IPSec не защищает трафик Kerberos между контроллерами домена

Переводы статьи Переводы статьи
Код статьи: 254728 - Vizualiza?i produsele pentru care se aplic? acest articol.
ВАЖНЫЕ: Эта статья содержит сведения об изменении реестра. Перед изменением реестра убедитесь, что для резервного копирования и убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблем. Для получения сведений о том, как резервное копирование, восстановление и редактирования реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

Проблема

Безопасность протокола IP (IPSec) не защиты Kerberos и RSVP трафика между контроллерами домена Windows 2000, даже когда фильтров политики IPSec настроена для соответствия всем IP-трафика между двумя IP-адресами. IPSec, если он настроен для защиты всего трафика между контроллерами домена по-прежнему позволяет Kerberos трафик отображаются как трафик Kerberos на связи, не защищенного протоколом IPSec.

Причина

Некоторые типы трафика защищены ни ни особенностью из безопасного по протоколу IPSec, даже если политика IPSec задает следует защищать весь IP-трафик. Исключений IPSec применяются к трафику широковещательный, многоадресный, RSVP, IKE и Kerberos. Kerberos сам протокол безопасности, можно использовать IPSec для проверки подлинности IKE и поэтому не разрабатывалась изначально для IPSec защиты. Таким образом исключаемых из фильтрации IPSec. Дополнительные сведения об этих исключений обратитесь к следующей статье Microsoft Knowledge Base:
254949 Клиент-контроллера и поддержка IPSec контроллера домена контроллера для домена

Решение

Чтобы устранить эту проблему, получите последний пакет обновления для Windows 2000. Для получения дополнительных сведений щелкните следующий номер статьи в База знаний корпорации Майкрософт:
260910 Как получить последний пакет обновления для Windows 2000
Согласно не эксплуатационных влияет на Kerberos обнаружена во время внутреннего тестирования после применения этого исправления и Kerberos был защищен IPSec. При наличии проблем с Kerberos трафике, но не работает в результате доверительные отношения доменов, обратитесь в службу технической поддержки Майкрософт.

Это исправление предназначено для включения полной защиты IPSec одноадресного трафика между контроллерами домена, которые теперь включают в себя трафик Kerberos со значением раздела реестра. Это исправление предназначено для использования на каждом контроллере домена, не на клиентах Windows 2000 Professional. В следующей статье базы знаний Майкрософт по-прежнему применима:
254949 Поддержка IPSec контроллера домен клиента и трафик контроллера в домене контроллер домена
Это исправление следует использовать в сочетании с правилами брандмауэра, разрешающие только трафика IPSec и IKE через.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
233256 Включение трафика IPSec через брандмауэр
Во время загрузки некоторые пакеты могут быть отправлены до инициализации драйвера IPSec и полностью обработан политики IPSec. Правильно настроенный брандмауэр, который позволяет только протоколы IKE и IPSec можно предотвратить этот трафик не IPSec для нежелательного сетей.

Чтобы включить на сервере перейти в качестве дочернего элемента удаленного домена, установите локальную политику IPSec, которая использует проверку подлинности сертификатов. Проверьте сопоставления безопасности IPSec с помощью Ipsecmon.exe и Ping или другого метода увеличения трафика на удаленном контроллере домена. Если сопоставления безопасности IPSec успешно установлено, должен быть защищен весь трафик удаленного домена. Сервер должен иметь возможность удаленного домена и Dcpromo, доверительные отношения между доменами Kerberos, и обычных каталогов на основе RPC репликации должно все работать.

После установки данного исправления и добавьте следующий параметр реестра можно управлять налогового освобождения поведение RSVP и Kerberos с помощью правила фильтрации IPSec. Этот новый параметр реестра 1 указании этих протоколов для фильтрации.

ПРЕДУПРЕЖДЕНИЕ: Если неправильное использование редактора реестра может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не гарантирует, что можно решения проблем, вызванных неправильным использованием редактора реестра. С помощью редактора реестра на свой страх и риск.

Чтобы добавить раздел реестра:
  1. Запустите редактор реестра (Regedt32.exe).
  2. Выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. На Редактирование меню, нажмите кнопку Добавить значение, а затем добавьте следующий параметр: Имя параметра: NoDefaultExempt (Обратите внимание, что это имя с учетом регистра)
    Тип данных: REG_DWORD
    Данные значения: 0 или 1

    • 0: Применение стандартных исключений (по умолчанию)
    • 1: RSVP и Kerberos не являются исключениями (защищены ни только IKE, многоадресный и широковещательный ни)

Статус

Корпорация Майкрософт подтверждает, что это проблема в Microsoft Windows 2000. Сначала исправление этой проблемы появилось в пакете обновления 1 (Sp1) для Windows 2000.

Дополнительная информация

Для получения дополнительных сведений об установке Windows 2000 и исправлений для Windows 2000, в то же время щелкните следующий номер статьи базы знаний Майкрософт:
249149 Установка Microsoft Windows 2000 и исправлений для Windows 2000
Необходимо установить исправление, в Windows 2000 SP3 на использование Kerberos, фильтрация через IPSec. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
309304 Режим безопасности транспорта IP с помощью шифрования может привести к разрыву фрагментированных пакетов

Свойства

Код статьи: 254728 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbbug kbfix kbqfe kbwin2000sp1fix kbmt KB254728 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:254728

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com