Festlegen der IPsec-Einstellungen auf dem Computer

Klicken Sie im Menü [Start] auf [Systemsteuerung], [System und Sicherheit] und dann auf [Verwaltung].

Doppelklicken Sie auf [Lokale Richtlinien] und klicken Sie dann auf [Lokale Sicherheitsrichtlinien].

Klicken Sie im Menü "Aktion" auf [IP-Sicherheitsrichtlinie erstellen...].

Der IP-Sicherheitsrichtlinien-Assistent erscheint.

Auf [Weiter] klicken.

Geben Sie einen Sicherheitsrichtliniennamen unter "Name" ein und klicken Sie dann auf [Weiter].

Deaktivieren Sie das Kontrollkästchen "Die Standardantwortregel aktivieren" (nur bei früheren Windowsversionen) und klicken Sie dann auf [Weiter].

Wählen Sie "Eigenschaften bearbeiten" und klicken Sie dann auf [Fertig stellen].

Klicken Sie in der Registerkarte "Allgemein" auf [Einstellungen...].

Geben Sie unter "Authentifizieren und einen neuen Schlüssel erzeugen nach" denselben Gültigkeitszeitraum (in Minuten) ein, der auf dem Gerät unter [IKE-Lebensdauer] festgelegt wurde, und klicken Sie dann auf [Methoden...].

Vergewissern Sie sich, dass die Einstellungen für Verschlüsselungsalgorithmus ("Verschlüsselung"), Hash-Algorithmus ("Integrität") und IKE-Version ("Diffie-Hellman-Gruppe") unter "Reihenfolge der Sicherheitsmethoden" alle mit denjenigen übereinstimmen, die auf dem Gerät unter [IKE-Einstellung.] festgelegt wurden.

Werden die Einstellungen nicht angezeigt, klicken Sie auf [Hinzufügen...].

Klicken Sie zweimal auf [OK].

Klicken Sie auf der Registerkarte "Regeln" auf [Hinzufügen...].

Der Sicherheitsregel-Assistent erscheint.

Auf [Weiter] klicken.

Wählen Sie "Diese Regel spezifiziert keinen Tunnel" und klicken Sie dann auf [Weiter].

Wählen Sie den Netzwerktyp für IPsec und klicken Sie dann auf [Weiter].

Klicken Sie in der IP-Filterliste auf [Hinzufügen...].

Geben Sie unter [Name] einen IP-Filternamen ein und klicken Sie dann auf [Hinzufügen...].

Der IP-Filter-Assistent erscheint.

Auf [Weiter] klicken.

Geben Sie unter [Beschreibung:] einen Namen oder eine detaillierte Beschreibung des IP-Filters an und klicken Sie dann auf [Weiter].

Sie können auf [Weiter] klicken und zum nächsten Schritt gehen, ohne in diesem Feld Informationen eingeben zu müssen.

Wählen Sie unter "Quelladresse" die Option "Meine IP-Adresse" und klicken Sie auf [Weiter].

Wählen Sie "Spezielle IP-Adresse oder Subnetz" unter "Zieladresse", geben Sie die IP-Adresse des Geräts ein und klicken Sie dann auf [Weiter].

Wählen Sie den Protokolltyp für IPsec aus, wählen Sie "Beliebig" und klicken Sie dann auf [Weiter].

Klicken Sie auf [Beenden] und dann auf [OK].

Wählen Sie den soeben erstellten IP-Filter aus und klicken Sie dann auf [Weiter].

Klicken Sie in der Filteraktion auf [Hinzufügen...].

Es erscheint der Filteraktions-Assistent.

Auf [Weiter] klicken.

Geben Sie unter [Name] einen Filteraktionsnamen ein und klicken Sie dann auf [Weiter].

Wählen Sie "Sicherheit aushandeln" und klicken Sie dann auf [Weiter].

Wählen Sie eine der erlaubten Kommunikationsoptionen für Computer und klicken Sie dann auf [Weiter].

Wählen Sie "Benutzerdefiniert" und klicken Sie auf [Einstellungen...].

Wenn für das Gerät in [Sicherheitsprotokoll] unter [IPsec-Einstellungen] die Option [ESP] ausgewählt ist, aktivieren Sie die Option [Datenintegrität und -verschlüsselung (ESP)] und konfigurieren Sie die folgenden Einstellungen:

Legen Sie für [Integritätsalgorithmus] denselben Wert fest wie unter [Authentifizierungsalgorithmus für ESP] auf dem Gerät.

Legen Sie für [Verschlüsselungsalgorithmus] denselben Wert fest wie unter [Verschlüsselungsalgorithmus für ESP] auf dem Gerät.

Wenn für das Gerät in [Sicherheitsprotokoll] unter [IPsec-Einstellungen] die Option [AH] ausgewählt ist, aktivieren Sie die Option [Daten- und Adressintegrität ohne Verschlüsselung (AH)] und konfigurieren Sie die folgenden Einstellungen:

Legen Sie für [Integritätsalgorithmus] denselben Wert fest wie unter [Authentifizierungsalgorithmus für AH] auf dem Gerät.

Deaktivieren Sie das Kontrollkästchen [Datenintegrität und -verschlüsselung (ESP)].

Wenn für das Gerät in [Sicherheitsprotokoll] unter [IPsec-Einstellungen] die Option [ESP&AH] ausgewählt ist, aktivieren Sie die Option [Daten- und Adressintegrität ohne Verschlüsselung (AH)] und konfigurieren Sie die folgenden Einstellungen:

Legen Sie für [Integritätsalgorithmus] unter [Daten- und Adressintegrität ohne Verschlüsselung (AH)] denselben Wert fest wie unter [Authentifizierungsalgorithmus für AH] auf dem Gerät.

Legen Sie für [Verschlüsselungsalgorithmus] unter [Datenintegrität und -verschlüsselung (ESP)] denselben Wert fest wie unter [Verschlüsselungsalgorithmus für ESP] auf dem Gerät.

Aktivieren Sie in den Schlüsseleinstellungen für die Sitzung die Option "Neuen Schlüssel alle" und geben Sie dieselbe Gültigkeitsdauer (in Sekunden oder Kilobyte) an wie auf dem Gerät unter [Lebensdauer].

Klicken Sie auf [OK] und dann auf [Weiter].

Klicken Sie auf [Fertig stellen].

Wenn Sie IPv6 unter Windows Vista oder einer neueren Windows-Version verwenden, müssen Sie dieses Verfahren von Schritt 12 an wiederholen und ICMPv6 als Ausnahme festlegen. Wenn Sie bei Schritt 22 sind, wählen Sie [58] als die Protokollnummer für den "Anderen" Zielprotokolltyp und stellen Sie die Option [Sicherheit aushandeln] auf [Zulassen].

Wählen Sie die soeben erstellte Filteraktion aus und klicken Sie dann auf [Weiter].

Wählen Sie eine Option für eine Authentifizierungsmetode aus und klicken Sie dann auf [Weiter].

Klicken Sie auf [Beenden] und dann zweimal auf [OK].

Die neue IP-Sicherheitsrichtlinie (IPsec-Einstellungen) ist festgelegt.

Wählen Sie die soeben erstellte Sicherheitsvereinbarung aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann [Zuweisen].

Die IPsec-Einstellungen sind auf dem Computer aktiviert.