Zum Inhalt wechseln


Foto

Seit Service Pack 3 ständig Probleme


  • Bitte melde dich an um zu Antworten
67 Antworten in diesem Thema

#1 toasti

toasti

    Senior Member

  • 514 Beiträge

 

Geschrieben 23. April 2009 - 06:16

Hallo und guten Morgen zusammen!

Wir haben hier seitdem SP3 auf allen XP-Rechnern installiert wurde immer wieder das Problem, dass die Netzlaufwerke nicht verbunden werden.

Als sich die Fälle gehäuft hatten, habe ich in der entsprechenden GPO eingestellt, dass Windows beim Start wartet bis das Netzwerk geladen ist, bevor man sich anmelden kann.

Das ging ein paar Tage gut, doch jetzt melden sich immer mal wieder vereinzelt Leute, dass die Laufwerke fehlen. Nach einer Neuanmeldung sind sie dann meistens da.

Die Laufwerke werden über Batchfiles verbunden, die beim Konto des jeweiligen Users hinterlegt sind.

Was kann das sein??

=====

Dann habe ich noch ein ganz tolles Problem: Windows Firewall per GPO steuern

Ich habe hier entsprechende GPOs erstellt, welche so eingestellt sind, dass die Windows Firewall im Domänen-Netzwerk NICHT aktiviert wird, in einem externen Netz aber schon.
Funktioniert soweit nicht schlecht, doch nun kommt es desöfteren vor, dass wohl durch Windows-Updates (werden über WSUS verteilt) die Firewall beim ersten Start frühs automatisch läuft, obwohl sie per GPO deaktiviert ist. Es hagelt Fehlermeldungen bei den verschiedensten Programme, da einiges geblockt wird.
Ob es nur auf die vorangegangenen Updates zurückzuführen ist, weiß nicht. Es ist aber zu 90% dann vorgekommen, wenn am Tag vorher Updates installiert wurden.


Ich weiß schon bald nicht mehr weiter und hoffe auf eure Tipps an was ich da drehen könnte.

Besten Dank!!!

Grüße
toasti

MCITP:SA 2008

MCSA 2012
 


#2 Hauch

Hauch

    Member

  • 131 Beiträge

 

Geschrieben 23. April 2009 - 06:31

Guten Morgen toasti,

Du musst ebenfalls die Option "Anmeldeskripts gleichzeitig ausführen" unter System \ Skripts aktivieren.

Wo genau hast du die Firewall-Einstellungen in der GPO vorgenommen? Es gibt da verschiedene Möglichkeiten.

Grüße

#3 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 23. April 2009 - 07:02

Die Einstellung, die hauch meint steht in der GPO-FAQ No. 36 drin: FAQ-GPO
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#4 toasti

toasti

    Senior Member

  • 514 Beiträge

 

Geschrieben 23. April 2009 - 07:46

Guten Morgen toasti,

Du musst ebenfalls die Option "Anmeldeskripts gleichzeitig ausführen" unter System \ Skripts aktivieren.

Wo genau hast du die Firewall-Einstellungen in der GPO vorgenommen? Es gibt da verschiedene Möglichkeiten.

Grüße


Die Einstellung, die hauch meint steht in der GPO-FAQ No. 36 drin: FAQ-GPO


Ja super, danke euch beiden! Die Einstellung "Anmeldeskripts gleichzeitig ausführen" war noch nicht aktiviert. Soeben getan, bin gespannt ob sich morgen jemand meldet.

====

Wegen der Firewall:
Also ich habe die über

Computerkonfiguration->Administrative Vorlagen->Netzwerk->Netzwerkverbindungen->Window-Firewall

eingestellt.U.a. auch, außer die Einstellungen in Domänen und Standardprofil, "Verwendung des Internetverbindungsfirewalls im eigenen DNS-Domänennetzwerk nicht zulassen" aktiviert.

Auf manchen NB läuft die Sygate Firewall Pro 5.5, d.h. diese NB sind wiederum in einer 2. Gruppe, die die Einstellung nicht übernehmen.

Ist das so korrekt eingestellt?

====

Dann hat sich grad wieder ein Problem aufgetan was gestern auch schon 2 mal vorkam und grad eben wieder - beim Geschäftsfrührer :rolleyes:

Der Rechner hängt nach einem Update ewig bei "Computereinstellungen werden übernommen" beim Hochfahren.
Daraufhin habe ich grad ohne Netz gebootet, ging sofort einwandfrei.

Dann ist mir aufgefallen, die Sygate hat nach dem Start gemeckert, dass die ntoskrnl.exe ausgetauscht wurde und ob man den Zugriff zulassen möchte.

Vielleicht hat diese bereits geblockt beim Hochfahren, da der Dienst wohl schon lief.

Aber wenns so ist, dann wäre es ja nie möglich Updates zu fahren.

MCITP:SA 2008

MCSA 2012
 


#5 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 23. April 2009 - 07:51

Ja super, danke euch beiden! Die Einstellung "Anmeldeskripts gleichzeitig ausführen" war noch nicht aktiviert. Soeben getan, bin gespannt ob sich morgen jemand meldet.


Sollte eigentlich ab sofort keine Meldung mehr kommen.

Wegen der Firewall:
Also ich habe die über

Computerkonfiguration->Administrative Vorlagen->Netzwerk->Netzwerkverbindungen->Window-Firewall

eingestellt.U.a. auch, außer die Einstellungen in Domänen und Standardprofil, "Verwendung des Internetverbindungsfirewalls im eigenen DNS-Domänennetzwerk nicht zulassen" aktiviert.


Ich hab noch nicht genau verstanden, was Du wo und warum eingestellt hast. Vielleicht magst Du das ja nochmal erklären.

Auf manchen NB läuft die Sygate Firewall Pro 5.5, d.h. diese NB sind wiederum in einer 2. Gruppe, die die Einstellung nicht übernehmen.

Ist das so korrekt eingestellt?


Welche Grund gibt es für eine PFW?

Dann ist mir aufgefallen, die Sygate hat nach dem Start gemeckert, dass die ntoskrnl.exe ausgetauscht wurde und ob man den Zugriff zulassen möchte.

Vielleicht hat diese bereits geblockt beim Hochfahren, da der Dienst wohl schon lief.

Aber wenns so ist, dann wäre es ja nie möglich Updates zu fahren.


Ich weiß schon weshalb es bei mir kein Schlangenöl gibt.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. April 2009 - 07:57

====

Wegen der Firewall:
Also ich habe die über

Computerkonfiguration->Administrative Vorlagen->Netzwerk->Netzwerkverbindungen->Window-Firewall

eingestellt.U.a. auch, außer die Einstellungen in Domänen und Standardprofil, "Verwendung des Internetverbindungsfirewalls im eigenen DNS-Domänennetzwerk nicht zulassen" aktiviert.


Die Richtlinie wirkt nicht mehr seit SP2 wenn du die entsprechenden anderen Richtlinien auch definierst. Steht übrigens auch im Explain der Richtlinie.
"Hinweis: Wenn Sie die Richtlinieneinstellung "Windows-Firewall: Alle Netzwerkverbindungen schützen" aktivieren, hat die Richtlinieneinstellung "Verwendung des Internetverbindungsfirewalls im eigenen DNS-Domänennetzwerk nicht zulassen" keine Auswirkungen auf Computer, auf denen der Windows-Firewall, der den Internetverbindungsfirewall ersetzt, wenn Sie Windows XP Service Pack 2 installieren, ausgeführt wird."

Auf manchen NB läuft die Sygate Firewall Pro 5.5, d.h. diese NB sind wiederum in einer 2. Gruppe, die die Einstellung nicht übernehmen.

Ist das so korrekt eingestellt?


Kommt drauf an.

Der Rechner hängt nach einem Update ewig bei "Computereinstellungen werden übernommen" beim Hochfahren.
Daraufhin habe ich grad ohne Netz gebootet, ging sofort einwandfrei.


Der hat zufälligerweise Sygate installiert?

Aber wenns so ist, dann wäre es ja nie möglich Updates zu fahren.


Tja, frag Sygate. Hier funktionierts mit Updates und Firewalls und Hochfahren mit Netz. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#7 toasti

toasti

    Senior Member

  • 514 Beiträge

 

Geschrieben 23. April 2009 - 08:54

Sooo, also, dann nochmal wegen der Firewall:

Hier habe ich genau gesagt 3 GPOs:

Eine GPO in der die Windows Firewall im Standard-Profil aktiviert wird, Ausnahmen erlaubt sind - Hier sind nur NB drin die auch lokale Admin-Rechte besitzen.

Eine GPO in der die Windows Firewall im Standard-Profil aktiviert wird, keine Ausnahmen erlaubt. - Hier sind alle NB der Domäne drin. Wiederum gibts eine 2. Gruppe, wo die NB drin sind die eine Sygate Firewall drauf haben und deshalb diese Richtlinie nicht übernehmen sollen.

Eine GPO in der die Windows Firewall komplett deaktiviert wird. - Hier sind alle NBs drin die auch die Sygate haben.

Im Moment ist es mit der Sygate und Windows Firewall ein Mischbetrieb weil man irgendwann angefangen hat mit der Sygate und dann eben wieder aufgehört hat bei neuen Rechnern zu installieren. Dieses Jahr soll aber noch eine neue AntiVirus / PF - Lösung kommen.

Der Grund für eine PF ist, dass wir verhindern möchten, dass sich die Außendienstler usw in jedes beliebige Netz hängen können.

MCITP:SA 2008

MCSA 2012
 


#8 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. April 2009 - 10:02

Hier habe ich genau gesagt 3 GPOs:

Eine GPO in der die Windows Firewall im Standard-Profil aktiviert wird, Ausnahmen erlaubt sind - Hier sind nur NB drin die auch lokale Admin-Rechte besitzen.


In welchem Profil denn?

Eine GPO in der die Windows Firewall im Standard-Profil aktiviert wird, keine Ausnahmen erlaubt. - Hier sind alle NB der Domäne drin. Wiederum gibts eine 2. Gruppe, wo die NB drin sind die eine Sygate Firewall drauf haben und deshalb diese Richtlinie nicht übernehmen sollen.


Mach mal nen Screenshot wenns geht.

Eine GPO in der die Windows Firewall komplett deaktiviert wird. - Hier sind alle NBs drin die auch die Sygate haben.


Wie wird sie deaktiviert?


Der Grund für eine PF ist, dass wir verhindern möchten, dass sich die Außendienstler usw in jedes beliebige Netz hängen können.


Wie verhindert man sowas?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#9 toasti

toasti

    Senior Member

  • 514 Beiträge

 

Geschrieben 23. April 2009 - 10:52

In welchem Profil denn?


Wie in welchem Profil?

Also unter Computerkonfiguration->Administrative Vorlagen->Netzwerk->Netzwerkverbindungen->Window-Firewall habe ich ja das "Domänenprofil" und das "Standardprofil". Und hier eben unter Standardprofil die ganzen Dinge eingestellt.

Mach mal nen Screenshot wenns geht.


Von was genau hättest du gerne einen Screen? Einstellungen? Delegierung?

Wie wird sie deaktiviert?


Die Firewall wird deaktiviert durch deaktivieren von "Windows-Firewall: Alle Netzwerkverbindungen schützen".


Wie verhindert man sowas?

Bye
Norbert


Klär mich auf!

MCITP:SA 2008

MCSA 2012
 


#10 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 23. April 2009 - 12:33

Wie in welchem Profil?

Also unter Computerkonfiguration->Administrative Vorlagen->Netzwerk->Netzwerkverbindungen->Window-Firewall habe ich ja das "Domänenprofil" und das "Standardprofil". Und hier eben unter Standardprofil die ganzen Dinge eingestellt.


Und was hast du da im Domänenprofil eingestellt? Wenn du da nichts einstellst, würde mich nicht wirklich wundern, wenn die Firewall immer mal wieder aktiviert ist. Stells im Standarprofil ein, dass die Verbindung geschützt ist, und im Domänenprofil deaktivierst du die Firewall. Die Richtlinie, die du oben erwähnt hast, solltest du gar nicht verwenden wenn du mindestens SP2 installiert hast.

Von was genau hättest du gerne einen Screen? Einstellungen? Delegierung?


Deine GPO Einstellungen hinsichtlich der Windowsfirewall (GPMC) und die Verlinkungen auf den OUs.

Die Firewall wird deaktiviert durch deaktivieren von "Windows-Firewall: Alle Netzwerkverbindungen schützen".


Richtig im Domänenprofil. Dazu brauchst du aber keine 3 GPOs ;)

Klär mich auf!


Haben das deine Eltern nicht übernommen? ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#11 toasti

toasti

    Senior Member

  • 514 Beiträge

 

Geschrieben 24. April 2009 - 07:06

Hi und guten Morgen,

gestern hab ichs leider nicht mehr geschafft mit den Screens, ich versuchs heute mal noch zuschaffen.

Heute früh hat wieder der gleiche User angerufen, dass seine Laufwerke nicht da wären. Nach einer Neuanmeldung tut das natürlich.

Es gab doch ein Bordmittel von Windows mit dem ich die Einstellungen der GPO auf dem Client prüfen kann?! Also nicht gpresult, sondern im Endeffekt den Editor um wirklich zu schauen welche Einstellungen angekommen sind.

Was war das nochmal genau?

Hab gestern gleich mal eine GPO der 3 für die PF eingestampft ;-)

Jetzt klär mich wegen dem letzten Punkt mal auf Norbert!

Besten Dank und nen guten Start in den letzten Arebitstag der Woche!

MCITP:SA 2008

MCSA 2012
 


#12 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 24. April 2009 - 07:27

Heute früh hat wieder der gleiche User angerufen, dass seine Laufwerke nicht da wären. Nach einer Neuanmeldung tut das natürlich.


Dann kommen die beiden GPOs mit den Einstellungen noch nicht an. Das besondere bei der Einstellung "Auf das Netzwerk warten" ist das beim ersten booten die Einstellung übernommen wird, aber noch nicht gewartet wird. Sondern erst beim nächsten booten wird gewartet.

Wenn es Notebooks sind, mußt Du natürlich auch sicherstellen, das die User das LAN-Kabel vor der Anmeldung eingesteckt haben. Und komm jetzt nicht mit irgendwelchen Ausreden, die User schaffen alles und wundern sich, weshalb kein LW da ist, obwohl sie doch grade vor 5 Sekunden das Kabel angesteckt haben. Glaubs mir, alles schon erlebt. ;)

Es gab doch ein Bordmittel von Windows mit dem ich die Einstellungen der GPO auf dem Client prüfen kann?! Also nicht gpresult, sondern im Endeffekt den Editor um wirklich zu schauen welche Einstellungen angekommen sind.


RSOP.MSC hilft.


Der Grund für eine PF ist, dass wir verhindern möchten, dass sich die Außendienstler usw in jedes beliebige Netz hängen können.

Wie verhindert man sowas?


Das meintest Du? Ja, das würde mich auch interessieren.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#13 toasti

toasti

    Senior Member

  • 514 Beiträge

 

Geschrieben 24. April 2009 - 08:09

Also die Einstellung "Auf das Netzwerk warten" ist schon seit längerem aktiv und greift auch - der Start dauert deutlich länger.

Was nicht aktiv war bis gestern war die Einstellung mit dem Anmeldescript.

Habe soeben bei dem Problemrechner mit RSOP.msc nachgesehen, die beiden Einstellung stehen mit aktiviert drin. Passt also.

Und trotzdem hat der Rechner heute früh die Laufwerke nicht gehabt.

Hehe, die Sache mit dem LAN-Kabel und den Notebooks kenn ich nur zu gut...mittlerweile hat sich das jeder eingeprägt, dass es vor dem Anmelden eingesteckt werden sollte, am besten noch vor dem Hochfahren.

Aber man erlebt schon einiges in der IT, ich könnte Bücher schreiben :D Jeden Tag ne kleine Comedy-Show.

MCITP:SA 2008

MCSA 2012
 


#14 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 24. April 2009 - 08:12

Und trotzdem hat der Rechner heute früh die Laufwerke nicht gehabt.


Du hast natürlich sofort das Eventlog durchsucht und nur vergessen, die Fehlermeldungen hier mit anzugeben. ;)
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#15 toasti

toasti

    Senior Member

  • 514 Beiträge

 

Geschrieben 24. April 2009 - 08:36

lol, genauso ist es!

Jetzt hab ichs grad nochmal angesehen und heute isses ganz lustig: Der Rechner konnte keine neue IP vom DHCP bekommen somit auch keine Laufwerke verbinden.

Ich glaube so langsam, dass mit dem Rechner etwas nicht stimmt. Ich werde später mal Treiber usw neu installieren und Rückmeldung geben was rauskommt.

Aber Norbert wollte uns noch aufklären ;-)

MCITP:SA 2008

MCSA 2012