IPSec není Secure Kerberos přenos mezi servery

Překlady článku Překlady článku
ID článku: 254728 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastane problém. Informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Zabezpečení protokolu IP (IPSec) není zabezpečení Kerberos nebo dokonce RSVP provoz mezi řadiči domény Windows 2000 při filtru zásad IPSec nakonfigurován tak, aby odpovídal všechny přenosy IP mezi dvěma adresami IP. IPSec, pokud je nakonfigurován veškerý přenos dat mezi řadiči domény stále umožňuje Kerberos přenos se zobrazí jako Kerberos provoz v telegrafickém bez protokolem IPSec.

Příčina

Některé typy přenosu jsou vyjmuty záměrné z právě zabezpečena protokolem IPSec, i když zásada IPSec určuje všechny přenosy IP by měl být zabezpečen. Výjimky IPSec použít přenos vysílání Multicast, RSVP, IKE a Kerberos. Kerberos je protokol zabezpečení samotného, mohou být používány IPSec pro ověřování IKE a proto nebyl původně navržen pro zabezpečena protokolem IPSec. Je tedy vyjmuty z filtrování IPSec. Podrobnosti o těchto výjimek naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
254949Řadič domény klienta a podpora IPSec řadič domény řadiče domény

Řešení

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Windows 2000. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
260910Jak získat nejnovější aktualizaci Service Pack pro systém Windows 2000
Žádný provozní vliv na Kerberos sledovanou během interní testování při použita tato oprava a Kerberos byl chráněných IPSec. Pokud zaznamenáte problémy s právě zabezpečené přenosy Kerberos, ale práce v důsledku vztahy důvěryhodnosti domény, obraťte se na odbornou.

Účelem této opravy je povolit úplnou ochranu IPSec veškerého provozu Unicast mezi dva řadiče domény, které nyní obsahují přenosy Kerberos s sadu klíčů registru. Tato oprava je určena pro použití v řadiči domény, nikoli na klienty Windows 2000 Professional. Informace v následujícím článku znalostní báze Microsoft Knowledge Base stále platí:
254949Podpora protokolu IPSec pro řadič domény klienta přenosy a přenos řadič domény řadiče domény
Ve spojení s pravidla brány firewall, které umožňují prostřednictvím pouze IPSec a IKE přenos, měli byste použít tuto opravu. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
233256Jak povolit přenos IPSec prostřednictvím firewall
Během procesu spouštění může být několik pakety odesílány před inicializovat ovladač IPSec a zásady IPSec plně zpracoval. Přechod na nevhodný sítí tento přenos IPSec můžete zabránit správně nakonfigurované brány firewall, která umožňuje pouze protokoly IKE a IPSec.

Povolit server povýšen jako podřízený vzdálenou doménu nastavit místní zásada IPSec používá ověřování certifikátů. Test přidružení zabezpečení IPSec pomocí Ipsecmon.exe a ping nebo jiné metody generování přenos vzdáleného řadiče domény. Pokud přidružení zabezpečení IPSec úspěšně navázáno, všechny přenosy vzdálené domény by měl být chráněn. Server by mělo být možné připojit vzdálené domény a Dcpromo vztahy důvěryhodnosti doménami Kerberos a replikace adresáře Normální založeny RPC by všechny práce.

Po použití této opravy hotfix a přidejte následující klíč registru lze řídit chování osvobození pro RSVP a Kerberos s pravidel filtru. Nastavení této nové položky registru 1 způsobí tyto protokoly mají být filtrovány.

Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Přidání klíče registru:
  1. Spusťte program Editor registru (Regedt32.exe).
  2. Klepněte na následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a přidejte následující hodnotu: název hodnoty: NoDefaultExempt (Všimněte si tento název je malá a velká písmena)
    Typ dat: REG_DWORD
    Hodnota dat: 0 nebo 1

    • 0: Použít výchozí výjimky (výchozí)
    • 1: Není neprocházejí RSVP a Kerberos (pouze IKE, Multicast a vysílání jsou vyjmuty)

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v systému Windows 2000. Tento problém byl poprvé opraven v systému Windows 2000 Service Pack 1.

Další informace

Další informace o současné instalaci systému Windows 2000 a oprav hotfix pro systém Windows 2000 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
249149Instalace systému Microsoft Windows 2000 a oprav pro systém Windows 2000
Pravděpodobně nutné instalovat opravu hotfix, která je v systému Windows 2000 SP3 použít Kerberos filtrování přes IPSec. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
309304Režimu zabezpečení přenosu IP šifrováním může přímá fragmentovaných paketů

Vlastnosti

ID článku: 254728 - Poslední aktualizace: 21. února 2007 - Revize: 3.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:254728

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com