我正在尝试为 TCP 端口 389 设置 IPSec 策略,该策略仅允许有限的 IP 地址组进行连接。(The target machine was a domain controller.)
所以我添加了两个过滤器,
- 拒绝对该端口的所有访问
- 允许特定 LAN 地址访问该端口。
现在我激活该策略,然后我发现Group Policy Management没有响应,过了一会儿它询问我是否要切换到另一个域或重试等。
(PS:停止 IPSec 代理服务即可解决该问题,所以这肯定是 IPSec 的问题)
我错过了什么?
答案1
我花了很多时间安装内部防火墙和防火墙。我强烈建议在与域控制器、证书服务器 dhcp 或 DNS 服务器交互时不要使用 ipsec。虽然可以启用 ipsec 以进行与此类服务器的某些通信,但很容易将自己锁定在外。您还需要考虑新机器的引导过程。如果您还没有证书或 Kerberos 票证,如何加入域?