我更新了我的域的默认策略,以在Windows防火墙下添加例外
pipe理模板<networking<networking连接<Windows防火墙<域configuration文件
我更改了Windows防火墙:定义程序例外并添加了这两个条目:
%system32%\lsass.exe:*:enabled:lsass %system32%\svchost.exe:*:enabled:svchost
但是,当我从我的客户机运行GPupdate /强制运行
netsh firewall show allowedprogram
我没有看到我添加的这些条目都显示在我的例外。 我更新GP对象的时间大概是半个小时,所以我认为它不应该等待足够长的时间才能运行gpupdate。 我错过了什么吗? 我试过运行rsop.msc,但是当我展开pipe理模板在rsop它只是停止响应一段时间,或者只是需要一段时间,我需要离开它独自一人?
编辑:运行GPupdate /强制后,我得到事件信息“组策略对象中的安全策略已成功应用”。
使用RSOP等待更长时间后,我可以查看pipe理模板,显示允许远程pipe理exception和启用远程桌面exception的设置。 但是,当我运行netsh命令时,在防火墙中看不到它们的任何条目。 此外,我仍然遇到安全失败,报告lsass和svchost正在寻找连接,所以它不是只是正常工作,由于某种原因不显示从netsh命令。
我无法打开\\ domain \ sysvol,但是我可以打开\\ DomainControllerName \ sysvol,并看到1个节点。
编辑:
事件查看器安全失败审计
Windows防火墙检测到应用程序正在监听传入的通信。
名称: – path:C:\ WINDOWS \ system32 \ svchost.exe
C:\>netsh firewall show config Domain profile configuration (current): ------------------------------------------------------------------- Operational mode = Enable Exception mode = Enable Multicast/broadcast response mode = Enable Notification mode = Enable Service configuration for Domain profile: Mode Customized Name ------------------------------------------------------------------- Enable No Remote Desktop Enable No Remote Administration Allowed programs configuration for Domain profile: Mode Name / Program ------------------------------------------------------------------- Enable Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Enable Remote Assistance / C:\WINDOWS\system32\sessmgr.exe Enable Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe Enable Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe Enable Adobe CSI CS4 / C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe Enable AOL Instant Messenger / C:\Program Files\AIM\aim.exe Enable Microsoft Office Outlook / C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE Enable Microsoft Office Groove / C:\Program Files\Microsoft Office\Office12\GROOVE.EXE Enable Microsoft Office OneNote / C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE Enable spiceworks / C:\Program Files\Spiceworks\bin\spiceworks.exe Enable spiceworks-finder / C:\Program Files\Spiceworks\bin\spiceworks-finder.exe Enable Yahoo! Messenger / C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe Enable Microsoft Visual Studio 2008 / C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.exe Enable firefox / C:\Program Files\Mozilla Firefox\firefox.exe Port configuration for Domain profile: Port Protocol Mode Name ------------------------------------------------------------------- 5353 TCP Enable Adobe CSI CS4 3389 TCP Enable Remote Desktop Standard profile configuration: ------------------------------------------------------------------- Operational mode = Enable Exception mode = Enable Multicast/broadcast response mode = Enable Notification mode = Enable Service configuration for Standard profile: Mode Customized Name ------------------------------------------------------------------- Enable No Remote Desktop Allowed programs configuration for Standard profile: Mode Name / Program ------------------------------------------------------------------- Enable Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Enable Remote Assistance / C:\WINDOWS\system32\sessmgr.exe Enable Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe Enable Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe Port configuration for Standard profile: Port Protocol Mode Name ------------------------------------------------------------------- 3389 TCP Enable Remote Desktop Log configuration: ------------------------------------------------------------------- File location = C:\WINDOWS\pfirewall.log Max file size = 4096 KB Dropped packets = Disable Connections = Disable Local Area Connection firewall configuration: ------------------------------------------------------------------- Operational mode = Enable
任何人有任何build议? 这会导致我的安全日志在事件查看器中填满,并且在我的networking中的其他工作站上,我必须手动清除常规用户的日志以便能够login到他们的系统。
编辑8/4/2009 – 进一步检查它实际上不是远程桌面/pipe理,填满我的安全日志它svchost加载dnscaching:C:\ WINDOWS \ system32 \ svchost.exe -k NetworkService与DLL C:\ WINDOWS \ SYSTEM32 \ dnsrslvr.dll
我试图将dll本身添加到允许的程序列表中,但似乎没有帮助,它不会让您直接将svchost添加到例外列表。
我在网上find的一切都指向这个post: 事件ID 861源安全性只是不是一个解决scheme,因为它涉及svchost。
这篇文章事件ID 861确定哪些服务作为svchost运行是完全一样的情况,但它提到的解决scheme是禁用dnsclient显然不是在域环境中的选项。
据微软说
Windows防火墙:dnscache
更新:2005年3月2日
使用此服务不需要Windows防火墙configuration。
如果是这样,为什么它仍然填充我的事件查看器。 似乎有很多受这个问题影响的人填写他们的安全日志,无论是专门为dnscache还是其他服务,我一直在找的人都自动地想要说病毒/恶意软件等,没有人提供了一个解决scheme而不仅仅是禁用审计跟踪或禁止运行防火墙服务。
我无法打开\ domain \ sysvol,但是我可以打开\ DomainControllerName \ sysvol,并看到1个节点。
这似乎支持埃文的理论,你有你的广告更一般的问题。 我可以build议你从防火墙的具体工作退出一点(只是太多的variables),并尝试设置一些其他的组策略,然后看看他们采取? 它不会解决你所遇到的具体问题,但它有助于确认理论是否正确。
你还可以检查文件复制服务和DFS服务都在你所有的DC上运行吗? 此外,每个人都可以为自己和所有其他DCparsing名称到IP和IP到名称,每个DC都有一个正确设置的FQDN,并且每个都可以使用nslookup将您的域名parsing为您的DC IP地址。
最后,您应该使用replmon来确定您的AD复制是否健康,并解决在执行其他任何操作之前抛出的任何问题。
如果您更改了这部分政策:
Windows防火墙:允许远程pipe理例外
会自动添加lsass和svchost作为例外。
这听起来像你有一个一般的组策略应用程序的问题。 通常,这是由以下原因造成的:
尝试强制刷新策略后,客户端计算机上的“应用程序事件日志”中出现了什么?
RSoP可能需要一些时间来扩展“pipe理模板”节点,但是如果它永远不会回来,那么我怀疑您的客户端计算机在访问域SYSVOL时遇到困难。 您可以通过尝试在“开始/运行”中打开\ domain \ sysvol来诊断。 您应该看到在那里列出的单个目录以及您的域的DNS名称。 如果您遇到任何错误,那么客户端计算机上的DNS设置可能不正确。