mike0702 0 Geschrieben 24. Mai 2013 Melden Teilen Geschrieben 24. Mai 2013 (bearbeitet) Ich habe aktuell ein Problem bei den IPSEC Einstellungen über GPO (IP-Sicherheitsrichtlinien). In der Theorie habe ich es so verstanden: Client (Respond Only) -> Für clients die wenn der Server IPSEC vordert diese auch zu nutzen. Gegenüber anderen Clients aber muss nicht verschlüsselt werden. Server (Request Security) -> Versucht mit dem Gegenüber IPSEC. Sollte das nicht möglich sein wird unverschlüsselt verbunden. Secure Server (Require Security) -> Ohne IPSEC von gegenüber keine Verbindung. Nun habe ich auf einem HyperV 2 Server 2008R2 und einen Client Windows7 Ultimate x64. Dabei sind die Rollen: 1x DC 1x FileServer (Domainclient) 1x Domainclient Nun wollte ich IPSEC testen. Auf dem DC und Domainclient -> Client (Respond Only) Auf dem FileServer -> Secure Server (Require Security) Der FileServer kann sich nicht an der Domain anmelden. Es kommt keine Verschlüsselung zustande. Zweiter Test: Auf dem DC und Domainclient -> Server (Request Security) Auf dem FileServer -> Secure Server (Require Security) Anmelden am Fileserver geht. Aber jetzt kann würde doch der Client mit anderen Clients verschlüsseln was ich nicht wollte. Dritte Test: Auf dem DC und Domainclient -> Client (Respond Only) Auf dem FileServer -> Server (Request Security) Anmelden am Fileserver geht. Es scheint aber keine Verschlüsselung stattzufinden. Hat jemand eine Idee was ich falsch mache? bearbeitet 24. Mai 2013 von mike0702 Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 24. Mai 2013 Melden Teilen Geschrieben 24. Mai 2013 Welche GPOs hast du denn wo angewendet? Auf allen Devices die gleiche GPO? Du kannst den Performance Monitor nutzen und die Counter IKE (und ein paar andere, Namen vergessen..) hinzufügen um zu verifizieren, dass eine IPSEC Nutzung vorliegt. Alle Devices die IPSec machen sollen, brauchen zwingend die Aufforderung, hier: deine GPO, das auch aktiv zu schalten. Zitieren Link zu diesem Kommentar
mike0702 0 Geschrieben 24. Mai 2013 Autor Melden Teilen Geschrieben 24. Mai 2013 (bearbeitet) Ich habe natürlich zwei neue GPO's erstellt. Einmal für den Fileserver eine GPO und eine GPO für die anderen beiden Rechner. Die habe ich auf Domain angewendet und per Sicherheitsgruppen gefiltert. Ich kann per IP-Sicherheitsmonitor sagen das die Einstellungen der GPO aktiv sind. Dennoch scheint die Einstellung "Client (Respond Only)" keine Auswirkung zu haben. Es passiert nix egal ob der Gegenpart Server (Request Security) oder Secure Server (Require Security) als Einstellung hat. Sollte der Fileserver Secure Server (Require Security) eingestellt haben ist ein Anmelden an der Domain und auf die Freigaben des Fileservers nur möglich wenn der Gegenpart z.b der DC die Einstellung Server (Request Security) oder Secure Server (Require Security) hat. Hoffe es wird mein Problem so klarer. bearbeitet 24. Mai 2013 von mike0702 Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 25. Mai 2013 Melden Teilen Geschrieben 25. Mai 2013 Versuche es doch mal mit dem Performance Monitor. Dann siehst du ein Schlüsselaustausch stattfindet Zitieren Link zu diesem Kommentar
mike0702 0 Geschrieben 27. Mai 2013 Autor Melden Teilen Geschrieben 27. Mai 2013 Gesagt getan. Bei Windows7 Client mit "Client (Respond Only)" und dem 2008R2 Server (Request Security) kommt kein IPSEC-Paket. Bei Windows7 Client mit "Client (Respond Only)" und dem 2008R2 Server Secure Server (Require Security) kommt keine Verbindung zustande. Bei Windows7 Client mit "Server (Request Security)" und dem 2008R2 Server Secure Server (Require Security) geht alles. Im Performance Monitor sind die IPSEC-Paktete zu sehen. Habe extra nochmal eine frische Domain aufgesetzt um nochmals alles zu prüfen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.