Hallo Leutz,<\/p>\n
basierend auf den Blogeintrag: http:\/\/blog.forefront-tmg.de\/?p=741<\/a>\u00a0gab es heute eine Nachfrage von Gaylord Josupeit wie man Forefront TMG und VAMT (Volume Activation Management Tool) dazu bekommt miteinander zu sprechen. Lest hier, wie Gaylord Josupeit das Problem geloest hat: Loesungsansatz von Gaylord Josupeit: “Das Problem mit TMG und WMI ist n\u00e4mlich, dass es zwei Computergruppen gibt, deren Mitglieder keine RPC-Anfrage an TMG stellen d\u00fcrfen, oder anders ausgedr\u00fcckt, l\u00e4\u00dft TMG diese Anfragen anscheinend einfach ins Leere laufen, auch wenn Sie im Log erscheinen. Den entscheidenden Hinweis hab ich \u00fcbrigens hier her: Und hier auch auch die notwendigen Aenderungen an der Firewall: 1. Neue Firewall-Regel erstellen: Gruss Marc und danke an Gaylord Josupeit<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Hallo Leutz, basierend auf den Blogeintrag: http:\/\/blog.forefront-tmg.de\/?p=741\u00a0gab es heute eine Nachfrage von Gaylord Josupeit wie man Forefront TMG und VAMT (Volume Activation Management Tool) dazu bekommt miteinander zu sprechen. Lest hier, wie Gaylord Josupeit das Problem geloest hat: Ausgangsproblem: “Ich … Continue reading
\nAusgangsproblem:
\n“Ich versuche grad, mein FF TMG nach deinem PDF anzupassen. Das Ganze scheitert aber darzeit daran, dass ich trotz deaktiviertem \u201cEnforce-strict-RPC-compliance\u201d keine zweite Verbindung vom TMG zum WMI-Server herstellen kann, bzw. der TMG sich weigert, eine solche aufzubauen. Konkret geht es um VAMT, das auf meinem DC mitl\u00e4uft. Alle anderen Server werden vom VAMT sauber erkannt, registriert und aktiviert, nur f\u00fcr das TMG krieg ich immer nur \u201cUnable to connect to the WMI service on the remote machine.\u201d<\/p>\n
\nDiese beiden Gruppen sind \u201eRemote Management Computer\u201c und \u201eEnterprise Remote Management Computers\u201c. Da ich in meinem Fall ja eine AD-Dom\u00e4ne betreibe(ich schrieb ja, dass VAMT auf dem DC l\u00e4uft), steht der DC automatisch \u00fcber das \u201eInternal\u201c-Subnet in der \u201eEnterprise Remote Management Computers\u201c-Gruppe und darf daher keine RPC-Verbindung aufbauen(Warum auch immer?!)
\nMein Workaround war nun folgendes:
\nDa ich in der selbsterstellten Access-Rule f\u00fcr den RPC-Zugriff keine M\u00f6glichkeit habe, die Computergruppen anzupassen, mu\u00dfte ich eine andere Alternative finden:
\nIn den System-Policy-Rules gibt es (standardm\u00e4\u00dfig) als zweite Regel \u201eAllow remote management from selected computers using MMC\u201c, in der schon systemseitig das RPC-Protocol genutzt wird.
\n\u00dcber \u201eProperties -> From\u201c sieht man die Computer-Gruppen, die man hier editieren kann. In den Eigenschaften der Enterprise Remote Management Computers findet man dann das \u201eInternal LAN\u201c, dass man hier dann in zwei LAN\u2019s aufsplitten kann, sch\u00f6n um die IP des DC herum.
\nHier reicht es nicht aus, einfach den DC im unteren Fenster als \u201eException\u201c einzutragen, das wird anscheinend ignoriert.
\nUnd dann funktioniert der Rest genauso, wie Du es in deinem PDF beschrieben hast!!<\/p>\n
\nhttp:\/\/blogs.technet.com\/b\/isablog\/archive\/2007\/05\/16\/rpc-filter-and-enable-strict-rpc-compliance.aspx<\/a><\/p>\n
\nForefront TMG 2010 f\u00fcr KMS-Verwaltung via VAMT einrichten<\/p>\n
\n\u00a0\u00a0\u00a0\u00a0Name:\u00a0WMI Access
\n\u00a0\u00a0\u00a0\u00a0Action:\u00a0Allow
\n\u00a0\u00a0\u00a0\u00a0Protocol:\u00a0RPC (all interfaces)
\n\u00a0\u00a0\u00a0 From\/Listener: (Der Computer, auf dem VAMT installiert ist
\n\u00a0\u00a0\u00a0\u00a0To:\u00a0Localhost
\n\u00a0\u00a0\u00a0\u00a0Condition:\u00a0All Users
\n\u00a0\u00a0\u00a0\u00a0Policy:\u00a0 Array
\n2. Im RPC-Protokoll \u201eEnforce Strict RPC Compliance\u201c deaktivieren
\n3. Die erstellte FW-Regel erweitern um ein benutzerdefiniertes Protocol mit Port 10002 TCP, Direction outbound.
\n4. In den System Policy Rules nach einer Regel suchen, die das RPC(all interfaces) Protokoll beinhaltet:
\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0Dort dann \u201eProperties->From\u201c die Gruppe \u201eEnterprise Remote Management Computers\u201c editieren.
\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0Das vorhandene \u201eInternal LAN\u201c aufsplitten, so dass der VAMT-Computer ausgeschlossen wird.
\n5. Nun sollte VAMT Zugriff auf den TMG haben.<\/p>\n