Hi,
das ist das leidige Thema Vererbung von Richtlinien und Co.
Zunächst würde ich die Richtlinie nicht auf Domänenebene setzen. Das würde ja bedeuten daß die Clients nur mit IPSEC Antworten. Damit hast du ein Problem, sobald jemand bspw. mit einem Drucker sprechen will, der kein IPSec unterstützt....
Ich würde die Richtlinie auf dem Container für den Server als "Sicherheit erforderlich" setzen. Damit wird der Verkehr dorthin verschlüsselt.
ACHTUNG: Wenn das der DC ist und die Clients haben noch kein gültiges Zertifikat für die Verschlüsselung, dann kommen sie auch nicht mehr an den Server ran.
Das ist ein recht heikles unterfangen, denn wenn du die Richtlinie auf "anfordern" setzt, hast du nicht viel gewonnen (Die Clients die es können verschlüsseln ihren Verkehr zwar, aber wers nicht kann, der kommt ohne Verschlüsselung hin.
Die Clients würde ich in keinem Fall mit einer IPSecAnforderungs Richtlinie verbiegen. Hier genügt Client, nur Antwort.
Sei vorsichtig, bevor du sowas in einer Produktivumgebung machst!
Gruss
Götz