Server2008用IPSEC與組策略實現服務器和域隔離(下)
上文介紹了Server2008用IPSEC與組策略實現服務器和域隔離(上),本文接著介紹Server2008用IPSEC與組策略實現服務器和域隔離的方法。
應用的配置文件,即環境,按當前環境,是在域內。
命名為 request inbound outbound
第二步:應用策略
把策略關聯到成員服務器和客戶端OU
驗證:
先在member開啟網絡發現。
域內client 訪問,
在membersrv上,通過高級安全windows防火墻中的監示可看到
策略被應用,且訪問是基于IPSEC通信的:
而工作組的客戶端訪問,能訪問,但不是基于IPSEC的。一樣可通過高級安全windows防火墻中的監示可得知。
接下來,驗證隔離實驗:
結果:Client 能跟Membersrv通信,訪問共享,而工作組的機器不能訪問.實驗隔離效果。
步驟如下:
第一,先創建例外策略,保證Client 能跟Membersrv通信之外,還要能跟DC通信。
在DC上編輯domain isolation策略。
為DC新建例外策略
指定例外機器
指定配置文件,為域
命名
第二步:修改原有策略,定義身份驗證為要求入站和出站。那么不能通過身份驗證的客戶端不能訪問。
驗證:
客戶端和membersrv刷新策略,使用gpupdate /force .
client 訪問文件服務器
membersrv上觀察IPSEC可知,現時策略已被應用,而使用IPSEC通信:
工作組機器不能訪問。
這樣就實現了隔離,但又不影響域內通信,現時client和membersrv跟DC所有通信正常。
以上只實現了通過身份驗證,邏輯地隔離了網絡,但沒實現加密。
在membersrv上安裝網絡監示器。網絡監示器3.2(03自帶,08要到微軟單獨下載安裝),
監示得知,數據沒經過加密:
客戶端訪問:
membersrv抓包結果,可知,數據 沒經加密
目的:實現加密數據通信
在DC上,打開組策略管理,找到domain isolation,直接修改策略。
刷新策略,客戶端再次訪問驗證。
在 membersrv上抓包結果:
實驗完成,以上目的就在server2008域環境下,測試IPSEC服務器和域的邏輯隔離,同時實現加密。
希望Server2008用IPSEC與組策略實現服務器和域隔離的方法能夠對讀者有所幫助。
【編輯推薦】
