这是我的基础架构configuration:
我的第一个问题是:为什么我必须在“请求/请求”上设置AD服务器? 是否因为我使用基于Kerberos的默认身份validation方法?
我的第二个问题是:这样安全吗? 从我的看法来看,AD并没有被IPSec保护,所以它很脆弱,对吗? 这是否危险?
我的第三个也是最后一个问题:你们认为在Windows Server上使用完整的IPSec域隔离策略是最好的方法吗? 我对这项技术感到非常高兴,直到我发现AD没有得到保护。
谢谢你的时间!
这是安全的,你的广告不是脆弱的(虽然我确实有责任问,你是否试图保护它,如果没有别的原因,而不是让你思考 – 安全是一个过程,而不是产品或技术)。
这就是Kerberos所做的事情 ,所以,事实上,Active Directory并非完全不安全,正如您似乎认为的那样。 而且,由于您运行的是Server 2008,因此以下介绍如何手动configurationKerberos通信的encryptiontypes 。 他之前的logging也相当不错,至less就深入解释crypto而言, 他解剖了一个样本Kerberos交换 。 不是我有趣的时间的想法,但它是相当可忍受的。
(如果您有任何XP客户端,请小心使用这些设置。与家庭版本兼容,任何SP3以前的版本,以及没有安装Windows Update的修补程序的更强大的algorithm都会带来危险。
我build议你阅读这篇Technet文章 ,它解释了IPSec(以及Kerberos中的一些),然后,如果你仍然有问题…那么现在是时候去咨询一本书,其中许多已经写在话题。