O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Lektion 2: Konfigurieren von IPSec 99
auch eine Zertifikatsinfrastruktur oder einen vorinstallierten Schlüssel als Methode zum
Authentifizieren der IPSec-Clients auswählen. Die gewünschte Authentifizierungsmethode
wählen Sie auf der Seite Authentifizierungsmethode im Sicherheitsregel-Assistenten aus
(Abbildung 2.25).
Verwalten von IP-Filterlisten und Filteraktionen
Sie können die IP-Filter, IP-Filterlisten und Filteraktionen, die Sie für eine IPSec-Regel er-
stellt haben, in andere IPSec-Regeln kopieren und diese Features außerhalb des Sicherheits-
regel-Assistenten konfigurieren. Klicken Sie dazu in der lokalen Sicherheitsrichtlinie oder in
einem Gruppenrichtlinienobjekt mit der rechten Maustaste auf den Knoten IP-Sicherheits-
richtlinien und wählen Sie den Befehl IP-Filterlisten und Filteraktionen verwalten (Abbil-
dung 2.26).
Abbildung 2.26 Verwalten von IP-Filterlisten und Filteraktionen
Erstellen und Konfigurieren einer Verbindungssicherheitsregel
Sie erstellen eine Verbindungssicherheitsregel in einem Gruppenrichtlinienobjekt, indem Sie
in der Konsole Gruppenrichtlinienverwaltung mit der rechten Maustaste auf das Gruppen-
richtlinienobjekt klicken und den Befehl Bearbeiten wählen. Erweitern Sie in der Konsolen-
struktur
des Gruppenrichtlinienverwaltungs-Editors den Zweig Computerkonfiguration\Richt-
linien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter
Sicherheit\Windows-Firewall mit erweiterter Sicherheit – LDAP://<Adresse>. Wählen Sie
nun den Knoten Verbindungssicherheitsregeln aus, klicken Sie mit der rechten Maustaste
darauf und wählen Sie im Kontextmenü den Befehl Neue Regel (Abbildung 2.27). Daraufhin
wird der Assistent für neue Verbindungssicherheitsregel gestartet.
100 Kapitel 2: Konfigurieren von IP-Diensten
Abbildung 2.27 Erstellen einer neuen Verbindungssicherheitsregel
Abbildung 2.28 Auswählen des Typs für die neue Verbindungssicherheitsregel
Lektion 2: Konfigurieren von IPSec 101
Welche Seiten im Assistenten für neue Verbindungssicherheitsregel angezeigt werden, hängt
davon ab, welche Art von Regel Sie erstellen. Folgende Seiten werden angezeigt, wenn Sie
eine benutzerdefinierte Regel erstellen:
Regeltyp
Endpunkte
Anforderungen
Authentifizierungsmethode
Profil
Name
Die Seite Regeltyp Auf der Seite Regeltyp (Abbildung 2.28) wählen Sie aus, welchen der
fünf Regeltypen Sie erstellen.
Die fünf verfügbaren Regeltypen sind:
Isolierungsregel Dieser Regeltyp authentifiziert den gesamten Verkehr für die aus-
gewählten Netzwerkprofile (Netzwerkstandorttypen). Wenn für den lokalen Computer
im Netzwerk- und Freigabecenter derselbe Netzwerktyp definiert ist wie in einem der
Profile, die Sie für die Regel ausgewählt haben, versucht der lokale Computer, die
Sicherheitseinstellungen auszuhandeln, die in der Regel definiert sind. Die drei defi-
nierten Profile sind Domäne, Privat und Öffentlich.
Authentifizierungsausnahmeregel Dieser Regeltyp nimmt bestimmte Computer
oder eine Gruppe oder einen Bereich von IP-Adressen von der Pflicht aus, sich selbst
zu authentifizieren. Das gilt unabhängig von anderen Verbindungssicherheitsregeln.
Üblicherweise verwenden Sie diesen Regeltyp, um Zugriff auf Infrastrukturcomputer
zu gewähren, mit denen ein lokaler Host kommunizieren muss, bevor die Authentifi-
zierung ausgeführt werden kann. Sie wird außerdem für Computer benutzt, die nicht in
der Lage sind, die Authentifizierung durchzuführen, die Sie für diese Richtlinie und
dieses Profil konfiguriert haben.
Server-zu-Server-Regel Mit diesem Regeltyp authentifizieren Sie die Kommuni-
kation zwischen IP-Adressen oder Adressgruppen mit bestimmten Computern und
Subnetzen.
Tunnelregel Mit diesem Regeltyp konfigurieren Sie den IPSec-Tunnelmodus für
VPN-Gateways.
Benutzerdefinierte Regel Mit diesem Regeltyp können Sie eine Regel erstellen, die
spezielle Einstellungen oder eine Kombination von Features aus mehreren anderen
Regeltypen erfordert.
Die Seite Endpunkte Auf dieser Seite wählen Sie aus, mit welchen Remotecomputern Sie
eine IPSec-Verbindung aushandeln wollen.
Die Seite Anforderungen Auf dieser Seite geben Sie an, ob authentifizierte Kommuni-
kation obligatorisch oder lediglich erwünscht ist. Sie können auch festlegen, dass Authenti-
fizierung für eingehende Verbindungen obligatorisch ist und für ausgehende Verbindungen
lediglich angefordert wird. Und schließlich können Sie auf dieser Seite eine Authentifizie-
rungsausnahme für die angegebenen Endpunkte konfigurieren.
102 Kapitel 2: Konfigurieren von IP-Diensten
Die Seite Authentifizierungsmethode Auf dieser Seite wählen Sie aus, auf welche Weise
die
Computerendpunkte authentifiziert werden. Die erste Option ist Standard. Wenn Sie diese
Option auswählen, wird für die Verbindung die Authentifizierungsmethode benutzt, die auf
den Profilregisterkarten in den Eigenschaften des Knotens Windows-Firewall mit erweiterter
Sicherheit für das jeweilige Profil eingestellt ist.
Sie können auch Kerberos-Authentifizierung (Active Directory) für Computer und Benutzer
auswählen, Kerberos-Authentifizierung nur für Computer, ein Computerzertifikat aus einer
Zertifikatsinfrastruktur oder die Option Erweitert. Über die Option Erweitert können Sie die
Reihenfolge der bevorzugten Authentifizierungsmethoden für Benutzer und Computer ver-
ändern. Außerdem können Sie diese Authentifizierungsmethoden als optional definieren.
Die Seite Profil Auf dieser Seite können Sie einschränken, für welche Netzwerkstandort-
typen die Regel gilt. Sie können die Regel für die Profile Domäne, Privat und Öffentlich
aktivieren.
Die Seite Name Auf dieser Seite geben Sie der neuen Verbindungssicherheitsregel einen
Namen und fügen (optional) eine Beschreibung hinzu.
Konfigurieren von IPSec-Einstellungen für Verbindungssicherheitsregeln
Sie können IPSec-Einstellungen im Knoten Windows-Firewall mit erweiterter Sicherheit
eines Gruppenrichtlinienobjekts oder in der Konsole Windows-Firewall mit erweiterter
Sicherheit definieren. Öffnen Sie dazu erst das Eigenschaftendialogfeld des Knotens Win-
dows-Firewall mit erweiterter Sicherheit (Abbildung 2.29).
Abbildung 2.29 Öffnen des Eigenschaftendialogfelds für die Windows-Firewall

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required