Странные умолчания ISA
В конце 2008 года решил повнимательнее посмотреть логи всех серверов и попытаться все ошибки пролечить.
И на всех контроллерах домена (на разных сайтах связанных VPN) была ошибка 10009 от DCOM:
DCOM was unable to communicate with the computer xxx using any of the configured protocols.
Небольшой тест с помощью wbemtest показал, что да, действительно DCOM через VPN не проходит.
Первое, что обнаружилось - отключенный сервис Remote Registry. Включил - но помогло мало.
После долгих поисков по интернету обнаружилось, что по умолчанию в ISA для правил фильтр RPC настроен странно. Стоит включенная галка "Enforce strict RPC compliance". И примечание "When this checkbox is not selected, the filter will allow additional RPC type protocols, such as DCOM", sic! Т.е. по умолчанию DCOM через правила не проходит.
Править пришлось в двух местах: в System Policy / Active Directory (на всякий случай, т.к. ISA у меня не в домене) и что самое важное - в правилах, которые разрешали доступ по VPN.
После таких изменений wbemtest стал работать и ошибки с контроллеров домена ушли.