Pro - Einschränkungen Netzwerkzugriff (verglichen mit Server-OS)

[robotroonie 10]

Die nForce-FW ist deaktiviert. Trotzdem ein guter Tip. Die lokale FW wird von einer GRL gesteuert. Schau ich mal nach.

[robotroonie 10]

Habe mal protokollieren verworfener Pakete aktiviert:

 

#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

 

2006-08-17 11:28:00 DROP ICMP 192.168.2.254 192.168.2.116 - - 56 - - - - 5 1 - RECEIVE

 

zahllose dieser Einträge (immer gleiche IP-Einträge)

[IThome 10]

Schalt die Firewall zum Test mal ganz aus oder konfiguriere die Ausnahmen für "Alle Computer, einschliesslich Internet" ...

[robotroonie 10]

Bin noch auf der Suche, wo diese festgelegt ist.

 

In Default Domain Policy wirds wohl sein.

 

Aber nicht in

Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und dann Windows-Firewall.

[IThome 10]

Gpresult ...

[robotroonie 10]

Ist alles irgendwie schon zu lange her.

 

Woher weiß ich, wo der Eintrag

KeyName: Software\Policies\Microsoft\WindowsFirewall\DomainProfile

steht? (so zeigt das ja nur auf einen Registry-Key)

[robotroonie 10]

Bin immer noch nicht weiter.

 

Im Richtlinienergebnissatz wird mir gesagt, dass die Reg-Einstellungen nicht mit einer ADM-Vorlage übereinstimmen und ggf durch ein zusätzliches Snap-In definiert wurden.

 

Im Gruppenrichtlinienergebnissatz steht wieder der Pfad der Default Domain Policy (Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und dann Windows-Firewall). Da ist aber kein Eintrag, den man konfigurieren könnte (gar kein Unterordner in NW- und DFÜ-Verbindungen; alle Einstellungen in diesem Ordner sind auf "nicht konfiguriert".

 

Das Merkwürdige: in den "Richtlinien für lokaler Computer" sowie 2 weiteren, erstellten RL gibt es die gesuchten Einträge (hier aber nicht konfiguriert); nicht jedoch in Default Domain und Default DC Policy.

 

Das Recht Bearbeiten/Löschen/Sicherheit verändern hat der Admin-Account, mit dem ich das Ganze probiere.

[lefg 276]

Netz hat 3 DCs und zahllose Clients; speziell auf einem ist eine Freigabe, die von überall aus erreichbar sein muss.

Das Netz wurde nun in 2 geroutete Subnetze getrennt; der Zugriff auf Server (gegenseitig), Internet, Exchange usw. funktioniert alles.

Den betreffenden Client-PC kann ich auch pingen. Allerdings kann ich mich aus dem anderen Subnetz nicht direkt darauf verbinden. Dies scheint jeweils für alle Clients im anderen Subnetz zu gelten (also auch vom Server Netz A auf Client Netz B).

Gehören die Rechner in diesen Netzen zu einer gemeinsamen Domäne?

[IThome 10]

Ist das ein 2000 DC und hast Du die Richtlinien von einer XP-SP2 Maschine konfiguriert ?

[robotroonie 10]

Alle angesprochenen PCs sind Mitglied der 2000er Domain.

Versuche wurden von 3 XP Pro SP2-Clients gemacht; 2 davon x32 / 1 x64-Edition

[IThome 10]

Ich spreche von der Konfiguration der Gruppenrichtlinien, sind die von einer XP-SP2 Maschine aus ausgeführt worden ?

Das Merkwürdige: in den "Richtlinien für lokaler Computer" sowie 2 weiteren, erstellten RL gibt es die gesuchten Einträge (hier aber nicht konfiguriert); nicht jedoch in Default Domain und Default DC Policy.

[robotroonie 10]

mW: Ja

[IThome 10]

Dann solltest Du die Einstellungen der Windows-Firewall voneiner XP2 Maschine aber auch in der Default Domain Policy sehen und einstellen können ...

[robotroonie 10]

Dem ist aber nicht so - habe ja schon alles mögliche probiert.

 

Um die andere Fragestellung noch einmal zu präzisieren: kann es überhaupt ein geblockter Port sein, wenn der Zugriff DC > DC und Client > DC zwischen beiden Netzen funktioniert? Oder anders: was ist beim Traffic Client > Client anders als beim Traffic zum DC?? Werden wirklich andere Ports/Protokolle verwendet???

[IThome 10]

Den betreffenden Client-PC kann ich auch pingen. Allerdings kann ich mich aus dem anderen Subnetz nicht direkt darauf verbinden. Dies scheint jeweils für alle Clients im anderen Subnetz zu gelten (also auch vom Server Netz A auf Client Netz B). Zwischen beiden Netzen funktioniert nur der Zugriff auf die Server uneingeschränkt. Innerhalb eines Subnetzes ist der Zugriff auf alle Clients möglich.

Ich beziehe mich hierauf und ziele auf die Windows-Firewall der XP-Clients. Ping geht (per Default ist eingehender Echo Request erlaubt) , der Zugriff aus einem anderen Subnetzt nicht (per Default ist die Ausnahme der Datei- und Druckerfreigabe auf das eigene Subnetzt beschränkt), Server-Server und Client-Server Verbindung klappt (wahrscheinlich kein Firewall auf den Servern an), innherhalb des Subnetzes klappt der Zugriff (Firewall-Ausnahme für eigenes Subnetz).

Du kannst auch die ADM-Templates einer XP SP2 MAschine auf dem 2000er benutzen.