在域中使用 Kerberos V5 来验证

easy

如果计算机不在域中，是不能用 Kerberos V5 的验证方式的；反之当计算机都隶属于域时，就可以选择该验证方式。

在域中设置 IPsec 安全通信，需要先将域控制器排除在外，也就是说域成员与域控制器间的通信不使用 IPSec。这是因为，域成员在利用 IPsec 验证域控制器之前，必须先要能够和它正常通信。域控制器这类型的计算机被称为 “基础架构计算机”，除它之外，像 CA，DHCP 服务器属于基础架构计算机。

现在一个域中，有一台域控制器，两台成员计算机，其中域控制器的 IP 为 192.168.2.1，另外两台计算机的 IP 分别为 192.168.2.10 和 192.168.2.11 。

下面将通过在域控制器上使用组策略来建立连接安全规则与排除规则。排除规则表示，成员计算机在和域控制器通讯时，不需要用 IPsec；连接安全规则使成员计算机之间的通信需要用到 IPsec 。在设置之前，请确保防火墙打开，否则连接安全规则不会起作用。

1. 开始 ---> 管理工具 ---> 组策略管理 ---> 展开 "groad.net" ---> 右击 "Default Domain Policy" ，在弹出菜单中选择 “编辑”：




2. 在弹出的“组策略管理编辑器”中，展开 “计算机配置” ---> “Windows 设置” ---> “高级安全 Windows 防火墙” ---> 右击 “连接安全规则”，在弹出菜单中选择 “新建规则” ：



3. 在弹出的 “新建连接安全规则向导” 中，选择 “免除身份验证” ，然后单击“下一步”：



4. 在 “免除计算机” 对话框中，单击 “添加” 按钮，在弹出的对话框中，输入域控制器的 IP 地址，然后 “确定”返回，并单击 “下一步”：



这里提一点的是，如果你的域环境中有 “默认网关”， “WINS 服务器”，“DHCP 服务器” 以及 “DNS 服务器”的话，也可以将这些“基础架构计算机”排除在外（也可以排除本地子网）：



5. 在 “配置文件” 对话框中保持默认，然后单击 “下一步”。

6. 在 “名称” 对话框中自定义一个名称，以及添加适当的描述，然后单击 “完成” 按钮。

7. 现在可以看到 “排除规则” 已经添加进来：


注意，如果上面还添加了 “默认网关”，“WINS 服务器” 等计算机集，那么这里需要双击该 “排除规则”，然后切换到 “计算机” 选项卡，并配置好终结点1和终结点2中的计算机。

那么到这里，规则是否已经生效了呢？还没有，我们可以在两台成员计算机上的防火墙的“连接安全规则” 里查看，并没有发现该规则添加进来。为了马上生效，可以在域控制器和两台成员计算机上手动执行 gpupdate /force 命令。

请注意，在成员计算机上执行该命令时，如果不成功，并出现如 “无法成功更新用户策略。遇到如下面的错误：处理组策略失败，原因是缺少到域控制器的网络连... ...”这样的错误提示，那么请检查成员计算机上的 DNS 是否已经设对（如域控制器和 DNS 同为一台服务器时，成员计算机上的 DNS 服务器就设置为域控制器的 IP 地址）。


当命令执行成功后，可以在成员计算机上的防火墙里的 “连接安全规则” 里查看，如果域控制器上设置的规则已经在这里显示出来，那么说明该组策略已经生效，如下图所示：




由于我们打算让两台成员计算机的通信是需要 IPSec 规则来保护验证的，所以这里继续编辑则策略：右击 “连接安全规则”，在弹出菜单中选择 “新建规则” ：



在弹出的对话框中选择 “服务器到服务器” ：



在“终结点”对话框中，填写“终结点 1” 和 “终结点 2” 的计算机 IP 地址范围：





接下来，选择 “入站和出站连接要求身份验证”，然后单击 “下一步”：



在 “身份验证方法” 对话框里选择 “高级”，单击旁边的“自定义”按钮，在弹出的对话框中单击 “添加”，然后选择 “计算机 (Kerberos V5)” 的验证方法：





上图中只是验证计算机的身份，你也可以验证用户身份，方法是通过界面右边的 “第二身份验证” 的“添加” 来选择“用户(Kerberos V5)”。这样做，除了验证计算机身份之外，还需要验证用户身份，也就是连接对方时，必须利用域用户账户来连接，而系统默认会利用用户登录的账户来连接的。

这样就完成了设置。同样为了让组策略马上生效，还是在域控制器及两台成员计算机上执行 gpupdate /force 命令：