Jede Regel enthält eine Liste mit Authentifizierungsmethoden. In jeder Authentifizierungsmethode sind die Anforderungen für die Überprüfung von Identitäten definiert, die bei der Kommunikation im Zusammenhang mit der entsprechenden Regel verwendet werden. Die Methoden von jedem Peer in der Reihenfolge versucht, in der sie aufgelistet sind. Beide Peers müssen mindestens über eine gemeinsame Authentifizierungsmethode verfügen, oder die Kommunikation schlägt fehl. Durch das Erstellen mehrerer Authentifizierungsmethoden wird die Chance erhöht, dass zwei Computer über eine gemeinsame Methode verfügen.
 | Hinweis |
Auch die Reihenfolge dieser Methoden ist wichtig, denn nur die erste gemeinsame Methode wird ausprobiert; schlägt ihre Authentifizierung fehl, werden keine weiteren Methoden aus der Liste ausprobiert, auch wenn diese erfolgreich wären. |
Authentifizierungsmethoden
Zwischen zwei Computern kann, unabhängig davon, wie viele Authentifizierungsmethoden konfiguriert wurden, nur eine Authentifizierungsmethode verwendet werden. Wenn mehrere Regeln auf dasselbe Computerpaar angewendet werden, muss die Liste der Authentifizierungsmethoden bei der Konfiguration der Regeln berücksichtigt werden, damit beide Computer dieselbe Methode verwenden können. Wenn z. B. zwischen zwei Computern einerseits eine Regel eingerichtet ist, die nur die Verwendung von Kerberos vorsieht und lediglich TCP-Daten filtert, und andererseits eine Regel gilt, die nur Zertifikate für die Authentifizierung verwendet und lediglich UDP-Daten filtert, tritt bei der Authentifizierung ein Fehler auf. Authentifizierungsmethoden werden auf der Registerkarte Authentifizierungsmethoden des Eigenschaftenblattes Regel bearbeiten - Eigenschaften oder Regel hinzufügen - Eigenschaften konfiguriert.
- Das Kerberos V5-Authentifizierungsprotokoll wird als Standard-Authentifizierungstechnologie verwendet. Diese Methode kann für alle IPSec-Peers verwendet werden, auf denen das Kerberos V5-Authentifizierungsprotokoll ausgeführt wird und die Mitglieder derselben Domäne oder vertrauenswürdiger Domänen sind. Diese Methode ist hilfreich bei der Domänenisolation mit IPSec (Internet Protocol Security, Internetprotokollsicherheit).
- Ein öffentliches Schlüsselzertifikat sollte verwendet werden, wenn Internetzugriff, Remotezugriff auf Unternehmensressourcen, Datenkommunikation mit externen Geschäftspartnern und Verwendung von Computern ohne Kerberos V5-Authentifizierungsprotokoll erforderlich sind. Dies erfordert, dass mindestens eine vertrauenswürdige Zertifizierungsstelle konfiguriert wurde. In dieser Version von Windows werden X.509-Zertifikate, Version 3, unterstützt, einschließlich der von gewerblichen Zertifizierungsstellen ausgestellten Zertifizierungsstellenzertifikate.
- Ein vorinstallierter Schlüssel kann angegeben werden. Es handelt sich um einen freigegebenen, geheimen Schlüssel, auf den sich zuvor zwei Benutzer geeinigt haben. Dieser ist einfach zu verwenden, und der Client braucht weder das Kerberos V5-Authentifizierungsprotokoll auszuführen noch über ein Zertifikat für öffentliche Schlüssel zu verfügen. Beide Seiten müssen zur Verwendung dieses vorinstallierten Schlüssels IPSec manuell konfigurieren. Dabei handelt es sich um eine einfache Methode zur Authentifizierung von eigenständigen Computern oder Computern, die das Kerberos V5-Authentifizierungsprotokoll nicht verwenden. Ein vorinstallierter Schlüssel dient allein zum Authentifizierungsschutz und wird nicht für Datenintegrität oder -verschlüsselung verwendet.
 | Wichtig |
Der vorinstallierte Schlüssel wird im Klartext gespeichert und gilt nicht als sichere Methode. Vorinstallierte Schlüssel sollten nur zu Testzwecken verwendet werden. |