ドメイン コントローラ間で Kerberos トラフィックが IPSec によってセキュリティ保護されない

文書翻訳 文書翻訳
文書番号: 254728 - 対象製品
重要 : この資料は、レジストリを変更する方法について。 万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。 バックアップ、復元、および編集方法の詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください:
256986Description of the Microsoft Windows Registry JP256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

現象

IP セキュリティ プロトコル (IPSec) は Kerberos をセキュリティで保護または Windows 2000 のドメイン コントローラー間のトラフィックをも RSVP しない IPSec ポリシー フィルターが、2 つの IP アドレス間のすべての IP トラフィックを一致させる設定されている場合。 IPSec、ドメイン コントローラー間のすべてのトラフィックを保護ように構成されているときに、Kerberos トラフィックが IPSec によって保護されていない、ネットワーク上の Kerberos トラフィックとして表示も使用できます。

原因

いくつかの種類のトラフィックは IPSec ポリシー、規定してすべての IP トラフィックをセキュリティで保護される必要がある場合でも、IPSec、によって保護されているから設計除外します。 IPSec の例外はブロードキャスト、マルチキャスト、RSVP、IKE、および Kerberos トラフィックに適用します。 Kerberos は自体セキュリティ プロトコル、IKE 認証の場合、IPSec で使用できるありのではもともとをように設計されていません IPSec によって保護されます。 したがって、IPSec フィルタリングから除外です。 これらの例外に関する詳細は、以下の「サポート技術情報」(Microsoft Knowledge Base) 資料を参照していますください。
254949クライアント対ドメイン コントローラ、およびドメイン コントローラ間の IPSec サポート

解決方法

この問題を解決するには、Windows 2000 の最新のサービス パックを入手してください。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください:
260910最新の Windows 2000 Service Pack の入手方法
この修正プログラムが適用され、Kerberos が IPSec で保護された内部テスト中に Kerberos 運用への影響が監視したありません。 Kerberos トラフィックをセキュリティで保護されているが結果として動作していないドメインの信頼に関する問題場合、マイクロソフト製品サポートに連絡してください。

この修正プログラムの目的は、レジストリ キーのセットには、Kerberos トラフィックを含めることがでく 2 つのドメイン コントローラー間のすべてのユニキャスト トラフィックの IPSec 保護を完全にです。 この修正プログラム、Windows 2000 Professional クライアントではなく各ドメイン コントローラー上使用されるものでは。 次の「サポート技術情報」(Microsoft Knowledge Base) 資料の情報、は引き続き適用されます。
254949クライアントのドメイン コントローラー トラフィックおよびドメイン コントローラー、ドメイン コントローラー トラフィックの IPSec サポート
この修正プログラム経由の IPSec と IKE トラフィックのみを許可するファイアウォール規則と組み合わせて使用する必要があります。 関連情報については、次の文書番号をクリックして Microsoft Knowledge Base を参照してください:
233256IPSec トラフィックをファイアウォール経由を有効にする方法
ブート処理中に、IPSec ドライバーは初期化し、IPSec ポリシーは、完全に処理が前に、いくつかのパケットが送信されます。 適切に構成されたファイアウォールのみ IKE と IPSec プロトコルをできる防止できますこの非 IPSec トラフィックに不適切なネットワーク。

リモート ドメインの子として昇格するには、サーバーを有効の設定ローカル IPSec ポリシーを証明書による認証を使用してください。 Ipsecmon.exe 法とに対して ping を実行、またはいくつか他の方法、リモート ドメイン コントローラーへのトラフィックを生成するを使ってしてには、IPSec セキュリティ アソシエーションをテストします。 IPSec セキュリティ アソシエーションが正常に確立された場合、リモート ドメインへのトラフィックをすべてを保護する必要があります。 通常の RPC ベースのディレクトリのレプリケーションはすべて機能、サーバー、リモート ドメインと Dcpromo、Kerberos ドメイン間の信頼を結合することがあります。

この修正プログラムを適用し、以下のレジストリ キーを追加すると、IPSec フィルターの規則と、RSVP の Kerberos 控除動作を制御できます。 この新しいレジストリ エントリを 1 に設定と、これらのプロトコルをフィルタリングするします。

警告 : 深刻な問題として、オペレーティング システムの再インストールする必要がありますが生じるレジストリ エディターを誤って使用する場合。 マイクロソフトではあることができます解決を保証レジストリ エディターを誤って使用起因する問題。 レジストリ エディターは、自己の責任においてご使用してください。

レジストリ キーを追加します。
  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. 次のレジストリ キーをクリックします:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. [ 編集 ] メニューの [ 値の追加 ] をクリックして、次の値を追加: 値の名前: NoDefaultExempt (この名前は大文字と小文字が区別されることに注意)
    データ型: REG_DWORD
    データ値: 0 または 1

    • 0: 既定の例外 (既定値) を適用します。
    • 1: RSVP および Kerberos は除外されません (だけの IKE、マルチキャスト、およびブロードキャストは除外)

状況

マイクロソフトとして認識していますこの問題を Microsoft Windows 2000 の問題。 この問題は、まず Windows 2000 Service Pack 1 で修正されました。

詳細

Windows 2000 および Windows 2000 の修正プログラムを同時にインストールする方法についてはをクリック資料以下、「サポート技術情報」(Microsoft Knowledge Base) を表示します。
249149Installing Microsoft Windows 2000 and Windows 2000 Hotfixes JP249149 Microsoft Windows 2000 および Windows 2000 ホットフィックスのインストール
Kerberos over IPSec フィルターを使用する Windows 2000 SP3 に含まれる修正プログラムをインストールすることがあります。 関連情報については、次の文書番号をクリックして Microsoft Knowledge Base を参照してください:
309304IP セキュリティ トランスポート モードの暗号化と断片化のパケットをドロップことがあります。

プロパティ

文書番号: 254728 - 最終更新日: 2007年2月21日 - リビジョン: 3.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbbug kbfix kbwin2000sp1fix kbqfe kbmt KB254728 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:254728
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com