none
Rete geografica, multi-forest, bidirectional external trusts e Forefront Client Security RRS feed

  • Domanda

  • Ciao a tutti, ho dei problemi a far comunicare pc di domini/foreste trusted con la console di FCS e volevo dei consigli...

    vi spiego la mia sit.

    Domini (func. lvl) (I nomi dei domini sono fittizi):

    • IT1 (2003 native) Verona
    • IT2 (2003 native) Verona
    • IT3 (2000 native) Brescia
    • IT4 (2003 native - SBS) Firenze
    • RO1 (2000 native) ORADEA
    • RO2 (2000 native) BUCAREST
    • RO3 (2000 native) TIMISOARA
    • RO4 (2000 native) CLUJ

    Tutti sono alla radice della propria foresta (situazione che ho trovato fatta...).

    il server FCS è in IT1

    esistono i seguenti trusts, CONVALIDATI dalla procedura in "domains and trusts":

    • IT1-IT2 infrastructure bidirectional transitive
    • ciascuno degli gli altri (a parte SBS, ovviamente)-IT1 external bidirectional non-transitive

    Ho seguito technet sul deployment del client via logonscript e applicazione delle policy con fcslocalpolicytool.exe.

     

    Purtroppo ho notato che il .reg che viene generato per esportare la policy a domini extra-forest contiene SOLO IL NOME NETBIOS del server e nessun altro riferimento.

    i client si sono installati, ma non comunicano con la console.

    Ho quindi modificato il .reg manualmente dopo la distribuzione e ho immesso il FQDN.

    non funziona.

    Ho creato uno script con psexec di sysinternals per il logon a ciascun client online per l'installazione manuale (clientsetup /CG ForefrontClientSecurity /MS <FQDN-server>), ciascuno con le credenziali di un admin del SUO dominio.

    i client si sono "reinstallati" e hanno cominciato a comunicare con la console.OK

    sono a metà strada con i client:

    • alcuni non hanno dato problemi
    • altri non permettono la connessione psexec (forse windows firewall)
    • altri non sono in dominio (alcuni PC della romania)
    • altri HANNO ESEGUITO lo script, ma NON comunicano con la console... non so perchè.

    Ho OVVIAMENTE già disattivato la mutual authentication, che ho visto possibile fonte dei problemi ed aggiornato le impostazioni degli agents.

     

    Per i client fuori dominio, diciamo che mi arrangio. ma per i client nei domini trusted che non funzionano nemmeno con l'installazione? Suggerimenti?

     

    Grazie a tutti.


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Tipo modificato Anca Popa giovedì 17 febbraio 2011 07:46 attesa di ulteriori feedback/ ricerca di una soluzione
    • Tipo modificato Diego Castelli martedì 22 febbraio 2011 12:27 E' una domanda.
    giovedì 10 febbraio 2011 11:00

Risposte

  • Ciao a tutti, ho risolto.

    Ho eseguito uno script con msiexec e la GUID del mom agent, riconfigurandolo per disattivare la Mutual Auth.

    si fa così:

    MsiExec.exe /I{F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v "C:\MOMRiconfig.log" CONFIG_GROUP="ForefrontClientSecurity" CONFIG_GROUP_OPERATION="ModifyConfigGroup" MANAGEMENT_SERVER="xxxx.xxxx.com" AM_CONTROL="Full" REQUIRE_AUTH_COMMN=0 REINSTALL="ALL"

     

    Lo si può mettere anche come logon script, mettendoci un bel IF NOT EXIST C:\MOMRiconfig.log  davanti.

     

    Quindi la situazione è questa: quando si deployano macchine su domini untrasted o in workgroup, se la topologia della rete richiede che la mutual auth. sia disattivata, per procedere all'installazione manuale si deve predisporre uno script che ALLA fine abbia l'istruzione msiexec per disattivare la mutual auth. sul configuration group.

     

    HTH someone in the future.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Contrassegnato come risposta Diego Castelli martedì 22 febbraio 2011 12:31
    • Modificato Diego Castelli martedì 22 febbraio 2011 12:56 anonimizzato
    martedì 22 febbraio 2011 12:31

Tutte le risposte

  • mi son scordatodi dire che, per limiti di banda sugli attraversamenti, solo IT2 punta al WSUS nella rete IT1 per gli agg.ti.

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    giovedì 10 febbraio 2011 11:02
  • La 1270 TCP e UDP è sempre aperta fra i clients FCS e il server ?

    ref: http://social.technet.microsoft.com/Forums/en/Forefrontclientsetup/thread/0b936f21-baa1-454c-8578-61b85f8c1edb

     


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 11 febbraio 2011 08:04
    Moderatore
  • Si, controllato e verificato e, dove possibile, impostato anche policy per aprire non solo la 1270, ma anche le "remote administration" e "Files and printer sharing" sui computers.Questo risolse problemi di computer in "non gestiti" anche se avevano l'agente installato, nella rete LOCALE del server.

    (tieni presente che mi rileggo sempre i requirements e le procedure di preparazione della rete e del server dalle guide technet, mentre installo prodotti Microsoft)

    Purtroppo alcuni domini sono 2000 e quindi non penso di poter creare una policy di windows firewall per i clients XP per loro.

    Creerò uno startup script con NETSH per abilitare le eccezioni servizi sopra citate....

    OT: intanto la cosa mi ha fatto anche scoprire che ci sono problemi di un DC orfano che non vuole cancellarsi nemmeno con la procedura ufficiale con adsiedit e ntdsutil... questo mi causa un errore quando lancio il psexec sui PC di quel dominio e... me li farò a mano con lo strumento aziendale di controllo remoto.. poi scheduleremo il rifacimento di dominio e stavolta (dato che lo faccio io, LOL) lo faccio sottodominio del padre oppure creo un sito specifico per quella sede e ci piazzo un DC del dominio del gruppo aziendale... LOL!

    Purtroppo rimangono i problemi di cui sopra... altri suggerimenti?

     

    Thanks!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 14 febbraio 2011 09:50
  • Purtroppo alcuni domini sono 2000 e quindi non penso di poter creare
    una policy di windows firewall per i clients XP per loro.

    Se non ricordo male esiste(va) un package che permette(va) di aggiungere
    alle GPO di 2000 le entries necessarie alla configurazione del firewall
    XP...
    si, ricordavo bene, eccoti i riferimenti

    http://www.windowsecurity.com/articles/Windows-XP-Group-Policy-Windows-2000-Domain-Part1.html

    http://www.windowsecurity.com/articles/Windows-XP-Group-Policy-Windows-2000-Domain-Part2.html

    ciao

    martedì 15 febbraio 2011 17:38
  • Ciao ObiWan, grazie.

    Siamo sulla stessa lunghezza d'onda :-), ho configurato giusto l'altro ieri degli script con netsh per aprire le porte e i servizi necessari su tutti i clients...****


    Alla fine mi son dovuto arrangiare ed ho creato degli scripts di deployment che, ricevendo una lista esportata dal mitico Look@LAN, determinano se ci sono host WINDOWS ONLINE che non sono presenti nell'elenco esportato (e modificato con le regexp di notepad++) dalla console MOM. Se queste condizioni si verificano lanciano psexec con le credenziali (stoccate in maniera sicura) dell'administrator di dominio del dominio dell'host. il psexec esegue/riesegue lo script di installazione e, piano piano, i computer sono comparsi quasi tutti nella finestra di approvazione manuale del mom...

    Purtroppo ho ancora problemi con il dominio SBS.

    Nella Vostra esperienza, avete mai affrontato la situazione in cui l'FCS server (o il MOM server) si trovavano su un dominio standard e c'erano clients appartenenti ad uno SBS? Perchè sembra che, nonostante abbia disattivato la mutual auth. sul server, questi clients non riescano ad entrare in com con il server... secondo me perchè l'installazione manuale (clientsetup /CG xxx /FS xxx) setta inizialmente l'agent per la mutual e non è in grado di capire che il server non la richiede (ci vorrebbe un "aggiorna impostazioni agente")....
    Secondo voi, configurare l'agente per disattivare la mutual via script? funzionerebbe? qualcuno sa come si fa?

    P.S.: ho creato anche uno script in batch (che funziona su XP e superiori) per la rimozione di software antivirus aziendale precedente solo se sono presenti i servizi di FCS client. Lo condivido qui per qualcun'altro che ne avesse bisogno (l'ho impostato come STARTUP script, per non aver problemi con i permessi).

    FOR /F "usebackq" %%a IN (`sc queryex ^| FINDSTR /C /I "fcsam fcssas"`) DO (
    if %%a EQU 2 (
     if EXIST "<path dell'eseguibile del vecchio AV>" (
      msiexec /x {<GUID DELL'APPLICAZIONE***>} <PARAMETRI_ADD> /q

     )
    )
    )

    *** reperibile da HKLM\software\microsoft\windows\uninstall

    **** i comandi necessari sono:
    NETSH FIREWALL SET SERVICE profile= ALL FILEANDPRINT ENABLE CUSTOM "localsubnet,<rete_di_mgmt>/<subnet_bits>"
    NETSH FIREWALL SET SERVICE profile= ALL REMOTEADMIN ENABLE CUSTOM "localsubnet,<rete_di_mgmt>/<subnet_bits>"

     

    Ciao a tutti e grazie come sempre del supporto!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    giovedì 17 febbraio 2011 09:49
  • Ciao a tutti,

     mi trovo dal cliente adesso e ho accesso allo script che riceve una lista generata da L@L e identifica gli host windows online (ho opportunamente filtrato le righe degli host che sono già managed in modo da avere, tra l'altro, un tempo di esecuzione ottimizzato) per "sparare" con psexec l'installazione dalla share di installazione (ci ho infilato un secondo batch che determina se il sistema è x64 e lancia il giusto "clientsetup")

     

    lo condivido con voi, magari qualcuno ne avrà bisogno. Contenuto di InstallaREte

    @echo OFF
    For /F "usebackq tokens=1,2,3,4,5,6,7,8,*" %%a IN ("xxx_PC3.txt") DO (
    REM echo 1 %%a echo 2 %%b echo 3 %%c echo 4 %%d echo 5 %%e echo 6 %%f

      if /I %%b EQU ONLINE (
       if /I %%e EQU WINDOWS (
        echo %date% - %time% - %%f >>registroesecuzioni.txt
        ..\pstools\psexec \\%%f -u xxxxxxxx\Administrator -p xxxxxxxx "\\xxxxx\forefrontshare\client\installa.bat"
       )
      )

    )
    pause

     

    contenuto di Installa.bat:

    IF /I %PROCESSOR_ARCHITECTURE% NEQ x86 (
    \\xxxxxxx\
    forefrontshare\client \x64\clientsetup /MS dgrbackup.degara.com /CG ForefrontClientSecurity
    ) else (
    \\xxxxxxx\ forefrontshare\client \ clientsetup /MS dgrbackup.degara.com /CG ForefrontClientSecurity
    )

     

     

    Vi terrò aggiornati anche su come va con la mutual auth.. Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 21 febbraio 2011 11:13
  • Ciao a tutti, ho risolto.

    Ho eseguito uno script con msiexec e la GUID del mom agent, riconfigurandolo per disattivare la Mutual Auth.

    si fa così:

    MsiExec.exe /I{F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v "C:\MOMRiconfig.log" CONFIG_GROUP="ForefrontClientSecurity" CONFIG_GROUP_OPERATION="ModifyConfigGroup" MANAGEMENT_SERVER="xxxx.xxxx.com" AM_CONTROL="Full" REQUIRE_AUTH_COMMN=0 REINSTALL="ALL"

     

    Lo si può mettere anche come logon script, mettendoci un bel IF NOT EXIST C:\MOMRiconfig.log  davanti.

     

    Quindi la situazione è questa: quando si deployano macchine su domini untrasted o in workgroup, se la topologia della rete richiede che la mutual auth. sia disattivata, per procedere all'installazione manuale si deve predisporre uno script che ALLA fine abbia l'istruzione msiexec per disattivare la mutual auth. sul configuration group.

     

    HTH someone in the future.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Contrassegnato come risposta Diego Castelli martedì 22 febbraio 2011 12:31
    • Modificato Diego Castelli martedì 22 febbraio 2011 12:56 anonimizzato
    martedì 22 febbraio 2011 12:31
  • > HTH someone in the future.

    Grazie a te... una sola nota; invece di LookAtLan, prova a fare
    un giro con http://www.mikrotik.com/thedude.php ho come la
    vaga impressione che potrebbe piacerti ;-)

    martedì 22 febbraio 2011 16:08
  • Sembra proprio promettente...

    Grazie ObiWan.


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    martedì 1 marzo 2011 15:00
  • > Sembra proprio promettente...

    Mi scuso per il ritardo... ad ogni modo...

    Il programma non sarà "carrozzato" come applicazioni
    di gestione dell'infrastuttura (mi viene in mente OpenView
    di HP tra le altre, insieme a NagiOS) ma per realtà nelle
    quali non siano necessarie determinate features, credo
    possa essere un'ottima soluzione... provalo e magari,
    se ti va, fai sapere :)

    martedì 8 marzo 2011 16:02
  • > Suggerimenti?

    non esattamente relativo al tuo problema specifico ma...

    http://technet.microsoft.com/en-us/library/bb727063.aspx

    ciao

    giovedì 10 marzo 2011 08:09