环境 ：win2003server as dc.win2000advanced server各一台。两台计算机的证书必须来自都信任的认证中心路径的ca.

步骤：一。 Win2003配置，作为管理员登录域中，1.startàrun->mmcàfileàadd/remove snap-inàaddàa. ip security policy managementàaddàat “select computer”choose”local computer”àfinish.

b. servicesàaddàat ‘select computer’choose “local computer”—finish

2.then closeàok.to close add/remove snap-in.

3.在控制台树中，单击“ip security policies on local machine”à 在右边资料中右键单击“secure server(require security)”àproperties-à at”secure server(require security)properties”中click addà利用security rule向导完成。可接受默认选择。--〉在tunnel endpoint à choose”this rule does not specify a tunnel”àat”network type”choose “all network connected”àat “ip filterlist” choose”all ip trafficàat”filter action”choose”require security”àat “authentication method”choose”use a certificate from this certificate authorityàbrowseàchoose the ca(you must trust)”àfinshàat “secure server(require security )properties”除了authentication显示为certificate的外全部清除复选框。--〉退出。

4．在详细资料窗口中右键（secure server(require security)properties）àassign

在win2000计算机上使用同样的配置方式。

二．利用 ping 和ip security monitor.

Ping 192.1+68.1.3(win2000 ip)将会看到 “negotiating ip security”

利用ip security monitor监视ipsec活动。Win2000使用ipsecmon命令 win2003好像不行（可以在mmc中添加）。Ok

三．删除安全性相关。

在控制台树中，单击“ip security policies on local machine”右键单击“secure server(require security)”à unassign 退出 。