Prise en charge IPSec pour le trafic client-to-domaine contrôleur et le trafic contrôleur de domaine, contrôleur de domaine

Traductions disponibles Traductions disponibles
Numéro d'article: 254949 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

INTRODUCTION

Cet article décrit les configurations pris en charge pour l'utilisation de la sécurité (IPsec) pour crypter le trafic réseau à partir d'un ordinateur client à un contrôleur de domaine ou d'un contrôleur de domaine à un autre contrôleur de domaine.

Plus d'informations

important Les informations contenues dans cette section s'appliquent uniquement à ces produits répertoriés dans la section " S'applique à".

Nous prennent en charge l'utilisation des IPSec pour crypter le trafic réseau dans des implémentations client-à-client, client-serveur et serveur à serveur de bout en lorsque vous utilisez l'authentification ordinateur Kerberos ou lorsque vous utilisez l'authentification basée sur les certificats ordinateur. Actuellement, nous ne prennent en charge l'utilisation d'IPSec pour crypter le trafic réseau d'un serveur de client ou un membre de domaine vers un contrôleur de domaine lorsque vous appliquez les stratégies IPSec à l'aide de la stratégie de groupe ou lorsque vous utilisez la méthode de l'authentification Kerberos version 5 protocole.

Plus, prend en nous charge en utilisant IPSec pour crypter les types suivants de trafic réseau :
  • Trafic de réplication contrôleur de domaine, contrôleur de domaine
  • Le trafic de réplication catalogue global catalogue pour global
Pour chiffrer ce trafic à l'aide d'IPsec, configurez les deux opérations suivantes :
  • Créer un filtre de stratégie IPSec pour crypter le trafic monodiffusion tout en utilisant l'option tout le trafic IP .
  • Configurer ce filtre de stratégie IPSec pour crypter ce trafic entre deux adresses IP à l'aide en mode de transport IPSec. Dans ce scénario, n'utilisez pas le mode de tunnel IPSec.
important Cette section, la méthode ou la tâche, contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si modification incorrecte du Registre. Par conséquent, assurez-vous que ces étapes avec soin. Pour la protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows


Après avoir configuré cette stratégie IPSec, vous pouvez remarquer que lorsque les ordinateurs sont démarrés, plusieurs paquets peuvent être envoyées via le réseau non chiffré. Ce problème se produit car certains paquets peuvent être envoyées sur le réseau avant le pilote IPSec a été initialisé et avant le IPSec stratégie a été traité. Pour résoudre ce problème, placez le pilote IPSec IPSec.sys en mode bloc pendant le processus de démarrage d'ordinateur. Lorsque cela, IPSec blocs sortant le trafic réseau à partir de l'ordinateur jusqu'à ce que le composant du service PolicyAgent démarre et jusqu'à ce que le composant du service PolicyAgent charge les stratégies IPSec. Une fois que le composant du service PolicyAgent IPSec a démarré, et une fois que les stratégies IPSec sont chargées, le service PolicyAgent modifie le mode d'opération le pilote IPSec afin d'autoriser le passage du trafic IPSec. Pour mettre le pilote IPSec en mode bloc, définissez la valeur de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Nom de la valeur : OperationMode
Valeur de type : REG_DWORD
Valeur de données: 1
La valeur 1 place le pilote IPSec en mode bloc. Une valeur de 0 (zéro) ignore en mode bloc le pilote IPSec.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
254728 Trafic Kerberos entre les contrôleurs de domaine non ne sécurisé dans IPSec
Il prend en charge l'utilisation de IPSec pour crypter le trafic contrôleur de domaine, contrôleur de domaine comme SMB (Server Message Block), de réplication d'appel de procédure distante (RPC) et d'autres types de trafic. Vous pouvez transport ce trafic à l'aide de IPSec pour vous permettent de facilement transmettre ces types de trafic à travers un pare-feu. Dans ce scénario, vous seulement devez autoriser le trafic IPSec et IKE (Internet Key Exchange) le trafic via votre pare-feu. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
233256 Comment faire pour activer le trafic IPSec par le biais d'un pare-feu
Il est recommandé que vous exiger une authentification basée sur les certificats lorsque vous configurez des règles de stratégie IPSec de domaine contrôleur de contrôleur de domaine. Pour plus d'informations sur la façon de créer une stratégie IPSec, consultez le document Active Directory dans Networks Segmented par le pare-feu . Pour obtenir ce document, reportez-vous au site de Web Microsoft suivant :
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
La règle doit nécessitent l'authentification par certificat si les exigences en matière de sécurité ne permettent pas de trafic Kerberos via le pare-feu. Par défaut, la vérification de révocation certificat IKE est désactivé et devrez être activée à travers le pare-feu. Cela dépend de l'infrastructure PKI qui est utilisé.

Créez la règle IPSec sur les contrôleurs de domaine en utilisant les caractéristiques suivantes :
  • La liste de filtres indique le trafic transitant à partir de l'adresse IP il à l'adresse IP sur DC2 (en miroir), masques de sous-réseau 255.255.255.255, tous les protocoles et tous les ports. Vous souhaiterez peut-être ajouter une règle à la stratégie IPSec pour le trafic ICMP identifiant de négociation de sécurité IPSec si Ping est utilisée pour vérifier la connectivité réseau sur le système distant via le pare-feu. Dans le cas contraire, la connectivité peut être vérifiée par une détection de réseau qui présente le trafic IKE (ISAKMP, UDP port 500) étant envoyés et reçus à partir du contrôleur de domaine à l'autre adresse IP de contrôleur de domaine.

    Un traducteur d'adresses réseau (NAT) ne doit pas servir à modifier adresses ou modifier des paquets entre les contrôleurs de domaine qui requièrent la protection IPSec entre eux.

  • Sous Paramètres du tunnel , cliquez sur Cette règle ne spécifie un tunnel IPSec afin qu'elle utilise le mode de transport.
  • Sélectionnez utiliser le certificat pour la méthode d'authentification. Vous pouvez utiliser Kerberos, consultez la remarque ci-dessous.
  • Créer une action de filtre personnalisé en désactivant les cases à cocher Accepter les communications non sécurisées et permettre une communication non sécurisée et en spécifiant la méthode de chiffrement données appropriées en utilisant le format ESP. d'IPsec. Cartes réseau qui effectuent des IPSec par paquet de chiffrement de matériel sont nécessaires dans chaque contrôleur de domaine afin que le cryptage IPSec ne consomme pas cycles de processeur tout l'ordinateur.
note La version initiale (build 2195) de Windows 2000 ne protéger IKE, Kerberos, ni RSVP le trafic à l'aide de filtres de transport IPSec. Si Kerberos est utilisé comme méthode d'authentification règle IPSec pour protéger le trafic contrôleur de domaine, contrôleur de domaine au lieu de certificats, le pare-feu également doit autorise le trafic Kerberos vers passent. Ceci doit être un paramètre par défaut. Windows 2000 Service Pack 1 fournit IPSec avec la fonctionnalité de protéger le trafic Kerberos et RSVP.
253169 Le trafic qui peut--et ne peut pas--être sécurisé par IPSec

Propriétés

Numéro d'article: 254949 - Dernière mise à jour: vendredi 12 octobre 2007 - Version: 7.7
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows XP Professional
Mots-clés : 
kbmt kbinfo kbipsec kbnetwork KB254949 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 254949
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com