实现方法:

1.公司的电脑根据mac地址在DHCP服务器自动获取固定ip,dns指向公司的dns服务器,dns服务器可以转发dns查询。

2.dns服务器和域服务器在同一台服务器。

3.公司有一台应用级别的防火墙,添加策略只有dns服务器才能访问internet的dns的udp 53端口。

4.用ip安全策略实现只有入域计算机才能访问dns服务器的udp53端口。


域ipsec策略配置:

1.服务器端的配置:

本案例的dns服务器和域服务器是同一服务器,不用新建服务器ou和新建gpo,直接编辑Default Domain Controllers Policy。

1)先建立ip筛选列表,相当于acl。可以建立多个acl。例如:任何ip 到 我的ip 的udp53端口。后面的连接类型选局域网。

2) 建立管理筛选器列表操作。这一点重要,要建立 协商安全、其他保持默认。加密选完整性和加密。这个筛选器保证入域计算机才能获取ipsec策略执行,和服务器协商通信,没入域计算机不能协商通信,也就访问不了服务器。
   还可以建立允许和阻止操作。

3)根据上面的结果,建立新德ip安全策略,在ip安全策略里面可以添加多个,例如领导不受控制的ip允许策略,还有黑名单的ip阻止策略。不要选激活默认的规则。并指派。


2.客户端配置:
1)新建客户端ou,把要访问的域计算机加进出,不加的同样无法访问服务器。在这个ou新建gpo。
2)同服务器端一样,建立ip筛选列表,这次可以指定服务器ip。如:我的 ip 到 固定 ip 53 端口。
3)选择服务器端一样的筛选器列表。并指派。

3.完成后,gpupdate /force

4.在服务器,客户端 用 gpresult 查看域计算机执行的策略。

5.排错:
  1)计算机没有执行域的ipsec策略:
    我实际中的解决:再建多一个ou,把计算机放进去,新建gpo,看看。可以了再放回来。
  2)计算机加入域后又退域:
    用oldcmp查找
6.破解限制的方法:
  破坏总比建设容易,我想了几条方法。这里就不写了,免得被公司人看见。领导规定,我也没办法。