forschi 10 Geschrieben 9. April 2009 Melden Teilen Geschrieben 9. April 2009 Hallo zusammen, ich betreibe hier einen W2k3-Server standard mit installiertem ISA2006. Beim Starten schmiert mir die Windows-Firewall regelmäßig ab. Im Ereignisprotokoll finde ich den Hinweis, dass eine andere Anwendung den Port bereits belegt. Der Dienst "Windows-Firewall/Gemeinsame Nutzung" ist entsprechend nicht gestartet und lässt sich auch nicht starten. Seine Startart steht aber auf "automatisch". Ich würde jetzt behaupten, dass der ISA-Server die Funktion der Windows-Firewall ersetzt, aber nachdem letztgenannte vom ISA-Server abhängig ist, bin ich da etwas unsicher. Ich habe hier nachgelesen und gesehen, dass die "Internetverbindungsfirewall bei der Installation von ISA deaktiviert wird. Meines Wissens ist diese "Internetverbindungsfirewall" in o.g. Windows-Firewall umgetauft worden (in XP mit SP2, beim Server vermutlich auch mit einem SP). Sollte diese dann auch deaktiviert sein? Kann ich sie gefahrlos von Hand deaktivieren? Hat jemand ein System mit ISA2006 und kann nachschauen, wie die Konstellation dort funktioniert? Vielen Dank soweit, forschi Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 9. April 2009 Melden Teilen Geschrieben 9. April 2009 Hallo forschi Der Dienst "Windows-Firewall/Gemeinsame Nutzung" ist entsprechend nicht gestartet und lässt sich auch nicht starten. Seine Startart steht aber auf "automatisch". Bei installiertem ISA2006 ist die Windowsfirewall garantiert nicht aktiv und die Startart muss auch "Deaktiviert" sein Ich würde jetzt behaupten, dass der ISA-Server die Funktion der Windows-Firewall ersetzt, aber nachdem letztgenannte vom ISA-Server abhängig ist, bin ich da etwas unsicher. Kurios. Die Windows-Firewall darf nicht von ISA abhängig sein. Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 9. April 2009 Melden Teilen Geschrieben 9. April 2009 Ich würde jetzt behaupten, dass der ISA-Server die Funktion der Windows-Firewall ersetzt, aber nachdem letztgenannte vom ISA-Server abhängig ist, bin ich da etwas unsicher. Hallo! Wie bereits geschrieben, muß die Firewall deaktiviert sein. Schau dir dazu mal die MSDN-Seite an: Microsoft Internet Security and Acceleration (ISA) Server 2006 Gruß Zitieren Link zu diesem Kommentar
forschi 10 Geschrieben 9. April 2009 Autor Melden Teilen Geschrieben 9. April 2009 Kurios. Die Windows-Firewall darf nicht von ISA abhängig sein. Ich hab' dir da mal was hingelegt: – Ganz großes Tennis: Windows-Firewall deaktiviert, Server neugestartet, nicht mehr erreichbar...ich fahr' jetzt dann mal hin zu der Kiste. :suspect: Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 10. April 2009 Melden Teilen Geschrieben 10. April 2009 Ganz großes Tennis: Windows-Firewall deaktiviert, Server neugestartet, nicht mehr erreichbar...ich fahr' jetzt dann mal hin zu der Kiste. :suspect: Hallo! Ist der W2K3 aktuell gepatcht? Dein Problem mit dem ISA und dem Firewall des Servers liegt vermutlich woanders. Zitat von technet.microsoft.com zum Thema Firewall: Server, auf denen Umkreisfirewalls ausgeführt werden Sie sollten Windows-Firewall nicht auf Servern ausführen, auf denen ein Umkreisfirewall wie Microsoft Internet Security und Acceleration Server 2004 ausgeführt wird. Der durch den Windows-Firewall bereitgestellte Schutz ist in dieser Situation redundant und unnötig. Zusätzlich kann der Windows-Firewall dazu führen, dass Umkreisfirewalls wie ISA Server nicht ordnungsgemäß ausgeführt werden. Gruß Zitieren Link zu diesem Kommentar
forschi 10 Geschrieben 10. April 2009 Autor Melden Teilen Geschrieben 10. April 2009 Hallo! Ist der W2K3 aktuell gepatcht? Dein Problem mit dem ISA und dem Firewall des Servers liegt vermutlich Davon gehe ich aus, ich teile mir aber die Administration mit einem Kollegen und der ist für den WSUS zuständig. Das Problem beim Hochfahren hatte weder mit ISA noch mit Windows zu tun: die Kiste hatte ein undefinierbares Problem beim booten mit einem nicht belegten SATA-Port. ISA läuft jetzt, abgesehen von einer neuen Fehlermeldung: Serververöffentlichungsregel RDPzugriff ist fehlgeschlagen, weil kein gültiger Netzwerklistener verfügbar war. Die ausgewählten Netzwerklistener und der veröffentlichte Server müssen über das Netzwerk verknüpft sein, damit Anforderungen den veröffentlichten Server erreichen können. Standort 325.957.5.0.5723.493. Funktional tut das dem Ding aber keinen Abbruch, ich komm' auch mit RDP von außen drauf. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 10. April 2009 Melden Teilen Geschrieben 10. April 2009 Funktional tut das dem Ding aber keinen Abbruch, ich komm' auch mit RDP von außen drauf. Das ist sicherheitstechnisch DER Supergau. Ich hoffe Du hast Dich verschrieben und meintest das Du von deiner VPN-Einwahl aus per RDP den Server erreichst. Zitieren Link zu diesem Kommentar
forschi 10 Geschrieben 10. April 2009 Autor Melden Teilen Geschrieben 10. April 2009 Das ist sicherheitstechnisch DER Supergau. Aus welchem Grunde? Da gibt es sehr geteilte Meinungen zu dem Thema. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 11. April 2009 Melden Teilen Geschrieben 11. April 2009 Aus welchem Grunde? Da gibt es sehr geteilte Meinungen zu dem Thema. Weil die Verbindung nicht verschlüsselt ist und somit ein hohes Sicherheitsrisiko besteht. Zitieren Link zu diesem Kommentar
forschi 10 Geschrieben 11. April 2009 Autor Melden Teilen Geschrieben 11. April 2009 Weil die Verbindung nicht verschlüsselt ist und somit ein hohes Sicherheitsrisiko besteht. Hm, da hatte ich bei MS was anderes gelesen: By default, Windows XP Remote Desktop and Windows Server 2003 Remote Desktop and Terminal Services use high (128-bit) encryption to encrypt most data transmissions in both the client-to-server direction and the server-to-client direction. Nich, dass mich jemand falsch versteht: Ich will hier nichts schön reden oder darauf pochen, dass RDP ohne VPN was tolles ist. Ich will das Problem lediglich diskutieren um es zu verstehen. Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 11. April 2009 Melden Teilen Geschrieben 11. April 2009 Weil die Verbindung nicht verschlüsselt ist und somit ein hohes Sicherheitsrisiko besteht. Bist du dir da sicher? Ich meine, per default wird mit 128bit verschlüsselt. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 11. April 2009 Melden Teilen Geschrieben 11. April 2009 Bist du dir da sicher? Ich meine, per default wird mit 128bit verschlüsselt. Sry, gerade einen Denkfehler gehabt! Kann auch mal vorkommen.;) Aber man sollte sich damit nicht in Sicherheit wiegen, einen interessanten Artikel dazu habe ich eben noch in meinen Bookmarks gefunden! ->Terminal Services 6, Authentifizierungsoptionen gegen man-in-the-middle nutzen unter Vista, XP fr Server Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 11. April 2009 Melden Teilen Geschrieben 11. April 2009 Sehen wir einmal vond er verschlüsselung ab: Auf dem ISA Server kann sich jeder Domänenadmin anmelden. Sofern du in der Domäne Accounts sperren läßt die eine bestimmte Anzahl von ungültigen Anmeldungen haben sperrst Du dich bei einem Angriff ganz schnell aus. Wenn Du aber für die VPN-Einwahl einen Domänenuser ohne weitere Rechte in der Domäne nimmst kann Dir nicht viel passeiren. Du kannst ja naach erfolgreicher Einwahl immer noch mit anderen Accounts RDP nutzen. Sofern Du kein Account-Locking betreibst kann jeder nach herzenslust probieren wie deine Dom-Admin-Kennwörter sind. Zitieren Link zu diesem Kommentar
forschi 10 Geschrieben 13. April 2009 Autor Melden Teilen Geschrieben 13. April 2009 Das sind interessante Argumente. Ich werde mich mal mit der VPN-Funktionalität des Windows-Servers befassen. Das Thema ansich (ISA und der Windows-Firewall-Dienst) scheint erledigt zu sein. Wenn ich noch weitere Probleme mit der Freigabe von RDP hab, dann mach' ich ein neues Thema auf. Danke soweit. forschi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.