0
Problem mit IPSec-Richtlinie zwischen zwei Rechnern
Hallo liebe Administrator.de Comunity,
ich habe ein Problem mit dem Verständniss der IPSec-Richtlinie.
zu Erklärung:
ich nehme zur Zeit an einem Lehrgang bei ILS teil, bei dem es um die Administrierung von Windows Server 2012 R2 auf Basis von virtuellen Maschinen geht. Das Thema des aktuellen Teils des Lehrgang heißt Netzwerksicherheit und Netzwerkzugriffsschutz.
Ausgangssituation:
Zur Heftsituation:
Es soll eine IPSec-Richtlinie per GPO eingerichtet werden bei denen die zwei Endpunkte die jeweiligen Rechner sind. Es soll die Option Sicherheit erforderlich ausgewählt werden und dies für alle Netzwerkschnittstellen gelten. Des Weiteren soll als Methode Computer Kerberos V5 ausgewählt werden. Der Schlüsselaustausch soll mit Diffie-Hellman sein und als Datenschutzoption nur ESP & AH ausgewählt werden.
Zusätzlich sollen die Dienste "IKE- und AuthIP IPSec..." und "der IPSec-Richtlinien-Agent" aktiviert werden.
Das was ich bisher weiß ist, dass man die IPSec-Richtlinie entweder über die Windows-Firewall mit erweiterter Sicherheit, oder über die IPSec-Sicherheitsrichtlinen des Active Directory einstellen kann. Leider wird im Heft nicht klar ob man bei beiden dies einrichten soll oder nur eins von beiden. Aus dem Bauch heraus würd ich sagen "Entweder, oder"
ich habe mich dafür entschieden die IPSec-Richtlinie über die Windows-Firewall zu konfigurieren, genau so wie es im Heft beschrieben ist. Als Peers habe ich die beiden IP-Adressen angegeben und den Rest so eingestellt wie oben beschrieben. Die beiden Systemdienste habe ich in der selben GPO auf automatischen Start gesetzt. Danach habe ich die Richtlinie Domänenweit aktiviert und "gpupdate" auf beiden Rechnern ausgefürt (zu erst auf Win2012-2 dann auf Win2012-1). Beides wurde erfolgreich ausgeführt und im IP-Sicherheitsmonitor kann man das sehr schön sehen, dass der Schlüsselaustausch funktioniert und die Kommunikation zwischen den beiden Rechnern funktioniert.
zum Problem:
Jetzt soll die GPO wieder deaktiviert werden und da liegt das eigentliche Probelm ...
Ich deaktiviere die GPO in dem ich auf die GPO klicke und den Haken bei "Verknüpfung aktivieren" "entferne". Bei der Übersicht wird mir auch angezeigt das die GPO nicht aktiviert ist. Jetzt führe ich wieder "gpupdate" (als erstes bei Win2012-2, dann bei Win2012-1) aus und dann kommt der Knall. Bei dem Rechner Win2012-2 kommt die Fehlermeldung, dass er die GPO nicht übernehmen kann. Auch das deaktivieren des IP-Richtlinien-Agents mit dem Befehl "net stop policyagent" bringt mich nicht weiter. Die Richtlinie bleibt auf dem Win2012-2 aktiv und er kann zum DC keine Verbindung mehr aufbauen. Ping Versuche auf die IP von Win2012-1 und auf Win2012-2 funktionieren, da dies durch die Richtlinie zugelassen wird. Pingversuche auf den DNS-Namen funktionieren jedoch nicht. Das einzige was dann noch hilft ist, den Win2012-2 aus der Domäne rauszunehmen und wieder neu einzubinden.
Fehlermeldung:
Ich habe schon 3 mal versucht den Lehrer zu ereichen, hab ihm das Problem geschildert, doch dieser hat mich aufs Handbuch verwiesen, welches mich auch nicht weiter gebracht hat.
Beim letzten Versuch wollte ich telefonische Unterstützung bzw. eine Erklärung haben woran es liegen könnte, dass wenn ich es genauso mache, wie im Heft beschrieben ist, es trotzdem nicht funktioniert. Er meinte nur per email, dass es wohl an der Tatsache liegt, dass es virtuelle Maschinen sind. Mehr konnte ich nicht in Erfahrung bringen. Langsam bin ich echt am Verzweifeln, da ja auch das Ende des Heftes noch nicht erreicht ist und der 2. Teil darauf aufbaut, dass die GPO funktioniert. Funktionieren tut sie ja, aber jede Änderung an der GPO oder Die Deaktivierung führt zu diesem beschrieben Fiasko.
Kann mir bitte jemand den richtigen Weg zur Deaktivierung der GPO erklären, dass nach der Deaktivierung eine normale Kommunikation zwischen den 2 Rechnern möglich ist, denn laut Heft wird es noch öffters vorkommen, dass die GPO geändert oder deaktiviert werden soll.
ich habe ein Problem mit dem Verständniss der IPSec-Richtlinie.
zu Erklärung:
ich nehme zur Zeit an einem Lehrgang bei ILS teil, bei dem es um die Administrierung von Windows Server 2012 R2 auf Basis von virtuellen Maschinen geht. Das Thema des aktuellen Teils des Lehrgang heißt Netzwerksicherheit und Netzwerkzugriffsschutz.
Ausgangssituation:
Win2012-1 =
- DC der Domäne deutschland.ag
- DNS-Server
- DHCP-Server
- feste IP -> 172.110.0.1/16
- DNS-Server
- DHCP-Server
- feste IP -> 172.110.0.1/16
Win2012-2 =
- Arbeitstation
- feste IP -> 172.110.0.2/16
- feste IP -> 172.110.0.2/16
Zur Heftsituation:
Es soll eine IPSec-Richtlinie per GPO eingerichtet werden bei denen die zwei Endpunkte die jeweiligen Rechner sind. Es soll die Option Sicherheit erforderlich ausgewählt werden und dies für alle Netzwerkschnittstellen gelten. Des Weiteren soll als Methode Computer Kerberos V5 ausgewählt werden. Der Schlüsselaustausch soll mit Diffie-Hellman sein und als Datenschutzoption nur ESP & AH ausgewählt werden.
Zusätzlich sollen die Dienste "IKE- und AuthIP IPSec..." und "der IPSec-Richtlinien-Agent" aktiviert werden.
Das was ich bisher weiß ist, dass man die IPSec-Richtlinie entweder über die Windows-Firewall mit erweiterter Sicherheit, oder über die IPSec-Sicherheitsrichtlinen des Active Directory einstellen kann. Leider wird im Heft nicht klar ob man bei beiden dies einrichten soll oder nur eins von beiden. Aus dem Bauch heraus würd ich sagen "Entweder, oder"
ich habe mich dafür entschieden die IPSec-Richtlinie über die Windows-Firewall zu konfigurieren, genau so wie es im Heft beschrieben ist. Als Peers habe ich die beiden IP-Adressen angegeben und den Rest so eingestellt wie oben beschrieben. Die beiden Systemdienste habe ich in der selben GPO auf automatischen Start gesetzt. Danach habe ich die Richtlinie Domänenweit aktiviert und "gpupdate" auf beiden Rechnern ausgefürt (zu erst auf Win2012-2 dann auf Win2012-1). Beides wurde erfolgreich ausgeführt und im IP-Sicherheitsmonitor kann man das sehr schön sehen, dass der Schlüsselaustausch funktioniert und die Kommunikation zwischen den beiden Rechnern funktioniert.
zum Problem:
Jetzt soll die GPO wieder deaktiviert werden und da liegt das eigentliche Probelm ...
Ich deaktiviere die GPO in dem ich auf die GPO klicke und den Haken bei "Verknüpfung aktivieren" "entferne". Bei der Übersicht wird mir auch angezeigt das die GPO nicht aktiviert ist. Jetzt führe ich wieder "gpupdate" (als erstes bei Win2012-2, dann bei Win2012-1) aus und dann kommt der Knall. Bei dem Rechner Win2012-2 kommt die Fehlermeldung, dass er die GPO nicht übernehmen kann. Auch das deaktivieren des IP-Richtlinien-Agents mit dem Befehl "net stop policyagent" bringt mich nicht weiter. Die Richtlinie bleibt auf dem Win2012-2 aktiv und er kann zum DC keine Verbindung mehr aufbauen. Ping Versuche auf die IP von Win2012-1 und auf Win2012-2 funktionieren, da dies durch die Richtlinie zugelassen wird. Pingversuche auf den DNS-Namen funktionieren jedoch nicht. Das einzige was dann noch hilft ist, den Win2012-2 aus der Domäne rauszunehmen und wieder neu einzubinden.
Fehlermeldung:
Ich habe schon 3 mal versucht den Lehrer zu ereichen, hab ihm das Problem geschildert, doch dieser hat mich aufs Handbuch verwiesen, welches mich auch nicht weiter gebracht hat.
Beim letzten Versuch wollte ich telefonische Unterstützung bzw. eine Erklärung haben woran es liegen könnte, dass wenn ich es genauso mache, wie im Heft beschrieben ist, es trotzdem nicht funktioniert. Er meinte nur per email, dass es wohl an der Tatsache liegt, dass es virtuelle Maschinen sind. Mehr konnte ich nicht in Erfahrung bringen. Langsam bin ich echt am Verzweifeln, da ja auch das Ende des Heftes noch nicht erreicht ist und der 2. Teil darauf aufbaut, dass die GPO funktioniert. Funktionieren tut sie ja, aber jede Änderung an der GPO oder Die Deaktivierung führt zu diesem beschrieben Fiasko.
Kann mir bitte jemand den richtigen Weg zur Deaktivierung der GPO erklären, dass nach der Deaktivierung eine normale Kommunikation zwischen den 2 Rechnern möglich ist, denn laut Heft wird es noch öffters vorkommen, dass die GPO geändert oder deaktiviert werden soll.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 287340
Url: https://administrator.de/contentid/287340
Printed on: April 24, 2024 at 03:04 o'clock
