Compatibilidad con IPSec el tráfico controlador cliente para el dominio y tráfico del controlador de dominio controlador de dominio

Seleccione idioma Seleccione idioma
Id. de artículo: 254949 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

INTRODUCCIÓN

En este artículo describe las configuraciones admitidas para utilizar seguridad de protocolo Internet (IPSec) para cifrar el tráfico de red desde un equipo cliente a un controlador de dominio o desde un controlador de dominio a otro controlador de dominio.

Más información

importante La información en esta sección se aplica sólo a los productos enumerados en la sección "La información de este artículo se refiere a".

Se admite el uso de IPSec para cifrar el tráfico de red en implementaciones de cliente a cliente, cliente y servidor y servidor a servidor de extremo a extremo al utilizar la autenticación de equipo de Kerberos o cuando se utiliza la autenticación basada en certificados de equipo. Actualmente, no admiten el uso de IPSec para cifrar tráfico de red desde un dominio de cliente o servidor miembro a un controlador de dominio al aplicar las directivas IPSec mediante Directiva de grupo o cuando se utiliza el método de autenticación de Kerberos versión 5 protocolo.

Además, se admiten el uso de IPSec para cifrar los siguientes tipos de tráfico de red:
  • Tráfico de replicación del controlador de controlador de dominio de dominio
  • Tráfico de replicación del catálogo para global de catálogo global
Para cifrar este tráfico mediante IPSec, configurar las siguientes acciones:
  • Crear un filtro de directiva de IPSec para cifrar todo el tráfico de unidifusión mediante la opción de Todo el tráfico IP .
  • Configurar este filtro de directiva de IPSec para cifrar el tráfico entre dos direcciones IP mediante el modo transporte de IPSec. En este escenario, no utilice el modo de túnel de IPSec.
importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows


Después de configurar esta directiva IPSec, puede observar que, cuando se inician los equipos, pueden enviarse varios paquetes a través de la red sin cifrar. Este problema se produce porque algunos paquetes pueden enviarse a través de la red antes de que se ha inicializado el controlador IPSec y antes de la IPSec ha procesado la directiva. Para resolver este problema, coloque el controlador IPSec IPSec.sys en modo de bloqueo durante el proceso de inicio del equipo. Al hacerlo, bloques de IPSec saliente tráfico de red desde el equipo hasta que comienza el componente de PolicyAgent y hasta que el componente de PolicyAgent carga las directivas IPSec. Después de que ha iniciado el componente IPSec PolicyAgent, y después de cargarán las directivas IPSec, la PolicyAgent cambia el modo de funcionamiento del controlador IPSec para permitir el paso de tráfico IPSec. Para colocar el controlador IPSec en modo de bloque, establezca el valor del Registro siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Nombre del valor: OperationMode
Tipo de valor: REG_DWORD
Valor de datos: 1
Un valor de 1 coloca el controlador IPSec en modo de bloqueo. Un valor de 0 (cero) omite el modo de bloque del controlador IPSec.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
254728IPSec no protege el tráfico de Kerberos entre los controladores de dominio
Se admite el uso de IPSec para cifrar el tráfico del controlador de dominio controlador de dominio, como bloque de mensajes de servidor (SMB), replicación de la llamada a procedimiento remoto (RPC) y otros tipos de tráfico. Puede transportar este tráfico mediante IPSec para permitirle pasar fácilmente estos tipos de tráfico a través de un servidor de seguridad. En este escenario, sólo tiene que permitir el tráfico de IPSec y tráfico de intercambio de claves de Internet (IKE) a través del firewall. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
233256Cómo habilitar el tráfico de IPSec en un servidor de seguridad
Se recomienda que exijan la autenticación basada en certificados cuando configura reglas de directiva de IPSec de dominio del controlador de dominio. Para obtener información detallada acerca de cómo crear una directiva IPSec, consulte el documento Active in Networks Segmented by Firewalls . Para obtener este documento, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
La regla debe requerir la autenticación de certificados si los requisitos de seguridad no permiten el tráfico de Kerberos a través del firewall. De forma predeterminada, comprobación de revocación de certificados IKE está desactivado y tiene que habilitarse a través del firewall. Esto depende de la infraestructura de PKI que se utiliza.

Crear la regla IPSec en los controladores de dominio mediante las especificaciones siguientes:
  • La lista de filtro especifica tráfico va desde la dirección IP en DC1 a la dirección IP de DC2 (reflejado), las máscaras de subred 255.255.255.255, todos los protocolos y todos los puertos. Puede que desee agregar una regla a la directiva de IPSec para exento el tráfico ICMP de negociación de seguridad de IPSec si se utiliza ping para comprobar la conectividad de red al sistema remoto a través del firewall. En caso contrario, se puede comprobar conectividad mediante un husmeador de red que muestra el tráfico IKE (ISAKMP, UDP, puerto 500) enviadas y recibidas desde el controlador de dominio en la otra dirección IP del DC.

    Un traductor de direcciones de red (NAT) no debe utilizarse para cambiar direcciones o modificar los paquetes entre los controladores de dominio que requieren protección de IPSec entre ellos.

  • En Configuración del túnel , haga clic en esta regla no especifica un túnel IPSec para que se utiliza el modo de transporte.
  • Seleccione Usar certificados para el método de autenticación. Puede utilizar Kerberos, consulte la nota siguiente.
  • Crear una acción de filtro personalizado desactivando las casillas de verificación Aceptar comunicación no protegidos y Permitir comunicación no protegidos y especificar el método de cifrado de datos apropiado utilizando el formato ESP de IPSec. Adaptadores de red que realizar el cifrado de IPSec de paquetes en hardware son necesarias en cada controlador de dominio para que el cifrado IPSec no consume ciclos de CPU de todos los del equipo.
Nota El lanzamiento inicial (compilación 2195) de Windows 2000 no se puede proteger a IKE, Kerberos, o RSVP tráfico mediante filtros de transporte IPSec. Si se utiliza Kerberos como método de autenticación de regla de IPSec para proteger el tráfico del controlador de dominio controlador de dominio en lugar de certificados, el servidor de seguridad también debe permitir tráfico de Kerberos recorrer. Debe ser un valor predeterminado. Windows 2000 Service Pack 1 proporciona IPSec con la capacidad de proteger el tráfico de Kerberos y RSVP.
253169Tráfico que puede y no se--pueden proteger mediante IPSec

Propiedades

Id. de artículo: 254949 - Última revisión: viernes, 12 de octubre de 2007 - Versión: 7.7
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Palabras clave: 
kbmt kbinfo kbipsec kbnetwork KB254949 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 254949

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com