Ipsec
域控制器和可信域上的 IPSec
我正在考慮按如下方式配置 IPSec:
- 隔離
- 請求對入站和出站連接進行身份驗證
- 電腦和使用者 (Kerberos V5)
我希望在所有伺服器和域控制器上進行全面部署。我將離開的工作站未設置。
我認為我會看到對具有 2 向林信任的域控制器有什麼影響?
我應該排除受信任域控制器的 IP 地址嗎?
我不想停止目前林和受信任林之間的通信,但是我確實希望在所有伺服器上的目前林中使用 IPsec。
受信任的林正在執行 2008 R2,而目前林為 2012 R2。
我現在已經實現了新的 2012 R2 域並與舊的 2008 R2 林建立了信任關係。
我沒有任何問題,我現在將其作為我管理的所有其他域的標準,因為它不會讓我對應用程序中斷等感到頭疼。
我只是決定將“預設域策略”GPO 上的 IPsec 設置為:
- 隔離
- 請求對入站和出站連接進行身份驗證
- 電腦和使用者 (Kerberos V5)
然後,我還在“預設域策略”中設置了一個附加規則,排除了域控制器,因為不排除它們會導致登錄問題和預期的問題。
信任在此配置中執行良好,並且域現在在所有設備上都被隔離,除了與域控制器 (DC) 通信時。
由於大多數流量在與 DC 通信時都是加密的,這對我來說不是問題。
我希望這可以幫助某人了解推出它的影響,我選擇使用 request 因為它的影響最小並且最容易推出。