Zum Inhalt wechseln


Foto

Pro - Einschränkungen Netzwerkzugriff (verglichen mit Server-OS)


  • Bitte melde dich an um zu Antworten
64 Antworten in diesem Thema

#31 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 18. August 2006 - 09:31

ADM-Template von XP SP2 auf 2k eingebunden. Die relevante Setting sollte ja in der system.adm sein. Alles ist korrekt eingebunden; der entspr. Eintrag wird aber trotzdem nicht angezeigt.
Habe nun nach einem Gespräch mit einem Systemhäusler noch einen heißen Tipp bekommen: es könnte an einem Dienst auf dem Server liegen, der deaktiviert werden muss. Das Problem wäre bekannt. Welcher Dienst das sei, soll mir in den nächsten Stunden mitgeteilt werden (Ansprechpartner dafür außer Haus).
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#32 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 21. August 2006 - 07:26

Auf den Servern läuft keine Firewall, da diese ja nur W2k haben.

In Verdacht ist jetzt WINS: dieses ist nicht implementiert (keine Wins-Server und 98% der Clients ohne Netbios-Name). Zu öffnende Ports wären 389 und 4125

Das Testen offener Ports sollte doch mit telnet auf den betr. Router und Angabe des Ports möglich sein? Bekomme da immer "Connect failed/Verbindung fehlgeschlagen" (auch vom DC aus - ohne Firewall). Sollte bei geschlossenem Port nicht "connection refused" kommen?
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#33 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 21. August 2006 - 08:20

WINS ? Wenn Du mit IP-Adresse verbindest, spielt WINS und Konsorten keine Rolle ...

#34 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 21. August 2006 - 09:02

Off-Topic:
Hallo,

ich versuche diesen Vorgang seit einer Weile zu verfolgen. Kann aber nicht erfassen, worum es wirklich geht, welches Problem existiert, welches primäre Problem.

Gruß

Edgar

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#35 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 21. August 2006 - 09:05

Off-Topic:
Moin Edgar, es geht darum, dass kein Client von Netz A einen Client in Netz B via SMB erreichen kann. Meiner Ansicht nach eine Windows-Firewall Geschichte. Zumindest deutet das Verhalten darauf hin, siehe #30


#36 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 21. August 2006 - 10:54

WINS wurde mir vom Systemhaus als Ursache benannt.
Habe gerade festgestellt, dass der Zugriff DC > Client anderes Subnet auch nicht geht.
Wie bereits geschildert, ist die Win-Firewall per Default Domain Policy definiert - mit diversen Ausnahmen für so einige Anwendungen. Ich kann mir per gpmc und Richtlinienergebnissatz anzeigen lassen, dass die RL aktiv ist, aus welcher Policy sie kommt und wo sie eigentlich zu finden sein müsste.
Allerdings fehlt der Unterpunkt zum Kfg der Firewall komplett (da, wo er eigentlich sein müsste). Bei anderen RL (z.B. lokale RL) wird er genau dort angezeigt. Tests wurden mit DCs W2k (importierte Templates von XPSP2 und danach W2k3) sowie von 4 XPSP2-Clients durchgeführt (einer x64, 3 x32); Rechner stehen in beiden Subnets; Ergebnis ist immer das Gleiche (obengenannte).
Am Freitag habe ich die Domain noch in 2 Standorte (sites) aufgeteilt mit den entsprechenden Einstellungen. Das ist zwar nicht unbedingt nötig, kann aber die Replikation optimieren. Auf das geschilderte Problem sollte das keinen Einfluss haben.

Noch mal: wie kann ich testen, ob die Ports an den Routern frei oder gesperrt sind? Habe ich mit telnet etwas falsch gemacht, oder gibt es noch weitere/bessere Tools? Mit netstat -na werden mir die freien ports des Client-PCs angezeigt - aber nicht vom Router.

Eine Liste der meiner Meinung nach freizugebenden Ports:
21 TCP FTP
25 TCP SMTP
53 TCP+UDP DNS
80 TCP HTTP
88 TCP+UDP Kerberos Secure Authentication
123 TCP NTP Time
135 TCP MS Networking
137 UDP MS Networking >>> auch TCP??
138 UDP MS Networking
139 TCP MS Networking
389 TCP LDAP >>> auch UCP??
443 TCP SSL
445 TCP NetBIOS over TCP/IP >>> auch UDP??
464 TCP UDP Kerberos Password
1025 oder 1026 TCP AD logon + directory replication
3268 TCP MS Global Catalog
3269 TCP MS Global Catalog w/ LDAP/SSL
3389 TCP RDP
4125 TCP connect to server desktop
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#37 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 21. August 2006 - 10:58

Ich würde für einen Testclient eine Test-OU erstellen, diesen Client in diese OU verschieben und auf der OU die Richtlinienvererbung deaktivieren (soweit das Firewall-GPO nicht auf "Kein Vorrang" konfiguriert ist). Dann kannst Du die Firewall auf diesem Client zum Test abschalten und weisst dann auch, ob der Router blockt oder nicht ...
Btw, die Jungs von der externen Firma müssen doch wissen, was da konfiguriert ist ...

#38 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 21. August 2006 - 11:22

Off-Topic:
, es geht darum, dass kein Client von Netz A einen Client in Netz B via SMB erreichen kann. Meiner Ansicht nach eine Windows-Firewall Geschichte. Zumindest deutet das Verhalten darauf hin, siehe #30
Hallo Kuddel, also zwei Subnetze mit einem Server als Router dazwischen? Zwischen den Netzen soll mit dem Browser zugegriffen werden? Browser arbeitet doch nicht netzübergreifend, WINS ist dazu angesagt.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#39 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 21. August 2006 - 11:25

...der Zugriff DC > Client anderes Subnet auch nicht geht.

Betrifft das nur den einen Rechner oder auch andere Rechner?

Betrifft es nur das das eine oder beide Subnetze?

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#40 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 21. August 2006 - 11:27

Off-Topic:
Da sind zwei Funkrouter zwischen, der Zugriff auf die Server (2000) der gegenüberliegenden Seite funktioniert, vom Server und von einem Client auf einen Client der gegenüberliegenden Seite dagegen nicht


#41 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 21. August 2006 - 11:41

Off-Topic:
Da sind zwei Funkrouter zwischen, der Zugriff auf die Server (2000) der gegenüberliegenden Seite funktioniert, vom Server und von einem Client auf einen Client der gegenüberliegenden Seite dagegen nicht

Wo sind die Funkrouter zwischen oder dran, mit Kabel am Server? Arbeiten die Geräte als Router oder als AP?

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#42 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 21. August 2006 - 11:45

Off-Topic:
Keine Ahnung ...


#43 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 21. August 2006 - 12:09

Off-Topic:
Falls keine Klarheit besteht über die Struktur, die Geräte, die Funktionen, dann kann auch meine Kristallkugel nicht weiter.

Ich stochere zar manchmal gerne mit der Stange im Nebel rum, versuche einen Schalter zu finden, der Suchbereich aber muss systematisch eingrenzbar sein.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#44 robotroonie

robotroonie

    Junior Member

  • 124 Beiträge

 

Geschrieben 21. August 2006 - 12:26

Betrifft das nur den einen Rechner oder auch andere Rechner?

Betrifft es nur das das eine oder beide Subnetze?


jeweils beide
MCP MCSA MCDBA MCSE auf Windows Server 2003 seit 06/04

#45 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 21. August 2006 - 12:36

Hast Du das mit der Test-OU mal probiert ?