Вот моя конфигурация инфраструктуры:
Мой первый вопрос: зачем мне настраивать сервер AD на «запрос / запрос»? Это потому, что я использую метод аутентификации по умолчанию, основанный на Kerberos?
Мой второй вопрос: действительно ли безопасно идти этим путем? На мой взгляд, AD вообще не защищен IPSec, так что он уязвим, верно? Это так опасно или нет?
Мой третий и последний вопрос: как вы думаете, какой лучший способ получить полную политику изоляции домена IPSec на Windows Server? Я был очень доволен этой технологией, пока не обнаружил, что AD вообще не защищен ...
Спасибо за ваше время!
Это безопасно, и ваш AD не уязвим (хотя я чувствую себя обязанным спросить, от чего именно вы пытаетесь его защитить, если не по какой-либо другой причине, кроме как заставить вас задуматься об этом - безопасность - это процесс, а не продукт или технология).
Вот что делает Kerberos, так что на самом деле Active Directory не совсем незащищенна, как вы думаете. А поскольку вы используете Server 2008, вот кое-что о том, как вручную настроить тип шифрования для связи Kerberos. Его предыдущая запись тоже довольно хороша, по крайней мере, в том, что касается более подробных объяснений криптовалюты, и он анализирует образец обмена Kerberos. Не мое представление о веселье, но это довольно сносно.
(Будьте осторожны с этими настройками, если у вас есть клиенты XP. Совместимость становится рискованной с домашними версиями, любыми версиями, предшествующими SP3, и более сильными алгоритмами без исправлений, которые не были отправлены в Центр обновления Windows.)
Я бы рекомендовал прочитать эта статья Technet также, в котором объясняется IPSec (и немного больше о Kerberos), и после этого, если у вас все еще есть вопросы ... что ж, пора проконсультироваться с книгой, многие из которых были написаны по этой теме.