Мы устанавливаем наши настройки брандмауэра Windows (среди прочих настроек безопасности) в качестве локальных политик на наших машинах. Они не являются частью домена. Для каждой машины настроен еженедельный перезапуск в сочетании с chkdisk .

Проблема в том, что на некоторых машинах настройки брандмауэра при запуске службы НЕ загружаются из групповой политики - используются локальные настройки и правила (чего мы не желаем). Это происходит только изредка, и проблема не воспроизводима надежно. Когда я проверяю настроенные групповые политики на компьютере, где вместо них использовались локальные настройки, все настроено правильно.

Как служба брандмауэра Windows определяет, следует ли загружать правила и параметры из групповой политики или из локальных параметров? Существуют ли известные ошибки или расы в отношении службы групповой политики и службы брандмауэра Windows, или кто-нибудь еще сталкивался с подобной проблемой? Возможно ли, что chkdisk мешает политике?

Обходной путь может заключаться в том, что мы устанавливаем локальные настройки как копию настроек политики, но я хотел бы понять, в чем причина этой проблемы.

Запись в журнале событий выглядит следующим образом (эти параметры взяты из локальных параметров, а не из тех, которые определены в групповой политике - хотя они определены!)

The following policy was active when the Windows Firewall started.

Group Policy Applied:   No
Profile Used:   Public
Operational mode:   On
Allow Remote Administration:    Disabled
Allow Unicast Responses to Multicast/Broadcast Traffic: Enabled
Security Logging:
Log Dropped Packets:    Disabled
Log Successful Connections: Disabled

1 ответ1

0

Я тоже столкнулся с этой проблемой. В нашем случае он не использует локальные правила, он блокирует все. Не знаю, зависло ли оно при использовании постоянных правил или по умолчанию используется локальные правила, и локальные правила аннулируются другим параметром политики. В любом случае, он сломан, и я не нашел ответов на вопросы в сообществе Microsoft. Было бы неплохо, если бы журналы Windows действительно содержали полезную информацию.

Поэтому я использую этот обходной путь: запустите gpupdate /force при запуске, используя Task Scheduler. Я запускаю его как СИСТЕМУ, хотя не знаю, требуется ли это.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .