Skip to content

DPM 2010 – Back-Up non-domain clients in een DMZ achter een ISA 2006 of TMG 2010

December 7, 2011

Veel netwerken hebben nog een DMZ. (Demilitarized Zone) Deze DMZ is vaak afgeschermd door een firewall. Op het moment dat we servers in deze DMZ willen beschermen met DPM 2010 zullen er wat aanpassingen gemaakt moeten worden op deze firewall en moeten de agents op een iets andere manier worden geïnstalleerd. Dit artikel beschrijft de configuratie van een ISA 2006/TMG 2010 firewall en installatie van agents in de DMZ.

Configuratie ISA2006/TMG 2010

  1. We beginnen met het aanmaken van computer objecten van alle DMZ servers en de DPM 2010 server.
  2. Maak twee “custom protocols” aan:
    1. RPC-UUIDS (135/TCP) Voeg de onderstaande UUID’s toe onder de interfaces van dit protocol:
      1. MSDPM AC:
        {C4EBD674-1457-4B79-BE30-B04735AED9D1}
        {A3B9D3F4-2477-4F95-B2D1-F75B0FDF2A2F}
      2. DPM RA:
        {DA6AA17A-D61C-4E9C-8CEA-DB25DEA52A95}
        {2DF31D97-33CC-4966-8FF9-F47C90F7D0F3}
      3. MSDPM:
        {27F60283-447F-4D5F-AA84-F45D09BD06EF}
        {8D8C691A-AFE6-4EA3-A6B2-F3E5EF1BD0CA}
      4. DPM LA:
        {1B308A4A-FFEC-4C85-957C-53AA1DCC696F}
        {9E6C5356-B180-4295-888C-5A99E505420F}
    2. SMB 445 (445/TCP)
    3. DPMRA (3148/TCP 3149/TCP 5718TCP 5719/TCP – 3148/UDP 3149/UDP 5718/UDP 5719/UDP)
  3. Als deze zijn aangemaakt maken een we een access rule aan die verkeer toe staat van en naar de aangemaakte computer objecten.
  4. Voeg de volgende protocollen toe aan de access rule:
    DNS
    DPMRA
    Kerberos-Sec (TCP)
    Kerberos-Sec (UDP)
    NetBIOS Datagram
    NetBIOS Name Service
    NetBIOS Session
    RPC Server (alle interfaces)
    RPC-UUIDS
    SMB 445

    Een beschijving van de door DPM 2010 gebruikte protcollen vind je terug op de Microsoft site: http://technet.microsoft.com/en-us/library/ff399341.aspx

  5. RPC beveiliging aanpassen. Rechts klik op de access rule en kies “Configure RPC protocol”. Haal het vinkje weg bij “Enforce strict RPC compliance”
  6. Zorg dat de rule bovenaan in de toepasbare access rules staat.

Installeren van de agents op de DMZ servers.

Aangezien deze servers geen lid van het domein zijn wijken de installatie stappen af van de “normale”.

  1. Installeer de juiste agent op de DMZ servers. (Houd rekening met een eventuele benodigde reboot)
  2. Voer het volgende commando uit:

    SetDPMServer.exe -DPMServerName-IsNonDomainServer -UserName

    Je krijgt de vraag om het wachtwoord van het lokale account in te voeren.
    De juiste Windows firewall settings worden nu gemaakt en de agent weet met welke DPM server hij moet communiceren.

  3. Nu moet de in DPM de DMZ servers “attachen”. Dit kan via de GUI. Let op dat je de radio button op “Computer in workgroup or non trusted domain” zet. Gebruik het lokale account van de desbetreffende server.
Advertisements

From → System Center

Leave a Comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: