Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 Firewall und Portfreigaben für Domänennetzwerke

Frage Microsoft Windows Netzwerk

Mitglied: stefan241

stefan241 (Level 1) - Jetzt verbinden

12.04.2012 um 15:52 Uhr, 3557 Aufrufe, 6 Kommentare

Hallo,

nachdem ich schon Jahre immer in diesem Portal nach Lösungen gesucht habe muss ich mich nun auch mal mit meinem eigenen speziellen Problem an die Community wenden.

Wir haben 2 Windows 7 Tablett PCs, Teil einer Windows 2003 AD Domäne und möchten diese mittels der erweiterten Firewall so einschränken, dass diese nur innerhalb des Firmen WLANs kommunizieren können. Wir möchten es abblocken, dass sich der angemeldete Anwender mit einer anderen SSID verbindet und dann möglicherweise mit dem Firmen internen Gerät im Internet surfen könnte.

Um dies zu realsieren haben wir in der Windows Firewall eine ausgehende und eine eingehende Regel erstellt, bei der alle Ports geblockt werden. Diese Regel habe ich als gültig für private und öffentliche Netze deklariert, nicht jedoch für Domänen Netzwerke.

Das ganze funktioniert auch, bis zum nächsten Neustart. Dann scheint die Firewall so gut zu blocken, dass der Rechner sich nichtmal mehr mit der Domäne autenthizieren kann. Das Firmen WLAN Netz, das vor dem Neustart noch als Domänen Netzwerk angezeigt wurde, ist jetzt nur noch ein Arbeitsplatz Netzwerk und wird ebenfalls durch die Firewall geblockt.

Frage ist nun: Welchen Port müsste ich freigeben damit diese Authentifizierung wieder stattfinden kann und das Netz wieder korrekt erkannt wird.


Oder anders gefragt:
Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden? Vielleicht eine Sperre auf SSID Ebene? Ich habe nichts derartiges gefunden und dachte mit den Firewall Regeln meine Lösung schon gefunden zu haben.

Danke für eure Antworten.

Gruß Stefan
Mitglied: SlainteMhath
12.04.2012 um 15:58 Uhr
Moin,

für AD sind idR die Ports 53, 135-139 + 445 notwendig.

Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?
WLAN Einstellungen können nur von Benutzern mit Admin- (ggfs. auch Hauptbenutzer-)Rechten geändert werden. Kein Admin => Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars

lg,
Slainte
Bitte warten ..
Mitglied: stefan241
12.04.2012 um 16:30 Uhr
Zitat von SlainteMhath:
Moin,

für AD sind idR die Ports 53, 135-139 + 445 notwendig.

> Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?

Das ist ein sehr guter Hinweis, das könnte ich auch mal austesten. Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.

WLAN Einstellungen können nur von Benutzern mit Admin- (ggfs. auch Hauptbenutzer-)Rechten geändert werden. Kein Admin
=> Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars


Herrje nein!

In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts! Außerdem verteilen wir die IP natürlich über DHCP und da ist das Standard GW natürlich mit dabei.
Bitte warten ..
Mitglied: SlainteMhath
12.04.2012 um 16:36 Uhr
In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts!
Naja, sicherlich reicht da eine manuelle Route für 10.0.0.0/8 (oder ähnlich triviales) aus
Bitte warten ..
Mitglied: Pjordorf
12.04.2012 um 16:38 Uhr
Hallo,

Zitat von stefan241:
Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.
Und ein Hauptbenutzer kann jederzeit das WLAN wechseln!.

Herrje nein!
Mag sein das du jetzt erschrocken bist.

In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts!
Davon hast du bisher aber null erwähnt, also mecker nicht über Vorschläge

Außerdem verteilen wir die IP natürlich über DHCP und da ist das Standard GW natürlich mit dabei.
Mit Reservierung kannst du auch diese beiden Geräten eine anderes bzw. kein Gateway mitgeben (Sofern der DHCP erreicht werden kann).

Gruß,
Peter
Bitte warten ..
Mitglied: stefan241
13.04.2012 um 14:53 Uhr
Ich habe die Hauptbenutzer Rechte des Domänen Users entfernt. Das Ergebnis sieht so aus dass ich nun nicht mehr nach einem Admin Account gefragt werde wenn ich zb die Firewall oder die Computerverwaltung öffnen möchte. Die Fenster öffnen sich und es kommt wie im Fall der Firewall zu einer Fehlermeldung. Ist aber auch nur nebensächlich, denn ich kann leider auch als normaler Benutzer einer anderen WLAN SSID beitreten... Leider doch nicht die Lösung...

Ich glaube ich starte ein neues Topic, da der Titel und das eigentliche Ziel nichts mehr miteinander zu tun haben.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Server Firewall - Wie macht ihr das? (14)

Frage von twisters zum Thema Windows Server ...

Cluster
gelöst Windows NLB - Firewall Regeln (8)

Frage von eyetSolutions zum Thema Cluster ...

Windows Server
Windows BranchCache - nur mit aktivierter Windows-Firewall? (2)

Frage von User1000 zum Thema Windows Server ...

Windows Netzwerk
Windows Firewall Outgoing Default Drop (7)

Frage von EditorialBagPipe zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (44)

Frage von sabines zum Thema Internet ...

Netzwerke
Wie erstelle ich ein Intranet (19)

Frage von Leonardnet zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Eintägige Netzwerkunterbrechung trotz Backupleitung (15)

Frage von iAmbricksta zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2012 R2 - Zugriff Verweigert bei jeglicher Tätigkeit (13)

Frage von DarkLevi zum Thema Windows Server ...