IPSec dukungan untuk kontroler klien untuk domain lalu lintas dan kontroler kontroler domain domain lalu lintas

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 254949 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

PENDAHULUAN

Artikel ini menjelaskan tentang konfigurasi didukung untuk menggunakan protokol Internet security (IPSec) untuk mengenkripsi lalu-lintas jaringan dari komputer klien ke kontroler domain atau kontroler domain ke kontroler domain lain.

INFORMASI LEBIH LANJUT

Penting Informasi di bagian ini berlaku hanya untuk produk-produk yang terdaftar di bagian "Berlaku untuk".

Kami mendukung penggunaan IPSec untuk mengenkripsi lalu-lintas jaringan dalam end-to-end klien-klien, klien-server, dan server-server implementasi ketika Anda menggunakan otentikasi Kerberos komputer atau ketika Anda menggunakan otentikasi berbasis sertifikat. Saat ini, kami tidak mendukung penggunaan IPSec untuk mengenkripsi lalu-lintas jaringan dari domain klien atau anggota server ke kontroler domain ketika Anda menerapkan kebijakan IPSec dengan menggunakan kebijakan grup atau ketika Anda menggunakan metode otentikasi Kerberos versi 5 protokol.

Selain itu, kami mendukung menggunakan IPSec untuk mengenkripsi kedua berikut jenis lalu lintas jaringan:
  • Domain controller untuk domain controller replikasi lalu lintas
  • Katalog katalog-untuk-global global replikasi lalu lintas
Untuk mengenkripsi lalu lintas ini dengan menggunakan IPSec, mengkonfigurasi kedua berikut:
  • Membuat penyaring kebijakan IPSec untuk mengenkripsi semua lalu lintas Unicast dengan menggunakan Semua trafik IP pilihan.
  • Mengkonfigurasi Kebijakan IPSec penyaring untuk mengenkripsi lalu lintas ini antara dua alamat IP dengan menggunakan modus transportasi IPSec. Dalam skenario ini, tidak menggunakan IPSec Tunnel mode.
Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows


Setelah Anda mengkonfigurasi kebijakan IPSec ini, Anda mungkin memperhatikan bahwa ketika komputer dimulai, beberapa paket dapat dikirimkan melalui jaringan yang tidak terenkripsi. Masalah ini terjadi karena beberapa paket mungkin dikirim melalui jaringan sebelum pengandar IPSec telah diinisialisasi dan sebelum IPSec kebijakan telah diproses. Untuk mengatasi masalah ini, menempatkan pengandar IPSec IPSec.sys ke Mode blok selama proses startup komputer. Ketika Anda melakukan ini, IPSec blok keluar lalu-lintas jaringan dari komputer sampai komponen PolicyAgent mulai dan sampai komponen PolicyAgent beban kebijakan IPSec. Setelah komponen IPSec PolicyAgent telah dimulai, dan setelah kebijakan IPSec dimuat, PolicyAgent perubahan pengemudi IPSec modus operasi untuk mengizinkan berlalunya lalu lintas IPSec. Untuk menempatkan pengandar IPSec ke blok Mode, menetapkan nilai registri berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Nama nilai: OperationMode
Jenis nilai: REG_DWORD
Nilai data: 1
Nilai 1 menempatkan pengandar IPSec ke blok Mode. Nilai 0 (nol) bypasses pengemudi IPSec blok modus.

Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
254728IPSec tidak aman Kerberos lalu lintas antara pengontrol domain
Kami mendukung menggunakan IPSec untuk mengenkripsi lalu lintas kontroler kontroler domain domain seperti blok pesan Server (SMB), replikasi Remote prosedur Call (RPC), dan jenis lain dari lalu lintas. Anda dapat mengangkut lalu lintas ini dengan menggunakan IPSec untuk membiarkan Anda dengan mudah lewat jenis lalu lintas melalui firewall. Dalam skenario ini, Anda hanya harus mengizinkan lalu lintas IPSec dan lalu lintas Internet Key Exchange (IKE) melalui firewall Anda. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
233256Cara mengaktifkan IPSec lalu lintas melalui firewall
Kami merekomendasikan bahwa Anda memerlukan otentikasi berbasis sertifikat ketika Anda mengkonfigurasi domain controller untuk domain controller IPSec kebijakan aturan. Untuk informasi rinci tentang cara membuat kebijakan IPSec, lihat Direktori aktif dalam jaringan dibagi oleh firewall dokumen. Untuk mendapatkan dokumen ini, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = c2ef3846-43f0-4caf-9767-a9166368434e & DisplayLang = en
Aturan harus memerlukan otentikasi sertifikat jika persyaratan keamanan tidak membolehkan lalu lintas Kerberos melalui firewall. Secara default, IKE sertifikat pencabutan memeriksa off, dan mungkin harus diaktifkan melalui firewall. Hal ini tergantung pada infrastruktur PKI yang sedang digunakan.

Membangun aturan IPSec pada pengontrol domain dengan menggunakan spesifikasi berikut:
  • Daftar penyaring menunjukkan lalu lintas yang pergi dari alamat IP DC1 ke alamat IP pada DC2 (cermin), masker subnet 255.255.255.255, semua protokol dan semua port. Anda mungkin ingin menambahkan aturan kebijakan IPSec lalu-lintas ICMP yang dibebaskan dari IPSec keamanan negosiasi jika Ping digunakan untuk memverifikasi konektivitas jaringan sistem remote melalui firewall. Jika tidak, konektivitas dapat diverifikasi oleh mengendus jaringan yang menunjukkan lalu lintas IKE (ISAKMP, UDP port 500) yang dikirim dan diterima dari DC ke DC IP alamat lain.

    Penerjemah alamat jaringan (NAT) tidak dapat digunakan untuk mengubah alamat paket antara kontroler domain yang memerlukan perlindungan IPSec antara mereka.

  • Di bawah Terowongan pengaturan, klik Aturan ini tidak menjelaskan terowongan IPSec sehingga menggunakan modus transportasi.
  • Pilih Menggunakan sertifikat metode otentikasi. Anda dapat menggunakan Kerberos, lihat catatan berikut.
  • Membuat tindakan penyaring kustom dengan kliring Menerima komunikasi tanpa jaminan dan Memungkinkan komunikasi tanpa jaminan kotak centang dan menentukan metode enkripsi data yang sesuai dengan menggunakan ESP format IPSec. Adaptor jaringan yang melakukan IPSec per paket enkripsi pada perangkat keras yang diperlukan dalam setiap kontroler domain sehingga IPSec enkripsi tidak mengkonsumsi siklus CPU semua komputer.
Catatan Rilis awal (build 2195) Windows 2000 tidak melindungi IKE, Kerberos, atau RSVP lalu lintas menggunakan IPSec transportasi filter. Jika Kerberos digunakan sebagai metode otentikasi IPSec aturan untuk melindungi domain controller-untuk-pengontrol lalu lintas bukannya sertifikat, firewall juga harus mengizinkan lalu lintas Kerberos untuk pergi melalui. Ini harus menjadi pengaturan default. Windows 2000 Paket Layanan 1 menyediakan IPSec dengan kemampuan untuk melindungi Kerberos dan RSVP lalu lintas.
253169 Lalu lintas yang dapat - dan tidak - dijamin dengan IPSec

Properti

ID Artikel: 254949 - Kajian Terakhir: 21 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Kata kunci: 
kbinfo kbipsec kbnetwork kbmt KB254949 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:254949

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com