Al momento sei offline in attesa che la connessione Internet venga ristabilita

Supporto di IPSec per il traffico di client per domain controller e il traffico di controller di dominio del dominio

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 254949
INTRODUZIONE
Questo articolo viene descritto le configurazioni supportate per l'utilizzo Internet Protocol security (IPSec) per crittografare il traffico di rete da un computer client a un controller di dominio o da un controller di dominio a un altro controller di dominio.
Informazioni
importante Le informazioni contenute in questa sezione si applicano solo per i prodotti elencati nella sezione "Si applica a".

Microsoft supporta l'utilizzo di IPSec per crittografare il traffico di rete in implementazioni da client, client a server e server a server end-to-end quando si utilizza l'autenticazione Kerberos del computer o quando si utilizza l'autenticazione basata su certificati computer. Attualmente, Microsoft non supporta l'utilizzo di IPSec per crittografare il traffico di rete da un dominio client o server membro a un controller di dominio quando si applicano i criteri IPSec tramite Criteri di gruppo o quando si utilizza il metodo di autenticazione Kerberos versione 5 del protocollo.

Inoltre, Supportiamo l'utilizzo di IPSec per crittografare entrambi i tipi di traffico di rete seguenti:
  • Traffico di replica controller al domain controller di dominio
  • Traffico di replica globale catalogo per-catalogo globale
Per crittografare il traffico mediante IPSec, è necessario configurare entrambe le seguenti operazioni:
  • Creare un filtro del criterio di IPSec che consente di crittografare tutto il traffico Unicast utilizzando l'opzione di Tutto il traffico IP .
  • Configurare il filtro di criteri IPSec per crittografare il traffico tra due indirizzi IP utilizzando la modalità di trasporto IPSec. In questo scenario, non utilizzare la modalità tunnel IPSec.
importante Questa sezione, metodo o l'attività sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, è eseguire il backup del Registro di sistema prima di modificarlo. È quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows


Dopo aver configurato il criterio IPSec, è possibile notare che quando i computer vengono avviati, numerosi pacchetti potrebbero essere inviati in rete non crittografata. Questo problema si verifica poiché alcuni pacchetti potrebbero essere inviati attraverso la rete prima che il driver IPSec è stato inizializzato e prima l'IPSec sono stato elaborato criteri. Per risolvere il problema, inserisce il driver IPSec IPSec.sys modalità di blocco durante l'avvio del computer. Quando si esegue questa operazione, IPSec blocchi il traffico di rete dal computer in uscita finché non inizia il componente PolicyAgent e fino a quando il componente PolicyAgent carica i criteri IPSec. Dopo che il componente IPSec PolicyAgent è stato avviato e dopo il caricamento dei criteri IPSec, il PolicyAgent Cambia modalità di funzionamento del driver IPSec per consentire la frase di traffico IPSec. Impostare per il driver IPSec in modalità di blocco, impostare il valore del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Nome valore: OperationMode
Valore di tipo: REG_DWORD
Dati valore: 1
Un valore pari a 1 inserisce il driver IPSec in modalità di blocco. Il valore 0 (zero) Ignora modalità di blocco del driver IPSec.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
254728IPSec non è possibile proteggere il traffico Kerberos tra controller di dominio
L sistema supporta l'utilizzo di IPSec per crittografare il traffico di controller per controller di dominio come (Server Message Block), replica RPC (Remote Procedure Call) e altri tipi di traffico. È possibile trasporto questo traffico utilizzando IPSec consentono di passare facilmente questi tipi di traffico attraverso un firewall. In questo scenario, è sufficiente consentire il traffico IPSec e il traffico IKE (Internet Key Exchange) attraverso il firewall. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
233256Come abilitare il traffico IPSec attraverso un firewall
Si consiglia di richiedere l'autenticazione basata su certificati quando si configurano le regole di criteri di dominio controller di dominio IPSec. Per informazioni dettagliate su come creare un criterio IPSec, vedere il documento Active Directory in reti segmentata da firewall . Per ottenere questo documento, il seguente sito Microsoft Web: La regola è necessario richiedere l'autenticazione dei certificati se i requisiti di protezione non consentono il traffico Kerberos attraverso il firewall. Per impostazione predefinita, controllo della revoca del certificato IKE è disattivato e potrebbe essere necessario abilitarlo attraverso il firewall. Questo dipende l'infrastruttura PKI, che viene utilizzato.

Crea la regola IPSec sui controller di dominio tramite l'utilizzo le seguenti specifiche:
  • L'elenco di filtro specifica il traffico dall'indirizzo IP su DC1 all'indirizzo IP per tutte le porte, tutti i protocolli, subnet mask 255.255.255.255 e DC2 (con mirroring). È possibile che si desidera aggiungere una regola al criterio IPSec per l'esenzione ICMP del traffico di negoziazione della protezione IPSec se ping per verificare la connettività al sistema remoto attraverso il firewall di rete. In caso contrario, la connettività può essere verificato da uno sniffer di rete che mostra il traffico IKE (ISAKMP, UDP porta 500) inviati e ricevuti dal controller a altro indirizzo IP di controller di dominio.

    Non è necessario utilizzare un dispositivo NAT (NAT) per modificare gli indirizzi o modificare i pacchetti tra il controller di dominio che richiedono la protezione di IPSec tra di essi.

  • Nella casella Impostazioni Tunnel , fare clic su questa regola non specifica un tunnel IPSec in modo che viene utilizzata la modalità di trasporto.
  • Selezionare Utilizza certificati per il metodo di autenticazione. È possibile utilizzare Kerberos, vedere la nota seguente.
  • Creare un'azione filtro personalizzato deselezionando le caselle di controllo Accetta comunicazioni non protetta e Consentire di comunicazione non protetta e specificando il metodo di crittografia di dati appropriato utilizzando il formato ESP di IPSec. Le schede di rete che eseguono la crittografia di IPSec per pacchetti nell'hardware sono necessarie in ogni controller di dominio in modo che la crittografia IPSec non consuma cicli della CPU tutte del computer.
Nota La versione iniziale (build 2195) di Windows 2000 non proteggere IKE, Kerberos, o RSVP traffico utilizzando i filtri di trasporto IPSec. Se Kerberos viene utilizzato come metodo di autenticazione regola IPSec per proteggere il traffico di controller per controller di dominio anziché certificati, il firewall inoltre deve consentire il traffico Kerberos attraverso. Deve trattarsi di un'impostazione predefinita. Windows 2000 Service Pack 1 offre IPSec con la possibilità di proteggere il traffico Kerberos e RSVP.
253169Traffico che è--e Impossibile--essere protette da IPSec

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 254949 - Ultima revisione: 10/12/2007 06:51:10 - Revisione: 7.7

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows XP Professional

  • kbmt kbinfo kbipsec kbnetwork KB254949 KbMtit
Feedback
/html>>