(0) exportieren Drucken
Alle erweitern

Konfigurieren der Firewallportanforderungen für Gruppenrichtlinien

Veröffentlicht: Juli 2012

Letzte Aktualisierung: Juli 2012

Betrifft: Windows 8, Windows Server 2012

Mit den in diesem Thema aufgeführten Informationen können Sie die Firewallportanforderungen für die Gruppenrichtlinie konfigurieren. Die Gruppenrichtlinie erfordert, dass Firewallports auf Clientcomputern geöffnet werden, damit Administratoren die folgenden beiden Remotevorgänge ausführen können:

Standardmäßig wird von der Windows-Firewall der gesamte ausgehende Netzwerkdatenverkehr zugelassen. Für eingehenden Datenverkehr müssen hingegen entsprechende Firewallregeln konfiguriert werden. In diesem Thema sind die TCP- und UDP-Ports angegeben, für die Sie Firewallregeln aktivieren müssen, um eingehenden Datenverkehr zuzulassen. Dadurch wird ermöglicht, dass von der Gruppenrichtlinie Remoteberichte für Gruppenrichtlinienergebnisse von Clientcomputern sowie Remoteaktualisierungen der Gruppenrichtlinie auf clientbasierten Computern ausgeführt werden können. Mit den in diesem Thema aufgeführten Informationen können Sie nicht von Microsoft stammende Firewallprodukte konfigurieren und ein Gruppenrichtlinienobjekt zum Konfigurieren eines Clientcomputers mit den erforderlichen Firewallregeln erstellen. In diesem Thema werden darüber hinaus zwei neue Starter-Gruppenrichtlinienobjekte vorgestellt, mit denen die richtigen Firewallregeln auf Clientcomputern konfiguriert werden.

noteHinweis
Wenn Sie Clientcomputer mithilfe von Gruppenrichtlinien konfiguriert haben, überschreiben die Gruppenrichtlinieneinstellungen jegliche manuelle Konfiguration der Clientcomputer, auf die die Richtlinien angewendet werden. Zur Überprüfung dieser Regeln können Sie mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) einen Bericht für Gruppenrichtlinienergebnisse oder für die Gruppenrichtlinienplanung ausführen. Alternativ öffnen Sie auf einem Clientcomputer das Snap-In "Windows-Firewall mit erweiterter Sicherheit", und klicken Sie auf Eingehende Regeln.

Sie müssen mindestens Mitglied der Gruppe "Administratoren" oder einer entsprechenden Gruppe sein, um diese Konfigurationsänderungen vorzunehmen.

Wenn Sie ein nicht von Microsoft stammendes Firewallprodukt verwenden, lesen Sie in der Firewallproduktdokumentation die Anweisungen dazu, wie diese Ports gemäß den Anforderungen der Gruppenrichtlinie zum Zulassen von Netzwerkdatenverkehr geöffnet werden.

Erstellen Sie mit dem RSoP-Feature der GPMC detaillierte Berichte zu den Richtlinieneinstellungen, die auf angemeldete Computer oder Benutzer angewendet werden. Wenn die RSoP-Berichterstellung für Remotecomputer ausgeführt werden, wird eine direkte Verbindung zwischen den einzelnen Clientcomputern und dem Computer mit der GPMC hergestellt. Die Verbindung wird also nicht transitiv über einen Domänencontroller hergestellt.

Damit Sie die RSoP-Berichterstellung für Remote-Zielcomputer mit einer Firewall verwenden können, müssen Firewallregeln konfiguriert werden, die eingehenden Netzwerkdatenverkehr für die in der folgenden Tabelle aufgelisteten Ports zulassen. Dadurch wird der Remotedatenverkehr für WMI und Ereignisprotokolle zwischen dem Computer mit der GPMC und dem Remote-Zielcomputer zugelassen.

 

Serverport Arten von Netzwerkdatenverkehr

TCP SMB 445, alle Dienste und Programme

Remote-Ereignisprotokollverwaltung (NP eingehend)

Dynamische TCP RPC-Ports, EventLog (Windows-Ereignisprotokolldienst)

Remote-Ereignisprotokollverwaltung (RPC)

TCP-Port 135, RPCSS (Remoteprozeduraufruf-Dienst)

Remote-Ereignisprotokollverwaltung (RPC-EPMAP)

TCP alle Ports, Winmgmt (Windows-Verwaltungsinstrumentationsdienst)

Windows-Verwaltungsinstrumentation (WMI-in)

In Windows Server 2012 wird von der Gruppenrichtlinie das neue Starter-Gruppenrichtlinienobjekt Gruppenrichtlinie für Berichte - Firewallports hinzugefügt. Dieses Starter-Gruppenrichtlinienobjekt enthält Richtlinieneinstellungen zum Konfigurieren der in der oben dargestellten Tabelle angegebenen Firewallregeln. Dadurch wird eingehender Netzwerkdatenverkehr für die Ports zugelassen. Dies ist erforderlich, damit die GPMC die RSoP-Informationen der Gruppenrichtlinienergebnisse von einem Remotecomputer abrufen kann. Eine bewährte Vorgehensweise besteht darin, ein neues Gruppenrichtlinienobjekt aus diesem Starter-Gruppenrichtlinienobjekt zu erstellen und das neue Gruppenrichtlinienobjekt dann mit Ihrer Domäne zu verknüpfen. Es sollte gegenüber dem Standarddomänen-GPO eine höhere Priorität haben, damit alle Computer in der Domäne für die Remoteberichte für Gruppenrichtlinienergebnisse konfiguriert werden können.

Führen Sie diesen Schritt mit Windows PowerShell aus.

  1. Klicken Sie in der GPMC-Konsolenstruktur mit der rechten Maustaste auf die Domäne, für die alle Computer so konfiguriert werden sollen, dass sie eine Remoteaktualisierung der Gruppenrichtlinie zulassen. Klicken Sie anschließend auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen…

  2. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den Namen des neuen Gruppenrichtlinienobjekts in das Feld Name ein.

  3. Wählen Sie in der Liste Quell-Starter-Gruppenrichtlinienobjekt das Starter-Gruppenrichtlinienobjekt Gruppenrichtlinie für Berichte - Firewallports aus, das Sie zum Erstellen eines neuen Gruppenrichtlinienobjekts verwenden möchten.

    noteHinweis
    Werden keine Starter-Gruppenrichtlinienobjekte angezeigt, brechen Sie die Erstellung des Gruppenrichtlinienobjekts ab. Führen Sie folgende Schritte aus, bevor Sie zu Schritt 1 zurückkehren:

    1. Navigieren Sie zu Starter-Gruppenrichtlinienobjekte.

    2. Klicken Sie im Ergebnisbereich auf Ordner für Starter-Gruppenrichtlinienobjekte erstellen.

  4. Klicken Sie auf OK.

  5. Klicken Sie im Ergebnisbereich auf die Registerkarte Verknüpfte Gruppenrichtlinienobjekte.

  6. Wählen Sie das gerade von Ihnen erstellte Gruppenrichtlinienobjekt aus. Klicken Sie auf den Aufwärts-Pfeil, bis das von Ihnen erstellte Gruppenrichtlinienobjekt über der Standarddomänenrichtlinie steht. Das neue Gruppenrichtlinienobjekt hat jetzt einen niedrigeren Wert für die Verknüpfungsreihenfolge als die Standarddomänenrichtlinie.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Sie können das New-GPO-Cmdlet mit dem –StarterGpoName-Parameter verwenden, um ein neues Gruppenrichtlinienobjekt zu erstellen. Anschließend können Sie die Ausgabe des New-GPO-Cmdlets in das New-GPLink-Cmdlet überführen.

Geben Sie Folgendes ein, um beispielsweise ein neues Gruppenrichtlinienobjekt namens Konfigurieren von Firewallregeln für Remoteberichte auf Basis des Starter-Gruppenrichtlinienobjekts Gruppenrichtlinie für Berichte - Firewallports zu erstellen und das Gruppenrichtlinienobjekt mit der Domäne "Contoso.com" zu verknüpfen:

New-GPO –Name "Configure firewall rules for remote reporting" –StarterGpoName "Group Policy Reporting Firewall Ports" | New-GPLink –target "dc=Contoso,dc=com" –LinkEnabled yes

Weitere Informationen zum New-GPO-Cmdlet und New-GPLink-Cmdlet finden Sie unter:

Konfigurieren Sie zum Planen einer Remoteaktualisierung der Gruppenrichtlinie für der Domäne angehörige Computer Firewallregeln, die eingehenden Netzwerkdatenverkehr für die in der folgenden Tabelle aufgeführten Ports zulassen:

 

Serverport Arten von Netzwerkdatenverkehr

Dynamische TCP RPC-Ports, Planung (Aufgabenplanungsdienst)

Remoteverwaltung geplanter Aufgaben (RPC)

TCP-Port 135, RPCSS (Remoteprozeduraufruf-Dienst)

Remoteverwaltung geplanter Aufgaben (RPC-EPMAP)

TCP alle Ports, Winmgmt (Windows-Verwaltungsinstrumentationsdienst)

Windows-Verwaltungsinstrumentation (WMI-in)

In Windows Server 2012 wird von der Gruppenrichtlinie das neue Starter-Gruppenrichtlinienobjekt Gruppenrichtlinien-Remoteaktualisierung - Firewallports hinzugefügt. Dieses Starter-Gruppenrichtlinienobjekt enthält Richtlinieneinstellungen zum Konfigurieren der in der oben dargestellten Tabelle angegebenen Firewallregeln. Dadurch wird eingehender Netzwerkdatenverkehr für die Ports zugelassen. Dies ist erforderlich, damit die Gruppenrichtlinien-Remoteaktualisierung ausgeführt werden kann. Eine bewährte Vorgehensweise besteht darin, ein neues Gruppenrichtlinienobjekt aus diesem Starter-Gruppenrichtlinienobjekt zu erstellen und das neue Gruppenrichtlinienobjekt dann mit Ihrer Domäne zu verknüpfen. Es sollte gegenüber dem Standarddomänen-GPO eine höhere Priorität haben, damit alle Computer in der Domäne für die Remoteaktualisierung der Gruppenrichtlinie konfiguriert werden können.

Führen Sie diesen Schritt mit Windows PowerShell aus.

  1. Klicken Sie in der GPMC-Konsolenstruktur mit der rechten Maustaste auf die Domäne, für die alle Computer so konfiguriert werden sollen, dass sie eine Remoteaktualisierung der Gruppenrichtlinie zulassen. Klicken Sie anschließend auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen…

  2. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den Namen des neuen Gruppenrichtlinienobjekts in das Feld Name ein.

  3. Wählen Sie in der Liste Quell-Starter-Gruppenrichtlinienobjekt das Starter-Gruppenrichtlinienobjekt Gruppenrichtlinien-Remoteaktualisierung - Firewallports aus.

    noteHinweis
    Werden keine Starter-Gruppenrichtlinienobjekte angezeigt, brechen Sie die Erstellung des Gruppenrichtlinienobjekts ab. Führen Sie folgende Schritte aus, bevor Sie zu Schritt 1 zurückkehren:

    1. Navigieren Sie zu Starter-Gruppenrichtlinienobjekte.

    2. Klicken Sie im Ergebnisbereich auf Ordner für Starter-Gruppenrichtlinienobjekte erstellen.

  4. Klicken Sie auf OK.

  5. Klicken Sie im Ergebnisbereich auf die Registerkarte Verknüpfte Gruppenrichtlinienobjekte.

  6. Wählen Sie das gerade von Ihnen erstellte GPO aus. Klicken Sie auf den Nach-oben-Pfeil, bis das von Ihnen erstellte GPO in der Verknüpfungsreihenfolge über der Standarddomänenrichtlinie steht. Das neue Gruppenrichtlinienobjekt hat jetzt einen niedrigeren Wert für die Verknüpfungsreihenfolge als die Standarddomänenrichtlinie.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Sie können das New-GPO-Cmdlet mit dem –StarterGpoName-Parameter verwenden, um ein neues Gruppenrichtlinienobjekt zu erstellen. Anschließend können Sie die Ausgabe des New-GPO-Cmdlets in das New-GPLink-Cmdlet überführen.

Geben Sie Folgendes ein, um beispielsweise ein neues Gruppenrichtlinienobjekt namens Konfigurieren von Firewallregeln für die Remote-Gruppenrichtlinienaktualisierung zu erstellen, das auf dem Starter-Gruppenrichtlinienobjekt Gruppenrichtlinien-Remoteaktualisierung - Firewallports basiert, und das Gruppenrichtlinienobjekt mit der Domäne "Contoso.com" zu verknüpfen:

New-GPO –Name "Configure firewall rules for remote gpupdate" –StarterGpoName "Group Policy Remote Update Firewall Ports" | New-GPLink –target "dc=Contoso,dc=com" –LinkEnabled yes

Weitere Informationen zum New-GPO-Cmdlet und New-GPLink-Cmdlet finden Sie unter:

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft