Supporto di IPSec per il traffico di client per domain controller e il traffico di controller di dominio del dominio

Traduzione articoli Traduzione articoli
Identificativo articolo: 254949 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

INTRODUZIONE

Questo articolo viene descritto le configurazioni supportate per l'utilizzo Internet Protocol security (IPSec) per crittografare il traffico di rete da un computer client a un controller di dominio o da un controller di dominio a un altro controller di dominio.

Informazioni

importante Le informazioni contenute in questa sezione si applicano solo per i prodotti elencati nella sezione "Si applica a".

Microsoft supporta l'utilizzo di IPSec per crittografare il traffico di rete in implementazioni da client, client a server e server a server end-to-end quando si utilizza l'autenticazione Kerberos del computer o quando si utilizza l'autenticazione basata su certificati computer. Attualmente, Microsoft non supporta l'utilizzo di IPSec per crittografare il traffico di rete da un dominio client o server membro a un controller di dominio quando si applicano i criteri IPSec tramite Criteri di gruppo o quando si utilizza il metodo di autenticazione Kerberos versione 5 del protocollo.

Inoltre, Supportiamo l'utilizzo di IPSec per crittografare entrambi i tipi di traffico di rete seguenti:
  • Traffico di replica controller al domain controller di dominio
  • Traffico di replica globale catalogo per-catalogo globale
Per crittografare il traffico mediante IPSec, Ŕ necessario configurare entrambe le seguenti operazioni:
  • Creare un filtro del criterio di IPSec che consente di crittografare tutto il traffico Unicast utilizzando l'opzione di Tutto il traffico IP .
  • Configurare il filtro di criteri IPSec per crittografare il traffico tra due indirizzi IP utilizzando la modalitÓ di trasporto IPSec. In questo scenario, non utilizzare la modalitÓ tunnel IPSec.
importante Questa sezione, metodo o l'attivitÓ sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, Ŕ eseguire il backup del Registro di sistema prima di modificarlo. ╚ quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows


Dopo aver configurato il criterio IPSec, Ŕ possibile notare che quando i computer vengono avviati, numerosi pacchetti potrebbero essere inviati in rete non crittografata. Questo problema si verifica poichÚ alcuni pacchetti potrebbero essere inviati attraverso la rete prima che il driver IPSec Ŕ stato inizializzato e prima l'IPSec sono stato elaborato criteri. Per risolvere il problema, inserisce il driver IPSec IPSec.sys modalitÓ di blocco durante l'avvio del computer. Quando si esegue questa operazione, IPSec blocchi il traffico di rete dal computer in uscita finchÚ non inizia il componente PolicyAgent e fino a quando il componente PolicyAgent carica i criteri IPSec. Dopo che il componente IPSec PolicyAgent Ŕ stato avviato e dopo il caricamento dei criteri IPSec, il PolicyAgent Cambia modalitÓ di funzionamento del driver IPSec per consentire la frase di traffico IPSec. Impostare per il driver IPSec in modalitÓ di blocco, impostare il valore del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Nome valore: OperationMode
Valore di tipo: REG_DWORD
Dati valore: 1
Un valore pari a 1 inserisce il driver IPSec in modalitÓ di blocco. Il valore 0 (zero) Ignora modalitÓ di blocco del driver IPSec.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
254728IPSec non Ŕ possibile proteggere il traffico Kerberos tra controller di dominio
L sistema supporta l'utilizzo di IPSec per crittografare il traffico di controller per controller di dominio come (Server Message Block), replica RPC (Remote Procedure Call) e altri tipi di traffico. ╚ possibile trasporto questo traffico utilizzando IPSec consentono di passare facilmente questi tipi di traffico attraverso un firewall. In questo scenario, Ŕ sufficiente consentire il traffico IPSec e il traffico IKE (Internet Key Exchange) attraverso il firewall. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
233256Come abilitare il traffico IPSec attraverso un firewall
Si consiglia di richiedere l'autenticazione basata su certificati quando si configurano le regole di criteri di dominio controller di dominio IPSec. Per informazioni dettagliate su come creare un criterio IPSec, vedere il documento Active Directory in reti segmentata da firewall . Per ottenere questo documento, il seguente sito Microsoft Web:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
La regola Ŕ necessario richiedere l'autenticazione dei certificati se i requisiti di protezione non consentono il traffico Kerberos attraverso il firewall. Per impostazione predefinita, controllo della revoca del certificato IKE Ŕ disattivato e potrebbe essere necessario abilitarlo attraverso il firewall. Questo dipende l'infrastruttura PKI, che viene utilizzato.

Crea la regola IPSec sui controller di dominio tramite l'utilizzo le seguenti specifiche:
  • L'elenco di filtro specifica il traffico dall'indirizzo IP su DC1 all'indirizzo IP per tutte le porte, tutti i protocolli, subnet mask 255.255.255.255 e DC2 (con mirroring). ╚ possibile che si desidera aggiungere una regola al criterio IPSec per l'esenzione ICMP del traffico di negoziazione della protezione IPSec se ping per verificare la connettivitÓ al sistema remoto attraverso il firewall di rete. In caso contrario, la connettivitÓ pu˛ essere verificato da uno sniffer di rete che mostra il traffico IKE (ISAKMP, UDP porta 500) inviati e ricevuti dal controller a altro indirizzo IP di controller di dominio.

    Non Ŕ necessario utilizzare un dispositivo NAT (NAT) per modificare gli indirizzi o modificare i pacchetti tra il controller di dominio che richiedono la protezione di IPSec tra di essi.

  • Nella casella Impostazioni Tunnel , fare clic su questa regola non specifica un tunnel IPSec in modo che viene utilizzata la modalitÓ di trasporto.
  • Selezionare Utilizza certificati per il metodo di autenticazione. ╚ possibile utilizzare Kerberos, vedere la nota seguente.
  • Creare un'azione filtro personalizzato deselezionando le caselle di controllo Accetta comunicazioni non protetta e Consentire di comunicazione non protetta e specificando il metodo di crittografia di dati appropriato utilizzando il formato ESP di IPSec. Le schede di rete che eseguono la crittografia di IPSec per pacchetti nell'hardware sono necessarie in ogni controller di dominio in modo che la crittografia IPSec non consuma cicli della CPU tutte del computer.
Nota La versione iniziale (build 2195) di Windows 2000 non proteggere IKE, Kerberos, o RSVP traffico utilizzando i filtri di trasporto IPSec. Se Kerberos viene utilizzato come metodo di autenticazione regola IPSec per proteggere il traffico di controller per controller di dominio anzichÚ certificati, il firewall inoltre deve consentire il traffico Kerberos attraverso. Deve trattarsi di un'impostazione predefinita. Windows 2000 Service Pack 1 offre IPSec con la possibilitÓ di proteggere il traffico Kerberos e RSVP.
253169Traffico che Ŕ--e Impossibile--essere protette da IPSec

ProprietÓ

Identificativo articolo: 254949 - Ultima modifica: venerdý 12 ottobre 2007 - Revisione: 7.7
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Chiavi:á
kbmt kbinfo kbipsec kbnetwork KB254949 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 254949
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com