none
I pc con xp non riescono ad utilizzare SMB, RDP e la porta di VNC anche con policy per aprire il firewall RRS feed

  • Domanda

  • Ciao a tutti,

    ho fatto un pò di pulizia con le GPO ed ho riscontrato questa strana anomalia: alcuni pc con XP non riescono ad utilizzare la porta SMB (ricezione file da scansioni tramite fotocopiatrice), non è possibile raggiungerli tramite RDP e VNC non è utilizzabile. Anche il nome del pc non viene risolto se si pinga l'ip con il comanda -a, mentre se si pinga direttamente il nome, il ping ha successo.
    Mi sono accorto che esisteva una policy (datata 2002) che abilitava le porte per tutti questi servizi, ma riapplicando la stessa policy non viene risolto il problema.
    Potreste aiutarmi ed indicarmi come configurare la GPO per tale esigenza?
    Grazie mille
    Ciro

    giovedì 14 novembre 2013 13:31

Risposte

  • Ciao, grazie per le risposte. Sono riuscito a risolvere!

    Sono andato avanti con l'analisi del problema. Ho ricostruito la policy per cercare di attivare sugli xp il firewall  per consentire la condivisione delle stampanti, l'accesso tramite RDP e VNC. Ho settato la sezione Computer configuration sia in Policies/Administrative Templates/Network/Network Connection/windows firewall/domain profile con questi parametri:

    Windows Firewall: Allow local program exceptions    Not configured    No
    Windows Firewall: Define inbound program exceptions    Not configured    No
    Windows Firewall: Protect all network connections    Enabled    No
    Windows Firewall: Do not allow exceptions    Not configured    No
    Windows Firewall: Allow inbound file and printer sharing exception    Enabled    No
    Windows Firewall: Allow ICMP exceptions    Enabled    No
    Windows Firewall: Allow logging    Enabled    No
    Windows Firewall: Prohibit notifications    Disabled    No
    Windows Firewall: Allow local port exceptions    Not configured    No
    Windows Firewall: Define inbound port exceptions    Enabled    No
    Windows Firewall: Allow inbound remote administration exception     Not configured    No
    Windows Firewall: Allow inbound Remote Desktop exceptions    Enabled    No
    Windows Firewall: Prohibit unicast response to multicast or broadcast requests    Not configured    No
    Windows Firewall: Allow inbound UPnP framework exceptions    Not configured    No

    Poi ho settato anche la sezione: Policies/Windows settings/security settings/windows firewall with advanced security   e qui ho configurato il domain profile ed anche diverse sezioni del private e public profile per connessioni inbound e outbound.

    Il problema è che la policy veniva applicata, ho verificato tramite gpresult, ma il firewall risultava nei servizi come tipo di avvio automatico ma non partiva all'avvio del pc, inoltre se cercavo di farlo partire manualmente (anche come amministratore) usciva il seguente errore:

    errore 0x80004015: la classe è configurata per l'esecuzione con un id di protezione (SID) diverso dal chiamante

    Ho cercato e l'errore è conosciuto e risolto tramite un fix rilasciato da microsoft: http://go.microsoft.com/?linkid=9767061

    l'ho applicato ed adesso tutto funziona!!!

    Adesso creo una policy per distribuire il pacchetto fix a tutti gli xp e risolvo.

    Grazie. Spero sia utile a qualche altro sistemista.

    venerdì 15 novembre 2013 14:57

Tutte le risposte

  • Ho un aggiornamento, spostando i pc e gli utenti in OU su cui non agisce nessuna policy, il problema continua ad esserci. Ho dedotto quindi che la causa è la default domain policy. Vi scrivo di seguito l'estratto (non sono risucito ad allegarlo in altro formato). Grazie.


    Default Domain Policy
    Data collected on: 14/11/2013 15:42:16     
    General
    Details
    Domain    promadomain.proma.locale
    Owner    PROMADOMAIN\Domain Admins
    Created    27/08/2002 12:37:32
    Modified    12/11/2013 12:40:14
    User Revisions    42 (AD), 42 (sysvol)
    Computer Revisions    198 (AD), 198 (sysvol)
    Unique ID    {31B2F340-016D-11D2-945F-00C04FB984F9}
    GPO Status    Enabled
    Links
    Location    Enforced    Link Status    Path
    promadomain    Yes    Enabled    promadomain.proma.locale

    This list only includes links in the domain of the GPO.
    Security Filtering
    The settings in this GPO can only apply to the following groups, users, and computers:
    Name
    NT AUTHORITY\Authenticated Users
    Delegation
    These groups and users have the specified permission for this GPO
    Name    Allowed Permissions    Inherited
    NT AUTHORITY\Authenticated Users    Read (from Security Filtering)    No
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS    Read    No
    NT AUTHORITY\SYSTEM    Edit settings, delete, modify security    No
    PROMADOMAIN\Domain Admins    Edit settings, delete, modify security    No
    PROMADOMAIN\Enterprise Admins    Edit settings, delete, modify security    No
    Computer Configuration (Enabled)
    Policies
    Windows Settings
    Security Settings
    Account Policies/Password Policy
    Policy    Setting
    Maximum password age    90 days
    Minimum password age    0 days
    Store passwords using reversible encryption    Disabled
    Account Policies/Account Lockout Policy
    Policy    Setting
    Account lockout duration    0 minutes
    Account lockout threshold    999 invalid logon attempts
    Reset account lockout counter after    1 minutes
    Account Policies/Kerberos Policy
    Policy    Setting
    Enforce user logon restrictions    Disabled
    Maximum lifetime for service ticket    180 minutes
    Maximum lifetime for user ticket    3 hours
    Maximum lifetime for user ticket renewal    1 days
    Maximum tolerance for computer clock synchronization    2 minutes
    Local Policies/Audit Policy
    Policy    Setting
    Audit account management    Success, Failure
    Local Policies/Security Options
    Network Security
    Policy    Setting
    Network security: Force logoff when logon hours expire    Disabled
    Network security: LAN Manager authentication level    Send LM & NTLM responses
    System Services
    Internet Connection Sharing (ICS) (Startup Mode: Automatic)
    Permissions
    Type    Name    Permission
    Allow    BUILTIN\Administrators    Full Control
    Allow    NT AUTHORITY\SYSTEM    Full Control
    Allow    NT AUTHORITY\INTERACTIVE    Read
    Auditing
    Type    Name    Access
    Failure    Everyone    Full Control
    Public Key Policies/Encrypting File System
    Certificates
    Issued To    Issued By    Expiration Date    Intended Purposes
    Administrator    Administrator    26/08/2005 12:53:02    File Recovery

    For additional information about individual settings, launch Group Policy Object Editor.
    Public Key Policies/Trusted Root Certification Authorities
    Properties
    Policy    Setting
    Allow users to select new root certification authorities (CAs) to trust    Enabled
    Client computers can trust the following certificate stores    Third-Party Root Certification Authorities and Enterprise Root Certification Authorities
    To perform certificate-based authentication of users and computers, CAs must meet the following criteria    Registered in Active Directory only
    Administrative Templates
    Policy definitions (ADMX files) retrieved from the local machine.
    System/Group Policy
    Policy    Setting    Comment
    Group Policy slow link detection    Enabled    
    Connection speed (Kbps):    0
    Enter 0 to disable slow link detection.
    Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections
    Policy    Setting    Comment
    Allow users to connect remotely using Remote Desktop Services    Enabled    
    User Configuration (Enabled)
    Policies
    Windows Settings
    Remote Installation Services
    Client Installation Wizard options
    Policy    Setting
    Custom Setup    Disabled
    Restart Setup    Disabled
    Tools    Disabled
    Administrative Templates
    Policy definitions (ADMX files) retrieved from the local machine.
    System/Group Policy
    Policy    Setting    Comment
    Group Policy slow link detection    Enabled    
    Connection speed (Kbps):    0
    Enter 0 to disable slow link detection.

    giovedì 14 novembre 2013 15:08
  • i sintomi che descrivi potrebbero anche non dipendere da una policy.

    se vai su quel client riesci a pingare altre risorse della rete ?

    puoi postare l'ipconfig /all di uno di questi client problematici ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 14 novembre 2013 17:03
    Moderatore
  • i sintomi che descrivi potrebbero anche non dipendere da una policy.

    Sono d'accordo, anche secondo me potrebbe non dipendere proprio da una GPO.

    Già che dici "alcuni" client Windows XP mi viene in mente più un problema di un componente lato client (ad esempio Windows Firewall). La causa scatenante potrebbe anche essere stata una policy, ma una volta che si è verificato il problema potrebbe non essere sufficiente la rimozione in quanto non si tratta di un comportamento previsto.

    giovedì 14 novembre 2013 17:40
    Moderatore
  • Ciao, grazie per le risposte. Sono riuscito a risolvere!

    Sono andato avanti con l'analisi del problema. Ho ricostruito la policy per cercare di attivare sugli xp il firewall  per consentire la condivisione delle stampanti, l'accesso tramite RDP e VNC. Ho settato la sezione Computer configuration sia in Policies/Administrative Templates/Network/Network Connection/windows firewall/domain profile con questi parametri:

    Windows Firewall: Allow local program exceptions    Not configured    No
    Windows Firewall: Define inbound program exceptions    Not configured    No
    Windows Firewall: Protect all network connections    Enabled    No
    Windows Firewall: Do not allow exceptions    Not configured    No
    Windows Firewall: Allow inbound file and printer sharing exception    Enabled    No
    Windows Firewall: Allow ICMP exceptions    Enabled    No
    Windows Firewall: Allow logging    Enabled    No
    Windows Firewall: Prohibit notifications    Disabled    No
    Windows Firewall: Allow local port exceptions    Not configured    No
    Windows Firewall: Define inbound port exceptions    Enabled    No
    Windows Firewall: Allow inbound remote administration exception     Not configured    No
    Windows Firewall: Allow inbound Remote Desktop exceptions    Enabled    No
    Windows Firewall: Prohibit unicast response to multicast or broadcast requests    Not configured    No
    Windows Firewall: Allow inbound UPnP framework exceptions    Not configured    No

    Poi ho settato anche la sezione: Policies/Windows settings/security settings/windows firewall with advanced security   e qui ho configurato il domain profile ed anche diverse sezioni del private e public profile per connessioni inbound e outbound.

    Il problema è che la policy veniva applicata, ho verificato tramite gpresult, ma il firewall risultava nei servizi come tipo di avvio automatico ma non partiva all'avvio del pc, inoltre se cercavo di farlo partire manualmente (anche come amministratore) usciva il seguente errore:

    errore 0x80004015: la classe è configurata per l'esecuzione con un id di protezione (SID) diverso dal chiamante

    Ho cercato e l'errore è conosciuto e risolto tramite un fix rilasciato da microsoft: http://go.microsoft.com/?linkid=9767061

    l'ho applicato ed adesso tutto funziona!!!

    Adesso creo una policy per distribuire il pacchetto fix a tutti gli xp e risolvo.

    Grazie. Spero sia utile a qualche altro sistemista.

    venerdì 15 novembre 2013 14:57