درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

0 نظرات
33 بازدیدها
وقتی شما Certificateی را توسط Snap-in MMC درخواست دهید یا از Certificate AutoEnrollmetاستفاده کنید و بین شما و CA Server فایروالی وجود داشته باشد پروسه شما Fail می شود. (ما فرض می کنیم شما تنظیمات و مجوز لازم بر روی Certificate Tempateها را داشته باشید) چون CA Server از پروتکل DCOM برای ارتباط استفاده می کند و این پروتکل برای ارتباط از پورتها بصورت Random استفاده می کند.برای اینکه مشکل بالا را حل کنیم باید مراحل زیر را انجام دهیم:
  1. محدود کردن پورتهای مورد استفاده DCOM در CA Server.
  2. گذینه Enable strict RPC compliance را در TMG غیرفعال می کنیم.
  3. پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم.
  4. و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم.

  5. محدود کردن پورتهای مورد استفاده DCOM در CA Server


برای اینکار کنسول زیر را اجرا کنید:
Image

Image

Image

Image

پورتی را بنویسید که توسط برنامه یا سرویسی مورداستفاده قرار نگرفته باشد. بعد از ok کردن سرویس CA Server را ریستارت کنید.

گذینه Enable strict RPC compliance را در TMG غیرفعال می کنیم


برای اینکار گذینه زیر را غیرفعال کنید:
Firewall Policy=> Edit System Policy=> Active Directory=> Enable strict RPC compliance.
Image

نکته: اگر درخواستهای Certificate Enrollment به یک TMG بالا دستی ارسال می شود گذینه Enable strict RPC compliance را بر روی Rule ایجاد شده غیرفعال کنید:
Image

RPC Filter and Enable strict RPC compliance

https://blogs.technet.microsoft.com/isablog/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance/

پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم


Image

Image


و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم


ایجاد Access Rule در TMG را همه می دانند چگونه ایجاد می شود پس توضیح خاصی نمی دم.
Image

در Rule بالا علاوه بر پورت 789 پورت 135 به نام RPC (all interfaces) را هم اضافه کردم. چرا باید اضافه کنم؟ وقتی سرویس RPC استارت می خورد یکی از پارمترهای خود به نام RPC endpoint mapper را نیز استارت می کند. RPC endpoint mapper از پورت 135 UDP/TCP استفاده می کند. وقتی که یک کلاینت بخواهد از سرویسی که از RPC استفاده میکند ارتباط برقرار کند نمی تواند تشخص دهد آن سرویس از چه پورتی استفاده می کند در چنین مواقعی کلاینت از RPC endpoint mapper استفاده می کند و آن را سمت سرور ارسال می کند و ارتباط را قطع می کند. در مرحله دوم سرور پورتهای که از آن استفاده می کند (پورتهای که در حالت Listener باشند) را سمت کلاینت ارسال می کند. که در مثال بالا CA Server پورت 789 را سمت کلاینت ارسال می کند. پس در نتیجه علاوه بر پورت 789 ما باید پورت 135 مربوط به RPC endpoint mapper را نیز اضافه کنیم.

Got it????

بعد از انجام مراحل بالا هر سرور یا کلاینتی که بین آن و CA Server فایروالی باشد می تواند لیست Certificate template را ببیند و بر روی خود اعمال کند.
Image

چقدر خوبه یک فرد همه کاراش اصولی و با اطلاع کافی باشه...:)

منبع:

Certificate Enrollment Requires a Custom Protocol

http://www.isaserver.org/blogs/pouseele/isa-corner/certificate-enrollment-requires-a-custom-protocol-56.html

نویسنده: احمد جهلولی
برچسب ها
ردیف عنوان قیمت
1 پابلیش کردن HTTPS Web Server در TMG Server 2010 رایگان
2 محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG رایگان
3 پابلیش کردن لیست CRL مربوط به CA Server در TMG رایگان
4 پابلیش کردن سرور DirectAccess در فایروال TMG رایگان
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید

    arrow