Configurare il firewall di Windows bypass per consentire il traffico dei client di bypassare il firewall basato su host . In Active Directory Group Policy Editor , fare clic destro su l'unità organizzativa ( OU ) che contiene l'oggetto computer del server di destinazione e selezionare "Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento . " Dare la Policy Object ( GPO ), un nome significativo di gruppo e fare clic su "OK". Pulsante destro del mouse sull'oggetto Criteri di gruppo e selezionare "Modifica ". Espandere la struttura di modello di criteri nel seguente ordine : " Configurazione computer ", " Modelli amministrativi ", " rete", " Connessioni di rete " e "Windows Firewall" . Nel riquadro di destra fare doppio clic sul criterio "Windows Firewall : Consenti autenticazione IPSec " e cliccare sul
Una politica di bypass firewall per IPsec nomina un gruppo specifico che sarà concesso il permesso di "Enabled ". utilizzare IPsec per attraversare il firewall basato su host . Nel campo " Definire peer IPSec devono essere esentati dalla politica del firewall : " inserire il Security Descriptor Definition Language ( SDDL ) stringa per il gruppo consentito. Il formato della stringa SDDL per un singolo gruppo è : " O : DAG : DAD : (A; ; RCGW ,,, SID ) , " dove SID è l' identificatore di protezione ( SID ) di un account di gruppo . Pertanto , per definire l'impostazione per il vostro gruppo , il testo della politica recita qualcosa come " Definire peer IPSec devono essere esentati dalla policy del firewall : O : DAG : DAD : (A; ; RCGW ,,, S-1- 5-21 -4214763869-96332444560-8429442246-100290 ) . " Utilizzare l'utilità della riga di comando GETSID contro il nome del gruppo di sicurezza per determinare il SID se non lo si conosce già .
2
assegnare un server - side " richiede la crittografia " regola in Criteri di gruppo . Per richiedere la crittografia tramite IPsec , è necessario aggiungere una regola di sicurezza per la politica del gruppo di Windows Impostazioni> Impostazioni di protezione > sezione Criteri di sicurezza IP . Nel Editor criteri di gruppo , fare clic destro sulla OU che contiene l'oggetto computer del server di destinazione e selezionare "Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento . " Dare l'oggetto Criteri di gruppo (GPO) un nome significativo e fare clic su "OK".
Espandere la struttura dei criteri modello nel seguente ordine : " Configurazione computer ", " Impostazioni di Windows " e " Criteri di protezione IP su Active Directory ". Fai clic destro sulla politica "Secure Server ( Richiedi protezione )" nel pannello di destra e selezionare " Assegna ". Se assegnato , questo criterio richiede che tutto il traffico di tentare di raggiungere il server utilizza IPsec .
3
Configurare un client-side " richiedono la crittografia " regola . Affinché i clienti di utilizzare la crittografia per raggiungere il server, è necessario configurare un criterio per i client che consente la crittografia solo per il server di destinazione . Nel Editor criteri di gruppo , fare clic destro sulla OU che contiene l'oggetto di gruppo che include tutti i clienti che avranno il permesso di utilizzare IPsec per raggiungere il server di destinazione. Selezionare "Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento . " Dare l' oggetto Criteri di gruppo un nome significativo e fare clic su "OK".
Espandere la struttura dei criteri modello nel seguente ordine : " Configurazione computer ", " Impostazioni di Windows " e " Criteri di protezione IP su Active Directory " . Fare doppio clic su " Client ( solo risposta ) " La politica nel riquadro a destra . Fare clic su " Aggiungi ... " per avviare la Creazione guidata regola di sicurezza . Accettare i valori predefiniti per " Endpoint Tunnel " e " Tipo di rete ", ma sulla pagina "IP Filter List ", cliccare su " Aggiungi ... " Sul "IP Filter List" nome della pagina la lista dei filtri e fare clic su " Aggiungi ... " per aggiungere il server . Seguire la procedura guidata , specificando " Qualsiasi indirizzo IP " per l' indirizzo di origine e di " un nome DNS specifico" per il server di destinazione . Immettere il nome del server di destinazione nel campo "Nome host: " campo . Completare la procedura guidata con i valori predefiniti rimanenti e fare clic su " OK" per chiudere la procedura guidata "IP Filer List" . Nella " Creazione guidata regola di sicurezza" Seleziona " Permit ", come l'azione del filtro e fare clic su "Avanti" per completare la procedura guidata .
Quando assegnato , questo criterio richiede che tutto il traffico dalle macchine client di tentare di raggiungere il server sarà utilizzare IPsec , ma il traffico andando a qualsiasi altro server non sarà .
4
Applicare gli aggiornamenti dei criteri di gruppo per entrambi i client e il server . Su ogni macchina aprire il prompt e digitare " gpupdate . " Comando Se viene richiesto di disconnettersi , fare così.
sistemi © www.354353.com