我正在考虑按如下方式配置 IPSec:
- 隔离
- 请求对入站和出站连接进行身份验证
- 计算机和用户 (Kerberos V5)
我希望在所有服务器和域控制器上进行全面部署。工作站我将保留为未设置状态。
我认为我会看到具有双向林信任的域控制器产生什么影响?
我是否应该排除受信任的域控制器的 IP 地址?
我不想停止当前林和受信任林之间的通信,但是我希望在所有服务器上的当前林中使用 IPsec。
受信任的林正在运行 2008 R2,而当前林正在运行 2012 R2。
答案1
我现在已经实施了新的 2012 R2 域并与旧的 2008 R2 林建立了信任。
我没有遇到任何问题,现在我将其作为我管理的所有其他域的标准,因为它不会给我带来应用程序崩溃等麻烦。
我只是决定在“默认域策略” GPO 上设置 IPsec,如下所示:
- 隔离
- 请求对入站和出站连接进行身份验证
- 计算机和用户 (Kerberos V5)
然后,我还在“默认域策略”中设置了一条附加规则,排除了域控制器,因为不排除它们会导致登录问题和预期的问题。
信任在此配置下运行良好,并且域现在在所有设备上都是隔离的,除了与域控制器 (DC) 通信时。
由于与 DC 通信时大多数流量都经过加密,因此这对我来说不是问题。
我希望这可以帮助某人理解推出此功能的影响,我选择使用请求,因为它的影响最小并且最容易推出。