none
IPsec-защита всех протоколов между клиентом к контроллером домена RRS feed

  • Вопрос

  • Здравствуйте,

    Есть win2008R2 и Win7Pro

    Создал GPO c правилом IPSec в котором настроил защиту всех протоколов между двумя конечными точками: вышеописанными сервером и клиентом.

    Тип правила - Изоляция, метод защиты - компьютер и пользователь Kerberos5. Привязал GPO к компьютерами - контроллеру домена и клиенту.

    Судя по журналам на клиенте: NETLOGON error 5719 клиенту не удалось установить соединение с контроллером

    Group Policy error 1129 - политики не применены.

    Что я делаю не так?

    6 февраля 2012 г. 15:55

Ответы

  • нельзя делать ipsec между контроллерами и клиентами по керберосу - как по они аутентификацию пройдут? (клиент не получит тикета без соединения и не сможет установить соединение без тикета - замкнутый круг яйцо-курица)
    еще неплохо бы исключить из ipsec трафик по dns, kpassws и ldap. а лучше вообще не делать ipsec между клиентом и контроллером.

    6 февраля 2012 г. 18:09

Все ответы

  • Здравствуйте,

     

    Необходимо исключить применение IPSec для ключевых сервисов, таких как DNS, DHCP, контроллеры домена.

    "The server and domain isolation security models all run into a few constraints when they are implemented in a live environment. Key infrastructure servers such as domain controllers, DNS servers, and Dynamic Host Configuration Protocol (DHCP) servers are usually available to all systems on the internal network. Clearly they must be secured to the maximum extent possible from network attacks. However, because they are available to all systems on the network, not just to domain members, these server services cannot require IPsec for inbound access, nor can they take advantage of using IPsec transport mode protection for all of their traffic."

    Server and Domain Isolation Using IPsec and Group Policy
    http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18358




    • Изменено ZeusNT-LV 6 февраля 2012 г. 18:21
    • Предложено в качестве ответа ZeusNT-LV 15 февраля 2012 г. 17:00
    6 февраля 2012 г. 18:03
  • нельзя делать ipsec между контроллерами и клиентами по керберосу - как по они аутентификацию пройдут? (клиент не получит тикета без соединения и не сможет установить соединение без тикета - замкнутый круг яйцо-курица)
    еще неплохо бы исключить из ipsec трафик по dns, kpassws и ldap. а лучше вообще не делать ipsec между клиентом и контроллером.

    6 февраля 2012 г. 18:09