Jump to content

IPSEC über GPO


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Ich habe aktuell ein Problem bei den IPSEC Einstellungen über GPO (IP-Sicherheitsrichtlinien).

 

In der Theorie habe ich es so verstanden:

 

Client (Respond Only) -> Für clients die wenn der Server IPSEC vordert diese auch zu nutzen. Gegenüber anderen Clients aber muss nicht verschlüsselt werden.

 

Server (Request Security) -> Versucht mit dem Gegenüber IPSEC. Sollte das nicht möglich sein wird unverschlüsselt verbunden.

 

Secure Server (Require Security) -> Ohne IPSEC von gegenüber keine Verbindung.

 

Nun habe ich auf einem HyperV 2 Server 2008R2 und einen Client Windows7 Ultimate x64.

 

Dabei sind die Rollen:

1x DC

1x FileServer (Domainclient)

1x Domainclient

 

Nun wollte ich IPSEC testen.

Auf dem DC und Domainclient -> Client (Respond Only)

Auf dem FileServer -> Secure Server (Require Security)

 

Der FileServer kann sich nicht an der Domain anmelden. Es kommt keine Verschlüsselung zustande.

 

Zweiter Test:

 

Auf dem DC und Domainclient -> Server (Request Security)

Auf dem FileServer -> Secure Server (Require Security)

 

Anmelden am Fileserver geht. Aber jetzt kann würde doch der Client mit anderen Clients verschlüsseln was ich nicht wollte.

 

Dritte Test:

 

Auf dem DC und Domainclient -> Client (Respond Only)

Auf dem FileServer -> Server (Request Security)

 

Anmelden am Fileserver geht. Es scheint aber keine Verschlüsselung stattzufinden.

 

Hat jemand eine Idee was ich falsch mache?

Edited by mike0702
Link to comment

Welche GPOs hast du denn wo angewendet? Auf allen Devices die gleiche GPO? Du kannst den Performance Monitor nutzen und die Counter IKE (und ein paar andere, Namen vergessen..) hinzufügen um zu verifizieren, dass eine IPSEC Nutzung vorliegt. Alle Devices die IPSec machen sollen, brauchen zwingend die Aufforderung, hier: deine GPO, das auch aktiv zu schalten.

Link to comment

Ich habe natürlich zwei neue GPO's erstellt.

Einmal für den Fileserver eine GPO und eine GPO für die anderen beiden Rechner.

Die habe ich auf Domain angewendet und per Sicherheitsgruppen gefiltert.

Ich kann per IP-Sicherheitsmonitor sagen das die Einstellungen der GPO aktiv sind.

 

Dennoch scheint die Einstellung "Client (Respond Only)" keine Auswirkung zu haben.

Es passiert nix egal ob der Gegenpart  Server (Request Security) oder Secure Server (Require Security) als Einstellung hat.

 

Sollte der Fileserver Secure Server (Require Security) eingestellt haben ist ein Anmelden an der Domain und auf die Freigaben des Fileservers nur möglich wenn der Gegenpart z.b der DC die Einstellung Server (Request Security) oder Secure Server (Require Security) hat.

 

Hoffe es wird mein Problem so klarer.

Edited by mike0702
Link to comment

Gesagt getan.

Bei Windows7 Client mit "Client (Respond Only)" und dem 2008R2 Server (Request Security) kommt kein IPSEC-Paket.

Bei Windows7 Client mit "Client (Respond Only)" und dem 2008R2 Server Secure Server (Require Security) kommt keine Verbindung zustande.

Bei Windows7 Client mit "Server (Request Security)" und dem 2008R2 Server Secure Server (Require Security) geht alles. Im Performance Monitor sind die IPSEC-Paktete zu sehen.

 

Habe extra nochmal eine frische Domain aufgesetzt um nochmals alles zu prüfen.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...