متخصص سرویس های مایکروسافت

آموزش محدود کردن پورتهای RPC و Certificate Enrollment در TMG

وقتی شما Certificateی را توسط Snap-in MMC درخواست دهید یا از Certificate AutoEnrollmetاستفاده کنید و بین شما و CA Server فایروالی وجود داشته باشد پروسه شما Fail می شود. (ما فرض می کنیم شما تنظیمات و مجوز لازم بر روی Certificate Tempateها را داشته باشید) چون CA Server از پروتکل DCOM برای ارتباط استفاده می کند و این پروتکل برای ارتباط از پورتها بصورت Random استفاده می کند.برای اینکه مشکل بالا را حل کنیم باید مراحل زیر را انجام دهیم:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای مشاهده تخفیف های ویژه امروز کلیک کنید

سرفصل های این مطلب

محدود کردن پورتهای مورد استفاده DCOM در CA Server
گزینه Enable strict RPC compliance را در TMG غیرفعال می کنیم
پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم
و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم

محدود کردن پورتهای مورد استفاده DCOM در CA Server.
گذینه Enable strict RPC compliance را در TMG غیرفعال می کنیم.
پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم.
و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم.

محدود کردن پورتهای مورد استفاده DCOM در CA Server

برای اینکار کنسول زیر را اجرا کنید:

محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG

پورتی را بنویسید که توسط برنامه یا سرویسی مورداستفاده قرار نگرفته باشد. بعد از ok کردن سرویس CA Server را ریستارت کنید.

گزینه Enable strict RPC compliance را در TMG غیرفعال می کنیم

برای اینکار گذینه زیر را غیرفعال کنید:

Firewall Policy=> Edit System Policy=> Active Directory=> Enable strict RPC compliance.

نکته: اگر درخواستهای Certificate Enrollment به یک TMG بالا دستی ارسال می شود گذینه Enable strict RPC compliance را بر روی Rule ایجاد شده غیرفعال کنید:

RPC Filter and Enable strict RPC compliance

https://blogs.technet.microsoft.com/isablog/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance/

پورتهای Custom شده در CA Server را در TMG ایجاد می کنیم

و در آخر Rule ارتباطی کلاینتها با CA Server را ایجاد می کنیم

ایجاد Access Rule در TMG را همه می دانند چگونه ایجاد می شود پس توضیح خاصی نمی دم.

در Rule بالا علاوه بر پورت 789 پورت 135 به نام RPC (all interfaces) را هم اضافه کردم. چرا باید اضافه کنم؟ وقتی سرویس RPC استارت می خورد یکی از پارمترهای خود به نام RPC endpoint mapper را نیز استارت می کند. RPC endpoint mapper از پورت 135 UDP/TCP استفاده می کند. وقتی که یک کلاینت بخواهد از سرویسی که از RPC استفاده میکند ارتباط برقرار کند نمی تواند تشخص دهد آن سرویس از چه پورتی استفاده می کند در چنین مواقعی کلاینت از RPC endpoint mapper استفاده می کند و آن را سمت سرور ارسال می کند و ارتباط را قطع می کند. در مرحله دوم سرور پورتهای که از آن استفاده می کند (پورتهای که در حالت Listener باشند) را سمت کلاینت ارسال می کند. که در مثال بالا CA Server پورت 789 را سمت کلاینت ارسال می کند. پس در نتیجه علاوه بر پورت 789 ما باید پورت 135 مربوط به RPC endpoint mapper را نیز اضافه کنیم.

Got it????

بعد از انجام مراحل بالا هر سرور یا کلاینتی که بین آن و CA Server فایروالی باشد می تواند لیست Certificate template را ببیند و بر روی خود اعمال کند.

چقدر خوبه یک فرد همه کاراش اصولی و با اطلاع کافی باشه...:)

منبع:

Certificate Enrollment Requires a Custom Protocol

http://www.isaserver.org/blogs/pouseele/isa-corner/certificate-enrollment-requires-a-custom-protocol-56.html

0 2

احمد جهلولی

متخصص سرویس های مایکروسافت

سایت شخصی من: https://msdeeplearn.net

نظرات

البرز - کرج - شاهین ویلا - نبش خیابان هفتم شرقی - مجتمع تجاری مهرگان - طبقه 6 - واحد 704

زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18

فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود

شماره تماس: 02634209662

پشتیبانی تلگرام: کلیک کنید

توسینسو (ToSinSo) مخفف کلمه های Total Single Solutions می باشد و یک مجموعه آموزشی تخصص محور در حوزه فناوری اطلاعات بصورت آنلاین بوده که بیش از ده سال از فعالیت آن به زبان فارسی می گذرد. ارائه بهترین منابع آموزش شبکه ، آموزش لینوکس ، آموزش برنامه نویسی ، آموزش مجازی سازی ، آموزش هک و تست نفوذ و امنیت اطلاعات با همکاری اساتید بین المللی و حرفه ای از جمله مهمترین خدمات آموزشگاه توسینسو می باشد.

کلیه حقوق این وب سایت متعلق به مجموعه توسینسو است