ohnepower
Goto Top

Windows Firewall nötig?

Hallo,

seit ein paar Tagen macht sich die Windows-Firewall an den Clients selbstständig!?

Vorweg: Bei uns läuft ein SBS 2003 mit 21 XP Prof. Clients. Wir haben beim Aufsetzten entschieden die Windows-Firewall zu nutzen und geben die Ausnahmen bzw. Einstellungen per Gruppenrichtlinie vor.

Jetzt taucht neuerdings das Problem auf das der Client irgendwie die Einstellungen für die Firewall "vergisst"! Danach ist er per Remote nicht mehr erreichbar weil die Ausnahmen bei aktivierter FW fehlen. Die Benutzeranmeldung dauert dann auch ewig.

Die Vorgaben sind nur im Domänenprofil vorgegeben, ist doch richtig oder? Das Standardprofil ist bislang unberührt. Oder ist es sinnvoll die FW im Standardprofil zu deaktivieren?

Nach einer Gruppenrichtlinienaktualisierung läuft alles wieder rund!

Hat jemand einen Tipp wie das zusammenhängt?
Und die entscheidene Frage: Nach außen läuft eine gute Hardware FW, wie wichtig ist die FW an den Clients? Geht's auch ohne? Eure Meinung ist gefragt.


Vielen Dank im Voraus!


Viele Grüße.

Content-ID: 85311

Url: https://administrator.de/forum/windows-firewall-noetig-85311.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

gemini
gemini 11.04.2008 um 22:12:43 Uhr
Goto Top
Hallo OhnePower,

...entschieden die Windows-Firewall zu nutzen und geben die Ausnahmen bzw. Einstellungen per Gruppenrichtlinie vor...
...das der Client irgendwie die Einstellungen für die Firewall "vergisst"!
...Die Benutzeranmeldung dauert dann auch ewig.
...
Nach einer Gruppenrichtlinienaktualisierung läuft alles wieder rund!
Ich glaube nicht dass der Client Einstellungen vergisst, viel wahrscheinlicher bekommt er sie gar nicht zur Kenntnis.
Das und die zögerliche Benutzeranmeldung deuten für mich auf ein Problem mit dem DNS hin.
Im Ereignisprotokoll des Clients müssten sich Einträge sinngemäß "...die Ausführung der Richtlinie wurde abgebrochen ..." finden. ID und Quelle kann ich dir aber nicht sagen.

Hast du die Namensauflösung mit nslookup schon getestet?
Ist eine Systematik zu erkennen? Bspw. nur morgens wenn alle gleichzeitig ihre Rechner einschalten.

Und die entscheidene Frage: Nach außen läuft eine gute HardwareFW, wie wichtig ist die FW an den Clients? Geht's auch ohne? Eure Meinung ist gefragt.
Das ist wie so vieles Ansichtsache, natürlich gehts auch ohne.
Ich habe die Desktop-Firewalls abgeschalten. Sofern eine vernünftig konfigurierte Firewall am Tor zur Welt steht reicht das m. E. aus. Es gibt natürlich auch Argumente für Desktop-FW und sicher auch Konstellationen wo ihr Einsatz sinnvoll ist.

Gruß,
gemini
OhnePower
OhnePower 12.04.2008 um 01:57:43 Uhr
Goto Top
Hallo Gemini,

ja irgendwie ist das Ganze komisch. Wenn ich die Gruppenrichtlinie am Client aktualisiere tauchen die Ausnahmen sofort wieder auf und im Ereignisprotokoll steht absolut garnichts!

Der DNS ist korrekt installiert. Die Clients lassen sich vollständig auflösen.
Eine Systematik läßt sich nicht erkennen. An einem Rechner geht die erste Anmeldung so durch, und beim zweiten Versuch dauert es wieder ewig lange. Dann geht wieder nen paar Mal alles gut und so weiter.

Jetzt habe ich aber gerade zufällig gesehn das im Ereignisbericht vom Server ein Eintrag aufgetaucht ist, das wir nicht über ausreichend Clientlizenzen verfügen! In der Tat fehlt da im Moment eine Lizenz. Macht der Server einfach den Hahn zu? Bislang hatten wir immer ausreichend Lizenzen. Wie verhält sich das? Lehnt der Server Sessions ab?


Gruß,
OhnePower
gemini
gemini 12.04.2008 um 08:25:12 Uhr
Goto Top
Moin OhnePower,

Der DNS ist korrekt installiert. die Clients lassen sich vollständig auflösen.
Das ist schon mal gut!

Eine Systematik läßt sich nicht erkennen. An einem Rechner geht die erste Anmeldung so durch, und beim zweiten Versuch dauert es wieder ewig lange. Dann geht wieder nen paar Mal alles gut und so weiter.
Wäre auch zu schön gewesen.

Jetzt habe ich aber gerade zufällig gesehn das im Ereignisbericht vom Server ein Eintrag aufgetaucht ist, das wir nicht über ausreichend Clientlizenzen verfügen! In der Tat fehlt da im Moment eine Lizenz.
Böses Foul! Wie kannst du Microsoft um ihr hartverdienstes Geld bringen? Steve Ballmer wird vor Zorn ganz rot anlaufen face-big-smile

Macht der Server einfach den Hahn zu? Bislang hatten wir immer ausreichend Lizenzen. Wie verhält sich das? Lenht der Server Sessions ab?
Den SBS kenn ich nicht, dem normalen Server 2003 (außer TS) ist das egal.
Falls es an den Lizenzen liegt würde das Phänomen immer nur bei einem Client auftreten, außerdem würde die Anmeldung nicht langsam vonstatten gehen sondern gar nicht.

Seit wann tritt das Problem auf und wurde irgendwas kurz vorher verändert?
Du könntest auch, bevor du die Richtlinien manuell aktuallisiert, gpresult an dem Problemclient ausführen. Dei Ausgabe sagt dir welche Richtlinien aus welchem Grund nicht angewendet wurden.

Gruß,
gemini
OhnePower
OhnePower 13.04.2008 um 14:27:40 Uhr
Goto Top
Hallo gemini,

dann kann ich die "Lizenzlösung" also auch vergessen. Wir haben nichts verändert außer ein paar neue Clients einzubinden.

Das Problem existiert knapp eine Woche. Es fing damit an das einige User angerufen haben weil die Rechner - direkt nach dem Starten morgens - nach dem Drücken von Strg+Alt+Entf zum Anmelden, einfach ohne Vorwarnung wieder heruntergefahren sind.
Kurze Zeit später die kam die Info das die Anmeldung sehr lange dauert, bzw. der Rechner "hängt". Wenn das Benutzerprofil geladen ist, gibt es keinerlei Einschränkungen, alle Netzwerkdrucker und -laufwerke sind online und schnell verfügbar! Das Problem tritt nicht bei allen Rechnern auf. Einige User haben überhaupt keine Probleme. Ich kläre morgen ob bei den Problemrechnern die FW Einstellungen fehlen, warum auch immer.

gpresult hat leider keine neuen Erkenntnisse gebracht.
Es ist zum Verzweifeln, ich hab keine Idee mehr!


Gruß,
OhnePower
eisenkarl
eisenkarl 16.04.2008 um 09:55:08 Uhr
Goto Top
von welchen clients redest du denn hier? Also welches OS oder sind das sogar unterschiedliche?
OhnePower
OhnePower 23.04.2008 um 18:56:41 Uhr
Goto Top
Hallo...

das Problem ist gelöst. Es war tatsächlich ein Lizenzproblem. Leider dauert es relativ lange bis der SBS 2003 bemerkt das der Lizenzumfang erweitert wurde.

@ eisenkarl: nur Win XP Prof. Clients


Vielen Dank für eure Tipps...