Lektion 2: Konfigurieren von IPSec 93
schlüsseln. Sie können einen vorinstallierten Schlüssel in den IPSec-Endpunkten ein-
tragen, um die Verschlüsselung zwischen den Hosts zu ermöglichen. Diese Authenti-
fizierungsmethode ermöglicht es zwar, IPSec-SAs einzurichten, aber vorinstallierte
Schlüssel bieten keine so sichere Authentifizierung wie Zertifikate oder Kerberos.
Außerdem werden vorinstallierte Schlüssel für IPSec im Klartext auf den beteiligten
Computern oder in AD DS gespeichert. Microsoft empfiehlt, vorinstallierte Schlüssel
nicht in Produktivumgebungen einzusetzen, sondern sie auf Testnetzwerke zu be-
schränken.
Prüfungstipp
Kerberos-Authentifizierung ist in einer Active Directory-Umgebung (oder in einem Kerbe-
ros-Bereich) die beste Wahl. Falls keine Kerberos-Authentifizierung möglich ist, sollten Sie
eine Zertifikatsinfrastruktur verwenden.
Zuweisen einer vordefinierten IPSec-Richtlinie
Die Gruppenrichtlinien enthalten drei vordefinierte IPSec-Richtlinien. Sie konfigurieren eine
IPSec-Richtlinie für eine Domäne oder Organisationseinheit (Organizational Unit, OU),
indem Sie über ein Gruppenrichtlinienobjekt eine der folgenden vordefinierten Richtlinien
zuweisen:
■ Client (Respond Only)/Client (nur Antwort) Wenn Sie diese Richtlinie zuweisen,
leitet der Computer niemals eine Anforderung ein, um einen IPSec-Kommunikations-
kanal mit einem anderen Computer aufzubauen. Aber alle Computer, denen Sie die
Richtlinie Client (Respond Only) zuweisen, handeln IPSec-Kommunikation aus und
stellen sie her, wenn sie von einem anderen Computer dazu aufgefordert werden.
Normalerweise weisen Sie diese Richtlinie Ihren Intranetcomputern zu, die mit ge-
schützten Servern kommunizieren müssen, aber nicht ihren gesamten Verkehr zu
schützen brauchen.
■ Server (Request Security)/Server (Sicherheit anfordern) Diese Richtlinie weisen
Sie Computern zu, bei denen Verschlüsselung sinnvoll, aber nicht unbedingt erforder-
lich ist. Der Computer akzeptiert auch ungeschützten Verkehr, versucht aber immer,
weitere Kommunikation zu schützen, indem er Sicherheit vom ursprünglichen Ab-
sender anfordert. Diese Richtlinie erlaubt es, dass die gesamte Kommunikation un-
geschützt abläuft, wenn der andere Computer nicht IPSec-fähig ist. Üblicherweise
weisen Sie diese Richtlinie einem Server zu, der mit unterschiedlichen Clienttypen
kommunizieren muss, von denen einige, aber nicht alle IPSec unterstützen.
■ Secure Server (Require Security)/Sicherer Server (Sicherheit erforderlich)
Diese Richtlinie sollten Sie Servern zuweisen, die streng vertrauliche Daten übertragen
und geschützte Kommunikation brauchen. Der Server kommuniziert nie mit Compu-
tern, die IPSec nicht beherrschen. Nur die einleitende Kommunikationsanforderung
wird ungeschützt übertragen.
Sie weisen innerhalb eines Gruppenrichtlinienobjekts eine IPSec-Richtlinie zu, indem
Sie mit der rechten Maustaste auf die Richtlinie klicken und im Kontextmenü den Befehl
Zuweisen wählen (Abbildung 2.18).
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
