Déploiement IPSec avec Win2003

Recherche :

Dernière réponse
Sujet : Déploiement IPSec avec Win2003
Bybeu	Bonjour tous J'ai monté une PKI windows 2003 SP1 Standard sur mon DC qui doit faire serveur VPN avec L2TP/IPSec pour des clients XP SP2: voilà le décor. Le personnage maintenant: moi, inspiré comme une carpe avec un marteau. J'ai quelques questions: La première concerne l'installation. Pendant celle-ci je n'ai pas coché l'option avancée (ou "personalisée" ) qui permet au service de cetificats de générer des cetificats dans le système de fichier, mais un partage "CertEnroll" a quand même été créé. Est-ce dû à la version de w2003? Un premier certificat est déjà présent dans ce partage sans que j'ai rien demandé, c'est normal? Ça craint? Et aussi deux listes de révocation et une page asp... Ensuite, j'ai commencé un peu de conf grâce à l'aide en ligne de windows: et là, reproblème: je voudrais recevoir des e-mails quand certains évènements de certification se produiront, mais la commande indiquée dans l'aide plante : CertUtil -setreg exit\smtp\smtpserver monserveur me renvoie l'erreur ~ 0x80070002 ( win32 : 2) ~Fichier introuvable.... une idée (effectivement la branche registre hklm\system\currentcontrolset\services\Certsvc\configuration\ma_CA\ExitModules\CertificateAuthority_MicrosoftDefault.Exit\ contient tout juste deux pauvres valeurs mais pas de sous-clefs \SMTP et SMTP\CRLIssued Denied etc... comme il y en a sur mon serveur de test (w2k3 Enterprise sans SP)) ... problème...mineur disons Après c'est là que je bloque: si j'ai bien compris, il faut que les ordis et le serveur VPN possèdent un certificat. Comment le leur faire obtenir et lesquels? Faut-il dupliquer les modèles IPSec et IPSec hors connexion? bon début, non? Merci pour votre aide

Dernière réponse

Sujet : Déploiement IPSec avec Win2003

Bybeu

Bonjour tous
J'ai monté une PKI windows 2003 SP1 Standard sur mon DC qui doit faire serveur VPN avec L2TP/IPSec pour des clients XP SP2: voilà le décor.
Le personnage maintenant: moi, inspiré comme une carpe avec un marteau.
J'ai quelques questions:
La première concerne l'installation. Pendant celle-ci je n'ai pas coché l'option avancée (ou "personalisée" ) qui permet au service de cetificats de générer des cetificats dans le système de fichier, mais un partage "CertEnroll" a quand même été créé. Est-ce dû à la version de w2003? Un premier certificat est déjà présent dans ce partage sans que j'ai rien demandé, c'est normal? Ça craint? Et aussi deux listes de révocation et une page asp...

Ensuite, j'ai commencé un peu de conf grâce à l'aide en ligne de windows:
et là, reproblème: je voudrais recevoir des e-mails quand certains évènements de certification se produiront, mais la commande indiquée dans l'aide plante : CertUtil -setreg exit\smtp\smtpserver monserveur me renvoie l'erreur ~ 0x80070002 ( win32 : 2) ~Fichier introuvable.... une idée (effectivement la branche registre hklm\system\currentcontrolset\services\Certsvc\configuration\ma_CA\ExitModules\CertificateAuthority_MicrosoftDefault.Exit\ contient tout juste deux pauvres valeurs mais pas de sous-clefs \SMTP et SMTP\CRLIssued Denied etc... comme il y en a sur mon serveur de test (w2k3 Enterprise sans SP))
... problème...mineur disons

Après c'est là que je bloque: si j'ai bien compris, il faut que les ordis et le serveur VPN possèdent un certificat.
Comment le leur faire obtenir et lesquels? Faut-il dupliquer les modèles IPSec et IPSec hors connexion?

bon début, non?

Merci pour votre aide

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

Bybeu

bigstyle

Ton autorité de certification est d entreprise ou autonome.
Si c est d entreprise la demande de tes client se fera automatiquement.

Il faut suivre ce screenshot pour la GPO de tes serveurs web.
Et sur la GPO de tes ordinateurs, tu configures IPSec pour le Client(Respond Only) et ca devrait être bon.

Moa_

J'ai un réseau avec un serveur de fichiers, 2 serveurs web et un serveur controleur de domaine avec Active Directory.
Je veux sécuriser tous les échanges grâce à IPSec.
Sachant que tous les serveurs sont inclus dans active directory, suffit-il de choisir une stratégie de sécurité IP comme sur le screenshot pour qu'elle soit appliquée à tout le domaine ?

http://wiloo1.free.fr/ss1.JPG

J'utilise des certificats au lieu de Kerberos pour l'authentification.
La demande de certificat se fait-elle automatiquement à l'autorité de certification ?

Merci d'avance