IPSec-Unterstützung für Datenverkehr von Client zu Domänencontroller und Domänencontroller zu Domänencontroller Domänenverkehr

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 254949 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

EINFÜHRUNG

Dieser Artikel beschreibt die unterstützten Konfigurationen zur Verwendung von IP-Sicherheit (IPSec) zum Verschlüsseln des Netzwerkverkehrs von einem Clientcomputer zu einem Domänencontroller oder von einem Domänencontroller auf einen anderen Domänencontroller.

Weitere Informationen

wichtig Die Informationen in diesem Abschnitt gelten nur für die im Abschnitt "Beziehen sich auf" aufgeführten Produkte.

Wir unterstützen die Verwendung von IPSec zum Verschlüsseln des Netzwerkverkehrs in Implementierungen von End-to-End-Client-zu-Client, Client-zu-Server und Server-zu-Server mithilfe von Kerberos-Computerauthentifizierung oder wenn Sie die zertifikatbasierte Computerauthentifizierung verwenden. Aktuell, unterstützen wir nicht die Verwendung von IPSec zum Verschlüsseln von Netzwerkverkehr von einem Domäne-Client oder Member Server zu einem Domänencontroller beim Anwenden der IPSec-Richtlinien mithilfe von Gruppenrichtlinien oder wenn Sie die Authentifizierungsmethode Kerberos Version 5-Protokoll verwenden.

Darüber hinaus unterstützen wir mithilfe von IPSec um die folgenden Arten von Netzwerkverkehr zu verschlüsseln:
  • Domäne-Controller, Domänencontroller-Replikationsverkehr
  • Replikationsverkehr globaler Katalog zum globalen Katalog
Dieser Datenverkehr verschlüsselt mithilfe von IPSec, konfigurieren Sie beide die folgenden:
  • Erstellen Sie einen IPSec-Richtlinie Filter, um alle Unicast-Datenverkehr verschlüsseln mit der Option IP-Datenverkehr insgesamt .
  • Konfigurieren Sie diese IPSec-Richtlinienfilter für diesen Datenverkehr zwischen zwei IP-Adressen mithilfe von IPSec-Transportmodus verschlüsselt. Verwenden Sie in diesem Szenario keine IPSec-Tunnelmodus.
wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows


Nachdem Sie diese IPSec-Richtlinie konfigurieren, können Sie feststellen, dass wenn der Computer gestartet werden, mehrere Pakete unverschlüsselt über das Netzwerk gesendet werden können. Dies tritt auf, da einige Pakete über das Netzwerk gesendet werden können, bevor der IPSec-Treiber initialisiert wurde und bevor die IPSec-Richtlinie verarbeitet wurde. Um dieses Problem zu beheben, fügen Sie den IPSec-Treiber IPSec.sys in den Block während des Startvorgangs Computer. Wenn Sie dazu IPSec blockiert ausgehenden Netzwerkverkehr vom Computer, bis die Richtlinien-Agent-Komponente beginnt und bis die Richtlinien-Agent-Komponente lädt die IPSec-Richtlinien. Nachdem die IPSec-Richtlinien-Agent-Komponente gestartet wurde und nachdem die IPSec-Richtlinien, die geladen werden, ändert der Richtlinien-Agent den IPSec-Treiber-Betriebsmodus Textabschnitt IPSec-Datenverkehr zulassen. Um den IPSec-Treiber in den Block, legen Sie den folgenden Registrierungswert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Wertname: OperationMode
Werttyp: REG_DWORD
Wertdaten: 1
Der Wert 1 versetzt den IPSec-Treiber in Modus blockieren. Der Wert 0 (null) umgeht Modus blockieren den IPSec-Treiber.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
254728IPSec sichert Kerberos-Verkehr zwischen Domänencontrollern
Unterstützt mithilfe von IPSec-Domäne Domänencontroller zu Domänencontroller Datenverkehr wie z. B. SMB (Server Message Block), Replikation (Remote Procedure Call) und andere Arten von Datenverkehr zu verschlüsseln. Sie können diesen Datenverkehr transportieren, mithilfe von IPSec mit dem Sie einfach diese Arten von Datenverkehr über einen Firewall übergeben können. In diesem Szenario müssen Sie nur IPSec-Datenverkehr und Internetschlüsselaustausch (IKE)-Datenverkehr über die Firewall zulassen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
233256Zum Aktivieren von IPSec-Datenverkehr über eine firewall
Es wird empfohlen, dass Sie beim Konfigurieren der Domäne Domänencontroller zu Domänencontroller IPSec-Richtlinienregeln zertifikatbasierte Authentifizierung benötigen. Ausführliche Informationen zum Erstellen einer IPSec-Richtlinie finden Sie in des Active Directory in Networks Segmented by Firewalls Dokuments. Um dieses Dokument zu erhalten, die folgende Microsoft-Website:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
Die Regel muss Zertifikatauthentifizierung erforderlich, wenn die Sicherheitsanforderungen keine Kerberos-Datenverkehr über die Firewall zulassen. Standardmäßig IKE Zertifikat Sperrungsüberprüfung ist deaktiviert, und möglicherweise durch die Firewall aktiviert werden. Dies hängt die Infrastruktur, die verwendet wird.

Erstellen Sie die IPSec-Regel auf den Domänencontrollern, indem Sie mit folgenden Spezifikationen:
  • Die Filterliste gibt Datenverkehr von der IP-Adresse auf DC1 der IP-Adresse auf DC2 (gespiegelt), Subnetzmasken 255.255.255.255, alle Protokolle und alle Ports. Möglicherweise möchten die IPSec-Richtlinie ausgenommen ICMP-Verkehr von IPSec-Sicherheitsaushandlung eine Regel hinzufügen, wenn Ping zum Überprüfen der Netzwerkverbindung mit dem Remotesystem über die Firewall verwendet wird. Andernfalls kann Konnektivität durch eine Netzwerk-Ermittlung, die IKE-Datenverkehr wird überprüft (ISAKMP, UDP-port 500) gesendeten und empfangenen des Domänencontrollers die anderen Domänencontroller IP-Adresse.

    (Network Address Translator) muss nicht verwendet werden, Ändern von Adressen oder ändern Pakete zwischen den Domänencontrollern, die IPSec-Schutz dazwischen erfordern.

  • Klicken Sie unter Tunneleinstellungen auf Diese Regel spezifiziert keinen IPSec-Tunnel , so dass diese Transportmodus verwendet.
  • Wählen Sie Verwenden Zertifikate für die Authentifizierungsmethode aus. Sie können Kerberos verwenden, finden Sie in der folgende Anmerkung.
  • Erstellen Sie einen benutzerdefinierten Filter Aktion, indem Sie die Kontrollkästchen Unsichere Kommunikation annehmen und Unsichere Kommunikation zulassen deaktivieren und die entsprechenden Daten Verschlüsselungsmethode mit das ESP-Format von IPSec festlegen. Netzwerkadapter, die IPSec-Paketebene Verschlüsselung in der Hardware durchführen werden in jeder Domänencontroller benötigt, damit IPSec-Verschlüsselung nicht alle des Computers CPU-Zyklen beanspruchen wird.
Hinweis: Die erste Version (Build 2195) von Windows 2000 nicht IKE, Kerberos, schützen oder RSVP-Verkehr mithilfe von IPSec-Transport-Filter. Wenn Kerberos als Authentifizierungsmethode für IPSec-Regel zum Schutz des Domäne Domänencontroller zu Domänencontroller Datenverkehrs anstelle von Zertifikaten verwendet wird, muss die Firewall auch Kerberos-Datenverkehr durchlaufen zulassen. Dies muss eine Standardeinstellung sein. Windows 2000 Service Pack 1 stellt IPSec mit den dar zum Schutz von Kerberos- und RSVP-Datenverkehr.
253169Datenverkehr, der nicht möglich--durch IPSec geschützt werden und kann--

Eigenschaften

Artikel-ID: 254949 - Geändert am: Freitag, 12. Oktober 2007 - Version: 7.7
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Keywords: 
kbmt kbinfo kbipsec kbnetwork KB254949 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 254949
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com