theepoch
Goto Top

Windows 10, Server 2012 r2, Firewall und GPO

Hallo zusammen,

ich habe unter Win Server 2012 r2 eine rudimentäre Firewall Einstellung unter Verwendung von vordefnierten Regeln erstellt, welche ich per GPO verteile.

Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung
Ausgehend: Zulassen, wider besseren Wissens habe ich analog (redundant, da ja schon zugelassen?) vordefinierte Regeln erstellt, natürlich nur diejenigen die ausgehend auch möglich sind.
Einziges "Special", lokale Regeln der Workstation sollen nicht berücksichtigt werden.

Jetzt hab ich folgende vier Szenarien:

- Windows 7, Einloggen in AD -> Kein Problem
- Von Win7 upgegradetes Win10, Einloggen in AD -> Kein Problem, Computer aus AD entfernen, neue "Erstanmeldung" in AD --> Kein Problem
- Frisch installiertes Win 10, Erstanmeldung in AD, Anmeldeprozess erfolreich, Benutzerlogin möglich, Neustart / Herunterfahren alles möglich, allerdings dauert jeder einzelne dieser Vorgänge locker 10 bis 15 Minuten
- Frisch instliertes Win10, wie oben, allerdings die Firewall über die Server GPO komplett deaktiviert -> Alles funktioniert schnell.

Ihr ahnt es, Szenario Nr. 3 ist das Problem. Das Ereignisslog des Servers schweigt sich dazu aus, die Workstation gibt eine Fehlermeldungen aus, dass die Login Zeit überschritten wurde.

Kennt jemand ein ähnliches Problem? Mache ich was grundlegendes mit Win10 auf nem Server 2012r2 falsch (admin. Templates von Win10 1809 sind übrigens hinterlegt)?

Ich kapiere vor allem nicht, dass die AD Kommunikation mit aktiver Firewall ja letztendlich doch funktioniert wenn auch mit einer Wartezeit von 10 Minuten.

Beste Grüße!

Content-ID: 485498

Url: https://administrator.de/forum/windows-10-server-2012-r2-firewall-und-gpo-485498.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr

Spirit-of-Eli
Lösung Spirit-of-Eli 16.08.2019 um 07:31:46 Uhr
Goto Top
Moin,

aktiviere das Logfile. Dann siehst du wo es hängt.
Zu finden unter den erweiterten Firewall Einstellungen und zu konfigurieren pro Gruppe (Bsp. Domänen Firewall Profil)

Gruß
Spirit
DerWoWusste
DerWoWusste 16.08.2019 um 09:11:55 Uhr
Goto Top
Hi.

Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung
Mach dir bitte klar, dass auf den Clients die Regeln "Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung" keinen Sinn ergeben, da hier kein AD-/DNS-/DHCP-Verkehr eingehend stattfindet, sondern ausgehend initiiert wird (und die Antworten sind dann eh zugelassen).

Sag bitte in zwei Sätzen, was Du erreichen willst.
Domänenclients brauchen keine eingehenden Portfreigaben und sind by default dicht.
Domänencontroller bekommen alle nötigen Ausnahmen für die Domänencontrollerrolle (alle, die du nennst) automatisch gesetzt.

Somit: Will man zusätzliche Regeln, dann in der Regel nur, um als Admin von der eigenen Workstation die Clients zu administrieren (RDP zum Beispiel).
TheEPOCH
TheEPOCH 23.08.2019 um 09:04:42 Uhr
Goto Top
Hallo Helfer,

danke für eure Antworten.

Leztendlich fehlte die vordefinierte Regelgruppe "AD-Webdienste" in den Firewalleinstellungen, welche ich über GPO verteilt habe. Wie und warum sich das auf die Loginzeit auswirkt um dann letztendlich doch zu funktionieren... egal, jetzt läufte es flüssig.

Über die Wiederherstellung der Standard Firewall Regeln auf dem Server, erhielt ich eine Liste die ich dann einfach in die GPO kopieren und an die Clients durchreichen konnte.

Beste Grüße