WMI Abfragen zu Forefront TMG erlauben

{ Posted on Okt 18 2011 by Marc Grote }
Categories : Marc Grote, TMG

Hallo Leutz,

aufgrund einer Frage in dem deutschen Forefront Forum bin ich der Frage mal nachgegangen, warum WMI Abfragen zum TMG Server immer fehlschlagen. WMI verwendet RPC Abfragen und wer sich mit Firewalls auskennt, weiss, RPC ist aufgrund der Portdynamik so eine Sache. Ideen gibt es in der Community eine Menge, aber nicht immer funktioniert der WMI-Zugriff:
http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/fc1d2b2f-99f8-4032-a012-99094b638e76
http://www.paessler.com/knowledgebase/en/topic/1043-my-wmi-sensors-don-t-work-what-can-i-do

Forefront TMG verwendet einen eigenen RPC-Filter und kann auch DCOM/RPC filtern. Wie man TMG dazu bringen kann auf WMI-Anfragen zu hoeren seht Ihr hier:
http://www.it-training-grote.de/download/TMG-WMI.pdf

Gruss Marc


3 Responses to “WMI Abfragen zu Forefront TMG erlauben”

  1. Hallo Marc,

    erstmal Danke für diese Website. Da ich nicht grad der FW-Experte bin, trotzdem aber ein komplettes Netzwerk samt FF TMG aufsetzen muss, hab ich hier schon einige nützliche Informationen gefunden.

    Grad verzweifel ich aber an der WMI-Sache.
    Ich versuche grad, mein FF TMG nach deinem PDF anzupassen. Das Ganze scheitert aber darzeit daran, dass ich trotz deaktiviertem “Enforce-strict-RPC-compliance” keine zweite Verbindung vom TMG zum WMI-Server herstellen kann, bzw. der TMG sich weigert, eine solche aufzubauen.

    Konkret geht es um VAMT, das auf meinem DC mitläuft. Alle anderen Server werden vom VAMT sauber erkannt, registriert und aktiviert, nur für das TMG krieg ich immer nur “Unable to connect to the WMI service on the remote machine.”

    Auf dem DC sollte eigentlich alles richtig konfiguriert sein, da ja die anderen Server erkannt werden.

    Hast Du eventuell noch ein paar Anhaltspunkte, nach denen ich schauen kann?

    Muss ich vielleicht speziell für VAMT andere Einstellungen auf dem TMG vornehmen?

    Wäre super!

    Schönen Gruß,
    Gaylord Josupeit

  2. Hi,
    das Problem ist, dass aufgrund der Dynamic des RPC Protokolls nicht fuer jedes Problem eine Loesung damit gefunden werden kann.
    Um VAMT zum laufen zu bekommen muesstest Du also im Log schauen, welche Ports da angefragt werden und diese ggfs. zusaetzlich zu RPC erlauben.
    Alternativ kannst Du noch die verwendeten RPC Ports einschraenken und diese an der Firewall erlauben!
    http://support.microsoft.com/kb/154596

  3. Hallo Marc,

    Danke für Deine schnelle Antwort. Ich hab aber schon eine Lösung gefunden, die vielleicht hier auch gut entweder als Ergänzung für dein PDF oder sogar als eigenständiger Beitrag in die Sammlung passen könnte.
    Das Problem mit TMG und WMI ist nämlich, dass es zwei Computergruppen gibt, deren Mitglieder keine RPC-Anfrage an TMG stellen dürfen, oder anders ausgedrückt, läßt TMG diese Anfragen anscheinend einfach ins Leere laufen, auch wenn Sie im Log erscheinen.
    Diese beiden Gruppen sind „Remote Management Computer“ und „Enterprise Remote Management Computers“. Da ich in meinem Fall ja eine AD-Domäne betreibe(ich schrieb ja, dass VAMT auf dem DC läuft), steht der DC automatisch über das „Internal“-Subnet in der „Enterprise Remote Management Computers“-Gruppe und darf daher keine RPC-Verbindung aufbauen(Warum auch immer?!)
    Mein Workaround war nun folgendes:
    Da ich in der selbsterstellten Access-Rule für den RPC-Zugriff keine Möglichkeit habe, die Computergruppen anzupassen, mußte ich eine andere Alternative finden:
    In den System-Policy-Rules gibt es (standardmäßig) als zweite Regel „Allow remote management from selected computers using MMC“, in der schon systemseitig das RPC-Protocol genutzt wird.
    Über „Properties -> From“ sieht man die Computer-Gruppen, die man hier editieren kann. In den Eigenschaften der Enterprise Remote Management Computers findet man dann das „Internal LAN“, dass man hier dann in zwei LAN’s aufsplitten kann, schön um die IP des DC herum.
    Hier reicht es nicht aus, einfach den DC im unteren Fenster als „Exception“ einzutragen, das wird anscheinend ignoriert.
    Und dann funktioniert der Rest genauso, wie Du es in deinem PDF beschrieben hast!!

    Den entscheidenden Hinweis hab ich übrigens hier her:
    http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx
    Etwas weiter unten im Text gibt es folgende Passage:
    ———————————
    Common Issues
    •Problem: You cannot use DCOM between a computer in the Remote Management Computers sets and the ISA Server computer
    •Workaround: In the system policy rule, there is no option to configure remote management to allow non-strict RPC traffic, so all DCOM traffic between the Remote Management Computers set and the Local Host network (the ISA Server) is dropped. As a workaround, remove the computer from the set, and create an additional access rule for the same traffic. Then clear the “Enforce strict RPC compliance setting” on the rule.
    —————————
    Und damit hat’s dann schlußendlich doch noch geklappt.

    Vielleicht kann ja noch jemand was damit anfangen.
    Würd mich freuen.
    Und so neben bei noch:
    Einen guten Rutsch ins neue Jahr!!!

    Und einen schönen Gruß,
    Gaylord

Post a Comment

*

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.