Win XP Clients erst nach Stunden erreichbar

[FrogThomas 10]

Hallo,

 

ich bin mittlerweile echt ratlos und hoffe hier auf Hilfe. Ich habe folgendes Problem: Wird einer der Client PCs neu gestartet bzw. eingeschaltet, ist dieser für längere Zeit (alles zwischen 30 Minuten und mehreren Stunden) im Netzwerk nicht erreichbar. Dem Client wird (laut ipconfig) eine "korrekte" IP Adresse zugewiesen, ebenfalls kann der Client problemlos auf den Server bzw. andere Clients anpingen. Versucht man allerdings einen Ping an den betroffenen Client abzusetzen, erhält man keine Antwort. Dabei ist noch interessant, dass die Namensauflösung offenbar funktioniert. Beim Ping an den Rechnernamen wird die korrekte IP ermittelt, allerdings erhält man keine Antwort. Dieses Verhalten stellt leider die Regel dar, nur in Ausnahmefällen sind vereinzelte Clients direkt nach ihrem Start zu erreichen.

 

Was ich bereits versucht habe: Ich bin alle Logs auf dem Server (auch den DHCP Log) durchgegangen, dabei ist mir allerdings nichts außergewöhnliches aufgefallen. Genauso bin ich auch mit mehreren Clients verfahren, auch hier keine Auffälligkeiten. Außerdem habe ich noch den Netzwerktreiber auf den Clients aktualisiert, was ebenfalls nichts geändert hat. Selbstverständlich habe ich bereits Google bemüht, allerdings bislang nicht auf des Rätsels Lösung gestoßen.

 

Um was für eine Umgebung handelt es sich: Ich habe erst vor kurzem die Administration des Netzwerkes übernommen. Von meinem Vorgänger habe ich allerdings erfahren, dass die oben beschrieben Problematik auch schon in der Vergangenheit bestanden hat. Es handelt sich um einen einzelnen Win2k3 Server. Auf diesem laufen im wesentlichen die Dienste für Exchange, AD, DHCP und DNS. Außerdem befinden sich ca. 25 WinXP Clients im Netz. Sowohl der Server als auch die Clients laufen mit den aktuellsten Service Packs sowie Sicherheitsupdates.

 

Wäre unheimlich dankbar für jede Idee!!!

[lefg 276]

Hallo Thomas,

 

wie ist es denn mit den Firewalls, die von XPs lokal und Netzwerks per GPO?

 

Die Clients der von mir betreuten Netzwerke sind auch nicht so einfach erreichbar.

 

Interessehalber, welche Bedeutung hat es (für dich), die Erreichbarkeit eines Clients vom Server aus, oder von etwas anderem?

 

Gruß

 

Edgar

[Sunny61 772]

ich bin mittlerweile echt ratlos und hoffe hier auf Hilfe. Ich habe folgendes Problem: Wird einer der Client PCs neu gestartet bzw. eingeschaltet, ist dieser für längere Zeit (alles zwischen 30 Minuten und mehreren Stunden) im Netzwerk nicht erreichbar. Dem Client wird (laut ipconfig) eine "korrekte" IP Adresse zugewiesen, ebenfalls kann der Client problemlos auf den Server bzw. andere Clients anpingen. Versucht man allerdings einen Ping an den betroffenen Client abzusetzen, erhält man keine Antwort. Dabei ist noch interessant, dass die Namensauflösung offenbar funktioniert. Beim Ping an den Rechnernamen wird die korrekte IP ermittelt, allerdings erhält man keine Antwort. Dieses Verhalten stellt leider die Regel dar, nur in Ausnahmefällen sind vereinzelte Clients direkt nach ihrem Start zu erreichen.

 

Die IP bekommt der Sender vom DNS Server. Wie ist die Windows Firewall konfiguriert? Sind die beiden Einstellungen aus der GPO FAQ No. 36 gesetzt? FAQ-GPO Wenn nein, hol das bitte nach. Welcher AV-Scanner ist installiert? Passiert das auch, wenn Du einen Client im abgesicherten Modus mit Netzwerkunterstützung startest?

 

Gibts denn Fehlermeldungen auf den Clients im Eventlog?

[FrogThomas 10]

Vielen Dank erst mal an lefg und Sunny61!

 

Problematisch ist das Verhalten deswegen, weil z. B. die Remoteunterstützung nicht möglich ist, da der betroffene Client nicht erreicht werden kann. Gleiches gilt für den Zugriff per RDP.

 

Da die Namensumwandlung in eine IP funktioniert, habe auch ich den DNS von der Liste der Verdächtigen gestrichen. DHCP schließe ich eigentlich auch aus. Sobald ich einen Client einschalte, wird der entsprechende Lease für die IP Adresse umgehend aktualisiert. Insofern dürfte auch der DHCP nicht für den time-lag verantwortlich sein.

 

Die Einstellungen aus der GPO FAQ No. 36 sind gesetzt. Dieses war tatsächlich auch mein Anfangsverdacht.

 

Im Eventlog der Clients kann ich keine Auffälligkeiten finden.

 

In die Richtung Windows Firewall bzw. AntiViren Software (es ist Kaspersky installiert) habe ich noch überhaupt nicht gedacht. Kaspersky scheint nicht die Ursache zu sein. Im abgesicherten Modus (mit Netzwerktreibern) besteht das Problem unverändert, obwohl Kaspersky nicht mit gestartet wird. Das Problemkind scheint die Windows Firewall zu sein. Diese wurde per GPO wie folgt konfiguriert (Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall/Domänenprofil):

• Alle Netzwerkverbindungen schützen --> Aktiviert
  
• Benachrichtigungen nicht zulassen --> Aktiviert
  
• Keine Ausnahmen zulassen --> Deaktiviert
  
• Programmausnahmen festlegen --> Aktiviert (für den klnagent (Kaspersky) und Remoteunterstützung)
  

Für das Standardprofil sind die gleichen Einstellungen vorgenommen worden. Vermutlich muss ich hier weitere Ausnahmen (sowohl auf Programm- als auch auf Port-Ebene) hinzufügen. Damit muss ich mich in Ruhe auseinandersetzen, da ich mit der Windows Firewall bislang nicht weiter vertraut bin.

 

Mir ist allerdings schleierhaft, weshalb die Clients mit Zeitverzögerung (bzw. vereinzelt sogar sofort) dann plötzlich doch erreichbar sind. Hat jemand einen Tipp für mich womit das zusammenhängen könnte?

[Sunny61 772]

Du kannst zum testen an einem Client die Windows Firewall komplett abschalten. Hilft das nicht, deinstalliere den Kaspersky rückstandsfrei. Dazu gehört auch das Removal Tool vom Hersteller zu benutzen. Zusätzlich würde ich auch TCP/IP resetten.

 

Start > Ausführen > cmd [ENTER]

 

netsh int ip reset ipreset.txt

netsh winsock reset

 

Neustart.

[FrogThomas 10]

Wahrscheinlich habe ich mich nicht ganz deutlich ausgedrückt. Sobald die Windows Firewall auf einem Client deaktiviert ist, kann dieser auch unmittelbar nach einem Neustart z. B. per ping erreicht werden. Es kann ja aber keine dauerhafte Lösung darstellen alle Clients im Netz ohne den Schutz einer Firewall arbeiten zu lassen. Insofern muss die Windows Firewall weiterhin aktiviert bleiben, aber "vernünftig" konfiguriert werden. Im Status Quo lässt sie offenbar z. B. die Verbindungsversuche für RDP erst nach Ablauf einer gewissen Zeitspanne zu, welche der Client bereits online gewesen sein muss.

 

Wie bereits gesagt, finde ich dieses Verhalten recht merkwürdig. Eigentlich kenne ich von einer Firewall nur der Verhalten Programme bzw. Ports (bedingungslos) ganz oder gar nicht zu sperren. In den Einstellungen der Windows Firewall habe ich nichts finden können, was ein zeitabhängiges blocken bewirken könnte. Insofern bin ich weiterhin für Mithilfe dankbar.

[Sunny61 772]

Wahrscheinlich habe ich mich nicht ganz deutlich ausgedrückt. Sobald die Windows Firewall auf einem Client deaktiviert ist, kann dieser auch unmittelbar nach einem Neustart z. B. per ping erreicht werden. Es kann ja aber keine dauerhafte Lösung darstellen alle Clients im Netz ohne den Schutz einer Firewall arbeiten zu lassen. Insofern muss die Windows Firewall weiterhin aktiviert bleiben, aber "vernünftig" konfiguriert werden. Im Status Quo lässt sie offenbar z. B. die Verbindungsversuche für RDP erst nach Ablauf einer gewissen Zeitspanne zu, welche der Client bereits online gewesen sein muss.

 

Dann schnapp dir einen Testclient, pack ihn in eine OU in der keine GPOs ankommen, und konfiguriere die Windows XP Firewall Einstellung für Einstellung durch bis es passt. Und immer Neustarts machen.

[lefg 276]

...Da die Namensumwandlung in eine IP funktioniert, habe auch ich den DNS von der Liste der Verdächtigen gestrichen. DHCP schließe ich eigentlich auch aus. Sobald ich einen Client einschalte, wird der entsprechende Lease für die IP Adresse umgehend aktualisiert. Insofern dürfte auch der DHCP nicht für den time-lag verantwortlich sein....

 

Erfolgt auch eine Aktualisierung im DNS?