IPSec 不安全域控制器之间的 Kerberos 通信

文章翻译 文章翻译
文章编号: 254728 - 查看本文应用于的产品
重要提示: 本文包含有关修改注册表的信息。在修改注册表之前,请务必对其进行备份,并确保您了解如何还原注册表发生问题。有关如何备份、 还原,和编辑注册表单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986在 Microsoft Windows 注册表的说明
展开全部 | 关闭全部

症状

IP 安全协议 (IPSec) 不安全的 Kerberos 或甚至 RSVP Windows 2000 的域控制器之间的通信以匹配两个 IP 地址之间的所有 IP 通讯配置 IPSec 策略筛选器时。IPSec 时被配置为保护域控制器之间的所有通信流仍允许的 Kerberos 通信显示为在网络受 IPSec 上的 Kerberos 通信。

原因

某些类型的通信被免除从所受 IPSec,甚至在 IPSec 策略指定所有 IP 通讯应受都保护时的设计使然。IPSec 免除项应用于广播、 多播、 RSVP,IKE 和 Kerberos 通信。Kerberos 是一种安全协议本身可用于通过 IPSec IKE 验证,因此不最初设计要由 IPSec 保护。因此,它是受 IPSec 筛选。 详细有关这些免除项,请参阅下列 Microsoft 知识库文章:
254949客户端到域控制器和域控制器到域控制器 IPSec 支持

解决方案

若要解决此问题,获得最新的 service pack,对于 Windows 2000。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 服务软件包
对 Kerberos 没有操作影响时应用此修复程序和 Kerberos 是 IPSec 保护的内部测试过程中观察到。如果您注意到的受保护的 Kerberos 通信,但结果无法正常工作的域信任关系的问题,请与 Microsoft 产品支持服务联系。

此修复程序的目的是要启用完全的 IPSec 保护的两个可以现在包含注册表密钥集与在 Kerberos 通信的域控制器之间的所有单播通信。此修复程序旨在用于不在 Windows 2000 专业版客户端上的每个域控制器上。在下面的 Microsoft 知识库文章中信息仍适用:
254949对客户端到域控制器通信和域控制器到域控制器通信的 IPSec 支持
您应该仅允许 IPSec 与 IKE 通信通过防火墙规则结合使用此修复程序。 有关更多的信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
233256如何启用 IPSec 通信通过防火墙
在启动过程中初始化 IPSec 驱动程序和在 IPSec 策略已完全处理之前,可能会发送几个数据包。允许唯一的 IKE 和 IPSec 协议的正确配置的防火墙可以防止此非 IPSec 通信流将不适当的网络。

若要能够远程域的子域作为要升级的服务器设置使用证书身份验证的本地 IPSec 策略。通过使用 Ipsecmon.exe 和 Ping,或生成到远程域控制器的通信的一些其他方法测试 IPSec 安全关联。如果成功地建立 IPSec 安全关联,则应保护到远程域的所有通信。服务器应该能够连接远程的域和 Dcpromo,Kerberos 的域间信任和所有应工作正常的基于 RPC 的目录复制。

在应用此修补程序并将添加以下注册表项之后可以使用 IPSec 筛选器规则的 RSVP 和 Kerberos 控制免除的行为。 此新的注册表项设置为 1 会导致这些协议进行筛选。

警告: 如果注册表编辑器使用不当可能会导致严重的问题,可能会要求您重新安装操作系统。Microsoft 不能保证可以解决问题所产生的错误地使用注册表编辑器。使用注册表编辑器需要您自担风险。

要添加注册表项,请执行以下操作:
  1. 启动注册表编辑器 (Regedt32.exe)。
  2. 单击下面的注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. 编辑 菜单上单击 添加值,然后添加以下值: 数值名称: NoDefaultExempt (请注意此名称是区分大小写)
    数据类型: REG_DWORD
    数据值: 0 或 1

    • 0: 默认免除项应用 (默认)
    • 1: 不免除 RSVP 和 Kerberos (仅 IKE、 多播和广播免除)

状态

Microsoft 已经确认这是 Microsoft Windows 2000 中的问题。Windows 2000 Service Pack 1 中,第一次已得到纠正此问题。

更多信息

有关如何一次安装 Windows 2000 和 Windows 2000 修补程序的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
249149安装 Microsoft Windows 2000 和 Windows 2000 程序修补程序
您可能必须安装在 Windows 2000 SP3,要使用 Kerberos 通过 IPSec 筛选中的修补程序。有关更多的信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
309304使用加密的 IP 安全传输模式可能删除碎片的数据包

属性

文章编号: 254728 - 最后修改: 2007年2月21日 - 修订: 3.3
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 254728
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com