none
Проблемы RPC-фильтра в ISA 2004 RRS feed

  • Вопрос

  • Доброго времени суток.

    Имеется два офиса связанных через VPN Site-to-site. VPN в каждом офисе реализован спощью Microsoft ISA 2004 EE. Лес и домен один.

    В одном офисе настроен CA. Так же через GPO настроена автоматическая подача заявки на сертификат как серверам, так и клиентским станциям. Из удаленного офиса ни одна машина не смогла получить сертификат, более того сама машина на которой установлен ISA 2004, из того же офиса где установлен CA, не смогла получить сертификат. Проблему частично, но не всегда можно решить отключением RPC-фильтра на ISA, но это не всегда работает и повлечет за собой проблемы в других приложениях которые по RPC связываются с удаленными офисами.

    Кто и как решает данную проблему. И может кто видел официальный документ от Microsoft?

    Спасибо.

    17 декабря 2006 г. 2:09

Ответы

  • В firewall policy снять галку Enforce strict RPC compilance в настройках rpc протокола. Это нужно делать для правил, разрешающих rpc траффик между сетями
    18 декабря 2006 г. 15:09

Все ответы

  • А если в удаленном офисе развернуть подчиненный CA?
    18 декабря 2006 г. 7:13
    Модератор
  • Service Pack на ISA установлен?

    Если нет, то ISA не знает о расширении RPC, которое появилось в Win2K3 SP1, а потому RPC-фильтр блокирует вполне легитимный трафик с компьютером под управлением Win2K3 SP1.

    Проблема исправлена в ISA SP1.

    http://support.microsoft.com/kb/887222/en-us

    18 декабря 2006 г. 8:03
  • Безусловно установлен.

    В сети развернут WSUS и соответственно все то, что распространяется Microsoft через WSUS ставиться на рабочие и серверные станции.

    ISA 2004 EE SP2 (4.0.3439.50)

    18 декабря 2006 г. 13:01
  • Сделать можно почти все - но если в этом смысл?!

    Вот если все таки ничего не поможет - тогда буду думать на счет подчиненного CA. Но перед этим будет шаг перехода на ISA 2006. Может кто подскажет - решена ли в этой версии проблема RPC-фильтра?

    18 декабря 2006 г. 13:03
  • В firewall policy снять галку Enforce strict RPC compilance в настройках rpc протокола. Это нужно делать для правил, разрешающих rpc траффик между сетями
    18 декабря 2006 г. 15:09
  • Все гениальное - просто!

    Спасибо вам Павел за ответ который решил мою проблему. Достаточно было создать правило разрешающее хождение трафика из одной сети в другою по RPC протоколу и снять вышеозвученную галочку как все заработало. Что касается серверов где установлены ISA то там нужно поправить в System Policy раздел названный как Active Directory.

    Спасибо.

    Тему можно считать закрытой!

    18 декабря 2006 г. 21:02
  • Я бы на вашем месте пометил бы совет Павла как ответ.
    19 декабря 2006 г. 5:30