Jump to content

IPsec Implementierung: W2KServ -- XPPro


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe einen W2k Server der als DC fungiert. Ein Windows XP Pro Rechner der Mitglied der Domäne ist. Nun möchte ich zwischen den beiden Rechnern die Netzwerkverbindung via IPSec sichern.

Alle Regel auf dem Server erstellt und zugewiesen.

So weit, so gut.

 

Nun habe ich eine Frage:

Wenn ich auf dem Server "Sicherheitsrichtlinien für Domänen (nicht Controller!)" öffne, und hier die Regel und die Zuweisung mache, sollte das doch dann für alle Mitglider der Domäne gültig sein, oder??

Muss ich dann noch auf jedem Client die selbe Regel importieren und zuweisen, oder reicht das auf dem DC und die Regeln und Zuweisung werden automtisch von allen Client die sich anmelden importiert/aktiviert?

 

Oder muss ich doch auf dem W2ksrv mittles mmc das SnapIn IP-Sicherheitsrichtlinien auf lokalem Computer hinzugefügt und so eine neue Regel erstellen. Diese dann exportieren und auf jedem Client importieren und zuweisen??

 

Ich würde mich sehr über eine Hilfe freuen ;)

Link zu diesem Kommentar

Hi,

 

das ist das leidige Thema Vererbung von Richtlinien und Co.

 

Zunächst würde ich die Richtlinie nicht auf Domänenebene setzen. Das würde ja bedeuten daß die Clients nur mit IPSEC Antworten. Damit hast du ein Problem, sobald jemand bspw. mit einem Drucker sprechen will, der kein IPSec unterstützt....

 

Ich würde die Richtlinie auf dem Container für den Server als "Sicherheit erforderlich" setzen. Damit wird der Verkehr dorthin verschlüsselt.

 

ACHTUNG: Wenn das der DC ist und die Clients haben noch kein gültiges Zertifikat für die Verschlüsselung, dann kommen sie auch nicht mehr an den Server ran.

 

Das ist ein recht heikles unterfangen, denn wenn du die Richtlinie auf "anfordern" setzt, hast du nicht viel gewonnen (Die Clients die es können verschlüsseln ihren Verkehr zwar, aber wers nicht kann, der kommt ohne Verschlüsselung hin.

 

Die Clients würde ich in keinem Fall mit einer IPSecAnforderungs Richtlinie verbiegen. Hier genügt Client, nur Antwort.

 

Sei vorsichtig, bevor du sowas in einer Produktivumgebung machst!

 

Gruss

 

Götz

Link zu diesem Kommentar

Hi,

 

in der Filteraktion kann ich unter "Sicherheitsmethoden" --> Unsichere Komm. mit C. zulassen. die kein IPsec unterstützen - wählen.

Und wenn ich den gesamten Traffic in der Firma verschlüsseln möchte, wäre dieses doch in Verbindung mit "Sicherheitsrichtlinien für Domänen" am besten, oder?

 

Wenn ich nun auf dem Server zuweise, und die Richtlinie aktiv ist, dann importiere ich die Richtlinie auf einem Client und weise sie ebenso zu. Dann kommt folgende Meldung "Zugewiesen, wird aber von der Active Directory-Richtlinie überschritten"? Was heißt das den?? Die IPsec Statistik zeigt auch an, das eine Verschlüsselung nicht stattfindet (ipsecmon.exe).

 

Wenn ích aber anderesherum arbeite, erst die Richtlinie auf dem Client aktivieren, dann auf dem Server, geht es plötzlich. Allerdings dauert das Anmelden sooooo lange, und der Netzwerkverkehr ist quälend langsam. Aber die Verschlüsselung findet statt.

 

Was kann ich besser machen -help- ?

Link zu diesem Kommentar

Netzverkehr quälend langsam:

Ist klar, weiwl die Verschlüsselung von der CPU gemacht wird, ausserdem entsteht zus. Paketoverhead.

Ein bisschen Performance bringt das patchen der MTU Size (Weil die Pakete dann nicht fragmentiert werden müssen). Ist aber aufwendig, weil dus an jedem Client einstellen musst. Und viel Performance gewinnst du nicht.

 

Wenn die Verschlüsselung mit den GPs so nicht richtig übernommen wird, dann solltest du mit der GP-Management Konsole mal uaf die Suche gehen.

 

Schnupper mal in das GP Webcast auf dieser Seite.

 

Gruss

 

Götz

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...