Видимо, после включени Secure Server - пропадает связь с всеми машинами, у кого политика не включена, в данном случае у него пропала связь с DC,
[/quote]
Так и должно быть.
Политика Secure Server требует обязательного согласования безопасного канала и если это невозможно сделать связь не устанавливается.
А так как на DC нет политики Client, связь с ним не устанавливается и соответственно полный гемор начинается.
[/quote]
но к примеру, с сервера 1 на сервер 2 я захожу без проблем,
напомню что на сервере 1 включена политика Server, получается что сервера могут устанавливать между собой отношения на основе серверных политик.
Получается что на DC нужно просто включить политику Server и все заработает.
slz "Разобравшись" с EFS, решил вернуться к старой проблеме.
Включил на сервере1 request, на своем компе client Все работает, решил сделать тоже на DC (request), поработало какое-то время, а потом перестало:
Перестало работать соединение между сервером1 и DC, а потом и между мной и DC, но между мной и сервером1 и другими серверами все работало.
Пришлось с DC1 все отключить.
Как вариант думаю, что проблема с Керберосом:
мой компьютер соединяется с DC видит, что там request, использует шифрование, а метод аутентификации Kerberos, и из-за шифрования она не проходит. Но это неточно надо с Phrase проэкспериментировать.
Если есть домен, то необходимо использовать kerberos или сертификаты
Pre-Shared key - храниться в реестре в открытом виде.
Если на DC включена политика request, то на всех ПК и серваках должна быть политика Client.
Можно на DC настроить руками - шифровать для тех кто происит и поддерживает, для остальных не шифровать.
Если есть домен, то необходимо использовать kerberos или сертификаты
Pre-Shared key - храниться в реестре в открытом виде.
Если на DC включена политика request, то на всех ПК и серваках должна быть политика Client.
Можно на DC настроить руками - шифровать для тех кто происит и поддерживает, для остальных не шифровать.
[/quote]
Стоп,
мне же надо шифровать не только доступ к DC, а так же и к другим серверам,
А если у меня будет request только на DC, а на всех остальных Client,
разве будет шифроваться траффик между мной и другими серверами?!
А как я понял, политику можно применить только одну!
Если на DC включена политика request, то на всех ПК и серваках должна быть политика Client.
[/quote]
Это как мимнимум Конечно если сервак должен всегда шифровать трафик - request или require security.
Цитата
А как я понял, политику можно применить только одну!
[/quote]
Абсолютно правильно.
[/quote]
отлично, так а делать то что?!
Ведь если на сервере (не DC), поставить Client, то между мной и этим сервером, шифрования не будет!!! Или будет?
А если на нем поставить Server, то пользователи не смогут на него коннектиться, так как политика будет конфликтовать с политикой на DC!
Ведь если на сервере (не DC), поставить Client, то между мной и этим сервером, шифрования не будет!!! Или будет?
[/quote]
Не будет.
Client - не требует шифрования.
Если комп с политикой клиент коннектиться к компу без политики - нет шифрования, если с политикой request - то сначала идет коннект без шифрования и его отлуп, потом идет согласование безопасности и коннект шифрованный
slz так что же делать?!
шифровать только отдельные сервера?!
И то мягкой политикой, потому как иначе, не получиться залогиниться при аутентификации по Керберос, но меня мягкая не устраивает!
Remy А какая задача то преследуется?
Если надо шифровать весь трафик, то проще кароточки с аппаратным IPSec купить.
Включение request на DC приведет к тому, что новые ПК нельзя будет в домен ввести.
Remy » 05 апр 2006, 14:32 