none
Grundinstallation Server 2012R2 / Firewalleinstellung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Habe mir ein Testnetzwerk aufgebaut, dass ein merkwürdiges Verhalten an den Tag legt. (hoffe ich war hier nicht zu blöde dieses Netzwerk richtig aufzubauen)

    Netzwerk sieht wie folgt aus:

    Subnetz 192.168.100.0/24 192.168.110/24 und 192.168.120.0/24

    TMG Server mit LAN IP 192.168.100.10 und WAN IP "offizielle IP"

    Server1 Windows Server 2012R2 im 110er IP Bereich als AD/DNS(DNSSEC)/DHCP/WINS aufgesetzt .GPO für IE Proxyconfig auf TMG und NRPT für DNSSEC.

    Server2 Windows Server 2012R2 im 120er IP Bereich als Dömanenmitglied aufgesetzt.

    Die Server 1 und 2 haben jeweils 2 NIC die als Team konfiguriert sind.

    Subnetzte sind mit 2 Cisco 3750 verbunden. Wobei jeweils 1x NIC am einen Cisco und die andere NIC am anderen Cisco verbunden sind. Routing und VLAN etc sind erstellt.

    Server1 mit IP 192.168.110.10 aufsetzen war kein Thema und BPA und DCDIAG geben keine Warnungen bzw. Fehler aus.

    Server2 hingegen macht mich wahnsinnig. OS installiert, NIC Teaming gesetzt und dann fixe IP 192.168.120.10 (inkl. DNS und WINS auf Server1) gesetzt. Hier findet der Server keine "richtige" Netzwerkkonfiguration und somit kann ich den Server nicht zur Domäne hinzufügen. Setzte ich dann hingegen die Team NIC auf IP Adresse automatisch beziehen, findet die Netzwerkkonfiguration meine Domäne und ich kann den Server zur Domäne hinzufügen. Danach kann ich dann auch die fixe IP vergeben und nach einer gewissen Zeit (gegen eine Minute) ist die Netzwerkeinstellung dann auch auf der Domäne.

    Nun kommt aber mein Anliegen:

    ein Ping von Server2 nach Server1 funktioniert einwandfrei IP wie DNS/WINS Namen. Ein Ping von Server1 nach Server2 funktioniert gar nicht

    So habe ich mich dann in Richtung Firewall auf Server2 gemacht und musste hier feststellen, dass so ziemlich keine eingehende Regel aktiv war. Keine Datei und Druckfreigabe Regel und auch keine Netzwerkerkennung, die ich denke sind Grundeinstellungen. Denn aktivieren dieser Einstellung hat auch den Ping Erfolg gebracht

    Meine Fragen:

    Ist das Problem der initialen fixen IP Vergabe dem DNSSEC geschuldet?

    Ist die Firewalleinstellung nach Installation OS so richtig gesetzt? Wenn ja was soll alles geöffnet werden? Wenn nein was lief hier falsch bei mir? (habe es auch noch mit einem weiteren Server versucht mit dem gleichen Ergebnis)

    Sorry für den sehr langen Text. Hoffe ihr habt hier Geduld mit mir, denn ich bin immer noch in der Lernphase einiger IT Punkte.

    Danke und Gruss,

    Markus

    AdminIT

    Donnerstag, 16. Januar 2014 23:08
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin Markus,

    ganz in Kürze: Die Grundeinstellung ist inzwischen, dass der Server abgeriegelt ist und nach aussen nichts anbietet, was er nicht für seine Rolle benötigt.

    Da Microsoft nicht wissen kann, welche Rollen für Dich von Bedeutung sind, ob der Server im Netz sichtbar sein soll oder nicht, wird von der sichereren Einstellung ausgegangen. Änderungen bleiben Dir selbst überlassen. Deswegen in der Standardeinstellung auch kein Ping, was man entweder durch Aktivieren der Dateiserver-Rolle oder Konfiguration der ICMP-Ausnahme in der Firewall regulieren kann.

    Bei manueller Konfiguration kommt auch immer mal wieder ein gern unterschätztes Problem dazu: Tippfehler, falsche Adressen im Feld beispielsweise für das Standardgateway, die dann zu interessanten Effekten führen ....

    Viele Grüße
    Olaf

    • Als Antwort vorgeschlagen Lennart Samstag, 18. Januar 2014 14:12
    • Als Antwort markiert Alex Pitulice Montag, 20. Januar 2014 08:44
    Freitag, 17. Januar 2014 09:41
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin Markus,

    ganz in Kürze: Die Grundeinstellung ist inzwischen, dass der Server abgeriegelt ist und nach aussen nichts anbietet, was er nicht für seine Rolle benötigt.

    Da Microsoft nicht wissen kann, welche Rollen für Dich von Bedeutung sind, ob der Server im Netz sichtbar sein soll oder nicht, wird von der sichereren Einstellung ausgegangen. Änderungen bleiben Dir selbst überlassen. Deswegen in der Standardeinstellung auch kein Ping, was man entweder durch Aktivieren der Dateiserver-Rolle oder Konfiguration der ICMP-Ausnahme in der Firewall regulieren kann.

    Bei manueller Konfiguration kommt auch immer mal wieder ein gern unterschätztes Problem dazu: Tippfehler, falsche Adressen im Feld beispielsweise für das Standardgateway, die dann zu interessanten Effekten führen ....

    Viele Grüße
    Olaf

    • Als Antwort vorgeschlagen Lennart Samstag, 18. Januar 2014 14:12
    • Als Antwort markiert Alex Pitulice Montag, 20. Januar 2014 08:44
    Freitag, 17. Januar 2014 09:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Olaf,

    Danke für die Antwort und die Grundeinstellungen von Microsoft kann ich durchaus nachvollziehen.

    Würde mich gerne versichern welche Regeln aktiviert werden, wenn der Server zu einer Domäne hinzugefügt wird.

    Müsste da nicht zumindest die Datei und Druckfreigabe automatisch aktiviert werden?

    Danke und Gruss,

    Markus 

    AdminIT

    Freitag, 17. Januar 2014 10:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Nö.

    Der Server muss ja nicht Dateiserver sein, der kann auch einzig und allein Domänencontroller und DNS-Server oder Remotedesktop-Server oder dergleichen sein sollen. In den empfohlenen Konfigurationen gibt es halt nicht nur den einen Server als Mädchen für alles ...

    Viele Grüße
    Olaf

    Freitag, 17. Januar 2014 10:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Olaf,

    OK Danke für deine Antworten. Werde daher Rolle für Rolle je Server spezifisch "behandeln"

    Gruss, Markus

    AdminIT

    Freitag, 17. Januar 2014 10:59
    |