用域ipsec策略禁止非域计算机访问网络

实现方法：

1.公司的电脑根据mac地址在DHCP服务器自动获取固定ip，dns指向公司的dns服务器，dns服务器可以转发dns查询。

2.dns服务器和域服务器在同一台服务器。

3.公司有一台应用级别的防火墙，添加策略只有dns服务器才能访问internet的dns的udp 53端口。

4.用ip安全策略实现只有入域计算机才能访问dns服务器的udp53端口。

域ipsec策略配置：

1.服务器端的配置：

本案例的dns服务器和域服务器是同一服务器，不用新建服务器ou和新建gpo，直接编辑Default Domain Controllers Policy。

1）先建立ip筛选列表，相当于acl。可以建立多个acl。例如:任何ip 到 我的ip 的udp53端口。后面的连接类型选局域网。

2) 建立管理筛选器列表操作。这一点重要，要建立 协商安全、其他保持默认。加密选完整性和加密。这个筛选器保证入域计算机才能获取ipsec策略执行，和服务器协商通信，没入域计算机不能协商通信，也就访问不了服务器。
   还可以建立允许和阻止操作。

3）根据上面的结果，建立新德ip安全策略，在ip安全策略里面可以添加多个，例如领导不受控制的ip允许策略，还有黑名单的ip阻止策略。不要选激活默认的规则。并指派。

2.客户端配置：
1）新建客户端ou，把要访问的域计算机加进出，不加的同样无法访问服务器。在这个ou新建gpo。
2）同服务器端一样，建立ip筛选列表，这次可以指定服务器ip。如：我的 ip 到 固定 ip 53 端口。
3）选择服务器端一样的筛选器列表。并指派。

3.完成后，gpupdate /force

4.在服务器，客户端 用 gpresult 查看域计算机执行的策略。

5.排错：
  1）计算机没有执行域的ipsec策略：
    我实际中的解决：再建多一个ou，把计算机放进去，新建gpo，看看。可以了再放回来。
  2）计算机加入域后又退域：
    用oldcmp查找
6.破解限制的方法：
  破坏总比建设容易，我想了几条方法。这里就不写了，免得被公司人看见。领导规定，我也没办法。