Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 Firewall und Portfreigaben für Domänennetzwerke

Frage Microsoft Windows Netzwerk

Mitglied: stefan241

stefan241 (Level 1) - Jetzt verbinden

12.04.2012 um 15:52 Uhr, 3581 Aufrufe, 6 Kommentare

Hallo,

nachdem ich schon Jahre immer in diesem Portal nach Lösungen gesucht habe muss ich mich nun auch mal mit meinem eigenen speziellen Problem an die Community wenden.

Wir haben 2 Windows 7 Tablett PCs, Teil einer Windows 2003 AD Domäne und möchten diese mittels der erweiterten Firewall so einschränken, dass diese nur innerhalb des Firmen WLANs kommunizieren können. Wir möchten es abblocken, dass sich der angemeldete Anwender mit einer anderen SSID verbindet und dann möglicherweise mit dem Firmen internen Gerät im Internet surfen könnte.

Um dies zu realsieren haben wir in der Windows Firewall eine ausgehende und eine eingehende Regel erstellt, bei der alle Ports geblockt werden. Diese Regel habe ich als gültig für private und öffentliche Netze deklariert, nicht jedoch für Domänen Netzwerke.

Das ganze funktioniert auch, bis zum nächsten Neustart. Dann scheint die Firewall so gut zu blocken, dass der Rechner sich nichtmal mehr mit der Domäne autenthizieren kann. Das Firmen WLAN Netz, das vor dem Neustart noch als Domänen Netzwerk angezeigt wurde, ist jetzt nur noch ein Arbeitsplatz Netzwerk und wird ebenfalls durch die Firewall geblockt.

Frage ist nun: Welchen Port müsste ich freigeben damit diese Authentifizierung wieder stattfinden kann und das Netz wieder korrekt erkannt wird.


Oder anders gefragt:
Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden? Vielleicht eine Sperre auf SSID Ebene? Ich habe nichts derartiges gefunden und dachte mit den Firewall Regeln meine Lösung schon gefunden zu haben.

Danke für eure Antworten.

Gruß Stefan
Mitglied: SlainteMhath
12.04.2012 um 15:58 Uhr
Moin,

für AD sind idR die Ports 53, 135-139 + 445 notwendig.

Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?
WLAN Einstellungen können nur von Benutzern mit Admin- (ggfs. auch Hauptbenutzer-)Rechten geändert werden. Kein Admin => Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars

lg,
Slainte
Bitte warten ..
Mitglied: stefan241
12.04.2012 um 16:30 Uhr
Zitat von SlainteMhath:
Moin,

für AD sind idR die Ports 53, 135-139 + 445 notwendig.

> Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?

Das ist ein sehr guter Hinweis, das könnte ich auch mal austesten. Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.

WLAN Einstellungen können nur von Benutzern mit Admin- (ggfs. auch Hauptbenutzer-)Rechten geändert werden. Kein Admin
=> Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars


Herrje nein!

In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts! Außerdem verteilen wir die IP natürlich über DHCP und da ist das Standard GW natürlich mit dabei.
Bitte warten ..
Mitglied: SlainteMhath
12.04.2012 um 16:36 Uhr
In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts!
Naja, sicherlich reicht da eine manuelle Route für 10.0.0.0/8 (oder ähnlich triviales) aus
Bitte warten ..
Mitglied: Pjordorf
12.04.2012 um 16:38 Uhr
Hallo,

Zitat von stefan241:
Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.
Und ein Hauptbenutzer kann jederzeit das WLAN wechseln!.

Herrje nein!
Mag sein das du jetzt erschrocken bist.

In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts!
Davon hast du bisher aber null erwähnt, also mecker nicht über Vorschläge

Außerdem verteilen wir die IP natürlich über DHCP und da ist das Standard GW natürlich mit dabei.
Mit Reservierung kannst du auch diese beiden Geräten eine anderes bzw. kein Gateway mitgeben (Sofern der DHCP erreicht werden kann).

Gruß,
Peter
Bitte warten ..
Mitglied: stefan241
13.04.2012 um 14:53 Uhr
Ich habe die Hauptbenutzer Rechte des Domänen Users entfernt. Das Ergebnis sieht so aus dass ich nun nicht mehr nach einem Admin Account gefragt werde wenn ich zb die Firewall oder die Computerverwaltung öffnen möchte. Die Fenster öffnen sich und es kommt wie im Fall der Firewall zu einer Fehlermeldung. Ist aber auch nur nebensächlich, denn ich kann leider auch als normaler Benutzer einer anderen WLAN SSID beitreten... Leider doch nicht die Lösung...

Ich glaube ich starte ein neues Topic, da der Titel und das eigentliche Ziel nichts mehr miteinander zu tun haben.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Problem mit Firewall und Portfreigabe
Frage von devil77Netzwerke7 Kommentare

Wir haben hier ein Netgear Prosafe FVS318N an dem ein Server mit owncloud angeschlossen ist und intern im Netzwerkdie ...

Windows 7
Windows 7 Firewall und VPN
gelöst Frage von Lito1980Windows 79 Kommentare

Hallo zusammen. Ich habe eine Frage zur Windows 7 internen Firewall. Und zwar habe ich in der FW alles ...

Router & Routing
Sonicwall Portfreigabe
Frage von frank2016Router & Routing4 Kommentare

Hallo liebe Freunde, Ich habe folgendes Problem. Ich bin nicht sehr Fit was Firewalls angeht, aber ich brauche unbedingt ...

Netzwerke
Windows Server 2008 R2 - neues Domänennetzwerk
Frage von n0nentityNetzwerke21 Kommentare

Guten morgen zusammen, ich habe mir auf meinem Windows Server 2008 R2 eine Domäne xyz.local eingerichtet und wenn ich ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 21 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 22 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...