ID do artigo: 254949 - �ltima revis�o: sexta-feira, 12 de outubro de 2007 - Revis�o: 7.7

Suporte IPSec para tr�fego de controlador de dom�nio no cliente e o tr�fego de controlador de dom�nio-controlador de dom�nio

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Expandir tudo | Recolher tudo

INTRODU��O

Este artigo descreve as configura��es para os quais h� suporte para usar a seguran�a do protocolo Internet (IPSec) para criptografar o tr�fego de rede de um computador cliente para um controlador de dom�nio ou de um controlador de dom�nio para outro controlador de dom�nio.

Mais Informa��es

importante As informa��es nesta se��o se aplicam somente a esses produtos listados na se��o "Aplica-se a".

N�s suporta o uso do IPSec para criptografar o tr�fego de rede em implementa��es de ponta a ponta para cliente, cliente para servidor e servidor-para-servidor quando voc� usar a autentica��o Kerberos do computador ou quando voc� usa autentica��o do computador com base em certificado. Atualmente, n�o h� suporte para o uso do IPSec para criptografar o tr�fego de rede de um dom�nio cliente ou servidor membro para um controlador de dom�nio quando voc� aplicar as diretivas IPSec usando a diretiva de grupo ou quando voc� usa o m�todo de autentica��o Kerberos vers�o 5 do protocolo.

Al�m disso, oferecemos suporte para uso do IPSec para criptografar os dois seguintes tipos de tr�fego de rede:

Tr�fego de replica��o de controlador de dom�nio-controlador de dom�nio
Tr�fego de replica��o dos cat�logos globais cat�logo para global

Para criptografar esse tr�fego usando o IPSec, configure ambos os seguintes:

Crie um filtro de diretiva IPSec para criptografar todo o tr�fego Unicast usando a op��o de Todo o tr�fego IP .
Configure este filtro de diretiva IPSec para criptografar esse tr�fego entre dois endere�os IP usando o modo de transporte IPSec. Nesse cen�rio, n�o use o modo de encapsulamento IPSec.

importante Esta se��o, m�todo ou tarefa cont�m etapas que informam sobre como modificar o registro. No entanto, s�rios problemas poder�o ocorrer se voc� modificar o registro incorretamente. Por isso, certifique-se que voc� execute essas etapas cuidadosamente. Para prote��o adicional, fazer backup do registro antes de modific�-lo. Em seguida, voc� pode restaurar o registro se ocorrer um problema. Para obter mais informa��es sobre como fazer backup e restaurar o registro, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

322756� (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows

Depois de configurar essa diretiva IPSec, voc� poder� notar que quando os computadores forem iniciados, v�rios pacotes podem ser enviados pela rede sem criptografia. Esse problema ocorre porque alguns pacotes podem ser enviadas atrav�s da rede antes do driver IPSec foi inicializado e antes do IPSec diretiva tiver sido processada. Para resolver esse problema, coloque o driver IPSec IPSec.sys no modo de bloqueio durante o processo de inicializa��o do computador. Ao fazer isso, IPSec bloqueia tr�fego de rede do computador de sa�da at� que o componente PolicyAgent inicie e at� que o componente PolicyAgent carrega as diretivas IPSec. Depois que o componente IPSec PolicyAgent tiver sido iniciado e ap�s as diretivas IPSec s�o carregadas, o PolicyAgent altera o modo de opera��o do driver IPSec para permitir a passagem do tr�fego IPSec. Para colocar o driver IPSec no modo de bloco, defina o seguinte valor do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec

Nome do valor: OperationMode
Tipo de valor: REG_DWORD
Dados do valor: 1

Um valor de 1 coloca o driver IPSec no modo de bloco. Um valor de 0 (zero) ignora o modo de bloqueio do driver IPSec.

Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

254728� (http://support.microsoft.com/kb/254728/ ) IPSec n�o protege o tr�fego de Kerberos entre controladores de dom�nio

Oferecemos suporte para usar o IPSec para criptografar o tr�fego de controlador de dom�nio-controlador de dom�nio, como SMB (Server Message Block), replica��o de RPC (chamada de procedimento remoto) e outros tipos de tr�fego. Voc� pode transportar esse tr�fego usando o IPSec para permitir a passar facilmente esses tipos de tr�fego por meio de um firewall. Nesse cen�rio, voc� s� precisar� permitir o tr�fego IPSec e o tr�fego IKE (Internet Key Exchange) atrav�s do firewall. Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

233256� (http://support.microsoft.com/kb/233256/ ) Como habilitar o tr�fego IPSec por meio de um firewall

Recomendamos que voc� exija autentica��o baseada em certificados quando voc� configura regras de diretiva IPSec do dom�nio controlador de dom�nio-controlador. Para obter informa��es detalhadas sobre como criar uma diretiva IPSec, consulte o documento Active Directory in Networks Segmented by Firewalls . Para obter esse documento, visite o seguinte site:

http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en)

A regra deve exigir autentica��o de certificado se os requisitos de seguran�a n�o permitem o tr�fego de Kerberos por meio do firewall. Por padr�o, verifica��o de revoga��o de certificado de IKE est� desativado e talvez precise ser habilitado atrav�s do firewall. Isso depende de infra-estrutura de PKI que est� sendo usado.

Criar a regra IPSec nos controladores de dom�nio usando as seguintes especifica��es:

A lista de filtro especifica tr�fego indo do endere�o IP em DC1 para o endere�o IP no DC2 (espelhada), m�scaras de sub-rede 255.255.255.255, todos os protocolos e todas as portas. Conv�m adicionar uma regra � diretiva IPSec para isentar o tr�fego ICMP de negocia��o de seguran�a IPSec se ping for usado para verificar a conectividade de rede para o sistema remoto atrav�s do firewall. Caso contr�rio, a conectividade pode ser verificada por um sniff de rede que mostra o tr�fego IKE (ISAKMP, UDP porta 500) sendo enviados e recebidos do DC para o outro endere�o IP de controlador de dom�nio.

Um conversor de endere�os de rede (NAT) n�o deve ser usado para altera��o de endere�os ou modificar pacotes entre os controladores de dom�nio que exigem prote��o de IPSec entre eles.
Em Configura��o de encapsulamento , clique em esta regra n�o especifica um encapsulamento IPSec para que ele usa o modo de transporte.
Selecione Usar certificados para o m�todo de autentica��o. Voc� pode usar o Kerberos, consulte a observa��o a seguir.
Crie uma a��o de filtro personalizado desmarcando as caixas de sele��o Aceitar comunica��o desprotegida e Permitir comunica��o desprotegida e especificar o m�todo de criptografia de dados apropriado usando o formato ESP do IPSec. Adaptadores de rede que executar a criptografia por pacote do IPSec no hardware s�o necess�rios em cada controlador de dom�nio para que a criptografia IPSec n�o consome ciclos de CPU de todos os do computador.

Observa��o A vers�o inicial (compila��o 2195) do Windows 2000 n�o proteger IKE, Kerberos, ou RSVP tr�fego usando filtros de transporte IPSec. Se Kerberos for usado como o m�todo de autentica��o de regra de IPSec para proteger o tr�fego de controlador de dom�nio-controlador de dom�nio em vez de certificados, o firewall tamb�m deve permitir que tr�fego Kerberos percorrer. Isso deve ser uma configura��o padr�o. Windows 2000 Service Pack 1 proporciona a capacidade de proteger o tr�fego Kerberos e RSVP ao IPSec.

253169� (http://support.microsoft.com/kb/253169/ ) Tr�fego que podem--e n�o � poss�vel--ser protegido por IPSec

A informa��o contida neste artigo aplica-se a:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows XP Professional

Voltar para o in�cio

kbmt kbinfo kbipsec kbnetwork KB254949 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 254949� (http://support.microsoft.com/kb/254949/en-us/ )

Voltar para o in�cio

This site in other countries/regions:

Suporte IPSec para tr�fego de controlador de dom�nio no cliente e o tr�fego de controlador de dom�nio-controlador de dom�nio

INTRODU��O

Mais Informa��es

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es deste artigo

Centros de suporte relacionados