Trafic Kerberos entre les contrôleurs de domaine non sécurisé par IPSec

Traductions disponibles Traductions disponibles
Numéro d'article: 254728 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F254728
IMPORTANT : Cet article contient des informations portant sur la modification du Registre. Avant de modifier ce dernier, assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la procédure à suivre, consultez la rubrique d'aide " Restaurer le Registre " dans Regedit.exe ou la rubrique " Restaurer une clé de Registre " dans Regedt32.exe.
Agrandir tout | Réduire tout

Symptômes

Le protocole de sécurité IP (IPSec) ne protège pas le trafic Kerberos ou RSVP entre les contrôleurs de domaine Windows 2000, même lorsque le filtre de stratégie IPSec est configuré pour correspondre à l'ensemble du trafic IP entre les deux adresses IP. IPSec, lorsqu'il est configuré pour protéger l'ensemble du trafic entre les contrôleurs de domaine, laisse le trafic Kerberos apparaître comme trafic Kerberos sur la connexion, non protégé par IPSec.

Cause

Certains types de trafic sont volontairement dispensés de la protection d'IPSec, même lorsque la stratégie IPSec spécifie que tout le trafic IP doit être sécurisé. Les exceptions IPSec s'appliquent aux trafics Broadcast, Multicast, RSVP, IKE et Kerberos. Kerberos est lui-même un protocole de sécurité, pouvant être utilisé par IPSec pour l'authentification IKE, et n'a pas été conçu pour être sécurisé par IPSec. Par conséquent, il est exempté lors du filtrage IPSec. Pour plus d'informations sur ces exemptions, reportez-vous à l'article suivant dans la Base de connaissances Microsoft :
254949 Prise en charge IPSec client vers contrôleur de domaine et contrôleur de domaine vers contrôleur de domaine

Résolution

Pour résoudre ce problème, procurez-vous la dernière version du Service Pack Windows 2000. Pour plus d'informations, reportez-vous à l'article suivant dans la Base de connaissances Microsoft :
260910 Procédure pour obtenir la dernière version du Service Pack Windows 2000
Aucun incident opérationnel sur Kerberos n'a été observé au cours du test interne après application de ce correctif et protection de Kerberos par IPSec. Si vous remarquez des problèmes avec le trafic Kerberos sécurisé, mais que les approbations de domaine ne fonctionnent pas en conséquence, veuillez contacter le support technique de Microsoft.

Le but de ce correctif est de permettre une protection complète IPSec de l'ensemble du trafic Unicast entre deux contrôleurs de domaine, qui peut maintenant inclure le trafic Kerberos avec les clés de Registre. Ce correctif est conçu pour être utilisé sur chaque contrôleur de domaine, non sur les clients fonctionnant sous Windows 2000 Professionnel. Les informations contenues dans cet article de la Base de connaissances Microsoft s'appliquent à :
254949 Prise en charge IPSec client vers contrôleur de domaine et contrôleur de domaine vers contrôleur de domaine
Vous devriez utiliser ce correctif conjointement avec les règles de pare-feu autorisant uniquement le trafic IPSec et IKE.Pour plus d'informations, cliquez sur le numéro d'article ci-dessous pour l'afficher dans la Base de connaissances Microsoft :
233256 Procédure pour autoriser le trafic IPSec à travers un pare-feu
Durant le démarrage, quelques paquets peuvent être envoyés avant que le pilote IPSec ne soit initialisé et que la stratégie IPSec ne soit complètement traitée. Un pare-feu correctement configuré n'autorisant que les protocoles IKE et IPSec peut empêcher ce trafic non-IPSec d'aller vers des réseaux inappropriés.

Pour permettre un serveur d'être promu enfant d'un domaine distant, définissez une stratégie IPSec locale utilisant une authentification certifiée. Testez l'association de sécurité IPSec à l'aide de Ipsecmon.exe et Ping ou d'une autre méthode de génération de trafic vers le contrôleur de domaine distant. Si l'association de sécurité IPSec est correctement établie, l'ensemble du trafic du domaine distant doit être protégé. Le serveur doit pouvoir joindre le domaine distant, Dcpromo, les approbations inter-domaines Kerberos et la réplication d'annuaire RPC doivent tous fonctionner.

Après avoir appliqué ce correctif et après avoir ajouté la clé de Registre suivante, vous pouvez contrôler le comportement pour RSVP et Kerberos avec les règles de filtre IPSec. La valeur 1 à cette nouvelle entrée du Registre entraîne le filtrage de ces protocoles.

AVERTISSEMENT : Toute utilisation incorrecte de l'Éditeur du Registre peut s'avérer dommageable pour votre système d'exploitation, vous obligeant à le réinstaller. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide " Modification des clés et des valeurs " dans l'Éditeur du Registre (Regedit.exe) ou les rubriques " Ajout et suppression d'informations dans le Registre " et " Modification des données du Registre " dans Regedt32.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT ou Windows 2000, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence (ERD).

Pour ajouter une clé du Registre :
  1. Démarrez l'Éditeur du Registre (Regedt32.exe).
  2. Cliquez sur la clé du Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur suivante :
    • 0: Les exceptions par défaut s'appliquent (paramètre par défaut)
    • 1: RSVP et Kerberos ne sont pas exemptés (seuls IKE, Multicast et Broadcast sont exemptés)
    Nom de valeur : NoDefaultExempt (respectez les majuscules et les minuscules)
    Type de données : REG_DWORD
    Valeur de données : 0 ou 1

Statut

Microsoft a confirmé qu'il s'agissait d'un problème inhérent à Microsoft Windows 2000. Ce problème a été corrigé dans le Service Pack 1 Windows 2000.

Plus d'informations

Pour plus d'informations sur la procédure d'installation simultanée de Windows 2000 et des correctifs pour Windows 2000, cliquez sur le numéro d'article ci-dessous pour afficher l'article correspondant dans la Base de connaissances :
249149 Installation de Microsoft Windows 2000 et des correctifs pour Windows 2000.

Propriétés

Numéro d'article: 254728 - Dernière mise à jour: mercredi 18 février 2004 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbbug kbfix kbwin2000sp1fix kbwin2000presp1fix KB254728
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com