6
Gpupdate läuft nicht. ICMP Pakete werden vom FW geblockt wegen
Folgendes Problem habe ich:
Ich kann am Standort der Domänencontroller (DC) problemlos die Gruppenrichtlinien an den Clients anwenden (gpupdate),
aber an anderen Standorten (andere Städte in D) geht es nicht. Laut Info vom Firewall (FW) Team für unser Intranet sind die Ports für die GPO´s offen, aber es werden ständig zu große ICMP Pakete vom FW geblockt. Auf Grund der Policies werden größere Pakete auch nicht zukünftig durchgelassen. Da es geblockt wird, kriegt der Client auch kein Ping zurück (normale ping über cmd-line geht)
und übernimmt so auch die GPO´s nicht.
Wie könnte ich die Pakete kleiner machen, oder die Anwendung der GPO´s sonst forcieren?
Laut meiner Pings ist die gröstmögliche Paketgröße 1600 byte!
Ich kann am Standort der Domänencontroller (DC) problemlos die Gruppenrichtlinien an den Clients anwenden (gpupdate),
aber an anderen Standorten (andere Städte in D) geht es nicht. Laut Info vom Firewall (FW) Team für unser Intranet sind die Ports für die GPO´s offen, aber es werden ständig zu große ICMP Pakete vom FW geblockt. Auf Grund der Policies werden größere Pakete auch nicht zukünftig durchgelassen. Da es geblockt wird, kriegt der Client auch kein Ping zurück (normale ping über cmd-line geht)
und übernimmt so auch die GPO´s nicht.
Wie könnte ich die Pakete kleiner machen, oder die Anwendung der GPO´s sonst forcieren?
Laut meiner Pings ist die gröstmögliche Paketgröße 1600 byte!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 29029
Url: https://administrator.de/contentid/29029
Printed on: April 26, 2024 at 09:04 o'clock
6 Comments
Latest comment
Ich weiss nicht, ob die MTU auch für ICMP-Pakete greifen (müssten sie imho aber). Probier doch einfach einmal, die MTU-Größen an den Clients, die sich nicht updaten lassen, zu verkleinern. Dann werden die Pakete zwar fragmentiert, aber zumindest nicht mehr von der FW geblockt.
Gruss
Stefan
Gruss
Stefan
Danke für den Tipp, aber wie mache ich es?
Unter Windows 2000/XP heisst der zuständige Wert:
"HKLM / SYSTEM / CurrentControlSet / Services / Tcpip / Parameters / Interfaces / MTU"
Wenn Du die Einstellung für ein komplettes Netzwerk vornehmen müsstest, bietet sich aber eher an, die MTU am Router herunterzuschrauben. Wie das geht, kann man generell nicht beantworten, das kommt halt auf den Router an. Dann bleibt nur noch: rftm ;)
Hoffe, ich konnte weiterhelfen.
Gruss
Stefan
"HKLM / SYSTEM / CurrentControlSet / Services / Tcpip / Parameters / Interfaces / MTU"
Wenn Du die Einstellung für ein komplettes Netzwerk vornehmen müsstest, bietet sich aber eher an, die MTU am Router herunterzuschrauben. Wie das geht, kann man generell nicht beantworten, das kommt halt auf den Router an. Dann bleibt nur noch: rftm ;)
Hoffe, ich konnte weiterhelfen.
Gruss
Stefan
Ich habe das Problem auch bei 2 Servern! Da ist dieser RgKEy nicht vorhanden.
Was meinst du mit rftm?
Was meinst du mit rftm?
rtfm ist das Kürzel für "Read the fucking Manual" ;)
Wie bei Servern die MTU umgestellt wird, weiss ich adhoc auch nicht, aber ich sehe, sobald ein wenig Luft habe, kurz nach.
War das Vorgehen denn bei den anderen Rechnern erfolgreich?
Gruss
Stefan
Wie bei Servern die MTU umgestellt wird, weiss ich adhoc auch nicht, aber ich sehe, sobald ein wenig Luft habe, kurz nach.
War das Vorgehen denn bei den anderen Rechnern erfolgreich?
Gruss
Stefan
An den Clients habe ich die MTU Einstellung mit einem Wert von 240 zwar gefunden, weiß aber nicht welchen Wert ich hier einstellen soll. Pings kommen bis zu einer Größe von 1600 zurück.