IPSec em controladores de domínio e domínios confiáveis

Estou olhando paira configurair o IPSec da seguinte maneira:

  • Isolamento
  • Solicitair authentication paira conexões de input e saída
  • Computador e user (Kerberos V5)

Estou procurando fazer uma deployment geral em todos os serveres e controladores de domínio. Estações de trabalho vou deixair como não definido.

Qual impacto em termos dos controladores de domínio com a confiança florestal de 2 vias pensa que eu viewia?

Devo excluir os endereços IP dos controladores de domínio confiáveis?

Não quero interromper a comunicação entre a floresta atual e confiável, no entanto, quero que o IPsec seja usado na floresta atual em todos os serveres.

A floresta confiável está executando 2008 R2 e a floresta atual é 2012 R2.

One Solution collect form web for “IPSec em controladores de domínio e domínios confiáveis”

Agora implementei o novo domínio R2 2012 e configurei a confiança com a antiga floresta R2 de 2008.

Eu não tive problemas, agora estou colocando isso como um padrão paira todos os outros domínios que administra, pois não me causou dor de cabeça com as aplicações quebrando etc.

Eu simplesmente decidi configurair o IPsec no GPO 'Política de Domínio Padrão' como:

  • Isolamento
  • Solicitair authentication paira conexões de input e saída
  • Computador e user (Kerberos V5)

Em seguida, também configurei uma regra adicional na "Política de Domínio Padrão" que excluiu os controladores de domínio, pois não excluí-los causou problemas e problemas de logs como esperado.

A confiança funcionou bem nesta configuration e o domínio agora está isolado em todos os dispositivos, exceto quando se comunica com um controlador de domínio (DC).

Como a maioria do tráfego é criptografada ao se comunicair com uma DC, isso não era um problema paira mim.

Espero que isso ajude alguém a entender o impacto do rolo, eu escolhi usair o request, pois ele tem o menor impacto e foi o mais fácil de implementair.

  • Gerenciador Hyper-V - use HTTPS com WinRM
  • Um controlador de domínio configurado em um cluster de failoview? Ou dois DCs, um em cada nó do cluster?
  • Não é possível atualizair o Serview 2012 paira o Datacenter
  • SBS 2011 paira Serview 2012 R2 Essentials
  • Desativair SSLv3 no Windows Serview 2012
  • É possível definir a afinidade do processador em um service e persistir nessa afinidade durante as reinicializações?
  • Existe um substituto paira o recurso "Windows System Resource Manager" removido na viewsão do Windows Serview 2012 R2?
  • Adicionando um segundo domínio de tree à floresta AD (2012 R2)