IPSec sichert Kerberos-Verkehr zwischen Domänencontrollern nicht

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 254728 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D44535
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
254728 IPSec Does Not Secure Kerberos Traffic Between DCs
Alles erweitern | Alles schließen

Zusammenfassung

WARNUNG: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, erstellen Sie eine Sicherungskopie der Dateien System.dat und User.dat (unter Windows Millennium ebenfalls der Datei Classes.dat). Vergewissern Sie sich, dass Sie die Registrierung wiederherstellen können, wenn ein Problem auftritt. Informationen hierzu finden Sie unter dem Hilfethema "Wiederherstellen der Registrierung" in "Regedit.exe" oder unter "Wiederherstellen eines Registrierungsschlüssels" in "Regedt32.exe". Wenn Sie mit Windows NT oder Windows 2000 arbeiten, sollten Sie zudem Ihre Notfalldiskette (ERD) aktualisieren.

Problembeschreibung

IPSec (IP Security Protocol) sichert Kerberos- oder RSVP-Verkehr zwischen Windows 2000-Domänencontrollern nicht, selbst wenn der IPSec-Richtlinienfilter so konfiguriert ist, dass er mit dem gesamten IP-Verkehr zwischen den beiden IP-Adressen übereinstimmt. Wenn IPSec so konfiguriert ist, dass der gesamte Verkehr zwischen Domänencontrollern gesichert wird, wird Kerberos-Verkehr dennoch als Kerberos-Verkehr in der Leitung angezeigt, der nicht durch IPSec geschützt ist.

Ursache

Einige Verkehrstypen sind programmbedingt von der Sicherung durch IPSec ausgenommen, selbst wenn die IPSec-Richtlinie angibt, dass der gesamte IP-Verkehr gesichert werden soll. Die IPSec-Ausnahmen gelten für Broadcast-, Multicast-, RSVP-, IKE- und Kerberos-Verkehr. Kerberos, das selbst ein Sicherheitsprotokoll ist, kann von IPSec für die IKE-Authentifizierung verwendet werden und wurde daher ursprünglich nicht für die Sicherung durch IPSec entwickelt. Daher ist es von der IPSec-Filterung ausgenommen. Weitere Informationen über diese Ausnahmen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
254949 Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support

Lösung

Um dieses Problem zu lösen, benötigen Sie das neueste Service Pack für Windows 2000. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
D43250 So erhalten Sie das neueste Windows 2000 Service Pack

Bei internen Tests wurde keine Auswirkung auf die Kerberos-Funktionen festgestellt, wenn die Korrektur angewendet wurde und Kerberos durch IPSec gesichert war. Wenden Sie sich an den Microsoft-Produktsupport, wenn Probleme auftreten und Sie feststellen, dass bei gesichertem Kerberos-Verkehr die Domänenvertrauensstellungen aufgrund der Sicherung nicht mehr funktionieren.

Durch die Korrektur soll voller IPSec-Schutz für den gesamten Unicastverkehr zwischen zwei Domänencontrollern aktiviert werden, wobei dies jetzt bei entsprechend festgelegtem Registrierungsschlüssel auch für Kerberos-Verkehr gelten kann. Die Korrektur sollte auf jedem Domänencontroller verwendet werden, nicht auf Clients unter Windows 2000 Professional. Die Informationen im folgenden Artikel der Microsoft Knowledge Base sind ebenfalls weiterhin gültig:
254949 Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support

Sie sollten diese Korrektur in Verbindung mit Firewallregeln verwenden, die nur IPSec- und IKE-Verkehr passieren lassen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
233256 How to Enable IPSec Traffic Through a Firewall

Während des Startprozesses werden einige Pakete möglicherweise gesendet, bevor der IPSec-Treiber initialisiert ist und die IPSec-Richtlinie vollständig verarbeitet wurde. Ein ordnungsgemäß konfigurierter Firewall, der nur IKE- und IPSec-Protokolle passieren lässt, kann verhindern, dass dieser nicht-IPSec-Verkehr in die falschen Netzwerke gelangt.

Um einen Server zum untergeordneten Computer einer Remotedomäne heraufstufen zu können, muss eine lokale IPSec-Richtlinie festgelegt werden, die Zertifikatauthentifizierung verwendet. Testen Sie die IPSec-Sicherheitszuordnung durch Verwenden von Ipsecmon.exe und Ping oder durch eine weitere Methode zum Erzeugen von Verkehr an den Remotedomänencontroller. Wenn die IPSec-Sicherheitszuordnung erfolgreich eingerichtet wurde, sollte der gesamte Verkehr an die Remotedomäne geschützt sein. Der Server müsste eine Verknüpfung zur Remotedomäne herstellen können, und Dcpromo, Kerberos, Vertrauensstellungen zwischen mehreren Domänen und normale RPC-basierte Verzeichnisreplikation sollten funktionieren.

Nachdem Sie den Hotfix angewendet und den folgenden Registrierungseintrag hinzugefügt haben, können Sie das Verhalten, RSVP und Kerberos auszunehmen, mittels IPSec-Filterregeln steuern. Das Festlegen des Wertes 1 für diesen neuen Registrierungseintrag führt dazu, dass diese Protokolle gefiltert werden.

So fügen Sie den Registrierungsschlüssel hinzu:
  1. Starten Sie den Registrierungseditor (Regedt32.exe).
  2. Klicken Sie auf folgenden Registrierungsschlüssel:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. Klicken Sie im Menü BEARBEITEN auf WERT HINZUFÜGEN, und geben Sie dann folgenden Wert ein:
       Wertname: NoDefaultExempt (beachten Sie bei diesem Namen unbedingt die Groß- und Kleinschreibung)
       Datentyp: REG_DWORD
       Datenwert: 0 oder 1
        - 0: Anwenden der Standardausnahmen (Standardeinstellung)
        - 1: RSVP und Kerberos sind nicht ausgenommen (nur IKE, Multicast und Broadcast sind ausgenommen).

Status

Microsoft hat bestätigt, dass es sich dabei um ein Problem bei den oben genannten Microsoft-Produkten handelt. Dieses Problem wird derzeit untersucht, und entsprechende Informationen werden in der Microsoft Knowledge Base veröffentlicht, sobald sie verfügbar sind.

Weitere Informationen

Weitere Informationen zur gleichzeitigen Installation von Windows 2000 und der Windows 2000-Hotfixes finden Sie im folgenden Artikel der Microsoft Knowledge Base:
D42122 Installation von Microsoft Windows 2000 und Windows 2000-Hotfixes

Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende, das gesamte System betreffende Probleme verursachen, die eine Neuinstallierung Ihres Betriebssystems erforderlich machen. Microsoft kann nicht dafür garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung. Microsoft kann keine Gewährleistungen oder Support für Probleme übernehmen, welche durch eine Manipulation der Windows oder Windows NT Registrierung verursacht wurden. Es ist Ihr eigenes Risiko, den Windows oder Windows NT Registrierungseditor Regedit.exe oder ähnliche Werkzeuge zur Manipulation der Windows oder Windows NT Registrierung zu verwenden.

Weitere Suchbegriffe: windows2000 win2000 ipsec kerberos rsvp ip-verkehr ungesichert

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 254728 - Geändert am: Montag, 22. März 2004 - Version: 4.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbwin2000presp1fix KB254728
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com