none
Firewall (3) Regeln lassen sich nicht löschen oder ändern RRS feed

  • Frage

  • Hallo an das Forum,

    Windows 2016 DC, AD, DNS, DHCP
    In der Domäne ist das SMB Protokoll 445 TCP durch eine Regel blockiert.
    Die Regel die den Port blockiert ist Remoteverwaltung (NP eingehend), aktiviert, Domäne, alle Blockieren.
    Ändern/deaktivieren/löschen geht nicht...

    Bisher gibt es außer der default Domain Policy nur 3 weitere GPo. Die aber alle nicht die Regel beinhalten.
    Zu finden müsste die Regel sein unter Computerkonfiguration/Richtlinien/Windows Einstellungen/Sicherheitseinstellungen/Windows Firewall/Windows Firewall mit erw Sicherheit/Eingehende Regeln

    Auch per Powershell kann ich die Regel anzeigen lassen aber nicht löschen/ändern/deaktivieren.

    Bin gerade etwas Ratlos, wo ich die Regel ändern oder löschen kann

    -GPo's sind leer!

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules auch nicht vorhanden

    - die Default Domain Controller Policy habe ich nicht geänder und hab das auch nicht vor. Das zumindest ist klar (war nur vom umsortieren markiert)
    - ich bin mit dem domadmin angemeldet, der sollte doch genügend rechte haben?
    - spielen ist nicht!-)
    - bei gpresult /r bekomme ich
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
    Default Domain Policy
    und die beinhaltet nicht die Regel

    - bei gpresult /z bekomme ich
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
    Default Domain Controllers Policy
    Default Domain Policy
    WMI-Verwaltung-zulassen

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
    Richtlinien der lokalen Gruppe
    Filterung: Nicht angewendet (Leer)
    Und auch bei den 3en finde ich die Regel, die es blockiert nicht. Die habe ich mir ja schon in der Verwaltungskonsole angeschaut

    /snip/

    Firewall Problem die Fortsetztung,

    Gestern habe ich festgestellt, dass die Replikation zwischen den DCs nicht klappt.
    Der Ursache bin ich auf die Spur gekommen. Die lokale Firewall der DCs blockieren die Kommunikation. Vermutlich auch weil der Port 445 und 135 domänenweit blockiert wird.
    Nachdem ich die Firewall deaktiviere klappts mit der Replikation.
    So,
    dann habe ich versucht die Firewallregeln
    Pic1
    Per Powershell zu löschen
    Firewall Regel, die Blockieren anzeigen durch

    Get-NetFirewallRule -Action block -Enabled True -Direction Inbound 
    Pic2
    Hmm, die Regel wird im GUI angezeigt, aber nicht via powershell!? Oder habe ich da einen Fehler eingebaut?
    Eine Firewallregel Port 0815 Domänenweit blockieren erzeugt
    Pic3
    Nochmal die Get-NetFirewallRule -Action block -Enabled True -Direction Inbound anzeigen
    Pic4
    Und siehe da die 0815 Regel wird angezeigt und die anderen 3, die ich nicht löschen kann NICHT!?
    Dann deaktiviere ich einfach die Regel.
    Disable-NetFirewallRule -Action Block -Enabled True -Direction Inbound
    Pic5
    Hmm hat geklappt.
    Keine mehr da (in der Powershell)
    Dann schauen wir uns das in der GUI nochmal an.
    Pic6
    Siehe da, die Test0815 Regel ist deaktivert, aber nicht die, die ich eigentlich löschen will!!
    So, wenn ich jetzt Remove-NetFirewallRule -Action block -Direction Inbound ausführe, müssten eigentlich alle 4 Regeln gelöscht werden
    Pic7

    Die Test0815 ist gelöscht, die 3 anderen nicht…
    Pic8

    Die Regeln gibt’s übrigens domänenweit.
    Nochmal zu den Einzelheiten der Regeln, die sich nicht löschen lassen
    Pic9
    Pic10
    Pic11
    Und der Administrator / Domadmin darf die Regel nicht ändern!
    Noch Ideen? 
    Oder Tipps, wer uns da bei der Lösung helfen kann?

    Hier habe ich den Teil mit den Screenshots wehwehweh.honignet.de/images/pdf/Firewall_Problem_20190824.pdf


    ...

    Genervte Grüße Jörg

    Jetzt ist Wochenende
    Jörg

    Samstag, 24. August 2019 15:37

Alle Antworten

  • Hallo,

    hier mal ein Lösungsvorschlag

    Programm PsExec von Sysinternals downloaden https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

    PsExec in einer Admin Console starten mit 

    .\PsExec.exe -i -s powershell.exe

    das folgende Kommando absetzten

    Get-NetFirewallRule -Action block -Description "*Remoteverwaltung* named*" | set-netNetFirewallRule -Action allow


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Montag, 26. August 2019 05:17
  • Hallo Benjamin,

    leider findet der Befehl keine Blocked Regel und bricht mit Fehlermeldung ab.

    Das war aber vorherzusehen, da ich das mit einer testweise erzeugten Regel versucht habe. Die wird angezeigt, die kann ich ändern, die kann ich löschen.

    Die 3, die ich löschen muss, aber nicht.

    Das ist wie Geister Jagen!

    Wo in der Tiefe des Systems kann ich denn das noch finden.

    Würde Dir gern Screenshots hinzufügen, darf aber keine Bilder und Links hier einfügen...

    Herzliche Grüße

    Jörg

    Montag, 26. August 2019 17:02
  • Regedit, lösche HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 27. August 2019 11:30
  • Hallo Martin,

    danke für Deine Info.

    Auf das bin ich auch schon gekommen.

    Dort finde ich allerdings nur 1 Regel

    v2.26|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=445|Name=445 Test|

    Die habe ich selbst (zum Test) angelegt. Aber die 3 Regeln, die den Netzwerkverkehr auf Port 135 und 445 blocken sind auch da nicht dabei.

    Leider noch keine Lösung in Sicht?!

    Herzlichen Gruß

    Jörg

    Dienstag, 27. August 2019 11:40
  • Dann füge in wf.msc in der Ansicht ausgehender/eingehender Regeln doch mal die Spalte "Regelquelle" hinzu, vielleicht bringt die Licht ins Dunkel?

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 27. August 2019 12:13
  • Steht auf lokale Gruppenrichtlinieneinstellung.

    Übrigens auf allen Servern / Clients (Stichprobenartig geprüft)

    in der GPo Verwaltung exisitiert die

    Default Domain Controller pol
    Default Domain Policy
    Test (zum testen)
    WMI-Verwaltung-Zulassen

    In allen 3 ist die Regel NICHT in Computerconfiguration/Richtlinie/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall.../Windows-Firewall-mit-erwe.../Eingehende Regel definiert!

    Ich vermute es gibt eine GPo, die nicht angezeigt wird oder anders "unsichtbar" ist.

    Eine Idee wie ich der auf die Spur kommen kann?

    Noch eine Idee?

    Herzlichen Gruß

    Jörg

    Dienstag, 27. August 2019 12:39
  • Hallo zurück,

    die Regelquelle ist 

    "Lokale Gruppenrichtlinienenstellung"

    Aber auch in der gpdit.msc unter Richtlinie/Computer/Windows/Sicherheit/Windows Firewall/Windows Firewall mit erw/Eingehende Regeln ist KEINE definiert.

    Ich bin ratlos

    Gruß Jörg

    Dienstag, 27. August 2019 15:12
  • Ist eventuell eine andere Gruppe treffender?
    Kann mir jemand einen Tipp geben, wer mir da beim Finde den Fehler effektiv helfen kann?

    Bin für jeden Tipp dankbar.

    Dienstag, 27. August 2019 17:13
  • Dann starte mal mmc.exe - Snapin hinzufügen - "Gruppenrichtlinienverwaltung" - lokaler Computer. AFAIR ist das nicht das gleiche wie direkt gpedit.msc...

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Mittwoch, 28. August 2019 11:44