Re: Verhindern, dass sich fremde Rechner im Netzwerk anmelden.

From: "Walter Steinsdorfer [MVP]" <wstein@xxxxxxxxxxxxxxxx>
Date: Mon, 20 Nov 2006 21:22:48 +0100

Hi,

Franz Schenk wrote:

Wir haben für einen Kunden IPSec genau für diesen Zweck evaluiert. Die
Lösung wurde aber nicht implementiert, weil IPSec zwischen DC's und
Clients (oder Member Servern) von Microsoft nicht unterstützt wird
(steht z.B. im folgenden Whitepaper:
http://www.microsoft.com/downloads/details.aspx?FamilyId=10359569-EF11-499A-9E1F-85DA3FCA608C&displaylang=en)

das ist jetzt aber ein wenig ungenau, oder? IpSec zwischen DC´s und dem Rest
wird für Dhcp, DNS, Ldap, Ldap(GC),Kerberos, IKE nicht unterstützt wenn man
zu Authentifizierung der Clients Domänenkonten verwendet. Nachdem IpSec für
verschiedene Ports verschiedene Filter akzeptiert könnte man z.B. den
Zugriff auf das Netlogon - Share nur für Authentifzierte Clients erlauben
(Port 445), das befindet sich ja bekanntlich auch auf dem Server. Außerdem
kann zur Authentifizierung auf Zertifikate zurückgegriffen werden, was in
größeren Umgebungen mit mehreren Domänen sinnvoller sein kann. Davon
abgesehen das man DC´s nicht unbedingt mit IpSec absichern muß würde man
sich bei der Verwendung desselben natürlich ins eigene Fleisch schneiden,
denn wie soll der Client sich authentifizieren wenn er keine IP bekommt, vom
DNS nicht erfährt wer sein Ldap-Server ist und der ihm kein Kerberos -
Ticket ausstellt.

--
Viele Grüsse aus München

Walter Steinsdorfer [MVP Exchange Server]
Windows 2003 die Expertentipps:
http://www.faq-o-matic.net/content/view/253/2/

.

Follow-Ups:
- Re: Verhindern, dass sich fremde Rechner im Netzwerk anmelden.
  - From: Franz Schenk
- Re: Verhindern, dass sich fremde Rechner im Netzwerk anmelden.
  - From: Franz Schenk
- Re: Verhindern, dass sich fremde Rechner im Netzwerk anmelden.
  - From: Andreas Weber

References:
- Re: Verhindern, dass sich fremde Rechner im Netzwerk anmelden.
  - From: Franz Schenk

Prev by Date: Re: Verhindern, dass sich fremde Rechner im Netzwerk anmelden.
Next by Date: Netzwerkwarnungen von Outlook über GPO ausschalten
Previous by thread: Re: Verhindern, dass sich fremde Rechner im Netzwerk anmelden.
Next by thread: Re: Verhindern, dass sich fremde Rechner im Netzwerk anmelden.
Index(es):
- Date
- Thread

Relevant Pages

Re: Standortverbindung mit VPN IPSEC
... damit der gesamte Datenstrom durch IPSEC durchgeht oder reicht es den Server ... Die Clients ... Next by Date: ...
(microsoft.public.de.german.isaserver)
Re: Timeserver Authentifizierung !?
... aber eben nicht in einer Domäne, ... Da in dieser Arbeitsgruppe ein W2k Server steht, ... Taskjobs an den Clients) ... Authentifizierung fordert?? ...
(microsoft.public.de.german.win2000.networking)
Re: IPsec Implementation
... > reading about planning and setting up policies. ... > We're using Windows Server 2003 Enterprise edition and I checked that IPsec ... implemented for both clients and servers. ...
(microsoft.public.security)
Re: Secure FTP
... Richte IPSec für FTP ein. ... Stelle auf den Clients die per FTP zugreifen ... Clients und dem Server. ...
(microsoft.public.de.inetserver.iis)
Re: Windows 98 client, SBS2003
... Is NETBIOS pass through enabled in the IPSec tunnel? ... configuration are you using for your IPSec connections? ... adding the server as the DC to the LM Host file of the client PCs that are ... > and SMB signing issues and I can now get the remote 98 clients to log on ...
(microsoft.public.windows.server.sbs)