MCSE Training and Certification - 70-291

IPSec-Verbindung mit IP-Sicherheitsrichtlinie

nospam@example.com (MCSE) — Thu, 15 Feb 2007 11:38:45 +0100

Eine IPSec-Verbindung kann man einfach über IP-Sicherheitsrichtlinien einrichten. Hier soll die Verbindung zu einem anderen Host ausschließlich über IPSec erfolgen.

Da beide Rechner nicht in der selben Domain sind, kann für den Schlüsseltausch kein Kerberos verwendet werden, sondern es wird auf einen Pre-Shared-Key zurückgegriffen (ähnlich wie bei WPA, hier "12345", sollte natürlich deutlich komplexer sein).

Der Assistent für die Standard-Verbindung kann so durchgeklickt werden. Wichtig ist die spezielle Verbindung zu dem gewünschten Host:

Dazu muss eine Filterregel eingerichtet werden. Solche Regeln kann man für alles definieren, spezielle Ports, Ziel-IPs oder Protokolle:

Danach muss die GPO nur noch zugewiesen und die Gruppenrichtlinien aktualisiert werden. Man kann sich dann mit einem Ping davon überzeugen, dass erst die IP-Sicherheit verhandelt wird bevor Daten übertragen werden.

Im vorgestellten Fall wäre eine lokale Konfiguration einfacher. Der hier vorgestellte Weg verwendet eine GPO, auf diesem Weg kann man am einfachsten die Kommunikation einer ganzen OU auf IPSec umstellen.

Gruppierung für DHCP-Bereiche (Superscope) im Multinet

nospam@example.com (MCSE) — Thu, 25 Jan 2007 14:50:38 +0100

Mehrere logische IP-Netze auf einem physikalischen Segment werden im Microsoft-Umfeld auch als Multinet bezeichnet.

Mit einer Bereichsgruppierung (plattdeutsch: "Superscope") kann ein DHCP-Server den Clients IP-Adressen auch aus Netzen anbieten, für die der Server eigentlich nicht konfiguriert ist (für DHCP ist nämlich keine korrekte IP-Konfiguration erforderlich).

So kann ein Server auf dem Netz 192.168.10.0/24 auch Adressen aus dem Netz 192.168.11.0/24 vergeben, falls dies aus irgendwelchen Gründen erforderlich sein sollte.

Bei der Vergabe werden allerdings zunächst die Adressen aus dem eigenen Netz vergeben und die Adressen aus den zusätzlichen Bereichen erst dann wenn der eigene Bereich ausgeschöpft ist.

Mit DHCP-Relay-Agents funktioniert das auch über Segment-Grenzen hinaus, bei Verwendung von bootp auch über passende Router hinweg.

DHCP-Konflikte mit ICS (Internet Connection Sharing)

nospam@example.com (MCSE) — Thu, 25 Jan 2007 11:29:26 +0100

Das ICS (für "Internet-Connection-Sharing") ist ein Feature seit Windows 98 SE, mit dem mehrere Benutzer sich einen Internet-Zugang teilen können. Es ist speziell für Anwender konzipiert, die mit kleinen Heimnetz ins Internet möchten. ICS arbeitet als Gateway mit Routingfunktion. Im professionellen Bereich wird mal eher Routing und RAS verwenden.

Bei DHCP kann es in Verbindung mit dem ICS leicht zu Konflikten kommen. Man muss wissen dass das Netz 192.168.0.0/24 von dem ICS-internen DHCP-Server vergeben wird! Daher sieht man solche Adressen dann statt der APIPA-IPs aus dem 169.254.0.0/16 wenn man eigentlich gar keinen DHCP-Server im Netz hat.

Um die APIPA-Funktion auf Windows XP-Clients zu deaktivieren kann man in der Registry unter "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP\Parameters" einen Schlüssel namens "IpAutoConfigurationEnabled" mit dem Wert 0 setzen.

Benutzerdefinierte Sicherheitsvorlage erstellen

nospam@example.com (MCSE) — Fri, 19 Jan 2007 10:23:00 +0100

Im MMC kann bei den Sicherheitsvorlagen eine benutzerdefinierte Sicherheitsvorlage erstellt werden. Der Name ist dazu frei wählbar:

Hier wird konfiguriert, dass Benutzerkonten nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb von 30 Minuten für 60 Minuten gesperrt werden.

Nun sollen alle fehlgeschlagenen Versuche der Kontenverwaltung und der Richtlinienänderung überwacht werden.

Schließlich soll noch das Gastkonto deaktiviert werden und der Admin einen neuen Namen bekommen:

Effektive Einstellungen ermitteln mit Richtlinienergebnissatz

nospam@example.com (MCSE) — Thu, 18 Jan 2007 13:57:16 +0100

Um die effektiven Einstellungen für einen Server zu ermitteln, kann man das Snap-In Richtlinienergebnissatz im MMC verwenden. Man kann dabei auch mehrere Richtlinienergebnissatz-Abfragen erstellen, indem man mehrere Snap-Ins für Richtlinienergebnissätze hinzufügt.

Der Richtlinienergebnissatz (Resultant Set of Policy, RSOP) ist eine Ergänzung zur Gruppenrichtlinie zur Implementierung und Problembehandlung von Richtlinien. Es kann bestehende Richtlinien und geplante Richtlinien abfragen und dann deren Ergebnisse melden.

Man bekommt Detailangaben zu allen von einem Administrator konfigurierten Richtlinieneinstellungen, bei Richtlinien auf mehreren Ebenen wird auch die Rangfolge ermittelt.

Auch mit "gpresult.exe" kann das Ergebnis der Richtlinien kontrolliert werden:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/...