로그인

Select the product you need help with

클라이언트 도메인 컨트롤러 트래픽 및 도메인 컨트롤러가 도메인 컨트롤러 트래픽에 대한 IPSec 지원

기술 자료: 254949 - 이 문서가 적용되는 제품 보기.

기계 번역 고지 사항 보기

기계 번역된 문서와 영문 원본 문서 나란히 보기

모두 확대 | 모두 축소

소개

이 문서에서는 인터넷 프로토콜 보안 (IPSec) 클라이언트 컴퓨터에서 도메인 컨트롤러로 또는 도메인 컨트롤러에서 다른 도메인 컨트롤러에 네트워크 트래픽을 암호화하는 데 사용하는 지원되는 구성에 대해 설명합니다.

중요한 이 절의 정보는 "본 문서의 정보는 다음의 제품에 적용됩니다." 절에 나열된 제품만 적용됩니다.

우리는 Kerberos 컴퓨터 인증 또는 컴퓨터 인증서 기반 인증을 사용할 때 사용할 때 종단 간 클라이언트-클라이언트, 클라이언트-서버 및 서버-서버 구현에서 네트워크 트래픽을 암호화하기 위해 IPSec 사용을 지원합니다. 현재 우리는 그룹 정책을 사용하여 또는 Kerberos 버전 5 프로토콜 인증 방법을 사용할 때 IPSec 정책을 적용할 때 도메인 컨트롤러에 도메인 클라이언트 또는 구성원 서버에서 네트워크 트래픽을 암호화하기 위해 IPSec 사용을 지원하지 않습니다.

또한 IPSec을 사용하여 두 다음과 같은 종류의 네트워크 트래픽 암호화하는 지원:

도메인 컨트롤러가 도메인 컨트롤러 복제 소통량
글로벌 카탈로그 수-글로벌 카탈로그 복제 소통량

IPSec을 사용하여 이 트래픽을 암호화하는 데 다음 두 구성:

모든 IP 트래픽 옵션을 사용하여 모든 유니캐스트 트래픽을 암호화하기 위해 IPSec 정책 필터를 만듭니다.
이 IPSec 전송 모드를 사용하여 두 개의 IP 주소 사이의 이 트래픽을 암호화하기 위해 이 IPSec 정책 필터를 구성하십시오. 이 시나리오에서 IPSec 터널 모드를 사용하지 마십시오.

중요한 이 섹션에서는, 메서드 또는 작업이 레지스트리 수정 방법을 알려 주는 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 이 단계를 주의 깊게 따라야 합니다. 추가 보호 기능을 수정하기 전에 레지스트리를 백업해야. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 백업 및 복원하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

322756

(http://support.microsoft.com/kb/322756/ )

백업 및 Windows 에서 레지스트리를 복원하는 방법

이 IPSec 정책을 구성한 후에는 컴퓨터가 시작될 때 여러 패킷이 암호화되지 않은 상태로 네트워크를 통해 전송될 수 나타날 수 있습니다. IPSec 드라이버가 초기화되지 전에 IPSec 정책 처리된 전에 일부 패킷을 네트워크를 통해 보낼 수 있습니다 때문에 이 문제가 발생합니다. 이 문제를 해결하려면 컴퓨터 시작 프로세스 동안 IPSec.sys IPSec 드라이버를 차단 모드로 넣습니다. 이렇게 PolicyAgent 구성 요소를 시작할 때까지 해당 컴퓨터의 네트워크 트래픽을 보내는 IPSec 블록 및 IPSec 정책을 PolicyAgent 구성 요소를 로드할 때까지. IPSec PolicyAgent 구성 요소가 시작된 후 IPSec 정책이 로드된 후 해당 PolicyAgent 통로를 IPSec 트래픽을 허용하도록 IPSec 드라이버를 작동 모드로를 변경합니다. IPSec 드라이버가 차단 모드로 전환하려면 다음 레지스트리 값을 설정하십시오.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec

값 이름: OperationMode
값 형식이: REG_DWORD
값 데이터: 1

값 1 IPSec 드라이버가 차단 모드로 전환합니다. 값이 0 (영) IPSec 드라이버를 차단 모드로를 무시합니다.

추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 확인하십시오:

254728

(http://support.microsoft.com/kb/254728/ )

IPSec은 도메인 컨트롤러 간에 Kerberos 트래픽을 보호합니다

IPSec을 사용하여 서버 메시지 블록 (SMB), 원격 프로시저 호출 (RPC) 복제 및 다른 종류의 트래픽 같은 도메인 컨트롤러가 도메인 컨트롤러 트래픽을 암호화하는 지원합니다. 이러한 종류의 트래픽이 방화벽을 통해 쉽게 전달할 수 있도록 하는 IPSec을 사용하여 이 트래픽을 전송할 수 있습니다. 이 시나리오에서 IPSec 트래픽 및 방화벽을 통해 IKE (인터넷 키 교환) 트래픽을 허용해야 합니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 확인하십시오:

233256

(http://support.microsoft.com/kb/233256/ )

방화벽을 통해 IPSec 트래픽을 사용 방법

도메인 컨트롤러가 도메인 컨트롤러 IPSec 정책 규칙을 구성할 때 인증서 기반 인증을 필요로 하는 것이 좋습니다. IPSec 정책을 만드는 방법에 대한 자세한 내용은 네트워크 세그먼트 방화벽에 의해 Active Directory에서 문서를 참조하십시오. 이 문서를 구하려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en

(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en)

보안 요구 사항의 방화벽을 통해 Kerberos 트래픽을 허용하지 않을 경우 규칙을 인증서 인증을 요구해야 합니다. 기본적으로 IKE 인증서 해지 확인 해제되어 있으며 방화벽을 통해 활성화해야 할 수 있습니다. 사용 중인 PKI 인프라를 따라 달라집니다.

IPSec 규칙의 도메인 컨트롤러에서 다음 사양을 사용하여 빌드:

필터 목록은 IP 주소에서 IP 주소 (미러) DC2, 서브넷 마스크 255.255.255.255, 모든 프로토콜 및 포트를 모두 DC1에서 사용하려는 트래픽을 지정합니다. 방화벽을 통해 원격 시스템으로의 네트워크 연결을 확인하려면 Ping 사용되는 경우 IPSec 보안 협상이 제외할 ICMP 트래픽을 IPSec 정책에서 규칙을 추가할 할 수 있습니다. 그렇지 않으면, 연결 IKE 트래픽을 보여 네트워크 스니프가 확인할 수 있습니다 (ISAKMP, UDP 포트 500) 보내고 DC에서 다른 DC의 IP 주소를 받았습니다.

네트워크 주소 변환기 (NAT) 주소를 변경하거나 사이에 IPSec 보호가 필요한 도메인 컨트롤러 간에 패킷을 수정할 수 합니다지 않습니다.
전송 모드를 사용할 수 있도록 이 규칙에서는 않는 지정 IPSec 터널을터널 설정 클릭하십시오.
사용할 인증서 인증 방법을 선택하십시오. Kerberos, 다음을 볼 수 있습니다.
보안되지 않은 통신 허용 및 보안되지 않은 통신 허용 확인란을 선택 취소하면 IPSec ESP 형식을 사용하여 적절한 데이터 암호화 방법을 지정하는 사용자 지정 필터 동작을 만듭니다. IPSec 암호화 컴퓨터의 모든 CPU 사이클을 소모할 수 있도록 각 도메인 컨트롤러에 하드웨어에서 IPSec 패킷 당 암호화를 수행하는 네트워크 어댑터가 필요됩니다.

참고 Windows 2000의 초기 릴리스 빌드 2195입니다 IKE, Kerberos, 보호 나열하거나 IPSec 전송 필터를 사용하여 트래픽을 RSVP지 않습니다. Kerberos 인증서 대신 도메인 컨트롤러가 도메인 컨트롤러 트래픽을 보호하는 데 IPSec 규칙의 인증 방법으로 사용되는 경우 방화벽을 Kerberos 트래픽을 또한 허용해야 합니다. 이 기본 설정을 지정해야 합니다. Windows 2000 서비스 팩 1 IPSec를 Kerberos 및 RSVP 트래픽을 보호하는 기능을 제공합니다.

253169

(http://support.microsoft.com/kb/253169/ )

--및 IPSec에서 보안할 수 없습니다--트래픽

속성

기술 자료: 254949 - 마지막 검토: 2007년 10월 12일 금요일 - 수정: 7.7

본 문서의 정보는 다음의 제품에 적용됩니다.

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows XP Professional

kbmt kbinfo kbipsec kbnetwork KB254949 KbMtko

기계 번역된 문서

중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

이 문서의 영문 버전 보기.