WMI Abfragen zu Forefront TMG erlauben fuer VAMT Zugriff

Hallo Leutz,

basierend auf den Blogeintrag: http://blog.forefront-tmg.de/?p=741 gab es heute eine Nachfrage von Gaylord Josupeit wie man Forefront TMG und VAMT (Volume Activation Management Tool) dazu bekommt miteinander zu sprechen. Lest hier, wie Gaylord Josupeit das Problem geloest hat:
Ausgangsproblem:
“Ich versuche grad, mein FF TMG nach deinem PDF anzupassen. Das Ganze scheitert aber darzeit daran, dass ich trotz deaktiviertem “Enforce-strict-RPC-compliance” keine zweite Verbindung vom TMG zum WMI-Server herstellen kann, bzw. der TMG sich weigert, eine solche aufzubauen. Konkret geht es um VAMT, das auf meinem DC mitläuft. Alle anderen Server werden vom VAMT sauber erkannt, registriert und aktiviert, nur für das TMG krieg ich immer nur “Unable to connect to the WMI service on the remote machine.”

Loesungsansatz von Gaylord Josupeit: “Das Problem mit TMG und WMI ist nämlich, dass es zwei Computergruppen gibt, deren Mitglieder keine RPC-Anfrage an TMG stellen dürfen, oder anders ausgedrückt, läßt TMG diese Anfragen anscheinend einfach ins Leere laufen, auch wenn Sie im Log erscheinen.
Diese beiden Gruppen sind „Remote Management Computer“ und „Enterprise Remote Management Computers“. Da ich in meinem Fall ja eine AD-Domäne betreibe(ich schrieb ja, dass VAMT auf dem DC läuft), steht der DC automatisch über das „Internal“-Subnet in der „Enterprise Remote Management Computers“-Gruppe und darf daher keine RPC-Verbindung aufbauen(Warum auch immer?!)
Mein Workaround war nun folgendes:
Da ich in der selbsterstellten Access-Rule für den RPC-Zugriff keine Möglichkeit habe, die Computergruppen anzupassen, mußte ich eine andere Alternative finden:
In den System-Policy-Rules gibt es (standardmäßig) als zweite Regel „Allow remote management from selected computers using MMC“, in der schon systemseitig das RPC-Protocol genutzt wird.
Über „Properties -> From“ sieht man die Computer-Gruppen, die man hier editieren kann. In den Eigenschaften der Enterprise Remote Management Computers findet man dann das „Internal LAN“, dass man hier dann in zwei LAN’s aufsplitten kann, schön um die IP des DC herum.
Hier reicht es nicht aus, einfach den DC im unteren Fenster als „Exception“ einzutragen, das wird anscheinend ignoriert.
Und dann funktioniert der Rest genauso, wie Du es in deinem PDF beschrieben hast!!

Den entscheidenden Hinweis hab ich übrigens hier her:
http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx

Und hier auch auch die notwendigen Aenderungen an der Firewall:
Forefront TMG 2010 für KMS-Verwaltung via VAMT einrichten

1. Neue Firewall-Regel erstellen:
    Name: WMI Access
    Action: Allow
    Protocol: RPC (all interfaces)
    From/Listener: (Der Computer, auf dem VAMT installiert ist
    To: Localhost
    Condition: All Users
    Policy:  Array
2. Im RPC-Protokoll „Enforce Strict RPC Compliance“ deaktivieren
3. Die erstellte FW-Regel erweitern um ein benutzerdefiniertes Protocol mit Port 10002 TCP, Direction outbound.
4. In den System Policy Rules nach einer Regel suchen, die das RPC(all interfaces) Protokoll beinhaltet:
      Dort dann „Properties->From“ die Gruppe „Enterprise Remote Management Computers“ editieren.
      Das vorhandene „Internal LAN“ aufsplitten, so dass der VAMT-Computer ausgeschlossen wird.
5. Nun sollte VAMT Zugriff auf den TMG haben.

Gruss Marc und danke an Gaylord Josupeit