Jump to content
Sign in to follow this  
edocom

Windows FireWall übernimmt GPO nach VPN Anmeldung nicht

Recommended Posts

Hallo, ich ärgere mich jetzt zu tode...

 

folgender sachverhalt:

 

w2k3 server & xp sp2 pc, ich habe in der gpo die windows firewall so geregelt, dass wenn sich der pc nicht in der domäne befindet, die firewall aktiv ist, wenn er aber in der domäne ist, die firewall sich auf inaktiv setzt! wenn ich mich jetzt mit vpn anmelde und einen gpo mache, wechselt die firewall nicht in den inaktiven zustand! sie bleibt aktiv obwohl ich mit meiner domäne über vpn verbunden bin...! ich weis nicht wieso?!

Share this post


Link to post
Share on other sites

Du hast evtl. mehrere Netzwerkverbindungen und ich nehme an, dass System checkt ALLE auf Domänenkonnektivität, bevor es dir Firewall herunterfährt. Wäre ja auch vom Sicherheitsaspekt sinnvoll.

Share this post


Link to post
Share on other sites

Verteilst Du via DHCP einen DNS Verbindungssuffix ? Wenn nicht, welchen Adressbereich bekommt der Client, wenn er sich via VPN anmeldet ?

Poste bitte IPCONFIG /ALL, wenn der Client via VPN und direkt verbunden ist.

Die Prüfung der Domänenzugehörigkeit bedeutet:

Wenn diese Richtlinie zum ersten Mal angewendet wird (also eine Verbindung zur Domäne besteht), wird der derzeit gültige Verbindungssuffix gespeichert, der üblicherweise vom DHCP-Server kommt. Existiert kein Verbindungssuffix (weder vom DHCP noch manuell), wird die zum Zeitpunkt der ersten Anwendung der Richtlinie gültige Netzwerk-ID zur Prüfung der Domänenzugehörigkeit benutzt.

Stimmt also der Verbindungssuffix bzw. die Netz-ID, kommen die Einstellungen des Domänenprofils zum Tragen. Ist es ein anderes Verbindungssuffix oder eine andere Netz-ID (dazu zählt auch keine Netzwerkverbindung, Karte deaktiviert usw.), kommen die Einstellungen des Standardprofils zum Tragen ...

The Cable Guy - May 2004

Share this post


Link to post
Share on other sites

so hab jetzt alles überprüft, habe den dns-suffix manuel eingetragen funzt aber immer noch nicht, was ich bemerkt habe, er zeigt mir keinen default gateway...! komisch ist nur das andere einstellungen übernommen werden...!

Share this post


Link to post
Share on other sites

Du interpretierst diese Funktion nicht richtig. Es bedeutet NICHT, dass der Rechner mit der Domäne verbunden ist. Es geht um ein verwaltetes Netz und ein nicht verwaltetes Netz. In dem Moment, wo sich der Client erstmalig diese Richtlinie zieht und ein Verbindungssuffix hat, nimmt er an, dass er sich immer im verwalteten Netz befindet, wenn er dieses Verbindungssuffix hat. Hat er kein Verbindungssuffix, nimmt er an, dass er sich im verwalteten Netz befindet, wenn er eine Adresse des IP-Bereiches hat, die er zu dem Zeitpunkt hatte, als er erstmalig die Richtlinie bekommen hat. Da Du offensichtlich keine Suffixe verteilst, ist der IP-Bereich für den Client entscheidend. Und der ist eben in der Zweigstelle anders als in der Hauptstelle, weswegen die Firewall angeschaltet wird (wie im Standardprofil in der Richtlinie angegeben). Es hat nichts damit zu tun, ob er den DC erreichen kann oder nciht, sondern wo sich der Client gerade befindet ...

Share this post


Link to post
Share on other sites

Verteile auf beiden Seiten den gleichen DNS-Suffix und lösche in der Registry des Clients den folgenden Wert (vor dem erneuten Anwenden der Richtlinie und nach dem Verteilen des Suffixes) ...

HKLM/SYSTEM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/GROUP POLICY/HISTORY/"Networkname"

Dort steht jetzt wahrscheinlich Deine Netzwerk-ID. Also DHCP auf beiden Seiten anpassen (Suffix verteilen lassen), diesen Wert löschen (die Netzwerk-ID) und leer lassen, bei Verbindung zum DC GPUPDATE /FORCE durchführen und den Wert erneut kontrollieren ...

Share this post


Link to post
Share on other sites

ja ich habe den key geöfnet den du vorgeschlagen hast und da war bereits mein dnx-suffix eingetragen...! alo habe ich es so belassen...!

 

ich kann dem pc einfach nicht über die vpn verbindung beibringen, dass er jetzt in der domäne ist...!

Share this post


Link to post
Share on other sites

Mach mal folgendes:

1. Entferne den Verbindungssuffix, den Du manuell eingetragen hast.

2. Konfiguriere den DHCP in der Zweigstelle so, dass er den gleichen Suffix wie in der Hauptstelle verteilt

3. Entferne den Wert in der Registry des Clients

4. Schliesse den Client in der Hauptstelle an und führe GPUDATE /FORCE durch

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...