", d.h. mit dem Computername$ versucht zuzugreifen.
- Distributing Updates by using UNC updating
http://technet.microsoft.com/en-us/library/dd639365.aspx - Configuring and scheduling Updates
http://technet.microsoft.com/en-us/library/dd639399.aspx
Weitere Links
- Viren, Spam, Werbung und Müll
- Spam und UCE
- FEP ForeFront Endpoint Protection - Virenschutz für Clients und Server-Systeme
- Microsoft Forefront Home
http://go.microsoft.com/?linkid=5559868
http://www.microsoft.com/forefront/ - ForeFront BLOG
http://blogs.technet.com/fss/ - Forefront Server Security Support - German
http://blogs.technet.com/fssnerds-german - 960465 Beschreibung von Sicherheitseinstellung von Forefront für Exchange Server mit Service Pack 2
- Microsoft Forefront Client Security
http://www.microsoft.com/forefront/clientsecurity/overview.mspx - New features in Forefront Online Protection für Exchange (FOPE) to meet your complex email flow scenarios http://blogs.technet.com/b/exchange/archive/2011/04/19/new-features-in-forefront-online-protection-for-exchange-fope-to-meet-your-complex-email-flow-scenarios.aspx