Istemci etki alanı denetleyicisinde trafiği ve etki alanı denetleyicisinin etki alanı denetleyicisinde trafik için ıpsec desteği

Makale çevirileri Makale çevirileri
Makale numarası: 254949 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Giriş

Bu makalede, ınternet Protokolü güvenliği (ıpsec) kullanarak bir istemci bilgisayar bir etki alanı denetleyicisine veya başka bir etki alanı denetleyicisine etki alanı denetleyicisi, ağ trafiğini şifrelemek için desteklenen bir yapılandırma anlatılmaktadır.

Daha fazla bilgi

Önemli Bu bölümdeki bilgiler, yalnızca "Aşağıdakilere Uygulanır" bölümünde listelenen ürünler için geçerlidir.

Kerberos bilgisayar kimlik doğrulaması veya sertifika tabanlı kimlik doğrulamasını kullandığınızda kullandığınızda, istemci, istemci, istemci ve sunucu ve sunucu-sunucu uygulamaları uçtan uca ağ trafiğini şifrelemek için ıpsec kullanımını destekleniyor. Şimdilik, size, ıpsec ilkelerinin Grup ilkesi'ni kullanarak ya da Kerberos sürüm 5 protokolünü kimlik doğrulama yöntemi uyguladığınızda, bir etki alanı istemci veya üye sunucudaki etki alanı denetleyicisine ağ trafiğini şifrelemek için ıpsec kullanımını desteklemez.

Ayrıca, ağ trafiğini aşağıdaki türde şifrelemek için ıpsec kullanmanız destekler:
  • Etki alanı denetleyicisinin etki alanı denetleyicisi çoğaltma trafiği
  • Genel katalog-için-genel katalog çoğaltması trafiğini
Bu trafiği ıpsec kullanarak şifrelemek için <a0></a0>, her iki aşağıdakileri yapılandırın:
  • Tüm IP trafiği) seçeneğini kullanarak, tüm tek noktaya yayın trafiğini şifrelemek için ıpsec ilkesi süzgeci oluşturun.
  • Bu ıpsec ilkesi filtresi bu trafiği, ıpsec taşıma modu kullanılarak iki IP adresi arasında şifrelemek için yapılandırın. Bu senaryoda, ıpsec tünel modu kullanmayın.
Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme


Bu ıpsec ilkesini yapılandırdıktan sonra bilgisayarlar başlatıldığında, çeşitli paketler ağ üzerinden şifresiz gönderilebilecek görebilirsiniz. Bu sorun, bazı paketler, ağ üzerinden gönderilebilir önce ıpsec sürücüsü başlatıldı ve önce ıpsec ilkesinin işlenmesi nedeniyle oluşur. Bu sorunu gidermek için <a0></a0>, bilgisayar başlatma işlemi sırasında Block Modu'nda IPSec.sys ıpsec sürücüsüne yerleştirin. Ilke aracısı bileşeni başlayıncaya kadar bilgisayardan gelen ağ trafiğini giden ıpsec engeller bunu ve kadar ıpsec ilkelerinin ilke aracısı bileşeni yükler. ıpsec ilke aracısı bileşeni başladıktan sonra ve ıpsec ilkeleri yüklendikten sonra ilke aracısı ıpsec sürücüsü ıpsec trafiğinin geçişini izin vermek için işlem modunu değiştirir. ıpsec sürücüsü engelleme Modu'nda koymak için aşağıdaki kayıt defteri değerini ayarlayın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Değer adı: OperationMode
Değeri türü: REG_DWORD
Veri değeri: 1
1 Değeri, ıpsec sürücüsü engelleme Modu'nda geçirir. <a1>0</a1> (Sıfır) değeri ıpsec sürücüsü engelleme modunda atlar.

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
254728Ipsec etki alanı denetleyicileri arasında Kerberos trafiğini güvenli
Sunucu ileti bloğu (SMB), uzaktan yordam çağrısı (RPC) çoğaltması ve diğer türdeki trafik gibi etki alanı denetleyicisini ve etki alanı denetleyicisi trafiğini şifrelemek için ıpsec kullanmanız destekleniyor. Bu trafiği taşımak için ıpsec kullanarak kolayca bu tür bir trafik güvenlik duvarı üzerinden geçmesine olanak. Bu senaryoda, yalnızca ıpsec trafiği ve güvenlik duvarınız üzerinden ınternet anahtar değişimi (IKE) trafiğine izin vermek gerekir. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
233256Ipsec trafiğinin Güvenlik Duvarı'nı etkinleştirme
Etki alanı denetleyicisinin etki alanı denetleyicisinde ıpsec ilkesi kuralları yapılandırdığınızda, sertifika bazlı kimlik doğrulama gerektirir öneririz. ıpsec ilkesi oluşturma hakkında ayrıntılı bilgi için bkz: Ağ güvenlik duvarları ile bölümlenmiş Active Directory'de belge. Bu belgeyi edinmek için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
Güvenlik gereksinimlerini Kerberos trafiğini güvenlik duvarı aracılığıyla izin verirseniz, kural sertifika kimlik doğrulaması gerektirir gerekir. Varsayılan olarak, IKE, sertifika iptal denetimi kapalı olduğundan ve güvenlik duvarı üzerinden etkinleştirilmesi gerekebilir. Bu, PKI alt yapısı üzerinde kullanılan bağlıdır.

ıpsec kuralı aşağıdaki özellikleri'ni kullanarak, etki alanı denetleyicilerinde oluşturun:
  • Süzgeç listesi, IP adresinden DC2 (yansıtılmış), alt ağ maskesi 255.255.255.255, tüm iletişim kurallarını ve tüm bağlantı noktaları IP adresi DC1'de giden trafik belirtir. Ping, ağ bağlantısı güvenlik duvarı üzerinden uzak sisteme doğrulamak için kullanılıyorsa, ıpsec güvenlik anlaşması ıpsec ilkesinden muafiyet ICMP trafiği için bir kural eklemek isteyebilirsiniz. Aksi durumda, IKE trafiğinin gösteren bir ağ algılaması bağlantı doğrulanabilir (ISAKMP), UDP bağlantı 500) gönderilip etki alanı DENETLEYICISI diğer DC IP adresi.

    Ağ adresi çeviricisi (NAT) adreslerini değiştirmek ya da etki alanı denetleyicilerinin aralarında ıpsec koruması gerektirir arasında paketlerin değiştirmek için kullanılmamalıdır.

  • Aktarma modu kullanır, Bu kural değil ıpsec tüneli belirlemeTünel ayarı altında tıklatın.
  • Kullanım sertifikası için kimlik doğrulama yöntemi seçin. Kerberos kullanan, aşağıdaki nota bakın.
  • Güvenli olmayan iletişimi kabul et ve Güvenli olmayan iletişime izin ver onay kutularını temizlemek ve ıpsec ESP biçimini kullanarak, uygun veri şifreleme yöntemini belirten bir özel süzme eylemi oluşturun. Ağ bağdaştırıcıları, ıpsec paket başına şifreleme donanımı gerçekleştirmek her etki alanı denetleyicisi, böylece ıpsec şifrelemesi bilgisayarın tüm CPU döngülerini tüketebilir gereklidir.
Not Windows 2000'in başlangıç sürümü (derleme 2195) değil IKE, Kerberos, korumak veya ıpsec aktarım filtrelerini kullanarak trafiğin RSVP. Sertifikalar yerine etki alanı denetleyicisinin etki alanı denetleyicisinde trafiği korumak için ıpsec kuralı kimlik doğrulama yöntemi olarak Kerberos kullanılır, güvenlik duvarı ayrıca Kerberos trafiği geçmesine izin vermesi gerekir. Bu, varsayılan ayar olması gerekir. Windows 2000 Service Pack 1, ıpsec, Kerberos ve RSVP trafiği koruma özelliğiyle sağlar.
253169--Ve edemiyor--trafik ıpsec tarafından güvenlik altına alınması

Özellikler

Makale numarası: 254949 - Last Review: 12 Ekim 2007 Cuma - Gözden geçirme: 7.7
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional Edition
Anahtar Kelimeler: 
kbmt kbinfo kbipsec kbnetwork KB254949 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:254949

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com