4
Probleme mit Gruppenrichtlinie und Router
Hallo,
ich habe diese Frage schon im IPCOP Forum gestellt, konnte mir aber niemand was wirklich nützliches zu sagen, deshalb hier nochmal:
Config:
IPCOP Router mit drei Netzwerkkarten, Rot, Grün, Blau
Win XP SP2 Clients in Blau
W2003 Server in Grün
folgendes Problem:
Gruppenrichtlinien werden nicht auf dem Client in Blau ausgeführt, sobald der Client in Grün ist wird die Gruppenrichtlinie ausgeführt.
Alles andere funktioniert, alle Ports geschaltet, Freigaben funktionieren, Firewall Log ist sauber bis auf ICMP vom Client zum Server.
Habe in beiden Netzen gesnifft, der einzige Unterschied bei der Anmeldung ist tatsächlich, das in Grün ein Ping vom Client nicht in der Firewall hängenbleibt, sondern vom Server beantwortet wird, woraufhin die Gruppenrichtlinie übertragen wird. In Blau klappt das mit dem Ping logischer weise nicht, aber kann das denn das Problem sein ???
folgende Config:
über DMZ Pinholes für die Clients (jede IP extra) geöffnete Ports von Blau nach Grün:
53 UDP/TCP
67 U
80 T
88 U
135 T
137 U
138 U
139 T
389 T
445 T
laut Microsoft Infoblättchen sind das alle Ports, die gebraucht werden für ADS und Domänen, und wie gesagt, das Firewall LOG ist bis auf ICMP sauber.
Jemand ne Idee ?
Dirk
ich habe diese Frage schon im IPCOP Forum gestellt, konnte mir aber niemand was wirklich nützliches zu sagen, deshalb hier nochmal:
Config:
IPCOP Router mit drei Netzwerkkarten, Rot, Grün, Blau
Win XP SP2 Clients in Blau
W2003 Server in Grün
folgendes Problem:
Gruppenrichtlinien werden nicht auf dem Client in Blau ausgeführt, sobald der Client in Grün ist wird die Gruppenrichtlinie ausgeführt.
Alles andere funktioniert, alle Ports geschaltet, Freigaben funktionieren, Firewall Log ist sauber bis auf ICMP vom Client zum Server.
Habe in beiden Netzen gesnifft, der einzige Unterschied bei der Anmeldung ist tatsächlich, das in Grün ein Ping vom Client nicht in der Firewall hängenbleibt, sondern vom Server beantwortet wird, woraufhin die Gruppenrichtlinie übertragen wird. In Blau klappt das mit dem Ping logischer weise nicht, aber kann das denn das Problem sein ???
folgende Config:
über DMZ Pinholes für die Clients (jede IP extra) geöffnete Ports von Blau nach Grün:
53 UDP/TCP
67 U
80 T
88 U
135 T
137 U
138 U
139 T
389 T
445 T
laut Microsoft Infoblättchen sind das alle Ports, die gebraucht werden für ADS und Domänen, und wie gesagt, das Firewall LOG ist bis auf ICMP sauber.
Jemand ne Idee ?
Dirk
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6086
Url: https://administrator.de/contentid/6086
Ausgedruckt am: 18.11.2024 um 21:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
Deine Vermutung ist korrekt. Vor der Übermittlung von Profile und Policies wird ein ping gesendet, um die Netzwerkgeschwindigkeit zwischen Client und Server zu bestimmen. Wenn dieser nicht durchgeht, hat sich's mit Gruppenrichtlinien und dem Rest. Laß ICMP 8 mal zu und prüf dann nochmal.
Wollt Ihr pings explizit blocken oder ist das jetzt Zufall? Wenn Ihr NetBT aufschaltet, könnt Ihr ping problemlos auch zulassen, das schadet nicht.
Grüße,
fritzo
Deine Vermutung ist korrekt. Vor der Übermittlung von Profile und Policies wird ein ping gesendet, um die Netzwerkgeschwindigkeit zwischen Client und Server zu bestimmen. Wenn dieser nicht durchgeht, hat sich's mit Gruppenrichtlinien und dem Rest. Laß ICMP 8 mal zu und prüf dann nochmal.
Wollt Ihr pings explizit blocken oder ist das jetzt Zufall? Wenn Ihr NetBT aufschaltet, könnt Ihr ping problemlos auch zulassen, das schadet nicht.
Grüße,
fritzo
Hallo Fritzo,
beim IPCOP handelt es sich um einen Linux Router mit Firewall, das Blaue Netz bedient von der Grundkonfig her ein WLan und ist deshalb gegenüber dem Grünen Netz, in dem sich das kabelgebundene Netz befindet, komplett abgeschottet, nur Internetzugriff (Rotes Netz) ist möglich. Deshalb muß ich für jeden Rechner alle Ports von Blau nach Grün explizit freischalten, auch ICMP ist standardmäßig gesperrt. Das kann man aber nicht so einfach freischalten, dafür muß man die firewall Konfiguration manuell editieren und ich wollte wissen, ob der Aufwand lohnt, ist aber dann wohl so.
Danke für die schnelle ANtwort,
Dirk
beim IPCOP handelt es sich um einen Linux Router mit Firewall, das Blaue Netz bedient von der Grundkonfig her ein WLan und ist deshalb gegenüber dem Grünen Netz, in dem sich das kabelgebundene Netz befindet, komplett abgeschottet, nur Internetzugriff (Rotes Netz) ist möglich. Deshalb muß ich für jeden Rechner alle Ports von Blau nach Grün explizit freischalten, auch ICMP ist standardmäßig gesperrt. Das kann man aber nicht so einfach freischalten, dafür muß man die firewall Konfiguration manuell editieren und ich wollte wissen, ob der Aufwand lohnt, ist aber dann wohl so.
Danke für die schnelle ANtwort,
Dirk
grüße
kleine OFF-Topic frage.
hat dein Blaues sowie Grünes LAN die selbe Netmask?
GREEN: "192.168.0.x/255.255.255.0"
BLUE: "192.168.0.x/255.255.255.0"
hatte erst vor kurzem mal einen Win2003 Server in die DMZ der IPCop gestellt und dabei auch verschiedene Netzklassen gewählt...
GREEN: "192.168.0.x/255.255.255.0"
DMZ: "10.0.0.x/255.0.0.0"
Microsofts Datenblätterchen meinten das ein Domänenbetritt erst garnicht in ein anderes (Klassen)Netzwerk funktioniert. z.b "C->A"
vielleicht lag es doch nur an der mangelden Ping Fähigkeit vom Server -> DMZ -> GREEN -> (zum) Client?
MFG Daniel
kleine OFF-Topic frage.
hat dein Blaues sowie Grünes LAN die selbe Netmask?
GREEN: "192.168.0.x/255.255.255.0"
BLUE: "192.168.0.x/255.255.255.0"
hatte erst vor kurzem mal einen Win2003 Server in die DMZ der IPCop gestellt und dabei auch verschiedene Netzklassen gewählt...
GREEN: "192.168.0.x/255.255.255.0"
DMZ: "10.0.0.x/255.0.0.0"
Microsofts Datenblätterchen meinten das ein Domänenbetritt erst garnicht in ein anderes (Klassen)Netzwerk funktioniert. z.b "C->A"
vielleicht lag es doch nur an der mangelden Ping Fähigkeit vom Server -> DMZ -> GREEN -> (zum) Client?
MFG Daniel
Hallo,
es lag daran, das kein ping von blau nach grün durchgelassen wurde.
zwei simple firewallregeln in der rc.local haben das problem beseitigt.
Dirk
es lag daran, das kein ping von blau nach grün durchgelassen wurde.
zwei simple firewallregeln in der rc.local haben das problem beseitigt.
Dirk
