IPSec Not Secure traffico Kerberos tra controller di dominio

Traduzione articoli Traduzione articoli
Identificativo articolo: 254728 - Visualizza i prodotti a cui si riferisce l?articolo.
importante : questo articolo contiene informazioni sulla modifica del Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

Sintomi

Il IP Security (IPSec Protocol) non proteggere Kerberos o RSVP il traffico tra controller di dominio di Windows 2000, anche quando il filtro del criterio IPSec Ŕ configurato in modo che corrisponda tutto il traffico IP tra i due indirizzi IP. IPSec, quando Ŕ configurato per proteggere tutto il traffico tra i controller di dominio, consente comunque Kerberos il traffico vengono visualizzati come il traffico Kerberos sulla rete, non protetto da IPSec.

Cause

Alcuni tipi di traffico sono esentati in base alla progettazione da protetto da IPSec, anche quando il criterio IPSec specifica che tutto il traffico IP dovrÓ essere protetti. Le esenzioni IPSec si applicano al traffico broadcast, multicast, RSVP, IKE e Kerberos. Kerberos Ŕ un protocollo di protezione, pu˛ essere utilizzato da IPSec per l'autenticazione IKE e pertanto non Ŕ stato originariamente progettato per essere protette da IPSec. Pertanto, Ŕ esonerato dal filtraggio IPSec. Per informazioni dettagliate su queste esenzioni, fare riferimento al seguente articolo della Microsoft Knowledge Base riportato di seguito:
254949Controller di dominio per client e supporto di IPSec controller di dominio controller di dominio

Risoluzione

Per risolvere questo problema Ŕ necessario ottenere la versione pi¨ recente del service pack per Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
260910Come ottenere Windows 2000 Service Pack pi¨ recente
Non operativo influisce su Kerberos Ŕ stato rilevato durante il test interno quando Ŕ stata applicata questa correzione e Kerberos Ŕ stato protetto da IPSec. Se si verificano problemi con il traffico Kerberos che viene protetto, ma non funziona di conseguenza trust di dominio, contattare il servizio supporto tecnico clienti Microsoft.

Lo scopo di questa correzione Ŕ per attivare la protezione di IPSec completa di tutto il traffico Unicast tra due controller di dominio, ora Ŕ possibile includere il traffico di Kerberos con la coppia di chiavi del Registro di sistema. Questa correzione Ŕ destinata a essere utilizzato in ogni controller di dominio non sui client Windows 2000 Professional. Le informazioni di nell'articolo della Microsoft Knowledge Base riportato di seguito riportato si applicano ancora:
254949Supporto di IPSec per il traffico di client per domain controller e il traffico di controller di dominio del dominio
Questa correzione rapida per utilizzare in combinazione con regole di firewall che consentono solo il traffico tramite IPSec e IKE. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
233256Abilitazione di IPSec Traffic Through a firewall
Durante il processo di avvio, alcuni pacchetti possono essere inviati prima che il driver IPSec viene inizializzato e stato completamente elaborato il criterio IPSec. Un firewall configurato correttamente, che consente solo i protocolli IKE e IPSec pu˛ impedire il traffico IPSec non di diretto verso reti non appropriate.

Per attivare un server per essere innalzati di livello come figlio di un dominio remoto, Ŕ necessario impostare un criterio IPSec locale che utilizza l'autenticazione basata su certificati. Consente di verificare l'associazione di protezione IPSec utilizzando Ipsecmon.exe e ping o altri metodi di generare il traffico verso il controller di dominio remoto. Se l'associazione di protezione IPSec viene stabilita correttamente, Ŕ necessario proteggere tutto il traffico al dominio remoto. Il server deve essere in grado di unire il dominio remoto e Dcpromo, relazioni di trust tra domini Kerberos, e replica di directory basate su RPC normale dovrebbe funzionare.

Dopo aver applicato questo aggiornamento rapido (hotfix) e aggiungere la seguente chiave del Registro di sistema, Ŕ possibile controllare il comportamento di esenzione di RSVP e Kerberos con regole di filtro IPSec. Se si imposta la nuova voce del Registro di sistema su 1, questi protocolli da filtrare.

avviso : se si utilizza Editor del Registro di sistema in modo non corretto, si potrebbero provocare problemi gravi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la che Ŕ possibile risolvere i problemi derivanti dall'errato utilizzo dell'editor del Registro di sistema. Utilizzare Editor del Registro di sistema a proprio rischio.

Per aggiungere la chiave del Registro di sistema:
  1. Avviare l'editor del Registro di configurazione (Regedt32.exe).
  2. Fare clic sulla seguente chiave di registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. Scegliere Aggiungi valore dal menu Modifica e quindi aggiungere il seguente valore: nome valore: NoDefaultExempt (si noti che questo nome Ŕ con distinzione tra maiuscole e minuscole)
    Tipo di dati: REG_DWORD
    Dati valore: 0 o 1

    • 0: Applicazione esenzioni predefinite (impostazione predefinita)
    • 1: RSVP e Kerberos non sono esentati (sono esentati solo broadcast, multicast e IKE)

Status

Microsoft ha confermato che questo un problema di Microsoft Windows 2000. Questo problema Ŕ stato corretto per la prima volta nel Service Pack 1 per Windows 2000.

Informazioni

Per ulteriori informazioni su come installare contemporaneamente Windows 2000 e le relative correzioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
249149Installazione di Microsoft Windows 2000 e Windows 2000 Hotfixes
Potrebbe essere necessario installare un aggiornamento rapido in Windows 2000 SP3 per utilizzare Kerberos filtro su IPSec. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
309304ModalitÓ di trasporto IP protezione con crittografia potrebbe rilasciare pacchetti frammentati

ProprietÓ

Identificativo articolo: 254728 - Ultima modifica: mercoledý 21 febbraio 2007 - Revisione: 3.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Chiavi:á
kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 254728
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com