Konfigurieren von Firewall-Regeln über Gruppenrichtlinien (GroupPolicy)

Manchmal kann es sinnvoll sein, die Konfiguration von Firewall-Regeln über Gruppenrichtlinien umzusetzen. Gerade in sehr großen Umgebungen oder in Labs kann dies sehr viel Zeit sparen und sie schließen eine immer gerne wiederkehrende Fehlerquelle innerhalb Ihrer Umgebung aus. Leider stelle ich immer wieder fest, dass Firewalls in Unternehmen deaktiviert werden. Ich empfehle immer die Firewall weiterhin aktiviert zulassen, auch wenn Sie eine Unternehmensfirewall einsetzen. Für die Bereitstellung eines Project Server benötigen Sie in der Standardinstallation immer den Port 1433 für die Standard-Instanz und für die Analyse Services den Port 2383 und falls Sie die automatische Portzuweisung aktiviert haben, sollten Sie ebenfalls den Port 2382 freigeben. Gehen Sie hierzu wie folgt vor.

Öffnen Sie den Gruppenrichtlinien Editor auf Ihren Active Directory Server. Gehen Sie innerhalb des Gruppenrichtlinien Editor mit der rechten Maustaste auf den Ordner Gruppenrichtlinienobjekte und wählen Sie im Kontextmenü den Eintrag “Neu”.

SNAGHTML707564e

Vergeben Sie nun einen Namen für Ihre Gruppenrichtlinie. In meinem Beispiel nenne ich die Gruppenrichtlinie “Firewall-Global”. Klicken Sie anschließend auf “OK”.

image

Sie finden nun die Gruppenrichtlinie auf der rechten Seite. Führen Sie nun einen Doppelklick auf der Gruppenrichtlinie aus.

SNAGHTML70f5a83

Öffnen Sie nun den folgenden Pfad, wie in der Grafik abgebildet. Wählen Sie nun “Eingehende Regel” aus. Klicken Sie nun mit der rechten Maustaste “Eingehende Regel” und wählen Sie im Kontextmenü den Eintrag “”.

SNAGHTML71639ba

Wählen Sie nun innerhalb des Assistenten die Option “Port”.

image

Geben Sie nun den gewünschten Port ein. In meinem Beispiel 2383 für die Analyse Services. Klicken Sie anschließend auf “Weiter”.

image

Geben Sie nun an, dass Sie die Verbindung zulassen wollen. Klicken Sie anschließend auf “Weiter”.

image

Geben Sie nun an, für welches Profil die Einstellungen gelten sollen. In meinem Beispiel werde ich die Einstellung für alle Profile erlauben. Klicken Sie anschließend auf “Weiter”.

image

Geben Sie nun einen Namen für Ihre Policy ein. Geben Sie wenn gewünscht, eine Beschreibung für die Policy ein.

Achtung: Bei weiteren Konfigurationen und wachsender Anzahl an Ports, empfiehlt es sich immer eine Beschreibung hinzuzufügen. Dadurch können Sie Regeln relativ einfach erkennen.

image

Führen Sie dies Einstellungen für die Port 1433 und 2382 aus.

Verknüpfen Sie nun die Gruppenrichtlinie mit Ihrer OU. In meinem Beispiel verknüpfe ich die Gruppenrichtlinie direkt auf der obersten Ebene. Gehen Sie hierzu auf den Domänennamen. Klicken Sie auf die rechte Maustaste und wählen Sie im Kontextmenü den Eintrag “Vorhandene Gruppenrichtlinienobjekt verknüpfen”.

SNAGHTML72118b3

Wählen Sie nun die Policy “Firewall-Global” aus und klicken Sie anschließend auf “OK”.

image

Schließen Sie nun den Gruppenrichtlinien Editor. Öffnen sie nun die PowerShell. Klicken Sie hierzu auf das Icon in der Taskleiste. Geben Sie nun dem folgenden Befehl “gpupdate /force” ein und drücken Sie anschließend die Enter-Taste. Danach sollte die Ausgabe wie folgt aussehen.

SNAGHTML729d915

Öffnen Sie nun die Firewall-Einstellungen über “Netzwerk und Freigabecenter”. Klicken sie im unteren Bereich auf “Windows Firewall”.

image

Ihnen wird nun angezeigt, dass die Einstellungen vom Systemadministrator verwaltet werden.

image

Kontrollieren Sie, ob die Einstellungen übernommen wurden, klicken Sie hierzu auf  der rechten Seite auf die Option “Erweiterte Einstellungen”. Klicken Sie nun in der rechten Seite auf die Option “Eingehende Regel”. Wie Sie sehen, wurden die Einstellungen übernommen.

image

Advertisements

Über T.Blankertz

Torben Blankertz lebt mit seiner Familie in Erkelenz im Kreis Heinsberg am linken Niederrhein. Hauptberuflich ist er bei der Firma Bechtle IT-Systemhaus Köln im Microsoft Competence Team als IT-Consultant im Enterprise-Segment tätig.Während seiner Ausbildung an der Akademie für Information- und Telekommunikationstechnik zu Essen entwickelte er seinen Schwerpunkt im IT-Controlling: Ermittlung von Projektfortschritten und dessen Wirtschaftlichkeit mit der Ertragswertanalyse (Earned Value). Während der Ausbildung war er als technischer Projektleiter bei einem Dienstleistungsunternehmen in der Umweltbranche tätig. Dort konnte er seine technische Expertise in den Technologien Linux, Microsoft und Citrix ausbauen und vertiefen. Nach der Ausbildung wechselte er in den Raum Köln, wo er als Projektmanager und Berater für Projektmanagement in den Bereichen ITC-Migrations- und ITC-Integrationsprojekte sowie Rollouts mit dem Schwerpunkt Microsoft Technologien eingesetzt wurde. Für die Abwicklung der Projekte war er federführend verantwortlich und richtete dabei seinen Fokus auf die Projktmanagementmethode PRINCE2. Seit 2006 richtet er sein Interesse auf die Umsetzung der Projektmanagementmethoden PRINCE2 und deren Umsetzung mit den entsprechenden Projektmanagementtechnologien aus. Bedingt durch diesen Fokus, ist er auch als Technologieberater für die Produkte: SharePoint und Project Server und deren benötigten Infrastruktur tätig. Seit 2008 doziert er an der Akademie für Informations- und Telekommunikationstechnik zu Essen in den Fächern IT-Controlling, IT-Qualitätsmanagement und IT-Risikomanagement sowie Microsoft Project.
Dieser Beitrag wurde unter GPO, Windows Server 2008, Windows Server 2012 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s