2K3 - Komplette Kommunikation über IPsec

[ace24]

Hallo zusammen,

bin hier ein Frischling ! Ich lese mich seit kurzen durch das Forum und muss sagen - 1A !

Soo jetzt zu meiner Frage:

Ich habe mir ne kleine virtuelle Testumgebung aufgebaut

2x Win2003 Server (beide dcpromo) (beide gleiche Domain "test.local")
1x W2k Client

Auf dem einem Server ist eine ISS + Lizenzserver druff um certs zu erstellen und verteilen! Funzt auch 1A. Der andere spielt DHCP. Nur mal so als Background.

Ich würde gerne die komplette Kommunikation zwischen allen 3 Maschienen über IPsec abwickeln(Anmeldung usw). Hab auch schon was mit GPO´s in der Def. Policy gebastelt...hat aber nicht richtig geklappt...und ich hab die Kisten jetzt neu aufgesetzt.

Kann mir jemand helfen...oder hat jemand ne Anleitung. Wenn das alles über IPsec läuft, dürfte ich doch auch kein KERBEROS Protokol mehr sehen wenn ich nen sniff laufen lasse, oder ?

Sorry wenn irgend welche "dummen" Fragen dabei sind -> bin blutiger Anfänger!

Grüße

[micha42]

Hi ace,
da gibt s doch was von
Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de
Michael
Ach ja: wellcome on Board

[StefanWe]

Ich glaube er meint keine VPN Verbindung sondern den internen LAN Verkehr per IPSEC zu verschlüsseln. Dies ist eigentlich ganz einfach.

Die Default Domain Policy bitte nicht anfassen!

In der neuen Gruppenrichtlinie dann:
In der Computerkonfiguration->Windows Settings->Security->IP Security-> Die Secure Server Regel anschauen bzw. entsprechend anpassen. Wichtig achte drauf das alle Rechner die Gruppenrichtlinie ziehen. Dann sollte der gesamte Verkehr per IP Sec verschlüsselt werden.

Wenn du es ohne CA machst, solltest du trotzdem die Kerberos Protokolle im Sniffer sehen, da hierüber dann die Authentifizierung der Rechner erfolgt.

[ace24]

Hey snoopy20004,

du hast Recht...will den LAN Verkehr von der Windows-Anmeldung ab per IPsec verschlüsseln. Zieht die Verschlüsselung dann schon bei der Anmeldung ?
Hab jetzt 2 Dc´s und einen Client auf denen die certs installiert sind. Wenn ich jetzt die
GPO aktiv schalte...sehe ich dann KERB. oder nicht?

->
Also mit CA sehe ich dann Kerb. nicht ???? Und wenn ich es sehe, dann simmt was nicht ??? Oder ?

gruss
Alex

[StefanWe]

Wenn du als authentifizierung Kerberos gewählt hast, meldet sich das Computerkonto per Kerberos unverschlüsselt am Domänencontroller an.
Tauscht dann mittels IPSec die Verschlüssellungsdaten aus und ab da an ist die Verbindung verschlüsselt. Dann solltest du definitiv IPSEC Daten sehen.

Nutzt du Zertifikate, sollte sich auch das Computerkonto schon über IPSEC anmelden. ( Hier bin ich mir aber nicht 100% sicher )

Vorausgesetzt du hast die GPO auch richtig konfiguriert.