Поддержка IPSec контроллера домен клиента и трафик контроллера в домене контроллер домена

Код статьи: 254949 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

ВВЕДЕНИЕ

В данной статье описаны поддерживаемые конфигурации для шифрования сетевого трафика с клиентского компьютера до контроллера домена или контроллера домена на другой контроллер домена с использованием IP-безопасность (IPSec).

Дополнительная информация

Важные Сведения в этом разделе предназначены только для этих продуктов, перечисленных в разделе «Относится к».

Корпорация Майкрософт поддерживает использование IPSec для шифрования сетевого трафика в реализациях клиент клиент, клиент сервер и сервер сервер начала до конца, при использовании проверки подлинности Kerberos компьютер или при использовании проверки подлинности на основе сертификатов компьютеров. В настоящее время не поддерживается использование IPSec для шифрования сетевого трафика от домена клиента или рядового сервера до контроллера домена при применении политик IPSec с помощью групповой политики или при использовании метода проверки подлинности Kerberos версии 5 протокола.

Кроме того мы поддерживаем использование IPSec для шифрования следующих типов трафика:
  • Трафик репликации контроллера в домене контроллер домена
  • Трафик репликации глобального каталога для глобального каталога
Для шифрования трафика с помощью IPSec, настройте оба следующих:
  • Создание фильтра политики IPSec для шифрования всех одноадресный трафик с помощью Все IP-трафика параметр.
  • Настройте фильтр политики IPSec для шифрования трафика между двумя IP-адресов, используя режим транспорта IPSec. В этом случае не используйте режим туннелирования IPSec.
Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756
(http://support.microsoft.com/kb/322756/ )
Резервное копирование и восстановление реестра Windows


После настройки этой политики IPSec, можно заметить, что при запуске компьютеров несколько пакетов могут быть отправлены по сети в незашифрованном виде. Эта проблема возникает потому, что некоторые пакеты могут отправляются по сети до инициализации драйвера IPSec и перед IPSec обработки политики. Чтобы решить эту проблему, поместите драйвер IPSec IPSec.sys в режим блокировки во время запуска компьютера. При этом, исходящего сетевого трафика от компьютера до запуска компонента агента политики IPSec блоков, пока компонент укрепление загружает политик IPSec. После запуска компонента агента политики IPSec, и после загрузки политики IPSec PolicyAgent изменяет режим работы драйвера IPSec разрешает прохождение трафика IPSec. Поместить в блок режиме драйвер IPSec, установите следующий параметр реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Имя значения: OperationMode
Тип значения: REG_DWORD
Значение: 1
Значение 1 в драйвер IPSec переводит в режим блокировки. Значение 0 (ноль) обходит режиме драйвер IPSec.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
254728
(http://support.microsoft.com/kb/254728/ )
IPSec не защищает трафик Kerberos между контроллерами домена
Мы поддерживаем использование IPSec для шифрования трафика контроллера в домене контроллер домена, например Server Message Block (SMB), репликация удаленного вызова процедур (RPC) и другие виды трафика. Для передачи трафика с помощью IPSec можно легко передавать эти виды трафика через брандмауэр. В этом случае достаточно разрешить IPSec-трафик и трафик обмена ключами в Интернете (IKE) через брандмауэр. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
233256
(http://support.microsoft.com/kb/233256/ )
Включение трафика IPSec через брандмауэр
Рекомендуется требовать проверку подлинности на основе сертификата, при настройке правила политики IPSec контроллера в домене контроллер домена. Подробные сведения о том, как создать политику IPSec см. Active Directory в сетях, разбитых на брандмауэры документ. Для получения этого документа, посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = c2ef3846-43f0-4caf-9767-a9166368434e & DisplayLang = en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en)
Правила должны требовать сертификат проверки подлинности, если требования безопасности не позволяют трафика через брандмауэр. По умолчанию проверка отзыва сертификатов IKE отключено и может возникнуть необходимость включить с помощью брандмауэра. Это зависит от инфраструктуры PKI, который используется.

Создание правила IPSec на контроллерах домена, используя следующие спецификации:
  • Список фильтров определяет трафик, который проходит от IP-адреса на компьютере DC1 с IP-адресом на DC2 (отражение), маски подсети 255.255.255.255, все протоколы и все порты. Можно добавить правило политики IPSec для исключения ICMP-трафика от согласования безопасности IPSec, при использовании команды Ping для проверки сетевого подключения к удаленной системе через брандмауэр. В противном случае подключение может быть проверена путем перехвата сети, который показывает трафик IKE (ISAKMP, UDP порт 500) отправленных и полученных от контроллера Домена на другой контроллер Домена IP-адрес.

    Транслятор сетевых адресов (NAT) не должен использоваться для изменения адреса или пакетов между контроллерами домена, которые требуют защиты IPSec между ними.

  • В группе Параметры туннеля, нажмите кнопку Это правило не указывает туннель IPSec Таким образом, чтобы он использует режим транспорта.
  • Выберите Использование сертификата для метода проверки подлинности. Можно использовать Kerberos, см. примечание ниже.
  • Создать настраиваемое действие, сняв Принимать небезопасную связь и Разрешить небезопасную связь флажки и указать метод шифрования данных, используя формат ESP IPSec. Сетевые адаптеры могут выполнять шифрование пакетов IPSec в оборудование необходимы в каждом контроллере домена, таким образом, шифрование IPSec не потребляют циклы ЦП компьютера.
Примечание Первоначальная (сборка 2195) Windows 2000 не защитить IKE, Kerberos, или RSVP трафика с использованием фильтров транспорта IPSec. Если Kerberos используется в качестве метода проверки подлинности правила IPSec для защиты трафика контроллера в домене контроллер домена вместо сертификатов, брандмауэр также должен пропускать трафик Kerberos слушателями. Это должно быть значение по умолчанию. Пакет обновления 1 (Sp1) для Windows 2000 предоставляет IPSec защищает трафик Kerberos и RSVP возможностей.
253169
(http://support.microsoft.com/kb/253169/ )
Трафик, который можно и нельзя защищены протоколом IPSec

Свойства

Код статьи: 254949 - Последнее изменение :: 5 июня 2011 г. - Редакция: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Ключевые слова: 
kbinfo kbipsec kbnetwork kbmt KB254949 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:254949
(http://support.microsoft.com/kb/254949/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы