Qui-GonJinn 10 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Ich habe soeben meinen ersten Windows Server 2008 als Memberserver in eine reine 2003-Domäne aufgenommen. Leider zieht der Server nicht alle Gruppenrichtlinien. Das hat meiner Meinung nach etwas mit der neuen Firewall von Server 2008 zu tun. Bei allen anderen 2003-Servern haben wir einfach den Firewall-Dienst per GPOs beendet (hust hust). Ich würde trotz Sicherheitslücke gerne einfach die Firwall bei Windows Server 2008 so konfigurieren, dass sie alles durchlässt. Deaktvieren geht ja beim Server 2008 anscheinend nicht, da er dann in eine Art "Inselbetrieb" geht - Ich lasse mich aber auch gern belehren... Ich möchte aber nicht an jedem Server2008 per Hand diese Einstellung machen müssen, sondern würde es gerne auch per GPO von einem Windows Server 2003 machen. Hat jemand sowas schon umgesetzt? Habe schon diverse Artikel auf gruppenrichtlinien.de und die Anleitung von Yusufs Directory Blog gelesen. Das hilft mir aber alles nicht weiter. Vielen Dank im Vorraus. Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Moin, es ist höchst unwahrscheinlich, dass die Firewall an einer unvollständigen GPO-Abarbeitung Schuld sein sollte. Was veranlasst dich überhaupt zu dieser Vermutung? Gruß, Nils Zitieren Link zu diesem Kommentar
Qui-GonJinn 10 Geschrieben 30. Juni 2009 Autor Melden Teilen Geschrieben 30. Juni 2009 Das die Firewall nicht deaktviert ist und ich kein Gruppenrichtlinineergebnis von dem Server erstellen kann obwohl WMI läuft. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Die Firewall kann aber nicht Schuld sein, es sei denn du hast sie "verkonfiguriert". Und das ginge maximal lokal oder von Vista/W2k8 GPMC aus. ;) Abgesehen davon muß man auch nicht den Firewallservice deaktivieren, damit die Firewall inaktiv ist. Was spricht eigentlich dagegen, die GPOs von W2k8 aus zu administrieren? Bye Norbert Zitieren Link zu diesem Kommentar
Qui-GonJinn 10 Geschrieben 30. Juni 2009 Autor Melden Teilen Geschrieben 30. Juni 2009 Vielen Dank schon mal. Ehm also Firewall ist nicht schuld. Es spricht dagegen, dass ich in Zukunft mehr als einen Win2008 Server haben werde und ich diese aber vorerst nur in die Win2003-Domäne einbringen kann ohne das einer der 2008-Server DC ist. Kann ich also die Firewall vom Win2008-Server nur von einem anderen Win2008-Server zentral administrieren oder geht das auch vom Win2003-Server. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Wozu braucht man einen 2008er DC? Bye Norbert Zitieren Link zu diesem Kommentar
Qui-GonJinn 10 Geschrieben 30. Juni 2009 Autor Melden Teilen Geschrieben 30. Juni 2009 Hö? was sollen jetzt die antwort? Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Ich wollte wissen, warum du meinst, dass die GPO Adminstration mittels W2k8 einen W2k8 DC erfordert. So liest sich dein Posting da oben nämlich: in Zukunft mehr als einen Win2008 Server haben werde und ich diese aber vorerst nur in die Win2003-Domäne einbringen kann ohne das einer der 2008-Server DC ist Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 moin, was Norbert (vermutlich) sagen will: Um Gruppenrichtlinien von einem 2008-Server aus zu verwalten, brauchst du keinen 2008er-DC. Allgemein sollte man Gruppenrichtlinien immer von einer Maschine auf dem höchsten Betriebssystemlevel aus verwalten. Das hat mit dem Modus des AD oder mit dem OS der DCs nichts zu tun. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 moin, was Norbert (vermutlich) sagen will: Um Gruppenrichtlinien von einem 2008-Server aus zu verwalten, brauchst du keinen 2008er-DC. Du kennst mich scheinbar. :cool: Bye Norbert Zitieren Link zu diesem Kommentar
Bloodie 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Moin, ich glaube dein Problem ist , das die alten Win2003 GPOs für Firewall deaktivierung nicht am 2008er greifen oder? Falls ja , liegt es meiner Meinung daran, das für den 2008 und ich glaube auch für Vista(und somit wohl auch für Windows7) diese Punkte an anderen Stellen in den GPOs sind. Bei Windows 2003 und XP wurde das ja unter Computer/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows Firewall gemacht oder halt über die Dienste deaktiviert. Für Windows 2008 und Vista gibt es - wenn du die GPO in dem neuen Editor öffnest - unter Windowseinstellungen/Windows Firewall mit erweiterter Sicherheit und dort kannst du dann auch explizit die Regeln definieren. Um das zu administrieren musst du halt irgendwo die neue MMC starten , aber die GPOs kannst du von da alle Zentral administrieren und ändern. Nur sieht man halt in der alten MMC und den Editor nicht die Punkte für die neuen OS. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Du liegst nicht ganz richtig mit deiner Meinung. Die XP Methode funktioniert auch bei W2k8 noch. Nur gibt es eben eine neue CSE seit Vista, die dir dazwischen funken kann. Deswegen wäre es das einfachste, einfach mal eine GPMC auf einem Vista oder W2k8 Server zu starten und es von dort für W2k8 zu definieren. Bye Norbert Zitieren Link zu diesem Kommentar
Bloodie 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Nur mal intressenhalber in dem Zusammenhang: kann man eigentlich bei WinXP oder 2003 durch ein Update oder sowas in der Art die MMC mit dem GPO Editor dazubringen , das man diese Einstellungen auch auf einem XP/2003 System sieht? Sonst hätte man ja keine Möglichkeit z.B. Vista Clients über die GPO wie hier mit der FW in allen Funktionen in einer 2003 Domäne zu verwalten, ausser über ein Vista z.B. selbst. Wäre bei uns z.B. so gewesen , wenn wir die DCs nicht auf 2008 gemacht hätten und die neuen Notebooks teilweise nur mit Vista bekommen haben. Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Moin, Nur mal intressenhalber in dem Zusammenhang: kann man eigentlich bei WinXP oder 2003 durch ein Update oder sowas in der Art die MMC mit dem GPO Editor dazubringen , das man diese Einstellungen auch auf einem XP/2003 System sieht? nein. Sonst hätte man ja keine Möglichkeit z.B. Vista Clients über die GPO wie hier mit der FW in allen Funktionen in einer 2003 Domäne zu verwalten, ausser über ein Vista z.B. selbst. Richtig, so ist das auch. Wie ich oben schon schrub: Allgemein sollte man Gruppenrichtlinien immer von einer Maschine auf dem höchsten Betriebssystemlevel aus verwalten. Mach es einfach. In Wirklichkeit sind sowohl Vista als auch 7 nämlich viel geiler als XP. Gruß, Nils Zitieren Link zu diesem Kommentar
Bloodie 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Mach es einfach. In Wirklichkeit sind sowohl Vista als auch 7 nämlich viel geiler als XP. Gruß, Nils Na , damit haben wir das Wort zum Sonntag ja schon am Mittwoch abgehakt :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.