Archive

Archive for dicembre 2012

Merry XMas 2012

E’ quasi passato un anno dal mio primo post in questo blog scritto la vigilia di Natale del 2011 ed oggi, a distanza di 360 giorni, constato di aver scritto ben 33 post in un anno, cosa sulla quale non avrei scommesso un centesimo.

Oltre a questo piccolo bilancio colgo l’occasione per augurare a tutti voi e ai vostri cari un sereno Natale ed un prosperissimo 2013.

auguri

Categorie:Auguri, MerryXmas, Natale

A major issue in authentication with digital certificates and a sensational solution

18 dicembre 2012 1 commento

Da un po’ di giorni stavo combattendo con un problema di autenticazione sulla rete wifi.

All’improvviso tutti i notebook della rete non riuscivano più a connettersi alla rete wireless il cui accesso è consentito mediante certificati digitali ed è garantito da un access point che è il client radius di un Network Policy Server.

Il problema si era manifestato immediatamente dopo l’applicazione degli aggiornamenti sul Network Policy Server.

Avevo iniziato la diagnostica sempre con il consueto utilissimo tool IAS Log Viewer, disponibile in trial qui

http://www.deepsoftware.com/iasviewer/?adv&gclid=CNX1sLjtobQCFUjwzAodPkUAEA,

che serve ad avere qualche indicazione più precisa sugli errori scritti nei logs di IAS o NPS.

In particolare l’errore che rilevavo era il seguente

unexpected or badly formatted

e il messaggio The message received was unexpected or badly formatted mi faceva supporre ad un malfunzionamento dell’access point nell’inviare i dati all’NPS ma un controllo sulla configurazione dell’access point mi faceva capire che non era così.

Non sapendo che pesci pigliare, sono andato a spulciarmi il registro eventi del NPS trovando questo significativo messaggio

36885_warning

e, confortato anche da questo thread

http://social.technet.microsoft.com/Forums/en-US/winserverNAP/thread/4383d3b6-8b86-4405-9a9d-947d42dbcbfa/

e, in particolare, da questo articolo della Knowledge Base

http://support.microsoft.com/kb/933430

sono andato ad eliminare buona parte dei certificati delle Trusted Root Certification Authorities presenti sul server NPS utilizzando lo snap-in Certificates per il computer locale della mmc, ho riavviato il server e con grande gioia ho visto i miei clients tornare a connettersi sulla rete wireless autenticandosi correttamente con il Network Policy Server.

La causa era proprio quella: quando il client invia il proprio certificato digitale all’NPS e chiede il certificato del server NPS stesso per il mutuo riconoscimento, il server invia anche l’elenco completo delle Trusted Root Certification Authorities che possiede e tra queste ci dev’essere il certificato root della CA che ha emesso sia il certificato del server sia quello del client. Se, a causa degli aggiornamenti di Windows, questo elenco aumenta di dimensioni, il sistema tronca l’elenco e può capitare che nella parte trasmessa non ci sia proprio il root certificate della CA del nostro dominio. Questo fatto provoca il malfunzionamento descritto e risolto semplicemente eliminando in maniera brutale buona parte dei certificati delle Trusted Root Certification Authorities presenti sul server NPS.

Buona security a tutti 😉

Microsoft Forefront TMG 2010: some issues

Con questo nuovo post tento di fare un esperimento: questo sarà un post “aperto” nel senso che descriverà un work in process per cui ci saranno aggiornamenti ogniqualvolta riuscirò a fare qualche passetto avanti verso la soluzione.

L’argomento del post saranno un paio di problemi che riscontro su un Microsoft Forefront Threat Management Gateway 2010 Standard e il tentativo di fare un po’ di troubleshooting sugli stessi.

In particolare i problemi riscontrati sono:

  • un funzionamento randomico del proxy e della cache del medesimo
  • un errore in tutte le funzionalità di reportistica che mostro qui sotto

error_0xc0040432

A proposito di questo secondo errore, voglio aprire una piccola parentesi per raccontare una cosa che mi ha fatto molto sorridere.

Nel tentativo di arrivare ad una rapida soluzione ho inserito in San Google questi termini “forefront tmg error 0xc0040432” e il primo risultato fornitomi è un thread del Forum Microsoft statunitense marcato come risolto quindi pieno di speranza mi leggo questo

http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/0f6bd3cc-7a9a-4970-a292-62a4e3c251b9/

dove scopro che il solito Support Engineer dei Contingent Staff si è automarcato la risposta… e che risposta!

Per chi non conoscesse l’inglese o Forefront TMG vi descrivo la risposta con una metafora: un signore ha un problema con la propria automobile che non parte e il meccanico gli suggerisce di leggersi l’intero libretto di istruzioni per individuare il guasto.

😀

Chiuso il siparietto riporto qui per comodità un bel elenco di links sul problema in questione:

Forefront tmg reporting problem
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/f9e878c4-9961-4859-8219-77d114867220
HELP NEEDED WITH TMG SP1 User Activity Reports
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/a390214e-5fba-44f3-8b24-5bbcea7cf80e
Forefront TMG with SP1 User Activity Report Blank
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/cc000484-fdf8-40a9-a6e5-bf76e6acaa00
ForeFront TMG reports are blank
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/f732c1ae-1547-4659-bc07-01864cc56fc3
TMG Reporting Failure
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/94f7db17-4795-401a-9539-983acdc9c072
Empty Reports in Forefront TMG sp1
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/bc344352-6626-4df6-a559-ba9431117c84
User Activity report for multiple users not working error 0xc0040432
http://blogs.technet.com/b/isablog/archive/2011/03/26/user-activity-report-for-multiple-users-not-working-error-0xc0040432.aspx
Troubleshooting reporting
http://technet.microsoft.com/en-us/library/ff849731.aspx

e il relativo thread di riferimento

http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/f3d1d26c-a0fe-4da1-a953-5be0a80495d0/

dove, come potete vedere, non c’è ancora una soluzione.

Aggiornamento.

Dopo aver indagato a lungo il problema del funzionamento randomico del proxy si è risolto con un restore di un backup completo che era precedente all’ultima installazione degli aggiornamenti.

Il secondo problema, quello della reportistica ha trovato la soluzione qui

http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/0f6bd3cc-7a9a-4970-a292-62a4e3c251b9/

e in particolare con questo fantastico documento in pdf

http://www.it-training-grote.de/download/isaserver-TMG-sql-reporting.pdf

per cui ringrazio pubblicamente l’autore Marc Grote.