Pro - Einschränkungen Netzwerkzugriff (verglichen mit Server-OS)

[robotroonie 10]

ADM-Template von XP SP2 auf 2k eingebunden. Die relevante Setting sollte ja in der system.adm sein. Alles ist korrekt eingebunden; der entspr. Eintrag wird aber trotzdem nicht angezeigt.

Habe nun nach einem Gespräch mit einem Systemhäusler noch einen heißen Tipp bekommen: es könnte an einem Dienst auf dem Server liegen, der deaktiviert werden muss. Das Problem wäre bekannt. Welcher Dienst das sei, soll mir in den nächsten Stunden mitgeteilt werden (Ansprechpartner dafür außer Haus).

[robotroonie 10]

Auf den Servern läuft keine Firewall, da diese ja nur W2k haben.

 

In Verdacht ist jetzt WINS: dieses ist nicht implementiert (keine Wins-Server und 98% der Clients ohne Netbios-Name). Zu öffnende Ports wären 389 und 4125

 

Das Testen offener Ports sollte doch mit telnet auf den betr. Router und Angabe des Ports möglich sein? Bekomme da immer "Connect failed/Verbindung fehlgeschlagen" (auch vom DC aus - ohne Firewall). Sollte bei geschlossenem Port nicht "connection refused" kommen?

[IThome 10]

WINS ? Wenn Du mit IP-Adresse verbindest, spielt WINS und Konsorten keine Rolle ...

[lefg 276]

Off-Topic:
Hallo,

ich versuche diesen Vorgang seit einer Weile zu verfolgen. Kann aber nicht erfassen, worum es wirklich geht, welches Problem existiert, welches primäre Problem.

Gruß

Edgar

[IThome 10]

Off-Topic:
Moin Edgar, es geht darum, dass kein Client von Netz A einen Client in Netz B via SMB erreichen kann. Meiner Ansicht nach eine Windows-Firewall Geschichte. Zumindest deutet das Verhalten darauf hin, siehe #30

[robotroonie 10]

WINS wurde mir vom Systemhaus als Ursache benannt.

Habe gerade festgestellt, dass der Zugriff DC > Client anderes Subnet auch nicht geht.

Wie bereits geschildert, ist die Win-Firewall per Default Domain Policy definiert - mit diversen Ausnahmen für so einige Anwendungen. Ich kann mir per gpmc und Richtlinienergebnissatz anzeigen lassen, dass die RL aktiv ist, aus welcher Policy sie kommt und wo sie eigentlich zu finden sein müsste.

Allerdings fehlt der Unterpunkt zum Kfg der Firewall komplett (da, wo er eigentlich sein müsste). Bei anderen RL (z.B. lokale RL) wird er genau dort angezeigt. Tests wurden mit DCs W2k (importierte Templates von XPSP2 und danach W2k3) sowie von 4 XPSP2-Clients durchgeführt (einer x64, 3 x32); Rechner stehen in beiden Subnets; Ergebnis ist immer das Gleiche (obengenannte).

Am Freitag habe ich die Domain noch in 2 Standorte (sites) aufgeteilt mit den entsprechenden Einstellungen. Das ist zwar nicht unbedingt nötig, kann aber die Replikation optimieren. Auf das geschilderte Problem sollte das keinen Einfluss haben.

 

Noch mal: wie kann ich testen, ob die Ports an den Routern frei oder gesperrt sind? Habe ich mit telnet etwas falsch gemacht, oder gibt es noch weitere/bessere Tools? Mit netstat -na werden mir die freien ports des Client-PCs angezeigt - aber nicht vom Router.

 

Eine Liste der meiner Meinung nach freizugebenden Ports:

21 TCP FTP

25 TCP SMTP

53 TCP+UDP DNS

80 TCP HTTP

88 TCP+UDP Kerberos Secure Authentication

123 TCP NTP Time

135 TCP MS Networking

137 UDP MS Networking >>> auch TCP??

138 UDP MS Networking

139 TCP MS Networking

389 TCP LDAP >>> auch UCP??

443 TCP SSL

445 TCP NetBIOS over TCP/IP >>> auch UDP??

464 TCP UDP Kerberos Password

1025 oder 1026 TCP AD logon + directory replication

3268 TCP MS Global Catalog

3269 TCP MS Global Catalog w/ LDAP/SSL

3389 TCP RDP

4125 TCP connect to server desktop

[IThome 10]

Ich würde für einen Testclient eine Test-OU erstellen, diesen Client in diese OU verschieben und auf der OU die Richtlinienvererbung deaktivieren (soweit das Firewall-GPO nicht auf "Kein Vorrang" konfiguriert ist). Dann kannst Du die Firewall auf diesem Client zum Test abschalten und weisst dann auch, ob der Router blockt oder nicht ...

Btw, die Jungs von der externen Firma müssen doch wissen, was da konfiguriert ist ...

[lefg 276]

Off-Topic:
, es geht darum, dass kein Client von Netz A einen Client in Netz B via SMB erreichen kann. Meiner Ansicht nach eine Windows-Firewall Geschichte. Zumindest deutet das Verhalten darauf hin, siehe #30
Hallo Kuddel, also zwei Subnetze mit einem Server als Router dazwischen? Zwischen den Netzen soll mit dem Browser zugegriffen werden? Browser arbeitet doch nicht netzübergreifend, WINS ist dazu angesagt.

[lefg 276]

...der Zugriff DC > Client anderes Subnet auch nicht geht.

Betrifft das nur den einen Rechner oder auch andere Rechner?

 

Betrifft es nur das das eine oder beide Subnetze?

[IThome 10]

Off-Topic:
Da sind zwei Funkrouter zwischen, der Zugriff auf die Server (2000) der gegenüberliegenden Seite funktioniert, vom Server und von einem Client auf einen Client der gegenüberliegenden Seite dagegen nicht

[lefg 276]

Off-Topic:
Da sind zwei Funkrouter zwischen, der Zugriff auf die Server (2000) der gegenüberliegenden Seite funktioniert, vom Server und von einem Client auf einen Client der gegenüberliegenden Seite dagegen nicht

Wo sind die Funkrouter zwischen oder dran, mit Kabel am Server? Arbeiten die Geräte als Router oder als AP?

[IThome 10]

Off-Topic:
Keine Ahnung ...

[lefg 276]

Off-Topic:
Falls keine Klarheit besteht über die Struktur, die Geräte, die Funktionen, dann kann auch meine Kristallkugel nicht weiter.

Ich stochere zar manchmal gerne mit der Stange im Nebel rum, versuche einen Schalter zu finden, der Suchbereich aber muss systematisch eingrenzbar sein.

[robotroonie 10]

Betrifft das nur den einen Rechner oder auch andere Rechner?

 

Betrifft es nur das das eine oder beide Subnetze?

 

jeweils beide

[IThome 10]

Hast Du das mit der Test-OU mal probiert ?