Zum Inhalt springen

SBS2008 vs. Win7 mit Firewall und Kerberos

Eratum

Von Eratum
in Windows

 Teilen

Empfohlene Beiträge

Eratum

Eratum

Geschrieben
Geschrieben

Hallo zusammen :)

Wir haben hier eine kleine "Spezialumgebung", die nicht direkt bei uns im Netz läuft sondern direkt an der großen weiten Welt des Internets hängt. Folgende Spezifikationen:

Server: Win SBS2008

Clients: Win7

Das ganze läuft über AD und spielt auch alles wunderbar zusammen, aber:

Sobald wir die Firewall einschalten (mit Kerberos Authentifizierung) verliert der Client seinen Connect zum Server. Stellen wir um auf "ohne Kerberos" funktioniert das ganze wunderbar. Da das ganze irgendwie sehr komplex ist, fällt es mir recht schwer das ganze detaillierter zu beschreiben (IPSec aktiv, ...)

Wir haben irgendwie schon alles was TechNet und Google hergibt zum Thema durchschwadroniert und kommen einfach nicht zum Punkt.

Sollte jmd. schonmal vor der "Connection lost durch Kerberos bei SBS2008 und W7" gestanden und sich auch die Zähne beinahe ausgebissen haben, so möge er sich doch mal bitte melden und mitteilen, wie das gelöst wurde....

THX und MFG Eratum

Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast Sanches

Gast Sanches

Geschrieben
Geschrieben
Da das ganze irgendwie sehr komplex ist, fällt es mir recht schwer das ganze detaillierter zu beschreiben (IPSec aktiv, ...)

Dann versuch es doch mal zumindest, sonst wird es sehr schwer für uns, dir zu helfen.

Ansonsten kommen solche Rückfrage wie:

IPSec soll heissen, das die Clients per Internet und VPN auf das System zugreifen oder spielt sich das ganze doch im LAN ab?

Leider geht das aus deiner Minibeschreibung nicht hervor ...

Gruß Sanches

Link zu diesem Kommentar
Auf anderen Seiten teilen
Eratum

Eratum

Geschrieben
  • Autor
Geschrieben

Okay, dann probier ich das ganze mal:

Ziel der Übung ist, dass nur authentifizierte Clients überhaupt über die Firewall kommen und alles andere verworfen wird. Das ganze versuchen wir über eine GPO zu verteilen:

Zunächst setzen wir in den erweiterten Einstellungen der Firewall die IPSec Standardeinstellungen auf "Benutzer und Computer (Kerberos V5)".

Dann werden die entsprechenden Isolierungsregeln in den Verbindungssicherheitsregeln gesetzt um zu gewährleisten, dass nur Clients, die in der entspr. Domäne sind sich authentifizieren dürfen. Dafür müssen sie die Authentifizierung anfordern.

Wenn ich die ganze Geschichte richtig verstanden habe, so wird in besagten IPSec Standardeinstellungen doch der Standard für sämtliche Verbindungen gesetzt, sprich bei uns halt Kerberos V5.

In dem nächsten Schritt wird mWn die Legitimation ggü dem Server abgefordert.

Das ganze sollte doch dann dazu führen, dass nur Domänenmitglieder überhaupt mit dem Server kommunizieren können. Richtig?

Und eben das passiert nicht. Sobald die Regeln aktiv sind, passiert Netzwerkmäßig beim Client nichts mehr...

Ich hoffe das reicht zum Thema :) Für nähere Fragen stehe ich natürlich zur Verfügung...

MFG

Link zu diesem Kommentar
Auf anderen Seiten teilen
Eratum

Eratum

Geschrieben
  • Autor
Geschrieben

So, das Problem scheint gelöst! (die Lösung steht auch im entsprechenden TechNet Artikel, den man bis Ende lesen sollte, weil erst dort der entscheidende Hinweis kommt ^^).

Zunächst gilt es den Unterschied zwischen "erforderlich" (etwas ist zwingend notwendig) und "anfordern" (ich schau mal ob er's hat, sonst eben nicht) zu kennen.

Das führt dazu, dass zu Beginn der Firewallkonfiguration die entsprechenden Authentifizierung auf "anfordern" stehen müssen, damit die Clients die bis dato ohne Kerberosticket mit dem Server kommuniziert haben, die Chance bekommen eines zu erhalten und nicht sofort abgeschmettert werden.

Erst wenn alle notwendigen Clients sich einmal gemeldet haben, kann die Authentifizierung in der Sicherheitsregel auf "erforderlich" gestellt werden, da bereits alle Clients bekannt sind und somit ihre Tickets aktualisieren können.

Du Krux an der Geschichte war, dass wir uns an ein Tutorial / Leitfaden gehalten haben, der die Servereinstellung gleich zu Beginn auf "erforderlich" setzte. Somit kamen die Clients ohne Ticket daher und wurden sofort abgeschmetter.

Die entsprechende Clientrichtlinie kann den besagten "erforderlich-flag" von Anfang an haben, da davon auszugehen ist dass sich diese erstmal ohne die GPO Einstellung mit den Standardmethoden melden und ein Ticket erhalten. Erst dann wird die GPO Aktualisiert, der Client ist schon bekannt und kann somit fröhlich weiter connecten...

Ich hoffe das für evtl. Späterlesende einigermaßen ansprechend verfasst zu haben :)

MfG Eratum

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...