Ipsec etki alanı denetleyicileri arasında Kerberos trafiği güvenli Not

Makale çevirileri Makale çevirileri
Makale numarası: 254728 - Bu makalenin geçerli olduğu ürünleri görün.
ÖNEMLI: Bu makale kayıt defterini değiştirmeyle ilgili bilgiler içermektedir. Kayıt defterini değiştirmeden önce yedeklediğinizden ve bir sorun çıkması durumunda kayıt defterini geri nasıl yükleyeceğinizi anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme ile ilgili bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
256986Microsoft Windows Kayıt Defteri'nin Açıklaması
Hepsini aç | Hepsini kapa

Belirtiler

IP güvenlik iletişim kuralı'nı (ıpsec) olmayan Kerberos güvenli veya Windows 2000 etki alanı denetleyicileri arasındaki trafiği bile RSVP ıpsec ilkesi filtresi iki IP adresi arasındaki tüm IP trafiğine eşleşecek şekilde yapılandırıldığında. ıpsec, etki alanı denetleyicileri arasındaki tüm trafiği güvenlik altına almak için yapılandırıldığında, Kerberos trafiğini görünür olarak Kerberos trafiği ıpsec tarafından korunmayan kablo, yine de sağlar.

Neden

Bazı türde trafiği, ıpsec tarafından güvenliği sağlanan gelen bile, tüm IP trafiği güvenliği sağlanması ıpsec ilkesini belirtir, tasarım dışlandığı. Ipsec muafiyetleri yayın, çok noktaya yayın, RSVP, IKE ve Kerberos trafiğe uygulanır. Kerberos bir güvenlik protokolüdür IKE kimlik doğrulama için ıpsec tarafından kullanılan ve bu nedenle ilk olarak ıpsec tarafından güvenlik altına alınması için tasarımlanmamış. Bu nedenle, ıpsec filtresinin dışında bırakılır. Bu muafiyetleri hakkında daha fazla bilgi için lütfen aşağıdaki Microsoft Knowledge Base makalesine başvurun:
254949Istemci etki alanı denetleyicisini ve etki alanı denetleyicisi etki alanı denetleyicisi ıpsec desteği

Çözüm

Bu sorunu gidermek için, en son Windows 2000 hizmet paketini edinin. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
260910En son Windows 2000 hizmet paketi nasıl elde edilir
Hiçbir işlem etkiler, Kerberos, bu düzeltmenin uygulandığı ve ıpsec ile korunan Kerberos iç sınama sırasında gözlediği. Kerberos trafiğini güvenli, ancak sonuç olarak çalışan etki alanı güvenleri sorunlarla karşılaşırsanız, Microsoft Ürün Destek Hizmetleri'yle temasa geçin.

Kayıt defteri anahtarı ayarlanmış olan Kerberos trafiğini şimdi içeren iki etki alanı denetleyicileri arasındaki tüm tek noktaya yayın trafiğinin tam ıpsec Koruması'nı etkinleştirmek için amacı, bu düzeltmenin olur. Bu düzeltme, Windows 2000 Professional istemcilerde, her etki alanı denetleyicisinde kullanılması amaçlanır. Aşağıdaki Microsoft Bilgi Bankası makalesindeki bilgileri yine de geçerlidir:
254949Istemci etki alanı denetleyicisinde trafiği ve etki alanı denetleyicisinin etki alanı denetleyicisinde trafik için ıpsec desteği
Bu düzeltme, yalnızca üzerinden ıpsec ve IKE trafiğine izin veren bir güvenlik duvarı kuralları ile birlikte kullanmanız gerekir. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
233256Ipsec trafiği üzerinden bir Güvenlik Duvarı'nı etkinleştirme
Önyükleme işlemi sırasında birkaç paketleri, ıpsec sürücüsü başlatıldı ve tam olarak ıpsec ilkesi işlediği için önce gönderilebilir. Yalnızca IKE ve ıpsec iletişim kuralları sağlayan uygun yapılandırılmış bir güvenlik duvarı, bu ıpsec trafiği için uygun olmayan ağlarda giderek gelen engelleyebilirsiniz.

Bir uzak etki alanının alt öğesi olarak yükseltilmesi bir sunucuyu etkinleştirmek için <a0></a0>, sertifika kimlik doğrulaması kullanan bir yerel ıpsec ilkesi ayarlayın. ıpsec güvenlik ilişkilendirmesi ıpsecmon.exe ve ping trafiği için bir uzak etki alanı denetleyicisi oluşturma başka bir yöntemi kullanarak sınayın. ıpsec güvenlik ilişkisi başarıyla kuruldu, uzak etki alanına giden tüm trafiği korunması. Sunucu uzak bir etki alanı ve Kerberos etki alanları arası güvenler, Dcpromo, katılamayacak olmalıdır ve tüm RPC tabanlı normal dizin çoğaltma çalışmalıdır.

Aşağıdaki kayıt defteri anahtarını ekleyin ve bu düzeltmeyi uyguladıktan sonra ıpsec süzgeç kurallarıyla Kerberos ve RSVP muafiyet davranışını denetleyebilirsiniz. Bu yeni kayıt defteri girdisi 1 olarak ayarlanması, bu iletişim kuralları, filtre neden olur.

UYARı: Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilir. Microsoft, Kayıt Defteri Düzenleyicisi yanlış kullanımından kaynaklanan sorunları çözebileceğinizi garanti edemez. Kayıt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluğunuzdadır.

Kayıt defteri anahtarı eklemek için <a0></a0>:
  1. Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) başlatın.
  2. Aşağıdaki kayıt defteri anahtarını tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. Düzen menüsünde, Değer Ekle'yi tıklatın ve sonra da aşağıdaki değeri ekleyin: değer adı: NoDefaultExempt (Bu ad büyük/küçük harf duyarlı olduğunu unutmayın)
    Veri türü: REG_DWORD
    Değer verisi: 0 veya 1

    • 0: Varsayılan muafiyetleri (varsayılan) uygulanır.
    • 1: RSVP ve Kerberos olmayan dışlandığı (yalnızca IKE, çok noktaya yayın ve yayın dışlandığı)

Durum

Microsoft bu sorunun Microsoft Windows 2000'de bulunduğunu onaylamıştır. Bu sorun ilk olarak Windows 2000 Service Pack 1'de giderilmiştir.

Daha fazla bilgi

Windows 2000'i ve Windows 2000 düzeltmelerini aynı anda yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
249149Microsoft Windows 2000 ve Windows 2000 Düzeltmelerini Yükleme
Windows 2000 SP3, Kerberos ıpsec filtre olarak kullanılacak olan bir düzeltme yüklemeniz gerekebilir. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
309304IP güvenlik aktarım modu şifreleme ile parçalanmış paketlerini doğrudan bağlantı, bir kısmı veya tamamı ingilizce olan içeriğe işaret edebilir.

Özellikler

Makale numarası: 254728 - Last Review: 21 Şubat 2007 Çarşamba - Gözden geçirme: 3.3
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Anahtar Kelimeler: 
kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:254728

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com