您目前已離線,請等候您的網際網路重新連線

IPSec 不保護網域控制站之間的 Kerberos 流量

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:254728
本文已封存。本文係以「現狀」提供且不會再更新。
重要: 本文包含修改登錄的相關資訊。修改登錄之前請確定它備份起來,並請確定您瞭解如何在發生問題時還原登錄。如如何備份、 還原,以及編輯登錄有關,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
256986Microsoft Windows 登錄的描述
徵狀
IP 安全性通訊協定 (IPSec) 不安全的 Kerberos 或甚至 RSVP Windows 2000 網域控制站之間的流量時 IPSec 原則篩選設定為符合兩個 IP 位址之間的所有 IP 流量。IPSec 設定來保障安全網域控制站之間的所有資料傳輸時仍可讓的 Kerberos 流量會顯示為 Kerberos IPSec 保護網路上的流量。
發生的原因
某些類型的傳輸豁免從即使 IPSec 原則指定所有 IP 流量應該受到都保護,由 IPSec,受都保護的設計中。IPSec 豁免套用到廣播、 多點傳送、 RSVP、 IKE 及 Kerberos 的流量。Kerberos 一種安全性通訊協定本身、 可以用於由 IPSec IKE 驗證,因此不是原本設計至受到 IPSec 保護。因此,是免除 IPSec 篩選功能。 如需這些豁免的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
254949用戶端到網域控制站及網域控制站到網域控制站 IPSec 支援
解決方案
如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
260910如何取得最新的 Windows 2000 Service Pack
Kerberos 上的沒有操作影響觀察到內部測試套用此修正程式和 Kerberos 已受到 IPSec 保護時期間。如果您注意到有受保護的 Kerberos 資料傳輸,但結果是無法正常運作的網域信任問題,請連絡 Microsoft 產品支援服務。

此修正程式的目的是要啟用的兩個可以現在包含 Kerberos 流量用登錄的金鑰組的網域控制器之間的所有單點傳播流量的完整 IPSec 保護。此修正程式被為了在每個網域控制站的不是在 Windows 2000 專業版用戶端上使用。下列 「 Microsoft 知識庫 」 文件中的資訊仍然適用:
254949用戶端網域控制站流量和網域控制站到網域控制站流量的 IPSec 支援
您應該將此修正程式允許透過只 IPSec 和 IKE 的資料傳輸的防火牆規則搭配使用。 如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
233256如何啟用透過防火牆的 IPSec 流量
在開機過程幾個封包可能會傳送之前初始化 IPSec 驅動程式,且有 IPSec 原則完全處理。允許唯一的 IKE,IPSec 通訊協定的正確設定的防火牆可以防止此非 IPSec 流量前往不適當的網路。

若要以便要升級為遠端網域的子系伺服器設定 [本機的 IPSec 原則,會使用憑證驗證]。藉由使用 Ipsecmon.exe 及 Ping 或其他方法產生遠端網域控制站的流量的測試 IPSec 安全性關聯。如果成功建立 IPSec 安全性關聯時應該受到保護所有傳輸至遠端網域。伺服器應該能夠聯結遠端網域和 Dcpromo Kerberos 跨網域信任和一般 RPC 為基礎的目錄複寫應該全部運作。

在您套用此 Hotfix,並新增下列登錄機碼之後,您可以控制 RSVP 及 Kerberos 豁免的行為與 IPSec 篩選器規則。 將這個新的登錄項目設定為 1 會造成這些通訊協定來進行篩選。

警告: 如果您未正確使用登錄編輯程式可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證您可以解決因不當使用 「 登錄編輯器 」 的問題。使用 「 登錄編輯程式 」,請自行負擔相關的風險。

若要新增登錄機碼:
  1. 啟動 「 登錄編輯程式 」 (Regedt32.exe)。
  2. 按一下下列登錄機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. 在 [編輯] 功能表上按一下 [新增值],],然後再新增下列值: 數值名稱: NoDefaultExempt (請注意這個名稱會區分大小寫)
    資料類型: REG_DWORD
    資料值: 0 或 1

    • 0: 預設豁免套用 (預設)
    • 1: 不豁免 RSVP 及 Kerberos (唯一的 IKE、 多點傳送及廣播豁免)
狀況說明
Microsoft 已確認這是在 Microsoft Windows 2000 中的問題。這個問題已經先在 Windows 2000 Service Pack 1 中獲得修正。
其他相關資訊
如需有關如何一次安裝 Windows 2000 和 Windows 2000 的 Hotfix 的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
249149安裝 Microsoft Windows 2000 和 Windows 2000 的 Hotfix
您可能必須安裝在 Windows 2000 SP3,使用 Kerberos 透過 IPSec 篩選中的 Hotfix。如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
309304IP 安全性的傳輸模式 (含加密可能會卸除分段的封包

警告:本文為自動翻譯

內容

文章識別碼:254728 - 最後檢閱時間:12/05/2015 18:45:18 - 修訂: 3.3

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbmt kbbug kbfix kbqfe kbwin2000sp1fix KB254728 KbMtzh
意見反應