locked
WMI Abfragen eines TMG und UAG für Monitoring RRS feed

  • Frage

  • Hallo TMG Fans,

    Ich möchte WMI Abfragen im Paessler PRTG Monitoring von einen TMG und UAG Server einrichten.

    Das Problem ist, dass diese vom TMG geblockt werden. Das Problem ist schon seid dem ISA Server bekannt. Es gibt jedemenge Foreneinträge dazu, die ich in einer Testumgebung mit Standardinstallationen der Server durchgespielt habe. Leider waren alle Versuche und Hinweise erfolglos?

    Ich habe folgende Foreneinträge bereits beachtet.

    http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx

    http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/fc1d2b2f-99f8-4032-a012-99094b638e76

    http://www.paessler.com/knowledgebase/en/topic/1043-my-wmi-sensors-don-t-work-what-can-i-do

    Und viele viele mehr.

    Ich teste die WMI Abfragen mit dem WMI Tester von Paessler.
    http://www.de.paessler.com/tools/wmitester

    Ich habe auch ein paar Screenshoots der Testumgebung, die ich nach Bedarf sofort schicken könnte.

    Also zu Erläuterung der bereits durchgeführten Konfiguration.

    Strikte RPC-Einhaltung ist deaktiviert.

    Es wurde eine Regel eingerichtet, die vom Client zum Local Host mit dem Protokoll RPC Alle-Interface auf Port 135 ohne RPC Filter erlaubt.

    Rechner von denen abgefragt wird sind nicht Mitglieder der Remoteverwaltungscomputer.

    WMI Tester bring einen PortError 135: RPC Server not accessible


    Der TMG blockt wenn ich nach meiner Client IP 10.0.0.16 filter.

    Regel: Standardregel

    Zielnetzwerk: Localhost

    Quelle: Intern

    Port:    137 NetBios.Datagramm – Verweigerte Verbindung  
    Ergebniscode 0xc004000d FWX_E_Policy_Rules_Defined
             
    135 mittlerweile SUCCESS durch eingerichtete Regel:
    Intern > Localhost Gesamter ausgehender Datenverkehr

                5355 Protokoll: Verbindungslokale Multicastnameauflösung
    Ergebniscode 0xc004000 FWX_E_Policy_Rules_Defined

     

     

    Habt ihr hier evtl. eine Idee wo es noch hängt?

    Danke und Grüße,

    Martin
    Dienstag, 18. Oktober 2011 10:09

Antworten

Alle Antworten

  • Hi,

    und den RPC Filter anzulassen und nur die Strict RPC compliance zu deaktivieren, hast Du probiert?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 18. Oktober 2011 10:21
  • Hallo,

    vielen Dank für die schnelle Antwort.

    Ich habe folgende Regel eingerichtet.

    Von Intern / DC1 / W7u1 nach Lokaler Host /App1(TMG) mit RPC (alle Schnittstellen) dort den RPC Filter gesetzt (Portbereich 135 Ausgehend)

    und den Quellports alle zugelassen. Die Strict RPC compliance wieder aktiviert.

     

    Mein Windows 7 zu den Remotemanagement Rechner hinzugefügt.

    Mein DC W2k8 nicht in der RM Gruppe.


    Test mit WMI Tester auf die IP des TMG bricht beim W7 mit Error100002: Aufruf wurde durch Messagefilter abgebrochen ab.

    Und vom DC auf die TMG IP weiterhin mit RPC Server not accessible.

    Nslookup funktioniert

     

    Das Logg des TMG ist aber schon nicht mehr ganz so rot :)

    Es werden jetzt nur noch Zugriffe von Intern auf Ziel IP 224.0.0.252 mit dem Port 5355

     

    Kann das was mit DCOM zu tun haben. Hab da was interessantes gefunden. http://blogs.msdn.com/b/john_daskalakis/archive/2009/02/05/9397926.aspx

    Aber noch keine Ahnung wie ich dem TMG das beibringe :)

     

    Dienstag, 18. Oktober 2011 13:34
  • strikte rpc-einhaltung deaktivieren sollte es imho bringen. ein kunde von mir verwendet paesler einwandfrei für zum monitoring und ich bin mir ziemlich sicher das wir die strikte rpc-einhaltung ausgeschaltet haben.
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 18. Oktober 2011 17:44
  • Hi,

    schau mal:
    http://www.it-training-grote.de/blog/?p=4776

     


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort vorgeschlagen Jens.Mander [j-j] Dienstag, 18. Oktober 2011 18:06
    • Als Antwort markiert Marc.Grote Mittwoch, 19. Oktober 2011 18:42
    Dienstag, 18. Oktober 2011 17:54
  • ah interessant - der 10002er ist uns bei meinem bestandskunden gar nicht aufgefallen. konnte auch nicht, da er eine any-regel für von seinem monitoring-host gebaut hatte.

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 18. Oktober 2011 18:06
  • Hallo TMG Fans,

    VIELEN VIELEN DANK MARC

    Ich habe heute schon mal getestet und es funktioniert ? :)

    Ich werde die Tage noch etwas ausführlicher über meine Erfahrungen schreiben.

    Gruß Martin

    Mittwoch, 19. Oktober 2011 17:11
  • Auf dem Testsystem funktioniert es, beim Kunden leider nicht.

    Ich möchte von einem Appserver (mitunter RSA) auf dem die Probe (Client) installiert ist einen reinen TMG Server und einen UAG Server monitoren.

    Jetzt habe ich die Regel explizit für die Maschinen eingerichtet. Dh. zwei auf dem TMG. eine für TMG selber (WMI Tester funktioniert) und eine für UAG Server (wobei ich das gleiche auch auf dem UAG (TMG) Server machen musste. WMI Tester funktioniert.

    Am nächsten Tag konnte sich aber niemand mehr am UAG Portal anmelden. Der DC war vom UAG Server nicht mehr erreichbar.

    Nach einem dem einspielen eines Backup auf dem TMG Server war alles wieder io.

    Die Regel auf dem UAG besteht noch Appserver > Uag Intern > Rpc und RPC Port 10003 ist noch eingerichtet.

    Donnerstag, 17. November 2011 16:23
  • Hi,

    verstehe ich das richtig, dass es jetzt nach dem Zurueckspielen der Konfig nicht mehr funktioniert?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 17. November 2011 16:30
  • Hi,

    ich habe die Regel genau nach Anleitung eingerichtet, WMI Tester hat funktioniert.
    Aber nach einer Weile konnte das UAG Portal keine User mehr Authentifizieren?

    Nach dem zurückspielen der Konfig auf dem TMG funktioiniert alles wieder.
    Also ohne die beiden WMI Regel (RPC all und DPort 100003).

    Ich werde dies heute in einem Wartungsfenster beim Kunden noch genauer prüfen und eventuell mal mit NetMon schauen.

    Freitag, 18. November 2011 09:10
  • Hi,

    hast Du die angepasste WMI Regel in der TMG Konfig vor der Regel UAG "anchor begin" oder "anchor end" eingefuegt? Die TMG Regel darf nicht zwischen den von UAG generierten Regeln stehen!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 18. November 2011 11:33
  • Zum Abschluss,
    anlegen einer RPC Regel (entfernen des RPC Filters nur für die Regel (rechter Mausklick)), sowie das anschließende Erstellen eines neuen Protokolls und eintragen des dynamischen High Port (TMG Logging) in der Regel funktioniert.
    Bei unserem Kunden musste dies auf dem TMG und UAG Server eingetragen werden und seitdem funktionieren die WMI Abfragen.

    Wichtig wäre noch das der Rechner von dem Abgefragt werden soll, nicht in den Remoteverwaltungsrechner steht, da sonst die Systempolicys ziehen.

    Vielen Danke nochmal.


    Mittwoch, 28. Dezember 2011 14:59