IP Security skyddar nätverkstrafik på en grundläggande nivå , och därför många affärskritiska applikationer kräver detta avancerad konfiguration tillvägagångssätt . Ställa in IP Security ( IPSec ) utmanar nätverksadministratörer , men eftersom det kräver en hel del kontroll över både klient -och serversidan i nätverks konfiguration . Konfigurera IPsec använder Windows Group Policy Objects ( GPO: er ) genom att skapa olika strategier för klienten och servern . Saker du behöver Review, Windows Active Directory Domain
Active Directory Group Policy Editor
Visa fler instruktioner
1
Konfigurera Windows-brandväggen bypass så att klienten trafiken att kringgå värd - baserad brandvägg . I Active Directory Group Policy Editor , högerklicka på Organizational Unit ( OU ) som innehåller datorns föremålet för din målserver och välj " Skapa en GPO i den här domänen och länka den här . " Ge Group Policy Object ( GPO ) ett meningsfullt namn och klicka på " OK . " Högerklicka på GPO och välj " Redigera ". Expandera träd politiska mallen i följande ordning : . " Computer Configuration ", " Administrativa mallar ", " Network ", " Nätverksanslutningar " och " Windows-brandväggen " I den högra rutan dubbelklickar du på politiken " Windows-brandväggen : Tillåt autentiserad IPsec bypass " och klicka på
En brandvägg bypass policy för IPsec namnger en specifik grupp som kommer att beviljas tillstånd till " Enabled ". använda IPsec för att korsa värd - baserad brandvägg . I fältet med etiketten " Definiera IPSec kamrater som ska undantas från brandvägg policy : " Ange Security Descriptor Definition Language ( SDDL ) sträng för tillåten gruppen . Formatet för SDDL strängen för en enda grupp är : " O : DAG : DAD : ( A , , RCGW , , , SID ) , " där SID är Security Identifier ( SID ) i ett gruppkonto . Därför , för att definiera inställningarna för din grupp , läser texten av politiken något som " Definiera IPSec kamrater som ska undantas från brandvägg policy : O : DAG : DAD : ( A , , RCGW , , , S -1- 5-21 -4214763869-96332444560-8429442246-100290 ) . " Använd GETSID kommandoradsverktyg mot säkerheten gruppnamnet för att bestämma SID om du inte redan vet det .
2
Tilldela en server - side " kräver kryptering " regeln i Grupprincip . För att kräva kryptering via IPsec , måste du lägga till en säkerhet regel till gruppen politikens Windows Settings > Security Settings > IP Security Policies avsnittet . I Group Policy Editor , högerklicka på OU innehållande datorobjektet din målserver och välj " Skapa en GPO i den här domänen och länka den här . " Ge Group Policy Object ( GPO ) ett meningsfullt namn och klicka på " OK . "
Expandera träd politiska mallen i följande ordning : " Computer Configuration ", " Windows-inställningar " och " IP- säkerhetspolicy på Active Directory . " Högerklicka på " Secure Server ( Kräv Security ) " politik i den högra rutan och välj " Tilldela . " När tilldelats , kräver denna policy att all trafik som försöker att nå servern kommer att använda IPsec .
3
Konfigurera en klient - side " kräver kryptering " regeln . För att klienter kan använda kryptering för att nå servern måste du konfigurera en policy för de kunder som möjliggör kryptering endast för mål- servern . I Group Policy Editor , högerklicka på OU innehållande gruppen objektet som innehåller alla de kunder som kommer att få tillåtelse att använda IPsec för att nå målet servern . Välj " Skapa en GPO i den här domänen och länka den här . " Ge GPO ett meningsfullt namn och klicka på " OK . "
Expandera träd politiska mallen i följande ordning : . " Computer Configuration ", " Windows Settings " och " IP- säkerhetspolicy på Active Directory " Dubbelklicka på " Client ( bara reagerar ) " politik i den högra rutan . Klicka på " Lägg till ... " att starta guiden Security Rule . Acceptera standardvärdena för " Tunnel Endpoint " och " Network Type ", men på " IP Filter List " sidan klicka på " Lägg till ... " På " IP Filter List " sidnamn filtret listan och klicka på " Lägg till ... " att lägga till servern . Följ guiden , specifiying " Alla IP-adresser " för källan adress och " En särskild DNS Name " för målet servern . Ange målet serverns namn i " Värdnamn : " fältet . Avsluta guiden med de återstående standardvärdena och klicka på " OK " för att stänga " IP Filer List " guiden. I " Security Guiden " välj " Permit " som filtret åtgärden och klicka på "Nästa " för att avsluta guiden .
När tilldelats , kräver denna policy att all trafik från klientdatorerna försöker nå servern kommer använda IPsec , men trafiken går till någon annan server kommer inte .
4
Tillämpa uppdateringar Grupprincip för att både klienter och servrar . På varje maskin öppna en kommandotolk och skriv " gpupdate . " Om du uppmanas att logga ut , så gör det .
