IPSec 不保護網域控制站之間的 Kerberos 流量

文章翻譯 文章翻譯
文章編號: 254728 - 檢視此文章適用的產品。
重要: 本文包含修改登錄的相關資訊。修改登錄之前請確定它備份起來,並請確定您瞭解如何在發生問題時還原登錄。如如何備份、 還原,以及編輯登錄有關,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
256986Microsoft Windows 登錄的描述
全部展開 | 全部摺疊

徵狀

IP 安全性通訊協定 (IPSec) 不安全的 Kerberos 或甚至 RSVP Windows 2000 網域控制站之間的流量時 IPSec 原則篩選設定為符合兩個 IP 位址之間的所有 IP 流量。IPSec 設定來保障安全網域控制站之間的所有資料傳輸時仍可讓的 Kerberos 流量會顯示為 Kerberos IPSec 保護網路上的流量。

發生的原因

某些類型的傳輸豁免從即使 IPSec 原則指定所有 IP 流量應該受到都保護,由 IPSec,受都保護的設計中。IPSec 豁免套用到廣播、 多點傳送、 RSVP、 IKE 及 Kerberos 的流量。Kerberos 一種安全性通訊協定本身、 可以用於由 IPSec IKE 驗證,因此不是原本設計至受到 IPSec 保護。因此,是免除 IPSec 篩選功能。 如需這些豁免的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
254949用戶端到網域控制站及網域控制站到網域控制站 IPSec 支援

解決方案

如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
260910如何取得最新的 Windows 2000 Service Pack
Kerberos 上的沒有操作影響觀察到內部測試套用此修正程式和 Kerberos 已受到 IPSec 保護時期間。如果您注意到有受保護的 Kerberos 資料傳輸,但結果是無法正常運作的網域信任問題,請連絡 Microsoft 產品支援服務。

此修正程式的目的是要啟用的兩個可以現在包含 Kerberos 流量用登錄的金鑰組的網域控制器之間的所有單點傳播流量的完整 IPSec 保護。此修正程式被為了在每個網域控制站的不是在 Windows 2000 專業版用戶端上使用。下列 「 Microsoft 知識庫 」 文件中的資訊仍然適用:
254949用戶端網域控制站流量和網域控制站到網域控制站流量的 IPSec 支援
您應該將此修正程式允許透過只 IPSec 和 IKE 的資料傳輸的防火牆規則搭配使用。 如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
233256如何啟用透過防火牆的 IPSec 流量
在開機過程幾個封包可能會傳送之前初始化 IPSec 驅動程式,且有 IPSec 原則完全處理。允許唯一的 IKE,IPSec 通訊協定的正確設定的防火牆可以防止此非 IPSec 流量前往不適當的網路。

若要以便要升級為遠端網域的子系伺服器設定 [本機的 IPSec 原則,會使用憑證驗證]。藉由使用 Ipsecmon.exe 及 Ping 或其他方法產生遠端網域控制站的流量的測試 IPSec 安全性關聯。如果成功建立 IPSec 安全性關聯時應該受到保護所有傳輸至遠端網域。伺服器應該能夠聯結遠端網域和 Dcpromo Kerberos 跨網域信任和一般 RPC 為基礎的目錄複寫應該全部運作。

在您套用此 Hotfix,並新增下列登錄機碼之後,您可以控制 RSVP 及 Kerberos 豁免的行為與 IPSec 篩選器規則。 將這個新的登錄項目設定為 1 會造成這些通訊協定來進行篩選。

警告: 如果您未正確使用登錄編輯程式可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證您可以解決因不當使用 「 登錄編輯器 」 的問題。使用 「 登錄編輯程式 」,請自行負擔相關的風險。

若要新增登錄機碼:
  1. 啟動 「 登錄編輯程式 」 (Regedt32.exe)。
  2. 按一下下列登錄機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. 在 [編輯] 功能表上按一下 [新增值],],然後再新增下列值: 數值名稱: NoDefaultExempt (請注意這個名稱會區分大小寫)
    資料類型: REG_DWORD
    資料值: 0 或 1

    • 0: 預設豁免套用 (預設)
    • 1: 不豁免 RSVP 及 Kerberos (唯一的 IKE、 多點傳送及廣播豁免)

狀況說明

Microsoft 已確認這是在 Microsoft Windows 2000 中的問題。這個問題已經先在 Windows 2000 Service Pack 1 中獲得修正。

其他相關資訊

如需有關如何一次安裝 Windows 2000 和 Windows 2000 的 Hotfix 的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
249149安裝 Microsoft Windows 2000 和 Windows 2000 的 Hotfix
您可能必須安裝在 Windows 2000 SP3,使用 Kerberos 透過 IPSec 篩選中的 Hotfix。如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
309304IP 安全性的傳輸模式 (含加密可能會卸除分段的封包

屬性

文章編號: 254728 - 上次校閱: 2007年2月21日 - 版次: 3.3
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:254728
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com