{"id":763,"date":"2011-12-30T12:56:50","date_gmt":"2011-12-30T11:56:50","guid":{"rendered":"http:\/\/blog.forefront-tmg.de\/?p=763"},"modified":"2011-12-30T13:08:51","modified_gmt":"2011-12-30T12:08:51","slug":"wmi-abfragen-zu-forefront-tmg-erlauben-part-ii","status":"publish","type":"post","link":"https:\/\/blog.forefront-tmg.de\/?p=763","title":{"rendered":"WMI Abfragen zu Forefront TMG erlauben fuer VAMT Zugriff"},"content":{"rendered":"<p>Hallo Leutz,<\/p>\n<p>basierend auf den Blogeintrag: <a href=\"https:\/\/blog.forefront-tmg.de\/?p=741\">https:\/\/blog.forefront-tmg.de\/?p=741<\/a> gab es heute eine Nachfrage von Gaylord Josupeit wie man Forefront TMG und VAMT (Volume Activation Management Tool) dazu bekommt miteinander zu sprechen. Lest hier, wie Gaylord Josupeit das Problem geloest hat: Ausgangsproblem: &#8222;Ich versuche grad, mein FF TMG nach deinem PDF anzupassen. Das Ganze scheitert aber darzeit daran, dass ich trotz deaktiviertem \u201cEnforce-strict-RPC-compliance\u201d keine zweite Verbindung vom TMG zum WMI-Server herstellen kann, bzw. der TMG sich weigert, eine solche aufzubauen. Konkret geht es um VAMT, das auf meinem DC mitl\u00e4uft. Alle anderen Server werden vom VAMT sauber erkannt, registriert und aktiviert, nur f\u00fcr das TMG krieg ich immer nur \u201cUnable to connect to the WMI service on the remote machine.\u201d<\/p>\n<p>Loesungsansatz von Gaylord Josupeit: &#8222;Das Problem mit TMG und WMI ist n\u00e4mlich, dass es zwei Computergruppen gibt, deren Mitglieder keine RPC-Anfrage an TMG stellen d\u00fcrfen, oder anders ausgedr\u00fcckt, l\u00e4\u00dft TMG diese Anfragen anscheinend einfach ins Leere laufen, auch wenn Sie im Log erscheinen. Diese beiden Gruppen sind \u201eRemote Management Computer\u201c und \u201eEnterprise Remote Management Computers\u201c. Da ich in meinem Fall ja eine AD-Dom\u00e4ne betreibe(ich schrieb ja, dass VAMT auf dem DC l\u00e4uft), steht der DC automatisch \u00fcber das \u201eInternal\u201c-Subnet in der \u201eEnterprise Remote Management Computers\u201c-Gruppe und darf daher keine RPC-Verbindung aufbauen(Warum auch immer?!) Mein Workaround war nun folgendes: Da ich in der selbsterstellten Access-Rule f\u00fcr den RPC-Zugriff keine M\u00f6glichkeit habe, die Computergruppen anzupassen, mu\u00dfte ich eine andere Alternative finden: In den System-Policy-Rules gibt es (standardm\u00e4\u00dfig) als zweite Regel \u201eAllow remote management from selected computers using MMC\u201c, in der schon systemseitig das RPC-Protocol genutzt wird. \u00dcber \u201eProperties -&gt; From\u201c sieht man die Computer-Gruppen, die man hier editieren kann. In den Eigenschaften der Enterprise Remote Management Computers findet man dann das \u201eInternal LAN\u201c, dass man hier dann in zwei LAN\u2019s aufsplitten kann, sch\u00f6n um die IP des DC herum. Hier reicht es nicht aus, einfach den DC im unteren Fenster als \u201eException\u201c einzutragen, das wird anscheinend ignoriert. Und dann funktioniert der Rest genauso, wie Du es in deinem PDF beschrieben hast!!<\/p>\n<p>Den entscheidenden Hinweis hab ich \u00fcbrigens hier her: <a href=\"http:\/\/blogs.technet.com\/b\/isablog\/archive\/2007\/05\/16\/rpc-filter-and-enable-strict-rpc-compliance.aspx\" rel=\"nofollow\">http:\/\/blogs.technet.com\/b\/isablog\/archive\/2007\/05\/16\/rpc-filter-and-enable-strict-rpc-compliance.aspx<\/a><\/p>\n<p>Und hier auch auch die notwendigen Aenderungen an der Firewall: Forefront TMG 2010 f\u00fcr KMS-Verwaltung via VAMT einrichten<\/p>\n<p>1. Neue Firewall-Regel erstellen:<br \/>\nName: WMI Access<br \/>\nAction: Allow<br \/>\nProtocol: RPC (all interfaces)<br \/>\nFrom\/Listener: (Der Computer, auf dem VAMT installiert ist)<br \/>\nTo: Localhost<br \/>\nCondition: All Users<br \/>\nPolicy:\u00a0 Array<\/p>\n<p>2. Im RPC-Protokoll \u201eEnforce Strict RPC Compliance\u201c deaktivieren\u00b4<br \/>\n3. Die erstellte FW-Regel erweitern um ein benutzerdefiniertes Protocol mit Port 10002 TCP, Direction outbound<br \/>\n4. In den System Policy Rules nach einer Regel suchen, die das RPC(all interfaces) Protokoll beinhaltet:<br \/>\nDort dann \u201eProperties-&gt;From\u201c die Gruppe \u201eEnterprise Remote Management Computers\u201c editieren.<br \/>\nDas vorhandene \u201eInternal LAN\u201c aufsplitten, so dass der VAMT-Computer ausgeschlossen wird.<br \/>\n5. Nun sollte VAMT Zugriff auf den TMG haben.<\/p>\n<p>Gruss Marc und danke an Gaylord Josupeit<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hallo Leutz, basierend auf den Blogeintrag: https:\/\/blog.forefront-tmg.de\/?p=741 gab es heute eine Nachfrage von Gaylord Josupeit wie man Forefront TMG und VAMT (Volume Activation Management Tool) dazu bekommt miteinander zu sprechen. Lest hier, wie Gaylord Josupeit das Problem geloest hat: Ausgangsproblem: &#8222;Ich versuche grad, mein FF TMG nach deinem PDF anzupassen. Das Ganze scheitert aber darzeit daran, dass ich trotz deaktiviertem \u201cEnforce-strict-RPC-compliance\u201d keine zweite Verbindung vom TMG zum WMI-Server herstellen kann, bzw. der TMG sich weigert, eine solche aufzubauen. Konkret geht&#8230;<\/p>\n<p class=\"read-more\"><a class=\"btn btn-default\" href=\"https:\/\/blog.forefront-tmg.de\/?p=763\">Weiterlesen<span class=\"screen-reader-text\"> Weiterlesen<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16,5,3],"tags":[],"class_list":["post-763","post","type-post","status-publish","format-standard","hentry","category-forefront","category-marc-grote","category-tmg"],"_links":{"self":[{"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=\/wp\/v2\/posts\/763","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=763"}],"version-history":[{"count":4,"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=\/wp\/v2\/posts\/763\/revisions"}],"predecessor-version":[{"id":768,"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=\/wp\/v2\/posts\/763\/revisions\/768"}],"wp:attachment":[{"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=763"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=763"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.forefront-tmg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=763"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}