Jump to content

Windows FireWall übernimmt GPO nach VPN Anmeldung nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, ich ärgere mich jetzt zu tode...

 

folgender sachverhalt:

 

w2k3 server & xp sp2 pc, ich habe in der gpo die windows firewall so geregelt, dass wenn sich der pc nicht in der domäne befindet, die firewall aktiv ist, wenn er aber in der domäne ist, die firewall sich auf inaktiv setzt! wenn ich mich jetzt mit vpn anmelde und einen gpo mache, wechselt die firewall nicht in den inaktiven zustand! sie bleibt aktiv obwohl ich mit meiner domäne über vpn verbunden bin...! ich weis nicht wieso?!

Link zu diesem Kommentar

Verteilst Du via DHCP einen DNS Verbindungssuffix ? Wenn nicht, welchen Adressbereich bekommt der Client, wenn er sich via VPN anmeldet ?

Poste bitte IPCONFIG /ALL, wenn der Client via VPN und direkt verbunden ist.

Die Prüfung der Domänenzugehörigkeit bedeutet:

Wenn diese Richtlinie zum ersten Mal angewendet wird (also eine Verbindung zur Domäne besteht), wird der derzeit gültige Verbindungssuffix gespeichert, der üblicherweise vom DHCP-Server kommt. Existiert kein Verbindungssuffix (weder vom DHCP noch manuell), wird die zum Zeitpunkt der ersten Anwendung der Richtlinie gültige Netzwerk-ID zur Prüfung der Domänenzugehörigkeit benutzt.

Stimmt also der Verbindungssuffix bzw. die Netz-ID, kommen die Einstellungen des Domänenprofils zum Tragen. Ist es ein anderes Verbindungssuffix oder eine andere Netz-ID (dazu zählt auch keine Netzwerkverbindung, Karte deaktiviert usw.), kommen die Einstellungen des Standardprofils zum Tragen ...

The Cable Guy - May 2004

Link zu diesem Kommentar

Du interpretierst diese Funktion nicht richtig. Es bedeutet NICHT, dass der Rechner mit der Domäne verbunden ist. Es geht um ein verwaltetes Netz und ein nicht verwaltetes Netz. In dem Moment, wo sich der Client erstmalig diese Richtlinie zieht und ein Verbindungssuffix hat, nimmt er an, dass er sich immer im verwalteten Netz befindet, wenn er dieses Verbindungssuffix hat. Hat er kein Verbindungssuffix, nimmt er an, dass er sich im verwalteten Netz befindet, wenn er eine Adresse des IP-Bereiches hat, die er zu dem Zeitpunkt hatte, als er erstmalig die Richtlinie bekommen hat. Da Du offensichtlich keine Suffixe verteilst, ist der IP-Bereich für den Client entscheidend. Und der ist eben in der Zweigstelle anders als in der Hauptstelle, weswegen die Firewall angeschaltet wird (wie im Standardprofil in der Richtlinie angegeben). Es hat nichts damit zu tun, ob er den DC erreichen kann oder nciht, sondern wo sich der Client gerade befindet ...

Link zu diesem Kommentar

Verteile auf beiden Seiten den gleichen DNS-Suffix und lösche in der Registry des Clients den folgenden Wert (vor dem erneuten Anwenden der Richtlinie und nach dem Verteilen des Suffixes) ...

HKLM/SYSTEM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/GROUP POLICY/HISTORY/"Networkname"

Dort steht jetzt wahrscheinlich Deine Netzwerk-ID. Also DHCP auf beiden Seiten anpassen (Suffix verteilen lassen), diesen Wert löschen (die Netzwerk-ID) und leer lassen, bei Verbindung zum DC GPUPDATE /FORCE durchführen und den Wert erneut kontrollieren ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...