Datenverkehr, und nicht möglich--durch IPSec gesichert werden kann--

IP Security Protocol (IPSec) in Windows 2000 dient zur IP-Datenverkehr zwischen zwei Computern sichern, die Kommunikation, indem ihre IP-Adressen. In einer IPSec-Richtlinie definierten Filter verwendet, um IP-Pakete zu klassifizieren. Nachdem ein Paket (mit einem Filter übereinstimmend) klassifiziert wird, erfolgt die konfigurierten Filter Aktion.

IPSec-gilt für IP-Pakete gesendet und empfangen werden. Pakete sind mit Filtern verglichen, wenn diese gesendet werden (ausgehend), ob diese, gesichert wird blockiert, oder in Klartext übergeben. Pakete werden auch zugeordnet, wenn Sie, ob Sie haben abgesichert wurde sollten, blockiert werden oder sollte (zulässige) in das System in Klartext übergeben werden (eingehend) empfangen werden.

Die folgenden Typen von IP-Datenverkehr standardmäßig ausgenommen werden und können nicht durch IPSec in Windows 2000 gesichert werden:

• Broadcast
  Datenverkehr von einem Absender an viele Empfänger, die an den Absender unbekannt sind. Diese Art von Paket kann nicht durch IPSec-Filter klassifiziert werden. Beispielsweise würde ein C#-Standardklasse Subnetz 192.168.0.x mithilfe eine Broadcastadresse 192.168.0.255 haben. Die Broadcastadresse hängt die Subnetzmaske ein.
• Multicast
  Wie bei Broadcast-Datenverkehr sendet einen Absender ein IP-Paket an viele Empfänger, die an den Absender unbekannt sind. Diese sind Adressen im Bereich von 224.0.0.0 bis 239.255.255.255.
• Resource Reservation-Protokoll (RSVP)
  Dieser Datenverkehr verwendet IP-Protokoll 46 und wird verwendet, Quality Of Service (QoS) in Windows 2000 bereitzustellen. Ausnahme von RSVP-Datenverkehr ist erforderlich um QOS-Markierungen für Datenverkehr zu ermöglichen, die durch IPSec geschützt werden kann.
• Internetschlüsselaustausch (IKE)
  IKE ist ein Protokoll mit IPSec sichere Aushandeln von Sicherheitsparametern (Wenn Filter Aktion gibt an, dass Sicherheit ausgehandelt werden muss) und gemeinsam genutzten Verschlüsselungsschlüssel herstellen, nachdem ein Paket einem Filter entspricht verwendet. Windows 2000 verwendet immer einen User Datagram Protocol (UDP) Quelle und Ziel-Port 500 für IKE-Datenverkehr.
• Kerberos
  Kerberos ist das zentrale Windows 2000 verwendete Sicherheitsprotokoll in der Regel von IKE für IPSec-Authentifizierung verwendet. Dieser Datenverkehr verwendet einen UDP-TCP-Protokoll Quell- und Port 88. Kerberos ist selbst ein Sicherheitsprotokoll, die nicht durch IPSec gesichert werden muss. Die Kerberos-Ausnahme ist im Grunde dies: Wenn ein Paket TCP oder UDP ist und verfügt über einen Quelle oder Ziel-Port = 88, zulassen.

Hinweis : Diese Ausnahmen gelten für IPSec-Transport-Modus-Filter für Pakete mit eine Quelladresse des Computers, die das Paket gesendet wird. IPSec-Tunnel können nur für Unicast-IP-Datenverkehr sichern. IPSec-Tunnelmodus Filter können auch nicht Multicast-oder Broadcastpakete verarbeiten. Wenn Kerberos, IKE oder RSVP-Pakete werden auf einem Adapter empfangen und von einem anderen Adapter (mithilfe Paketweiterleitung oder Routing- und RAS-Dienst) weitergeleitet, Sie sind nicht von IPSec-Tunnelmodus Filter ausgenommen und innerhalb des Tunnels ausgeführt werden konnte.

Weitere Informationen über den IKE-Protokoll finden Sie unter RFC 2409: Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft garantiert nicht die Genauigkeit dieser Kontaktinformationen von Drittanbietern.

Weitere Informationen dazu, RSVP folgendem Artikel der Microsoft Knowledge Base: Weitere Informationen zu Kerberos finden Sie unter das Thema "Kerberos V5-Authentifizierung" in Windows 2000-Hilfe sowie technische Dokumente zu Kerberos die folgenden Microsoft-Website: Weitere Informationen über das IPSec-Feature in Microsoft Windows Server 2003 finden Sie die folgende KB-Artikelnummer: