در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

محدود کردن پورتهای RPC و ترافیک Certificate Enrollment در TMG

وقتی شما Certificateی را توسط Snap-in MMC درخواست دهید یا از Certificate AutoEnrollmetاستفاده کنید و بین شما و CA Server فایروالی وجود داشته باشد پروسه شما Fail می شود. (ما فرض می کنیم شما تنظیمات و مجوز لازم بر روی Certificate Tempateها را داشته باشید) چون CA Server از پروتکل DCOM برای ارتباط استفاده می کند و این پروتکل برای ارتباط از پورتها بصورت Random استفاده می کند.برای اینکه مشکل بالا را حل کنیم باید مراحل زیر را انجام دهیم:

  1. محدود کردن پورتهای مورد استفاده DCOM در CA Server.
  2. گذینه Enable strict RPC compliance را در TMG غیرفعال می کنیم.
  3. پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم.
  4. و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم.

  5. محدود کردن پورتهای مورد استفاده DCOM در CA Server


برای اینکار کنسول زیر را اجرا کنید:

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

پورتی را بنویسید که توسط برنامه یا سرویسی مورداستفاده قرار نگرفته باشد. بعد از ok کردن سرویس CA Server را ریستارت کنید.


گذینه Enable strict RPC compliance را در TMG غیرفعال می کنیم


برای اینکار گذینه زیر را غیرفعال کنید:

Firewall Policy=> Edit System Policy=> Active Directory=> Enable strict RPC compliance.

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

نکته: اگر درخواستهای Certificate Enrollment به یک TMG بالا دستی ارسال می شود گذینه Enable strict RPC compliance را بر روی Rule ایجاد شده غیرفعال کنید:

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

RPC Filter and Enable strict RPC compliance

https://blogs.technet.microsoft.com/isablog/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance/

پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم


محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG


و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم


ایجاد Access Rule در TMG را همه می دانند چگونه ایجاد می شود پس توضیح خاصی نمی دم.

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

در Rule بالا علاوه بر پورت 789 پورت 135 به نام RPC (all interfaces) را هم اضافه کردم. چرا باید اضافه کنم؟ وقتی سرویس RPC استارت می خورد یکی از پارمترهای خود به نام RPC endpoint mapper را نیز استارت می کند. RPC endpoint mapper از پورت 135 UDP/TCP استفاده می کند. وقتی که یک کلاینت بخواهد از سرویسی که از RPC استفاده میکند ارتباط برقرار کند نمی تواند تشخص دهد آن سرویس از چه پورتی استفاده می کند در چنین مواقعی کلاینت از RPC endpoint mapper استفاده می کند و آن را سمت سرور ارسال می کند و ارتباط را قطع می کند. در مرحله دوم سرور پورتهای که از آن استفاده می کند (پورتهای که در حالت Listener باشند) را سمت کلاینت ارسال می کند. که در مثال بالا CA Server پورت 789 را سمت کلاینت ارسال می کند. پس در نتیجه علاوه بر پورت 789 ما باید پورت 135 مربوط به RPC endpoint mapper را نیز اضافه کنیم.

Got it????

بعد از انجام مراحل بالا هر سرور یا کلاینتی که بین آن و CA Server فایروالی باشد می تواند لیست Certificate template را ببیند و بر روی خود اعمال کند.

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

چقدر خوبه یک فرد همه کاراش اصولی و با اطلاع کافی باشه...:)

منبع:

Certificate Enrollment Requires a Custom Protocol

http://www.isaserver.org/blogs/pouseele/isa-corner/certificate-enrollment-requires-a-custom-protocol-56.html

نویسنده: احمد جهلولی

#publish_کردن_crl_در_tmg #محدود_کردن_پورتهای_rpc #آموزش_tmg_2010 #محدود_کردن_پورتهای_مورد_استفاده_در_ca #محدود_کردن_rpc_در_tmg #ایجاد_پورت_در_tmg #نوشتن_rule_در_tmg #certificate_enrollment_در_tmg
عنوان
1 پابلیش کردن HTTPS Web Server در TMG Server 2010 رایگان
2 محدود کردن پورتهای RPC و ترافیک Certificate Enrollment در TMG رایگان
3 پابلیش کردن لیست CRL مربوط به CA Server در TMG رایگان
4 پابلیش کردن سرور DirectAccess در فایروال TMG رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....