scusimarcus
Goto Top

Kein Firewall Log auf DC

Hallo,

ich habe gerade eine Kuriosität auf einem DC (server 2012 R2) entdeckt.

Die Firewall-Settings werden über GPO´s an alle WIndows-Rechner im Netz verteilt. Nur die DC´s sselbst aktivieren kein Firewalllog.
Der Haken für das Setting ist auch immer gesetzt. D.h. wenn ich den Haken bei "Nicht konfiguriert" herausnehme und das Fenster durch OK schliesse und anschließend wieder öffne ist der Haken wieder gesetzt.

Jemand eine Idee woran das liegen kann?


Beste Grüße
Marcus

Content-ID: 347305

Url: https://administrator.de/forum/kein-firewall-log-auf-dc-347305.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

shadynet
shadynet 25.08.2017 um 12:53:44 Uhr
Goto Top
Hi,

bei DCs greift die Default Domain Controllers Policy. Ändere das Setting mal darin.

VG
Daniel
scusimarcus
scusimarcus 25.08.2017 um 12:58:23 Uhr
Goto Top
Da ist leider genau dasselbe Trauerspiel.
certifiedit.net
certifiedit.net 25.08.2017 um 14:51:37 Uhr
Goto Top
Dann hast du wohl schlicht in der Konfiguration etwas vermurkst (ein bestimmter AD ausgeschlossen, bzw nicht eingeschlossen usw usf)
Pjordorf
Pjordorf 25.08.2017 um 14:56:53 Uhr
Goto Top
Hallo,

Zitat von @scusimarcus:
Jemand eine Idee woran das liegen kann?
Da wollte einer nicht das du es änderst oder meinst du das wäre ein Bug der Anzeige oder gar deren Funktion? DC hateigene GPOs, Domaänen haben eigene GPOs, Wie viele oder wenige GPOs habt denn? Wo könnte das alles Konfiguriert sein? Mal mit GPResult /r oder RSOP.msc geschaut was gezogen und evtl. angewendet wird? Dann schon mal bedqacht das da ein powershell oder Batchdatei wirken kann welches gar per Startup oder Logon Skript oder evtl. gar in der Registrierung rein geschmuggelt wurde?

Wir kennen weder die Inhalte deiner GPOs im einzelnen noch was du sonst am DC gebastelt hast noch was in evtl. Skripte zur Anwendung kommt. Wir wissen nur
Server 2012R2 als DC.
Häkchen immer nur gesetzt.
Die "Default Domain Controllers Policy" ist es auch nicht.
Unbekannte GPO wo ihr mit bastelt welche für alle Windows Rechner im Netz gelten soll.
Wie und welche GPOs sind denn mit welchen OUs usw. verknüpft, vererbt, vererbung aufgehoben, erzwungen usw.?
Du meinst schon die hier:
firewall log 2012r2

Daher - suchen - suchen - suchen - suchen - suchen....

Gruß,
Peter
scusimarcus
scusimarcus 25.08.2017 um 15:31:04 Uhr
Goto Top
Mir erscheint es eher wie ein Bug da im gpresult die Einstellung zu sehen ist. Was dennoch verwundert, ist die Tatsache dass keine Logs angelegt werden.


Die Systeme (auch AD) wurde nach CIS-CAT von mir gehärtet. Eventuell gibt es deswegen Probleme.
certifiedit.net
certifiedit.net 25.08.2017 um 15:46:45 Uhr
Goto Top
Dann kennst du das höchstwahrscheinliche Problemumfeld bereits. Da kann man nur sagen: Suchen, suchen, suchen. Wir können dir hier im Forum dann auch nicht helfen. Erst Recht nicht ohne Systemzugriff.
Pjordorf
Pjordorf 25.08.2017 um 16:08:45 Uhr
Goto Top
Hallo,

Zitat von @scusimarcus:
Mir erscheint es eher wie ein Bug
Dann direkt an den Hersteller wenden.

da im gpresult die Einstellung zu sehen ist.
Dir ist schon klar das GPO Einstellungen gibt welche ihren Wert beibehalten (GPO Tattooing) und somit der Urspringswert erst per GPO gesetzt werden muss, andere Einstellungenen werden zurück gesetzt wenn die GPO nicht mehr angewendet wird. Mal in der Registrierung geschaut was dort bei deinen Einstellungen passiert?

Was dennoch verwundert, ist die Tatsache dass keine Logs angelegt werden.
Für Firewall Logs empfehle ich Wireshark MS Message Analyzer.

https://social.technet.microsoft.com/Forums/windowsserver/en-US/1099121e ...
https://sdmsoftware.com/gpoguy/whitepapers/understanding-policy-tattooin ...
https://technet.microsoft.com/en-us/library/jj966251(v=ws.11).aspx

Setze die GPOs wieder zurück auf Standard, falls das eine Option ist.

Die Systeme (auch AD) wurde nach CIS-CAT von mir gehärtet. Eventuell gibt es deswegen Probleme.
Wenn dein CIS für Center for Internet Security und dein CAT für Configuration Asessment Tool steht und du evtl. so etwas dein eigen nennst bzw. auf deinen DCs werkelt ( https://www.cisecurity.org/benchmark/microsoft_windows_server/ ), würde es alleine schon aufgrund der Namensgebung mich nicht wundern wenn gerade die an/in den Firewall Logs rumfummeln. face-smile Aber das wirst du als Härter der Systeme ja besser wissen face-smile

Gruß,
Peter
scusimarcus
scusimarcus 27.08.2017 um 16:11:53 Uhr
Goto Top
Mhh, nee damit ist mir leider nicht geholfen. Trotzdem danke.
certifiedit.net
certifiedit.net 27.08.2017 um 16:33:41 Uhr
Goto Top
Dann brauchst du wohl externe Unterstützung. face-wink

Gerne, schönen Sonntag
133883
133883 27.08.2017 aktualisiert um 16:49:59 Uhr
Goto Top
Zitat von @scusimarcus:

Mhh, nee damit ist mir leider nicht geholfen.
Find ich immer wieder klasse wie hier die TOs mit Infos nur so um sich werfen und dann noch auf Hilfe gehofft wird ...
Koppschüttel.

Gruß
scusimarcus
scusimarcus 27.08.2017 um 17:12:36 Uhr
Goto Top
Zitat von @133883:

Zitat von @scusimarcus:

Mhh, nee damit ist mir leider nicht geholfen.
Find ich immer wieder klasse wie hier die TOs mit Infos nur so um sich werfen und dann noch auf Hilfe gehofft wird ...
Koppschüttel.

Gruß

Pass auf dass du nicht deinen Kopp verlierst.

Mal im Ernst, was brauchst du für Informationen um solch einen Fehler zu identifizieren ?
133883
133883 27.08.2017 aktualisiert um 17:27:41 Uhr
Goto Top
Na erst mal die Infos wie du was exakt konfiguriert hast und deine Anpassungen in Sachen Härtung, wie sollen wir sonst wissen was du überhaupt alles angepasst hast. Das können viele Stellschrauben bewirken, angefangen bei Berechtigungen im Dateisystem über Einschränken von Konten etc. pp.
Pass auf dass du nicht deinen Kopp verlierst.
Der kann das ab, doppelt und dreifach gesichert bei der Menge an Unfug den man heute ertragen muss kein Wunder.
Pjordorf
Pjordorf 27.08.2017 um 18:41:24 Uhr
Goto Top
Hallo,

Zitat von @scusimarcus:
Mhh, nee damit ist mir leider nicht geholfen. Trotzdem danke.
Hmmm, dann ich dir entweder etwas von Ratiopharm empfehlen oder du brauchst einfach MAOM.
Ehrlich? Was willst du bzw. was meinst du? Du willst doch Hilfe von uns!

Gruß,
Peter