Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 Firewall und Portfreigaben für Domänennetzwerke

Frage Microsoft Windows Netzwerk

Mitglied: stefan241

stefan241 (Level 1) - Jetzt verbinden

12.04.2012 um 15:52 Uhr, 3530 Aufrufe, 6 Kommentare

Hallo,

nachdem ich schon Jahre immer in diesem Portal nach Lösungen gesucht habe muss ich mich nun auch mal mit meinem eigenen speziellen Problem an die Community wenden.

Wir haben 2 Windows 7 Tablett PCs, Teil einer Windows 2003 AD Domäne und möchten diese mittels der erweiterten Firewall so einschränken, dass diese nur innerhalb des Firmen WLANs kommunizieren können. Wir möchten es abblocken, dass sich der angemeldete Anwender mit einer anderen SSID verbindet und dann möglicherweise mit dem Firmen internen Gerät im Internet surfen könnte.

Um dies zu realsieren haben wir in der Windows Firewall eine ausgehende und eine eingehende Regel erstellt, bei der alle Ports geblockt werden. Diese Regel habe ich als gültig für private und öffentliche Netze deklariert, nicht jedoch für Domänen Netzwerke.

Das ganze funktioniert auch, bis zum nächsten Neustart. Dann scheint die Firewall so gut zu blocken, dass der Rechner sich nichtmal mehr mit der Domäne autenthizieren kann. Das Firmen WLAN Netz, das vor dem Neustart noch als Domänen Netzwerk angezeigt wurde, ist jetzt nur noch ein Arbeitsplatz Netzwerk und wird ebenfalls durch die Firewall geblockt.

Frage ist nun: Welchen Port müsste ich freigeben damit diese Authentifizierung wieder stattfinden kann und das Netz wieder korrekt erkannt wird.


Oder anders gefragt:
Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden? Vielleicht eine Sperre auf SSID Ebene? Ich habe nichts derartiges gefunden und dachte mit den Firewall Regeln meine Lösung schon gefunden zu haben.

Danke für eure Antworten.

Gruß Stefan
Mitglied: SlainteMhath
12.04.2012 um 15:58 Uhr
Moin,

für AD sind idR die Ports 53, 135-139 + 445 notwendig.

Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?
WLAN Einstellungen können nur von Benutzern mit Admin- (ggfs. auch Hauptbenutzer-)Rechten geändert werden. Kein Admin => Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars

lg,
Slainte
Bitte warten ..
Mitglied: stefan241
12.04.2012 um 16:30 Uhr
Zitat von SlainteMhath:
Moin,

für AD sind idR die Ports 53, 135-139 + 445 notwendig.

> Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?

Das ist ein sehr guter Hinweis, das könnte ich auch mal austesten. Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.

WLAN Einstellungen können nur von Benutzern mit Admin- (ggfs. auch Hauptbenutzer-)Rechten geändert werden. Kein Admin
=> Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars


Herrje nein!

In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts! Außerdem verteilen wir die IP natürlich über DHCP und da ist das Standard GW natürlich mit dabei.
Bitte warten ..
Mitglied: SlainteMhath
12.04.2012 um 16:36 Uhr
In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts!
Naja, sicherlich reicht da eine manuelle Route für 10.0.0.0/8 (oder ähnlich triviales) aus
Bitte warten ..
Mitglied: Pjordorf
12.04.2012 um 16:38 Uhr
Hallo,

Zitat von stefan241:
Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.
Und ein Hauptbenutzer kann jederzeit das WLAN wechseln!.

Herrje nein!
Mag sein das du jetzt erschrocken bist.

In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts!
Davon hast du bisher aber null erwähnt, also mecker nicht über Vorschläge

Außerdem verteilen wir die IP natürlich über DHCP und da ist das Standard GW natürlich mit dabei.
Mit Reservierung kannst du auch diese beiden Geräten eine anderes bzw. kein Gateway mitgeben (Sofern der DHCP erreicht werden kann).

Gruß,
Peter
Bitte warten ..
Mitglied: stefan241
13.04.2012 um 14:53 Uhr
Ich habe die Hauptbenutzer Rechte des Domänen Users entfernt. Das Ergebnis sieht so aus dass ich nun nicht mehr nach einem Admin Account gefragt werde wenn ich zb die Firewall oder die Computerverwaltung öffnen möchte. Die Fenster öffnen sich und es kommt wie im Fall der Firewall zu einer Fehlermeldung. Ist aber auch nur nebensächlich, denn ich kann leider auch als normaler Benutzer einer anderen WLAN SSID beitreten... Leider doch nicht die Lösung...

Ich glaube ich starte ein neues Topic, da der Titel und das eigentliche Ziel nichts mehr miteinander zu tun haben.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Cluster
gelöst Windows NLB - Firewall Regeln (8)

Frage von eyetSolutions zum Thema Cluster ...

Windows Server
gelöst Lokale Windows Firewall Server 2012R2 für virtuelle Maschine? (4)

Frage von 1410640014 zum Thema Windows Server ...

Firewall
Mobile VPN Geräte ohne Windows Firewall (7)

Frage von Milchmann89 zum Thema Firewall ...

Firewall
Windows 10 aktivierung und Firewall (3)

Frage von QandAt zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...