Kezdőoldal > General > Windows Firewall – helyi vagy tartományi?

Windows Firewall – helyi vagy tartományi?


A probléma ott kezdődött, amikor kiderült, hogy egy házirendből kiosztott program nem akar frissülni. Az egyik gépre rájelentkeztem, de a programok telepítése/törlése segítségével is ugyanazt a hibaüzenetet kaptam. Sebaj, a Windows Installer Clean-Up segítségével leszedtem, majd egy gpupdate /force segítségével kikényszerített újraindítás után csont nélkül felment a program.

Amikor megpróbáltam rájelentkezni a második gépre, kiderült, hogy nem tudok. Jöhetett a szokásos: mmc-vel kapcsolódás, tűzfal szolgáltatás leállítása, utána már csont nélkül ment az Rdp. Az előbbi módon leírtak szerint rendbetettem a rakoncátlankodó programot, de kérdéses maradt, hogy miért nem engedte az rdp-t? Házirend érvényesült, hiszen láttam az eseménynaplóban a nyomát, sőt, helyileg megnézve a beállításokat, láttam, hogy a tűzfal bekapcsolt állapotát házirendből kapta. Sőt, az ICMP beállításokat is a szervertől kapta meg. Csak a kivételeket nem. Izé. Nem értem.

Elkezdtem utánajárni. Az adatok  alapján a

 HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy

kulcs a helyi gépen meghatározott kivételeket jelenti, míg a

 HKLM\Software\Policies\Microsoft\WindowsFirewall

kulcs az (akár helyi, akár csoport-) házirendből kapott kivételek listája.

Mivel a kulcsok értékei rendben voltak, egyértelmű volt, hogy már „csak” az érvénybeléptetés maradt el. De miért?

Röviden: valószínűleg azért, mert az utoljára kapott házirend DNS-neve nem egyezett semmilyen jelenleg aktív kapcsolat kapcsolat-specifikus DNS-utótagjával. Ebben az esetben, a nem-tartományi beállítások lépnek érvényre.

Bővebben (leírva itt):

Az aktuális DNS-utótagok listáját megkapjuk az ipconfig parancs segítségével. De mivel is kell ez találjon?

A szabály szerint, „Ha a számítógép valamely azon aktív kapcsolatainak, melyek nem PPP vagy SLIP-alapúak (mint pl. betárcsázás vagy VPN-kapcsolat), hanem pl. Ethernet vagy 802.11 vezeték nélküli hálózat, kapcsolat-specifikus DNS-utótagja ugyanaz, mint a

 HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName

 registry-érték, akkor a Windows tűzfal a tartományi profilt használja.”

Nos, ez a kettő nem talált. Amint kézzel beállítottam, egy gpupdate után máris a tűzfal korrekt állapotát láttam. A gond viszont ott van/volt, hogy 1, maximum 2 újraindítás után ismét eltűnt ez az érték.

A következő lépésem egy RSoP lekérdezése volt, a szerverről. Ekkor egy másik, eddig fel nem merült problémába ütköztem: a GPMC az RPC-szerver hiányára panaszkodott. Némi próbálgatás után kiderült, hogy (SBS 2003 Premium lévén – tehát egy gépen van GPMC és ISA), a megoldás az ISA rendszer-szabályaiban az Active Directory részén az „Enforce strict RPC compliance” kapcsoló kikapcsolása. Ezután máris le tudtam kérdezni (természetesen a cél-gépen érvényes kell legyen a Windows tűzfalban a Távfelügyeleti kivétel engedélyezése), eredménye: minden rendben van.

Tovább próbálkoztam. Eseménynaplóban volt néhány bejegyzés, de kiderült, hogy vakvágány (a gép ikertestvérein is ott voltak, azoknál meg nem jelentkezett ez a hiba). Simán kihúzva a hálózati kábelt, meg vissza, nem segített. De egy gpupdate után már ismét volt a registry-kulcsnak értéke. Sőt, az automatikus házirend frissítés (ugye kb. 90 percenként) szintén „megtölti” a kulcsot értékkel. Ennek következtében úgy döntöttem, hogy ez nem éri meg többet foglalkozni vele.

u.i. Teljesen más környezetben, teljesen más gépen is találkoztam a problémával. Hm. Vagy eddig nem figyeltem fel rá, vagy valamelyik frissítés adja fel a leckét néhány gépnek.

Advertisements
Kategóriák:General
  1. Még nincs hozzászólás.
  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: