ccwurm 10 Geschrieben 31. Mai 2006 Melden Teilen Geschrieben 31. Mai 2006 Hallo, ich habe ein Problem mit IP-Sicherheitsrichtlinien. In meiner Testumgebung (zwei Windows Server 2003, einer ist DC der andere Mitgliedsserver) habe ich auf Domänenebene ein Gruppenrichtlinienobjekt erstellt, in welchem ich eine neue IP-Sicherheitsrichtlinie mit folgenden Einstellungen angelegt habe: In der Filterliste habe ich den vordefinierten Filter "All ICMP Traffic" ausgewählt, der als Quelladresse die eigene IP und als Zieladresse jede beliebige IP benutzt und eben den kompletten ICMP Datenverkehr definiert. Als Filteraktion benutze ich den vordefinierten Eintrag "Require Security", der mir den ICMP Datenverkehr somit verschlüsselt und signiert. Alle anderen Einstellungen habe ich beim Standardwert belassen und die neue Sicherheitsrichtlinie habe ich zugewiesen. Wenn ich jetzt am DC selbst den Befehl gpupdate benutze, bekomme ich keine Fehlermeldung. Wenn ich nun aber am Mitgliedsserver gpupdate ausführe, um das Gruppenrichtlinienobjekt anzuwenden, so dauert dieser sehr sehr lange und schlegt wohl fehl, immerhin sagt mir das die Ereignisanzeige mit folgendem Eintrag unter Anwendung: Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Unerwarteter Netzwerkfehler. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. Ich habe schon soviel rumprobiert, z.B. habe ich diese IP-Sicherheitsrichtlinie mal lokal auf beiden Rechner eingerichtet, mit dem Effekt, dass es reibungslos funktioniert hat. Auch TCP-Verkehr auf Port 23 (Telnet) habe ich so verschlüsselt (über GPO auf Domänenebene), dass hat auch funktioniert. Nur eben ICMP (möchte eben einen verschlüsselten Ping testen) krieg ich über GPO auf Domänenebene nicht richtig zum laufen. Hoffe sehr Ihr könnt mir etwas helfen? ccwurm Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 ICMP (PING) wird benutzt um festzustellen, ob die Gruppenrichtlinie über eine langsame Verbindung angewendet wird oder nicht. Wird ICMP geblockt oder werden die Router konfiguriert, dass ICMP-Pakete mit hoher Nutzlast verworfen werden, passiert das, was Du schilderst. Die Erkennung von langsamen Verbindungen kannst Du via GPO ausschalten ... Zitieren Link zu diesem Kommentar
ccwurm 10 Geschrieben 1. Juni 2006 Autor Melden Teilen Geschrieben 1. Juni 2006 Danke für deine Info. Jetzt ist es mir auch klar warum das mit der Aktualisierung der GPO am Client nicht funktioniert hat. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.