Представим такую ситуацию: есть домен domain.inner, распределённый по нескольким физическим площадкам. На площадках внешние сервера управляются Forefront TMG 2010, между которыми настроены VPN. На одной из площадок развернут сервер DPM 2007/2010. DPM агенты на серверах или рабочих станциях той же площадки работают нормально, а обращение к DPM агентам на компьютерах удаленных площадок завершается с такой ошибкой:
На самом деле, доступ DPM агента через VPN блокируется сервером TMG, который не разрешает протокол DCOM. В статье автора Sean McDonough описано решение проблемы, когда DPM агент не может защитить TMG сервер. В нашем случае распределенного домена необходимо снять флажок Требовать строго соответствия RPC/Enforce strict RPC compliance
у таких трех правил:
1. На внешнем сервере TMGServer1, за которым находится DPM сервер:
- Системное правило 22.
Разрешить отправлять RPC-запросы с сервера Forefront TMG на доверенные серверы/Allow RPC from Forefront TMG to trusted servers.
Разрешить доступ между VPN2 и внутренней сетью/Allow access between VPN2 and Internal network
, где VPN2 — имя VPN подключения к удаленной площадке.
2. На внешнем сервере TMGServer2, за которым находится защищаемый сервер или рабочая станция:
Разрешить доступ между VPN1 и внутренней сетью/Allow access between VPN1 and Internal network
, где VPN1 — имя VPN подключения к основной площадке.
Если правила доступа между VPN1/VPN2 и внутренней сетью настроены точнее, чем «весь исходящий трафик», то в статье автора Richard Hicks описаны минимальные необходимые протоколы и настройка портов для RPC соединений.
Это же решение применимо к ситуации двух различных доменов. Рассмотрим не один распределенный домен, а два различных домена domain1.inner и domain2.inner, при этом несколько ноутбуков из домена domain1.inner основное время работают в сети под управлением домена domain2.inner. Для корректного функционирования DPM агентов необходимо выполнить такие же настройки, и позаботится о разрешаемости имен ноутбуков во время их подключения в сеть domain2.inner.
- Все используемые IP-адреса, имена серверов, компьютеров, доменов, являются фиктивными и используются исключительно в демонстрационных целях.
- Информация приводится «AS IS».