Tags: Gruppenrichtlinien, Firewall, Log-Management
Bei allem Schutz, den die Windows-Firewall bietet, erschwert sie die Remote-Verwaltung von PCs. Oft ist es gar nicht so einfach herauszufinden, dass sie die Ursache für Verbindungsprobleme ist und welche Regel dafür zuständig sein könnte. Durch das Aktivieren der Log-Datei erhält man jedoch aufschlussreiche Informationen für das Troubleshooting.
Oft sagen die Fehlermeldungen bei der Remote-Verwaltung gar nichts darüber aus, dass die Kommunikation an der Firewall des Quell- oder Zielrechners scheitert. Berüchtigt ist in diesem Zusammenhang etwa der Fehler Der RPC-Server ist nicht verfügbar. In anderen Fällen, wie etwa einem abgewiesenen Ping, gibt es gar keinen Hinweis darauf, dass man erst eine entsprechende Regel aktivieren muss.
Keine Verbindungsdaten in der Ereignisanzeige
Fällt der Verdacht auf die Firewall, dann liegt es nahe, sie temporär abzuschalten, um diesen zu verifizieren. Besser wären jedoch detaillierte Informationen, die belegen, welche Verbindungen gescheitert sind und über welches Protokoll und über welchen Port sie aufgebaut werden sollten.
Zu diesem Zweck wertet man die Log-Datei der Firewall aus. Allerdings finden sich die dafür relevanten Daten nicht in der Ereignisanzeige, wo unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Windows Firewall with Advanced Security => Firewall nur die Änderungen der Firewall-Konfiguration mitgeschnitten werden. Diese Einträge mögen hilfreich sein, um herauszufinden, welche kürzlich (de)aktivierte Regel für das Problem verantwortlich sein könnte.
Protokollierung per Voreinstellung nicht aktiv
Die Informationen zu abgewiesenen Verbindungen speichert die Firewall in einer Klartextdatei, nachdem man die Protokollierung explizit eingeschaltet hat. Dies bewerkstelligt man in der grafischen Administrationsoberfläche Windows-Firewall mit erweiterter Sicherheit, und zwar indem man auf der Startseite dem Link Windows-Firewalleigenschaften folgt.
Im anschließenden Dialog klickt man unter Protokollierung auf den Button Anpassen. Nun kann man wählen, ob die Firewall nur verworfene Pakete mitschreiben soll oder zusätzlich auch erfolgreiche Verbindungen. Letztere wird man für das Troubleshooting in der Regel nicht benötigen, noch dazu, wo auf diese Weise relativ schnell eine große Menge an Einträgen entsteht. Eine weitere Einstellung betrifft den Namen, Pfad und die maximale Größe der Log-Datei. Per Voreinstellung befindet sie sich im Verzeichnis %systemroot%\system32\LogFiles\Firewall.
Logging per GPO einschalten
Wenn man das Logging nicht nur auf einzelnen, sondern auf einer größeren Zahl von PCs aktivieren möchte, dann lässt sich das über Gruppenrichtlinien erledigen. Die dafür zuständige Einstellung findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Windows-Firewall mit erweiterter Sicherheit => Windows-Firewall mit erweiterter Sicherheit. Dort findet sich eingebettet in den GPO-Editor die gewohnte Firewall-Konsole, in der man die Protokollierung auf die gleiche Weise einschaltet wie unter der Standalone-Version.
Auswertung der Firewall-Logs
Sobald die Firewall beginnt, Informationen über blockierte Verbindungen aufzuzeichnen, kann man bei Bedarf die Log-Datei einsehen. Am einfachsten geht das in der linken Navigationsleiste des Admin-Tools unter dem Eintrag Überwachung. Er öffnet im Hauptfenster eine Übersichtsseite, wo sich unter Protokollierungseinstellungen ein Link auf die Log-File findet.
Folgt man diesem, dann wird das Firewall-Protokoll in Notepad angezeigt. Das Format der Datei ist Klartext, wobei die einzelnen Spalten durch Leerzeichen voneinander getrennt sind. Die Darstellung in einem primitiven Tool wie dem Editor macht es nicht einfach, die benötigten Informationen zu erfassen.
Alternativ könnte man daher zur Auswertung ein anderes Programm bemühen, beispielsweise Excel. Macht man dort dem Importassistenten für Textdateien die richtigen Angaben über den Aufbau der Datei, dann sollte es die einzelnen Spalten korrekt in eine Tabelle übernehmen. Zu bedenken ist nur, dass die Log-Datei für den Zugriff durch andere Anwendungen gesperrt ist, solange die Firewall sie geöffnet hält. Man kann sich behelfen, indem die Datei an einen anderen Speicherort kopiert.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Anwendungen (Store, Remotehilfe) blockieren mit Firewall-Regeln und GPOs
- ManageEngine kombiniert fünf Produkte zu OpManager Plus
- Eventlogs mit GPOs anpassen: maximale Größe, Speicherort, Archivierung
- ManageEngine erweitert Monitoring-Software um neue Funktionen
- Firewall-Regeln über Gruppenrichtlinien konfigurieren
1 Kommentar
Danke, mit den Infos hier konnte ich endlich mein Problem mit dem Firewall-Log lösen.