Das Unwort des Jahres 2010: "Simplified"

So gern ich das Wort „Simple“ in „Simply Red“ oder „Simple Minds“ habe, so ungern habe ich dieses Wort in Zusammenhang mit neuen Microsoft Technologien. Dieser bodenlose Hass kommt nicht einfach so – sondern durch wochenlanges sinnloses Recherchieren, wie nun die „Simplified IPSec Richtlinie“ funktioniert. Ich bin ein absoluter Fan von IPSec und ich sehe grosses Potential in dieser Technologie – aber hier sprechen wir keineswegs von simplen Technologien, obwohl ich eigentlich sehr wohl glaube, diese verstanden zu haben…

Um was geht es hier eigentlich? Hier ist die Story: Unter Windows Server 2008 und Windows Vista wurde die neue „Simplified Policy“ für IPSec (mithilfe von AuthIP) eingeführt. Diese soll die Anzahl der benötigten IPSec-Regeln massiv reduzieren und gar einen „Domain Join“ ermöglichen, wenn die Domänencontroller mit IPSec-Richtlinien belegt sind.

In verschiedenen Microsoft Präsentationen und raren Beiträgen auf Websites wird auf diese neue vereinfachte Art der IPSec-Regeln verwiesen – aber wie so oft üblich, ohne ein gängiges Beispiel dafür zu machen. Für die IPSec-Implementierung unter Windows Server 2000/2003 gab es noch tonnenweise Whitepapers und Beiträge – aber jetzt ist ja alles „Simplified“, so dass dies nicht mehr notwendig ist. Die Richtlinien lassen sich fast schon mit künstlicher Intelligenz konfigurieren… ;-D

Kurz und gut: Ich möchte mit diesem Beitrag niemanden langweilen, sondern die Lösung für einen Domain Join mit aktiviertem IPSec auf den Domänencontrollern in Eckpunkten umschreiben:

  1. Man nehme einen Domänencontroller unter Windows Server 2008 oder höher und erstelle auf diesem einen neuen Benutzer mit einem spezifischen Benutzernamen (X) und einem spezifischem Passwort (Y) und gebe diesem das Recht, Computerkontos erstellen zu dürfen
  2. Man nehme den Client, der Mitglied der Domäne werden soll (jedoch noch nicht ist) und erstelle auf diesem einen Benutzer mit dem Benutzernamen (X) und dem Passwort (Y) – also genau demselben Namen und Passwort, wie das Domänenkonto
  3. Man erstelle eine generelle Sicherheitsregel auf dem Domänencontroller, die eine Authentifzerung für jegliche Kommunikationsvorgänge mit der NTLMv2-Benutzerauthentifzierung verlangt
  4. Man erstelle für jegliche Ports und Protokolle, die sonst noch für eine Domänenanmeldung verlangt sind, eine SEPARATE Sicherheitsregel auf dem Domänencontroller (auch mit der NTLMv2-Authentifzierung) – das sind auch gar nicht viele – nur so gegen 15 Regeln (TCP und UDP lassen sich in der „simplified Policy“ ja auch nicht mehr wie früher in einer einzigen Regeln miteinander vereinen…
  5. Man erstelle dieses Sicherheitsrichtlinien-Set auch auf dem Client, der Mitglied der Domäne werden soll (natürlich auf jedem separat – sonst wäre es zu einfach)
  6. Nun müssen nur noch ca. 5 Stossgebete ausgesprochen werden und wenn man dann wirklich Glück hat, funktioniert der Domain Join!!!

Diese Anleitung kommt übrigens von Microsoft „himself“ und ist keine Eigenerfindung meinerseits… Und ja: Microsoft behauptet damit auch jetzt noch, dass dies „SIMPLIFIED“ ist – weil unter den Vorgängerversionen musste man viele Regeln zusätzlich machen, resp. konnte das Ziel gar nicht erst errechen. In meinem tiefsten Inneren wäre es mir immer noch lieber, wenn man dieses Ziel NICHT erreichen könnte…

Fazit: Man bediene sich wohl besser dem Offline Domain Join (ab Windows 7) – welcher dann natürlich auch wieder zumindest eine manuell erstellte Sicherheitsrichtlinie auf dem Client benötigt, da dieser nach dem Neustart noch keine Gruppenrichtlinien empfangen kann, obwohl er ein Mitglied der Domäne ist. Weshalb? Na, weil der Client nur dann mit dem Domänencontroller kommunizieren und die GPOs abholen kann, wenn er über eine Sicherheitsregel verfügt – diese würde er zwar über die GPOs erhalten – aber eben: Wer war nun zuerst – das Huhn oder das Ei?

Fazit 2: Hier muss Microsoft wirklich noch etwas tun, damit eine sinnvolle Domain Isolation / Server Isolation möglich wird… Der Weg ist gut – aber der Praxisnutzen ist noch nicht 100%ig gegeben…

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Schreib einen Kommentar