Dieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen.
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(150.4, 73%, 24%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EM%3C/text%3E%3C/svg%3E)
Hallo,
wir haben ein internes Netzwerk aus Sicherheitsgründen ohne Internetzugang. Das Netzwerk ist physikalisch von "der Außenwelt" getrennt, keine Router, Proxy, Firewall etc. Das Netzwerk besteht aus ca. 50 Clients PCs (Windows 7, Windows 10, Windows 11), 2 Windows Server 2022 DCs und weitere Windows 2019 und 2022 Server mit unterschiedlichen Aufgaben. Alles ein Netz (192.168.99.0/24).
Ein DHCP-Server vergibt Adressen, liefert keine Gateway Adresse, als DNS werden natürlich die internen AD DNS-Server mitgeteilt. Im AD DNS sind keine Weiterleitungen eingetragen und das Verwenden der Stammhinweise (Root-Hints) ist deaktiviert.
Ein Problem, dass es in diesem Netzwerk immer Mal wieder gab, war die Installation von Anwendungen. Als Beispiel nehme ich Mal eine CAD Anwendung. Wurde diese Anwendung installiert, wurde zuerst versucht den Hersteller zu kontaktieren um nach aktuelleren Versionen zu suchen, das lief natürlich auf einen Time Out und anschl. wurde die Installation auch fortgesetzt. Das ist auch nachvollziehbar und in Ordnung. Die eigentliche Installation, das Kopieren von Dateien dauerte allerdings sehr lange. Wird diese Anwendung auf einen PC installiert, der über einen Internetzugang verfügt, dauert der gesamte Installationsprozess ca. 10Minuten. Auf dem Rechner ohne Internetzugang dauerte der Vorgang ca. 30 bis 40 Minuten. Mit Wireshark hatte ich während der Installation ein Paketmitschnitt gemacht und festgestellt, dass bei fast jeder Datei, die kopiert wurde, eine Prüfung der CRL durchgeführt wurde. Das war natürlich nicht möglich und die Zeit bis der Time Out kam summierte sich entsprechend. Eine Lösung, die ich zufällig entdeckte, war das Deaktivieren der Überprüfung auf gesperrte Zertifikate von Herausgebern in den Internetoptionen von Windows. Das lies sich auch über Gruppenrichtlinien konfigurieren. Anschl. lief die Installation dieser Anwendung wie erwartet. Ist das Deaktivieren diese Prüfung der richtige Lösungsansatz? Oder gibt es da noch bessere Vorschläge?
Eine weitere Sache die aufgefallen ist, wofür noch keine Lösung gefunden wurde, ist das Herstellen von RDP Verbindungen z.B. zu einem Server (keine PKI nur die self-signed Certs, die Windows erzeugt). Das Fenster zur Auth. erscheint sofort, anschl. dauert es ca. 1min bis sich die RD-Sitzung öffnet. In Netzwerken mit Internetzugang dauert der gleiche Vorgang 1-3 Sekunden. Würde eine eigene interne integrierte MS PKI vielleicht das Problem lösen?
Gibt es Empfehlungen / "Best Practices" um ein solches "Offline"-Netzwerk optimal zu betreiben? Gibt es Einstellungen, die die Konnektivität betreffen, die noch anzupassen sind? Können/ sollten bestimmte Dienste deaktiviert werden oder stört da nichts weiter? Hat jemand Erfahrung mit solchen Netzen?
Mit freundlichen Grüßen
Mathias
Hi Mathias,
ich würde an deiner stelle dennoch einen Router und das Standardgateway benutzen und jede anfrage dort blocken und zurückgeben.
Ich nehme dafür OpenWrt (Standard Router OS) und einen Raspberry PI.
So laufen die Anfrage nicht ins leere und auch nicht in den Timeout.
VG
Thomas