IPSec não proteger o tráfego Kerberos entre controladores de domínio

Traduções deste artigo Traduções deste artigo
ID do artigo: 254728 - Exibir os produtos aos quais esse artigo se aplica.
importante : Este artigo contém informações sobre como modificar o registro. Antes de modificar o registro, certifique-se de backup e certifique-se que você saiba como restaurar o registro se ocorrer um problema. Para obter informações sobre como fazer backup, restaurar e editar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
256986Descrição do registro do Microsoft Windows
Expandir tudo | Recolher tudo

Sintomas

O IP Security Protocol (IPSec) não proteger Kerberos ou RSVP tráfego entre controladores de domínio do Windows 2000, mesmo quando o filtro de diretiva IPSec está configurado para coincidir com todo o tráfego IP entre os dois endereços IP. IPSec, quando ele é configurado para proteger todo o tráfego entre controladores de domínio, permite ainda que Kerberos tráfego aparecem como tráfego Kerberos na conexão, não protegido pelo IPSec.

Causa

Alguns tipos de tráfego são isentos por design sejam protegidas por IPSec, mesmo quando a diretiva IPSec Especifica que todo o tráfego IP deve ser protegido. Os isolamentos IPSec aplicam a tráfego de difusão, multicast, RSVP, IKE e Kerberos. Kerberos é um protocolo de segurança propriamente dito, pode ser usado pelo IPSec para autenticação IKE e portanto, não foi originalmente projetado para ser protegidas pelo IPSec. Portanto, é isento da filtragem IPSec. Para obter detalhes sobre essas isenções, consulte o seguinte artigo:
254949Controlador de domínio no cliente e suporte de IPSec do domínio controlador de domínio controlador

Resolução

Para resolver esse problema, obtenha o service pack mais recente para o Windows 2000. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260910Como obter o Service Pack mais recente do Windows 2000
Não afetam operacional no Kerberos foi observado durante o teste interno quando essa correção foi aplicada e Kerberos foi protegido por IPSec. Se você perceber problemas com o tráfego de Kerberos que está sendo protegido, mas confianças entre domínios não está funcionando como resultado, por favor contate o Atendimento Microsoft.

O objetivo dessa correção é ativar a proteção IPSec completa de todo o tráfego Unicast entre dois controladores de domínio, que agora pode incluir o tráfego Kerberos com o conjunto de chaves do Registro. Essa correção destina a ser usado em cada controlador de domínio, não em clientes Windows 2000. As informações no seguinte artigo da Base de dados de Conhecimento da Microsoft ainda se aplicam:
254949Suporte IPSec para tráfego de controlador de domínio no cliente e o tráfego de controlador de domínio-controlador de domínio
Você deve usar essa correção em conjunto com regras de firewall que permitir somente tráfego IKE e IPSec através de. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
233256Como ativar o tráfego de IPSec através de um firewall
Durante o processo de inicialização, alguns pacotes podem ser enviadas antes do driver IPSec é inicializado e a diretiva IPSec totalmente processou. Um firewall adequadamente configurado que permite somente protocolos IKE e IPSec pode impedir que esse tráfego de IPSec não pretende inadequados de redes.

Para ativar um servidor para ser promovido como um filho de um domínio remoto, defina uma diretiva IPSec local que usa autenticação de certificado. Teste a associação de segurança IPSec usando Ipsecmon.exe e ping ou algum outro método de gerar tráfego para o controlador de domínio remoto. Se a associação de segurança IPSec for estabelecida com êxito, todo o tráfego para o domínio remoto deve ser protegido. O servidor deve ser capaz de associar o domínio remoto e DCPROMO, relações de confiança Kerberos entre domínios, e replicação de diretório baseados em RPC normal deve funcionar.

Depois de aplicar esse hotfix e adicione a seguinte chave do Registro, você pode controlar o comportamento de isenção para Kerberos e RSVP com regras de filtro IPSec. Definir essa nova entrada de registro para 1 faz com que esses protocolos a serem filtrados.

Aviso : se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que você pode resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do registro por sua própria conta e risco.

Para adicionar a chave do Registro:
  1. Inicie o Editor do Registro (Regedt32.exe).
  2. Clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. No menu Editar , clique em Adicionar valor e, em seguida, adicione o seguinte valor: nome do valor: NoDefaultExempt (Observe que este nome diferencia maiúsculas de minúsculas)
    Tipo de dados: REG_DWORD
    Valor de dados: 0 ou 1

    • 0: Isolamentos padrão aplicam (padrão)
    • 1: Kerberos e RSVP não são isentos (IKE, multicast e difusão somente são isentos)

Situação

A Microsoft confirmou que este é um problema no Microsoft Windows 2000. Esse problema foi corrigido primeiro no Windows 2000 Service Pack 1.

Mais Informações

Para obter informações adicionais sobre como instalar o Windows 2000 e hotfixes do Windows 2000 ao mesmo tempo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
249149Instalando o Microsoft Windows 2000 e Hotfixes do Windows 2000
Talvez você precise instalar um hotfix que está no Windows 2000 SP3 para usar o Kerberos filtragem através de IPSec. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
309304Modo de transporte de segurança IP com criptografia pode soltar pacotes fragmentados

Propriedades

ID do artigo: 254728 - Última revisão: quarta-feira, 21 de fevereiro de 2007 - Revisão: 3.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 254728

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com