IPSec не защищает трафик Kerberos между контроллерами домена

Код статьи: 254728 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
ВАЖНЫЕ: Эта статья содержит сведения об изменении реестра. Перед изменением реестра убедитесь, что для резервного копирования и убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблем. Для получения сведений о том, как резервное копирование, восстановление и редактирования реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986
(http://support.microsoft.com/kb/256986/EN-US/ )
Описание реестра Microsoft Windows
Развернуть все | Свернуть все

Проблема

Безопасность протокола IP (IPSec) не защиты Kerberos и RSVP трафика между контроллерами домена Windows 2000, даже когда фильтров политики IPSec настроена для соответствия всем IP-трафика между двумя IP-адресами. IPSec, если он настроен для защиты всего трафика между контроллерами домена по-прежнему позволяет Kerberos трафик отображаются как трафик Kerberos на связи, не защищенного протоколом IPSec.
Перейти к началу страницы | Отправить отзыв

Причина

Некоторые типы трафика защищены ни ни особенностью из безопасного по протоколу IPSec, даже если политика IPSec задает следует защищать весь IP-трафик. Исключений IPSec применяются к трафику широковещательный, многоадресный, RSVP, IKE и Kerberos. Kerberos сам протокол безопасности, можно использовать IPSec для проверки подлинности IKE и поэтому не разрабатывалась изначально для IPSec защиты. Таким образом исключаемых из фильтрации IPSec. Дополнительные сведения об этих исключений обратитесь к следующей статье Microsoft Knowledge Base:
254949
(http://support.microsoft.com/kb/254949/EN-US/ )
Клиент-контроллера и поддержка IPSec контроллера домена контроллера для домена
Перейти к началу страницы | Отправить отзыв

Решение

Чтобы устранить эту проблему, получите последний пакет обновления для Windows 2000. Для получения дополнительных сведений щелкните следующий номер статьи в База знаний корпорации Майкрософт:
260910
(http://support.microsoft.com/kb/260910/EN-US/ )
Как получить последний пакет обновления для Windows 2000
Согласно не эксплуатационных влияет на Kerberos обнаружена во время внутреннего тестирования после применения этого исправления и Kerberos был защищен IPSec. При наличии проблем с Kerberos трафике, но не работает в результате доверительные отношения доменов, обратитесь в службу технической поддержки Майкрософт.

Это исправление предназначено для включения полной защиты IPSec одноадресного трафика между контроллерами домена, которые теперь включают в себя трафик Kerberos со значением раздела реестра. Это исправление предназначено для использования на каждом контроллере домена, не на клиентах Windows 2000 Professional. В следующей статье базы знаний Майкрософт по-прежнему применима:
254949
(http://support.microsoft.com/kb/254949/ )
Поддержка IPSec контроллера домен клиента и трафик контроллера в домене контроллер домена
Это исправление следует использовать в сочетании с правилами брандмауэра, разрешающие только трафика IPSec и IKE через.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
233256
(http://support.microsoft.com/kb/233256/EN-US/ )
Включение трафика IPSec через брандмауэр
Во время загрузки некоторые пакеты могут быть отправлены до инициализации драйвера IPSec и полностью обработан политики IPSec. Правильно настроенный брандмауэр, который позволяет только протоколы IKE и IPSec можно предотвратить этот трафик не IPSec для нежелательного сетей.

Чтобы включить на сервере перейти в качестве дочернего элемента удаленного домена, установите локальную политику IPSec, которая использует проверку подлинности сертификатов. Проверьте сопоставления безопасности IPSec с помощью Ipsecmon.exe и Ping или другого метода увеличения трафика на удаленном контроллере домена. Если сопоставления безопасности IPSec успешно установлено, должен быть защищен весь трафик удаленного домена. Сервер должен иметь возможность удаленного домена и Dcpromo, доверительные отношения между доменами Kerberos, и обычных каталогов на основе RPC репликации должно все работать.

После установки данного исправления и добавьте следующий параметр реестра можно управлять налогового освобождения поведение RSVP и Kerberos с помощью правила фильтрации IPSec. Этот новый параметр реестра 1 указании этих протоколов для фильтрации.

ПРЕДУПРЕЖДЕНИЕ: Если неправильное использование редактора реестра может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не гарантирует, что можно решения проблем, вызванных неправильным использованием редактора реестра. С помощью редактора реестра на свой страх и риск.

Чтобы добавить раздел реестра:
  1. Запустите редактор реестра (Regedt32.exe).
  2. Выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. На Редактирование меню, нажмите кнопку Добавить значение, а затем добавьте следующий параметр: Имя параметра: NoDefaultExempt (Обратите внимание, что это имя с учетом регистра)
    Тип данных: REG_DWORD
    Данные значения: 0 или 1

    • 0: Применение стандартных исключений (по умолчанию)
    • 1: RSVP и Kerberos не являются исключениями (защищены ни только IKE, многоадресный и широковещательный ни)
Перейти к началу страницы | Отправить отзыв

Статус

Корпорация Майкрософт подтверждает, что это проблема в Microsoft Windows 2000. Сначала исправление этой проблемы появилось в пакете обновления 1 (Sp1) для Windows 2000.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Для получения дополнительных сведений об установке Windows 2000 и исправлений для Windows 2000, в то же время щелкните следующий номер статьи базы знаний Майкрософт:
249149
(http://support.microsoft.com/kb/249149/EN-US/ )
Установка Microsoft Windows 2000 и исправлений для Windows 2000
Необходимо установить исправление, в Windows 2000 SP3 на использование Kerberos, фильтрация через IPSec. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
309304
(http://support.microsoft.com/kb/309304/EN-US/ )
Режим безопасности транспорта IP с помощью шифрования может привести к разрыву фрагментированных пакетов
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 254728 - Последнее изменение :: 5 июня 2011 г. - Редакция: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbbug kbfix kbqfe kbwin2000sp1fix kbmt KB254728 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:254728
(http://support.microsoft.com/kb/254728/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы