3
Windows 10, Server 2012 r2, Firewall und GPO
Hallo zusammen,
ich habe unter Win Server 2012 r2 eine rudimentäre Firewall Einstellung unter Verwendung von vordefnierten Regeln erstellt, welche ich per GPO verteile.
Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung
Ausgehend: Zulassen, wider besseren Wissens habe ich analog (redundant, da ja schon zugelassen?) vordefinierte Regeln erstellt, natürlich nur diejenigen die ausgehend auch möglich sind.
Einziges "Special", lokale Regeln der Workstation sollen nicht berücksichtigt werden.
Jetzt hab ich folgende vier Szenarien:
- Windows 7, Einloggen in AD -> Kein Problem
- Von Win7 upgegradetes Win10, Einloggen in AD -> Kein Problem, Computer aus AD entfernen, neue "Erstanmeldung" in AD --> Kein Problem
- Frisch installiertes Win 10, Erstanmeldung in AD, Anmeldeprozess erfolreich, Benutzerlogin möglich, Neustart / Herunterfahren alles möglich, allerdings dauert jeder einzelne dieser Vorgänge locker 10 bis 15 Minuten
- Frisch instliertes Win10, wie oben, allerdings die Firewall über die Server GPO komplett deaktiviert -> Alles funktioniert schnell.
Ihr ahnt es, Szenario Nr. 3 ist das Problem. Das Ereignisslog des Servers schweigt sich dazu aus, die Workstation gibt eine Fehlermeldungen aus, dass die Login Zeit überschritten wurde.
Kennt jemand ein ähnliches Problem? Mache ich was grundlegendes mit Win10 auf nem Server 2012r2 falsch (admin. Templates von Win10 1809 sind übrigens hinterlegt)?
Ich kapiere vor allem nicht, dass die AD Kommunikation mit aktiver Firewall ja letztendlich doch funktioniert wenn auch mit einer Wartezeit von 10 Minuten.
Beste Grüße!
ich habe unter Win Server 2012 r2 eine rudimentäre Firewall Einstellung unter Verwendung von vordefnierten Regeln erstellt, welche ich per GPO verteile.
Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung
Ausgehend: Zulassen, wider besseren Wissens habe ich analog (redundant, da ja schon zugelassen?) vordefinierte Regeln erstellt, natürlich nur diejenigen die ausgehend auch möglich sind.
Einziges "Special", lokale Regeln der Workstation sollen nicht berücksichtigt werden.
Jetzt hab ich folgende vier Szenarien:
- Windows 7, Einloggen in AD -> Kein Problem
- Von Win7 upgegradetes Win10, Einloggen in AD -> Kein Problem, Computer aus AD entfernen, neue "Erstanmeldung" in AD --> Kein Problem
- Frisch installiertes Win 10, Erstanmeldung in AD, Anmeldeprozess erfolreich, Benutzerlogin möglich, Neustart / Herunterfahren alles möglich, allerdings dauert jeder einzelne dieser Vorgänge locker 10 bis 15 Minuten
- Frisch instliertes Win10, wie oben, allerdings die Firewall über die Server GPO komplett deaktiviert -> Alles funktioniert schnell.
Ihr ahnt es, Szenario Nr. 3 ist das Problem. Das Ereignisslog des Servers schweigt sich dazu aus, die Workstation gibt eine Fehlermeldungen aus, dass die Login Zeit überschritten wurde.
Kennt jemand ein ähnliches Problem? Mache ich was grundlegendes mit Win10 auf nem Server 2012r2 falsch (admin. Templates von Win10 1809 sind übrigens hinterlegt)?
Ich kapiere vor allem nicht, dass die AD Kommunikation mit aktiver Firewall ja letztendlich doch funktioniert wenn auch mit einer Wartezeit von 10 Minuten.
Beste Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 485498
Url: https://administrator.de/contentid/485498
Printed on: April 18, 2024 at 02:04 o'clock
3 Comments
Latest comment
Moin,
aktiviere das Logfile. Dann siehst du wo es hängt.
Zu finden unter den erweiterten Firewall Einstellungen und zu konfigurieren pro Gruppe (Bsp. Domänen Firewall Profil)
Gruß
Spirit
aktiviere das Logfile. Dann siehst du wo es hängt.
Zu finden unter den erweiterten Firewall Einstellungen und zu konfigurieren pro Gruppe (Bsp. Domänen Firewall Profil)
Gruß
Spirit
Hi.
Sag bitte in zwei Sätzen, was Du erreichen willst.
Domänenclients brauchen keine eingehenden Portfreigaben und sind by default dicht.
Domänencontroller bekommen alle nötigen Ausnahmen für die Domänencontrollerrolle (alle, die du nennst) automatisch gesetzt.
Somit: Will man zusätzliche Regeln, dann in der Regel nur, um als Admin von der eigenen Workstation die Clients zu administrieren (RDP zum Beispiel).
Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung
Mach dir bitte klar, dass auf den Clients die Regeln "Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung" keinen Sinn ergeben, da hier kein AD-/DNS-/DHCP-Verkehr eingehend stattfindet, sondern ausgehend initiiert wird (und die Antworten sind dann eh zugelassen).Sag bitte in zwei Sätzen, was Du erreichen willst.
Domänenclients brauchen keine eingehenden Portfreigaben und sind by default dicht.
Domänencontroller bekommen alle nötigen Ausnahmen für die Domänencontrollerrolle (alle, die du nennst) automatisch gesetzt.
Somit: Will man zusätzliche Regeln, dann in der Regel nur, um als Admin von der eigenen Workstation die Clients zu administrieren (RDP zum Beispiel).
Hallo Helfer,
danke für eure Antworten.
Leztendlich fehlte die vordefinierte Regelgruppe "AD-Webdienste" in den Firewalleinstellungen, welche ich über GPO verteilt habe. Wie und warum sich das auf die Loginzeit auswirkt um dann letztendlich doch zu funktionieren... egal, jetzt läufte es flüssig.
Über die Wiederherstellung der Standard Firewall Regeln auf dem Server, erhielt ich eine Liste die ich dann einfach in die GPO kopieren und an die Clients durchreichen konnte.
Beste Grüße
danke für eure Antworten.
Leztendlich fehlte die vordefinierte Regelgruppe "AD-Webdienste" in den Firewalleinstellungen, welche ich über GPO verteilt habe. Wie und warum sich das auf die Loginzeit auswirkt um dann letztendlich doch zu funktionieren... egal, jetzt läufte es flüssig.
Über die Wiederherstellung der Standard Firewall Regeln auf dem Server, erhielt ich eine Liste die ich dann einfach in die GPO kopieren und an die Clients durchreichen konnte.
Beste Grüße
