Firewall Ports servergesteuert freigeben

[[EH]Keeper]

Hi,

hab ein kleines "Bequemlichkeitsproblem".

Ich hab hier ne 2003er Domäne (noch mit 2003 und 2008 R2 Servern gemischt) mit ca. 80 Win7 und XP Rechnern.
Jetzt muss ein Programm auf den Clients installiert werden, welches aber von einem 2008 R2 Server (kein DC) verwaltet wird.
(ähnlich wie z.B. der BackupExec Agent oder ein Virenscanner)
D.h.: der 2008 R2 Server soll brav über ein GUI die Software auf die Client-Rechner verteilen und "pflegen".

Soweit alles ok, der Server läuft, die Software findet auch die Clients usw. - nur muss an den Clients direkt ein bestimmter Port in der Windows Firewall für dieses Programm freigeschaltet werden, da die Kommunikation sonst nicht sauber funktioniert.

Daher meine Frage: Wie kann ich - am besten von einem Server aus oder über die Gruppenrichtlinien - diesen Port an den Clients freischalten (lassen)? Ich möchte nur ungern von PC zu PC daggeln und alles händisch und manuell durchziehen.

 

[blablub1212]

http://technet.microsoft.com/de-de/sysinternals/bb897553.aspx
http://technet.microsoft.com/de-de/library/cc754753(v=ws.10).aspx

ein weg wäre über die commandline mit psexec und netsh

 

[Entilzha]

Du kannst per

netsh.exe advfirewall firewall add rule name="Mein Port" dir=in program="C:\Programme\*.exe" action=allow enable=yes profile=private protocol=TCP localport=NR

Eine Rules hinzufügen, oder Ein -Ausschalten

netsh.exe advfirewall firewall set rule name="Mein Port" new enable=no
netsh.exe advfirewall firewall set rule name="Mein Port" new enable=yes

und noch viel mehr...

 

[Frightener]

Group Policies

 

[[EH]Keeper]

So, erstmal thx für die Antworten. Nach langem Probieren hab ich herausgefunden, dass ich die Ports gar nicht alle einzeln frei schalten muss. Es reicht im Prinzip, wenn ich in der Firewall von Win7 das Häkchen "Remoteverwaltung geplanter Aufgaben" aktiviere.
Gibts da n schnellen Weg? Ich hab mal nach ner Group Policy geschaut - lt. MS solls da ja was Fertiges geben - aber irgendwie nix gefunden. Weiß jemand zufällig, wie man "janz fix" mit wenigen Mausklicks dieses besagte Win7 Firewall-Häkchen auf allen Client-PCs setzen kann, ohne sich an jeden Einzelnen davor setzen zu müssen?

 

[Frightener]

Group Policies:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security

 

[[EH]Keeper]

Hi, genau das hab ich gesucht... nur ist das Problem: diesen Eintrag gibts bei mir nicht. GARG! Ich hab nur die Regeln für WinXP Rechner.
Ich habe mittlerweile sogar noch einen 2008 R2 DC in die 2003er Domäne eingebunden. Angeblich sollen dadurch diese Einträge automatisch hinzugefügt werden. Wurden se aber nich . Jemand ne Ahnung, wie ich an diese GPs komme bzw. wie ich diese Rubrik "Windows Firewall with Advanced Security" aktivieren kann?

 

[Frightener]

Auf dem 2008er DC solltest Du diese Einstellungen eigentlich finden. Auf den 2003ern kommen diese Policies nicht hinzu!

 

[[EH]Keeper]

Hossa, endlich hab ich den Eintrag - musst noch importiert werden. So, ich kann jetzt also die Firewallregeln bearbeiten. Mein Problem ist jetzt nur dieses:
Ich möchte gern für alle Client-PCs einer Gruppe das Häkchen für "Remotverwaltung geplanter Aufgaben" setzen, denn genau DAS muss ich machen, damit ein Programm sauber läuft. siehe auch Dateianhang
Leider kann ich bei den Regeln nirgends etwas finden, was darauf hin deutet. Weiß jemand, wie ich dieses Häkchen über die Gruppenrichtlinie setzen kann?

 

[Evil E-Lex]

Computerkonfiguration > Administrative Vorlagen > Netzwerk > Netzwerkverbindungen > Windows Firewall > Domänenprofil > Windows Firewall: Eingehende Remoteverwaltungsausnahme zulassen

 

[[EH]Keeper]

@Evil E-Lex: mein Problem ist jetzt:
Ich habe zum Test eine neue Richtlinie erstellt, die Firewallconfig eingetragen und die Richtlinie einer Testgruppe zugewiesen.
Alles mit dem Windows 2008 R2 Server.
Auf dem Win2008R2 Server sehe ich diesen Eintrag in den Gruppenrichtlinien auch wunderbar.
Auf dem älteren 2003 R2 Server ist die erstellte Richtlinie und die Testgruppe zwar vorhanden, aber diese "neueren" Einträge gibts dort nicht. der 2003er zeit nur seine Einträge an, die er "kennt", aber nicht die, die ich ihm mitgegeben habe.
Es ist auch alles sauber synchronisiert. Es gibt keine Fehlermeldungen, nix im Eventlog... usw.
Muss man an den 2003 Domänencontrollern denn noch was spezielles einstellen, damit man die Richtlinien so bearbeiten kann wie am 2008er bzw. dass die "blöden" 2003er Kisten die neuen Regeln "kapieren" ?
So langsam dreh ich noch durch mit dem Müll....

 

[Evil E-Lex]

Du kannst die mit Server 2008 neu hinzugekommenen Richtlinien nur auf Server 2008 oder höher konfigurieren. Bei Server 2003 tauchen die nicht auf. Angewendet und repliziert werden die Richtlinen aber trotzdem. Ich versteh daher dein Problem nicht ganz, bearbeite die Richtlinien einfach auf deinem 2008er DC.