DPM Agent через VPN соединение

Представим такую ситуацию: есть домен domain.inner, распределённый по нескольким физическим площадкам. На площадках внешние сервера управляются FF TMG 2010, между которыми настроены VPN. На одной из площадок развернут сервер DPM 2007/2010. DPM агенты на серверах или рабочих станциях той же площадки работают нормально, а обращение к DPM агентам на компьютерах удаленных площадок завершается с такой ошибкой:

Сведения об ошибке операции DPM агента
Ошибка DPM агента

На самом деле, доступ DPM агента через VPN блокируется сервером TMG, который не разрешает протокол DCOM. В статье автора Sean McDonough описано решение проблемы, когда DPM агент не может защитить TMG сервер. В нашем случае распределенного домена необходимо снять флажок Требовать строго соответствия RPC/Enforce strict RPC compliance у таких трех правил:

1. На внешнем сервере TMGServer1, за которым находится DPM сервер:

  • Системное правило 22. Разрешить отправлять RPC-запросы с сервера Forefront TMG на доверенные серверы/Allow RPC from Forefront TMG to trusted servers.
  • Разрешить доступ между VPN2 и внутренней сетью/Allow access between VPN2 and Internal network, где VPN2 – имя VPN подключения к удаленной площадке.

2. На внешнем сервере TMGServer2, за которым находится защищаемый сервер или рабочая станция:

  • Разрешить доступ между VPN1 и внутренней сетью/Allow access between VPN1 and Internal network, где VPN1 – имя VPN подключения к основной площадке.

Если правила доступа между VPN1/VPN2 и внутренней сетью настроены точнее, чем “весь исходящий трафик”, то в статье автора Richard Hicks описаны минимальные необходимые протоколы и настройка портов для RPC соединений.

Это же решение применимо к ситуации двух различных доменов. Рассмотрим не один распределенный домен, а два различных домена domain1.inner и domain2.inner, при этом несколько ноутбуков из домена domain1.inner основное время работают в сети под управлением домена domain2.inner. Для корректного функционирования DPM агентов необходимо выполнить такие же настройки, и позаботится о разрешаемости имен ноутбуков во время их подключения в сеть domain2.inner.


1. Все используемые IP-адреса, имена серверов, компьютеров, доменов, являются фиктивными и используются исключительно в демонстрационных целях.
2. Информация приводится “AS IS”.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s