DPM Agent через VPN соединение

Представим такую ситуацию: есть домен domain.inner, распределённый по нескольким физическим площадкам. На площадках внешние сервера управляются Forefront TMG 2010, между которыми настроены VPN. На одной из площадок развернут сервер DPM 2007/2010. DPM агенты на серверах или рабочих станциях той же площадки работают нормально, а обращение к DPM агентам на компьютерах удаленных площадок завершается с такой ошибкой:

Сведения об ошибке операции DPM агента

Ошибка DPM агента

На самом деле, доступ DPM агента через VPN блокируется сервером TMG, который не разрешает протокол DCOM. В статье автора Sean McDonough описано решение проблемы, когда DPM агент не может защитить TMG сервер. В нашем случае распределенного домена необходимо снять флажок Требовать строго соответствия RPC/Enforce strict RPC compliance у таких трех правил:

1. На внешнем сервере TMGServer1, за которым находится DPM сервер:

  • Системное правило 22. Разрешить отправлять RPC-запросы с сервера Forefront TMG на доверенные серверы/Allow RPC from Forefront TMG to trusted servers.
  • Разрешить доступ между VPN2 и внутренней сетью/Allow access between VPN2 and Internal network, где VPN2 — имя VPN подключения к удаленной площадке.

2. На внешнем сервере TMGServer2, за которым находится защищаемый сервер или рабочая станция:

  • Разрешить доступ между VPN1 и внутренней сетью/Allow access between VPN1 and Internal network, где VPN1 — имя VPN подключения к основной площадке.

Если правила доступа между VPN1/VPN2 и внутренней сетью настроены точнее, чем «весь исходящий трафик», то в статье автора Richard Hicks описаны минимальные необходимые протоколы и настройка портов для RPC соединений.

Это же решение применимо к ситуации двух различных доменов. Рассмотрим не один распределенный домен, а два различных домена domain1.inner и domain2.inner, при этом несколько ноутбуков из домена domain1.inner основное время работают в сети под управлением домена domain2.inner. Для корректного функционирования DPM агентов необходимо выполнить такие же настройки, и позаботится о разрешаемости имен ноутбуков во время их подключения в сеть domain2.inner.


  1. Все используемые IP-адреса, имена серверов, компьютеров, доменов, являются фиктивными и используются исключительно в демонстрационных целях.
  2. Информация приводится «AS IS».
Pin It

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.