Jump to content

Pro - Einschränkungen Netzwerkzugriff (verglichen mit Server-OS)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ADM-Template von XP SP2 auf 2k eingebunden. Die relevante Setting sollte ja in der system.adm sein. Alles ist korrekt eingebunden; der entspr. Eintrag wird aber trotzdem nicht angezeigt.

Habe nun nach einem Gespräch mit einem Systemhäusler noch einen heißen Tipp bekommen: es könnte an einem Dienst auf dem Server liegen, der deaktiviert werden muss. Das Problem wäre bekannt. Welcher Dienst das sei, soll mir in den nächsten Stunden mitgeteilt werden (Ansprechpartner dafür außer Haus).

Link zu diesem Kommentar

Auf den Servern läuft keine Firewall, da diese ja nur W2k haben.

 

In Verdacht ist jetzt WINS: dieses ist nicht implementiert (keine Wins-Server und 98% der Clients ohne Netbios-Name). Zu öffnende Ports wären 389 und 4125

 

Das Testen offener Ports sollte doch mit telnet auf den betr. Router und Angabe des Ports möglich sein? Bekomme da immer "Connect failed/Verbindung fehlgeschlagen" (auch vom DC aus - ohne Firewall). Sollte bei geschlossenem Port nicht "connection refused" kommen?

Link zu diesem Kommentar

WINS wurde mir vom Systemhaus als Ursache benannt.

Habe gerade festgestellt, dass der Zugriff DC > Client anderes Subnet auch nicht geht.

Wie bereits geschildert, ist die Win-Firewall per Default Domain Policy definiert - mit diversen Ausnahmen für so einige Anwendungen. Ich kann mir per gpmc und Richtlinienergebnissatz anzeigen lassen, dass die RL aktiv ist, aus welcher Policy sie kommt und wo sie eigentlich zu finden sein müsste.

Allerdings fehlt der Unterpunkt zum Kfg der Firewall komplett (da, wo er eigentlich sein müsste). Bei anderen RL (z.B. lokale RL) wird er genau dort angezeigt. Tests wurden mit DCs W2k (importierte Templates von XPSP2 und danach W2k3) sowie von 4 XPSP2-Clients durchgeführt (einer x64, 3 x32); Rechner stehen in beiden Subnets; Ergebnis ist immer das Gleiche (obengenannte).

Am Freitag habe ich die Domain noch in 2 Standorte (sites) aufgeteilt mit den entsprechenden Einstellungen. Das ist zwar nicht unbedingt nötig, kann aber die Replikation optimieren. Auf das geschilderte Problem sollte das keinen Einfluss haben.

 

Noch mal: wie kann ich testen, ob die Ports an den Routern frei oder gesperrt sind? Habe ich mit telnet etwas falsch gemacht, oder gibt es noch weitere/bessere Tools? Mit netstat -na werden mir die freien ports des Client-PCs angezeigt - aber nicht vom Router.

 

Eine Liste der meiner Meinung nach freizugebenden Ports:

21 TCP FTP

25 TCP SMTP

53 TCP+UDP DNS

80 TCP HTTP

88 TCP+UDP Kerberos Secure Authentication

123 TCP NTP Time

135 TCP MS Networking

137 UDP MS Networking >>> auch TCP??

138 UDP MS Networking

139 TCP MS Networking

389 TCP LDAP >>> auch UCP??

443 TCP SSL

445 TCP NetBIOS over TCP/IP >>> auch UDP??

464 TCP UDP Kerberos Password

1025 oder 1026 TCP AD logon + directory replication

3268 TCP MS Global Catalog

3269 TCP MS Global Catalog w/ LDAP/SSL

3389 TCP RDP

4125 TCP connect to server desktop

Link zu diesem Kommentar

Ich würde für einen Testclient eine Test-OU erstellen, diesen Client in diese OU verschieben und auf der OU die Richtlinienvererbung deaktivieren (soweit das Firewall-GPO nicht auf "Kein Vorrang" konfiguriert ist). Dann kannst Du die Firewall auf diesem Client zum Test abschalten und weisst dann auch, ob der Router blockt oder nicht ...

Btw, die Jungs von der externen Firma müssen doch wissen, was da konfiguriert ist ...

Link zu diesem Kommentar
Off-Topic:
, es geht darum, dass kein Client von Netz A einen Client in Netz B via SMB erreichen kann. Meiner Ansicht nach eine Windows-Firewall Geschichte. Zumindest deutet das Verhalten darauf hin, siehe #30
Hallo Kuddel, also zwei Subnetze mit einem Server als Router dazwischen? Zwischen den Netzen soll mit dem Browser zugegriffen werden? Browser arbeitet doch nicht netzübergreifend, WINS ist dazu angesagt.
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...