IPSec 对 Windows 2000 中客户端与域控制器之间的通信以及域控制器与域控制器之间的通信的支持

文章翻译 文章翻译
文章编号: 254949 - 查看本文应用于的产品
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
展开全部 | 关闭全部

简介

本文描述了在 Microsoft Windows 2000 中使用 Internet 协议安全 (IPSec) 来加密网络通信(从客户端计算机到域控制器或者从域控制器到另一个域控制器)时受支持的配置。

更多信息

如果您使用 Kerberos 计算机身份验证或基于证书的计算机身份验证时,我们支持使用 IPSec 来加密端对端(如客户端到客户端、客户端到服务器、服务器到服务器)实现中的网络通信。目前,在通过使用组策略应用 IPSec 策略或使用 Kerberos 身份验证方法时,我们不支持使用 IPSec 来加密从域成员服务器到域控制器的网络通信。

此外,我们支持使用 IPSec 来加密下列两种网络通信:
  • 域控制器到域控制器的复制通信
  • 全局编录到全局编录的复制通信
要使用 IPSec 来加密这两种通信,请完成以下两项配置:
  • 创建一个 IPSec 策略筛选器,以通过使用“所有 IP 通讯”选项来加密所有单播通信。
  • 配置该 IPSec 策略筛选器,以通过使用 IPSec 传输模式来加密两个 IP 地址之间的这种通信。在这种情况下,不要使用 IPSec 隧道模式。
配置此 IPSec 策略后,您可能注意到,启动计算机时多个数据包可能会通过未加密的网络发送。出现此问题的原因是,在 IPSec 驱动程序初始化以及 IPSec 策略得到处理之前,某些数据包可能已通过网络发送出去。要解决此问题,请在计算机启动过程中,将 IPSec 驱动程序 IPSec.sys 置于阻止模式。这样,IPSec 就会阻止从计算机上传出的网络通信,直到 PolicyAgent 组件启动并加载 IPSec 策略为止。当 IPSec PolicyAgent 组件启动并加载了 IPSec 策略后,PolicyAgent 将更改 IPSec 驱动程序的操作模式以允许 IPSec 通信通过。要将 IPSec 驱动程序置于阻止模式,请设置以下注册表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


名称:OperationMode
类型:REG_DWORD
数据:1
值为 1 表示将 IPSec 驱动程序置于阻止模式中。值为 0(零)表示忽略 IPSec 驱动程序的阻止模式。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
254728 IPSec 不保证域控制器之间的 Kerberos 通信安全
我们支持使用 IPSec 来加密域控制器到域控制器的通信,例如服务器消息块 (SMB)、远程过程调用 (RPC) 复制以及其他类型的通信。您可以使用 IPSec 来通过防火墙轻松传输这些类型的通信,来传输这种通信。在这种情况下,只允许 IPSec 通信和 Internet 密钥交换 (IKE) 通信通过防火墙。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
233256 如何使 IPSec 通讯能够通过防火墙
我们建议您在配置域控制器到域控制器的 IPSec 策略规则时,要求基于证书的身份验证。有关如何创建 IPSec 策略的详细信息,请参阅防火墙分隔的网络中的 Active Directory 文档。要获取此文档,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
如果安全要求不允许 Kerberos 通信通过防火墙,则该规则必须要求证书身份验证。默认情况下,IKE 证书吊销检查关闭,可能必须通过防火墙才能启用。这取决于正在使用的 PKI 基础结构。

使用下列规范可在域控制器上建立 IPSec 规则:
  • 筛选器列表指定从 DC1 上的 IP 地址到 DC2(已镜像)上的 IP 地址的通信、子网掩码 255.255.255.255、所有协议及所有端口。 如果使用 Ping 来验证通过防火墙到远程系统的网络连接性,则可能需要在 IPSec 策略中增加一条规则,以将 ICMP 通信排除在 IPSec 安全协商之外。否则,连接性可被某个网络探查验证,显示在此 DC 与另一个 DC IP 地址之间传送和接收的 IKE 通信(ISAKMP,UDP 端口 500)。

    不能使用网络地址转换器 (NAT) 更改地址,或者修改其间要求 IPSec 保护的域控制器之间的数据包。

  • 隧道设置下,单击“此规则不指定 IPSec 隧道”,以使用传输模式。
  • 为身份验证方法选择使用证书。也可以使用 Kerberos,请参阅下面的说明。
  • 通过清除接受不安全的通讯允许不安全的通讯复选框,然后使用 IPSec 的 ESP 格式指定适当的数据加密方法,可以创建一个自定义筛选器操作。每台域控制器都需要在硬件中执行每个数据包 IPSec 加密的网络适配器,以便 IPSec 加密不会消耗计算机的所有 CPU 循环。
注意:Windows 2000 的初始发行版(内部版本 2195)不保护使用 IPSec 传输筛选器的 IKE、Kerberos 或 RSVP 通信。如果使用 Kerberos 而非证书作为 IPSec 规则身份验证方法来保护域控制器到域控制器的通信,则防火墙还必须允许 Kerberos 通信经过。这必须是一个默认设置。Windows 2000 Service Pack 1 提供的 IPSec 具有保护 Kerberos 和 RSVP 通信的功能。
253169 IPSec 可以保护和不能保护的通信

属性

文章编号: 254949 - 最后修改: 2007年10月12日 - 修订: 6.2
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbinfo kbipsec kbnetwork KB254949
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com