Defender Firewall IPSec Kerberos Sicherheitszuordnungen
Hallo zusammen,
habe hier ein Problem zu dem ich einfach keine Lösung finde...
Kurz gesagt authentifiziert sich der Windows 10 Client unterschiedlich,je nachdem welches Programm ich nutze um auf einen Zielport (IIS) am Server zuzugreifen.
Wir wollen Ports auf Basis von AD-Gruppen freigeben.
Spieler sind 2 Hyper-V VMs, ein Server 2016, ein Win10 1809 / alles voll gepatcht.
- Defender Firewall
- IPSec aktiviert
- "Computer und Benutzer (Kerberos5)"
- Firewall Regel "Port 80 erlauben, wenn Verbindung sicher und Benutzername=kennung666"
- Client ebenso konfiguriert.
Dann am Win10 Client als kennung666 angemeldet und ein Telnet auf Server:80 => Funktioniert
Als nächstes den Browser aufgerufen, http://Server:80 => Funktioniert nicht?
Der Zugriff via Browser auf Server:80 funktioniert nicht, während Telnet Server:80 problemlos funktioniert.
Prüfe ich in der Firewall/Überwachung/Sicherheitszuordnung die Verbindung sehe ich folgendes:
Stelle ich die Verbindung via Telnet her, authentifiziert sich zuerst der Computer (Remote-ID für erste Auth), danach der Benutzer (Remote-ID für 2. Auth) => Alles gut
Stelle ich die Verbindung via Browser her, authentifiziert sich zuerst der Computer (Remote-ID für erste Auth), danach wieder der Computer (Remote-ID für 2. Auth) => Nix gut
Die Kerberos Authentifizierungs ID ändert sich, je nach dem welches Programm ich zum Verbindungsaufbau nutze.
Siehe hier: https://imgur.com/a/pdz35yl
Getestet mit IE, Edge, Firefox und Chrome. Überall das Gleiche.
Habe schon alle GPOs entfernt, PCs neu gestartet, Updates installiert, verschiedene Optionen getestet, kein Proxy, alles mehrfach neu konfiguriert.
Prinzipiell funktioniert es ja. Nehme ich den Telnet klappt es als berechtigter User, und klappt nicht bei nicht berechtigten Usern. Ansich alles gut!
Stehe da gerade echt vor nem Rätsel...
Jemand ne Idee was Das sein kann?
Danke+Gruß
Alex
habe hier ein Problem zu dem ich einfach keine Lösung finde...
Kurz gesagt authentifiziert sich der Windows 10 Client unterschiedlich,je nachdem welches Programm ich nutze um auf einen Zielport (IIS) am Server zuzugreifen.
Wir wollen Ports auf Basis von AD-Gruppen freigeben.
Spieler sind 2 Hyper-V VMs, ein Server 2016, ein Win10 1809 / alles voll gepatcht.
- Defender Firewall
- IPSec aktiviert
- "Computer und Benutzer (Kerberos5)"
- Firewall Regel "Port 80 erlauben, wenn Verbindung sicher und Benutzername=kennung666"
- Client ebenso konfiguriert.
Dann am Win10 Client als kennung666 angemeldet und ein Telnet auf Server:80 => Funktioniert
Als nächstes den Browser aufgerufen, http://Server:80 => Funktioniert nicht?
Der Zugriff via Browser auf Server:80 funktioniert nicht, während Telnet Server:80 problemlos funktioniert.
Prüfe ich in der Firewall/Überwachung/Sicherheitszuordnung die Verbindung sehe ich folgendes:
Stelle ich die Verbindung via Telnet her, authentifiziert sich zuerst der Computer (Remote-ID für erste Auth), danach der Benutzer (Remote-ID für 2. Auth) => Alles gut
Stelle ich die Verbindung via Browser her, authentifiziert sich zuerst der Computer (Remote-ID für erste Auth), danach wieder der Computer (Remote-ID für 2. Auth) => Nix gut
Die Kerberos Authentifizierungs ID ändert sich, je nach dem welches Programm ich zum Verbindungsaufbau nutze.
Siehe hier: https://imgur.com/a/pdz35yl
Getestet mit IE, Edge, Firefox und Chrome. Überall das Gleiche.
Habe schon alle GPOs entfernt, PCs neu gestartet, Updates installiert, verschiedene Optionen getestet, kein Proxy, alles mehrfach neu konfiguriert.
Prinzipiell funktioniert es ja. Nehme ich den Telnet klappt es als berechtigter User, und klappt nicht bei nicht berechtigten Usern. Ansich alles gut!
Stehe da gerade echt vor nem Rätsel...
Jemand ne Idee was Das sein kann?
Danke+Gruß
Alex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 534661
Url: https://administrator.de/contentid/534661
Ausgedruckt am: 25.11.2024 um 23:11 Uhr