文章編號: 254949 - 上次校閱: 2007年10月12日 - 版次: 7.7

用戶端網域控制站流量和網域控制站到網域控制站流量的 IPSec 支援

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

簡介

本文將告訴您,支援的設定使用網際網路通訊協定安全性 (IPSec) 來加密從用戶端電腦到網域控制站或到另一個網域控制站的網域控制站的網路流量。

其他相關資訊

重要本節中的資訊只適用於 < 適用於 > 一節中列出這些產品。

我們支援 IPSec 加密網路流量端對端的用戶端到用戶端、 用戶端-伺服器與伺服器對伺服器的實作中,使用 Kerberos 電腦驗證或當您使用憑證為基礎的電腦驗證時使用。目前,我們並不支援 IPSec 加密網域用戶端或成員伺服器的網路流量到網域控制站,當您套用 IPSec 原則,使用 「 群組原則,或當您使用 Kerberos 版本 5 通訊協定的驗證方法時使用。

此外,我們支援使用 IPSec 來加密這兩種下列類型的網路流量:
  • 網域控制站到網域控制站複寫流量
  • 通用類別目錄以通用類別目錄複寫流量
若要使用 IPSec 加密此流量,設定這兩種下列:
  • 建立 IPSec 原則篩選器若要使用 所有 IP 流量 選項加密所有的單點廣播資料傳輸。
  • 設定這個 IPSec 原則篩選器來加密此流量之間使用 IPSec 傳輸模式的兩個 IP 位址。在這種情況下不要使用 IPSec 通道模式。
重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄


設定這個 IPSec 原則之後您可能會注意到當啟動電腦時, 數個封包可能會傳送未加密在網路上。某些封包可能會傳送在網路上,IPSec 驅動程式初始化,且已經處理之前,IPSec 原則之前,就會發生這個問題。如果要解決這個問題,將 IPSec 驅動程式 IPSec.sys 放入封鎖模式,在電腦啟動程序。當您執行這項操作,連出從電腦的網路流量,直到 PolicyAgent 元件啟動的 IPSec 區塊,直到 PolicyAgent 元件載入 IPSec 原則。IPSec PolicyAgent 元件已啟動之後,以及之後載入 IPSec 原則,[PolicyAgent 變更允許 IPSec 傳輸通道的 IPSec 驅動程式操作模式。將 IPSec 驅動程式放入封鎖模式,將下列的登錄值的設定:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


數值名稱: OperationMode
實值型別: REG_DWORD
值的資料: 1
值為 1 會讓 IPSec 驅動程式進入封鎖模式。值為 0 (零) 會略過 IPSec 驅動程式的封鎖模式。

如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
254728? (http://support.microsoft.com/kb/254728/ ) IPSec 不保護網域控制站之間的 Kerberos 流量
我們支援使用 IPSec 加密網域控制站到網域控制站流量,例如伺服器訊息區 (SMB)、 遠端程序呼叫 (RPC) 複寫和其他類型的流量。您可以藉由使用 IPSec 來讓您輕鬆地傳遞這類流量通過防火牆的傳輸此流量。在這種情況下您只需要允許 IPSec 流量和網際網路金鑰交換 (IKE) 流量通過防火牆。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
233256? (http://support.microsoft.com/kb/233256/ ) 如何啟用透過防火牆的 IPSec 流量
我們建議您需要以憑證為主的驗證,當您設定網域控制站到網域控制站 IPSec 原則規則。如需有關如何建立 IPSec 原則,請參閱 Active Directory 中由防火牆分段網路 文件的詳細資訊。若要取得這份文件,請造訪下列 Microsoft 網站]:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en)
規則必須要求憑證驗證,如果安全性需求並不允許通過防火牆的 Kerberos 資料傳輸。預設情況下,IKE 憑證撤銷檢查為關閉,且可能要啟用透過防火牆。正在使用該 PKI 基礎結構而定。

使用下列的規格,網域控制站上建立 IPSec 規則:
  • 篩選器清單指定要從 IP 位址上 DC1 上 DC2 (鏡像)]、 [子網路遮罩 255.255.255.255]、 [所有通訊協定] 及 [所有的連接埠 [IP 位址的流量。 若要將規則新增到 IPSec 原則,以豁免的 ICMP 流量從 IPSec 安全性交涉,如果使用 Ping 來確認網路連線到遠端系統通過防火牆。否則,由顯示 IKE 資料傳輸的網路簡單可以驗證連線 (ISAKMP、 UDP 埠 500) 正在傳送和接收從 DC 到 DC 的 IP 位址。

    網路位址轉譯器 (NAT) 必須不用來變更位址,或修改需要 IPSec 保護它們之間的網域控制站之間的封包。

  • 在 [通道設定,] 下方按一下 [這個規則並沒有指定 IPsec 通道],如此它會使用傳輸模式。
  • 選取 使用憑證 驗證方法。您可以使用 Kerberos,請參閱下列附註。
  • 藉由清除 [接受無安全性的通訊] 和 [允許無安全性的通訊] 核取方塊,並藉由使用 IPSec 的 ESP 格式指定適當的資料加密方法來建立自訂篩選器動作。硬體中執行 IPSec 每個封包加密的網路介面卡需要在每個網域控制站,讓 IPSec 加密並不會耗用所有電腦的 CPU 循環。
附註Windows 2000 最初發行 (組建 2195年) 不會保護 IKE Kerberos,或 RSVP 使用 IPSec 傳輸篩選器的流量。如果使用 Kerberos 為 IPSec 規則驗證方法來保護憑證代替網域控制站到網域控制站流量,防火牆也必須允許 Kerberos 流量通過。這必須是預設設定。 Windows 2000 Service Pack 1 提供 IPSec 保護 Kerberos 及 RSVP 流量的能力。
253169? (http://support.microsoft.com/kb/253169/ ) 可以--並無法--受到 IPSec 保護的流量
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
回此頁最上方
關鍵字:?
kbmt kbinfo kbipsec kbnetwork KB254949 KbMtzh
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:254949? (http://support.microsoft.com/kb/254949/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。