Knowledge Bees - Giving Myself A Break!

About Guides FAQs

Font Size

Layout

Menu Style

Apply Reset  
Cpanel

System Center News

Latest Articles

I Promote

A clear company policy and vision
Clearly described processes
ITIL/PRINCE is a tool not a target
Pro-Active Systems Management
System Center Products
Active Knowledge Base usage

DPM 2010 - Back-Up non-domain clients in een DMZ achter een ISA 2006 of TMG 2010

  • Afdrukken
( 0 Votes ) 
Gebruikerswaardering:  / 0
ZwakZeer goed 
Gegevens
Categorie: System Center
woensdag 07 december 2011 20:29 Gepubliceerd op woensdag 07 december 2011 20:29 Marthijn van Rheenen Hits: 382

Veel netwerken hebben nog een DMZ. (Demilitarized Zone) Deze DMZ is vaak afgeschermd door een firewall. Op het moment dat we servers in deze DMZ willen beschermen met DPM 2010 zullen er wat aanpassingen gemaakt moeten worden op deze firewall en moeten de agents op een iets andere manier worden geïnstalleerd. Dit artikel beschrijft de configuratie van een ISA 2006/TMG 2010 firewall en installatie van agents in de DMZ.

Configuratie ISA2006/TMG 2010

  1. We beginnen met het aanmaken van computer objecten van alle DMZ servers en de DPM 2010 server.
  2. Maak twee "custom protocols" aan:
    1. RPC-UUIDS (135/TCP) Voeg de onderstaande UUID's toe onder de interfaces van dit protocol:
      1. MSDPM AC:
        {C4EBD674-1457-4B79-BE30-B04735AED9D1}
        {A3B9D3F4-2477-4F95-B2D1-F75B0FDF2A2F}
      2. DPM RA:
        {DA6AA17A-D61C-4E9C-8CEA-DB25DEA52A95}
        {2DF31D97-33CC-4966-8FF9-F47C90F7D0F3}
      3. MSDPM:
        {27F60283-447F-4D5F-AA84-F45D09BD06EF}
        {8D8C691A-AFE6-4EA3-A6B2-F3E5EF1BD0CA}
      4. DPM LA:
        {1B308A4A-FFEC-4C85-957C-53AA1DCC696F}
        {9E6C5356-B180-4295-888C-5A99E505420F}
    2. SMB 445 (445/TCP)
    3. DPMRA (3148/TCP 3149/TCP 5718TCP 5719/TCP – 3148/UDP 3149/UDP 5718/UDP 5719/UDP)
  3. Als deze zijn aangemaakt maken een we een access rule aan die verkeer toe staat van en naar de aangemaakte computer objecten.
  4. Voeg de volgende protocollen toe aan de access rule:
    DNS
    DPMRA
    Kerberos-Sec (TCP)
    Kerberos-Sec (UDP)
    NetBIOS Datagram
    NetBIOS Name Service
    NetBIOS Session
    RPC Server (alle interfaces)
    RPC-UUIDS
    SMB 445

    Een beschijving van de door DPM 2010 gebruikte protcollen vind je terug op de Microsoft site: http://technet.microsoft.com/en-us/library/ff399341.aspx
  5. RPC beveiliging aanpassen. Rechts klik op de access rule en kies "Configure RPC protocol". Haal het vinkje weg bij "Enforce strict RPC compliance"
  6. Zorg dat de rule bovenaan in de toepasbare access rules staat.

Installeren van de agents op de DMZ servers.

Aangezien deze servers geen lid van het domein zijn wijken de installatie stappen af van de "normale".

  1. Installeer de juiste agent op de DMZ servers. (Houd rekening met een eventuele benodigde reboot)
  2. Voer het volgende commando uit:

    SetDPMServer.exe -DPMServerName-IsNonDomainServer -UserName

    Je krijgt de vraag om het wachtwoord van het lokale account in te voeren.
    De juiste Windows firewall settings worden nu gemaakt en de agent weet met welke DPM server hij moet communiceren.
  3. Nu moet de in DPM de DMZ servers "attachen". Dit kan via de GUI. Let op dat je de radio button op "Computer in workgroup or non trusted domain" zet. Gebruik het lokale account van de desbetreffende server.

    Plaats een reactie...

    U bevindt zich hier: Home System Center DPM 2010 - Back-Up non-domain clients in een DMZ achter een ISA 2006 of TMG 2010