firewall erkennt domain profile nicht

[boerner 10]

hallo zusammen,

 

ich hab hier im netz einen server der nicht erkennt in welchem firewall profil er arbeiten soll.

ich druecke auf jeden rechner in der domain die policy das die fw im domain netz inaktiv sein soll, funktioniert auch auf allen anderen clients und servern.

 

Windows Firewall: Protect all network connections Disabled

 

der eine server merkt aber seit samstag nicht mehr das er in der domain ist. anmelden etc. funktioniert allerdings noch ohne probleme (ueber iLO bzw wenn ich die den dienst beende).

 

ich hab ihm die policy auch schon entzogen und neu gegeben...hat auch nichts geholfen.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History << hilft es evtl. hier die policy manuell aus der registry zu entfernen und neu ziehen zu lassen?

[olc 18]

Hi,

 

Du mußt den Schlüssel nicht löschen, ein normales GPUPDATE /FORCE hat den selben Effekt.

 

Die Frage ist eher, warum die Policy Änderung nicht auf dem Server ankommt oder aber warum das Netzwerk nicht als "intern" erkannt wird - dafür kommen viele Gründe in Betracht. Anfangen mit der Ursachenanalyse würde ich, indem ich die Ereignisprotokolle des Servers auf Fehler überprüfe.

 

Viele Grüße

olc

[boerner 10]

Hi,

 

das hab ich mir schon gedacht. Aber koennte ja sein das hier was hakt...

 

Das ist ja das Problem die Bootsequenz sieht genau so aus als wenn ich die Policy nicht auf den Server anwende, ausser das es bei aktiver Policy Meckereien vom Cluster gibt. Andere Fehler gibt es heir nicht die darauf hinweisen koennten.

 

Netdiag ist auch sauber rausgekommen.

 

noch andere Ideen?

 

gruss

[IThome 10]

In dem von Dir angegebenen Registrykey steht entweder der DNS-Suffix oder das IP-Netz, welches beim Anwenden der Richtlinie gültig war. Immer wenn der Server diesen Wert hat, da da drin steht, wird er als verwaltet angesehen (Domänenprofil). Was steht denn da drin ?

Hier mal der Artikel, der diese Funktionsweise beschreibt ...

The Cable Guy - May 2004

[boerner 10]

da steht nichts.

braucht der server nen reboot wenn ich da manuell was eintrage?

[IThome 10]

Er sollte selbst nach Anwenden der Gruppenrichtlinie dort etwas eintragen. Wenn da nichts steht, dann wundert es mich nicht, dass die Richtlinie nicht wirkt. Welches Servicepack hat der Server ? Ist er direkt mit dem DC verbunden (LAN) ?

Poste bitte mal ein IPCONFIG /ALL des Servers ...

[boerner 10]

sp2

logonserver ist sein dc in seiner site

 

Windows IP Configuration

 

Host Name . . . . . . . . . . . . : servername

Primary Dns Suffix . . . . . . . : domain.net

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : domain.net

 

Ethernet adapter Team:

 

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : HP Network Team #1

Physical Address. . . . . . . . . : xxxx

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 10.xx.xx.xx

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 10.xx.xx.xx

DNS Servers . . . . . . . . . . . : 10.xx.xx.xx

10.xx.xx.xx

 

Ethernet adapter Heartbeat:

 

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : heartbeat

Physical Address. . . . . . . . . : xxxx

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 172.xx.x.x

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . :

 

Ethernet adapter management:

 

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : management

Physical Address. . . . . . . . . : xxxx

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 15.xx.xx.xx

Subnet Mask . . . . . . . . . . . : 255.255.255.128

Default Gateway . . . . . . . . . :

 

1 zu 1 das gleiche result bei dem anderen cluster node

[IThome 10]

Er hat kein Verbindungssuffix, was einer der möglichen Ursachen sein kann. Allerdings würde er ohne Verbindungssuffix das zum Zeitpunkt der Anwendung der Gruppenrichtlinie gültige IP-Netz eintragen. Gib ihm mal ein Verbindungssuffix beim Teamadapter und führe danach erneut GPUPDATE durch ...

[boerner 10]

das war eines der ersten dinge die ich gemacht habe inkl. anschliessendem reboot

hat nichts geholfen

[IThome 10]

Die Richtlinie wendet er aber an (RSOP.MSC ausführen) ? Was hat sich denn Samstag im Netzwerkbereich auf diesem Server verändert ? Der Registry-Key ist leer oder steht da ein IP-Bereich drin ? Wie ist die Bindungsreihenfolge der Netzwerkkarten auf dem Server ?

[boerner 10]

rsop hat keine fehlerhaften policies gezeigt.

die policy wird angewendet (hab ich ja erstmal fuer den einen server denied)

nichts hat sich geaendert, war nur nen reboot (mit 10 anderen servern)

der regkey ist leer

binding ist die reihenfolge wie oben im ipconfig beschrieben

 

normale config ist bei allen anderen servern die gleich, die haben allerdings die ip in dem regkey stehen.

 

ich habe auf dem server nun erstemal die firewall deaktiviert. wuerde dennoch gerne wissen wieso der hund nicht sein richtiges profil aktiviert

[IThome 10]

Weil er den Regkey nicht füllt ;). Mit Bindungsreihenfolge meine ich die Einstellungen in Netzwerkverbindungen - Erweitert - Erweiterte Einstellungen ...

[boerner 10]

ja, danke ;) aber warum fuellt er ihn nicht? *g

 

das binding ist die selbe reihenfolge ausser das die einzelnen teamingdevices noch vorm hb und mngmt stehen.

[IThome 10]

Ist die Firewalleinstellung auf dem betroffenen Server eigentlich ausgegraut (in der GUI) ?

[boerner 10]

jo ist sie, die policy ist ja auch aktiv.