Connexion

Select the product you need help with

Prise en charge IPSec pour le trafic client-to-domaine contr�leur et le trafic contr�leur de domaine, contr�leur de domaine

Num�ro d'article: 254949 - Voir les produits auxquels s'applique cet article

ATTENTION : Cet article est issu du syst�me de traduction automatique

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

Agrandir tout | R�duire tout

INTRODUCTION

Cet article d�crit les configurations pris en charge pour l'utilisation de la s�curit� (IPsec) pour crypter le trafic r�seau � partir d'un ordinateur client � un contr�leur de domaine ou d'un contr�leur de domaine � un autre contr�leur de domaine.

Plus d'informations

important Les informations contenues dans cette section s'appliquent uniquement � ces produits r�pertori�s dans la section " S'applique �".

Nous prennent en charge l'utilisation des IPSec pour crypter le trafic r�seau dans des impl�mentations client-�-client, client-serveur et serveur � serveur de bout en lorsque vous utilisez l'authentification ordinateur Kerberos ou lorsque vous utilisez l'authentification bas�e sur les certificats ordinateur. Actuellement, nous ne prennent en charge l'utilisation d'IPSec pour crypter le trafic r�seau d'un serveur de client ou un membre de domaine vers un contr�leur de domaine lorsque vous appliquez les strat�gies IPSec � l'aide de la strat�gie de groupe ou lorsque vous utilisez la m�thode de l'authentification Kerberos version 5 protocole.

Plus, prend en nous charge en utilisant IPSec pour crypter les types suivants de trafic r�seau :

Trafic de r�plication contr�leur de domaine, contr�leur de domaine
Le trafic de r�plication catalogue global catalogue pour global

Pour chiffrer ce trafic � l'aide d'IPsec, configurez les deux op�rations suivantes :

Cr�er un filtre de strat�gie IPSec pour crypter le trafic monodiffusion tout en utilisant l'option tout le trafic IP .
Configurer ce filtre de strat�gie IPSec pour crypter ce trafic entre deux adresses IP � l'aide en mode de transport IPSec. Dans ce sc�nario, n'utilisez pas le mode de tunnel IPSec.

important Cette section, la m�thode ou la t�che, contient des �tapes qui vous indiquent comment modifier le Registre. Toutefois, des probl�mes graves peuvent se produire si modification incorrecte du Registre. Par cons�quent, assurez-vous que ces �tapes avec soin. Pour la protection suppl�mentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un probl�me se produit. Pour plus d'informations sur la fa�on sauvegarder et restaurer le Registre, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

322756

(http://support.microsoft.com/kb/322756/ )

Comment faire pour sauvegarder et restaurer le Registre dans Windows

Apr�s avoir configur� cette strat�gie IPSec, vous pouvez remarquer que lorsque les ordinateurs sont d�marr�s, plusieurs paquets peuvent �tre envoy�es via le r�seau non chiffr�. Ce probl�me se produit car certains paquets peuvent �tre envoy�es sur le r�seau avant le pilote IPSec a �t� initialis� et avant le IPSec strat�gie a �t� trait�. Pour r�soudre ce probl�me, placez le pilote IPSec IPSec.sys en mode bloc pendant le processus de d�marrage d'ordinateur. Lorsque cela, IPSec blocs sortant le trafic r�seau � partir de l'ordinateur jusqu'� ce que le composant du service PolicyAgent d�marre et jusqu'� ce que le composant du service PolicyAgent charge les strat�gies IPSec. Une fois que le composant du service PolicyAgent IPSec a d�marr�, et une fois que les strat�gies IPSec sont charg�es, le service PolicyAgent modifie le mode d'op�ration le pilote IPSec afin d'autoriser le passage du trafic IPSec. Pour mettre le pilote IPSec en mode bloc, d�finissez la valeur de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec

Nom de la valeur : OperationMode
Valeur de type : REG_DWORD
Valeur de donn�es: 1

La valeur 1 place le pilote IPSec en mode bloc. Une valeur de 0 (z�ro) ignore en mode bloc le pilote IPSec.

Pour plus d'informations, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

254728

(http://support.microsoft.com/kb/254728/ )

Trafic Kerberos entre les contr�leurs de domaine non ne s�curis� dans IPSec

Il prend en charge l'utilisation de IPSec pour crypter le trafic contr�leur de domaine, contr�leur de domaine comme SMB (Server Message Block), de r�plication d'appel de proc�dure distante (RPC) et d'autres types de trafic. Vous pouvez transport ce trafic � l'aide de IPSec pour vous permettent de facilement transmettre ces types de trafic � travers un pare-feu. Dans ce sc�nario, vous seulement devez autoriser le trafic IPSec et IKE (Internet Key Exchange) le trafic via votre pare-feu. Pour plus d'informations, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

233256

(http://support.microsoft.com/kb/233256/ )

Comment faire pour activer le trafic IPSec par le biais d'un pare-feu

Il est recommand� que vous exiger une authentification bas�e sur les certificats lorsque vous configurez des r�gles de strat�gie IPSec de domaine contr�leur de contr�leur de domaine. Pour plus d'informations sur la fa�on de cr�er une strat�gie IPSec, consultez le document Active Directory dans Networks Segmented par le pare-feu . Pour obtenir ce document, reportez-vous au site de Web Microsoft suivant :

http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en

(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en)

La r�gle doit n�cessitent l'authentification par certificat si les exigences en mati�re de s�curit� ne permettent pas de trafic Kerberos via le pare-feu. Par d�faut, la v�rification de r�vocation certificat IKE est d�sactiv� et devrez �tre activ�e � travers le pare-feu. Cela d�pend de l'infrastructure PKI qui est utilis�.

Cr�ez la r�gle IPSec sur les contr�leurs de domaine en utilisant les caract�ristiques suivantes :

La liste de filtres indique le trafic transitant � partir de l'adresse IP il � l'adresse IP sur DC2 (en miroir), masques de sous-r�seau 255.255.255.255, tous les protocoles et tous les ports. Vous souhaiterez peut-�tre ajouter une r�gle � la strat�gie IPSec pour le trafic ICMP identifiant de n�gociation de s�curit� IPSec si Ping est utilis�e pour v�rifier la connectivit� r�seau sur le syst�me distant via le pare-feu. Dans le cas contraire, la connectivit� peut �tre v�rifi�e par une d�tection de r�seau qui pr�sente le trafic IKE (ISAKMP, UDP port 500) �tant envoy�s et re�us � partir du contr�leur de domaine � l'autre adresse IP de contr�leur de domaine.

Un traducteur d'adresses r�seau (NAT) ne doit pas servir � modifier adresses ou modifier des paquets entre les contr�leurs de domaine qui requi�rent la protection IPSec entre eux.
Sous Param�tres du tunnel , cliquez sur Cette r�gle ne sp�cifie un tunnel IPSec afin qu'elle utilise le mode de transport.
S�lectionnez utiliser le certificat pour la m�thode d'authentification. Vous pouvez utiliser Kerberos, consultez la remarque ci-dessous.
Cr�er une action de filtre personnalis� en d�sactivant les cases � cocher Accepter les communications non s�curis�es et permettre une communication non s�curis�e et en sp�cifiant la m�thode de chiffrement donn�es appropri�es en utilisant le format ESP. d'IPsec. Cartes r�seau qui effectuent des IPSec par paquet de chiffrement de mat�riel sont n�cessaires dans chaque contr�leur de domaine afin que le cryptage IPSec ne consomme pas cycles de processeur tout l'ordinateur.

note La version initiale (build 2195) de Windows 2000 ne prot�ger IKE, Kerberos, ni RSVP le trafic � l'aide de filtres de transport IPSec. Si Kerberos est utilis� comme m�thode d'authentification r�gle IPSec pour prot�ger le trafic contr�leur de domaine, contr�leur de domaine au lieu de certificats, le pare-feu �galement doit autorise le trafic Kerberos vers passent. Ceci doit �tre un param�tre par d�faut. Windows 2000 Service Pack 1 fournit IPSec avec la fonctionnalit� de prot�ger le trafic Kerberos et RSVP.

253169

(http://support.microsoft.com/kb/253169/ )

Le trafic qui peut--et ne peut pas--�tre s�curis� par IPSec

Propri�t�s

Num�ro d'article: 254949 - Derni�re mise � jour: vendredi 12 octobre 2007 - Version: 7.7

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professionnel
Microsoft Windows XP Professional

kbmt kbinfo kbipsec kbnetwork KB254949 KbMtfr

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 254949

(http://support.microsoft.com/kb/254949/en-us/ )

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.