1 Ρυθμίστε την παράκαμψη Windows firewall που να επιτρέπουν την κυκλοφορία του πελάτη να παρακάμψει το host-based firewall . Στο Active Directory Policy Editor Group, κάντε δεξί κλικ στην οργανική μονάδα ( OU ) που περιέχει το αντικείμενο υπολογιστή του διακομιστή -στόχο σας και επιλέξτε " Δημιουργία GPO σε αυτόν τον τομέα και το Link εδώ . " Δώστε το αντικείμενο πολιτικής ομάδας ( GPO ) ένα όνομα και κάντε κλικ στο "OK". Κάντε δεξί κλικ στο GPO και επιλέξτε " Επεξεργασία". Αναπτύξτε την πολιτική δέντρο πρότυπο με την ακόλουθη σειρά : . Στο "Computer Configuration ", " Πρότυπα διαχείρισης ", " Δίκτυο ", " Συνδέσεις Δικτύου" και " Τείχος προστασίας των Windows " Στο δεξιό τμήμα του παραθύρου , κάντε διπλό κλικ στην πολιτική " Τείχος προστασίας των Windows : Επιτρέπεται επικυρωμένα IPsec Bypass" και κάντε κλικ για την πώληση
Μια πολιτική firewall bypass για IPsec ονόματα ειδική ομάδα η οποία θα πρέπει να επιτραπεί η " Enabled ". χρησιμοποιούν IPsec να διασχίσει το host-based firewall . Στο πεδίο με τίτλο " Καθορισμός IPSec συνομηλίκους να απαλλαγούν από πολιτική τείχους προστασίας : " εισάγετε την περιγραφή ασφαλείας Definition Language ( SDDL ) συμβολοσειράς για την επιτρεπόμενη ομάδα. Η μορφή της συμβολοσειράς SDDL για μία μόνο ομάδα είναι : « O : DAG : ΜΠΑΜΠΑΣ : (Α ? ? RCGW ? ? ? SID ) , « όπου SID είναι το αναγνωριστικό ασφαλείας ( SID ) ενός λογαριασμού ομάδας . Ως εκ τούτου , για να ορίσετε τη ρύθμιση για την ομάδα σας , το κείμενο της πολιτικής διαβάζει κάτι σαν «Ορισμός IPSec συνομηλίκους να απαλλαγούν από firewall πολιτική : O : DAG : ΜΠΑΜΠΑΣ : (Α ? ? RCGW ? ? ? S -1- 5-21 -4214763869-96332444560-8429442246-100290 ) . " Χρησιμοποιήστε το GETSID βοηθητικό πρόγραμμα γραμμής εντολών μετά το όνομα της ομάδας ασφαλείας για τον προσδιορισμό της SID , αν δεν το ξέρετε ήδη . 2
Εκχώρηση ένα server-side " απαιτούν κρυπτογράφηση " κανόνας στην πολιτική ομάδας . Προκειμένου να απαιτεί κρυπτογράφηση μέσω IPsec , θα πρέπει να προσθέσετε έναν κανόνα ασφαλείας για τα Windows Ρυθμίσεις της πολιτικής ομάδας > Ρυθμίσεις ασφαλείας > IP Security ενότητα πολιτικές . Στον Επεξεργαστή πολιτικής ομάδας , κάντε δεξί κλικ στο OU που περιέχει το αντικείμενο υπολογιστή του διακομιστή -στόχο σας και επιλέξτε " Δημιουργία GPO σε αυτόν τον τομέα και το Link εδώ . " Δώστε το αντικείμενο πολιτικής ομάδας ( GPO ) ένα όνομα και κάντε κλικ στο "OK".
Αναπτύξτε το δέντρο πρότυπο πολιτικής με την ακόλουθη σειρά : " Ρύθμιση παραμέτρων υπολογιστή ", " Ρυθμίσεις των Windows " και " πολιτικές ασφαλείας IP σε Active Directory . " Κάντε δεξί κλικ στο " Secure Server ( Απαίτηση Ασφαλείας ) " πολιτική στο δεξιό τμήμα του παραθύρου και επιλέξτε " Ορισμός. " Όταν έχουν ανατεθεί , η πολιτική αυτή απαιτεί ότι όλη η κυκλοφορία προσπαθεί να επικοινωνήσει με το διακομιστή θα χρησιμοποιήσει IPsec .
Εικόνων 3
Διαμορφώστε ένα client-side " απαιτούν κρυπτογράφηση " κανόνα . Προκειμένου για τους πελάτες να χρησιμοποιούν κρυπτογράφηση για να φτάσει στο διακομιστή, θα πρέπει να ρυθμίσετε μια πολιτική για τους πελάτες που επιτρέπει την κρυπτογράφηση μόνο για το διακομιστή προορισμού . Στον Επεξεργαστή πολιτικής ομάδας , κάντε δεξί κλικ στο OU που περιέχει το αντικείμενο της ομάδας που περιλαμβάνει όλους τους πελάτες που θα έχουν την άδεια να χρησιμοποιούν IPsec για να φτάσει το διακομιστή προορισμού . Επιλέξτε " Δημιουργία GPO σε αυτόν τον τομέα και το Link εδώ . " Δώστε το GPO ένα όνομα και κάντε κλικ στο "OK".
Αναπτύξτε το δέντρο πρότυπο πολιτικής με την ακόλουθη σειρά : . Στο "Computer Configuration ", " Ρυθμίσεις των Windows " και " πολιτικές ασφαλείας IP σε Active Directory" Κάντε διπλό κλικ στο " Πελάτης ( Απάντηση μόνο ) " πολιτική στο δεξιό παράθυρο . Κάντε κλικ στην επιλογή "Προσθήκη ... " για να ξεκινήσει η Ασφάλεια κανόνα Wizard. Αποδεχτείτε τις προεπιλεγμένες τιμές για το " Tunnel Endpoint » και « Τύπος Δικτύου , " αλλά για την " IP Filter List " σελίδα κάντε κλικ στην επιλογή "Προσθήκη ... " Σχετικά με το " IP Filter List " σελίδα αναφέρουμε τη λίστα του φίλτρου και κάντε κλικ στο " Προσθήκη ... " για να προσθέσετε το διακομιστή . Ακολουθήστε τον οδηγό, διευκρινίζονται « Κάθε διεύθυνση IP " για τη διεύθυνση πηγής και « ένα συγκεκριμένο όνομα DNS" για το διακομιστή προορισμού . Πληκτρολογήστε το όνομα του διακομιστή προορισμού στο "Όνομα Host : " πεδίο . Ολοκληρώστε τον οδηγό με τις υπόλοιπες προκαθορισμένες τιμές και κάντε κλικ στο " OK " για να κλείσετε το " IP Filer List " μάγος . Στο "Ασφάλεια κανόνα Wizard" επιλέξτε " άδειας" , όπως τη δράση του φίλτρου και κάντε κλικ στο κουμπί "Next " για να ολοκληρώσετε τον οδηγό .
Όταν ανατεθεί , η πολιτική αυτή απαιτεί ότι κάθε κίνηση από τις μηχανές των πελατών προσπαθεί να επικοινωνήσει με το διακομιστή θα χρήση IPsec , αλλά κίνησης προς οποιονδήποτε άλλο διακομιστή δεν θα .
Η 4
Εφαρμόστε τις αλλαγές πολιτικής ομάδας τόσο για τους πελάτες όσο και στο διακομιστή . Σε κάθε μηχάνημα ανοίξτε μια γραμμή εντολών και πληκτρολογήστε " gpupdate . " Αν σας ζητηθεί να αποσυνδεθείτε , να το πράξουν .
Η
εικόνων
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα