Suporte IPSec para tráfego de controlador de domínio no cliente e o tráfego de controlador de domínio-controlador de domínio

Traduções deste artigo Traduções deste artigo
ID do artigo: 254949 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

INTRODUÇÃO

Este artigo descreve as configurações para os quais há suporte para usar a segurança do protocolo Internet (IPSec) para criptografar o tráfego de rede de um computador cliente para um controlador de domínio ou de um controlador de domínio para outro controlador de domínio.

Mais Informações

importante As informações nesta seção se aplicam somente a esses produtos listados na seção "Aplica-se a".

Nós suporta o uso do IPSec para criptografar o tráfego de rede em implementações de ponta a ponta para cliente, cliente para servidor e servidor-para-servidor quando você usar a autenticação Kerberos do computador ou quando você usa autenticação do computador com base em certificado. Atualmente, não há suporte para o uso do IPSec para criptografar o tráfego de rede de um domínio cliente ou servidor membro para um controlador de domínio quando você aplicar as diretivas IPSec usando a diretiva de grupo ou quando você usa o método de autenticação Kerberos versão 5 do protocolo.

Além disso, oferecemos suporte para uso do IPSec para criptografar os dois seguintes tipos de tráfego de rede:
  • Tráfego de replicação de controlador de domínio-controlador de domínio
  • Tráfego de replicação dos catálogos globais catálogo para global
Para criptografar esse tráfego usando o IPSec, configure ambos os seguintes:
  • Crie um filtro de diretiva IPSec para criptografar todo o tráfego Unicast usando a opção de Todo o tráfego IP .
  • Configure este filtro de diretiva IPSec para criptografar esse tráfego entre dois endereços IP usando o modo de transporte IPSec. Nesse cenário, não use o modo de encapsulamento IPSec.
importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows


Depois de configurar essa diretiva IPSec, você poderá notar que quando os computadores forem iniciados, vários pacotes podem ser enviados pela rede sem criptografia. Esse problema ocorre porque alguns pacotes podem ser enviadas através da rede antes do driver IPSec foi inicializado e antes do IPSec diretiva tiver sido processada. Para resolver esse problema, coloque o driver IPSec IPSec.sys no modo de bloqueio durante o processo de inicialização do computador. Ao fazer isso, IPSec bloqueia tráfego de rede do computador de saída até que o componente PolicyAgent inicie e até que o componente PolicyAgent carrega as diretivas IPSec. Depois que o componente IPSec PolicyAgent tiver sido iniciado e após as diretivas IPSec são carregadas, o PolicyAgent altera o modo de operação do driver IPSec para permitir a passagem do tráfego IPSec. Para colocar o driver IPSec no modo de bloco, defina o seguinte valor do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Nome do valor: OperationMode
Tipo de valor: REG_DWORD
Dados do valor: 1
Um valor de 1 coloca o driver IPSec no modo de bloco. Um valor de 0 (zero) ignora o modo de bloqueio do driver IPSec.

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
254728IPSec não protege o tráfego de Kerberos entre controladores de domínio
Oferecemos suporte para usar o IPSec para criptografar o tráfego de controlador de domínio-controlador de domínio, como SMB (Server Message Block), replicação de RPC (chamada de procedimento remoto) e outros tipos de tráfego. Você pode transportar esse tráfego usando o IPSec para permitir a passar facilmente esses tipos de tráfego por meio de um firewall. Nesse cenário, você só precisará permitir o tráfego IPSec e o tráfego IKE (Internet Key Exchange) através do firewall. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
233256Como habilitar o tráfego IPSec por meio de um firewall
Recomendamos que você exija autenticação baseada em certificados quando você configura regras de diretiva IPSec do domínio controlador de domínio-controlador. Para obter informações detalhadas sobre como criar uma diretiva IPSec, consulte o documento Active Directory in Networks Segmented by Firewalls . Para obter esse documento, visite o seguinte site:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
A regra deve exigir autenticação de certificado se os requisitos de segurança não permitem o tráfego de Kerberos por meio do firewall. Por padrão, verificação de revogação de certificado de IKE está desativado e talvez precise ser habilitado através do firewall. Isso depende de infra-estrutura de PKI que está sendo usado.

Criar a regra IPSec nos controladores de domínio usando as seguintes especificações:
  • A lista de filtro especifica tráfego indo do endereço IP em DC1 para o endereço IP no DC2 (espelhada), máscaras de sub-rede 255.255.255.255, todos os protocolos e todas as portas. Convém adicionar uma regra à diretiva IPSec para isentar o tráfego ICMP de negociação de segurança IPSec se ping for usado para verificar a conectividade de rede para o sistema remoto através do firewall. Caso contrário, a conectividade pode ser verificada por um sniff de rede que mostra o tráfego IKE (ISAKMP, UDP porta 500) sendo enviados e recebidos do DC para o outro endereço IP de controlador de domínio.

    Um conversor de endereços de rede (NAT) não deve ser usado para alteração de endereços ou modificar pacotes entre os controladores de domínio que exigem proteção de IPSec entre eles.

  • Em Configuração de encapsulamento , clique em esta regra não especifica um encapsulamento IPSec para que ele usa o modo de transporte.
  • Selecione Usar certificados para o método de autenticação. Você pode usar o Kerberos, consulte a observação a seguir.
  • Crie uma ação de filtro personalizado desmarcando as caixas de seleção Aceitar comunicação desprotegida e Permitir comunicação desprotegida e especificar o método de criptografia de dados apropriado usando o formato ESP do IPSec. Adaptadores de rede que executar a criptografia por pacote do IPSec no hardware são necessários em cada controlador de domínio para que a criptografia IPSec não consome ciclos de CPU de todos os do computador.
Observação A versão inicial (compilação 2195) do Windows 2000 não proteger IKE, Kerberos, ou RSVP tráfego usando filtros de transporte IPSec. Se Kerberos for usado como o método de autenticação de regra de IPSec para proteger o tráfego de controlador de domínio-controlador de domínio em vez de certificados, o firewall também deve permitir que tráfego Kerberos percorrer. Isso deve ser uma configuração padrão. Windows 2000 Service Pack 1 proporciona a capacidade de proteger o tráfego Kerberos e RSVP ao IPSec.
253169Tráfego que podem--e não é possível--ser protegido por IPSec

Propriedades

ID do artigo: 254949 - Última revisão: sexta-feira, 12 de outubro de 2007 - Revisão: 7.7
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Palavras-chave: 
kbmt kbinfo kbipsec kbnetwork KB254949 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 254949

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com