El equipo de Microsoft Forefront TMG 2010 puso ayer a disposición pública la descarga del Service Pack 2 de MS Forefront TMG 2010 con todos los parches acumulados aplicados, y con nuevas funcionalidades, de las que destacan las siguientes tres:

- Informe de actividad de sitio: Ahora se ha añadido un nuevo informe que permite conocer con exactitud el tráfico generado entre cada usuario y cada sitio, pudiendo conocer qué usuarios han transmitido más datos de cada sitio, o cuáles son los sitios más utilizados por los usuarios de la organización.

- Páginas de errores mejoradas: Se han mejorado las opciones para personalizar las páginas web de error que muestra Forefront TMG 2010 a los usuarios cuando se produce una situación inesperada. Ahora es mucho más fácil cambiar el aspecto y los mensajes de las mismas.

- Autenticación Kerberos en entornos NLB: Se ha implementado el uso de Kerberos 5 para integrar mejor la autenticación de usuarios en arrays de Forefront TMG 2010 que utilizan arquitecturas de balanceo de carga con NLB.

Puedes descargar desde aquí el Service Pack 2 de Forefront Threat Management Gateway TMG 2010 en Español.

Si ayer hablabamos de los requisitivos para que los productos antimalware de la familia Forefront funcionen correctamente con Windows 7 Service Pack 1, ahora son los equipos de Forefront TMG 2010 y Forefront UAG 2010 los que han querido clarificar cuál es la relación de estos con el Service Pack 1 para Window Server 2008 R2.

Tanto MS Forefront Threat Mangament Gateway TMG 2010 Service Pack 1 como MS Forefront Unified Access Gateway 2010 Service Pack 1 son totalmente compatibles y funcionales con Widnows Server 2008 R2 Service Pack 1. Esta compatibilidad se produce, tanto en la instalación del Service Pack 1 de Windows Server 2008 R2 en un entorno con Forefront TMG 2010 SP1 o Forefront UAG 2010 SP1 instalados, como en la instalación desde cero de Forefront TMG/UAG 2010 en una máquina Windows Server 2008 R2 con el SP1 instalado. En cualquier caso, es necesario reiniciar el sistema operativo una vez aplicado el Service Pack 1.

Para tener una actualización ordenada de una infraestructura empresarial, se recomienda realizar la actualización en el sigueinte orden:

1. Enterprise Management Servers (master y replicas)
2. Array managers.
3. Array members.

En entornos con NLB activado se encontrado que una vez actualizado el sistema operativo, la creación de un nuevo cluster NLB puede fallar y en algunos entornos la tarjeta de red de la máquina se deshabilita. Estos fallos se arrelan totalmente con un nuevo reinicio después de la aplicación del Service Pack 1 mientras que los equipos trabajan en entender mejor la causa y cerar un hotfix para estos entornos, tal y como informan en el blog del equipo de TMG y UAG.
 

El día 23 de Febrero, como estaba previsto, se puso a disposición general del público el Service Pack 1 de Windows 7 y Windows Server 2008 R2. Ahora, para muchos administradores de empresas toca la labor de implementarlo en las organizaciones sin que afecte a las aplicaciones corporativas. Para ayudar en el despliegue, el portal de Springboard ha puesto las guías de implementación de Windows 7 Service Pack 1.


Figura 1: Procceso de instalación de Windows 7 Service Pack 1

Windows 7 Service Pack 1 y las soluciones antimalware

En el caso de las soluciones antimalware de Microsoft, tanto MS Forefront Endpoint Protection FEP 2010 como Windows Security Essentials 2.0 funcionan perfectamente y sin necesidad de ningún cambio como Windows 7 SP1. En le caso de las soluciones anteriores, es necesario que se hayan desplegado con anterioridad dos actualizaciones del producto que se publicaron.

En el caso de Forefront Client Security funcionará con cualquier versión que haya instalado la actualización KB2394433 del 12 de Octubre de 2010 o cualquiera posterior del mismo, mientras que para Windows Security Essentials 1.0, con que tenga la actualización KB2254596 del 29 de Junio de 2010 o posterior, el despliegue de Windows 7 Service Pack 1 no dará ninguna incidencia, tal y como recuerda el equipo de Forefront Endpoint Security.
 

En el caso de que una instalación del Service pack 1 para MS Forefront Threat Management Gateway 2010, haya tenido lugar y el servidor no opere correctamente, Microsoft ha definido un procedimiento para su desinstalación. Este se produce en varios pasos en los que habrá que ejecutar una serie de scripts. Dichos script pueden ser descargados desde la página web de Technet en Microsoft. Los script con los que debe contar para una desinstalación correcta son:

- Uninstall-TMG-SP1.cms: Éste deberá ejecutarse en los servidores EMS, en el administrador de la matriz, en cada miembro del array y en los servidores independientes.

- Waitforreload.vbs: Éste deberá ejecutarse en cada uno de los miembros de la matriz y en los servidores independientes.

- Fixsqlserverlogin.vbs: Éste deberá ejecutarse en cada miembro del array y en los servidores independientes.

Pasos para el proceso de desinstalación

Una vez que se han creado los diferentes Script, deberán realizarse los siguientes pasos:

- PASO 1: Validarse en la máquina con credenciales de administrador.

- PASO 2: Ejecutar el script uninstall-TMG-SP1.cmd.

- PASO 2: Comprobar a través del panel de control que el Service Pack 1 ya no se encuentra disponible.

- PASO 3: Verificar en cada miembro de la matriz que el servicio de firewall se está ejecutando correctamente mediante la sintaxis sc query fwsrv.

- PASO 4: En el caso de que el estado sea de no ejecución, deberá ejecutarse la siguiente sentencia: cscript.exe waitforreload.vbs

     o Cuando el mensaje Done reloading array aparezca, deberá iniciarse el servicio mediante la siguiente orden:
          net start fwsrv

     o Si el servicio del firewall falla al iniciarse y la consola de administración muestra la alerta Service Initialization Failure deberá ejecutarse a través del intéprete de comandos la siguiente sintaxis:

          reg add HKLM\SOFTWARE\Microsoft\Fpc\Storage\Cache /v InvocationID
           /t REG_BINARY /f /d 000000000000000000000000000000000000000000000000

     o Tras esto deberá reiniciarse el servidor.

- PASO 5: Para restaurar la funcionalidad de reporting, en cada uno de los miembros del array deberá ejecutarse el script fixsqlserverlogin.vbs. Durante la ejecución de este script, se solicitará una nueva contraseña. Todos los miembros del array deberán contar con la misma contraseña.

- PASO 6: Cuando se ejecute el script compruebe que este no genera errores. La comprobación de que la operación se ha realizado satisfactoriamente, es que los informes se generan correctamente.

Orden de desinstalación en un entorno EMS

El orden de desinstalación recomendado para una infraestructura tipo Enterprise es el inverso al procedimiento de instalación:

- Primero en los miembros del array. En el caso de un array independiente, el último en desinstalarse sería el servidor principal.
- En una infraestructura gestionada por EMS, los siguientes servidores serían las réplica de EMS.
- Por último se realizaría la desinstalación en el maestro EMS.
 

El proceso de instalación del Service Pack 1 de MS Forefront Threat Management Gateway 2010, requiere un orden de implementación, cuando se vaya a realizar sobre una infraestructura de empresa, bien sea de un array gestionado por miembros de la matriz o por EMS. En ambas circunstancias hay que identificar correctamente los roles existentes para realizar la implementación adecuadamente. No obstante también se han detectado algunos problemas ya documentado que a través de este post se darán respuesta.

Instalación de Forefront TMG 2010 SP 1 en un entorno con Enterprise Management Server (EMS)

Para el proceso de instalación, el primero de los elementos a actualizar será el servidor EMS master de la infraestructura o bien del array manager en caso de una matriz independiente. La instalación en el servidor EMS debe realizarse con la cuenta con la se realizó la instalación inicial de MS Forefront Threat Management Gateway 2010. En el caso de que se utilice una cuenta de administrador diferente esta podría fallar recibiendo el siguiente mensaje de error: “Setup cannot initialize Forefront TMG settings”.

Una vez que la instalación del Service Pack 1 haya concluido satisfactoriamente, deberá iniciarse la instalación en los servidores réplicas de EMS. La misma condición de cuenta deberá ser tenida en cuenta para la instalación correcta. Una vez que estas hayan finalizado deberán instalarse el Service Pack en los siguientes miembros del array. Para ello se tiene que tener en cuenta los siguientes aspectos:

- Instalar primero en los servidores que cuenten con la función de Reporting Point.
- Posteriormente en el resto de miembros del array.

Instalación de Forefront TMG 2010 SP1 en un entorno con NLB

En el caso de la existencia de un sistema de balanceo de carga entre los servidores miembros del array el mecanismo de instalación del Service Pack para cada miembro será el siguiente:

- Retirar el servidor escogido de la configuración de balanceo.v - Eliminar cualquier conexión existente que estuviera siendo servida por el servidor.
- Establecer el NLB a un estado de suspendido para evitar que se una automáticamente en el inicio.
- Instalar el Service Pack 1 de Forefront TMG 2010.
- Reiniciar el servidor si es necesario.
- Iniciar el servicio de NLB en el servidor una vez actualizado.

Algunos problemas conocidos

Tras la instalación pueden darse algunos problemas de funcionalidad del servicio e MS Forefront Threat Mangagement Gateway TMG 2010:

- El servicio de MS Forefront TMG 200 puede no iniciar después de instalar o eliminar el Service Pack 1, en un array gestionado por EMS: Este problema puede ocurrir en un sistema que todavía no ha sincronizado con el servidor EMS.

- Si se estará registrando la información en un servidor remoto de SQL, se requiere migrar el registro de la base de datos al nuevo esquema. Dicha información se encuentra disponible a través de la TechNet Wiki.

- En el caso de que el servidor MS Forefront TMG 2010, en donde se ha instalado el Service Pack 1, se encuentre en un grupo de trabajo, se requieren pasos adicionales para habilitar la funcionalidad de actividad de usuarios a través de los informes. Dicha información se encuentra disponible a través de las notas de revisión del producto.

- Los informes que se generan pueden estar vacios tras la instalación del Service Pack 1. En este caso se alertará mediante el código de error 0x80040e4d. Este hecho es debido a fallo en la validación en la base de datos y puede comprobarse también si falla la conexión a los siguientes vínculos: http://localhost:8080/ReportServer_ISARS o http://127.0.0.1:8080/Reports_ISARS. Para solucionar el error deberá ejecutarse el script fixsqlserverlogi.vbs que se referencia en un artículo de technet.

Fallo del proceso de instalación de Froefront TMG 2010 Service Pack 1

En caso de que falle el proceso de instalación del Service Pack 1 hay que tener en cuenta que de forma predeterminada no se crea ningún log con el proceso que haya tenido lugar. Para que la ejecución de nuevo del Service Pack se realice con log incluido deberá ejecutar la siguiente sintaxis:

Msiexec /p Service_pac.msp REINSTALL=ALL REINSTALLMODE=omus /l*vx! Logfile_name.log

Si no se especifica una ruta completa, el fichero de log será creado en la misma carpeta donde se está ejecutando el comando msiexec.