none
Windows Server 2016 Dateifreigabe - Zugriff nur für Domänencomputer erlauben RRS feed

  • Frage

  • Hi!

    Ich möchte sicherstellen dass alle PC's im entsprechenden Firmen-Subnetz/VLAN die Domäne (AD mit DNS als eigenständiger Server, Filesharing usw. auf einem zweiten Server) nutzen müssen. Ich möchte verhindern dass Mitarbeiter mit privaten Notebooks auf die freigebenen Dateien am Server zugreifen können. Es soll sichergestellt sein, dass jeder Computer auch die Gruppenrichtlinien erhält. Im Wesentlich gehts um das gleiche wie in diesem Forum: https://www.administrator.de/forum/zugriff-dom%C3%A4nencomputer-38689.html

    Die "Abmahnungs"-Idee aus diesem Thread ist jetzt auch nicht wirklich das was wir wollen.

    Der Zugriff erfolgt auf die freigegebenen Serverdateien ja immer anhand der Domänen-Benutzer, damit lassen sich ja also keine Computer sperren. Soweit ich herausgefunden habe gibt es NAP unter Windows Server 2016 nicht mehr. Gibt es für Windows Server 2016 mittlerweile eine einfachere praktikable Lösung? Wie habt ihr das in euren Netzwerken gelöst?


    • Bearbeitet Domsik Montag, 11. Juni 2018 14:36
    Montag, 11. Juni 2018 14:33

Antworten

  • Moin,

    die Frage ist, ist es praktikabel, private Notebooks gänzlich aus dem Netzverkehr auszusperren. Ist dies der Fall (und hast Du Switche am Start, die 802.1X können), so kannst Du auch unter Server 2016 NPS einsetzen und per 802.1X Zertifikate für den Zugriff verlangen (brauchst halt ein Deployment-Netz, in dem Du diese Zertifikate ausrollst ;-)). 

    NPS ist weiterhin Bestandteil von Windows Server und ist auch in der 2019er Preview enthalten. Was abgeschafft wurde ist lediglich DHCP-NAP.

    Ein anderer Ansatz wäre die Absicherung des Traffics zum Fileserver via IPSec - auch hier basierend auf der Domänen-Identität. Hier würden Nicht-Domänenclients sogar ins Internet, an den Netzwerkdrucker usw. können.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.


    • Bearbeitet Evgenij Smirnov Montag, 11. Juni 2018 15:32
    • Als Antwort markiert Domsik Donnerstag, 14. Juni 2018 07:55
    Montag, 11. Juni 2018 15:28

Alle Antworten

  • Moin,

    die Frage ist, ist es praktikabel, private Notebooks gänzlich aus dem Netzverkehr auszusperren. Ist dies der Fall (und hast Du Switche am Start, die 802.1X können), so kannst Du auch unter Server 2016 NPS einsetzen und per 802.1X Zertifikate für den Zugriff verlangen (brauchst halt ein Deployment-Netz, in dem Du diese Zertifikate ausrollst ;-)). 

    NPS ist weiterhin Bestandteil von Windows Server und ist auch in der 2019er Preview enthalten. Was abgeschafft wurde ist lediglich DHCP-NAP.

    Ein anderer Ansatz wäre die Absicherung des Traffics zum Fileserver via IPSec - auch hier basierend auf der Domänen-Identität. Hier würden Nicht-Domänenclients sogar ins Internet, an den Netzwerkdrucker usw. können.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.


    • Bearbeitet Evgenij Smirnov Montag, 11. Juni 2018 15:32
    • Als Antwort markiert Domsik Donnerstag, 14. Juni 2018 07:55
    Montag, 11. Juni 2018 15:28
  • Hi!

    Danke für die Info. Ich habe jetzt die alterantive Variante mittels IPSec zum Fileserver gewählt.

    Zur Vollständigkeit wenn jemand über diesen Thread stolpert:

    Microsoft hat hier eine ausführlich Anleitung zur Domänen-Isolierung bereitsgestellt. Es lassen sich damit verschiedenste Szenarien abbilden:

    https://docs.microsoft.com/de-de/windows/security/identity-protection/windows-firewall/domain-isolation-policy-design

    Weil ich finde dass die Anleitungen zur Durchführung der Isolierung von Microsoft leider etwas mühsam sind, gibts hier noch einen Link:

    https://docs.microsoft.com/de-de/windows/security/identity-protection/windows-firewall/checklist-configuring-rules-for-the-isolated-domain

    Es sieht zwar auf den ersten Blick etwas mühsam aus, man muss einfach alle Checklisten (auch die SUB-Checklisten) durcharbeiten, dann kommt man am Ende zum Ziel. Als kleiner Tipp (es sollte zwar eigentlich klar sein):

    Microsoft erklärt hier in der ersten Checkliste wie man eine neue Gruppenrichtlinie anlegt und empfiehlt am Ende dass man überprüft ob diese am Client auch eingespielt wurde. Allerdings enhält eine neue leere Gruppenrichtlinie keinerlei Regeln, weshalb sich diese natürlich nicht einspielen lässt. Also entweder in der GPO irgendeine beliebige Regel einfügen oder gleich mit der Checkliste für IPSec weitermachen. Die Überprüfung ob die Richtlinie einspielt wurde, wird nach der IPSec-Konfiguration nochmals erklärt.



    • Bearbeitet Domsik Donnerstag, 14. Juni 2018 08:09
    Donnerstag, 14. Juni 2018 08:08
  • Hallo.

    Jetzt ist diesbezüglich noch ein neue weitere Frage aufgetaucht. Es soll jetzt noch ein Netzwerk-Scanner (Brother) integriert werden. Dieser soll auf bestimmte freigegebene Netzlaufwerke seine Dateien ablegen.

    Der Scanner bietet für IPSec die Möglichkeit entweder einen "prshared key" zu verwenden oder ein Zertifikat. Das Zertifikat muss dabei in der Web-Oberfläche des Scanners generiert worden sein (also ein privates Zertifikat durch den Scanner erstellt).

    Ich wollte die Variante über das Zertifikat versuchen. Das Zertifikat wurde am Scanner exportiert und anschließend sowohl am Domänen-Controller als auch am File-Server als "vertrauenswürdiges Stammzertifikat" importiert. In den IPSec-Einstellungen der GPO wurde für die "erste Authentifizierung" das Zertifikat als Computerzertifikat auswählt.

    Leider tut sich hier am Fileserver gar nichts. Statt dem Zertifikat habe ich die Variante mit dem "preshared key" probiert, dort funktioniert es problemlos > Der Scanner legt die Dateien wie gewünscht am Fileserver ab. Ich habe dann versucht bei den IPSec-Einstellungen für die "zweite Authentifizierung" es als Benutzerzertifikat einzufügen, habe auch die wahlweise die "erste Authentifizierung" auf optional gesetzt. Leider immer ohne Erfolg. Am Fileserver scheint unter "Hauptmodus" nie eine Verbindung auf.

    Ist diese Variante über ein vom Scanner erstelles Zertifikat so überhaupt möglich? Falls ja, hat jemand einen Tipp was ich falsch gemacht haben könnte? Muss man hier etwas beachten?


    • Bearbeitet Domsik Donnerstag, 12. Juli 2018 11:17
    Donnerstag, 12. Juli 2018 11:16