matsmats
Goto Top

Windows Fileserver nicht pingbar - aber erreichbar?

Liebe Community,

ich stehe auf dem Schlauch und benötige Hilfe.

Umgebung:
Windows Server 2019 Standard 1809 - Update-Stand 04.01.
- HyperV (DC, FS , OPNSense)

Seit Updates & Neustart des Servers und alles VMs kam das Phänomen auf, dass die Scanner nicht mehr in das Netzwerkshare scannen konnten.

Die Scanner greifen per \\AG-FS\scanner auf den Fileserver zu.
Alle Arbeitsplätze - die auch per SMB-Freigabe auf dem Server arbeiten - haben keine Probleme.
Durch ändern von \\AG-FS\scanner in \\192.168.1.11\scanner können die Geräte wieder arbeiten.

Das Merkwürdige ist:
ping AG-FS löst 192.168.1.11 auf. Ist aber nicht pingbar.
192.168.1.11 direkt ist nicht pingbar.
Werder in der OPNSense auch auch in der Fileserver-Firewall ist ICMP ist nicht geblockt.

Was mich total verwirrt ist, dass ich per \\192.168.1.11\scanner oder am Windows-Client auch per \\AG-FS\scanner zugreifen kann.

Die IP des FS ist auch 192.168.1.11 face-smile Vom FS aus kann ich alle Geräte pingen.

Ein einfacher Neustart des FS ist leider noch nicht möglich gewesen, da hier fleißig gearbeitet wird.
Habt ihr einen Tipp für mich? Ich hoffe ich habe nicht´s relevantes vergessen.

Viele Grüße
Mats

Content-Key: 82318809186

Url: https://administrator.de/contentid/82318809186

Printed on: July 22, 2024 at 10:07 o'clock

Member: SachsenHessi
SachsenHessi Jan 05, 2024 at 08:05:44 (UTC)
Goto Top
Evtl. ICMP ausgeschalten ?
SH
Member: em-pie
em-pie Jan 05, 2024 at 08:08:34 (UTC)
Goto Top
Moin,

Das Merkwürdige ist:
ping AG-FS löst 192.168.1.11 auf. Ist aber nicht pingbar.
192.168.1.11 direkt ist nicht pingbar.
Werder in der OPNSense auch auch in der Fileserver-Firewall ist ICMP ist nicht geblockt.

Definiere "Nicht geblockt"!
Generell arbeiten Firewalls ja ja dem Whitelisting-Prinzip: Alles, was nicht explizit erlaubt ist, ist verboten.
Deiner Aussage nach kann man aber nicht einschätzen, ob ihr ICMP explizit erlaubt habt.
Member: jsysde
Solution jsysde Jan 05, 2024 at 08:43:51 (UTC)
Goto Top
Moin.

Evtl. steht die Network Category nicht auf "Domain Authenticated", ergo greift ein anderer Satz Firewallregeln?

Cheers,
jsysde
Member: matsmats
matsmats Jan 05, 2024 at 08:48:00 (UTC)
Goto Top
Definiere "Nicht geblockt"!
Generell arbeiten Firewalls ja ja dem Whitelisting-Prinzip: Alles, was nicht explizit erlaubt ist, ist verboten.
Deiner Aussage nach kann man aber nicht einschätzen, ob ihr ICMP explizit erlaubt habt.

Intern ist alles offen und erlaubt.


Zitat von @SachsenHessi:

Evtl. ICMP ausgeschalten ?
SH

Kann man das ausschalten? Ich kenne nur den Weg das über die Win-FW zu blockieren. Und das ist nicht der Fall.

Zitat von @jsysde:

Moin.

Evtl. steht die Network Category nicht auf "Domain Authenticated", ergo greift ein anderer Satz Firewallregeln?

Cheers,
jsysde

Das muss ich mal prüfen. Geht erst am Nachmittag
Member: mreini
mreini Jan 05, 2024 at 09:06:52 (UTC)
Goto Top
Zitat von @jsysde:

Moin.

Evtl. steht die Network Category nicht auf "Domain Authenticated", ergo greift ein anderer Satz Firewallregeln?

Cheers,
jsysde

Würde ich auch tippen das gleiche hatte ich auch mit einem windows server diese Woche erst. Passt auf jedenfall zum Fehlerbild. Falls es das ist
https://4sysops.com/archives/change-windows-network-profiles-between-pub ...

Umstellung auf Domain geht nicht aber auf private dann sollte er auch wieder auf die Domain springen

Gruß
Member: jsysde
jsysde Jan 05, 2024 at 09:13:37 (UTC)
Goto Top
Moin.
Zitat von @mreini:
[...]Umstellung auf Domain geht nicht aber auf private dann sollte er auch wieder auf die Domain springen
Sagt wer? Warum sollte das nicht gehen?
Bis einschl. Server 2019 einfach NLA-Dienst neu starten....

Cheers,
jsysde
Member: mreini
mreini Jan 05, 2024 at 09:33:05 (UTC)
Goto Top
Zitat von @jsysde:

Moin.
Zitat von @mreini:
[...]Umstellung auf Domain geht nicht aber auf private dann sollte er auch wieder auf die Domain springen
Sagt wer? Warum sollte das nicht gehen?
Bis einschl. Server 2019 einfach NLA-Dienst neu starten....

Cheers,
jsysde

Mittels Powershell hat es mein Server gesagt ^^
Direkt konnte ich es nicht umstellen auf Domäne da hat er einen Fehler ausgespuckt. Nachdem ich die Connection auf private gestellt hatte, hat er dann auch gleich darauf sein Profil auf Domain gestellt
Member: zer0g2224
zer0g2224 Jan 05, 2024 at 10:26:54 (UTC)
Goto Top
Hi,

ich ignoriere mal die Ping Geschichte und werfe mal ne andere Frage auf:

Wie authentifizieren sich die Scanner?
Bei unseren Brother MFC Geräten waren auf Grund von den Sicherheitsupdates letztes Jahr auch Änderungen nötig.
Wo vorher beim Username domain\scanner ausgereicht hat, haben wir nun auf scanner@meine.domain.de umgestellt. Seitdem geht es wieder.

Seitdem machen wir alles über "echte" DNS Namen und verzichten auf IP Adressen, soweit es nur geht.
Member: kreuzberger
kreuzberger Jan 05, 2024 at 10:34:02 (UTC)
Goto Top
@matsmats

Probiere mal das:

netsh firewall set icmpsetting type=8 mode=ENABLE

Kreuzberger
Member: matsmats
matsmats Jan 05, 2024 at 17:21:44 (UTC)
Goto Top
Danke Danke Danke!

Der FS war im "Privaten Netzwerk" anstatt im Domänennetzwerk. Ein neustart des NLA-Dienstes hat das Problem behoben und alles funktioniert wieder face-smile

Danke.
Tolles Forum.
Schönes Wochenende.
Member: Mosurama
Mosurama Jan 06, 2024 at 15:23:09 (UTC)
Goto Top
Servus,

das kann wieder vorkommen, wir haben das momentan auch häufig, z.B. nach Windows-Update-Installationen mit anschließendem Neustart

Ich empfehle den Blog hier dazu, vor allem bei Server 2022

VG