通過IPSec的Kerberos認證,客戶端協商ping通伺服器
網路環境:一臺域控制器,IP地址:192.168.10.1一臺加加入域的PC,IP地址:192.168.10.3
實驗目的:通過IPSec的Kerberos認證,客戶端協商ping通伺服器
具體步驟:
1、 在DC伺服器,執行“mmc”—>新增“IP安全策略管理”
clip_p_w_picpath002
2、右鍵IP安全策略來建立一條IP安全策略
clip_p_w_picpath004
clip_p_w_picpath006 clip_p_w_picpath008 clip_p_w_picpath010 clip_p_w_picpath012
3、選擇“新增”一條IP安全規則
clip_p_w_picpath014
4、選擇“新增”來新增一條新規則
clip_p_w_picpath016
clip_p_w_picpath018
5、新增“源地址”、“目的地址”、“協議”
clip_p_w_picpath020
clip_p_w_picpath022 clip_p_w_picpath024
clip_p_w_picpath026
6、選擇“協商安全”--->“新增”--->“完整性和加密”
clip_p_w_picpath028
clip_p_w_picpath030
clip_p_w_picpath032
clip_p_w_picpath034
clip_p_w_picpath036
7、身份驗證方法選擇“Kerberos”,基於域環境,不是域環境就選擇“共享金鑰”
clip_p_w_picpath038
8、右鍵自已建的IP安全策略—>“指派”使其生效。
clip_p_w_picpath040
clip_p_w_picpath042
9、伺服器啟用了IPSec來協商安全ping伺服器,客戶端PC在沒有設定IPSec時是Ping不通伺服器
clip_p_w_picpath044
10、客戶端設IPSec和伺服器一樣,就不截圖了,目的地址可以指定伺服器的IP地址,當能目的地址也可以指定任何IP地址。
clip_p_w_picpath046
clip_p_w_picpath048
客戶端再去ping伺服器出現“Negotiating IP Security”
clip_p_w_picpath050
以上方法基於Kerberos認證,還可以共享金鑰,方法一樣,只要把驗證地方改下,共享金鑰一樣。
下一個實驗:IPSec的共享金鑰認證,加強Windows2003遠端桌面伺服器