實現方法:
1.公司的電腦根據mac地址在DHCP服務器自動獲取固定ip,dns指向公司的dns服務器,dns服務器可以轉發dns查詢。
2.dns服務器和域服務器在同一臺服務器。
3.公司有一臺應用級別的防火牆,添加策略只有dns服務器才能訪問internet的dns的udp 53端口。
4.用ip安全策略實現只有入域計算機才能訪問dns服務器的udp53端口。
域ipsec策略配置:
1.服務器端的配置:
本案例的dns服務器和域服務器是同一服務器,不用新建服務器ou和新建gpo,直接編輯Default Domain Controllers Policy。
1)先建立ip篩選列表,相當於acl。可以建立多個acl。例如:任何ip 到 我的ip 的udp53端口。後面的連接類型選局域網。
2) 建立管理篩選器列表操作。這一點重要,要建立 協商安全、其他保持默認。加密選完整性和加密。這個篩選器保證入域計算機才能獲取ipsec策略執行,和服務器協商通信,沒入域計算機不能協商通信,也就訪問不了服務器。
還可以建立允許和阻止操作。
3)根據上面的結果,建立新德ip安全策略,在ip安全策略裏面可以添加多個,例如領導不受控制的ip允許策略,還有黑名單的ip阻止策略。不要選激活默認的規則。並指派。
2.客戶端配置:
1)新建客戶端ou,把要訪問的域計算機加進出,不加的同樣無法訪問服務器。在這個ou新建gpo。
2)同服務器端一樣,建立ip篩選列表,這次可以指定服務器ip。如:我的 ip 到 固定 ip 53 端口。
3)選擇服務器端一樣的篩選器列表。並指派。
3.完成後,gpupdate /force
4.在服務器,客戶端 用 gpresult 查看域計算機執行的策略。
5.排錯:
1)計算機沒有執行域的ipsec策略:
我實際中的解決:再建多一個ou,把計算機放進去,新建gpo,看看。可以了再放回來。
2)計算機加入域後又退域:
用oldcmp查找
6.破解限制的方法:
破壞總比建設容易,我想了幾條方法。這裏就不寫了,免得被公司人看見。領導規定,我也沒辦法。