Windows 2003. Отключение фаервола на рабочих станциях.
 

Доброго времени суток! Подскажите как можно с сервера отключить фаервол на всех станциях или хотябы докопаться до его настроек, чтобы прописать нужные порты?

В политиках локальной или доменной:
Computer Configuration - Policies - Windows Settings - Security Settings - System Services - Internet Connections Sharing (ICS)
ну и где-то там можно исключения настраивать.

в GPO: конфигурация компьютера > административные шаблоны > сеть > сетевые соединения > windows firewall или
с помощью интерфейса Net Shell (команда netsh), подробно в справке windows или в контексте netsh

А где искать GPO? У меня почему-то после установки не появилось Server Management (консоли управления сервером).

пс: извиняюсь за тупые вопросы, но голова уже вообще не соображает(((( а это все дело надо настроить.. впереди настройка почты..

на все тупые вопросы есть ответ в справке windows (F1)

в 2003 сервере нужно установить gpmc.msi, нужно её скачать.
в 2008 её можно как фичу установить, без скачивания.

Цитата:

Цитата Munk извиняюсь за тупые вопросы, »

ну все с чего-то начинают...

Munk,
dsa.msc + правая кнопа мыши.

тут по всем пунктам стоит "не задана".


открылас Active Directory - пользователи и компьютеры. но тут никаких политик нет..

Поставил для Брандмауэр Windows: Защитить все сетевые подключения Состояние ОТКЛЮЧЕНО.
и вроде он больше не подгружается ))))
Спасибо большое за помощь!

ну да. а вы попробуйте на локальной машине изменить и сразу в брендмауэр заглянуть. опытным путём поймёте что к чему.
ну, это так, сложнывй путь.
там свойства, там и политики будут, только нажать OPEN нужно будет.

все перетыкал)) и наконец нашел, что это через свойства..




А никто не знает почему отсутвует Server Management и где ее можно взять?
У меня косяк при установке был.. только до третьего диска дошел. "продолжение установки" выдает какие-то две ошибки..

Start - Run - MMC - Menu "File" - Add\Remove Snap-in, дальше - по желанию. Сохраните готовую консоль, где пожелаете.

но это не тоже самое.. все эти оснастки можно и через администрирование запускать)

а чего, в пуске нет?
там нет Manage you Server... автору именно это надо, имхо. в system32 я ничего похожего не нашёл, да и при запуске Manage you server запускается странный exe, тоторый сам по себе Manage you Server не открывает...

именно так. в пуске нет. у меня установка с дисков прошла не совсем корректно. дошло только до третьего.. а продолжение установки заканчивается выводом двух ошибок. сейчас сказать не могу что именно пишет.

Start - Run - Control Panel - Administartive tools - Manage Your Server
Если Вы не полностью установили ОС, советую повторить процедуру во избежание...

Там запускается Microsoft HTML Application host с подсовываением ресурса:
%SystemRoot%\system32\mshta.exe res://%SystemRoot%\system32\mys.dll/mys.hta

...эм, стеняюсь спросить, а автор настроил актив директори для начала (или я чегото пропустил, он даже не указал тип ОС)? Чтоб потом уже предлагать использовать ГПО и т.д.

все верно. AD настроил. [отя какие именно настройки вы имеете ввиду?
стоит SBS 2003.

Боюсь повторять процедуру, потому что уже внес учетки и настроил Exchange..

Munk, вообще нужно было сразу заново ставить, как только ошибки при установке.
Советуем переустановить, ещё раз настроите. Заодно закрипите материал.

ты шутишь?? это ведь придется еще раз домен настраивать.. 40 человек в новый домен вводить.. каждому выгружать на локальных машинах почту.

или кто-то мне говорил что делается это все просто накатом.. что все настройки сохранятся..

Читаеш вот эту статью, в которой ознакомишся с консолью GPMC.
Качаеш ее отсюда.
А далее как на скрине.

Цитата:

Цитата Munk ты шутишь?? »

ни ни, я по другому шучу.
а кто мешает второй ДК поднять на любой машине свободной, наверняка есть, хоть какая.
Перенести туда роли, после этого, понизить ДК до рядового, и форматнуть ?
пф... на один выходной работы... это ведь не 400 и не 4 000 пользователей...
накатом сохранятся только файлы, реестр обновится - все программы будут работать, но они типа как "не зарегистрированы" в системе.
AD скорее всего полетит. Но вы можете сделать бекап штатными средствами SYSTEMSTATE и бекап накатить на свеже "накаченный" сервер.
Но я советую - установите второй ДК.

а что с почтой будет?

значит на вторую машину тоже SBS устанавливаете, и просто мигрируете почтовые ящики и настройки сервера.
ихмо, с SBS не работал.

Не выйдет. Машина с SBS может быть единственным контроллером домена.
Тынц.

Есть методы по отучению SBS от дурных привычек, но это выходит за рамки форума. ;)

там написано - 14 дней, до выключений, этого же хватит ? ваще странная политка - 1 ДК, а как же резерв?

Не совсем так. SBS - один, а, например, 2003 Std может быть вторым.

получается для автора - отдельно Exchange ставить? У Exchanga есть триальная весрия? что бы автору хватило для перноса?
Или какое-нибудь другое нужно решение...

У меня возникла проблема с настройкой файрвола на клиентских машинах. Прописал в групповых политиках Задать исключения для программ две строчки:

%APPDATA%Garant-Client\apps\F1Shell.run:*:enabled:Garant
%APPDATA%Garant-Client\garant.exe:*:enabled:Garant


Файрвол винды перестал ругаться, что он, мол, заблокировал программу, но все равно не запускается Гарант - пишет что не смог получить ответ от сервера.

Захожу админом на эту же машину, добавляю исключение вручную и гарант запускается нормально...

Перезахожу под юзверем - все так же работает. Отключаю под админом исключение - под юзверем естественно не пашет.

В файрволе под юзверем видно, что исключения добавляются, так же добавил исключения для TCP порта 5051

5051:TCP:*:enabled:garant

В результате все равно не запускатся Гарант :(

Что я делаю не так???

p.s. Так же если включен файрвол на серваке не могу обновить политики на рабочей станции пишет RPC-сервер недоступен. Хотя я уже кажется все возможные порты добавил на серваке, по крайней мере те, что указаны у МС в гайдах...

Вообще-то сама Майкрософт не рекомендует включать фаерволлы во внутренней сети. Защищается сеть только от наружных контактов.
http://forum.oszone.ru/thread-54965.html
И еще гляньте внизу страницы похожие темы.

Интересно зачем они тогда придумали SCW. Только лишь тогда если сервак на границе стоит

Все оказалось до безобразия просто. Добавил в глобальные политики домена исключения для портов из статьи от МС

Потом включил логи файрвола на клиенте, через групповые политики и оказалось что Гарант ломится на 3600 TCP порт. Открыл его и все заработало.

Кстати, кто нить подскажет какоую-нибудь нормальную программуку - анализатор логов виндузячьего файрвола, просто сразу узнал много интересного, о других компах в сети, с которых долбится по непонятным портам какая то гадость... Хотелось бы более удобное представление иметь кроме логов...