IPSec não segura tráfego Kerberos entre controladores de domínio

Traduções de Artigos Traduções de Artigos
Artigo: 254728 - Ver produtos para os quais este artigo se aplica.
importante : Este artigo contém informações sobre como modificar o registo. Antes de modificar o registo, certifique-se de que efectua uma cópia de segurança e de que compreende como o restaurar o registo se ocorrer um problema. Para obter informações sobre como efectuar uma cópia de segurança, restaurar e editar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
256986Descrição do registo do Microsoft Windows
Expandir tudo | Reduzir tudo

Sintomas

O protocolo de segurança IP (IPSec) não proteger Kerberos ou RSVP tráfego entre controladores de domínio do Windows 2000, mesmo quando o filtro de política IPSec estiver configurado para corresponder todo o tráfego entre os dois endereços IP. IPSec, quando é configurado para proteger todo o tráfego entre controladores de domínio, permite ainda Kerberos tráfego aparecem como tráfego de Kerberos durante a ligação, não protegido pelo IPSec.

Causa

Alguns tipos de tráfego são excluídos por predefinição sejam protegidas pelo IPSec, mesmo quando a política IPSec Especifica que todo o tráfego IP deve ser protegido. As excepções IPSec se aplica a tráfego de difusão, multicast, RSVP, IKE e Kerberos. Kerberos é um protocolo de segurança próprio, pode ser utilizado pelo IPSec para autenticação de IKE e por isso, não foi originalmente concebido para ser protegidas por IPSec. Por conseguinte, é excluído da filtragem IPSec. Para obter detalhes sobre estas excepções, consulte o seguinte artigo da base de dados de conhecimento da Microsoft:
254949Controlador de domínio do cliente e suporte de IPSec controlador do domínio controlador para o domínio

Resolução

Para resolver este problema, obtenha o service pack mais recente do Windows 2000. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
260910Como obter o Service Pack mais recente do Windows 2000
Não afectam operacional no Kerberos foi observada durante os testes interna quando esta correcção foi aplicada e Kerberos foi protegido por IPSec. Se detectar problemas com a segurança de tráfego Kerberos, mas não funcionar como resultado de confianças de domínio, contacte o suporte técnico da Microsoft.

O objectivo desta correcção é activar a protecção IPSec completa de Unicast todo o tráfego entre dois controladores de domínio, que pode agora incluir o tráfego de Kerberos com o conjunto de chaves de registo. Esta correcção destina-se a ser utilizada em cada controlador de domínio, não nos clientes Windows 2000 Professional. As informações no seguinte artigo da base de dados de conhecimento da Microsoft aplicam-ainda se:
254949Suporte de IPSec para tráfego de controlador de domínio do cliente e o tráfego de controlador para o domínio de controlador de domínio
Deverá utilizar esta correcção em conjunto com as regras de firewall que permitir apenas o IPSec e IKE tráfego através do. Para obter informações adicionais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
233256Como activar o tráfego de IPSec através de um firewall
Durante o processo de arranque, alguns pacotes podem ser enviadas antes do controlador IPSec é iniciado e a política IPSec completamente processados. Um firewall correctamente configurado que permite apenas protocolos IKE e IPSec pode impedir que este tráfego de IPSec não vai redes inadequados.

Para activar um servidor ser promovido como um subordinado de um domínio remoto, defina uma política IPSec local que utiliza autenticação de certificados. Teste a associação de segurança IPSec utilizando ipsecmon.exe e efectuar o ping ou qualquer outro método de geração de tráfego para o controlador de domínio remoto. Se a associação de segurança IPSec for estabelecida com êxito, todo o tráfego para o domínio remoto deve ser protegido. O servidor deve ser capaz de associar o domínio remoto e Dcpromo, fidedignidades de domínios do Kerberos, e replicação de directórios baseadas em RPC normal deverá funcionar.

Depois de aplicar esta correcção e adicione a seguinte chave de registo, pode controlar o comportamento de identificação fiscal para RSVP e Kerberos com regras de filtros IPSec. Definição esta nova entrada de registo como 1 faz com que estes protocolos a serem filtrados.

aviso : a utilização incorrecta do Editor de registo poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo possam ser resolvidos. As suas próprias risco da utilização do Editor de registo.

Para adicionar a chave de registo:
  1. Inicie o Editor de registo (Regedt32.exe).
  2. Clique na seguinte chave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. No menu Editar , clique em Adicionar valor e, em seguida, adicione o seguinte valor: nome do valor: NoDefaultExempt (note que este nome é sensível a maiúsculas / minúsculas)
    Tipo de dados: REG_DWORD
    Dados do valor: 0 ou 1

    • 0: Excepções predefinidas aplicam-se (predefinição)
    • 1: RSVP e Kerberos não são excluídos (IKE, multicast e difusão só são excluídos)

Ponto Da Situação

A Microsoft confirmou que este é um problema no Microsoft Windows 2000. Este problema foi corrigido pela primeira vez no Windows 2000 Service Pack 1.

Mais Informação

Para obter informações adicionais sobre como instalar o Windows 2000 e as correcções do Windows 2000 ao mesmo tempo, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
249149Instalar o Microsoft Windows 2000 e as correcções do Windows 2000
Poderá ter de instalar uma correcção do Windows 2000 SP3 para utilizar Kerberos filtro em IPSec. Para obter informações adicionais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
309304Modo de transporte de segurança IP com encriptação pode largar pacotes fragmentados

Propriedades

Artigo: 254728 - Última revisão: 21 de fevereiro de 2007 - Revisão: 3.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 254728

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com