通过IPSec的Kerberos认证,客户端协商ping通服务器
网络环境:一台域控制器,IP地址:192.168.10.1一台加加入域的PC,IP地址:192.168.10.3
实验目的:通过IPSec的Kerberos认证,客户端协商ping通服务器
具体步骤:
1、 在DC服务器,运行“mmc”—>添加“IP安全策略管理”
clip_p_w_picpath002
2、右键IP安全策略来创建一条IP安全策略
clip_p_w_picpath004
clip_p_w_picpath006 clip_p_w_picpath008 clip_p_w_picpath010 clip_p_w_picpath012
3、选择“添加”一条IP安全规则
clip_p_w_picpath014
4、选择“添加”来添加一条新规则
clip_p_w_picpath016
clip_p_w_picpath018
5、添加“源地址”、“目的地址”、“协议”
clip_p_w_picpath020
clip_p_w_picpath022 clip_p_w_picpath024
clip_p_w_picpath026
6、选择“协商安全”--->“添加”--->“完整性和加密”
clip_p_w_picpath028
clip_p_w_picpath030
clip_p_w_picpath032
clip_p_w_picpath034
clip_p_w_picpath036
7、身份验证方法选择“Kerberos”,基于域环境,不是域环境就选择“共享密钥”
clip_p_w_picpath038
8、右键自已建的IP安全策略—>“指派”使其生效。
clip_p_w_picpath040
clip_p_w_picpath042
9、服务器启用了IPSec来协商安全ping服务器,客户端PC在没有设定IPSec时是Ping不通服务器
clip_p_w_picpath044
10、客户端设IPSec和服务器一样,就不截图了,目的地址可以指定服务器的IP地址,当能目的地址也可以指定任何IP地址。
clip_p_w_picpath046
clip_p_w_picpath048
客户端再去ping服务器出现“Negotiating IP Security”
clip_p_w_picpath050
以上方法基于Kerberos认证,还可以共享密钥,方法一样,只要把验证地方改下,共享密钥一样。
下一个实验:IPSec的共享密钥认证,加强Windows2003远程桌面服务器