Microsoft Forefront 2010 für Exchange

Beschreibung zur vorherigen Version finden Sie im Archiv auf Forefront.

Aktuelle Version (Stand Nov 2011)  Forefront Exchange 2010 Hotfix 4
2619883 Hotfix Rollup 4 für Microsoft Forefront Protection für Exchange

  • Quelle:
    http://www.microsoft.com/forefront/
  • Betriebssystem:
    Windows Server und darauf aufsetzende Dienste (Windows Client, Server, Exchange, Sharepoint etc.)
  • Preise
    Bitte prüfen Sie ihre Microsoft Lizenzmodell. Forefront wird pro Server und Pro User/Device monatlich lizenziert. En Server könnte 10 Euro/Monat und eine Userlizenz 0,50Cent/Monat kosten, so dass eine Installation mit einem Server und 200 User vielleicht 10+200*0,5 = 110€ pro Monat kosten kann. Diese Angaben erfolgen ohne Gewähr und stellen kein Angebot dar.

Nachdem Microsoft die Firma Sybari aufgekauft hat und mit Forefront unter eigenem Namen einen Virenscanner für Exchange veröffentlicht hat, gibt es mittlerweile auch eine Version für Exchange 2010 und Sharepoint. Hinter der Produktline "Forefront" verbergen sich aber mehrere Produkte, von denen genau eines für Exchange relevant ist.

Name Anwendungsfall und Links

Forefront Exchange 2010

Der eigentliche Virenscanner für Exchange 2007 und Exchange 2010

Forefront Exchange Online Protection (FOPE)

Nach der Installation von Forefront für Exchange wird die Installation von FOPE optional gestartet. Dabei handelt es sich um einen "gehosteten" Spam und Virenschutz von Microsoft. Das FOPE-Modul überträgt ihre Spameinstellungen und Empfängerliste zum Microsoft Datacenter und nachdem Sie ihren MX-Eintrag umgestellt haben, kommen in ihrem Exchange Server nur noch vorgefilterte Mails an.

Forefront Sharepoint 2010

Diese Produkt schützt Sharepoint und kann nicht zusammen mit Forefront für Exchange 2010 auf dem gleichen Server installiert werden.

Forefront Endpoint Security

Dieses Produkt schützt Server und Clients auf Dateisystembasis und ist eine erweiterte Firmenversion des für Privatkunden kostenfrei erhältlichen "Microsoft Security Essentials"-Virenscanner.

Forefront Identity Manager

Früher als MIIS oder ILM bekannt, wird das Metadirectory nun ebenfalls als "Forefront"-Produkt geführt, auch wenn es nichts mit Virenscanner o.ä. zu tun hat.

Forefront Thread Management

Aus dem früheren ISA-Server (Internet Security and Acceleration Server) wurde in 2010 nun das "Forefront Thread Management"-Gateway.

Bei der ganzen Menge an Forefront-Produkten müssen Sie also schon genau hinschauen, welche Version sie gerade herunter laden und für welche Version ein Rollup verfügbar ist.

Sie können Forefront problemlos bei Microsoft auch als 120 Tage Evaluierungsversion herunter laden und danach "aktivieren"
http://www.microsoft.com/forefront/downloads.mspx

Updates für Microsoft Forefront and Related Technologies
http://technet.microsoft.com/en-us/forefront/ff899332
2420647 Description of Hotfix Rollup 2 für Forefront Protection für Exchange
Der Hotfix2 ist eine komplette Installationsquelle mit Build 11.0.705.0

Installation

Prüfen Sie die Versionsverträglichkeit und Installationsreihenfolgen. So kann es erforderlich sein, vor der Installation eines Exchange Service Pack erst Forefront zu deinstallieren oder zumindest zu deaktivieren und danach die aktuelle Version zu installieren.
Zudem gibt es Abhängigkeiten, wenn Sie Exchange Rollen deinstallieren oder installieren. Auch hier kann eine vorherige Deinstallation von Forefront erforderlich sein.
Auch gibt es Einschränkungen zum Parallelbetrieb mit anderen Produkten, z.B. Forefront für Sharepoint.

Die Installation ist relativ überschaubbar. Das Setupprogamm ist über 200 MB groß, und installiert lokal nach Eingabe der Pfade die Forefront-Dienste mit den Abhängigkeiten zu den Exchange Diensten. Auch wenn die Forefront-Dienste auf "Manuell" stehen, so werden Sie über die Exchange-Abhängigkeiten mit gestartet.

Jeder Dienst selbst startet eventuell mehrere Threads, wie im Taskmanager gut zu sehen ist

Eine "Remote Installation", wie dies einige Wettbewerber vorsehen, ist nicht möglich. Sie müssen sich also schon "auf" dem Server anmelden und installieren oder schauen, wie Sie per Softwareverteilung ein Paket schnüren.

Bei der Installation werden aber nicht nur Dateien und Einstellungen auf dem lokalen Computer vorgenommen, sondern auch am Computerobjekt gibt es einen weiteren unterpunkt mit dem Namen LDAP://CN=ForefrontProtection,

distinguishedname :      : {CN=ForefrontProtection,CN=W2K8R2E2010,OU=Domain Controllers,DC=E2010,DC=local}
showinadvancedviewonly   : {True}
keywords                 : {11.0.0677.0, Bridgehead/Mailbox Server, Forefront Protection 2010 für Exchange Server, Microsoft...}
serviceclassname         : {ForefrontProtection}
servicednsname           : {W2K8R2E2010.E2010.local}
objectcategory           : {CN=Service-Connection-Point,CN=Schema,CN=Configuration,DC=E2010,DC=local}
servicednsnametype       : {A}
servicebindinginformation: {x}

Zudem wird der Server in die Gruppe "Hygiene-Management"  (CN=Hygiene Management,OU=Microsoft Exchange Security Groups,dc=...) addiert.

istinguishedname : {CN=Hygiene Management,OU=Microsoft Exchange Security Groups,DC=E2010,DC=local}
action            : MemberAdd
field             : Member
value             : CN=W2K8R2E2010,OU=Domain Controllers,DC=E2010,DC=local

Konfiguration und Management

Mit der Installation von Forefront landet auf dem Server auch eine grafische Verwaltungskonsole, mit dem Sie sowohl Einstellungen als auch einfache Ergebnisse (Logs und Reports) erhalten können. Diese sind aber immer auf den Server bezogen. Wer also mehrere Exchange Server betreibt, muss die Einstellungen zumindest per GUI jedes mal neu machen.

Aber mit der Installation von Forefront wird auch eine PowerShell für Forefront eingerichtet, über welche viele Dinge per Skript ausgeführt werden können.

Eine ganze Menge von Commandlets, die alle mit *-FSE* starten, unterstützt Sie bei der Einrichtung

Es gibt sogar ein eigenes Skript-Kit mit weiteren Beispielen.

Microsoft Forefront Protection Server Script Kit
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=70a3fb33-a4bf-4a08-aa3c-cc05c81e4ee3

Reporting und Überwachung

Aber speziell für das Reporting helfen alle Skripte nur bedingt weiter, so dass Microsoft mitterlweile auch eine zentrale Konsole geschaffen hat, die auf Windows 2008 R2 installiert werden kann und in einer lokalen SQL Express-Instanz die Daten verschiedener Serverinstallationen zusammenfasst.

Microsoft Forefront Protection Server Management Console (FPSMC) 2010
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=31F66155-50F0-4665-ADC0-DE94DA027ED7
Kostenfreies Add-on zur zentralen Verwaltung
http://blogs.technet.com/b/fss/archive/2010/10/25/forefront-protection-server-management-console-2010-update.aspx

Die Bedienung und Anzeige erfolgt allein in einem Browser und per Konfiguration müssen die Server vorab installiert werden. Hierbei hilft aber, dass der Forefront sich am Computerobjekt im Active Directory hinterlässt, so dass sie recht einfach erkennen können, auf welchen Servern Forefront installiert ist.

Forefront hinterlässt sich als ordentliches Windows Produkt sowohl in den Performance Countern als auch im Eventlog. Es ist daher nicht schwer, die Funktion und Betriebsparameter mit einer passenden Lösung überwachen. Es gibt sogar ein Management Pack für MOM/System Center:

Forefront Protection 2010 für Exchange Server Management Pack für System Center Operations Manager 2007
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=74ba19df-0fc2-4dd3-86cc-07cb086a47c8#tm

Verteilung der Updates

Per Default holt jede Instanz sich seine Updates direkt aus dem Internet, wozu bei der Installation schon ein Proxy-Server erfragt wird. Dies ist aber gar nicht erforderlich. Sie können einen Server als "Master" definieren, welcher die Updates aus dem Internet bezieht und als Share intern freigibt. Dazu sind aber mehrere Schritte erforderlich:

  • Verteilserver für die Verteilung aktivieren
    Über die GUI aktiveren Sie eine Funktion auf einem Server, dass er neben der für den eigenen Betrieb erforderlichen Engines auch noch ein paar vorherige Versionen vorzuhalten
  • Freigabe auf "Engines" einrichten
    Alle Updates lädt der Server in ein Verzeichnis herunter. Dieses Verzeichnis müssen Sie manuell noch frei geben, welches normalerweise auf "C:\Program Files (x86)\Microsoft Forefront Protection für Exchange Server\Data" liegt.

    Den Namen des Share können Sie selbst frei wählen.

Achtung: Aufgrund höherer Sicherheitseinstellungen kann es sein, dass die anderen Server keine Rechte auf die Dateien in dem Pfad haben. Prüfen Sie daher die Rechte auf dem Verzeichnis bzw. aktivieren die Vererbung auf unterverzeichnisse und Dateien.

  • UNC-Update eintragen
    Auf allen anderen Servern können Sie nun die UNC-Aktualisierung eintragen

Bei der UNC-Verbindung können Sie ebenfalls alternative Credentials eingeben, da ansonsten der Forefront Controller als "LocalSystem", d.h. mit dem Computername$ versucht zuzugreifen.

Weitere Links