Ich arbeite daran, von der Verwendung der unter „IP-Sicherheitsrichtlinien im Active Directory“ gespeicherten IPSEC-Einstellungen zur Verwendung der „Windows-Firewall mit erweiterter Sicherheit“ für meine 2008+-Boxen zu migrieren.
Ich konnte dies erfolgreich mithilfe der Kerberos-Authentifizierung einrichten, meine OpenSwan-Implementierung auf meinen Linux-Rechnern verwendet jedoch Zertifikate. Immer wenn ich versuche, die Authentifizierungsmethode auf ein Computerzertifikat zu ändern (unter Verwendung von RSA und meiner Stammzertifizierungsstelle), bricht die Verbindung ab.
Ich habe diese Änderung sowohl an einer Verbindungsanforderungsrichtlinie als auch an den IPSEC-Einstellungen im Stammknoten „Windows-Firewall mit erweiterter Sicherheit“ vorgenommen. Das Windows-Ereignisprotokoll zeigt, dass die Authentifizierungsanforderung stattfindet, aber die Aushandlung eines Modus fehlschlägt.
Was übersehe ich hier?
Antwort1
Nach einigen Testwochen habe ich es endlich so weit geschafft, dass ich nur noch das Kontrollkästchen „Zertifikat zur Kontozuordnung aktivieren“ in meiner Verbindungssicherheitsregel aktivieren muss.