Archives for

TMG | FTP Fehler Code 502 / Status 12015

Beim Zugriff über den TMG (als Proxy) auf einen FTP-Server kommt es zur Fehlermeldung 502. In der TMG-Protokollierung wird der FTP-Traffic mit Status 12015 geblockt.

Um auf den FTP-Server zugreifen zu können, muss Benutzer & Kennwort bereits in der URL mitgegeben werden:

 ftp://Benutzer:geheimesPasswort@ftpserver.com

 

Quelle

Read More

TMG | VPN-Client kann nicht auf interne Subnetze zugreifen

Ein Client kann erfolgreich eine  VPN-Verbindung zum TMG herstellen und hat Zugriff auf das direkt verbundene, interne Netzwerk des TMG (z.B. 192.168.1.0/24). Beim Verbindungsversuch mit Ressourcen in anderen internen Netzwerken (nicht direkt mit dem TMG verbunden) kommt es zu einer Netzwerkfehlermeldung (Auf \\<server>\<freigabe> konnte nicht zugegriffen werden. Vergewissern Sie sich, dass der Name richtig geschrieben wurde. Möglicherweise besteht ein Netzwerkfehler. Klicken Sie auf “Diagnose”, um die Netzwerkprobleme zu identifizieren und zu beheben.).

Auf dem Windows-Client muss in den erweiterten Netzwerkeinstellungen der VPN-Verbindung der Haken “Standardgateway für das Remotenetzwerk verwenden” gesetzt sein:

> VPN-Eigenschaften
> Reiter “Netzwerk”
> IPv4-Eigenschaften
> Erweitert
> Reiter “IP-Einstellungen”
> Haken “Standardgateway für das Remotenetzwerk verwenden”

Anschließend die geöffneten Fenster mit OK bestätigen und die VPN-Verbindung ggf. neu starten.

Read More

PKI | Certificate AutoEnrollment Ereignis-ID 6 und 13

Ausgangssituation:
Windows Server 2008 R2           als ausstellende Zertifizierungsstelle
Windows 7                                 als anfordernder Client
TMG 2010                                 als Firewall zwischen Server- und Clientnetzwerk

Client soll automatisiert ein Computerzertifikat erhalten; eine entsprechende Gruppenrichtlinie ist eingerichtet und wird auch vom Client gezogen. Der Computer erhält jedoch kein Zertifikat und in der Ereignisanzeige erscheinen die beiden Fehlermeldungen:

Ereignis-ID: 6
Quelle: CertificateServicesClient-AutoEnrollment
Bei der automatischen Zertifikatregistrierung für lokales System ist ein Fehler aufgetreten (0x800706ba) Der RPC-Server ist nicht verfügbar. 


Ereignis-ID: 13
Quelle: CertificateServicesClient-CertEnroll
Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat Machine mit der Anforderungs-ID N/A von server.contoso.com\Root-CA (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722)) registrieren.

Ein manuelles Anfordern des Computerzertifikats über die MMC schlägt ebenfalls fehl:

Eine Firewallregel ist auf dem TMG eingerichtet, die den Zugriff über RPC vom Clientnetzwerk auf das Servernetzwerk (bzw. den einen Server im anderen Netzwerk) erlaubt. In diesem Fall dürfen 2 Clients auf den Exchange zugreifen, der zugleich die Rolle der Zertifizierungsstelle inne hält:

Die Protokollierung des TMG zeigt während zum Zeitpunkt der Zertifikatsanforderung den Zugriff über Port 135 und keine Fehler:

Da TMG in RPC-Regeln eine „Strikte RPC-Einhaltung erzwingt“, muss über das Kontextmenü der Firewallregel….

….und der dort befindlichen RPC-Protokollrichtlinie die strikte RPC-Einhaltung deaktiviert werden:

In der TMG-Protokollierung ist nun ersichtlich, dass nicht nur über Port 135 sondern einen beliebigen Portzwischen 1024 und 65535 gesprochen wird (im Beispiel über Port 15968):

Da sich dieser Port bei der nächsten Zertifikatsanforderung ändern kann, muss die Zertifizierungsstelle auf einen festen Port konfiguriert werden. Anschließend muss dieser Port über ein benutzerdefiniertes Protokoll im TMG eingerichtet und der RPC-Regel hinzugefügt werden.

Dazu auf der Zertifzierungsstelle:
> Ausführen | dcomcnfg.exe | [ENTER]
> Komponentendienste | Computer | Arbeitsplatz | DCOM-Konfiguration
> Rechstklick: CertSrv Request | Eigenschaften | Reiter „Endpunkte“
> Hinzufügen | Statischen Endpunkt verwenden … (beliebigen Port zwischen 1024 und
65535 wählen, im Beispiel diesmal Port 15961. Somit können wir prüfen ob die
Einstellungen greifen.) | OK | OK

Anschließend über die Kommandozeile:
1) certutil -setreg ca\interfaceflags +0×8
2) net stop certsvc & net start certsvc
 

Auf dem TMG ein Protokoll wie folgt anlegen (bzw. mit anderem gewählten Port)….

… und anschließend der RPC-Regel hinzufügen.

Danach klappt es auch mit dem Zertifikat ;)

Quellen:
Technet Wiki
Technet Blog
isaserver.org

Read More