Hallo,
ich hoffe Ihr könnt mir weiterhelfen.
Ich will/soll unser kleines Netzwerk vor domänenfremden PCs absichern und wollte dafür IPsec benutzen. Es soll nur die Integrität der fremden PCs überprüft werden und keine Verschlüsselung des Datenverkehrs erfolgen. Unser Netzwerk besteht aus einem Windows Server 2003 SP2 und so ca. 25 Clients mit Windows XP. Dieses wird über WDS verteilt. Der Server ist der DC der Domäne und verfügt über die Standarddienste wie DHCP,DNS und WDS, er hat natürlich auch eine AD.
Ich hab/hatte keine Vorkenntnisse zum Thema IPsec. Ich habe mich aber mit mühe durch den Microsoftbeitrag zum Thema IPsec Domänenisolierung durch gearbeitet. Und dann angefangen wie in einigen Whitepapers beschrieben Filterlisten und -aktionen zu erstellen und diese der Default Domain Policy zugeordnet. Meine ersten 3 Regeln sahen wie folgt aus:
1.
Filterliste: gesamter IP-Verkehr (Quell-IP: beliebig | Ziel-IP: beliebig | Protokoll: beliebig)
Filteraktion: ESP-Integrität mit SHA1 | keine Verschlüsselung | Sicherheit aushandeln
Authentifizierungsmethode: Kerberos
2.
Filterliste: DC (Quell-IP: eigene | Ziel-IP: IP vom DC | Protokoll: beliebig)
Filteraktion: Permit
3.
Filterliste: ICMP (Quell-IP: eigene | Ziel-IP: beliebige | Protokoll: ICMP)
Filteraktion: Permit
Ich hab zwar nicht genau verstanden wieso, aber überall stand dass man die Standardantwort deaktivieren soll und das hab ich auch gemacht.
Nach längerem rumfummeln an den Einstellungen, hat es zu meinen erstauen funktioniert. Die Clients meiner Domäne konnten unter einander und auch mit dem DC kommunizieren und aufeinander zugreifen. Die domänenfremden PCs waren ausgesperrt. Dank der ICMP-Regel konnte ich sie zwar anpingen aber mehr auch nicht.
Ich war anfangs auch noch der Meinung DHCP und WDS müssten auch gleich wieder funktionieren, weil ich die Regel für den DC so verstand, dass alle auf ihn vollen Zugriff haben. Aber irgendwo habe ich gelesen, dass ich für DHCP auch eine Ausnahmeliste benötige. Diese sieht bei mir wie folgt aus:
4.
Filterliste: DHCP (Quell-IP: eigene - Quellport 68 | Ziel-IP: IP vom DC - Zielport 67| Protokoll: UDP)
Filteraktion: Permit
natürlich auch gespiegelt
Nun zu meinem Problem, ich hab die Regel entweder falsch konfiguriert oder es funktioniert nicht so wie ich es mir vorgestellt hatte. DHCP funktioniert jedenfalls nicht und in Folge dessen natürlich auch nicht WDS.
Ich würde mich über Hilfe bzw. Anmerkungen bezüglich meines Problems wirklich freuen.