Suporte de IPSec para tráfego de controlador de domínio do cliente e o tráfego de controlador para o domínio de controlador de domínio

Traduções de Artigos Traduções de Artigos
Artigo: 254949 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

INTRODUÇÃO

Este artigo descreve as configurações suportadas para utilizar a segurança do protocolo Internet (IPSec) para encriptar o tráfego de rede a partir de um computador cliente a um controlador de domínio ou controlador de domínio para outro controlador de domínio.

Mais Informação

importante As informações nesta secção aplicam-se apenas para os produtos listados na secção "Aplica-se a".

A Microsoft suporta a utilização do IPSec para encriptar o tráfego de rede nas implementações do cliente para o cliente, servidor do cliente e servidor-servidor ponto-a-ponto quando utiliza a autenticação de computador de Kerberos ou quando utilizar a autenticação baseada em certificados de computador. Actualmente, a Microsoft não suportam a utilização do IPSec para encriptar o tráfego de rede de um domínio cliente ou servidor membro para um controlador de domínio quando aplica as políticas IPSec através da utilização da política de grupo ou quando utiliza o método de autenticação Kerberos versão 5 protocolo.

Além disso, fornecemos suporte a utilização do IPSec para encriptar a ambos os seguintes tipos de tráfego de rede:
  • Tráfego de replicação controlador para o domínio de controlador de domínio
  • Tráfego de replicação de catálogo global catálogo-para-global
Para encriptar este tráfego através da utilização de IPSec, configure ambos os seguintes procedimentos:
  • Crie um filtro de política IPSec para encriptar todo o tráfego Unicast utilizando a opção All o tráfego IP .
  • Configure este filtro de política IPSec para encriptar este tráfego entre dois endereços IP utilizando o modo de transporte IPSec. Neste cenário, não utilize o modo de túnel IPSec.
importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows


Depois de configurar esta política IPSec, poderá reparar que quando os computadores são iniciados, vários pacotes podem ser enviados pela rede não encriptada. Este problema ocorre porque alguns pacotes poderão ser enviados pela rede antes do controlador IPSec foi inicializado e antes do IPSec política foi processada. Para resolver este problema, coloque o controlador IPSec IPSec.sys em modo de bloqueio durante o processo de arranque do computador. Quando o fizer, IPSec bloqueia tráfego de rede do computador de envio até inicia o componente de agente de política e até que o componente de agente de política carrega as políticas IPSec. Depois do componente de agente de política IPSec foi iniciado e, depois das políticas IPSec são carregadas, o agente de política altera o modo de funcionamento do controlador IPSec para permitir a passagem de tráfego IPSec. Para colocar o controlador IPSec em modo de bloqueio, defina o seguinte valor de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Nome do valor: OperationMode
Tipo de valor: REG_DWORD
Dados do valor: 1
Um valor de 1 coloca o controlador IPSec em modo de bloqueio. Um valor de 0 (zero) ignora o modo de bloqueio do controlador IPSec.

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
254728IPSec não protege o tráfego de Kerberos entre controladores de domínio
Fornecemos suporte utilizando o IPSec para encriptar o tráfego de controlador para o domínio de controlador de domínio, tal como SMB (Server Message Block), replicação de chamada de procedimento remoto (RPC) e outros tipos de tráfego. Poderá transportar este tráfego, utilizando IPSec para permitem-lhe facilmente passar estes tipos de tráfego através de um firewall. Neste cenário, tem apenas permitir tráfego de IPSec e tráfego de troca de chaves da Internet (IKE, Internet Key Exchange) através da firewall. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
233256Como activar o tráfego IPSec através de um firewall
Recomendamos que exija autenticação baseada em certificados quando configurar regras de política IPSec do domínio controlador de controlador para o domínio. Para obter informações detalhadas sobre como criar uma política IPSec, consulte o documento Do Active Directory em redes segmentadas por firewalls . Para obter este documento, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
A regra tem necessitar de autenticação de certificados se os requisitos de segurança não permitem tráfego Kerberos através da firewall. Por predefinição, verificação de revogação de certificado de IKE está desactivado e poderá ter de ser activado através da firewall. Isto depende da infra-estrutura infra-estrutura de chaves públicas está a ser utilizado.

Criar a regra IPSec nos controladores de domínio utilizando as seguintes especificações:
  • A lista de filtros especifica tráfego passar do endereço IP DC1 para o endereço IP DC2 (espelhado), as máscaras de sub-rede 255.255.255.255, todos os protocolos e todas as portas. Poderá adicionar uma regra à política de IPSec para excluir o tráfego ICMP de negociação de segurança IPSec, se efectuar o ping é utilizado para verificar a conectividade ao sistema remoto através da firewall da rede. Caso contrário, conectividade pode ser verificada por uma intercepção de rede que mostra o tráfego IKE (ISAKMP, UDP porta 500) enviados e recebidos do DC para o outro endereço IP de DC.

    Um conversor de endereços de rede (NAT, Network Address TRANSLATION) não deve ser utilizado para alterar endereços ou modificar pacotes entre controladores de domínio requerem protecção IPSec entre eles.

  • Em Configuração do túnel , clique em esta regra não especifica um túnel IPSec para que possa utilizar modo de transporte.
  • Seleccione Utilizar certificados para o método de autenticação. Pode utilizar o protocolo Kerberos, consulte a seguinte nota.
  • Crie uma acção de filtro personalizada desmarcando as caixas de verificação Aceitar comunicações Unsecured e Permitir a comunicação Unsecured e especificar o método de encriptação de dados apropriados utilizando o formato ESP de IPSec. Placas de rede que executam o IPSec por pacotes de encriptação de hardware são necessárias em cada controlador de domínio para que a encriptação IPSec não consumir ciclos de CPU de todos os computadores.
Nota A versão inicial (compilação 2195) do Windows 2000 não proteger IKE, Kerberos, ou utilizar filtros de transporte IPSec o tráfego de RSVP. Se o Kerberos é utilizado como o método de autenticação de regra IPSec para proteger o tráfego de controlador para o domínio de controlador de domínio em vez de certificados, o firewall também tem de permitir tráfego de Kerberos para percorrer. Tem de ser uma definição predefinida. Windows 2000 Service Pack 1 fornece a capacidade de proteger o tráfego Kerberos e RSVP IPSec.
253169Tráfego que podem--e não é possível--ser protegido por IPSec

Propriedades

Artigo: 254949 - Última revisão: 12 de outubro de 2007 - Revisão: 7.7
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbmt kbinfo kbipsec kbnetwork KB254949 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 254949

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com