edocom 10 Geschrieben 7. Februar 2008 Melden Geschrieben 7. Februar 2008 Hallo, ich ärgere mich jetzt zu tode... folgender sachverhalt: w2k3 server & xp sp2 pc, ich habe in der gpo die windows firewall so geregelt, dass wenn sich der pc nicht in der domäne befindet, die firewall aktiv ist, wenn er aber in der domäne ist, die firewall sich auf inaktiv setzt! wenn ich mich jetzt mit vpn anmelde und einen gpo mache, wechselt die firewall nicht in den inaktiven zustand! sie bleibt aktiv obwohl ich mit meiner domäne über vpn verbunden bin...! ich weis nicht wieso?! Zitieren
jbad 10 Geschrieben 7. Februar 2008 Melden Geschrieben 7. Februar 2008 Hi.. Kann es nicht sein das dein Gerät beim Aufbau einer VPN kein gpupdate fährt? Zitieren
edocom 10 Geschrieben 7. Februar 2008 Autor Melden Geschrieben 7. Februar 2008 auch wenn ich es manuel ausführe, die firewall bleibt auf aktiv...! Zitieren
nobex 10 Geschrieben 7. Februar 2008 Melden Geschrieben 7. Februar 2008 Du hast evtl. mehrere Netzwerkverbindungen und ich nehme an, dass System checkt ALLE auf Domänenkonnektivität, bevor es dir Firewall herunterfährt. Wäre ja auch vom Sicherheitsaspekt sinnvoll. Zitieren
IThome 10 Geschrieben 7. Februar 2008 Melden Geschrieben 7. Februar 2008 Verteilst Du via DHCP einen DNS Verbindungssuffix ? Wenn nicht, welchen Adressbereich bekommt der Client, wenn er sich via VPN anmeldet ? Poste bitte IPCONFIG /ALL, wenn der Client via VPN und direkt verbunden ist. Die Prüfung der Domänenzugehörigkeit bedeutet: Wenn diese Richtlinie zum ersten Mal angewendet wird (also eine Verbindung zur Domäne besteht), wird der derzeit gültige Verbindungssuffix gespeichert, der üblicherweise vom DHCP-Server kommt. Existiert kein Verbindungssuffix (weder vom DHCP noch manuell), wird die zum Zeitpunkt der ersten Anwendung der Richtlinie gültige Netzwerk-ID zur Prüfung der Domänenzugehörigkeit benutzt. Stimmt also der Verbindungssuffix bzw. die Netz-ID, kommen die Einstellungen des Domänenprofils zum Tragen. Ist es ein anderes Verbindungssuffix oder eine andere Netz-ID (dazu zählt auch keine Netzwerkverbindung, Karte deaktiviert usw.), kommen die Einstellungen des Standardprofils zum Tragen ... The Cable Guy - May 2004 Zitieren
edocom 10 Geschrieben 7. Februar 2008 Autor Melden Geschrieben 7. Februar 2008 so hab jetzt alles überprüft, habe den dns-suffix manuel eingetragen funzt aber immer noch nicht, was ich bemerkt habe, er zeigt mir keinen default gateway...! komisch ist nur das andere einstellungen übernommen werden...! Zitieren
IThome 10 Geschrieben 7. Februar 2008 Melden Geschrieben 7. Februar 2008 Du interpretierst diese Funktion nicht richtig. Es bedeutet NICHT, dass der Rechner mit der Domäne verbunden ist. Es geht um ein verwaltetes Netz und ein nicht verwaltetes Netz. In dem Moment, wo sich der Client erstmalig diese Richtlinie zieht und ein Verbindungssuffix hat, nimmt er an, dass er sich immer im verwalteten Netz befindet, wenn er dieses Verbindungssuffix hat. Hat er kein Verbindungssuffix, nimmt er an, dass er sich im verwalteten Netz befindet, wenn er eine Adresse des IP-Bereiches hat, die er zu dem Zeitpunkt hatte, als er erstmalig die Richtlinie bekommen hat. Da Du offensichtlich keine Suffixe verteilst, ist der IP-Bereich für den Client entscheidend. Und der ist eben in der Zweigstelle anders als in der Hauptstelle, weswegen die Firewall angeschaltet wird (wie im Standardprofil in der Richtlinie angegeben). Es hat nichts damit zu tun, ob er den DC erreichen kann oder nciht, sondern wo sich der Client gerade befindet ... Zitieren
nobex 10 Geschrieben 7. Februar 2008 Melden Geschrieben 7. Februar 2008 Ok, Domäne war schlecht ausgedrückt und spielt bei der Erkennung keine Rolle. Laut Kabelmann (The Cable Guy - May 2004) wird die Erkennung allerdings über eine VPN-Verbindung immer fehlschlagen -> Firewall bleibt oben. Zitieren
IThome 10 Geschrieben 7. Februar 2008 Melden Geschrieben 7. Februar 2008 Kommt auf den Suffix an, der vom lokalen DHCP ja auch an die LAN-Karte verteilt werden kann ... Zitieren
edocom 10 Geschrieben 11. Februar 2008 Autor Melden Geschrieben 11. Februar 2008 hallo IThome ich verstehe was du meinst, ich weis aber nicht wie ich das lösen kann/soll...?! hast du einen lösungsvorschlag? Zitieren
IThome 10 Geschrieben 11. Februar 2008 Melden Geschrieben 11. Februar 2008 Verteile auf beiden Seiten den gleichen DNS-Suffix und lösche in der Registry des Clients den folgenden Wert (vor dem erneuten Anwenden der Richtlinie und nach dem Verteilen des Suffixes) ... HKLM/SYSTEM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/GROUP POLICY/HISTORY/"Networkname" Dort steht jetzt wahrscheinlich Deine Netzwerk-ID. Also DHCP auf beiden Seiten anpassen (Suffix verteilen lassen), diesen Wert löschen (die Netzwerk-ID) und leer lassen, bei Verbindung zum DC GPUPDATE /FORCE durchführen und den Wert erneut kontrollieren ... Zitieren
edocom 10 Geschrieben 12. Februar 2008 Autor Melden Geschrieben 12. Februar 2008 geht leider alles nicht :( naja... so soll es sein... Zitieren
IThome 10 Geschrieben 12. Februar 2008 Melden Geschrieben 12. Februar 2008 Sicher geht das ... Was hast Du gemacht ? Zitieren
edocom 10 Geschrieben 12. Februar 2008 Autor Melden Geschrieben 12. Februar 2008 ja ich habe den key geöfnet den du vorgeschlagen hast und da war bereits mein dnx-suffix eingetragen...! alo habe ich es so belassen...! ich kann dem pc einfach nicht über die vpn verbindung beibringen, dass er jetzt in der domäne ist...! Zitieren
IThome 10 Geschrieben 12. Februar 2008 Melden Geschrieben 12. Februar 2008 Mach mal folgendes: 1. Entferne den Verbindungssuffix, den Du manuell eingetragen hast. 2. Konfiguriere den DHCP in der Zweigstelle so, dass er den gleichen Suffix wie in der Hauptstelle verteilt 3. Entferne den Wert in der Registry des Clients 4. Schliesse den Client in der Hauptstelle an und führe GPUDATE /FORCE durch Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.