Problembeschreibung
Nach einem Neustart von Windows Server 2008, Windows SBS 2008, und anderen ist in der "Windows Firewall mit erweiterter Sicherheit" das "öffentliche Profil" aktiv, während das "Domänenprofil" aktiv sein sollte (der Netzwerstandort ist eine Domäne und die Vorraussetzungen zur korrekten Erkennung aus [2] sind erfüllt.).
Lösungsversuche
Als nicht erfolgreich herausgestellt haben sich folgende Ansätze:
- Den NLA Dienst auf "Automatisch (Verzögerter Start)" schalten
Workaround
In der Aufgabenplanung wurde ein Task angelegt, der den NLA-Dienst ca. 10 min nach dem Systemstart neu startet, sodass die Firewall immer das korrekte Profil verwendet [2].
Es wird dazu die Datei nlaFix.bat in C:\Windows\system32 als SYSTEM, unabhängig von dem Angemeldeten Benutzer gestartet. Der Inhalt von nlaFix.bat ist:
@echo off echo Der NLA - Dienst (nlasvc) wird jetzt neu gestartet, um einen Bug zu umgehen, echo der die Erkennung des korrekten Firewallprofils in Windows Server 2008 echo betrifft. echo. net stop nlasvc /y net start nlasvc net start netprofm
Dieser Bug exisitert seit mindestens 2009 [1], und es ist bis 2016 kein Fix verfügbar. Einfach das öffentliche Profil zu verwenden und NLA zu deaktivieren ist KEINE LÖSUNG!
[1] Frage 10014 auf serverfault.com
[2] Microsoft TechNet Blog vom 08.09.2010