Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows XP Firewall in Domäne nutzt das falsche Profil

Frage Sicherheit Firewall

Mitglied: MartinGregoire

MartinGregoire (Level 1) - Jetzt verbinden

24.05.2012 um 12:22 Uhr, 5107 Aufrufe, 8 Kommentare

Moin!

Ich habe hier ein Problem mit einem Windows XP-Rechner. Dieser ist in einer Domäne, die per Gruppenrichtlinie die Einstellungen für die Firewall verteilt. Das funktioniert soweit auch, die Einstellungen werden von anderen XP-Rechnern erkannt und korrekt verarbeitet. Dieser Rechner aber aktiviert leider das falsche Profil.

Hintergrund: per GPO habe ich unterschiedliche Einstellungen für das Domänenprofil und das Standardprofil eingestellt. Das Domänenprofil wird aktiviert, wenn der Client sich im Domänennetzwerk befindet; das Standardprofil, wenn er sich in einem anderen Netzwerk befindet (z.B. ein Laptop im Aussendienst).

Auf dem betroffenen Client funktioniert diese Erkennung nicht. Der Client denkt, er wäre ausserhalb des Firmennetzwerks, und aktiviert das Standardprofil.

Herausgefunden habe ich schon folgendes: die Erkennung, in welchem Netzwerk der Client sich befindet, erfolgt über den per DHCP erhaltenen DNS-Domänennamen. Stimmt dieser mit dem Namen überein, den der Client beim Anwenden der GPO gespeichert hat, so aktiviert er das Domänenprofil.

Die Einstellungen im DHCP sind richtig und werden vom Client auch korrekt abgerufen. Das Problem ist der Wert, mit dem der Client die DHCP-Daten vergleicht. Der Wert wird in der Registry gespeichert:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName

Dieser Wert ist leer, wenn der Client gestartet wird. Dabei ist es egal, ob ich mich mit einem Domänen- oder einem lokalen Account anmelde.

Wenn ich auf dem Client ein "gpupdate" starte, so wird wie von Zauberhand der Wert korrekt mit dem Domänennamen gefüllt. Wenn ich anschliessend die Netzwerkverbindung deaktiviere und wieder aktiviere, dann schaltet die Firewall auch korrekt auf das Domänenprofil um.

Leider vergisst der Client beim nächsten Neustart diesen Wert wieder, der o.g. Wert in der Registry ist dann wieder leer, und er aktiviert das Standardprofil.

Auf anderen Rechnern in der Domäne funktioniert es problemlos, hier steht nach jedem Neustart der Domänenname in der Registry und die Firewall aktiviert das Domänenprofil.

Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.


Ich weiss nicht, wo ich weiter nach dem Fehler suchen soll, und warum das Problem anscheinend nur auf einem Client auftritt. Habt ihr eine Idee oder einen Ansatz, wo ich weitersuchen könnte?


Wenn ihr weitere Details benötigt, fragt einfach. In Kürze: der Client hat SP 3 und alle aktuellen Updates, PDC und BDC ebenso. Der PDC ist einziger aktiver DHCP-Server, die DNS-Informationen auf PDC und BDC sind identisch, sowohl PDC als auch BDC sind im DHCP als DNS-Server eingetragen. (Achtung Akronym-Akkumulation! *g*)

Würde mich freuen, wenn jemand eine Idee hat.

Mit freundlichen Grüßen
Martin
Mitglied: iDiddi
24.05.2012 um 12:42 Uhr
Hört sich ja interessant an

Ich würde den Client mal in eine andere OU verschieben, wo die Firewall-Richtlinie nicht greift. Dann nochmals testen, ob er das korrekte Profil benutzt und danach wieder zurück schieben.

Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.

Was sagt denn gpresult? Kannste ja mal hier posten.

Gruß

-iDiddi-
Bitte warten ..
Mitglied: goscho
24.05.2012 um 13:57 Uhr
Zitat von iDiddi:
Hört sich ja interessant an
Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
Wenn der Client in der Domäne ist, werden die lokalen Richtlinien nicht gezogen, egal was man einstellt.

Zitat von MartinGregoire:
Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.
Mach das noch einmal und entferne diesen Client auch manuell aus dem AD und DNS. So als Test.
Bitte warten ..
Mitglied: iDiddi
24.05.2012 um 14:22 Uhr
Zitat von goscho:
> Zitat von iDiddi:
> ----
> Hört sich ja interessant an
> Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.
Wenn der Client in der Domäne ist, werden die lokalen Richtlinien nicht gezogen, egal was man einstellt.

Das ist aber nicht ganz korrekt. Sie werden überschrieben. Ob das aber dieses Verhalten erklärt, wage ich zu bezweifeln. War ja auch nur so 'ne Idee ;)
Bitte warten ..
Mitglied: MartinGregoire
24.05.2012 um 16:10 Uhr
Zitat von iDiddi:
Ich würde den Client mal in eine andere OU verschieben, wo die Firewall-Richtlinie nicht greift. Dann nochmals testen, ob er
das korrekte Profil benutzt und danach wieder zurück schieben.

Nachdem ich den Client in eine OU ohne die Richtlinie geschoben und ein "gpupdate" ausgeführt habe, hat er wieder die normale Windows-Firewall geladen, wie erwartet.
Nach dem Zurückschieben in seine eigentliche OU und einem "gpupdate" hat er die Firewall-Einstellungen der GPO übernommen und auch das Domänenprofil aktiviert - aber leider nur bis zum nächsten Neustart, danach war wieder das Standard-Profil aktiv.


Schau Dir auch mal die lokale Richtlinie an. Vielleicht ist da was angepasst worden.

In den "Richtlinien für Lokaler Computer" auf dem Client gibt es die entspr. Einstellmöglichkeiten gar nicht, der Ordner "Computerkonfiguration / Administrative Vorlagen / Netzwerk" fehlt dort.


Was sagt denn gpresult? Kannste ja mal hier posten.

gpresult sagt: (der Client heisst ARCHIV2, die Domäne EDV)

Betriebssystem Microsoft (R) Windows (R) XP Gruppenrichtlinienergebnis-Tool v2.0

Am 24.05.2012 um 15:13:37 erstellt

RSOP-Ergebnisse für EDV\archiv auf ARCHIV2 : Protokollierungsmodus
Betriebssystemtyp: Microsoft Windows XP Professional
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 5.1.2600
Domänenname: EDV
Domänentyp: Windows 2000
Standortname: xxx
Zwischengespeichertes Profil:
Lokales Profil: C:\Dokumente und Einstellungen\archiv
Langsame Verbindung? Nein


COMPUTEREINSTELLUNGEN
CN=ARCHIV2,OU=Computer - Clients,DC=xxx,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 24.05.2012 at 15:10:55
Gruppenrichtlinie wurde angewendet von: pdc.xxx.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
WSUS - Clients
Windows Firewall-Einstellungen
Default Domain Policy
Local Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
----------------------------------------------------------------------------------------
[...]

Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Jeder
Benutzer
NETZWERK
Authentifizierte Benutzer
ARCHIV2$
Domänencomputer


BENUTZEREINSTELLUNGEN
CN=archiv,CN=Users,DC=xxx,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 24.05.2012 at 15:11:00
Gruppenrichtlinie wurde angewendet von: pdc.xxx.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Proxy-Einstellungen

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
----------------------------------------------------------------------------------------
[...]

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Domänen-Benutzer
Jeder
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL


Noch eine Idee?

Mit freundlichen Grüßen
Martin
Bitte warten ..
Mitglied: MartinGregoire
24.05.2012, aktualisiert um 16:18 Uhr
Zitat von goscho:
> Zitat von MartinGregoire:
> Erfolglos versucht habe ich bereits, den Client aus der Domäne zu entfernen und nach einem Neustart wieder
hinzuzufügen. Nach einem weiteren Neustart hat er wieder das Standardprofil aktiviert.
Mach das noch einmal und entferne diesen Client auch manuell aus dem AD und DNS. So als Test.

Okay, getan. Leider auch ohne Erfolg.
Habe den Client aus der Domäne entfernt, aus dem AD gelöscht, seine Einträge aus dem DNS- und DHCP-Server entfernt. Client neu gestartet.
Danach den Client wieder in die Domäne aufgenommen, in die korrekte OU verschoben, DHCP-Eintrag angelegt, "gpupdate". Er lädt das Domänenprofil, okay.

Nach einem Neustart aber das alte Problem: er hat wieder das Standardprofil geladen.


Eine weitere Idee hatte ich noch: ein Treiberproblem der Netzwerkkarte. Ein Windows Update direkt im Internet Explorer findet aber leider keinen aktuelleren Treiber.


In der Ereignisanzeige von PDC und Client bin ich auch nicht fündig geworden, keine besonderen Einträge.


Danke euch beiden erstmal, vielleicht habt ihr noch Ideen, wo ich weitergraben könnte?

Mit freundlichen Grüßen
Martin
Bitte warten ..
Mitglied: iDiddi
24.05.2012, aktualisiert 25.05.2012
Zitat:
In den "Richtlinien für Lokaler Computer" auf dem Client gibt es die entspr.
Einstellmöglichkeiten gar nicht, der Ordner "Computerkonfiguration / Administrative Vorlagen / Netzwerk" fehlt dort.

Das ist klar ;). Gib mal "gpedit.msc" in das Suchfeld ein. Dort werden Dir dann alle Einstellungen angezeigt.

Was steht denn in der "Local Domain Policy"?
Bitte warten ..
Mitglied: MartinGregoire
25.05.2012 um 11:13 Uhr
Zitat von iDiddi:
Zitat:
Das ist klar ;). Gib mal "gpedit.msc" in das Suchfeld ein. Dort werden Dir dann alle Einstellungen angezeigt.

Nee, genau dort war ich. Unter "Computerkonfiguration / Administrative Vorlagen" gibt es nur "Windows-Komponenten", aber nicht den Ordner "Netzwerk".


Zitat:
Was steht denn in der "Local Domain Policy"?

Dort sind nur einige Einstellungen bez. der Anmeldeüberwachung und der Grösse des Ereignisprotokolls.


Aber nach einigem Probieren und Forschen habe ich das Problem nun selbst lösen können - für die Nachwelt mein Lösungsweg.

Um zu ermitteln, welches Profil die Firewall laden soll, vergleicht sie beim Starten den (per DHCP erhaltenen) DNS-Suffix der LAN-Verbindung mit dem in der Registry gespeicherten DNS-Suffix, der beim letzten Aktualisieren der GPO empfangen wurde (Quelle [1] s.u.). Dieser "zuletzt empfangene DNS-Suffix" wird hier gespeichert:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName

Auf dem betr. Client war wie beschrieben nach jedem Neustart der Wert einfach leer - warum, weiss ich nicht. Nach einem manuellen "gpupdate" stand der korrekte Wert drin, und dann hat die Firewall auch das gewünschte Profil geladen.

Als Lösung habe ich nun einfach ein "gpupdate" ausgeführt und dann die Zugriffsrechte auf den Schlüssel "History" in der Registry eingeschränkt: die Benutzer "SYSTEM" und "Administratoren" dürfen noch lesen, aber nicht mehr ändern oder löschen.

Dieser Workaround führt dazu, dass Windows beim Reboot den Wert nicht wieder leeren kann, der korrekte Wert bleibt erhalten, und nach dem Neustart wird das gewünschte Domänenprofil geladen.

Achtung: auf einem Rechner, der in verschiedenen Netzwerken genutzt wird, würde ich diesen Workaround nicht empfehlen!


Danke euch für die Hilfe.

Mit freundlichen Grüßen
Martin

[1] http://technet.microsoft.com/library/bb878049
Bitte warten ..
Mitglied: iDiddi
25.05.2012, aktualisiert um 15:47 Uhr
Nee, genau dort war ich. Unter "Computerkonfiguration / Administrative Vorlagen" gibt es nur
"Windows-Komponenten", aber nicht den Ordner "Netzwerk".
Hmm. Bei mir sehe ich alles. Kann sein, dass Du die administrative Vorlage hinzufügen musst. Ist glaub ich "System.adm". Aber egal. Die Wahrscheinlichkeit, dass dies der Grund für Deine Probleme sind, ist doch denkbar gering


Aber nach einigem Probieren und Forschen habe ich das Problem nun selbst lösen können - für die Nachwelt mein Lösungsweg.

Ich weiß nicht, ob ich das so machen würde. Dein Hauptproblem ist doch, dass irgendein Prozess diesen Schlüssel wieder löscht. Ich würde versuchen, den Schuldigen per Process Explorer o.ä. ausfindig zu machen.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
SMBv2 in Windows 7 - Windows XP - Windows Server 2003 Domäne deaktivieren (4)

Frage von Mario.Steinberg zum Thema Windows Netzwerk ...

Cluster
gelöst Windows NLB - Firewall Regeln (8)

Frage von eyetSolutions zum Thema Cluster ...

Windows XP
gelöst WPA2 unter Windows XP SP1 nutzen? (10)

Frage von bestelitt zum Thema Windows XP ...

Windows XP
Kann man noch neue Notebooks für Windows XP kaufen ? (9)

Frage von DieterJansen zum Thema Windows XP ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...