none
使用IPSec設定未加入網域PC需安裝憑證才能存取網芳 RRS feed

  • 問題

  • 請問各位:
    IPSec可以辦到未加入網域的電腦,需安裝憑證後才能存取網芳嗎?
    例如檔案伺服器,我設定IPSec限制存許TCP 445, 網域內電腦可使用Kerbos存取, 非網域電腦則安裝憑證方可存許
    可以辦到嗎?

    可以的話,細部的交涉性安全部份又是如何設定的呢?
    2009年2月1日 下午 12:02

解答

  • 都是使用本機安全性原則(gpedit.msc)來設定的
    你說微軟的人回應你使用GPO套用IPSec才能使Kerberos生效
    我覺得意思可能是要加入網域的電腦才可以使用Kerberos驗證的意思
    因為不管你是在使用GPO套用或是使用gpedit.msc編輯本機安全性設定,修改的機碼值都是一樣的
    應該是不會有差別才對.不會說兩邊修改的東西是不一樣的
    我測試了一下,在加入Domain的電腦裡面使用gpedit.msc去啟動IPSec Policy(Kerberos驗證)
    非Domain的電腦就無法連線到這台電腦了.
    所以不管是用GPO套用或是修改本機安全性設定,都是可以的


    而IPSec Policy設定的話,比較複雜一點的是被連線端那邊
    如果你是設定GPO套用的話,設定不正確就會造成Client端無法連線到Server(我在測試的時候也遇過@@)
    就會很麻煩..會需要到重建LAB
    之後你在測試的話建議設定IPSec Policy時,可以透過本機gpedit.msc去修改就好(出錯比較好改回來)

    至於計畫面可能比較不方便,拍寫^^"
    大概用文字說明一下
    被連端設定大概是這樣

    1. 新建一個IPSec安全性原則
    2. 啟動預設的回應原則->預設使用Kerberos驗證即可 (這是用來回應別人IPSec設定的)
    3. 新增篩選器清單,預設會有兩個IP & ICMP的,不要使用他,點新增來自己做一個
    4. 新增畫面就可以設定你要的規則(如只要是別人連你的TCP139 port的話就要套用此IPSec原則等等)
    5. 設定完後會回到篩選器清單裡面,點選你剛建立的篩選器,然後點下一步
    6. 選擇"需要安全性" -> 下一步 -> 選擇你的驗證方式 (Kerberos or Certificate or Pre-Share key)
    7. 設定完成後大概就OK了

    連線端的話,只要透過gpedit.msc去啟動IPSec原則(僅回應那一個)
    不過需要修改一下驗證方式,要跟你的被連端設定是一樣的

    而憑證的話,就是連到CA的網站(http://x.x.x.x/certsrv)然後申請時選擇進階
    應該就會看到有選項是Client Authentication Certificate,這憑證要安裝到本機電腦而不是安裝到本機使用者
    另外還要注意的是,使用憑證驗證的話,每一台使用此方式的都要信任該台CA才可以
    連到CA網站時,會有一個選項是 Download a CA Certificate的選項,點進去之後在點 Install this CA certificate Chain 進行安裝
    此憑證也是要安裝到本機電腦裡面的信任的根憑證才可以
    可以透過下列方式檢查是否憑證有安裝到正確的地方

    打開MMC -> 新增憑證的snap-in -> 同時加入本機電腦 & 本機使用者 -> 如果發現憑證只裝在使用者上的話,把他匯出,再到本機電腦裡面進行匯入的動作即可

    上面大概就是比較詳細的一些處理動作
    不過還是要實做才知道OK不OK
    還有問題的話歡迎繼續討論^^

    • 已標示為解答 Jesse Chang 2009年3月6日 下午 06:10
    2009年3月6日 上午 02:40
  • 看到一個滿怪的地方
    我跟你設定的地方有一點不一樣
    被存取端的篩選器清單(第一張圖片),你的篩選器動作是"要求安全性(可省略)",我這邊是設定"需要安全性"
    這樣設定的話,不管有沒有設定憑證驗證,都應該是可以連線才對.(除非你有手動改過篩選器動作裡的設定)
    因為該篩選器動作的意思是 "會主動要求對方進行驗證,如果對方沒有設定IPSec或是驗證失敗還是可以使用繼續連線,只是沒有IPSec加密而已"
    那現在的問題是說,只要套用IPSec Policy之後,這台Client就無法連線到Server嗎?還是都會連線到Server?

    • 已標示為解答 Jesse Chang 2009年3月13日 上午 03:30
    2009年3月12日 上午 05:32
  • 我在測試了一下,發現之前有個地方出了很大的問題
    就是- 不應該設定兩個篩選器 (這樣會造成混亂)
    只要設定一個篩選器後,在驗證方式那邊設定兩種驗證方式(Kerberos & 憑證)
    這樣網域成員就會選擇Kerberos進行驗證
    非網域成員會先嘗試Kerberos驗證,但是會失敗,失敗後就會選擇憑證驗證,就會成功了
    之前怎麼沒想到咧....白花了一些時間^^"

    • 已標示為解答 Jesse Chang 2009年3月13日 下午 12:14
    2009年3月13日 上午 06:10
  • Hi Vincent:
    非常謝謝您不厭其煩的一路陪伴我從頭做到尾
    我換成純2003 AD環境,依您提供的步驟變成功了
    我Summary一下步驟:

    1. 被存取端(Server)申請User憑證(安裝本機電腦)
    2. 被存取端(Server)啟用自訂IPSec Policy,內容針對TCP 445 & 139做篩選,驗證方式預設為Kerberos,再新增憑證的方式
    3. 網域成員(Client)啟用預設IPSec Policy 用戶端(僅回應),驗證方是為Kerberos
    4. 非網域成員(Client)申請User憑證(安裝本機電腦),並安裝憑證鏈結,並匯出再匯入至本機電腦
    5. 非網域成員(Client)啟用預設IPSec Policy 用戶端(僅回應),驗證方是為憑證

    結果:
    1. 網域成員(client),可以利用UNC方式存取被存取端(Server)
    2. 非網域成員(Client),使用UNC方式存取被存取端(Server),會出現提示輸入AD帳號與密碼
    3. 未啟用IPSec Policy的電腦(Client),使用UNC方式存取被存取端(Server),則會提示找不到電腦

    至於之前使用Server 2008 AD環境,憑證這一塊一直做不順利
    不排除是因為2008 CA特性所置。
    總之謝謝了,終於可以結案了...
    • 已標示為解答 Vincent Lin 2009年3月13日 下午 01:51
    2009年3月13日 下午 12:14

所有回覆

  • 只要在Policy底下使用憑證驗證的話應該可以達到這個功能
    不過需要測試一下才會知道

    2009年2月25日 上午 08:57
  • 測試了一下,是可以設定非網域電腦只要安裝憑證後就可以存取網芳
    下面是一些注意事項

    ---------------------------------------------------------------
    1.被連端設定IPSec Policy,要限制TCP 139 & 445 port , UDP 137 & 138 port
    2.驗證方式使用憑證驗證,憑證可以自己架CA來發行,申請類型為 Client Authentication Certificate
    3.雙方都要信任root CA(取得憑證的CA)
    4.client端也要設定IPSec Policy,可以直接修改內建的"用戶端(僅回應)",改成憑證驗證即可
    6.雙方的交設定安全部分是不用特別設定,只需要用預設即可
    7.此過程所有憑證都是要匯入到電腦帳戶底下才可以(信任的根憑證和個人)

    如果在操作過程中有問題的話,可以使用下列兩個工具來看是哪邊有問題
    1.IPSec 安全性監視器(在MMC裡面)
    2.透過policy開啟稽核功能: 稽核帳戶登入事件 -> 成功跟失敗都要打勾 , 然後透過事件檢視器->安全性,來進行Log分析
    • 已標示為解答 Vincent Lin 2009年2月26日 上午 08:25
    • 已取消標示為解答 Vincent Lin 2009年3月13日 下午 01:51
    2009年2月26日 上午 08:20
  •  Hi Vincent:
    非常感謝您的回覆,請問:
    1. 設定IPSec的被存取端,可以正常存取其他網域內成員嗎?(EX:TCP 445)
    2. 非網域主機需要安裝憑證,那網域內成員,是否可正常存取被存取端?
    2009年3月3日 下午 04:41
  • 問題1
    看你怎麼設定囉..我在測試的時候是在被存取端上設定只有連入(連到被存取端)且目的端port是上述那些的話,需要安裝憑證才能存取
    在這個情況下被存取端去連線其他網域成員是不會有影響的(除非別台電腦有別的IPSec原則)

    問題2
    按照問題一的情況下來看,如果你只設定一條規則是要安裝憑證才可以連線被存取端的話,其他網域內成員若沒有安裝憑證也是無法存取的
    不過網域成員的話是可以設定透過kerberos驗證,只要在規則裡面再加一條跟問題一相同的規則,然後驗證方式選擇kerberos就可以正常存取

    這樣描述希望能幫到你
    有問題的話在留言繼續討論囉

    PS:由於你在Server 2008版面也有一篇相同的文章,我們就集中在這一篇底下做討論就好,比較方便
    • 已標示為解答 Jesse Chang 2009年3月5日 下午 03:15
    • 已取消標示為解答 Vincent Lin 2009年3月13日 下午 01:51
    2009年3月4日 上午 02:55
  • Hi Vincent:
    1. 感謝您的回覆
    2. 另外請教您,IPSec設定您是在本機上面啟用?還是利用GPO套用?
        詢問微軟的人回應說要用GPO套用IPSec設定方能使Kerberos生效,從您的LAB中感覺是在本機上啟用IPSec,應該無此影響
    3. 冒昧的請問您,可否抓一些IPSec的設定畫面和申請Client Authentication Certificate的畫面 mai l給我?
        reterfreeman@hotmail.com 如不方便沒關係,您的回答已經幫大忙了
        由於我使用GPO套用IPSec至我的被存取端,結果任何主機皆無法與被存取端通訊,而被存取端也無法與任何主機通訊,
        GPO也無法套回來,整個LAB環境被我弄壞了...無法抓畫面
    4. 由於急著交付老闆報告,所以在其他版面也Post一樣的討論文,非常抱歉,我會集中在此版面討論問題,以免造成資訊不一致
    2009年3月5日 下午 03:14
  • 都是使用本機安全性原則(gpedit.msc)來設定的
    你說微軟的人回應你使用GPO套用IPSec才能使Kerberos生效
    我覺得意思可能是要加入網域的電腦才可以使用Kerberos驗證的意思
    因為不管你是在使用GPO套用或是使用gpedit.msc編輯本機安全性設定,修改的機碼值都是一樣的
    應該是不會有差別才對.不會說兩邊修改的東西是不一樣的
    我測試了一下,在加入Domain的電腦裡面使用gpedit.msc去啟動IPSec Policy(Kerberos驗證)
    非Domain的電腦就無法連線到這台電腦了.
    所以不管是用GPO套用或是修改本機安全性設定,都是可以的


    而IPSec Policy設定的話,比較複雜一點的是被連線端那邊
    如果你是設定GPO套用的話,設定不正確就會造成Client端無法連線到Server(我在測試的時候也遇過@@)
    就會很麻煩..會需要到重建LAB
    之後你在測試的話建議設定IPSec Policy時,可以透過本機gpedit.msc去修改就好(出錯比較好改回來)

    至於計畫面可能比較不方便,拍寫^^"
    大概用文字說明一下
    被連端設定大概是這樣

    1. 新建一個IPSec安全性原則
    2. 啟動預設的回應原則->預設使用Kerberos驗證即可 (這是用來回應別人IPSec設定的)
    3. 新增篩選器清單,預設會有兩個IP & ICMP的,不要使用他,點新增來自己做一個
    4. 新增畫面就可以設定你要的規則(如只要是別人連你的TCP139 port的話就要套用此IPSec原則等等)
    5. 設定完後會回到篩選器清單裡面,點選你剛建立的篩選器,然後點下一步
    6. 選擇"需要安全性" -> 下一步 -> 選擇你的驗證方式 (Kerberos or Certificate or Pre-Share key)
    7. 設定完成後大概就OK了

    連線端的話,只要透過gpedit.msc去啟動IPSec原則(僅回應那一個)
    不過需要修改一下驗證方式,要跟你的被連端設定是一樣的

    而憑證的話,就是連到CA的網站(http://x.x.x.x/certsrv)然後申請時選擇進階
    應該就會看到有選項是Client Authentication Certificate,這憑證要安裝到本機電腦而不是安裝到本機使用者
    另外還要注意的是,使用憑證驗證的話,每一台使用此方式的都要信任該台CA才可以
    連到CA網站時,會有一個選項是 Download a CA Certificate的選項,點進去之後在點 Install this CA certificate Chain 進行安裝
    此憑證也是要安裝到本機電腦裡面的信任的根憑證才可以
    可以透過下列方式檢查是否憑證有安裝到正確的地方

    打開MMC -> 新增憑證的snap-in -> 同時加入本機電腦 & 本機使用者 -> 如果發現憑證只裝在使用者上的話,把他匯出,再到本機電腦裡面進行匯入的動作即可

    上面大概就是比較詳細的一些處理動作
    不過還是要實做才知道OK不OK
    還有問題的話歡迎繼續討論^^

    • 已標示為解答 Jesse Chang 2009年3月6日 下午 06:10
    2009年3月6日 上午 02:40
  • 太詳細了,已經可以編寫成SOP了!!
    感謝您詳細的回答,我已經重建LAB完成!
    再按造您的步驟執行,非常感謝您!
    2009年3月6日 下午 06:11
  • Hi Vincent:
    目前已經做到非網域成員要安裝憑證方能存取的步驟
    目前是企業根的CA,我已安裝憑證鏈結於本機電腦
    我依下列步驟申請並安裝憑證,於本機電腦
    IPSec設定驗證以更改為憑證
    但是仍無法存取

    請協助我確認以下憑證申請步驟何處有誤?
    1. 點選要求憑證

    2. 點選進階憑證要求

    3.點選項這個CA建立並提交一個要求

    4. 範本選擇使用者,好記得名稱取名hostname

    下列為已經憑證與憑證鏈結安裝在本機電腦



    請問過程哪裡有誤,或者疏忽設定的地方?
    2009年3月11日 下午 04:05
  • 看了一下你的畫面和我的畫面,憑證安裝方面應該沒有問題
    檢查看看下面設定

    1.雙方防火牆都暫時關閉看看是否改善
    2.被連端和連線端的IPSec Policy是否都選為憑證驗證,要選擇那台CA的憑證來做安裝(LAB-AD2K8-CA)
    3.IPSec Policy有沒有設定正確?可以的話另找一台測試機,加入domain,然後使用kerberos驗證方式來測試

    如果真的還是不行,可能就要使用下列方式觀察看看了

    1.IPSec 安全性監視器(在MMC裡面)
    2.透過policy開啟稽核功能: 稽核帳戶登入事件 -> 成功跟失敗都要打勾 , 然後透過事件檢視器->安全性,來進行Log分析

    2009年3月12日 上午 02:01
  • Hi Vincent:
    1. 雙方未開防火牆
    2. 雙方IPSec的設定如下列所示
    3. 另外一個加入網域內的Client可正常存取

    請對照看看IPSec的設定
    1. 被存取端(Server)的篩選器清單

    2. 被存取端(Server)的憑證篩選細部設定

    3. 存取端(Client)的篩選器清單

    4. 存取端(Client)的憑證篩選細部設定


    根據您的提示,開啟稽核帳戶登入事件,查看到以下資訊:

    事件類型: 稽核失敗
    事件來源: Security
    事件類別目錄: 登入/登出
    事件識別碼: 547
    日期:  2009/3/12
    時間:  上午 11:58:20
    使用者:  NT AUTHORITY\NETWORK SERVICE
    電腦: SQL2K5
    描述:
    IKE 安全性關聯交涉失敗。
     模式:
    金鑰交換模式 (主要模式)

     篩選器:
    來源 IP 位址 192.168.10.2 (被存取端Server的IP)
    來源 IP 位址遮罩 255.255.255.255
    目的地 IP 位址 192.168.10.111(存取端Client的IP)
    目的地 IP 位址遮罩 255.255.255.255
    通訊協定 0
    來源連接埠 0
    目的地連接埠 0
    IKE 本機位址 192.168.10.2 (被存取端Server的IP)
    IKE 對等位址 192.168.10.111(存取端Client的IP)
    IKE 來源連接埠 500
    IKE 目的地連接埠 500
    對等私人位址

     對等個體:
    憑證式身分識別。 
    對等主體
    對等 SHA 指紋 0000000000000000000000000000000000000000
    對等發行憑證的授權單位
    根憑證授權單位
    我的主體 DC=Local, DC=LAB, CN=Users, CN=Administrator
    我的 SHA 指紋 228ad8daced9d536b773445238beaf1d9124b8fc
    對等 IP 位址: 192.168.10.111

     失敗點:

     失敗理由:
    沒有與電腦憑證關聯的私密金鑰

     另外的狀態:
    處理第二個 (KE) 內容
    初始器。  差異時間 0
     0x80092004 0x0


    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

    感覺憑證上還是有些問題,可否提示我該檢查哪部分的設定呢?

    2009年3月12日 上午 04:02
  • 看到一個滿怪的地方
    我跟你設定的地方有一點不一樣
    被存取端的篩選器清單(第一張圖片),你的篩選器動作是"要求安全性(可省略)",我這邊是設定"需要安全性"
    這樣設定的話,不管有沒有設定憑證驗證,都應該是可以連線才對.(除非你有手動改過篩選器動作裡的設定)
    因為該篩選器動作的意思是 "會主動要求對方進行驗證,如果對方沒有設定IPSec或是驗證失敗還是可以使用繼續連線,只是沒有IPSec加密而已"
    那現在的問題是說,只要套用IPSec Policy之後,這台Client就無法連線到Server嗎?還是都會連線到Server?

    • 已標示為解答 Jesse Chang 2009年3月13日 上午 03:30
    2009年3月12日 上午 05:32
  • 這就是奇妙的地方
    我設定兩個IP安全性原則:
    IP篩選器清單為:
    來源:任何IP位置,目的:我的IP位置,來源Port:任何位置,目的Port:我的位置
    限制TCP 139 & 445 port , UDP 137 & 138 port,(有勾選鏡向)

    篩選器動作:
    當我選擇需要安全性,不管網域內成員或者非網域成員,都會出現被存取端Server的視窗而一片空白(Client OS:XP)
                                   至於未啟用IPSec的電腦(AD),則顯示找不到網路訊息
    當我選擇需要安全性(可省略),網域內成員可以看到分享資料夾,非網域成員仍然是顯示空白
                                                至於未啟用IPSec的電腦(AD),仍顯示找不到網路訊息

    驗證方法:
    一條為:Kerberos
    另一條:憑證(LAB-AD2K8-CA)

    請教您:
    存取端Client需要申請憑證與安裝憑證鍊結的動作
    被存取端Server本身有憑證鍊結了,仍需要再申請並安裝憑證嗎?
    企業根CA本身呢?應不需任何動作吧?

    另外請教您
    Client OS為Vista的話,本身的IPSec Policy為空白(XP域設有三項)
    新建Policy的話,也提示預設回應對Vista是無效的...
    您有甚麼想法嗎?

    2009年3月12日 上午 05:55
  • 你是使用網路芳鄰的方式去瀏覽的嗎?
    測試看看用UNC路徑去連看看(\\IP) .. 我是用此方式測試的
    你無法存取的狀況都是顯示空白,有跑出任何錯誤訊息嗎?
    建議你設定完IPSec Policy之後,兩台電腦都重新開機,比較不會有問題

    被存取端Server也要申請安裝憑證喔..也是要放在本機電腦裡面

    2009年3月12日 上午 06:45
  • Hi Vincent:
    我是使用網芳方式存取的沒錯
    另外我依造您的方式更改了設定如下:

    取消驗證方法使用憑證那條IPSec Policy
    將驗證方法使用Kerberos那條IPSec Policy的篩選器動作更改為要求安全性

    網域成員的Client,可以正常用網芳方式來開啟
    非網域成員的Client,使用網芳方式開啟呈現一片空白(無任何錯誤訊息)

    Vincent, 我想確認的是
    非網域成員要申請的憑證類型?? 我還是懷疑我申請的憑證類型不太對...
    請問您的CA類型是StandAlone Root?還是Enterprise Root?
    因為我的是Enterprise Root, 沒有看到Client Authentication Certiftcate的選項...
    是否可以分享一下您憑證部分的設定呢?
    2009年3月12日 上午 07:53
  • 兩種CA的環境我都有測試過
    Standalone CA的話是申請Client Authentication Certificate
    Enterprise CA的話是申請 User

    建議你這樣做看看
    1.先把你申請回來的憑證都先刪除(本機電腦和使用者兩者的個人憑證和信任根憑證)
    2.兩台電腦都去Enterprise CA重新申請,在進階申請時,選擇User,然後勾選有一個"將憑證安裝置本機儲存區"(意思大概是這樣)
    3.兩台電腦再到CA網頁安裝跟憑證連結,此憑證會裝在使用者裡面,透過mmc介面把他會出,再到本機電腦裡面將它匯入到信任的根憑證
    4.兩台電腦在設定IPSec Policy使用憑證驗證.
    5.重新開機
    6.使用UNC路徑方式連看看
    2009年3月12日 上午 08:25
  • Hi Vincent:
    請問您,非網域Client安裝憑證後(啟用本身IPSec為僅回應,驗證方式為憑證)
    可以存取的狀況是如何?
    1. 出現被存取端的視窗,內有share folder的icon?
    2. 還是會出現輸入AD帳號密碼的驗證視窗?
    2009年3月12日 上午 08:29
  • 就和沒設定一樣
    登入帳號如果不相同的話就會跳出要帳號密碼的視窗
    相同的話就會直接進去,看到分享的印表機資料夾等

    2009年3月12日 上午 08:38
  • Hi Vincent:
    經過測試,使用憑證方式仍然不行

    因目前我的AD&CA都是2008環境上(CA申請時沒有"將憑證安裝置本機儲存區"這個選項,因此我都是手動匯出再匯入本機)
    我打算更換2003的LAB環境再試試看...
    2009年3月12日 上午 10:07
  • 手動匯出時要選擇將私密金鑰一起匯出才可以

    2009年3月12日 上午 11:28
  • Hi Vincent:
    是的,我選擇匯出PFX檔案
    另外請問您

    是否可同時使用Kerberos和憑證驗證?
    您目前手上的LAB
    可以同時讓網域成員(使用kerberos)和非網域成員(使用憑證)來存取啟用IPSec的被存取端嗎?
    2009年3月12日 下午 02:55
  • 我在測試了一下,發現之前有個地方出了很大的問題
    就是- 不應該設定兩個篩選器 (這樣會造成混亂)
    只要設定一個篩選器後,在驗證方式那邊設定兩種驗證方式(Kerberos & 憑證)
    這樣網域成員就會選擇Kerberos進行驗證
    非網域成員會先嘗試Kerberos驗證,但是會失敗,失敗後就會選擇憑證驗證,就會成功了
    之前怎麼沒想到咧....白花了一些時間^^"

    • 已標示為解答 Jesse Chang 2009年3月13日 下午 12:14
    2009年3月13日 上午 06:10
  • Hi Vincent:
    所以您已確認過
    在同一個篩選氣裡面設定兩個驗證方是(Kerberos & 憑證)
    網域成員(使用kerberos)和非網域成員(使用憑證)可同時存取啟用IPSec的被存取端囉
    這樣就對了...
    好的,我馬上來試試..
    2009年3月13日 上午 09:53
  • Hi Vincent:
    非常謝謝您不厭其煩的一路陪伴我從頭做到尾
    我換成純2003 AD環境,依您提供的步驟變成功了
    我Summary一下步驟:

    1. 被存取端(Server)申請User憑證(安裝本機電腦)
    2. 被存取端(Server)啟用自訂IPSec Policy,內容針對TCP 445 & 139做篩選,驗證方式預設為Kerberos,再新增憑證的方式
    3. 網域成員(Client)啟用預設IPSec Policy 用戶端(僅回應),驗證方是為Kerberos
    4. 非網域成員(Client)申請User憑證(安裝本機電腦),並安裝憑證鏈結,並匯出再匯入至本機電腦
    5. 非網域成員(Client)啟用預設IPSec Policy 用戶端(僅回應),驗證方是為憑證

    結果:
    1. 網域成員(client),可以利用UNC方式存取被存取端(Server)
    2. 非網域成員(Client),使用UNC方式存取被存取端(Server),會出現提示輸入AD帳號與密碼
    3. 未啟用IPSec Policy的電腦(Client),使用UNC方式存取被存取端(Server),則會提示找不到電腦

    至於之前使用Server 2008 AD環境,憑證這一塊一直做不順利
    不排除是因為2008 CA特性所置。
    總之謝謝了,終於可以結案了...
    • 已標示為解答 Vincent Lin 2009年3月13日 下午 01:51
    2009年3月13日 下午 12:14
  • 很高興有幫上忙
    如果早點發現問題點的話就不會花那麼多時間了
    不過最後有解決就好^^

    2009年3月13日 下午 01:51
  • Hi Vincent:
    我另外再補充一點資料:
    若用戶端作業系統為Vista,IPSec預設Policy"僅回應"是無效的,必須要另外建置一個Policy
    以下KB有說明:
    http://support.microsoft.com/kb/942964/zh-tw
    2009年3月16日 上午 01:57