70-293 Frage zu IPsec

[genab.de 10]

Ich bereite mich für die 70-293 Prüfung vor.

 

hab das Grüne MS Buch durchgelesen, und lese gerade noch zusätzlich das Adison Wesley.

 

Nur leider wird IPsec wieder nur am Rand behandelt.

 

Keine Vollständige erklärung.

 

Für die Prüfung halte ich mich als Fit, aber nicht für das ECHTE Leben.

 

Mir ist IPsec immer noch ein großes geheimniss

 

z.B. ist in den Büchern ein Beispiel, wie man eine IPsec Richtlinie erstellt.

 

Aber man verwendet kein Zertifikat oder festen Schlüssel, sondern Kerberos? Für was soll das dienen? Wer darf nun zugrteifen und wer nicht?

 

Denn komminizieren konnten meine Rechner nicht? )Obwohl auf beiden Rechnern der Domänenadmin eingerichtet war..)

 

Denn über diese Übung muss ja jeder auf dem Weg zum MCSE drüberfallen?

 

 

PS: es gibt von MS ein MSpress buch zu Zertifikaten, ist das gut? Sind da Praxisbeispiele drin wie ich mein WLAN z.B. mit Zertifikaten absichern kann. Die Anleitung im Technet ist mir zu kompliziert

[IThome 10]

Kerberos wird für die Authentifizierung in der Phase 1 benutzt. Diese Art der Authentifizierung kann nur in der Domäne benutzt werden.

[genab.de 10]

ja schon, soweit ist mir das klar

 

 

kann dann aber jeder in meiner Domäne, der die IPsec Richtlinie verwendet, mit dem geschützten Server kommunizieren.

 

Bei Zertiikaten kann ich das ja steuerm, je nach dem wer ein gültigen Zertifikat hat, kann komunizieren,

 

 

aber bei Kerberos kannich gar nix einstellen, nur das es benutzt wird.

 

 

hätte da gleich eine 2. Frage:

 

 

kann ich auf einem Server eine Unternehmens und eine Eigenständigen CA Server betreiben?

 

Wenn nein, kann ich von einem Unternheensserver auf einen Eigenständigen Server wechseln?

[Cupdiffusor 10]

Hmm... das hat jetzt nichts direkt mit deiner Frage zu tun, aber ich hab vor kurzem die

70-299 gemacht - und wie ich sehe hast du die Prüfung ja auch noch in Planung. Da wird noch mehr

auf IPsec eingegangen. Du kannst ja vielleicht schon einen Blick in das Buch werfen., wenn du es

schon hast. Dann fällt dir vielleicht das Verständnis leichter...

 

Grüssle

 

**cuPI

[xcode-tobi 10]

ja schon, soweit ist mir das klar

 

 

kann dann aber jeder in meiner Domäne, der die IPsec Richtlinie verwendet, mit dem geschützten Server kommunizieren.

 

Bei Zertiikaten kann ich das ja steuerm, je nach dem wer ein gültigen Zertifikat hat, kann komunizieren,

 

 

aber bei Kerberos kannich gar nix einstellen, nur das es benutzt wird.

...solange der bzw. die user sich authentifizieren können: JA. kann sich der user nicht authentifizieren kann er sich auch nicht beispielweise mit ressourchen verbinden.

[Cupdiffusor 10]

...solange der bzw. die user sich authentifizieren können: JA. kann sich der user nicht authentifizieren kann er sich auch nicht beispielweise mit ressourchen verbinden.

 

Ich hab jetzt auch noch keine grossen Erfahrungen mit IPsec gemacht, aber kann man

da vielleicht ne "benutzerdefinierte IPsec Richtlinie erstellen und in der einen

IP-Filter setzten und das kommunizieren dann trotzdem einschränken?

[onewayticket 10]

Hallo zusammen,

 

eventuell kann dieser Link http://www.microsoft.com/germany/technet/sicherheit/newsletter/ipsec.mspx

Euch weiterhelfen

 

MfG

Onewayticket

[genab.de 10]

Also da mir gesagt wurde, das im 70-299 auch nicht sehr tief ddaraug eingegangen wird hege ich da mal keine großen hoffnungen, das das mal gescheit behandelt wird.

 

Wird immer nur angeschnitten. :(

 

Zwecks der Kerberos Auth:

 

@onewayticket - danke für den Link, da ist endlich mal einfacher beschrieben, aber eine Antwort auf die Fragen sind da auch nicht drin.

 

so wie ich das nun verstanden habe ist keine Selektion möglich, denn die Beispiele nutzen auch Kerberos, und da wird ist von der ganzen Domäne gesprochen....

 

 

 

und die 2. Frage:

 

kann ich auf einem Server eine Unternehmens und eine Eigenständigen CA Server betreiben?

 

Wenn nein, kann ich von einem Unternheensserver auf einen Eigenständigen Server wechseln?

 

 

 

 

denn irgendwie schaffe ich es nicht an einer Unternehmens CA die Zertifikate der User zu exportieren.

 

Und bei einer eigenständigen kannich mir diese von der Webseite laden und speichern.

[IThome 10]

Du kannst Deine IPSec-Richtlinien ja auch nur bestimmten OUs zur Verfügung stellen .

Du kannst , wenn Du eine Unternehmens-CA hast, die Zertifikate automatisch verteilen oder der User kann sich die Zertifikate mit dem Zertifikate-Snapin anfordern.

[genab.de 10]

Und wie kann ich alle Zertifikate der User am Server sichern?

 

Hab da keine möglichkeit die Zertifikate zu exportieren?

 

 

Oder soll das gar nicht gehen

[genab.de 10]

hätte da gleich eine 2. Frage:

 

 

kann ich auf einem Server eine Unternehmens und eine Eigenständigen CA Server betreiben?

 

Wenn nein, kann ich von einem Unternehmensserver auf einen Eigenständigen Server wechseln?

[IThome 10]

Ich glaube, das funktioniert beides nicht ...

[grizzly999 11]

Nein, zwei CAs auf einem Server geht nicht.

 

Und wecheseln geht nur mit Neuinstallation der CA

 

 

grizzly999

[IThome 10]

edit: HA!