服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 防火墙定义程序例外组策略不适用
Intereting Posts
防止更新pipe理器覆盖我的configuration 游戏服务器托pipe Dovecot userdb失败:内部失败 我安装SQL Server 2005时缺lessSQL Server Management Studio 在启动时在后台运行一致吗? 什么值不能在/ proc / sys中更改? SQL Server 2008复制链接的服务器表 .htaccess干净的URL制作,CSS似乎还没有被应用 Outlook 2007始终要求Windows 7 Professional上的networking密码 如何通过LDAPdebuggingSASL身份validation到活动目录 在VPS机器Ubuntu服务器16.04上设置语言环境永久失败 HP混合使用1和混合使用3 SSD驱动器有什么区别? Maldet与ClamAV缺lessPHP base64_decode()和eval()的黑客 如何configuration区域文件,使foo.com和www.foo.com工作? 如何删除一个logging,当两个表有相互引用的外键?

防火墙定义程序例外组策略不适用

我更新了我的域的默认策略,以在Windows防火墙下添加例外

pipe理模板<networking<networking连接<Windows防火墙<域configuration文件

我更改了Windows防火墙:定义程序例外并添加了这两个条目: 

%system32%\lsass.exe:*:enabled:lsass %system32%\svchost.exe:*:enabled:svchost

但是,当我从我的客户机运行GPupdate /强制运行 

 netsh firewall show allowedprogram

我没有看到我添加的这些条目都显示在我的例外。 我更新GP对象的时间大概是半个小时,所以我认为它不应该等待足够长的时间才能运行gpupdate。 我错过了什么吗? 我试过运行rsop.msc,但是当我展开pipe理模板在rsop它只是停止响应一段时间,或者只是需要一段时间,我需要离开它独自一人?

编辑:运行GPupdate /强制后,我得到事件信息“组策略对象中的安全策略已成功应用”。

使用RSOP等待更长时间后,我可以查看pipe理模板,显示允许远程pipe理exception和启用远程桌面exception的设置。 但是,当我运行netsh命令时,在防火墙中看不到它们的任何条目。 此外,我仍然遇到安全失败,报告lsass和svchost正在寻找连接,所以它不是只是正常工作,由于某种原因不显示从netsh命令。

我无法打开\\ domain \ sysvol,但是我可以打开\\ DomainControllerName \ sysvol,并看到1个节点。

编辑:

事件查看器安全失败审计

Windows防火墙检测到应用程序正在监听传入的通信。

名称: – path:C:\ WINDOWS \ system32 \ svchost.exe 

 C:\>netsh firewall show config Domain profile configuration (current): ------------------------------------------------------------------- Operational mode = Enable Exception mode = Enable Multicast/broadcast response mode = Enable Notification mode = Enable Service configuration for Domain profile: Mode Customized Name ------------------------------------------------------------------- Enable No Remote Desktop Enable No Remote Administration Allowed programs configuration for Domain profile: Mode Name / Program ------------------------------------------------------------------- Enable Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Enable Remote Assistance / C:\WINDOWS\system32\sessmgr.exe Enable Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe Enable Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe Enable Adobe CSI CS4 / C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe Enable AOL Instant Messenger / C:\Program Files\AIM\aim.exe Enable Microsoft Office Outlook / C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE Enable Microsoft Office Groove / C:\Program Files\Microsoft Office\Office12\GROOVE.EXE Enable Microsoft Office OneNote / C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE Enable spiceworks / C:\Program Files\Spiceworks\bin\spiceworks.exe Enable spiceworks-finder / C:\Program Files\Spiceworks\bin\spiceworks-finder.exe Enable Yahoo! Messenger / C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe Enable Microsoft Visual Studio 2008 / C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.exe Enable firefox / C:\Program Files\Mozilla Firefox\firefox.exe Port configuration for Domain profile: Port Protocol Mode Name ------------------------------------------------------------------- 5353 TCP Enable Adobe CSI CS4 3389 TCP Enable Remote Desktop Standard profile configuration: ------------------------------------------------------------------- Operational mode = Enable Exception mode = Enable Multicast/broadcast response mode = Enable Notification mode = Enable Service configuration for Standard profile: Mode Customized Name ------------------------------------------------------------------- Enable No Remote Desktop Allowed programs configuration for Standard profile: Mode Name / Program ------------------------------------------------------------------- Enable Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Enable Remote Assistance / C:\WINDOWS\system32\sessmgr.exe Enable Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe Enable Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe Port configuration for Standard profile: Port Protocol Mode Name ------------------------------------------------------------------- 3389 TCP Enable Remote Desktop Log configuration: ------------------------------------------------------------------- File location = C:\WINDOWS\pfirewall.log Max file size = 4096 KB Dropped packets = Disable Connections = Disable Local Area Connection firewall configuration: ------------------------------------------------------------------- Operational mode = Enable

任何人有任何build议? 这会导致我的安全日志在事件查看器中填满,并且在我的networking中的其他工作站上,我必须手动清除常规用户的日志以便能够login到他们的系统。

编辑8/4/2009 – 进一步检查它实际上不是远程桌面/pipe理,填满我的安全日志它svchost加载dnscaching:C:\ WINDOWS \ system32 \ svchost.exe -k NetworkService与DLL C:\ WINDOWS \ SYSTEM32 \ dnsrslvr.dll

我试图将dll本身添加到允许的程序列表中,但似乎没有帮助,它不会让您直接将svchost添加到例外列表。

我在网上find的一切都指向这个post: 事件ID 861源安全性只是不是一个解决scheme,因为它涉及svchost。

这篇文章事件ID 861确定哪些服务作为svchost运行是完全一样的情况,但它提到的解决scheme是禁用dnsclient显然不是在域环境中的选项。

据微软说

Windows防火墙:dnscache

更新:2005年3月2日

使用此服务不需要Windows防火墙configuration。

如果是这样,为什么它仍然填充我的事件查看器。 似乎有很多受这个问题影响的人填写他们的安全日志,无论是专门为dnscache还是其他服务,我一直在找的人都自动地想要说病毒/恶意软件等,没有人提供了一个解决scheme而不仅仅是禁用审计跟踪或禁止运行防火墙服务。

我无法打开\ domain \ sysvol,但是我可以打开\ DomainControllerName \ sysvol,并看到1个节点。

这似乎支持埃文的理论,你有你的广告更一般的问题。 我可以build议你从防火墙的具体工作退出一点(只是太多的variables),并尝试设置一些其他的组策略,然后看看他们采取? 它不会解决你所遇到的具体问题,但它有助于确认理论是否正确。

你还可以检查文件复制服务和DFS服务都在你所有的DC上运行吗? 此外,每个人都可以为自己和所有其他DCparsing名称到IP和IP到名称,每个DC都有一个正确设置的FQDN,并且每个都可以使用nslookup将您的域名parsing为您的DC IP地址。

最后,您应该使用replmon来确定您的AD复制是否健康,并解决在执行其他任何操作之前抛出的任何问题。

如果您更改了这部分政策:

Windows防火墙:允许远程pipe理例外

会自动添加lsass和svchost作为例外。

这听起来像你有一个一般的组策略应用程序的问题。 通常,这是由以下原因造成的:

  • 客户端计算机上的DNS设置不正确
  • 将GPO链接到不正确的位置以执行您的计划
  • 域控制器计算机之间的GPO的文件部分的复制问题

尝试强制刷新策略后,客户端计算机上的“应用程序事件日志”中出现了什么?

RSoP可能需要一些时间来扩展“pipe理模板”节点,但是如果它永远不会回来,那么我怀疑您的客户端计算机在访问域SYSVOL时遇到困难。 您可以通过尝试在“开始/运行”中打开\ domain \ sysvol来诊断。 您应该看到在那里列出的单个目录以及您的域的DNS名称。 如果您遇到任何错误,那么客户端计算机上的DNS设置可能不正确。