Eratum Geschrieben 8. Juni 2011 Geschrieben 8. Juni 2011 Hallo zusammen Wir haben hier eine kleine "Spezialumgebung", die nicht direkt bei uns im Netz läuft sondern direkt an der großen weiten Welt des Internets hängt. Folgende Spezifikationen: Server: Win SBS2008 Clients: Win7 Das ganze läuft über AD und spielt auch alles wunderbar zusammen, aber: Sobald wir die Firewall einschalten (mit Kerberos Authentifizierung) verliert der Client seinen Connect zum Server. Stellen wir um auf "ohne Kerberos" funktioniert das ganze wunderbar. Da das ganze irgendwie sehr komplex ist, fällt es mir recht schwer das ganze detaillierter zu beschreiben (IPSec aktiv, ...) Wir haben irgendwie schon alles was TechNet und Google hergibt zum Thema durchschwadroniert und kommen einfach nicht zum Punkt. Sollte jmd. schonmal vor der "Connection lost durch Kerberos bei SBS2008 und W7" gestanden und sich auch die Zähne beinahe ausgebissen haben, so möge er sich doch mal bitte melden und mitteilen, wie das gelöst wurde.... THX und MFG Eratum Zitieren
Gast Sanches Geschrieben 8. Juni 2011 Geschrieben 8. Juni 2011 Da das ganze irgendwie sehr komplex ist, fällt es mir recht schwer das ganze detaillierter zu beschreiben (IPSec aktiv, ...) Dann versuch es doch mal zumindest, sonst wird es sehr schwer für uns, dir zu helfen. Ansonsten kommen solche Rückfrage wie: IPSec soll heissen, das die Clients per Internet und VPN auf das System zugreifen oder spielt sich das ganze doch im LAN ab? Leider geht das aus deiner Minibeschreibung nicht hervor ... Gruß Sanches Zitieren
Eratum Geschrieben 8. Juni 2011 Autor Geschrieben 8. Juni 2011 Okay, dann probier ich das ganze mal: Ziel der Übung ist, dass nur authentifizierte Clients überhaupt über die Firewall kommen und alles andere verworfen wird. Das ganze versuchen wir über eine GPO zu verteilen: Zunächst setzen wir in den erweiterten Einstellungen der Firewall die IPSec Standardeinstellungen auf "Benutzer und Computer (Kerberos V5)". Dann werden die entsprechenden Isolierungsregeln in den Verbindungssicherheitsregeln gesetzt um zu gewährleisten, dass nur Clients, die in der entspr. Domäne sind sich authentifizieren dürfen. Dafür müssen sie die Authentifizierung anfordern. Wenn ich die ganze Geschichte richtig verstanden habe, so wird in besagten IPSec Standardeinstellungen doch der Standard für sämtliche Verbindungen gesetzt, sprich bei uns halt Kerberos V5. In dem nächsten Schritt wird mWn die Legitimation ggü dem Server abgefordert. Das ganze sollte doch dann dazu führen, dass nur Domänenmitglieder überhaupt mit dem Server kommunizieren können. Richtig? Und eben das passiert nicht. Sobald die Regeln aktiv sind, passiert Netzwerkmäßig beim Client nichts mehr... Ich hoffe das reicht zum Thema Für nähere Fragen stehe ich natürlich zur Verfügung... MFG Zitieren
Eratum Geschrieben 8. Juni 2011 Autor Geschrieben 8. Juni 2011 So, das Problem scheint gelöst! (die Lösung steht auch im entsprechenden TechNet Artikel, den man bis Ende lesen sollte, weil erst dort der entscheidende Hinweis kommt ^^). Zunächst gilt es den Unterschied zwischen "erforderlich" (etwas ist zwingend notwendig) und "anfordern" (ich schau mal ob er's hat, sonst eben nicht) zu kennen. Das führt dazu, dass zu Beginn der Firewallkonfiguration die entsprechenden Authentifizierung auf "anfordern" stehen müssen, damit die Clients die bis dato ohne Kerberosticket mit dem Server kommuniziert haben, die Chance bekommen eines zu erhalten und nicht sofort abgeschmettert werden. Erst wenn alle notwendigen Clients sich einmal gemeldet haben, kann die Authentifizierung in der Sicherheitsregel auf "erforderlich" gestellt werden, da bereits alle Clients bekannt sind und somit ihre Tickets aktualisieren können. Du Krux an der Geschichte war, dass wir uns an ein Tutorial / Leitfaden gehalten haben, der die Servereinstellung gleich zu Beginn auf "erforderlich" setzte. Somit kamen die Clients ohne Ticket daher und wurden sofort abgeschmetter. Die entsprechende Clientrichtlinie kann den besagten "erforderlich-flag" von Anfang an haben, da davon auszugehen ist dass sich diese erstmal ohne die GPO Einstellung mit den Standardmethoden melden und ein Ticket erhalten. Erst dann wird die GPO Aktualisiert, der Client ist schon bekannt und kann somit fröhlich weiter connecten... Ich hoffe das für evtl. Späterlesende einigermaßen ansprechend verfasst zu haben MfG Eratum Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.