Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
ну а как с этим..??? 26.02.02 19:15 Число просмотров: 1148
Автор: iokana <iokana jon> Статус: Member
|
> > > логах > > > > ак и записано: > > > > Тип события: Предупреждение > > > > Источник события: RemoteAccess > > > > Категория события: Отсутствует > > > > Код события: 20192 > > > > Дата: 19.02.2002 > > > > Время: 18:39:32 > > > > Пользователь: Нет данных > > > > Компьютер: TEST > > > > Описание: > > > > Не удалось найти сертификат. Подключениям, > > которые > > > > используют этот протокол L2TP через IPSec, > > требуется > > > > установка на компьютере сертификата > компьютера. > > > L2TP-вызовы > > > > приниматься не будут. ) > > > > > > > > или нада цент сертификатов ставить? > > > > ..помогите други.. > > Начнем сначала попробуй так : > Открыть Routing and Remote Access в MMC или через > Administrative Tools. > правой крысой на снопке Ports посмотреть есго свойства. > фокус на WAN Miniport (L2TP) и вызвать его конфигурацию. > В контроле Maximum Ports поставить 0 . > На все предупреждения жми "да" а потом закрой всю эту > хрень. > > > > Вариатн 1 : M$ рекомендует для безопасного обмена > > инфой > > > использовать сертификаты открытого ключа, должно > быть > > > достигнуто "Security Association", для достижения > его > > > используют Internet Key Exchange, как следствие > > > тебе прийдется поставить хотябы один > > Certification > > > Autority Center , а IKE обеспечит > > совместимость с > > > несколькими системами сертификации, сертификат > > > определенного типа конечно не нужен, главное чтоб > он > > входил > > > в учетную запись компа, был правильно подписан и > не > > был > > > просрочен. > > ну поставил я ЦС, и как в нем этот IKE сделать? > > Поставил ЦС - сходи по линкам которые я дал, вкратце - > тебе нужно сделать для машины TEST сертификат. > ;-)))) > IKE - ставить не надо, это стандартный > метод сопоставления безопасности и > разрешения обмена ключами. Короче - это один из механизмов > IPSec, это не софтина,а служба. > смотри, а ежели поднять домен и включить клиента в него ну для начала по локалке..., а потом коннектиться по модемам?? здесь сертификаты ведь же должны быть??..
> > > > > > > Вариант 2: Kerberos v5, главное чтоб клиент его > > поддерживал > > > и входил в доверяемый домен. > > вообще-то это просто изолированный сервак > (стэндэлон).. > > и как тогда быть здесь? > > По моему - никак, попробуй поднять на нем домен, можно без > АД, просто если мне не изменяет память - служба Kerberos > устанавливается на каждом контроллере домена, а если просто > сервак - то на нем есть только клиент, и второе - домен > адм. единица а realm e Kerberos в 2000 это и есть тот самый > домен, и назвали его так только для совместимости с > терминологией НТ. > Короче - в этом случае ставь домен. > > > >
так всеже не понятно, это однозначно - ставить домен или нет?..
> > > Вариант 3: Общий ключ, на его использование надо > > настроить > > > IPSec вручную через IPSec policies on Active Dir. > при > > > создании нового или изменении текущего полиса > > безопасности, > > > можно настройки проверить такой софтиной как > > ipsecmon.exe > > ну ежели сервер не входит в домен и на нем не > поднята АД? > > а софтина в стандартной комплектации сервер2000 есть?
а как строить саму политику? конкретно-то?
> > софтина есть, а вот на счет AD мыслю так : откуда берется > инфа о оплитике для агента IPSec ? - из АД либо по идее из > реестра, так что сам агент от отсутствия АД страдать не > должен. Честно - я не делал этих фокусов на станд алоне > серваках, только где АД ставит там с IPSec и работал. > > > > > > > Да, мелочь одна - политика IPSec назначенная в > домене > > > переопределяет твою локальную политику только > если > > твой > > > комп является членом домена, да и самого агента > IPSec > > и > > > службу Kerberos Key надо выставить на > авто-рестарт при > > > обвале ( как службу) > > ну эт ясен пень.. > > а вообще М$ тутконечна намудрила, хотя и безопасно > блин.. > > Поставь второй сервиспак, в первом много ошибок при > соединении по L2TP. > Вот я у коллеги спросил как у него сделано, он сказал что с > M$ не геммороился, а поставил PGP сервер, взял он его в > нэте.
вот про это поподробнее расскажи.... что? да как? де взять этот ПЖП и как его ставить?...
не совсем понятно с вариантами - получается, что выариант всеже один -АД, ну и подразделы со своей службой серификации или с ПЖП ??
жду ответа с нетерпением..
|
|
|