Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

IPSec hỗ trợ khách hàng tên miền điều khiển giao thông và lưu lượng truy cập điều khiển bộ điều khiển vùng miền

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:254949
GIỚI THIỆU
Bài viết này mô tả các cấu hình được hỗ trợ cho việc sử dụng bảo mật Internet Protocol (IPSec) để mã hóa lưu lượng mạng từ một máy khách để điều khiển vùng hoặc từ một điều khiển vùng để một bộ điều khiển vùng.
THÔNG TIN THÊM
Quan trọng Thông tin trong phần này chỉ áp dụng cho các sản phẩm được liệt kê trong phần "Applies để".

Chúng tôi hỗ trợ việc sử dụng IPSec để mã hóa mạng lưới giao thông trong kết thúc để kết thúc khách hàng/khách hàng, khách hàng/máy chủ và máy chủ đến máy chủ hiện thực khi bạn sử dụng hoặc Kerberos máy tính xác thực hoặc khi bạn sử dụng dựa trên giấy chứng nhận tính xác thực. Hiện nay, chúng tôi không hỗ trợ việc sử dụng IPSec để mã hóa lưu lượng mạng từ hệ phục vụ nào về khách hàng hoặc thành viên tên miền lên bộ kiểm soát miền khi bạn áp dụng các chính sách IPSec bằng cách sử dụng chính sách nhóm hoặc khi bạn sử dụng phương pháp thẩm định 5 giao thức Kerberos Phiên bản.

Ngoài ra, chúng tôi hỗ trợ bằng cách sử dụng IPSec để mã hóa cả hai các loại sau đây của mạng lưới giao thông:
  • Tên miền bộ điều khiển bộ điều khiển tên miền làm bản sao lưu lượng truy cập
  • Lưu lượng truy cập vào cửa hàng vào cửa hàng để, toàn cầu toàn cầu nhân rộng
Mật mã hóa này lưu lượng truy cập bằng cách sử dụng IPSec, cấu hình sau cả hai:
  • Tạo một bộ lọc chính sách IPSec để mã hóa tất cả Unicast giao thông bằng cách sử dụng các Tất cả các IP giao thông tùy chọn.
  • Cấu hình các bộ lọc IPSec chính sách này để mã hóa này giao thông giữa hai địa chỉ IP bằng cách sử dụng chế độ IPSec vận tải. Trong trường hợp này, không sử dụng chế độ đường hầm IPSec.
Quan trọng Phần này, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để chỉnh sửa registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows


Sau khi bạn cấu hình chính sách IPSec này, bạn có thể nhận thấy rằng khi các máy tính được bắt đầu, một số gói có thể được gửi qua mạng unencrypted. Vấn đề này xảy ra bởi vì một số các gói dữ liệu có thể được gửi qua mạng trước khi trình điều khiển IPSec đã được khởi tạo và trước khi IPSec, chính sách đã được xử lý. Để giải quyết vấn đề này, đặt trình điều khiển IPSec IPSec.sys chế độ khối trong quá trình khởi động máy tính. Khi bạn làm điều này, IPSec khối đi lưu lượng mạng từ máy tính cho đến khi các thành phần PolicyAgent bắt đầu và cho đến khi các thành phần PolicyAgent tải các chính sách IPSec. Sau khi các thành phần IPSec PolicyAgent đã bắt đầu, và sau khi các chính sách IPSec được nạp, PolicyAgent thay đổi chương trình điều khiển IPSec hoạt động chế độ cho phép các đoạn văn của lưu lượng truy cập IPSec. Để đặt trình điều khiển IPSec vào chế độ khối, thiết lập giá trị sổ đăng ký sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


Giá trị tên: OperationMode
Giá trị type: REG_DWORD
Dữ liệu có giá trị: 1
Một giá trị là 1 đặt IPSec trình điều khiển chế độ khối. Một giá trị là 0 (zero) đi qua chế độ chặn chương trình điều khiển IPSec.

Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
254728IPSec không an toàn giao thông Kerberos giữa bộ kiểm soát miền
Chúng tôi hỗ trợ bằng cách sử dụng IPSec để mã hóa lưu lượng truy cập điều khiển bộ điều khiển vùng miền như máy chủ tin nhắn chặn (SMB), nhân rộng gọi thủ tục từ xa (RPC), và các loại lưu lượng truy cập. Bạn có thể vận chuyển này lưu lượng truy cập bằng cách sử dụng IPSec để cho bạn dễ dàng vượt qua các loại lưu lượng truy cập thông qua tường lửa. Trong kịch bản này, bạn chỉ cần phải cho phép lưu lượng truy cập IPSec và lưu lượng truy cập Internet Key Exchange (IKE) thông qua tường lửa của bạn. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
233256Làm thế nào để kích hoạt tính năng IPSec giao thông qua tường lửa
Chúng tôi đề nghị rằng bạn yêu cầu xác thực chứng chỉ dựa trên khi bạn cấu hình quy tắc chính sách IPSec điều khiển bộ điều khiển vùng miền. Để có thông tin chi tiết về làm thế nào để tạo ra một chính sách IPSec, xem các Thư mục hoạt động trong mạng xạ bởi bức tường lửa tài liệu. Để có được tài liệu này, ghé thăm Web site sau của Microsoft: Các quy tắc phải yêu cầu xác thực chứng chỉ nếu các yêu cầu bảo mật cho phép Kerberos lưu lượng truy cập thông qua các bức tường lửa. Theo mặc định, việc kiểm tra thu hồi chứng chỉ IKE là ra, và có thể có hiệu lực thông qua các bức tường lửa. Điều này phụ thuộc vào cơ sở hạ tầng PKI đang được sử dụng.

Xây dựng các quy tắc IPSec về bộ điều khiển tên miền bằng cách sử dụng các thông số kỹ thuật sau đây:
  • Danh sách bộ lọc xác định lưu lượng truy cập đi từ địa chỉ IP trên DC1 đến địa chỉ IP trên DC2 (nhân đôi), mặt nạ mạng con 255.255.255.255, mọi giao thức, và tất cả các cổng.Bạn có thể muốn thêm một quy tắc chính sách IPSec miễn ICMP lưu lượng truy cập từ đàm phán bảo mật IPSec nếu Ping được sử dụng để xác minh kết nối mạng với hệ thống từ xa thông qua tường lửa. Nếu không, kết nối có thể được xác minh bởi một sniff mạng cho thấy lưu lượng truy cập IKE (ISAKMP, UDP port 500) được gửi và nhận được từ DC để khác DC địa chỉ IP.

    Phiên dịch địa chỉ mạng (NAT) không phải được sử dụng để thay đổi địa chỉ hoặc sửa đổi các gói dữ liệu giữa các bộ điều khiển tên miền đó có yêu cầu bảo vệ IPSec giữa chúng.

  • Dưới Thiết lập đường hầm, bấm Quy tắc này không xác định một đường hầm IPSec Vì vậy mà nó sử dụng vận tải chế độ.
  • Chọn Sử dụng chứng chỉ Đối với phương thức xác thực. Bạn có thể sử dụng Kerberos, xem lưu ý.
  • Tạo một hành động tùy chỉnh bộ lọc bằng việc xoá các Chấp nhận không có bảo đảm giao tiếpCho phép liên lạc không có bảo đảm hộp kiểm tra và xác định các phương pháp mã hóa dữ liệu thích hợp bằng cách sử dụng định dạng ESP của IPSec. Mạng adaptor thực hiện IPSec mỗi gói mã hóa trong phần cứng là cần thiết trong mỗi bộ điều khiển vùng để cho mật mã hoá IPSec không tiêu thụ tất cả máy tính chu kỳ CPU.
Chú ý Việc phát hành ban đầu (xây dựng 2195) của Windows 2000 không bảo vệ IKE, Kerberos, hoặc RSVP lưu lượng truy cập bằng cách sử dụng các bộ lọc IPSec vận tải. Nếu Kerberos được sử dụng như là phương thức xác thực sự cai trị của IPSec để bảo vệ giao thông điều khiển bộ điều khiển vùng miền thay vì của giấy chứng nhận, tường lửa cũng phải cho phép lưu lượng truy cập Kerberos để đi qua. Điều này phải là một thiết lập mặc định. Windows 2000 Service Pack 1 cung cấp IPSec với khả năng bảo vệ Kerberos và RSVP lưu lượng truy cập.
253169 Giao thông có thể - và không thể--được bảo đảm bởi IPSec

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 254949 - Xem lại Lần cuối: 08/21/2011 11:33:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows XP Professional

  • kbinfo kbipsec kbnetwork kbmt KB254949 KbMtvi
Phản hồi