IPSec no seguro tráfico de Kerberos entre controladores de dominio

Seleccione idioma Seleccione idioma
Id. de artículo: 254728 - Ver los productos a los que se aplica este artículo
importante : este artículo contiene información acerca de cómo modificar el registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

Síntomas

El protocolo de seguridad IP (IPSec) no segura Kerberos o RSVP tráfico entre controladores de dominio de Windows 2000, incluso cuando el filtro de directiva de IPSec está configurado para hacer coincidir todo el tráfico IP entre las dos direcciones IP. IPSec, cuando está configurado para proteger todo el tráfico entre controladores de dominio, todavía permite Kerberos tráfico aparecen como tráfico de Kerberos en el cable, no protegido por IPSec.

Causa

Algunos tipos de tráfico están exentos mediante diseño desde que se está protegido por IPSec, incluso cuando la directiva IPSec especifica que debe protegerse todo el tráfico IP. Se aplican las excepciones de IPSec al tráfico de difusión, multidifusión, RSVP, IKE y Kerberos. Kerberos es un protocolo de seguridad propio, puede utilizar IPSec para la autenticación IKE y por lo tanto, no se diseñó originalmente para estar protegidos por IPSec. Por lo tanto, queda exento del filtrado IPSec. Para obtener información detallada sobre estas excepciones, consulte el siguiente artículo de Microsoft Knowledge Base:
254949Controlador de dominio de cliente y soporte técnico de IPSec de controlador de dominio controlador de dominio

Solución

Para resolver este problema, obtenga el Service Pack más reciente de Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910Cómo obtener el Service Pack más reciente para Windows 2000
No afecta al funcionamiento en Kerberos se ha observado durante las pruebas internas cuando se aplicó esta revisión y Kerberos se ha protegido por IPSec. Si observa problemas con el tráfico de Kerberos está protegida, pero no funciona como resultado de confianzas de dominio, póngase en contacto con soporte técnico de Microsoft de atención al cliente.

El propósito de esta revisión es habilitar la protección de IPSec completa de todo el tráfico de unidifusión entre dos controladores de dominio, que ahora puede incluir el tráfico de Kerberos con la clave registro configurada. Esta corrección está pensada para utilizarse en cada controlador de dominio, no en los clientes de Windows 2000. La información en el siguiente artículo de Microsoft Knowledge Base todavía se aplica:
254949Compatibilidad con IPSec el tráfico controlador cliente para el dominio y tráfico del controlador de dominio controlador de dominio
Esta corrección debe utilizar junto con las reglas de firewall que permiten sólo el tráfico IPSec e IKE a través de. Para obtener información adicional, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
233256Cómo habilitar el tráfico de IPSec en un servidor de seguridad
Durante el proceso de inicio, se pueden enviar unos paquetes antes de que se inicializa el controlador IPSec y la directiva IPSec totalmente procesó. Un servidor de seguridad configurado correctamente que permite únicamente los protocolos IKE e IPSec puede impedir que este tráfico de IPSec no se va a redes inadecuadas.

Para habilitar un servidor que se promueva como elemento secundario de un dominio remoto, establezca una directiva IPSec local que utiliza autenticación de certificados. Probar la asociación de seguridad IPSec utilizando ipsecmon.exe y ping o algún otro método de generar tráfico para el controlador de dominio remoto. Si la asociación de seguridad IPSec se establece correctamente, debe protegerse todo el tráfico al dominio remoto. El servidor debe poder unir el dominio remoto y Dcpromo, confianzas de dominios interrelacionados de Kerberos y replicación de directorios basados en RPC de normal debería funcionar.

Después de aplicar esta revisión y de agregar la siguiente clave del registro, puede controlar el comportamiento de exención para RSVP y Kerberos con reglas de filtro de IPSec. Establecer esta nueva entrada del registro a 1 hace que estos protocolos que se van a filtrar.

Advertencia : si utiliza incorrectamente el Editor del registro, pueden surgir problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Para agregar la clave del registro:
  1. Inicie el Editor del Registro (Regedt32.exe).
  2. Haga clic en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. En el menú Edición , haga clic en Agregar valor y, a continuación, agregue el valor siguiente: nombre de valor: NoDefaultExempt (Observe que este nombre distingue entre mayúsculas y minúsculas)
    Tipo de datos: REG_DWORD
    Valor de datos: 0 o 1

    • 0: (Predeterminado) aplican las exenciones predeterminadas
    • 1: No se queda exento RSVP y Kerberos (están exentos sólo IKE, multidifusión y difusión)

Estado

Microsoft ha confirmado que se trata de un problema de Microsoft Windows 2000. Este problema se corrigió por primera vez en Windows 2000 Service Pack 1.

Más información

Para obtener información adicional acerca de cómo instalar Windows 2000 y el hotfix de Windows 2000 al mismo tiempo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
249149Instalar Microsoft Windows 2000 y revisiones para Windows 2000
Quizás tenga que instalar una revisión de Windows 2000 SP3 para utilizar Kerberos filtrado a través de IPSec. Para obtener información adicional, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
309304Modo de transporte de seguridad IP con cifrado puede eliminar paquetes fragmentados

Propiedades

Id. de artículo: 254728 - Última revisión: miércoles, 21 de febrero de 2007 - Versión: 3.3
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 254728

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com