IPSec on Domain Controllers e Trusted Domains

1

Estou a ver a configuração do IPSec da seguinte forma:

  • Isolamento
  • Solicitar autenticação para conexões de entrada e saída
  • Computador e usuário (Kerberos V5)

Estou procurando fazer uma implantação geral em todos os servidores e controladores de domínio. Estações de trabalho deixarei como não definido.

Qual impacto em termos dos controladores de domínio com a confiança de floresta bidirecional acho que veria?

Devo excluir os endereços IP dos controladores de domínio confiáveis?

Não quero interromper a comunicação entre a floresta atual e a confiável, mas quero que o IPsec seja usado na floresta atual em todos os servidores.

A floresta confiável está executando o 2008 R2 e a floresta atual é o 2012 R2.

    
por OneLogicalMyth 14.03.2014 / 17:19

1 resposta

2

Agora implementei o novo domínio do 2012 R2 e configurei a confiança com a floresta antiga do 2008 R2.

Eu não tive problemas, agora estou colocando isso como um padrão para todos os outros domínios que eu gerenciei, pois não causou dores de cabeça com quebra de aplicativos, etc.

Eu simplesmente decidi configurar o IPsec no GPO 'Default Domain Policy' como:

  • Isolamento
  • Solicitar autenticação para conexões de entrada e saída
  • Computador e usuário (Kerberos V5)

Eu também configurei uma regra adicional na 'Política de Domínio Padrão' que excluía os controladores de domínio, pois excluí-los causava problemas de login e problemas conforme o esperado.

A confiança funcionou bem nessa configuração e o domínio agora está isolado em todos os dispositivos, exceto quando se comunica com um controlador de domínio (DC).

Como a maioria do tráfego é criptografada ao se comunicar com um DC, isso não foi um problema para mim.

Espero que isso ajude alguém a entender o impacto da implantação, optei por usar a solicitação, pois ela tem o menor impacto e foi a mais fácil de ser implantada.

    
por 23.08.2014 / 22:40