8
Windows XP Firewall in Domäne nutzt das falsche Profil
Moin!
Ich habe hier ein Problem mit einem Windows XP-Rechner. Dieser ist in einer Domäne, die per Gruppenrichtlinie die Einstellungen für die Firewall verteilt. Das funktioniert soweit auch, die Einstellungen werden von anderen XP-Rechnern erkannt und korrekt verarbeitet. Dieser Rechner aber aktiviert leider das falsche Profil.
Hintergrund: per GPO habe ich unterschiedliche Einstellungen für das Domänenprofil und das Standardprofil eingestellt. Das Domänenprofil wird aktiviert, wenn der Client sich im Domänennetzwerk befindet; das Standardprofil, wenn er sich in einem anderen Netzwerk befindet (z.B. ein Laptop im Aussendienst).
Auf dem betroffenen Client funktioniert diese Erkennung nicht. Der Client denkt, er wäre ausserhalb des Firmennetzwerks, und aktiviert das Standardprofil.
Herausgefunden habe ich schon folgendes: die Erkennung, in welchem Netzwerk der Client sich befindet, erfolgt über den per DHCP erhaltenen DNS-Domänennamen. Stimmt dieser mit dem Namen überein, den der Client beim Anwenden der GPO gespeichert hat, so aktiviert er das Domänenprofil.
Die Einstellungen im DHCP sind richtig und werden vom Client auch korrekt abgerufen. Das Problem ist der Wert, mit dem der Client die DHCP-Daten vergleicht. Der Wert wird in der Registry gespeichert:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName
Dieser Wert ist leer, wenn der Client gestartet wird. Dabei ist es egal, ob ich mich mit einem Domänen- oder einem lokalen Account anmelde.
Wenn ich auf dem Client ein "gpupdate" starte, so wird wie von Zauberhand der Wert korrekt mit dem Domänennamen gefüllt. Wenn ich anschliessend die Netzwerkverbindung deaktiviere und wieder aktiviere, dann schaltet die Firewall auch korrekt auf das Domänenprofil um.
Leider vergisst der Client beim nächsten Neustart diesen Wert wieder, der o.g. Wert in der Registry ist dann wieder leer, und er aktiviert das Standardprofil.
Auf anderen Rechnern in der Domäne funktioniert es problemlos, hier steht nach jedem Neustart der Domänenname in der Registry und die Firewall aktiviert das Domänenprofil.
Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.
Ich weiss nicht, wo ich weiter nach dem Fehler suchen soll, und warum das Problem anscheinend nur auf einem Client auftritt. Habt ihr eine Idee oder einen Ansatz, wo ich weitersuchen könnte?
Wenn ihr weitere Details benötigt, fragt einfach. In Kürze: der Client hat SP 3 und alle aktuellen Updates, PDC und BDC ebenso. Der PDC ist einziger aktiver DHCP-Server, die DNS-Informationen auf PDC und BDC sind identisch, sowohl PDC als auch BDC sind im DHCP als DNS-Server eingetragen. (Achtung Akronym-Akkumulation! *g*)
Würde mich freuen, wenn jemand eine Idee hat.
MfG
Martin
Ich habe hier ein Problem mit einem Windows XP-Rechner. Dieser ist in einer Domäne, die per Gruppenrichtlinie die Einstellungen für die Firewall verteilt. Das funktioniert soweit auch, die Einstellungen werden von anderen XP-Rechnern erkannt und korrekt verarbeitet. Dieser Rechner aber aktiviert leider das falsche Profil.
Hintergrund: per GPO habe ich unterschiedliche Einstellungen für das Domänenprofil und das Standardprofil eingestellt. Das Domänenprofil wird aktiviert, wenn der Client sich im Domänennetzwerk befindet; das Standardprofil, wenn er sich in einem anderen Netzwerk befindet (z.B. ein Laptop im Aussendienst).
Auf dem betroffenen Client funktioniert diese Erkennung nicht. Der Client denkt, er wäre ausserhalb des Firmennetzwerks, und aktiviert das Standardprofil.
Herausgefunden habe ich schon folgendes: die Erkennung, in welchem Netzwerk der Client sich befindet, erfolgt über den per DHCP erhaltenen DNS-Domänennamen. Stimmt dieser mit dem Namen überein, den der Client beim Anwenden der GPO gespeichert hat, so aktiviert er das Domänenprofil.
Die Einstellungen im DHCP sind richtig und werden vom Client auch korrekt abgerufen. Das Problem ist der Wert, mit dem der Client die DHCP-Daten vergleicht. Der Wert wird in der Registry gespeichert:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName
Dieser Wert ist leer, wenn der Client gestartet wird. Dabei ist es egal, ob ich mich mit einem Domänen- oder einem lokalen Account anmelde.
Wenn ich auf dem Client ein "gpupdate" starte, so wird wie von Zauberhand der Wert korrekt mit dem Domänennamen gefüllt. Wenn ich anschliessend die Netzwerkverbindung deaktiviere und wieder aktiviere, dann schaltet die Firewall auch korrekt auf das Domänenprofil um.
Leider vergisst der Client beim nächsten Neustart diesen Wert wieder, der o.g. Wert in der Registry ist dann wieder leer, und er aktiviert das Standardprofil.
Auf anderen Rechnern in der Domäne funktioniert es problemlos, hier steht nach jedem Neustart der Domänenname in der Registry und die Firewall aktiviert das Domänenprofil.
Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.
Ich weiss nicht, wo ich weiter nach dem Fehler suchen soll, und warum das Problem anscheinend nur auf einem Client auftritt. Habt ihr eine Idee oder einen Ansatz, wo ich weitersuchen könnte?
Wenn ihr weitere Details benötigt, fragt einfach. In Kürze: der Client hat SP 3 und alle aktuellen Updates, PDC und BDC ebenso. Der PDC ist einziger aktiver DHCP-Server, die DNS-Informationen auf PDC und BDC sind identisch, sowohl PDC als auch BDC sind im DHCP als DNS-Server eingetragen. (Achtung Akronym-Akkumulation! *g*)
Würde mich freuen, wenn jemand eine Idee hat.
MfG
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 185442
Url: https://administrator.de/contentid/185442
Printed on: April 24, 2024 at 01:04 o'clock
8 Comments
Latest comment
Hört sich ja interessant an 
Ich würde den Client mal in eine andere OU verschieben, wo die Firewall-Richtlinie nicht greift. Dann nochmals testen, ob er das korrekte Profil benutzt und danach wieder zurück schieben.
Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
Was sagt denn gpresult? Kannste ja mal hier posten.
Gruß
-iDiddi-
Ich würde den Client mal in eine andere OU verschieben, wo die Firewall-Richtlinie nicht greift. Dann nochmals testen, ob er das korrekte Profil benutzt und danach wieder zurück schieben.
Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
Was sagt denn gpresult? Kannste ja mal hier posten.
Gruß
-iDiddi-
Zitat von @iDiddi:
Hört sich ja interessant an
Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
Wenn der Client in der Domäne ist, werden die lokalen Richtlinien nicht gezogen, egal was man einstellt.Hört sich ja interessant an
Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
Zitat von @MartinGregoire:
Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.
Mach das noch einmal und entferne diesen Client auch manuell aus dem AD und DNS. So als Test.Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.
Zitat von @goscho:
> Zitat von @iDiddi:
> ----
> Hört sich ja interessant an
> Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
Wenn der Client in der Domäne ist, werden die lokalen Richtlinien nicht gezogen, egal was man einstellt.
> Zitat von @iDiddi:
> ----
> Hört sich ja interessant an
> Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
Wenn der Client in der Domäne ist, werden die lokalen Richtlinien nicht gezogen, egal was man einstellt.
Das ist aber nicht ganz korrekt. Sie werden überschrieben. Ob das aber dieses Verhalten erklärt, wage ich zu bezweifeln. War ja auch nur so 'ne Idee ;)
Zitat von @iDiddi:
Ich würde den Client mal in eine andere OU verschieben, wo die Firewall-Richtlinie nicht greift. Dann nochmals testen, ob er
das korrekte Profil benutzt und danach wieder zurück schieben.
Ich würde den Client mal in eine andere OU verschieben, wo die Firewall-Richtlinie nicht greift. Dann nochmals testen, ob er
das korrekte Profil benutzt und danach wieder zurück schieben.
Nachdem ich den Client in eine OU ohne die Richtlinie geschoben und ein "gpupdate" ausgeführt habe, hat er wieder die normale Windows-Firewall geladen, wie erwartet.
Nach dem Zurückschieben in seine eigentliche OU und einem "gpupdate" hat er die Firewall-Einstellungen der GPO übernommen und auch das Domänenprofil aktiviert - aber leider nur bis zum nächsten Neustart, danach war wieder das Standard-Profil aktiv.
Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
In den "Richtlinien für Lokaler Computer" auf dem Client gibt es die entspr. Einstellmöglichkeiten gar nicht, der Ordner "Computerkonfiguration / Administrative Vorlagen / Netzwerk" fehlt dort.
Was sagt denn gpresult? Kannste ja mal hier posten.
gpresult sagt: (der Client heisst ARCHIV2, die Domäne EDV)
Betriebssystem Microsoft (R) Windows (R) XP Gruppenrichtlinienergebnis-Tool v2.0
Am 24.05.2012 um 15:13:37 erstellt
RSOP-Ergebnisse für EDV\archiv auf ARCHIV2 : Protokollierungsmodus
Betriebssystemtyp: Microsoft Windows XP Professional
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 5.1.2600
Domänenname: EDV
Domänentyp: Windows 2000
Standortname: xxx
Zwischengespeichertes Profil:
Lokales Profil: C:\Dokumente und Einstellungen\archiv
Langsame Verbindung? Nein
COMPUTEREINSTELLUNGEN
CN=ARCHIV2,OU=Computer - Clients,DC=xxx,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 24.05.2012 at 15:10:55
Gruppenrichtlinie wurde angewendet von: pdc.xxx.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
WSUS - Clients
Windows Firewall-Einstellungen
Default Domain Policy
Local Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
----------------------------------------------------------------------------------------
[...]
Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Jeder
Benutzer
NETZWERK
Authentifizierte Benutzer
ARCHIV2$
Domänencomputer
BENUTZEREINSTELLUNGEN
CN=archiv,CN=Users,DC=xxx,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 24.05.2012 at 15:11:00
Gruppenrichtlinie wurde angewendet von: pdc.xxx.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Proxy-Einstellungen
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
----------------------------------------------------------------------------------------
[...]
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Domänen-Benutzer
Jeder
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL
Noch eine Idee?
MfG
Martin
Zitat von @goscho:
> Zitat von @MartinGregoire:
> Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder
hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.
Mach das noch einmal und entferne diesen Client auch manuell aus dem AD und DNS. So als Test.
> Zitat von @MartinGregoire:
> Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder
hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.
Mach das noch einmal und entferne diesen Client auch manuell aus dem AD und DNS. So als Test.
Okay, getan. Leider auch ohne Erfolg.
Habe den Client aus der Domäne entfernt, aus dem AD gelöscht, seine Einträge aus dem DNS- und DHCP-Server entfernt. Client neu gestartet.
Danach den Client wieder in die Domäne aufgenommen, in die korrekte OU verschoben, DHCP-Eintrag angelegt, "gpupdate". Er lädt das Domänenprofil, okay.
Nach einem Neustart aber das alte Problem: er hat wieder das Standardprofil geladen.
Eine weitere Idee hatte ich noch: ein Treiberproblem der Netzwerkkarte. Ein Windows Update direkt im Internet Explorer findet aber leider keinen aktuelleren Treiber.
In der Ereignisanzeige von PDC und Client bin ich auch nicht fündig geworden, keine besonderen Einträge.
Danke euch beiden erstmal, vielleicht habt ihr noch Ideen, wo ich weitergraben könnte?
MfG
Martin
Zitat:
Das ist klar ;). Gib mal "gpedit.msc" in das Suchfeld ein. Dort werden Dir dann alle Einstellungen angezeigt.
Was steht denn in der "Local Domain Policy"?
In den "Richtlinien für Lokaler Computer" auf dem Client gibt es die entspr.
Einstellmöglichkeiten gar nicht, der Ordner "Computerkonfiguration / Administrative Vorlagen / Netzwerk" fehlt dort.
Einstellmöglichkeiten gar nicht, der Ordner "Computerkonfiguration / Administrative Vorlagen / Netzwerk" fehlt dort.
Das ist klar ;). Gib mal "gpedit.msc" in das Suchfeld ein. Dort werden Dir dann alle Einstellungen angezeigt.
Was steht denn in der "Local Domain Policy"?
Zitat von @iDiddi:
Zitat:
Das ist klar ;). Gib mal "gpedit.msc" in das Suchfeld ein. Dort werden Dir dann alle Einstellungen angezeigt.
Zitat:
Das ist klar ;). Gib mal "gpedit.msc" in das Suchfeld ein. Dort werden Dir dann alle Einstellungen angezeigt.
Nee, genau dort war ich. Unter "Computerkonfiguration / Administrative Vorlagen" gibt es nur "Windows-Komponenten", aber nicht den Ordner "Netzwerk".
Zitat:
Was steht denn in der "Local Domain Policy"?
Was steht denn in der "Local Domain Policy"?
Dort sind nur einige Einstellungen bez. der Anmeldeüberwachung und der Grösse des Ereignisprotokolls.
Aber nach einigem Probieren und Forschen habe ich das Problem nun selbst lösen können - für die Nachwelt mein Lösungsweg.
Um zu ermitteln, welches Profil die Firewall laden soll, vergleicht sie beim Starten den (per DHCP erhaltenen) DNS-Suffix der LAN-Verbindung mit dem in der Registry gespeicherten DNS-Suffix, der beim letzten Aktualisieren der GPO empfangen wurde (Quelle [1] s.u.). Dieser "zuletzt empfangene DNS-Suffix" wird hier gespeichert:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName
Auf dem betr. Client war wie beschrieben nach jedem Neustart der Wert einfach leer - warum, weiss ich nicht. Nach einem manuellen "gpupdate" stand der korrekte Wert drin, und dann hat die Firewall auch das gewünschte Profil geladen.
Als Lösung habe ich nun einfach ein "gpupdate" ausgeführt und dann die Zugriffsrechte auf den Schlüssel "History" in der Registry eingeschränkt: die Benutzer "SYSTEM" und "Administratoren" dürfen noch lesen, aber nicht mehr ändern oder löschen.
Dieser Workaround führt dazu, dass Windows beim Reboot den Wert nicht wieder leeren kann, der korrekte Wert bleibt erhalten, und nach dem Neustart wird das gewünschte Domänenprofil geladen.
Achtung: auf einem Rechner, der in verschiedenen Netzwerken genutzt wird, würde ich diesen Workaround nicht empfehlen!
Danke euch für die Hilfe.
MfG
Martin
[1] http://technet.microsoft.com/library/bb878049
Nee, genau dort war ich. Unter "Computerkonfiguration / Administrative Vorlagen" gibt es nur
"Windows-Komponenten", aber nicht den Ordner "Netzwerk".
Hmm. Bei mir sehe ich alles. Kann sein, dass Du die administrative Vorlage hinzufügen musst. Ist glaub ich "System.adm". Aber egal. Die Wahrscheinlichkeit, dass dies der Grund für Deine Probleme sind, ist doch denkbar gering "Windows-Komponenten", aber nicht den Ordner "Netzwerk".
Aber nach einigem Probieren und Forschen habe ich das Problem nun selbst lösen können - für die Nachwelt mein Lösungsweg.
Ich weiß nicht, ob ich das so machen würde. Dein Hauptproblem ist doch, dass irgendein Prozess diesen Schlüssel wieder löscht. Ich würde versuchen, den Schuldigen per Process Explorer o.ä. ausfindig zu machen.
