Netzwerk Phänomen mit Windows 2012R2 beim Starten

[Squire 260]

Hallo zusammen,

 

ich hab bei meinem Exchange Server ein Phänomen. Wenn ich die VM mit Windows 2012R2 neu starte ist sie von LAN Seite her minutenlang nicht erreichbar. Wenn ich mich auf der VM Konsole anmelde ist aber Netzwerkkonnektivität gegeben. Sprich die VM arbeitet sauber die Policies ab, andere Server sind pingbar - Zugriff nach außen besteht. Die Firewall ist per GPO im Domänennetzwerk deaktiviert. Netzwerk wird nach dem Start auch direkt als Domänennetzwerk erkannt und FW ist aus.

 

Irgendwann nach mehreren Minuten kann ich dann auch von LAN Seite her auf die VM zugreifen (Fileshare bzw. OWA).

 

Bis auf das etwas seltsame Startverhalten gibt es keine Probleme. Das Eventlog ist sauber. Winsock und IPStack hab ich schon mal zurückgesetzt.

 

Server ist komplett durchgepatched (Windows 2012R2 und Exchange 2016CU8)

 

Hat hier jemand ne Idee, woher das Verhalten kommen könnte?

[NorbertFe 2.016]

Das dürfte an den startabhängigkeiten der Exchange Dienste liegen. Die drängeln sich ziemlich in den Vordergrund und brauchen relativ lange, weil ein anderer Dienst (muss mal nachschauen) erst später gestartet wird. Ich kenn das Verhalten auch von einigen Servern.

[Squire 260]

ah ok - das wäre eine Erklärung. Könnte durchaus sein, dass das durch irgendeines der letzten CUs gekommen ist - ich meine das war "früher" nicht so 

[NorbertFe 2.016]

Ich kenne das vor allem von Exchange 2013, also das gibts schon länger ;)

[Nobbyaushb 1.464]

und wenn ich lese, das die Firewall per GPO aus ist, bekomme ich Pickel.

 

Guten Rutsch...

[Squire 260]

da gibts glaub ich was von Cler*sil ... aber in Deinem Alter sollten keine Pickel mehr kommen :D

 

Die Clients haben ne Firewall aktiv mit entsprechenden Regelwerk - die Server stehen hinter zwei Firewalls. Jetzt mal grundsätzlich - ich glaub einen großen Sicherheitsgewinn gibt 's nicht durch ne aktive Firewall auf den Servern. So lange ich z.B. SMB1 aktiv lassen muss, weil sonst DFS nicht richtig funktioniert. Oder gewisse Dienste dynamische Portbereiche über im Hi Port Bereich jenseits tcp/udp 1023 benötigen ... im normalen Windows Netzwerk wird die Firewall zwangsläufig eh zu einem Maschendrahtzaun aber nicht zu einer Wand um mal bei Bild zu bleiben. Die Clients gut geschützt und mit aktiver Firewall, eine Unternehmensfirewall vor dem Netz und Anwender die in Richtung Security Awareness geschult sind und nicht auf alles klicken was blinkt und sich bewegt ... das ist viel wichtiger

bearbeitet 30. Dezember 2017 von Squire

[NorbertFe 2.016]

Hast du mal mehr Infos zu smb1 und dfs?

[Squire 260]

Wir haben DFS auf 2012er Fileservern aktiv - SMB1-3 ist auf den Fileservern aktiv. Wenn man serverseitig oder clientseitig SMB1 deaktiviert ist kein Zugriff mehr auf das DFS möglich. Der DFS Stamm wird zwar angezeigt aber in die Verzeichnisse unterhalb des Stammes ist kein Zugriff mehr möglich. 

 

ich muss am Dienstag mal meinen Kollegen fragen - das ist seine Baustelle ...

 

ich hab den Post von meinem Kollegen gefunden. https://techcommunity.microsoft.com/t5/Windows-Insider-Program/Accessing-Windows-DFS-without-SMB1-not-possible-anymore/td-p/86061

bearbeitet 31. Dezember 2017 von Squire

[NorbertFe 2.016]

Kann ich weder noch bestätigen. Wir haben smb 1 überall deaktiviert und ich kann problemlos aufs sysvol und unseren anderen dfs Stamm zugreifen. Ich halte das für sehr unwahrscheinlich, dass dfs ein Problem mit/ohne smb1 hat.

 

Bye

Norbert

[Doso 77]

Ich habe das auch. Ich glaube das ist bei Exchange 2016 / Windows Server 2012R2 normal, in einer Testumgebung habe ich das auch beobachtet. Einfach etwas Geduld haben und gut ist.

bearbeitet 31. Dezember 2017 von Doso

[tesso 373]

@Doso

Was hat Exchange mit DFS zu tun?

[NorbertFe 2.016]

Nichts, das bezog sich auf das ursprüngliche Problem ;)