Windows 10, Server 2012 r2, Firewall und GPO
Hallo zusammen,
ich habe unter Win Server 2012 r2 eine rudimentäre Firewall Einstellung unter Verwendung von vordefnierten Regeln erstellt, welche ich per GPO verteile.
Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung
Ausgehend: Zulassen, wider besseren Wissens habe ich analog (redundant, da ja schon zugelassen?) vordefinierte Regeln erstellt, natürlich nur diejenigen die ausgehend auch möglich sind.
Einziges "Special", lokale Regeln der Workstation sollen nicht berücksichtigt werden.
Jetzt hab ich folgende vier Szenarien:
- Windows 7, Einloggen in AD -> Kein Problem
- Von Win7 upgegradetes Win10, Einloggen in AD -> Kein Problem, Computer aus AD entfernen, neue "Erstanmeldung" in AD --> Kein Problem
- Frisch installiertes Win 10, Erstanmeldung in AD, Anmeldeprozess erfolreich, Benutzerlogin möglich, Neustart / Herunterfahren alles möglich, allerdings dauert jeder einzelne dieser Vorgänge locker 10 bis 15 Minuten
- Frisch instliertes Win10, wie oben, allerdings die Firewall über die Server GPO komplett deaktiviert -> Alles funktioniert schnell.
Ihr ahnt es, Szenario Nr. 3 ist das Problem. Das Ereignisslog des Servers schweigt sich dazu aus, die Workstation gibt eine Fehlermeldungen aus, dass die Login Zeit überschritten wurde.
Kennt jemand ein ähnliches Problem? Mache ich was grundlegendes mit Win10 auf nem Server 2012r2 falsch (admin. Templates von Win10 1809 sind übrigens hinterlegt)?
Ich kapiere vor allem nicht, dass die AD Kommunikation mit aktiver Firewall ja letztendlich doch funktioniert wenn auch mit einer Wartezeit von 10 Minuten.
Beste Grüße!
ich habe unter Win Server 2012 r2 eine rudimentäre Firewall Einstellung unter Verwendung von vordefnierten Regeln erstellt, welche ich per GPO verteile.
Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung
Ausgehend: Zulassen, wider besseren Wissens habe ich analog (redundant, da ja schon zugelassen?) vordefinierte Regeln erstellt, natürlich nur diejenigen die ausgehend auch möglich sind.
Einziges "Special", lokale Regeln der Workstation sollen nicht berücksichtigt werden.
Jetzt hab ich folgende vier Szenarien:
- Windows 7, Einloggen in AD -> Kein Problem
- Von Win7 upgegradetes Win10, Einloggen in AD -> Kein Problem, Computer aus AD entfernen, neue "Erstanmeldung" in AD --> Kein Problem
- Frisch installiertes Win 10, Erstanmeldung in AD, Anmeldeprozess erfolreich, Benutzerlogin möglich, Neustart / Herunterfahren alles möglich, allerdings dauert jeder einzelne dieser Vorgänge locker 10 bis 15 Minuten
- Frisch instliertes Win10, wie oben, allerdings die Firewall über die Server GPO komplett deaktiviert -> Alles funktioniert schnell.
Ihr ahnt es, Szenario Nr. 3 ist das Problem. Das Ereignisslog des Servers schweigt sich dazu aus, die Workstation gibt eine Fehlermeldungen aus, dass die Login Zeit überschritten wurde.
Kennt jemand ein ähnliches Problem? Mache ich was grundlegendes mit Win10 auf nem Server 2012r2 falsch (admin. Templates von Win10 1809 sind übrigens hinterlegt)?
Ich kapiere vor allem nicht, dass die AD Kommunikation mit aktiver Firewall ja letztendlich doch funktioniert wenn auch mit einer Wartezeit von 10 Minuten.
Beste Grüße!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 485498
Url: https://administrator.de/forum/windows-10-server-2012-r2-firewall-und-gpo-485498.html
Ausgedruckt am: 26.12.2024 um 20:12 Uhr
3 Kommentare
Neuester Kommentar
Hi.
Sag bitte in zwei Sätzen, was Du erreichen willst.
Domänenclients brauchen keine eingehenden Portfreigaben und sind by default dicht.
Domänencontroller bekommen alle nötigen Ausnahmen für die Domänencontrollerrolle (alle, die du nennst) automatisch gesetzt.
Somit: Will man zusätzliche Regeln, dann in der Regel nur, um als Admin von der eigenen Workstation die Clients zu administrieren (RDP zum Beispiel).
Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung
Mach dir bitte klar, dass auf den Clients die Regeln "Eingehend: Blockieren, außer AD, DHCP, DNS, Daten- und Druckerfreigabe, Kernnetzwerk, Netzwerkerkennung" keinen Sinn ergeben, da hier kein AD-/DNS-/DHCP-Verkehr eingehend stattfindet, sondern ausgehend initiiert wird (und die Antworten sind dann eh zugelassen).Sag bitte in zwei Sätzen, was Du erreichen willst.
Domänenclients brauchen keine eingehenden Portfreigaben und sind by default dicht.
Domänencontroller bekommen alle nötigen Ausnahmen für die Domänencontrollerrolle (alle, die du nennst) automatisch gesetzt.
Somit: Will man zusätzliche Regeln, dann in der Regel nur, um als Admin von der eigenen Workstation die Clients zu administrieren (RDP zum Beispiel).