IPSec-Richtlinien-Agent

Aufgabe des IPSec-Richtlinien-Agents ist es, Richtlinieninformationen abzurufen und an andere IPSec-Komponenten weiterzuleiten, die diese Informationen zum Ausführen von Sicherheitsdiensten benötigen, wie in der folgenden Abbildung dargestellt.

Der IPSec-Richtlinien-Agent ist ein Dienst, der auf jedem Computer unter einem Betriebssystem der Windows Server 2003-Produktfamilie vorhanden ist und in der Liste der Systemdienste in der Dienstekonsole als IPSEC-Dienste angezeigt wird. Für den IP-Sicherheitsrichtlinien-Agent gilt Folgendes:

  • Er ruft die entsprechende IPSec-Richtlinie (sofern eine solche zugewiesen wurde) aus Active Directory ab, wenn der Computer Mitglied einer Domäne ist, oder aus der lokalen Registrierung, wenn der Computer nicht Mitglied einer Domäne ist.

  • Er fragt Änderungen in der Richtlinienkonfiguration ab.

  • Er sendet die zugewiesenen IPSec-Richtlinieninformationen an den IPSec-Treiber.

Wenn der Computer Mitglied einer Domäne ist, erfolgt das Abrufen der Richtlinieninformationen beim Starten des Computers, in einem in der IPSec-Richtlinie festgelegten Intervall sowie im Standardpollingintervall von Winlogon. Sie können Richtlinien auch manuell über den Befehl gpupdate /target:computer von Active Directory abrufen.

Für Computer, die Mitglied einer Domäne sind, sind für IPSec-Richtlinien die folgenden zusätzlichen Punkte zu beachten:

  • Wenn die Konfiguration der IPSec-Richtlinieninformationen für Computer, die Domänenmitglieder sind, zentral durchgeführt wird, werden die Richtlinieninformationen in Active Directory sowie in der lokalen Registrierung des Computers gespeichert, dem sie zugeordnet sind.

  • Wenn der Computer vorübergehend nicht mit der Domäne verbunden ist und die Richtlinie zwischengespeichert wird, werden zwischengespeicherte ältere Informationen durch neue Richtlinieninformationen ersetzt, sobald der Computer wieder mit der Domäne verbunden ist.

  • Handelt es sich um einen eigenständigen Computer oder einen Computer, der Mitglied einer Domäne ist und zum Speichern von Richtlinien nicht Active Directory verwendet, wird die IPSec-Richtlinie in der lokalen Registrierung gespeichert.

Der IPSec-Richtlinien-Agent wird beim Systemstart automatisch gestartet. Wenn in Active Directory bzw. in der Registrierung keine IPSec-Richtlinien vorhanden sind oder der IPSec-Richtlinien-Agent keine Verbindung zu Active Directory herstellen kann, wartet der Agent darauf, dass Richtlinien zugewiesen oder aktiviert werden.