Verzweiflung AD Domain Controller und pingbarkeit...
URL: https://www.overclockers.at/windows/verzweiflung-ad-domain-controller-und-pingbarkeit_248291/page_1 - zur Vollversion wechseln!
UnleashThebeast schrieb am 22.02.2017 um 23:37
Hallo,
Ich steh grad böse an.
Ich spiel mich grad ein bisschen herum und will einen AD Domaincontroller in Virtualboxen zum laufen bringen.
Hab eine Box mit PfSense, so weit so gut. WAN ist reingebridged von meinem LAN am Hostsystem und bezieht eine 192.168.x.x IP vom DHCP, LAN geht raus als 10.0.0.254.
Dann hab ich einen Windows Server2012R2 mit IP 10.0.0.11 und Gateway 10.0.0.254.
Und ein Windows 7 mit IP 10.0.0.12 und Gateway 10.0.0.254.
Beide Rechner können problemlos raus ins Internet pingen.
Der Server kann auch die .12 anpingen
ABER
Windows7 auf .12 kann 10.0.0.11 nicht pingen???
.254 lässt sich pingen.
WTF? Wo genau ist mein Denkfehler??
Smut schrieb am 22.02.2017 um 23:45
Hostfirewall blockiert default ICMP eingehend.
UnleashThebeast schrieb am 22.02.2017 um 23:51
Jesusmaria, ich bin einer der dümmsten Mitteleuropäer...
Dass S2012R2 die Firewall automatisch aktiv hat, hab ich wieder nicht bedacht... Danke. 
xtrm schrieb am 23.02.2017 um 00:36
Puh, das ist aber bei quasi jedem "neueren" Windows OS so, egal ob Server oder nicht 
.
Smut schrieb am 23.02.2017 um 08:10
Hängt vom Firewall Profil ab. Afaik ist es bei Home nicht.
davebastard schrieb am 23.02.2017 um 08:31
vor allem das ping standardmäßig geblockt wird find ich ned ideal.
Smut schrieb am 23.02.2017 um 08:34
Ich verstehe es auch nicht unbedingt.
Afaik ist das aber im Domain Profil nicht so - hängt halt vom firewall rulest ab das gewählt wird.
daisho schrieb am 23.02.2017 um 13:02
vor allem das ping standardmäßig geblockt wird find ich ned ideal.
Für Geräte die in public domain stehen eher normal denke ich (Firewall setting für Public Network vermutlich?).
davebastard schrieb am 24.02.2017 um 00:58
Für Geräte die in public domain stehen eher normal denke ich (Firewall setting für Public Network vermutlich?).
wer stellt schon einen windows server direkt ins internet 
?
edit: worauf ich eigentlich hinaus will: ping ist ein essentielles diagnose tool. das dreht man normal nicht ab, vor allem weil das riskio sehr gering ist. dafür muss es schon sehr gute gründe geben. von security by obscurity halt ich nix.
spunz schrieb am 24.02.2017 um 14:03
wer stellt schon einen windows server direkt ins internet ?
Wir machen sowas, ich sehe heute eigentlich kaum noch einen Unterschied zwischen "extern" und "intern" 
edit: worauf ich eigentlich hinaus will: ping ist ein essentielles diagnose tool..
Wenn dann test-connection oder test-netconnection, "ping.exe" ist schon sehr "rudimentär".
Im Grunde sehe ich da eigentlich kein Problem, im Grunde sollte man die FW so oder so per GPO, DSC oder sonstigen Lösungen steuern und auch die Logs entsprechend überwachen. Von daher macht es durchaus Sinn auch ICMP nur dort zu aktivieren wo es "notwendig" ist.
Smut schrieb am 24.02.2017 um 14:25
bin eher ein fan von telnet auf einen port. ping ist ein schlechter test, da ich ohnehin keinen service darüber ansprechen kann. abgesehen davon können pings auch z.b. bei mehreren interfaces aufgrund von global icmp allow auf firewalls über eine andere route retourkommen.
Neo-=IuE=- schrieb am 26.02.2017 um 21:17
eine (gute) Firewall sollte asymmetrisches Routing nicht erlauben, das geht mit IP Spoofing Schutz einher
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025