Remy А какая задача то преследуется?
Если надо шифровать весь трафик, то проще кароточки с аппаратным IPSec купить.
Включение request на DC приведет к тому, что новые ПК нельзя будет в домен ввести.
[/quote]
шифровать сетевой траффик:
как минимум до Exchange, ISA и FS.
Хотя вроде до Exchange и не требуется, он же не в открытом виде пасворды передает?!
У нас один из офисов подключен в сеть через свич провайдера, свич HP ProCurves, не нужно много ума, чтоб настроить мониторинг по портам и снимать снифером весь траффик!
Пароли в открытом виде не передаются уже давно, за исключением FTP и Telnet.
В Outlook можно настроить тип аутентификации kerberos, либо через Office Resource Kits.
Минимальный требуемый уровень атентификации через GPO, можно обрезать LM, NTLM, оставивь только NTLMv2.
IPSec можно настроить на кокретный протокол/сервис и шифровать только его и только на определенные сервера.
Цитата
У нас один из офисов подключен в сеть через свич провайдера, свич HP ProCurves
[/quote]
slz пользователи и пров подключены в один и тот же свич,
дальше по транку этот свич соединяется с другим свичем в который подключен сервер.
То есть пров может мониторить пакеты уже на первом свиче и смысла так же как и возможности в шифровании канала (транка) между свичами нет.
Вот и получается что шифровать надо сразу на клиенте, чтоб через свич шел шифрованный пакет.
http://technet2.microsoft.com/WindowsSe ... x?mfr=true IPSec Uses That Are Not Recommended
Securing communication between domain members and their domain controllers. In addition to reduced network performance, using IPSec for this scenario is not recommended because of the complexity of the IPSec policy configuration and management required.
Remy » 13 апр 2007, 11:06 