Podpora protokolu IPSec pro řadič domény klienta přenosy a přenos řadič domény řadiče domény

ID článku: 254949 - Produkty, které se vztahují k tomuto článku.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Rozbalit všechny záložky | Minimalizovat všechny záložky

Úvod

Tento článek popisuje podporované konfigurace pro přenos z klientského počítače na řadič domény nebo z řadiče domény na jiný řadič domény v síti zašifrovat pomocí protokol IPSec (IPSec).

Další informace

Důležité: Informace v této části platí pouze pro tyto produkty uvedené v části "Platí pro".

Jsme podporují použití IPSec při použití ověřování Kerberos počítače nebo při použití ověřování certifikátů počítače zašifrovat síťový provoz v implementacích klienta klienta, klient server a server-server-end. Aktuálně jsme nepodporují použití šifrování síťový provoz z domény klienta nebo členský server na řadič domény při použít zásady protokolu IPSec pomocí Zásady skupiny nebo použít metodu ověřování Kerberos verze 5 protokol IPSec.

Navíc jsme podporují následující druhy provozu v síti zašifrovat pomocí protokolu IPSec:
  • Přenos replikace řadiče domény řadiče domény
  • Přenos replikace globálního katalogu do globálního katalogu
Zašifrovat tento přenos pomocí protokolu IPSec, konfigurace obou následující:
  • Vytvoření filtru zásad IPSec k šifrování veškeré komunikace Unicast pomocí možnosti Vše přenosu IP.
  • Nakonfigurovat tento filtr zásad IPSec zašifrovat tento přenos mezi dvěma adresami IP pomocí režimu přenosu IPSec. V tomto scénáři nepoužívejte tunelu IPSec režim.
Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Zálohování a obnovení registru v systému Windows


Po konfiguraci této zásady IPSec všimnout, že při spuštění počítače několik pakety mohou být odeslány nezašifrované síti. K tomuto problému dochází, protože některé pakety může být odeslána prostřednictvím sítě před inicializovat ovladač IPSec a před IPSec byla zpracována zásad. Tento problém umístit ovladače IPSec IPSec.sys během procesu spouštění počítače do režimu blokovat. Když toto provedete, odchozích síťových přenosů z počítače, dokud spustí součást Agent zásad IPSec bloky a dokud součást Agent zásad načítá zásady IPSec. Po spuštění součásti Agent zásad IPSec a po načtení zásad protokolu IPSec, Agent zásad změní režim operace ovladače IPSec povolit pasáž přenos IPSec. Ovladač IPSec přepnout do režimu blokování, nastavte následující hodnotu registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Název hodnoty: OperationMode
Typ hodnoty: REG_DWORD
Hodnota dat: 1
Hodnota 1 přepne do režimu blokování ovladače IPSec. Hodnota 0 (nula) obchází režimu blokování ovladače IPSec.

Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
254728
(http://support.microsoft.com/kb/254728/ )
IPSec zabezpečený přenos Kerberos mezi řadiči domény
Podporujeme šifrovat přenos řadič domény řadiče domény jako Server Message Block (SMB), replikace vzdálené volání procedur (RPC) a jiné druhy přenosů pomocí protokolu IPSec. Tento přenos může přenos pomocí protokolu IPSec umožňují snadno předat tyto druhy přenos přes bránu firewall. V tomto scénáři máte pouze umožňovaly přenos IPSec a přenos Internet Key Exchange (IKE) prostřednictvím brány firewall. Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
233256
(http://support.microsoft.com/kb/233256/ )
Jak povolit přenos přes bránu firewall IPSec
Doporučujeme při konfiguraci pravidla zásad protokolu IPSec řadič domény řadiče domény vyžadují ověřování certifikátů. Podrobné informace o tom, jak vytvořit zásady IPSec, viz Active Directory v sítích Segmentovaný podle firewall dokumentu. Získat tento dokument naleznete na následujícím webu:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en)
Pokud požadavky na zabezpečení povolit Kerberos přenos přes bránu firewall, musí pravidlo vyžadovat ověřování certifikátů. Ve výchozím IKE kontroly odvolaných certifikátů je vypnuto a může mít povoleno prostřednictvím brány firewall. To závisí na infrastruktury PKI, který je používán.

Vytvoření pravidla IPSec v řadičích domény pomocí následující specifikace:
  • Seznam filtrů určuje přenosy přechod z adresy IP v počítači DC1 adresu IP na AG2 (zrcadlení), masky podsítě 255.255.255.255, všechny protokoly a všechny porty. Chcete přidat pravidlo zásady IPSec osvobození přenosy ICMP z vyjednávání zabezpečení protokolu IPSec, pokud ping slouží k ověření síťové připojení ke vzdálenému systému prostřednictvím brány firewall. Jinak lze ověřit připojení pomocí sítě sniff zobrazující přenos IKE (ISAKMP, UDP port 500) odeslaných a přijatých od řadiče domény další adresu DC IP.

    Změna adresy nebo změnit pakety mezi řadiči domény, které vyžadují ochrany IPSec mezi nimi nesmí být použita síťových adres (NAT).

  • V části Nastavení tunelu klepněte Toto pravidlo neurčuje tunelové propojení IPSec, které používá transportní režim.
  • Vybrat Certifikát použít pro metodu ověřování. Použít Kerberos, viz následující poznámka.
  • Vytvořit vlastní filtr akci zrušíte zaškrtnutí políček Přijímat nezabezpečenou komunikaci a Povolit nezabezpečenou komunikaci a určením metoda šifrování příslušná data pomocí formátu ESP IPSec. Síťové adaptéry, které provádějí šifrování IPSec-paketu hardwaru jsou potřebné v každém řadiči domény, takže šifrování IPSec spotřebovat cykly PROCESORU všechny počítače.
Poznámka: Původní vydání (sestavení 2195) Windows 2000 není chránit IKE, Kerberos, nebo RSVP přenosy pomocí filtrů přenosu IPSec. Pokud Kerberos se používá jako metoda ověřování IPSec pravidlo k ochraně přenosu řadič domény řadiče domény namísto certifikátů, musí brána firewall povolit také přenos Kerberos projít. Musí se jednat o výchozí nastavení. Windows 2000 Service Pack 1 poskytuje možnost Ochrana Kerberos a RSVP přenosy IPSec.
253169
(http://support.microsoft.com/kb/253169/ )
Přenos nelze--zabezpečena protokolem IPSec a lze--

Vlastnosti

ID článku: 254949 - Poslední aktualizace: 12. října 2007 - Revize: 7.7
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Klíčová slova: 
kbmt kbinfo kbipsec kbnetwork KB254949 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:254949
(http://support.microsoft.com/kb/254949/en-us/ )
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru