Υποστήριξη IPSec για την κυκλοφορία ελεγκτής προγράμματος-πελάτη σε τομέα και την κυκλοφορία ελεγκτή τομέα σε ελεγκτή τομέα

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 254949 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τις υποστηριζόμενες ρυθμίσεις παραμέτρων για τη χρήση ασφάλειας πρωτοκόλλου Internet (IPSec) για την κρυπτογράφηση της κυκλοφορίας δικτύου από έναν υπολογιστή-πελάτη σε έναν ελεγκτή τομέα ή από έναν ελεγκτή τομέα σε έναν άλλον ελεγκτή τομέα.

Περισσότερες πληροφορίες

ΣημαντικόΟι πληροφορίες αυτής της ενότητας ισχύει μόνο για τα προϊόντα που παρατίθενται στην ενότητα "Ισχύει για".

Υποστηρίζουμε τη χρήση της IPSec για την κρυπτογράφηση κυκλοφορία δικτύου σε υλοποιήσεις πρόγραμμα-πελάτης πρόγραμμα-πελάτης πρόγραμμα-πελάτη-διακομιστή και διακομιστή προς διακομιστή τερματικό σε τερματικό, όταν χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos υπολογιστή ή όταν χρησιμοποιείτε υπολογιστή που βασίζεται σε πιστοποιητικό ελέγχου ταυτότητας. Προς το παρόν, δεν υποστηρίζεται η χρήση της για την κρυπτογράφηση της κυκλοφορίας δικτύου από έναν τομέα υπολογιστή-πελάτη ή διακομιστή-μέλος σε έναν ελεγκτή τομέα κατά την εφαρμογή των πολιτικών IPSec χρησιμοποιώντας πολιτική ομάδας ή όταν χρησιμοποιείτε τη μέθοδο ελέγχου ταυτότητας Kerberos έκδοση 5 πρωτόκολλο IPSec.

Επιπλέον, Υποστηρίζουμε με ασφάλεια IP για την κρυπτογράφηση και τα δύο τα παρακάτω είδη κυκλοφορίας δικτύου:
  • Κυκλοφορία αναπαραγωγής του ελεγκτή τομέα σε ελεγκτή τομέα
  • Κυκλοφορία αναπαραγωγής του καθολικού καταλόγου-σε-καθολικού καταλόγου
Για να κρυπτογραφήσετε αυτήν την κυκλοφορία με τη χρήση IPSec, ρυθμίστε τα παρακάτω:
  • Δημιουργία ενός φίλτρου πολιτικής IPSec για την κρυπτογράφηση κάθε κυκλοφορία μοναδικής διανομής, χρησιμοποιώντας τοΌλη η κυκλοφορία IPΕπιλογή.
  • Ρύθμιση παραμέτρων αυτού του φίλτρου πολιτικής IPSec για την κρυπτογράφηση αυτήν την κυκλοφορία μεταξύ δύο διευθύνσεων IP χρησιμοποιώντας την κατάσταση λειτουργίας μεταφοράς IPSec. Σε αυτό το σενάριο, δεν πρέπει να χρησιμοποιείτε λειτουργία σήραγγας IPSec.
ΣημαντικόΑυτή ενότητα, μέθοδο ή εργασία περιέχει βήματα που θα σας πληροφορήσει πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου προτού το τροποποιήσετε. Με αυτόν τον τρόπο, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Αφού ρυθμίσετε τις παραμέτρους αυτής της πολιτικής IPSec, ενδέχεται να παρατηρήσετε ότι κατά την εκκίνηση των υπολογιστών, πολλά πακέτα ενδέχεται να σταλούν μέσω δικτύου χωρίς κρυπτογράφηση. Αυτό το ζήτημα παρουσιάζεται επειδή ορισμένα πακέτα μπορεί να αποσταλεί μέσω του δικτύου, πριν από το πρόγραμμα οδήγησης IPSec έχει προετοιμαστεί και πριν από την IPSec έχει γίνει επεξεργασία της πολιτικής. Για να επιλύσετε αυτό το ζήτημα, θέσετε το πρόγραμμα οδήγησης IPSec IPSec.sys σε κατάσταση λειτουργίας αποκλεισμού κατά τη διαδικασία εκκίνησης του υπολογιστή. Όταν το κάνετε αυτό, μπλοκ IPSec εξερχόμενη κυκλοφορία δικτύου από τον υπολογιστή έως ότου το στοιχείο τον παράγοντα πολιτικής ξεκινά και μέχρι το στοιχείο τον παράγοντα πολιτικής φορτώνει τις πολιτικές IPSec. Εφόσον έχει ξεκινήσει το στοιχείο τον παράγοντα πολιτικής IPSec και μετά τις πολιτικές IPSec έχουν φορτωθεί, η τον παράγοντα πολιτικής αλλάζει κατάσταση λειτουργίας του προγράμματος οδήγησης IPSec για να επιτρέψετε την πρόσβαση της κυκλοφορίας IPSec. Για να θέσετε το πρόγραμμα οδήγησης IPSec σε κατάσταση λειτουργίας αποκλεισμού, ρυθμίστε την ακόλουθη τιμή μητρώου:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Όνομα τιμής: OperationMode
Τύπος τιμής: REG_DWORD
Η τιμή δεδομένων: 1
Η τιμή 1 θέτει το πρόγραμμα οδήγησης IPSec σε κατάσταση λειτουργίας αποκλεισμού. Η τιμή 0 (μηδέν) παρακάμπτει την κατάσταση λειτουργίας αποκλεισμού του προγράμματος οδήγησης IPSec.

Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
254728IPSec δεν είναι ασφαλής κυκλοφορία Kerberos μεταξύ ελεγκτών τομέα
Υποστηρίζουμε τη χρήση της IPSec για την κρυπτογράφηση της κυκλοφορίας ελεγκτή τομέα ελεγκτή τομέα όπως μπλοκ μηνυμάτων διακομιστή (SMB), η αναπαραγωγή της απομακρυσμένης διαδικασίας κλήση (RPC) και άλλα είδη κυκλοφορίας. Μπορείτε να μεταφοράς αυτήν την κυκλοφορία με τη χρήση IPSec, ώστε να μπορείτε εύκολα να περάσουν αυτά τα είδη κυκλοφορία μέσω του τείχους προστασίας. In this scenario, you only have to permit IPSec traffic and Internet Key Exchange (IKE) traffic through your firewall.Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
233256How to enable IPSec traffic through a firewall
We recommend that you require certificate-based authentication when you configure domain controller-to-domain controller IPSec policy rules. For detailed information about how to create an IPSec policy, see theActive Directory in Networks Segmented by Firewallsdocument. To obtain this document, visit the following Microsoft Web site:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
The rule must require certificate authentication if the security requirements do not allow Kerberos traffic through the firewall. By default, IKE certificate revocation checking is off, and may have to be enabled through the firewall. This depends on the PKI infrastructure that is being used.

Build the IPSec rule on the domain controllers by using the following specifications:
  • The filter list specifies traffic going from the IP address on DC1 to the IP address on DC2 (mirrored), subnet masks 255.255.255.255, all protocols, and all ports. You may want to add a rule to the IPSec policy to exempt ICMP traffic from IPSec security negotiation if Ping is used to verify network connectivity to the remote system through the firewall. Otherwise, connectivity can be verified by a network sniff that shows IKE traffic (ISAKMP, UDP port 500) being sent and received from the DC to the other DC IP address.

    A network address translator (NAT) must not be used to change addresses or modify packets between the domain controllers that require IPSec protection between them.

  • underΡύθμιση σήραγγαςΚάντε κλικThis rule does not specify an IPSec tunnelso that it uses Transport mode.
  • ΕπιλογήUse Certificatefor the authentication method. You can use Kerberos, see the following note.
  • Create a custom filter action by clearing theAccept Unsecured CommunicationANDAllow Unsecured Communicationcheck boxes and specifying the appropriate data encryption method by using the ESP format of IPSec. Network adaptors that perform IPSec per-packet encryption in hardware are needed in each domain controller so that IPSec encryption does not consume all the computer's CPU cycles.
ΣΗΜΕΙΩΣΗThe initial release (build 2195) of Windows 2000 does not protect IKE, Kerberos, or RSVP traffic using IPSec transport filters. If Kerberos is used as the IPSec rule authentication method to protect domain controller-to-domain controller traffic instead of certificates, the firewall also must allow Kerberos traffic to go through. This must be a default setting. Windows 2000 Service Pack 1 provides IPSec with the capability of protecting Kerberos and RSVP traffic.
253169Traffic that can--and cannot--be secured by IPSec

Ιδιότητες

Αναγν. άρθρου: 254949 - Τελευταία αναθεώρηση: Κυριακή, 19 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Λέξεις-κλειδιά: 
kbinfo kbipsec kbnetwork kbmt KB254949 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:254949

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com