locked
使用IPSec設定未加入網域PC需安裝憑證才能存取網芳 RRS feed

  • 問題

  • 請問各位:
    IPSec可以辦到未加入網域的電腦,需安裝憑證後才能存取網芳嗎?
    例如檔案伺服器,我設定IPSec限制存許TCP 445, 網域內電腦可使用Kerbos存取, 非網域電腦則安裝憑證方可存許
    可以辦到嗎?

    可以的話,細部的交涉性安全部份又是如何設定的呢?

    2009年2月1日 下午 12:04

解答

  • 在Server2003上是可以達到,2008的話應該也是可以,如果有問題再提出來討論
    --------------------------------------------------------------------------------------
    測試環境: XP SP3(未加入Domian) + Server 2003 Enterprise SP2(加入Domain)

    1.被連端設定IPSec Policy,要限制TCP 139 & 445 port , UDP 137 & 138 port
    2.驗證方式使用憑證驗證,憑證可以自己架CA來發行,申請類型為 Client Authentication Certificate
    3.雙方都要信任root CA(取得憑證的CA)
    4.client端也要設定IPSec Policy,可以直接修改內建的"用戶端(僅回應)",改成憑證驗證即可
    6.雙方的交設定安全部分是不用特別設定,只需要用預設即可
    7.此過程所有憑證都是要匯入到電腦帳戶底下才可以(信任的根憑證和個人)

    如果在操作過程中有問題的話,可以使用下列兩個工具來看是哪邊有問題
    1.IPSec 安全性監視器(在MMC裡面)
    2.透過policy開啟稽核功能: 稽核帳戶登入事件 -> 成功跟失敗都要打勾 , 然後透過事件檢視器->安全性,來進行Log分析

    • 已標示為解答 Vincent Lin 2009年2月26日 上午 08:59
    2009年2月26日 上午 08:59
  • 問題1
    看你怎麼設定囉..我在測試的時候是在被存取端上設定只有連入(連到被存取端)且目的端port是上述那些的話,需要安裝憑證才能存取
    在這個情況下被存取端去連線其他網域成員是不會有影響的(除非別台電腦有別的IPSec原則)

    問題2
    按照問題一的情況下來看,如果你只設定一條規則是要安裝憑證才可以連線被存取端的話,其他網域內成員若沒有安裝憑證也是無法存取的
    不過網域成員的話是可以設定透過kerberos驗證,只要在規則裡面再加一條跟問題一相同的規則,然後驗證方式選擇kerberos就可以正常存取

    這樣描述希望能幫到你
    有問題的話在留言繼續討論囉

    • 已標示為解答 Jesse Chang 2009年3月5日 下午 03:19
    2009年3月4日 上午 02:52

所有回覆

  • 在Server2003上是可以達到,2008的話應該也是可以,如果有問題再提出來討論
    --------------------------------------------------------------------------------------
    測試環境: XP SP3(未加入Domian) + Server 2003 Enterprise SP2(加入Domain)

    1.被連端設定IPSec Policy,要限制TCP 139 & 445 port , UDP 137 & 138 port
    2.驗證方式使用憑證驗證,憑證可以自己架CA來發行,申請類型為 Client Authentication Certificate
    3.雙方都要信任root CA(取得憑證的CA)
    4.client端也要設定IPSec Policy,可以直接修改內建的"用戶端(僅回應)",改成憑證驗證即可
    6.雙方的交設定安全部分是不用特別設定,只需要用預設即可
    7.此過程所有憑證都是要匯入到電腦帳戶底下才可以(信任的根憑證和個人)

    如果在操作過程中有問題的話,可以使用下列兩個工具來看是哪邊有問題
    1.IPSec 安全性監視器(在MMC裡面)
    2.透過policy開啟稽核功能: 稽核帳戶登入事件 -> 成功跟失敗都要打勾 , 然後透過事件檢視器->安全性,來進行Log分析

    • 已標示為解答 Vincent Lin 2009年2月26日 上午 08:59
    2009年2月26日 上午 08:59
  • Hi Vincent:
    非常感謝您的回覆,請問:
    1. 設定IPSec的被存取端,可以正常存取其他網域內成員嗎?(EX:TCP 445)
    2. 非網域主機需要安裝憑證,那網域內成員,是否可正常存取被存取端?
    2009年3月3日 下午 04:41
  • 問題1
    看你怎麼設定囉..我在測試的時候是在被存取端上設定只有連入(連到被存取端)且目的端port是上述那些的話,需要安裝憑證才能存取
    在這個情況下被存取端去連線其他網域成員是不會有影響的(除非別台電腦有別的IPSec原則)

    問題2
    按照問題一的情況下來看,如果你只設定一條規則是要安裝憑證才可以連線被存取端的話,其他網域內成員若沒有安裝憑證也是無法存取的
    不過網域成員的話是可以設定透過kerberos驗證,只要在規則裡面再加一條跟問題一相同的規則,然後驗證方式選擇kerberos就可以正常存取

    這樣描述希望能幫到你
    有問題的話在留言繼續討論囉

    • 已標示為解答 Jesse Chang 2009年3月5日 下午 03:19
    2009年3月4日 上午 02:52
  • Hi Vincent:
    1. 感謝您回覆,由於我此文章亦有重複再Windows Server 2003貼出,為避免耗用討論區資源
        接下來討論以Windows Server 2003版面文章為主
    2009年3月5日 下午 03:18