Zum Inhalt wechseln


Foto

Pro - Einschränkungen Netzwerkzugriff (verglichen mit Server-OS)


  • Bitte melde dich an um zu Antworten
64 Antworten in diesem Thema

#16 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 17. August 2006 - 09:27

Die nForce-FW ist deaktiviert. Trotzdem ein guter Tip. Die lokale FW wird von einer GRL gesteuert. Schau ich mal nach.
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#17 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 17. August 2006 - 09:33

Habe mal protokollieren verworfener Pakete aktiviert:

#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

2006-08-17 11:28:00 DROP ICMP 192.168.2.254 192.168.2.116 - - 56 - - - - 5 1 - RECEIVE

zahllose dieser Einträge (immer gleiche IP-Einträge)
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#18 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 17. August 2006 - 09:43

Schalt die Firewall zum Test mal ganz aus oder konfiguriere die Ausnahmen für "Alle Computer, einschliesslich Internet" ...
Ich bin S-1-5-XXX-500, ich darf das ...

#19 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 17. August 2006 - 09:48

Bin noch auf der Suche, wo diese festgelegt ist.

In Default Domain Policy wirds wohl sein.

Aber nicht in
Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und dann Windows-Firewall.
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#20 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 17. August 2006 - 09:52

Gpresult ...
Ich bin S-1-5-XXX-500, ich darf das ...

#21 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 17. August 2006 - 09:59

Ist alles irgendwie schon zu lange her.

Woher weiß ich, wo der Eintrag
KeyName: Software\Policies\Microsoft\WindowsFirewall\DomainProfile
steht? (so zeigt das ja nur auf einen Registry-Key)
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#22 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 17. August 2006 - 13:51

Bin immer noch nicht weiter.

Im Richtlinienergebnissatz wird mir gesagt, dass die Reg-Einstellungen nicht mit einer ADM-Vorlage übereinstimmen und ggf durch ein zusätzliches Snap-In definiert wurden.

Im Gruppenrichtlinienergebnissatz steht wieder der Pfad der Default Domain Policy (Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und dann Windows-Firewall). Da ist aber kein Eintrag, den man konfigurieren könnte (gar kein Unterordner in NW- und DFÜ-Verbindungen; alle Einstellungen in diesem Ordner sind auf "nicht konfiguriert".

Das Merkwürdige: in den "Richtlinien für lokaler Computer" sowie 2 weiteren, erstellten RL gibt es die gesuchten Einträge (hier aber nicht konfiguriert); nicht jedoch in Default Domain und Default DC Policy.

Das Recht Bearbeiten/Löschen/Sicherheit verändern hat der Admin-Account, mit dem ich das Ganze probiere.
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#23 lefg

lefg

    Expert Member

  • 20.481 Beiträge

 

Geschrieben 17. August 2006 - 14:18

Netz hat 3 DCs und zahllose Clients; speziell auf einem ist eine Freigabe, die von überall aus erreichbar sein muss.
Das Netz wurde nun in 2 geroutete Subnetze getrennt; der Zugriff auf Server (gegenseitig), Internet, Exchange usw. funktioniert alles.
Den betreffenden Client-PC kann ich auch pingen. Allerdings kann ich mich aus dem anderen Subnetz nicht direkt darauf verbinden. Dies scheint jeweils für alle Clients im anderen Subnetz zu gelten (also auch vom Server Netz A auf Client Netz B).

Gehören die Rechner in diesen Netzen zu einer gemeinsamen Domäne?

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#24 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 17. August 2006 - 16:34

Ist das ein 2000 DC und hast Du die Richtlinien von einer XP-SP2 Maschine konfiguriert ?
Ich bin S-1-5-XXX-500, ich darf das ...

#25 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 17. August 2006 - 19:57

Alle angesprochenen PCs sind Mitglied der 2000er Domain.
Versuche wurden von 3 XP Pro SP2-Clients gemacht; 2 davon x32 / 1 x64-Edition
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#26 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 17. August 2006 - 20:02

Ich spreche von der Konfiguration der Gruppenrichtlinien, sind die von einer XP-SP2 Maschine aus ausgeführt worden ?

Das Merkwürdige: in den "Richtlinien für lokaler Computer" sowie 2 weiteren, erstellten RL gibt es die gesuchten Einträge (hier aber nicht konfiguriert); nicht jedoch in Default Domain und Default DC Policy.


Ich bin S-1-5-XXX-500, ich darf das ...

#27 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 18. August 2006 - 07:03

mW: Ja
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#28 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 18. August 2006 - 08:04

Dann solltest Du die Einstellungen der Windows-Firewall voneiner XP2 Maschine aber auch in der Default Domain Policy sehen und einstellen können ...
Ich bin S-1-5-XXX-500, ich darf das ...

#29 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 18. August 2006 - 08:34

Dem ist aber nicht so - habe ja schon alles mögliche probiert.

Um die andere Fragestellung noch einmal zu präzisieren: kann es überhaupt ein geblockter Port sein, wenn der Zugriff DC > DC und Client > DC zwischen beiden Netzen funktioniert? Oder anders: was ist beim Traffic Client > Client anders als beim Traffic zum DC?? Werden wirklich andere Ports/Protokolle verwendet???
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#30 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 18. August 2006 - 08:48

Den betreffenden Client-PC kann ich auch pingen. Allerdings kann ich mich aus dem anderen Subnetz nicht direkt darauf verbinden. Dies scheint jeweils für alle Clients im anderen Subnetz zu gelten (also auch vom Server Netz A auf Client Netz B). Zwischen beiden Netzen funktioniert nur der Zugriff auf die Server uneingeschränkt. Innerhalb eines Subnetzes ist der Zugriff auf alle Clients möglich.

Ich beziehe mich hierauf und ziele auf die Windows-Firewall der XP-Clients. Ping geht (per Default ist eingehender Echo Request erlaubt) , der Zugriff aus einem anderen Subnetzt nicht (per Default ist die Ausnahme der Datei- und Druckerfreigabe auf das eigene Subnetzt beschränkt), Server-Server und Client-Server Verbindung klappt (wahrscheinlich kein Firewall auf den Servern an), innherhalb des Subnetzes klappt der Zugriff (Firewall-Ausnahme für eigenes Subnetz).
Du kannst auch die ADM-Templates einer XP SP2 MAschine auf dem 2000er benutzen.
Ich bin S-1-5-XXX-500, ich darf das ...