locked
BO TMG RPC Fehler RRS feed

  • Frage

  • Moin,

    in einem BO steht ein TMG der VPN zum HQ macht. Über PSK läuft alles, kein Problem. Nun möchte ich das ganze via zertifikat machen. Es gibt eine Enterprise CA die auch soweit läuft.

    Wenn ich im Snap In Zertifikate (Lokaler Computer) ein IPSec Zertifikat anfordere kommt RPC Fehler, genauso bei Computerzertifikat. Wer jetzt denkt, lös ich, soweit war ich schon.

    In den Systemrichtlinien ist die strikte RPC Einhaltung deaktiviert. genauso die RPC Filter auf den Regeln für den VPN Tunnel.

    Die anderen BO Clients haben keine Probleme ein Zertifikat anzufordern. Der TMG erreicht auch die CA.

    Hat jemand eine Idee?

    Danke und Grüße

    Systemumgebung:

    Server2008r2 Member und TMG aktuell gepatcht.

    Montag, 2. Mai 2011 09:03

Alle Antworten

  • Hallo,

    hast du mal den RPC-Filter unter System->Anwendungsfilter deaktiviert?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 09:24
  • moin snr,

    zumindest vom tmg (localhost) funkt das wie folgt: strikte rpc in den systemrichtlinien ausschalten und dann bau ich immer temporär eine any-regel von localhost zu pki. dann setze ich den request ab und lösche danach die any-regel.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 2. Mai 2011 09:27
  • Hi SNR_1,

    den RPC Filter brauchst Du unter TMG nicht mehr deaktivieren. Bei ISA musste das (leider) noch so sein. Also eine Zugriffsregel erstellen, welche die benoetigten Protokolle erlaubt und da dann die "Strict RPC Compliance" ausschalten in der Regel.
    http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 2. Mai 2011 10:23
  • Ist noch in Arbeit, dafür habe ich ein anderes Problem festgestellt.

    Im BO klappt keine LDAP Sync. zwischen den Domänencontrollern (RODC) zum HQ. (zwei DC, sync zwischen den beiden im HQ ohne Probleme)

    Das äussert sich durch folgende Fehler:

    - Outlook will alle paar Stunden neue Anmeldedaten

    - Netzlaufwerke und andere Sachen kann ich nicht per FQDN verbinden, Fehler 53, der angegebene Netzwerkname ist schon vorhanden

    - Fehlerhafte Sync. zwischen den Domänencontrollern

    - Wenn ich im BO neue Maschinen in die Domäne nehmen will (Server2008r2, Win7x64) erscheint beim ersten versuch die normale Abfrage wer die MAschine in die Domäne nehmen will, tipper ich ein, dann kommt die Fehlermeldung, der Netzwerkname wurde nicht mehr gefunden, beim zweiten Versuch klappt es dann mit folgenden Fehler,

     

    Fehler beim Ändern des DNS-Namens für die primäre Domäne

    dieses Computers in "" . Name "mydomain.local" wird beibehalten.

    Fehler:

    Der angegebene Server kann den angeforderten Vorgang nicht

    ausführen.

     

    Alle DC laufen auf Server2008r2, Netbios deaktiviert, IPv6 deaktiviert

     

    Das ganze tritt auf seit ich die zwei VPN Router (Bintec r1202) durch TMG erstetzt habe.

     

    DIe Site to Site VPN wurde nach Handbuch vorgenommen, die Firewallregel zwischen den Standortren sagt, alles durchlassen, auf beiden Seiten. RPC Filter-> strikte RPC Einhaltung wurde deaktiviert auf beiden Seiten?

    Für Hilfe wäre ich echt dankbar.

     

    Viele Grüße

    Dienstag, 21. Juni 2011 21:17
  • Hi,

    das Netzwerkverhaeltnis im Site to Site Tunnel ist Route?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 22. Juni 2011 03:19
  • Moin,

    und ja.

     

    Grüße

    Mittwoch, 22. Juni 2011 06:23