3 votos

Firewall de Windows: Acción de bloqueo de Escritorio Remoto por política local

En una instalación fresca de Server 2012 R2 unida a un dominio veo una peculiaridad en la que un "Escritorio remoto" se ajusta a la regla Bloque en el Dominio perfil:

firewall.cpl screenshot

Como las reglas de bloqueo tienen prioridad sobre las reglas de permiso, parece que no puedo insertar efectivamente una excepción de firewall que permita el tráfico RDP a esta máquina. No puedo editar esta regla como "Esta regla ha sido aplicada por el administrador del sistema y no puede ser modificada" . Tampoco puedo anularlo por el "Escritorio remoto" regla predefinida en una Política de Grupo ya que esto no actualiza el "Escritorio remoto" norma, sino que introduce una nueva "Escritorio remoto (TCP-In)" regla, con la "Escritorio remoto" La regla del bloque sigue en vigor y tiene prioridad.

En contra de lo que dice el Fuente de la norma (la primera columna en la captura de pantalla de arriba) me está diciendo, la regla es no definido en la política local de la máquina:

enter image description here

La gente parece también he encontrado este problema en instalaciones más antiguas (Windows 7 / 2008 R2) Sin embargo, no parece haber ninguna resolución efectiva documentada en estos casos.

Entonces, ¿de dónde viene esto y cómo desactivar esta regla de bloqueo?

3voto

security_chief Puntos 31

Tuve el mismo problema y descubrí que se debía a un espacio en la lista delimitada por comas del GPO. I documentado esto en mi blog :

TLDR : No ponga ningún espacio en la lista de direcciones IP para la configuración GPO de Equipo/Plantillas de administración/Red/Conexiones de red/Firewall de Windows/Perfil de dominio/Firewall de Windows: Permitir excepciones entrantes de Escritorio remoto.

1voto

tfrederick74656 Puntos 582

Intente utilizar el asistente de tareas de configuración inicial para habilitar el acceso RDP. Debería ser la octava opción hacia abajo. Creo que Microsoft diseñó esto para anular la Política de Grupo o cualquier otra configuración para que el sistema no exponga automáticamente ningún puerto/servicio (es decir, de las reglas de GP) hasta que todas las actualizaciones tengan la oportunidad de aplicarse después de una nueva instalación.

Initial Configuration Tasks

0 votos

No he visto esto en Server 2012 R2. El "Administrador de Servidores" está listando Escritorio Remoto (y Administración Remota) como "Habilitado" en la sección "Servidor Local". Voy a tratar de ejecutar a través de un ciclo de actualización para ver si esto es cambiar las cosas.

0 votos

Así que el ciclo de actualización parece haber ayudado. Gracias por indicarme la dirección correcta.

0 votos

No hay problema, ¡me alegro de que te funcione!

0voto

Kai Puntos 1

¿Has probado a mirar en la carpeta de conexiones de red de tu editor local de gpo? Parece que puedes tener el escritorio remoto desactivado desde allí...

Vaya a Configuración del equipo/Plantillas administrativas/Red/Conexiones de red/Firewall de Windows y asegúrese de que la opción "Permitir entrada de Escritorio remoto" esté configurada como "no configurada".

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: