域控制器和受信任域上的 IPSec

域控制器和受信任域上的 IPSec

我正在考虑按如下方式配置 IPSec:

  • 隔离
  • 请求对入站和出站连接进行身份验证
  • 计算机和用户 (Kerberos V5)

我希望在所有服务器和域控制器上进行全面部署。工作站我将保留为未设置状态。

我认为我会看到具有双向林信任的域控制器产生什么影响?

我是否应该排除受信任的域控制器的 IP 地址?

我不想停止当前林和受信任林之间的通信,但是我希望在所有服务器上的当前林中使用 IPsec。

受信任的林正在运行 2008 R2,而当前林正在运行 2012 R2。

答案1

我现在已经实施了新的 2012 R2 域并与旧的 2008 R2 林建立了信任。

我没有遇到任何问题,现在我将其作为我管理的所有其他域的标准,因为它不会给我带来应用程序崩溃等麻烦。

我只是决定在“默认域策略” GPO 上设置 IPsec,如下所示:

  • 隔离
  • 请求对入站和出站连接进行身份验证
  • 计算机和用户 (Kerberos V5)

然后,我还在“默认域策略”中设置了一条附加规则,排除了域控制器,因为不排除它们会导致登录问题和预期的问题。

信任在此配置下运行良好,并且域现在在所有设备上都是隔离的,除了与域控制器 (DC) 通信时。

由于与 DC 通信时大多数流量都经过加密,因此这对我来说不是问题。

我希望这可以帮助某人理解推出此功能的影响,我选择使用请求,因为它的影响最小并且最容易推出。

相关内容