IPSec dukungan untuk kontroler klien untuk domain lalu lintas dan kontroler kontroler domain domain lalu lintas

Artikel ini menjelaskan tentang konfigurasi didukung untuk menggunakan protokol Internet security (IPSec) untuk mengenkripsi lalu-lintas jaringan dari komputer klien ke kontroler domain atau kontroler domain ke kontroler domain lain.

Penting Informasi di bagian ini berlaku hanya untuk produk-produk yang terdaftar di bagian "Berlaku untuk".

Kami mendukung penggunaan IPSec untuk mengenkripsi lalu-lintas jaringan dalam end-to-end klien-klien, klien-server, dan server-server implementasi ketika Anda menggunakan otentikasi Kerberos komputer atau ketika Anda menggunakan otentikasi berbasis sertifikat. Saat ini, kami tidak mendukung penggunaan IPSec untuk mengenkripsi lalu-lintas jaringan dari domain klien atau anggota server ke kontroler domain ketika Anda menerapkan kebijakan IPSec dengan menggunakan kebijakan grup atau ketika Anda menggunakan metode otentikasi Kerberos versi 5 protokol.

Selain itu, kami mendukung menggunakan IPSec untuk mengenkripsi kedua berikut jenis lalu lintas jaringan:

• Domain controller untuk domain controller replikasi lalu lintas
• Katalog katalog-untuk-global global replikasi lalu lintas

Untuk mengenkripsi lalu lintas ini dengan menggunakan IPSec, mengkonfigurasi kedua berikut:

• Membuat penyaring kebijakan IPSec untuk mengenkripsi semua lalu lintas Unicast dengan menggunakan Semua trafik IP pilihan.
• Mengkonfigurasi Kebijakan IPSec penyaring untuk mengenkripsi lalu lintas ini antara dua alamat IP dengan menggunakan modus transportasi IPSec. Dalam skenario ini, tidak menggunakan IPSec Tunnel mode.

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

Setelah Anda mengkonfigurasi kebijakan IPSec ini, Anda mungkin memperhatikan bahwa ketika komputer dimulai, beberapa paket dapat dikirimkan melalui jaringan yang tidak terenkripsi. Masalah ini terjadi karena beberapa paket mungkin dikirim melalui jaringan sebelum pengandar IPSec telah diinisialisasi dan sebelum IPSec kebijakan telah diproses. Untuk mengatasi masalah ini, menempatkan pengandar IPSec IPSec.sys ke Mode blok selama proses startup komputer. Ketika Anda melakukan ini, IPSec blok keluar lalu-lintas jaringan dari komputer sampai komponen PolicyAgent mulai dan sampai komponen PolicyAgent beban kebijakan IPSec. Setelah komponen IPSec PolicyAgent telah dimulai, dan setelah kebijakan IPSec dimuat, PolicyAgent perubahan pengemudi IPSec modus operasi untuk mengizinkan berlalunya lalu lintas IPSec. Untuk menempatkan pengandar IPSec ke blok Mode, menetapkan nilai registri berikut: Nilai 1 menempatkan pengandar IPSec ke blok Mode. Nilai 0 (nol) bypasses pengemudi IPSec blok modus.

Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:Kami mendukung menggunakan IPSec untuk mengenkripsi lalu lintas kontroler kontroler domain domain seperti blok pesan Server (SMB), replikasi Remote prosedur Call (RPC), dan jenis lain dari lalu lintas. Anda dapat mengangkut lalu lintas ini dengan menggunakan IPSec untuk membiarkan Anda dengan mudah lewat jenis lalu lintas melalui firewall. Dalam skenario ini, Anda hanya harus mengizinkan lalu lintas IPSec dan lalu lintas Internet Key Exchange (IKE) melalui firewall Anda. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:Kami merekomendasikan bahwa Anda memerlukan otentikasi berbasis sertifikat ketika Anda mengkonfigurasi domain controller untuk domain controller IPSec kebijakan aturan. Untuk informasi rinci tentang cara membuat kebijakan IPSec, lihat Direktori aktif dalam jaringan dibagi oleh firewall dokumen. Untuk mendapatkan dokumen ini, kunjungi Web site Microsoft berikut: Aturan harus memerlukan otentikasi sertifikat jika persyaratan keamanan tidak membolehkan lalu lintas Kerberos melalui firewall. Secara default, IKE sertifikat pencabutan memeriksa off, dan mungkin harus diaktifkan melalui firewall. Hal ini tergantung pada infrastruktur PKI yang sedang digunakan.

Membangun aturan IPSec pada pengontrol domain dengan menggunakan spesifikasi berikut:

• Daftar penyaring menunjukkan lalu lintas yang pergi dari alamat IP DC1 ke alamat IP pada DC2 (cermin), masker subnet 255.255.255.255, semua protokol dan semua port. Anda mungkin ingin menambahkan aturan kebijakan IPSec lalu-lintas ICMP yang dibebaskan dari IPSec keamanan negosiasi jika Ping digunakan untuk memverifikasi konektivitas jaringan sistem remote melalui firewall. Jika tidak, konektivitas dapat diverifikasi oleh mengendus jaringan yang menunjukkan lalu lintas IKE (ISAKMP, UDP port 500) yang dikirim dan diterima dari DC ke DC IP alamat lain.
  
  Penerjemah alamat jaringan (NAT) tidak dapat digunakan untuk mengubah alamat paket antara kontroler domain yang memerlukan perlindungan IPSec antara mereka.
  
  
• Di bawah Terowongan pengaturan, klik Aturan ini tidak menjelaskan terowongan IPSec sehingga menggunakan modus transportasi.
• Pilih Menggunakan sertifikat metode otentikasi. Anda dapat menggunakan Kerberos, lihat catatan berikut.
• Membuat tindakan penyaring kustom dengan kliring Menerima komunikasi tanpa jaminan dan Memungkinkan komunikasi tanpa jaminan kotak centang dan menentukan metode enkripsi data yang sesuai dengan menggunakan ESP format IPSec. Adaptor jaringan yang melakukan IPSec per paket enkripsi pada perangkat keras yang diperlukan dalam setiap kontroler domain sehingga IPSec enkripsi tidak mengkonsumsi siklus CPU semua komputer.

Catatan Rilis awal (build 2195) Windows 2000 tidak melindungi IKE, Kerberos, atau RSVP lalu lintas menggunakan IPSec transportasi filter. Jika Kerberos digunakan sebagai metode otentikasi IPSec aturan untuk melindungi domain controller-untuk-pengontrol lalu lintas bukannya sertifikat, firewall juga harus mengizinkan lalu lintas Kerberos untuk pergi melalui. Ini harus menjadi pengaturan default. Windows 2000 Paket Layanan 1 menyediakan IPSec dengan kemampuan untuk melindungi Kerberos dan RSVP lalu lintas.