, indledningen, jeg kan huske, da windows 2000 - serveren blev løsladt.en af de ting, som jeg ser meget frem til, var ipsec.med ipsec støtte skæv lige ind i styresystemet, jeg ville være i stand til at sikre sammenhængen mellem alle computere på mit netværk.ikke længere ville jeg bekymre mig om nogen med et net sniffer stjæler passwords, brugernes navne og anvendelse af oplysninger, som det flyttet over hegnet.mens ipsec kunne have gjort det muligt, viste det sig, at det er for kompliceret, for begrænset, og ærlig talt for meget af en pestilens for at få det til at fungere., med windows server - 2003, det må være en smule lettere.mens windows 2000 - server, der kræves, at du løb ipsec troldmand i hver af de maskiner, som du ville kunne ipsec politik, windows server - 2003 lader dig bruge koncernens politik, i form af anipsec gruppepolice bid i, at konfigurere ipsec politik for windows server - 2003 og vinduer xp på nettet.med aktiv adresseregister for koncernens politik, kunne du omfang ipsec politikker.men den samme kompleksitet i ipsec konfiguration troldmand, vi havde med windows server - 2000 ipsec konfiguration fortsatte med windows server - 2003 og vinduer xp.,, ipsec er en del af vinduerne tcp /ip stack, med ipsec chauffør er et meget lavt niveau, chauffør.ipsec politik, som navnet antyder, er indført på nettet lag, før ansøgningen lag data er modtaget af et system.når du skal finde et ipsec politik, du rent faktisk få ipsec regler, der bestemmer:,,, hvad der skal have ipsec beskyttelse for det, om trafikken bør tillades eller blokeret, hvis trafikken er tilladt, om det skal kræve godkendelse eller kryptering, og hvis autentificeringen og /eller kryptering er påkrævet, hvilken type godkendelse eller kryptering bør anvendes.,,, der er andre miljøer, som f.eks. en, der definerer oprindelse og bestemmelsessted adresse eller netværk, som den politik, der bør anvendes, mens jeg troede, ipsec var virkelig cool, og en af grundene til at blive begejstret for windows 2000 - serveren, den spænding ikke generalisere til fællesskabets almindelige, sandsynligvis for de årsager, der er nævnt ovenfor.men der synes at være en bule i ipsec vej, som rystede det lidt rundt i 2005, hvor microsoft at offentliggøre oplysninger om server og domæne isolering (sdi).visionen om sdi, var, at man kunne naturligvis segment dit netværk, for at beskytte dit domæne aktiver fra værter for lavere tillid.løftet om sdi, var, at man kunne naturligvis segment af høj værdi aktiver af lavere værdi af aktiver (eller høje stole på aktiver af lavere tillid aktiver) i stedet for fysisk at isolere disse sikkerhedszoner fra hinanden.evnen til at logisk segment med ipsec som sikkerhed grænse virkede meget attraktiv og potentielt enorme omkostninger. hej.det lød meget attraktive, sdi på papir.men, som de siger, djævelen er i detaljerne, og det viste sig, at djævlen er i live og har det godt.for at skabe en effektiv sdi løsning, at man var nødt til at skabe et stort antal regler, hvilket resulterede i en meget kompliceret indsættelse scenario.den var kompleks, ikke kun i sin udformning, men også i forbindelse med den løbende forvaltning.du var nødt til at skabe et stort antal regler, og du var nødt til at skabe endnu flere regler, der skabte undtagelser fra de regler, de allerede havde skabt.potentialet for et virvar af regler svarende til en dårligt styret datacenter er virvar af kabler var normen og administratorer mistet interessen for sdi over tid, ved alle, at det undertiden er microsoft et par prøver at bringe orden i tingene.de vil ikke opgive drømmen om, hvad ipsec kunne levere det admins, så de tog et kig på de problemer med, hvordan ipsec blev gennemført, og besluttede at løse nogle af disse problemer.dette førte til udviklingen af authip – en gennemførelse af ipsec det træk, forbedringer i internet key exchange (ike) protokol, der er fastsat nogle af de vigtigste begrænsninger i de tidligere udgaver af ipsec.authip først blev indført med vista og windows server - 2008, og er også medtaget i windows 7 og windows server - 2008 r2.,, authip forbedringer til ipsec,,, authip er faktisk en række forlængelser af den ike protokol, der omfatter nye flag og forhandling metoder til at øge nytteværdien af ipsec.authip kan anvendes sammen med computere styrer vista, windows 7, windows server - 2008 og windows server - 2008, r2.og hvis disse computere er nødt til at bruge ipsec at kommunikere med ned til niveau computere, der ikke støtter authip, kan de ikke tilbage for at bruge det.,, authip giver følgende elementer, som ikke var til rådighed tidligere udgaver af ike:,,, autentificerer brugere på nye måder, autentificerer ved hjælp af en række forskellige protokoller eller metoder, der bruger mere effektiv protokol forhandlinger, anvender flere forskellige sæt kvalifikationer til at autentificere, giver brugerne på nye måder,,, hvis du husker, hvordan autentificering arbejdet med tidligere versioner af ipsec, du ved, at godkendelse var baseret på edb - papirer.du havde to muligheder for edb - autentificering: edb - certifikat autentificeringen eller computer til autentificering af kerberos.- du kunne også bruge en præ - delt nøgle, men det er ret lavt i fødevarekæden, når det gælder skalerbarhed og sikkerhed.hvis du ville styre, som brugerne har adgang til en server ansøgning, du fik at gøre med brugerautentificering ved anvendelsen niveau –, som betød upålideligt brugere fra stolede på maskiner kan potentielt gearing, et angreb på nettet - plan mod værtsserveren for anvendelsen af interesse, med authip, du kan kontrollere adgangen af edb - regnskab, brugerkonto eller begge dele.dette styrker godkendelse til et lavere niveau i tcp /ip stack, så nu behøver du ikke afhænge af anvendelsen giver brugeren.med authip, kan du bekræfte ægtheden af brugeren på nettet lag og beskytte anvendelse fra net lag angreb det ske før applikationsdel autentificeringen finder sted, kan du bruge følgende metoder af brugerautentificering med authip:,,, edb - sundhedscertifikat, som anvendes af netadgang beskyttelse (nap), bruger certifikat (brugercertifikat i den pågældende certifikat opbevares), ntlmv2 for logget på brugerkonti, kerberos for logget på brugerkonti, attesterer ved hjælp af forskellige metoder, authip åbner indsættelse scenarier er ikke til rådighed med tidligere versioner af ipsec.for eksempel er der situationer, hvor du er nødt til at støtte forskellige autentificering metoder på hver side af forhandlingerne.at frem sætte et eksempel, kan et medlem af ipsec peer forhandling støtter certifikat, autentificering, mens den anden side støtter computer til godkendelse.dette scenario ville fejle i de tidligere versioner, men er aktiveret ved authip., f.eks. overveje en situation, hvor man ønsker at bruge ipsec til sikker kommunikation mellem en server i dmz og en server lokaliseret i datacenter.- i den demilitariserede zone er i en skov, der er en ensrettet tillid med datacenter server er skov, således at den demilitariserede zone skov stoler på datacenter skov, men datacenter skov ikke stoler på dmz - skoven.dette gør det muligt for brugere i den datacenter skov for at forbinde til dmz - server ved hjælp af bruger eller edb - papirer, men ikke gør det muligt for brugere i dmz skov til opkobling til datacenter ressourcer ved hjælp af edb eller bruger papirer.men du har udsendt, certifikater på begge de servere og hver server stoler på hinanden - - certifikat.med authip du nu kan støtte scenarier, hvor pa˚tegnelse af ligesindede bruger forskellige metoder for autentifikation.i dette scenario, hvor datacenter server autentificerer deres ipsec forbindelse til dmz - serveren, det vil anvende bruger eller edb - konto kerberos godkendelse.når dmz - serveren autentificerer til datacenter server, det vil anvende edb - eller brugeren certifikat godkendelse.selv om hver af de ipsec jævnaldrende er ved hjælp af en anden autentificering metode, de kan etablere et ipsec forbindelse, fordi målet er vellykket, autentificering, ikke kun vellykket autentificering med samme autentificering protokol.,, forhandle mere effektivt, og, som jeg har anført ovenfor med tidligere versioner af ipsec (ike) kan du bekræfte baseret på edb - konto, enten ved hjælp af edb - certifikater eller edb - konto ved anvendelse af kerberos.men hvis den foretrukne metode til ægthedskontrol, så hele ipsec forhandlingerne mislykkedes.,, har du vel to computere, som du ønsker at bruge ipsec til beskyttelse af kommunikation mellem dem.disse to computere, tilhører forskellige skove, og der er ingen tillid mellem skove.men du har anvendt edb - certifikater til begge disse værter, og befolkede det pålideligt root certificeringsmyndigheder »certificate butikker, således at hver maskine stoler på den anden maskine certifikat.men med tidligere versioner af ike, ipsec forhandlinger i dette scenario vil mislykkes, fordi efter ikke den kerberos autentificering, de potentielle ipsec partnere vil ikke forsøge at bruge edb - certifikat, autentificering.,, authip fastsætter dette problem ved at muliggøre forhandlinger om autentificering metoder.hvis en metode ikke, du kan få ipsec til at anvende andre metoder, og ipsec ligemænd vil fortsætte med at forhandle om autentificering metoder, indtil de finder en til fælles.dette i høj grad åbner antallet af scenarier, hvor du kan anvende ipsec og gør den samlede løsning lettere og lettere at konfigurere.,, der anvendes mere end et enkelt sæt kvalifikationer til at autentificere,,, som du måske har gættet, af at læse de forskellige scenarier, støttet af authip, du kan bruge flere beføjelser til at godkende ipsec ligemænd.kan du bekræfte ipsec ligemænd. edb akkreditiver, bruger papirer eller begge bruger - og edb - papirer.hvis du ved noget om directaccess, den nye teknologi med fjernadgang windows 7 enterprise /endelige udgave og windows server - 2008 r2, du ved, at infrastrukturen tunnel anvender edb - certifikat og edb - konto ntlmv2 autentificering, mens intranet tunnel anvender computer certifikat og brugerkonto kerberos godkendelse.ved at tilføje bruger papirer til autentificering blanding, kan du beskytte serverne fra ondsindede brugere, der benytter en stolede på maskine.,, et andet scenario er muliggjort af flere akkreditiver støtte lur.med en lur, en computer sundhedscertifikat, anvendes til at bekræfte en computer til at bevise, at det er et område i medlemsstaterne og er i overensstemmelse med net sundhedspolitikker.disse anbefalinger kan placeres oven på edb - og brugerkonto autentificering, hvis du vil. authip gør dette muligt.,, område registeransvarlige støtte nu gør - og domæne isolation muligt for resten af os, en af de grunde, ipsec ikke blev anvendt i de tidligere var problemet med domænecontrollere.hvis du vil bruge ipsec på deres net med tidligere versioner af ipsec, du havde til at fritage domænecontrollere fra din ipsec politikker.årsagen til dette var, at for at bekræfte en computer, du skulle have adgang til dc, og hvis du ikke kan få adgang til dc, du kan ikke bekræfte – så du løb ind i den klassiske "hønen og ægget" paradoks.,, windows server - 2008 og over og vista og løse dette problem ved at muliggøre følgende:,,, du ikke længere behøver at skabe undtagelser for domænecontrollere, som du kan få ipsec at beslutte, hvornår de skal bruge ipsecin kommunikerer med domænecontrollere.computere at vista og over og windows server - 2008 og ovenfor, kan blive tilskyndet til prøvelse ved tilslutning til et område registeransvarlige –, løser vi det gamle "område med" problem, hvor du havde brug for til at fritage en computer fra ipsec beskyttelse, hvis du ville være med i en edb - området.ved at gøre det muligt for som for papirer, ikke - domæne computere kan give anledning til prøvelse for at fastslå ipsec samling.for ned niveau kunder, kan man nemt skabe politikker (uden at skabe undtagelsesbestemmelser) anmodningen ipsec beskyttelse, men behøver det ikke.,,, disse forbedringer i intradomainipsec forhandlingerne gå en lang vej mod at ipsecdeployment faktisk muligt på net i dag.,,,, ipsec først blev indført med windows 2000 - server.det, som er meget lovende, var der en række grunde ikke tager fat om virksomhedsnet.med indførelsen af vista og windows server - 2008 (og windows 7 og windows server - 2008 r2), nu har de tjenesteydelser af authip, som fører til betydeligt mere fleksibilitet og kontrollerbarheden af ipsec.nu har du magtfulde autentificering af mekanismer, der er let at konfigurere med koncernens politik baseret på forvaltningsværktøjer, der gør det muligt for dem at skabe solide og magtfuld ipsec politikker uden den kompleksitet, som ikke anvendelse af tidligere udgaver af ipsec.kombinationen af nye afsenderautentificering, muligheder, evnen til at bruge flere mandater, mere fleksible autentificering, forhandling og muligheden for hver side at anvende forskellige metoder gør authip den salve, autentificering ipsec, der er nødvendige for at bryde igennem og finde sit fulde potentiale.,