史萊姆論壇 - 查看單個文章

psac · 2004-01-05, 04:55 PM

通過防火牆進行 Active Directory 複製

在佈署分佈式 Active Directory™ 目錄服務架構時，防火牆會帶來兩個困難：

• 最初將伺服器昇級為域控制器。

• 在域控制器之間複製通信。

Active Directory 依靠遠端程序使用 (RPC) 進行域控制器之間的複製。

（簡單郵件傳輸傳輸協定 [SMTP] 雖可用於架構、配置及全局編錄複製等環境，但卻無法用於域命名上下文，使其用途受到了限制。）

在一個目錄林分佈於內部網路、非軍事區 (DMZ)、外部（即針對 Internet）網路的環境中，要使複製順利進行，並非易事。

有三種可能的解決方法：

• 放鬆防火牆的限制，允許 RPC 的本機動態行為。

• 限制 RPC 使用 TCP 連接埠，僅略微開放防火牆。

• 將域控制器（DC 到 DC）通信封裝在 IP 安全傳輸協定 (IPSec) 內，並為此開放防火牆。

每種方法各有優缺點。

總的來說，列在前面的方法缺點多於優點，而列在後面的則優點多於缺點。

因此，儘管本文對這三種方法都會加以介紹，但因 IPSec 優於另外兩種方法，所以將著重介紹它。

完全動態的 RPC

優點缺點

無需特殊的伺服器配置使防火牆變成了「瑞士乾酪」（不堪一擊）

隨機引入高連接埠連接

防火牆配置不安全

您當然可以以該方式配置工作環境，但有足夠的理由棄之不用，最重要的原因是它會導致網路不安全。不過，這種方法所需的配置工作量最少。

若要通過動態 RPC 啟動複製，則應配置防火牆，使其允許：

服務連接埠/傳輸協定

RPC 終結點映射器 135/TCP, 135/UDP
網路基本輸入/輸出系統 (NetBIOS) 名稱服務 137/TCP, 137/UDP
NetBIOS 資料文報服務 138/UDP
NetBIOS 會話服務 139/TCP
RPC 動態分配 1024-65535/TCP
IP 上的伺服器消息塊 (SM，即 Microsoft-DS 445/TCP, 445/UDP
輕量目錄訪問傳輸協定 (LDAP) 389/TCP
SSL 上的 LDAP 636/TCP
全局編錄 LDAP 3268/TCP
SSL 上的全局編錄 LDAP 3269/TCP
Kerberos 88/TCP, 88/UDP
域名服務 (DNS) 53/TCP1 , 53/UDP
Windows Internet Naming Service (WINS) 解析（如果需要） 1512/TCP, 1512/UDP
WINS 複製（如果需要） 42/TCP, 42/UDP

「RPC 動態分配」規則是造成這種方案不安全的原因。

該規則有時稱為「TCP 高連接埠」，它要求准許入站通信從任何高於 1023 的連接埠通過。

如果防火牆允許這樣做，那這個防火牆也就沒有存在的必要了。

如果不想讓 DNS 或 WINS 通過，則可用 HOSTS（用於 DNS）和 LMHOSTS（用於 WINS）文件進行名稱解析。這些文件存儲於 %SystemRoot%\system32\drivers\etc。可檢視這些文件，以瞭解如何使用它們。

RPC 工作原理
每項 RPC 服務都會在註冊表中為自己配置一個通用的唯一標識名 (UUID)（類似於全局唯一標識名 GUID）。

UUID 是一種常用標識名，各項服務都有一個唯一的 UUID，且在所有平台上通用。

當一項 RPC 服務啟動時，它會獲得一個可用的高連接埠，並以其 UUID 在該連接埠註冊。

有些服務隨機使用高連接埠；而有些服務卻每次都盡量使用相同的高連接埠（如果這些高連接埠可用）。

在服務的生存期內，連接埠的分配是靜態的。

當一個客戶端要與某特定 RPC 服務通訊時，它無法事先確定該服務在哪個連接埠上執行。

該客戶端會先建立一個到伺服器連接埠映射器服務（在 135 上）的連接，並利用該服務的 UUID 請求所需服務。連接埠映射器會將相應的連接埠號返回給客戶端，然後關閉連接。

最後，客戶端利用連接埠映射器提供的連接埠號，新增一個到該伺服器的連接。

由於事先無法獲悉 RPC 服務將使用哪個連接埠，因此防火牆不得不允許所有高連接埠通過。

有限的 RPC
優點缺點
僅開放一個高連接埠，比動態 RPC 更安全修改所有伺服器的註冊表
這種方法更安全，但卻需要修改所有域控制器的註冊表。

可以通過用 Microsoft ® Windows ® 2000 資源工具包中的工具編寫指令碼這種方式來修改註冊表，這樣可避免出現配置錯誤。

必須為 RPC 複製確定一個類BIOS的連接埠號。Internet Assigned Numbers Authority (IANA) 規定將 49152 - 65535 之間的數字用於專用和動態分配。

使用註冊表編輯器，定位到該註冊表項：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\
新添一個名為 TCP/IP Port（包括空格）的 DWORD 值。將該值的資料設為所需的連接埠號。

輸入資料前，切記將所顯示的數字改為十進制值。對所有 Active Directory 伺服器執行此操作。要使更改生效，必須重啟這些伺服器。
然後，配置防火牆，使其允許：

服務連接埠/傳輸協定

RPC 終結點映射器 135/TCP, 135/UDP
NetBIOS 名稱服務 137/TCP, 137/UDP
NetBIOS 資料文報服務 138/UDP
NetBIOS 會話服務 139/TCP
用於 AD 複製的 RPC 靜態連接埠 <fixed-port>/TCP
IP 上的 SMB (Microsoft-DS) 445/TCP, 445/UDP
LDAP 389/TCP
SSL 上的 LDAP 636/TCP
全局編錄 LDAP 3268/TCP
SSL 上的全局編錄 LDAP 3269/TCP
Kerberos 88/TCP, 88/UDP
DNS 53/TCP, 53/UDP
WINS 解析（如果需要） 1512/TCP, 1512/UDP
WINS 複製（如果需要） 42/TCP, 42/UDP
用註冊表值中的連接埠號替換 <fixed-port>。

如前所述，如果不想讓 DNS 或 WINS 通過，可用 HOSTS（用於 DNS）和 LMHOSTS（用於 WINS）文件進行名稱解析。

這些文件存儲於 %SystemRoot%\system32\drivers\etc。

可檢視這些文件，以瞭解如何使用它們。

該方法仍需要使用終結點映射器，因為客戶端無從知道您已給出類BIOS的連接埠。

當客戶端請求與 Active Directory 的 RPC UUID 相關聯的連接埠號時，終結點映射器總是返回所設定的類BIOS連接埠。

下面是一些可匯入註冊表的文本。這些文本將連接埠設為 49152。請將其複製到記事本，再貼上到空白的「記事本」螢幕中，然後將該檔案以 .REG 副檔名儲存，再在 Windows 檔案總管中雙按該檔案。

如果要使用其它連接埠，請使用 Windows 計算器（科學型）將該值由十進制轉換為十六進位。

切記，應在該值前填入 4 個 0，如下例所顯示：

Windows 註冊表編輯器 5.00 版

[HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \NTDS \Parameters]
"TCP/IP Port"=dword:0000c000

封裝於 IPSec 內
優點缺點
提供的防火牆最安全在所有伺服器上配置 IPSec 原則
域控制器間相互驗證
如果需要，可以設定個性化原則
需要時，是佈署公鑰結構 (PKI) 的極好理由
IPSec 為輕鬆封裝 RPC 通信並攜帶這種通信穿過防火牆提供了一個好方法。

IPSec 不但簡化了 RPC 傳輸，而且因其具有相互驗證功能，從而提高了域控制器間的安全性：通過使用 Kerberos 或機器證書，域控制器可以在真正交換信息前就「知道」將與誰通訊。

本文向您介紹如何利用 Microsoft Management Console (MMC) 接頭來新增相應的 IPSec 原則。Windows 2000 資源工具包提供了一種工具：IPSECPOL.EXE，可通過用它編寫指令碼的方式來新增原則。

在準備使用該工具前，一定要通讀 IPSECPOL.EXE 我的文件，並全面理解其內容。因為 IPSECPOL.EXE 與圖形用戶接頭 (GUI) 不同，這個指令行工具幾乎沒有內裝一致性檢查。

著手新增原則前，必須先決定：是用證書進行 IPSec 驗證，還是用 Windows 2000 內裝的 Kerberos2。Kerberos 驗證要求兩台電腦均處於同一個域中。

所以，若要用 Kerberos，就不能在域昇級階段 (DCPROMO) 使用 IPSec，因為此時目標伺服器尚不是該域的成員。而點對點隧道傳輸協定 (PPTP) 的隧道適用於這種情況，本文將加以介紹。如果不用 Kerberos，而是用證書進行驗證，則必須使每個參與 IPSec 複製的域控制器都獲得一個證書。

http://www.microsoft.com/windows2000/library/ 中的我的文件，介紹了如何建立 Windows 2000 證書頒發機構，以及如何為機器證書的自動登記配置域，請參閱這些我的文件。

若要進行 IPSec 複製和 IPSec 或 PPTP 昇級，請配置防火牆，使其允許：
服務連接埠/傳輸協定
DNS 53/TCP, 53/UDP
PPTP 的建立（如果使用 PPTP） 1723/TCP
GRE，一般路由封裝（如果使用 PPTP） IP 傳輸協定 47
Kerberos3 88/TCP, 88/UDP
IKE，Internet 密鑰交換 500/UDP
IPSec ESP，封裝的安全有效負載 IP 傳輸協定 50
IPSec AH，已驗證的標頭 IP 傳輸協定 51
請注意，IPSec 不通過網路位址轉換 (NAT) 設備起作用。由於 IPSec 在計算資料包校驗值時使用 IP 位址，所以，如果 IPSec 資料包的源位址是由 NAT 更改的，那麼這些 IPSec 資料包會在到達目的地時被丟棄。
通過 PPTP 隧道昇級域控制器
如果在昇級階段選用 PPTP 隧道，則必須在內部網路中配置路由和遠端訪問 (RRAS)。RRAS 既可以在內部域控制器上執行，也可以在單獨的伺服器上執行。為簡便起見，RRAS 伺服器最好與根域控制器位於同一子網中，這樣就不必進行靜態路由維護了。

配置 RRAS：

• 選項「開始」、「程序」、「系統管理工具」、「路由和遠端訪問」。

• 用滑鼠右鍵按下左側面板中的伺服器，然後按下「配置並啟用路由和遠端訪問」。

RRAS 設定嚮導即會啟動。

• 按下「手動配置伺服器」。

路由和遠端訪問嚮導。
• 完成該嚮導，並在嚮導提示時啟動服務。
按下伺服器名稱旁的 "+" 後，MMC 應如下顯示：

配置並啟動後的RRAS。

配置並啟動 RRAS 後，請進行以下更改：

• 用滑鼠右鍵按下伺服器，然後按下「內容」。按下「IP」選擇項，再按下「靜態位址池」。鍵入一個 IP 位址範圍，該範圍應與內部域控制器處於同一子網中。只需要幾個位址（可能是 9 個）。關閉所有對話視窗。

伺服器內容，IP 位址分配。

• 用滑鼠右鍵按下「連接埠」（MMC 的左側面板），然後按下「內容」。配置「直接並行」，使其既不允許遠端訪問，也不允許請求型撥號連接；如果伺服器裝有調製解調器（如下例所顯示），則可進行類似配置。

配置「請求撥號 (L2TP)」，使連接埠數為 0，並且既不允許遠端訪問，也不允許請求型撥號連接。除非需要五個以上連接埠，否則不必對「請求撥號 (PPTP)」進行任何更改。

關閉所有對話視窗。
連接埠內容。

現在，RRAS 已準備好接受入站 PPTP 連接，進行域控制器昇級。

在將 DMZ 或外部伺服器昇級為域控制器之前，應首先建立到內部 RRAS 伺服器的 PPTP 隧道。

開啟「網路芳鄰」的「內容」頁，然後按下「新增連接」。在嚮導中：

• 按下「通過 Internet 連線到專用網路」。

• 不撥任何初始連接。

• 鍵入內部 RRAS 伺服器的 IP 位址作為目標位址。

• 將連接的可用性設為「所有用戶使用此連接」。

• 不共享此連接。

• 按需要命名此連接。

連接對話視窗即會開啟。連接前，請先按下「內容」按鈕。

按下「選項」選擇項，再按下「包含 Windows 登入域」。

然後關閉該對話視窗。

現在，用企業管理員憑據（根域的管理員）登入到 RRAS 伺服器。

伺服器完成連接後，即可啟動 DCPROMO。

該程序結束時，DCPROMO 會要求重啟；同時中斷連線與 PPTP 隧道的連接。

因為不再需要該隧道，所以可刪除該連接。

通過 IPSec 和機器證書昇級域控制器
只要符合下列任何一種情況，即可考慮使用該方法：

• 不想使用 PPTP 進行昇級。
• 不想讓 Kerberos 穿過防火牆。
• 正在找理由佈署 PKI。
必須在域控制器上安裝證書，這樣它們才能執行 IPSec 驗證。所有證書均需要有同一個證書頒發機構的簽名。

Windows 2000 具有一個「請求註釋」（RFC 相容）證書頒發機構 (CA)，能很好地滿足這種要求。

可以利用群組原則對域進行配置，使其自動登記成員電腦的機器證書。雖然 IPSec 可以處理來自任何 CA 的證書，但自動登記要求的是 Windows 2000 CA。

如果已擁有一個 PKI，則可以通過頒發 CA 將 Windows 2000 CA 配置為從屬 CA。

詳細資料，請參閱本我的文件及以前介紹過的演練。

如果決定採用這種方法，還可以選項將 Kerberos 通信包括在 IPSec 中。

有些通信類型通常不經由 IPSec 傳輸模式處理：

• 廣播 - IPSec 篩選器無法對其進行分類，因為發件人僅認識部分收信者。

• 多路廣播 - 與廣播相同。

• 資源保留傳輸協定 (RSVP)，IP 傳輸協定 46 - 肯定不應該經過處理，只有這樣才能標記服務品質；但 RSVP 資料包內可以攜帶 IPSec 資料包。

• Internet 密鑰交換 (IKE) - IPSec 用 IKE 建立安全參數，並執行密鑰交換。

IKE 協商已進行了必要的加密。

• Kerberos - 本機 Windows 2000 驗證傳輸協定，IPSec 還用它進行電腦驗證。Kerberos 本身已經很安全了。

即便 IPSec 篩選器可能指定兩台電腦間的所有通信均應進行封裝，但上述類型的通信仍會免於處理。

Windows 2000 Service Pack 1 中提供了一個註冊表項，可在某種程度上更改這種設定。使用註冊表編輯器，並定位到：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC\
新增加一個名為 NoDefaultExempt 的雙字元值 (DWORD)，並將其設為 1。可以為下列值：
0: 預設的免於處理適用
1: Kerberos 和 RSVP 均接受 IPSec 處理
將某電腦昇級為域控制器（並因而成為該域的成員）後，最好將 Kerberos 包含在 IPSec 中。但如果要昇級為域控制器的電腦尚不是域成員，則不能使用 Kerberos 建立 IPSec。必須使用其它形式的驗證，這正是使用機器證書的原因所在。
可以將下列文本匯入註冊表。這些文本會將 NoDefaultExempt 的值設為 1。請將這些文本複製到記事本，再貼上到空白的「記事本」螢幕中，然後將該檔案以 .REG 副檔名儲存，再在 Windows 檔案總管中雙按該檔案。
Windows 註冊表編輯器 5.00 版
[HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \IPSEC]
"NoDefaultExempt"=dword:00000001
請在理解這段內容後，再繼續閱讀本文。

如果決定採用該方法，則執行 DCPROMO 之前，還必須按順序執行下節「針對域控制器間的通訊配置 IPSec 傳輸模式」中的所有步驟。順序為：

1. 若要在 IPSec 處理程序中包含 Kerberos，則需要增加上述註冊表項。

2. 安裝證書頒發機構。

3. 獲得所有現有域控制器的證書及所有候選域控制器的機器證書。

4. 執行「針對域控制器間的通訊配置 IPSec 傳輸模式」一節中的步驟。

5. 在候選域控制器上執行 DCPROMO。

6. 全部完成 - 一切就緒，利用現有 IPsec 配置進行複製。

兩種昇級方法的比較

以下是上述兩種方法的區別：

PPTP 隧道
• 方便快捷。
• 要求防火牆准許 Kerberos。
• 要求防火牆准許 PPTP。
• 將昇級與複製功能分開 - 先配置 PPTP 進行昇級，然後再配置 IPSec 進行複製。

具有電腦證書的 IPSec

• 提供佈署 PKI 的好理由。

• 允許將 Kerberos 包括在 IPSec 處理程序中。

• 通過防火牆的傳輸協定更少 - 沒有 PPTP，也可能沒有 Kerberos。

• 昇級與正在進行的複製一步完成。

雖然很難講以上兩種方法孰優孰劣，不過，具有電腦證書的 IPSec 可能是一種「更有遠見」的方法，尤其在大多數服務機構都打算佈署某種 PKI 的情況下，更是如此。

針對域控制器間的通訊配置 IPSec 傳輸模式
現在可以在所有域控制器上配置原則，以便利用 IPSec 傳輸模式相互通訊了。使用這種配置時，必須只允許 IPSec 及其相關傳輸協定穿過防火牆。

這種配置非常簡單，也更容易支持。

請注意，這並非新增 IPSec 隧道。而是利用 IPSec 傳輸模式 - 端到端 IPSec，來保證伺服器間會話的安全。

在每個域控制器上，都必須新增用於複製的 IPSec 原則，以及相應的 IP 篩選器列表和篩選器操作。選項「開始」、「程序」、「系統管理工具」、「本機安全原則」。

本機安全性設定。

接著，按下「本機電腦上的 IP 安全原則」（位於 MMC 的左側面板）。即會顯示預設原則，可在此增加一個用於複製的新原則。但必須先新增篩選器列表和篩選器操作。

篩選器列表表明了哪些 IP 位址、連接埠和傳輸協定觸發 IPSec 的套用。現在，您只需保證域控制器間所有通信的安全，而無需保護域控制器與其它電腦之間通信的安全。

在 MMC 的右側面板中按下滑鼠右鍵，然後按下「管理 IP 篩選器表和篩選器操作」。即會自動定位到「管理 IP 篩選器列表」選擇項。

篩選器列表只是一個篩選器列表；您應該為每個參與複製的伺服器新增一個篩選器。

也就是說，只需要一個篩選器列表，而該列表包含了所有域控制器的篩選器。

IP 篩選器列表和篩選器操作，篩選器列表選擇項。

要新增一個篩選器列表，請按下「增加」按鈕。將該篩選器列表命名為「DC 複製」。然後按下「增加」按鈕，新增一個篩選器，並按照以下步驟完成嚮導：
• 選項「我的 IP 位址」作為源位址。

• 選項「一個特定的 IP 位址」作為目標位址，然後鍵入其它伺服器的 IP 位址。

• 選項「任意」作為傳輸協定類型。這會將篩選器配置為兩台電腦間的所有通信均攜帶在 IPSec4 中。

域控制器複製篩選器列表。

給其餘域控制器增加其它篩選器。

完成後，關閉對話視窗。

接著，需要定義一個篩選器操作。

按下「管理篩選器操作」選擇項，然後按下「增加」按鈕新增一個操作。

在嚮導中：

• 將操作命名為「DC 複製」。

• 按下「協商安全」。

• 按下「不與不支持 IPSec 的電腦通訊」。

• 按下「高（封裝的安全有效負載）」。

• 選「編輯內容」複選框（需要以後進行更改）。

• 按下「完成」按鈕。

在「內容」對話視窗中，清除「接受不安全的通訊，但總是用 IPSec 回應」旁的複選框。

您肯定不希望伺服器對不安全的通訊做出回應。

當然，該設定只套用於那些位於相應 IP 篩選器列表中的電腦；您即刻就會將該篩選器列表和篩選器操作與某個原則相連結。

關閉所有對話視窗。

域控制器複製篩選器操作。

現在，已經為新增 IPSec 原則做好準備。在 MMC 的右側面板中按下滑鼠右鍵，然後按下「新增 IP 安全原則」。

在嚮導中：
• 將原則命名為「域控制器複製」。

• 清除「啟動預設回應規則」。

• 驗證「編輯內容」複選框已被選，然後關閉嚮導。

現在，原則已經存在，但不包含規則。

域控制器複製 IPSec 原則。

與以前新增的篩選器列表和篩選器操作建立關聯，從而新增一條規則。

按下「增加」按鈕定義新規則。在嚮導中：

• 選「此規則不指定隧道」。

• 選「區域網路 (LAN)」作為網路類型。

選項一種驗證方法 --
o 如果將 PPTP 隧道用於 DCPROMO，則應選「Windows 2000 預設值(Kerberos V5 傳輸協定)」。

或
o 如果用的是證書，則選「使用由此證書頒發機構 (CA) 頒發的證書:」。

然後按下「瀏覽」，並選項頒發了電腦所裝機器證書的證書頒發機構。
• 您將會看到一列 IP 篩選器列表。從此列表中選項以前新增的篩選器列表「DC 複製」。

• 還會看到一列篩選器操作。從此列表中選項以前新增的篩選器操作「DC 複製」。

• 不編輯其內容。完成該嚮導。
現在，您的原則類似於下圖（如果選用了該方法，則「身份驗證」列會標明「證書」）。

已完成的域控制器複製原則。

最後，必須啟用（即指派）該原則。

• 用滑鼠右鍵按下「DC 複製」原則。

• 按下「指派」。

圖 11 指派域控制器原則。

會立即進行 IPSec 處理。
而不必重啟伺服器。

每個域控制器都需要類似的 IPSec 原則。

無論控制器位於內部網路、DMZ 還是外部網路，都必須為其配置 IPSec 原則，使其與其它所有域控制器的所有通訊都經由 IPSec。

這樣，不僅使知識一致性檢查器得以建立一個忽略防火牆的複製拓撲，還可確保各個伺服器間所有 IPSec 複製的安全。

測試 IPSec 原則。

確定要測試的原則已經新增。在新增某原則，並將其至少指派給兩台電腦以後，即可用 IPSECMON.EXE 工具觀察電腦何時建立 IPSec 安全關聯：

• 開啟一個指令視窗。

• 發佈指令 ipsecmon。即會啟動一個圖形化工具，列出當前的安全關聯，以及有多少已驗證和/或已加密的通信通過了該伺服器。

（除非域控制器已開始進行信息交換，否則目前可能沒有任何系統管理員權限。）

• 按下「選項」按鈕，然後將重新整理頻率改為 1 秒。

• 返回到命令提示字元， ping 另一個同樣具有 IPSec 原則的域控制器。用 -t 標誌繼續 ping，直到停止 (ping -t ip-address)。

• 檢視幾個「協商 IP 安全」回應 - 電腦正交換密鑰，並建立其安全關聯。

最後，將看到正常的回復。建立雙向安全關聯可能需要 10 到 12 秒的時間。

• 按 Ctrl +C 停止建立關聯。

進一步鎖定 DMZ 中的 DC
支持電子商務和外部網路連接的網路，可能需要將域控制器置於 DMZ 中。

儘管最初這可能會帶來安全隱患，但 IPSec 同樣可說明解決該問題。可以利用 IPSec 規則的許可/阻止功能，新增完善的資料包篩選器。

請參閱我的文件「Using IPSec to Lock Down a Server」，網址為：

http://www.microsoft.com/ISN/Columnists/P66703.asp。

可結合本文信息及參考我的文件中的方法，新增一種 IPSec 原則，該原則可以只確保域控制器間通訊的安全，而阻止其它任何通訊到達 DMZ 中的域控制器。

此種 IPSec 用法的合法性

儘管 IPSec 的設計者可能未預見到這一問題，但該傳輸協定的確已成為封裝複雜通信、使其在網路間安全傳輸的極好方法。

Windows 2000 IPSec 原則引擎可用於新增極其完善的規則，以指定主機間所許可的、阻止的或受到保護的通信。

本文中，我們利用它保護已知主機（特定的域控制器）間所有通信的安全，同時准許這些主機間的其它通信往來。

有關 Windows 2000 IPSec 的詳細資料以及 Windows 2000 的其它安全功能，請參閱

http://www.microsoft.com/windows2000...gies/security/ 和 http://www.microsoft.com/technet/security/。

1 TCP 用來進行區域複製以及每當其回復超過 512 字元時。

2 本文不討論使用預共享密鑰。Windows 2000 包含預共享密鑰驗證，僅是為了與其它 IPSec 實現方式相容，並符合 IPSec RFC。

鑒於共享式機密樣式驗證所帶來的固有不安全因素，我們堅決反對在產品環境中使用預共享密鑰。

3 如果決定使用證書進行 IPSec 驗證而不是使用 Kerberos，則可以配置伺服器，允許在 IPSec 內部攜帶 Kerberos 通信。以後的文章中將詳細介紹有關內容。

無論採用何種驗證模式，域控制器之間都需要 Kerberos。

4 即那些不經 IPSec 處理的通信之外的所有通信（如前所述）。

2004-01-05, 04:55 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	通過防火牆進行 Active Directory 複製通過防火牆進行 Active Directory 複製在佈署分佈式 Active Directory™ 目錄服務架構時，防火牆會帶來兩個困難： • 最初將伺服器昇級為域控制器。 • 在域控制器之間複製通信。 Active Directory 依靠遠端程序使用 (RPC) 進行域控制器之間的複製。（簡單郵件傳輸傳輸協定 [SMTP] 雖可用於架構、配置及全局編錄複製等環境，但卻無法用於域命名上下文，使其用途受到了限制。）在一個目錄林分佈於內部網路、非軍事區 (DMZ)、外部（即針對 Internet）網路的環境中，要使複製順利進行，並非易事。有三種可能的解決方法： • 放鬆防火牆的限制，允許 RPC 的本機動態行為。 • 限制 RPC 使用 TCP 連接埠，僅略微開放防火牆。 • 將域控制器（DC 到 DC）通信封裝在 IP 安全傳輸協定 (IPSec) 內，並為此開放防火牆。每種方法各有優缺點。總的來說，列在前面的方法缺點多於優點，而列在後面的則優點多於缺點。因此，儘管本文對這三種方法都會加以介紹，但因 IPSec 優於另外兩種方法，所以將著重介紹它。完全動態的 RPC 優點缺點無需特殊的伺服器配置使防火牆變成了「瑞士乾酪」（不堪一擊）隨機引入高連接埠連接防火牆配置不安全您當然可以以該方式配置工作環境，但有足夠的理由棄之不用，最重要的原因是它會導致網路不安全。不過，這種方法所需的配置工作量最少。若要通過動態 RPC 啟動複製，則應配置防火牆，使其允許：服務連接埠/傳輸協定 RPC 終結點映射器 135/TCP, 135/UDP 網路基本輸入/輸出系統 (NetBIOS) 名稱服務 137/TCP, 137/UDP NetBIOS 資料文報服務 138/UDP NetBIOS 會話服務 139/TCP RPC 動態分配 1024-65535/TCP IP 上的伺服器消息塊 (SM，即 Microsoft-DS 445/TCP, 445/UDP 輕量目錄訪問傳輸協定 (LDAP) 389/TCP SSL 上的 LDAP 636/TCP 全局編錄 LDAP 3268/TCP SSL 上的全局編錄 LDAP 3269/TCP Kerberos 88/TCP, 88/UDP 域名服務 (DNS) 53/TCP1 , 53/UDP Windows Internet Naming Service (WINS) 解析（如果需要） 1512/TCP, 1512/UDP WINS 複製（如果需要） 42/TCP, 42/UDP 「RPC 動態分配」規則是造成這種方案不安全的原因。該規則有時稱為「TCP 高連接埠」，它要求准許入站通信從任何高於 1023 的連接埠通過。如果防火牆允許這樣做，那這個防火牆也就沒有存在的必要了。如果不想讓 DNS 或 WINS 通過，則可用 HOSTS（用於 DNS）和 LMHOSTS（用於 WINS）文件進行名稱解析。這些文件存儲於 %SystemRoot%\system32\drivers\etc。可檢視這些文件，以瞭解如何使用它們。 RPC 工作原理每項 RPC 服務都會在註冊表中為自己配置一個通用的唯一標識名 (UUID)（類似於全局唯一標識名 GUID）。 UUID 是一種常用標識名，各項服務都有一個唯一的 UUID，且在所有平台上通用。當一項 RPC 服務啟動時，它會獲得一個可用的高連接埠，並以其 UUID 在該連接埠註冊。有些服務隨機使用高連接埠；而有些服務卻每次都盡量使用相同的高連接埠（如果這些高連接埠可用）。在服務的生存期內，連接埠的分配是靜態的。當一個客戶端要與某特定 RPC 服務通訊時，它無法事先確定該服務在哪個連接埠上執行。該客戶端會先建立一個到伺服器連接埠映射器服務（在 135 上）的連接，並利用該服務的 UUID 請求所需服務。連接埠映射器會將相應的連接埠號返回給客戶端，然後關閉連接。最後，客戶端利用連接埠映射器提供的連接埠號，新增一個到該伺服器的連接。由於事先無法獲悉 RPC 服務將使用哪個連接埠，因此防火牆不得不允許所有高連接埠通過。有限的 RPC 優點缺點僅開放一個高連接埠，比動態 RPC 更安全修改所有伺服器的註冊表這種方法更安全，但卻需要修改所有域控制器的註冊表。可以通過用 Microsoft ® Windows ® 2000 資源工具包中的工具編寫指令碼這種方式來修改註冊表，這樣可避免出現配置錯誤。必須為 RPC 複製確定一個類BIOS的連接埠號。Internet Assigned Numbers Authority (IANA) 規定將 49152 - 65535 之間的數字用於專用和動態分配。使用註冊表編輯器，定位到該註冊表項： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\ 新添一個名為 TCP/IP Port（包括空格）的 DWORD 值。將該值的資料設為所需的連接埠號。輸入資料前，切記將所顯示的數字改為十進制值。對所有 Active Directory 伺服器執行此操作。要使更改生效，必須重啟這些伺服器。然後，配置防火牆，使其允許：服務連接埠/傳輸協定 RPC 終結點映射器 135/TCP, 135/UDP NetBIOS 名稱服務 137/TCP, 137/UDP NetBIOS 資料文報服務 138/UDP NetBIOS 會話服務 139/TCP 用於 AD 複製的 RPC 靜態連接埠 <fixed-port>/TCP IP 上的 SMB (Microsoft-DS) 445/TCP, 445/UDP LDAP 389/TCP SSL 上的 LDAP 636/TCP 全局編錄 LDAP 3268/TCP SSL 上的全局編錄 LDAP 3269/TCP Kerberos 88/TCP, 88/UDP DNS 53/TCP, 53/UDP WINS 解析（如果需要） 1512/TCP, 1512/UDP WINS 複製（如果需要） 42/TCP, 42/UDP 用註冊表值中的連接埠號替換 <fixed-port>。如前所述，如果不想讓 DNS 或 WINS 通過，可用 HOSTS（用於 DNS）和 LMHOSTS（用於 WINS）文件進行名稱解析。這些文件存儲於 %SystemRoot%\system32\drivers\etc。可檢視這些文件，以瞭解如何使用它們。該方法仍需要使用終結點映射器，因為客戶端無從知道您已給出類BIOS的連接埠。當客戶端請求與 Active Directory 的 RPC UUID 相關聯的連接埠號時，終結點映射器總是返回所設定的類BIOS連接埠。下面是一些可匯入註冊表的文本。這些文本將連接埠設為 49152。請將其複製到記事本，再貼上到空白的「記事本」螢幕中，然後將該檔案以 .REG 副檔名儲存，再在 Windows 檔案總管中雙按該檔案。如果要使用其它連接埠，請使用 Windows 計算器（科學型）將該值由十進制轉換為十六進位。切記，應在該值前填入 4 個 0，如下例所顯示： Windows 註冊表編輯器 5.00 版 [HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \NTDS \Parameters] "TCP/IP Port"=dword:0000c000 封裝於 IPSec 內優點缺點提供的防火牆最安全在所有伺服器上配置 IPSec 原則域控制器間相互驗證如果需要，可以設定個性化原則需要時，是佈署公鑰結構 (PKI) 的極好理由 IPSec 為輕鬆封裝 RPC 通信並攜帶這種通信穿過防火牆提供了一個好方法。 IPSec 不但簡化了 RPC 傳輸，而且因其具有相互驗證功能，從而提高了域控制器間的安全性：通過使用 Kerberos 或機器證書，域控制器可以在真正交換信息前就「知道」將與誰通訊。本文向您介紹如何利用 Microsoft Management Console (MMC) 接頭來新增相應的 IPSec 原則。Windows 2000 資源工具包提供了一種工具：IPSECPOL.EXE，可通過用它編寫指令碼的方式來新增原則。在準備使用該工具前，一定要通讀 IPSECPOL.EXE 我的文件，並全面理解其內容。因為 IPSECPOL.EXE 與圖形用戶接頭 (GUI) 不同，這個指令行工具幾乎沒有內裝一致性檢查。著手新增原則前，必須先決定：是用證書進行 IPSec 驗證，還是用 Windows 2000 內裝的 Kerberos2。Kerberos 驗證要求兩台電腦均處於同一個域中。所以，若要用 Kerberos，就不能在域昇級階段 (DCPROMO) 使用 IPSec，因為此時目標伺服器尚不是該域的成員。而點對點隧道傳輸協定 (PPTP) 的隧道適用於這種情況，本文將加以介紹。如果不用 Kerberos，而是用證書進行驗證，則必須使每個參與 IPSec 複製的域控制器都獲得一個證書。 http://www.microsoft.com/windows2000/library/ 中的我的文件，介紹了如何建立 Windows 2000 證書頒發機構，以及如何為機器證書的自動登記配置域，請參閱這些我的文件。若要進行 IPSec 複製和 IPSec 或 PPTP 昇級，請配置防火牆，使其允許：服務連接埠/傳輸協定 DNS 53/TCP, 53/UDP PPTP 的建立（如果使用 PPTP） 1723/TCP GRE，一般路由封裝（如果使用 PPTP） IP 傳輸協定 47 Kerberos3 88/TCP, 88/UDP IKE，Internet 密鑰交換 500/UDP IPSec ESP，封裝的安全有效負載 IP 傳輸協定 50 IPSec AH，已驗證的標頭 IP 傳輸協定 51 請注意，IPSec 不通過網路位址轉換 (NAT) 設備起作用。由於 IPSec 在計算資料包校驗值時使用 IP 位址，所以，如果 IPSec 資料包的源位址是由 NAT 更改的，那麼這些 IPSec 資料包會在到達目的地時被丟棄。通過 PPTP 隧道昇級域控制器如果在昇級階段選用 PPTP 隧道，則必須在內部網路中配置路由和遠端訪問 (RRAS)。RRAS 既可以在內部域控制器上執行，也可以在單獨的伺服器上執行。為簡便起見，RRAS 伺服器最好與根域控制器位於同一子網中，這樣就不必進行靜態路由維護了。配置 RRAS： • 選項「開始」、「程序」、「系統管理工具」、「路由和遠端訪問」。 • 用滑鼠右鍵按下左側面板中的伺服器，然後按下「配置並啟用路由和遠端訪問」。 RRAS 設定嚮導即會啟動。 • 按下「手動配置伺服器」。路由和遠端訪問嚮導。 • 完成該嚮導，並在嚮導提示時啟動服務。按下伺服器名稱旁的 "+" 後，MMC 應如下顯示：配置並啟動後的RRAS。配置並啟動 RRAS 後，請進行以下更改： • 用滑鼠右鍵按下伺服器，然後按下「內容」。按下「IP」選擇項，再按下「靜態位址池」。鍵入一個 IP 位址範圍，該範圍應與內部域控制器處於同一子網中。只需要幾個位址（可能是 9 個）。關閉所有對話視窗。伺服器內容，IP 位址分配。 • 用滑鼠右鍵按下「連接埠」（MMC 的左側面板），然後按下「內容」。配置「直接並行」，使其既不允許遠端訪問，也不允許請求型撥號連接；如果伺服器裝有調製解調器（如下例所顯示），則可進行類似配置。配置「請求撥號 (L2TP)」，使連接埠數為 0，並且既不允許遠端訪問，也不允許請求型撥號連接。除非需要五個以上連接埠，否則不必對「請求撥號 (PPTP)」進行任何更改。關閉所有對話視窗。連接埠內容。現在，RRAS 已準備好接受入站 PPTP 連接，進行域控制器昇級。在將 DMZ 或外部伺服器昇級為域控制器之前，應首先建立到內部 RRAS 伺服器的 PPTP 隧道。開啟「網路芳鄰」的「內容」頁，然後按下「新增連接」。在嚮導中： • 按下「通過 Internet 連線到專用網路」。 • 不撥任何初始連接。 • 鍵入內部 RRAS 伺服器的 IP 位址作為目標位址。 • 將連接的可用性設為「所有用戶使用此連接」。 • 不共享此連接。 • 按需要命名此連接。連接對話視窗即會開啟。連接前，請先按下「內容」按鈕。按下「選項」選擇項，再按下「包含 Windows 登入域」。然後關閉該對話視窗。現在，用企業管理員憑據（根域的管理員）登入到 RRAS 伺服器。伺服器完成連接後，即可啟動 DCPROMO。該程序結束時，DCPROMO 會要求重啟；同時中斷連線與 PPTP 隧道的連接。因為不再需要該隧道，所以可刪除該連接。通過 IPSec 和機器證書昇級域控制器只要符合下列任何一種情況，即可考慮使用該方法： • 不想使用 PPTP 進行昇級。 • 不想讓 Kerberos 穿過防火牆。 • 正在找理由佈署 PKI。必須在域控制器上安裝證書，這樣它們才能執行 IPSec 驗證。所有證書均需要有同一個證書頒發機構的簽名。 Windows 2000 具有一個「請求註釋」（RFC 相容）證書頒發機構 (CA)，能很好地滿足這種要求。可以利用群組原則對域進行配置，使其自動登記成員電腦的機器證書。雖然 IPSec 可以處理來自任何 CA 的證書，但自動登記要求的是 Windows 2000 CA。如果已擁有一個 PKI，則可以通過頒發 CA 將 Windows 2000 CA 配置為從屬 CA。詳細資料，請參閱本我的文件及以前介紹過的演練。如果決定採用這種方法，還可以選項將 Kerberos 通信包括在 IPSec 中。有些通信類型通常不經由 IPSec 傳輸模式處理： • 廣播 - IPSec 篩選器無法對其進行分類，因為發件人僅認識部分收信者。 • 多路廣播 - 與廣播相同。 • 資源保留傳輸協定 (RSVP)，IP 傳輸協定 46 - 肯定不應該經過處理，只有這樣才能標記服務品質；但 RSVP 資料包內可以攜帶 IPSec 資料包。 • Internet 密鑰交換 (IKE) - IPSec 用 IKE 建立安全參數，並執行密鑰交換。 IKE 協商已進行了必要的加密。 • Kerberos - 本機 Windows 2000 驗證傳輸協定，IPSec 還用它進行電腦驗證。Kerberos 本身已經很安全了。即便 IPSec 篩選器可能指定兩台電腦間的所有通信均應進行封裝，但上述類型的通信仍會免於處理。 Windows 2000 Service Pack 1 中提供了一個註冊表項，可在某種程度上更改這種設定。使用註冊表編輯器，並定位到： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC\ 新增加一個名為 NoDefaultExempt 的雙字元值 (DWORD)，並將其設為 1。可以為下列值： 0: 預設的免於處理適用 1: Kerberos 和 RSVP 均接受 IPSec 處理將某電腦昇級為域控制器（並因而成為該域的成員）後，最好將 Kerberos 包含在 IPSec 中。但如果要昇級為域控制器的電腦尚不是域成員，則不能使用 Kerberos 建立 IPSec。必須使用其它形式的驗證，這正是使用機器證書的原因所在。可以將下列文本匯入註冊表。這些文本會將 NoDefaultExempt 的值設為 1。請將這些文本複製到記事本，再貼上到空白的「記事本」螢幕中，然後將該檔案以 .REG 副檔名儲存，再在 Windows 檔案總管中雙按該檔案。 Windows 註冊表編輯器 5.00 版 [HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \IPSEC] "NoDefaultExempt"=dword:00000001 請在理解這段內容後，再繼續閱讀本文。如果決定採用該方法，則執行 DCPROMO 之前，還必須按順序執行下節「針對域控制器間的通訊配置 IPSec 傳輸模式」中的所有步驟。順序為： 1. 若要在 IPSec 處理程序中包含 Kerberos，則需要增加上述註冊表項。 2. 安裝證書頒發機構。 3. 獲得所有現有域控制器的證書及所有候選域控制器的機器證書。 4. 執行「針對域控制器間的通訊配置 IPSec 傳輸模式」一節中的步驟。 5. 在候選域控制器上執行 DCPROMO。 6. 全部完成 - 一切就緒，利用現有 IPsec 配置進行複製。兩種昇級方法的比較以下是上述兩種方法的區別： PPTP 隧道 • 方便快捷。 • 要求防火牆准許 Kerberos。 • 要求防火牆准許 PPTP。 • 將昇級與複製功能分開 - 先配置 PPTP 進行昇級，然後再配置 IPSec 進行複製。具有電腦證書的 IPSec • 提供佈署 PKI 的好理由。 • 允許將 Kerberos 包括在 IPSec 處理程序中。 • 通過防火牆的傳輸協定更少 - 沒有 PPTP，也可能沒有 Kerberos。 • 昇級與正在進行的複製一步完成。雖然很難講以上兩種方法孰優孰劣，不過，具有電腦證書的 IPSec 可能是一種「更有遠見」的方法，尤其在大多數服務機構都打算佈署某種 PKI 的情況下，更是如此。針對域控制器間的通訊配置 IPSec 傳輸模式現在可以在所有域控制器上配置原則，以便利用 IPSec 傳輸模式相互通訊了。使用這種配置時，必須只允許 IPSec 及其相關傳輸協定穿過防火牆。這種配置非常簡單，也更容易支持。請注意，這並非新增 IPSec 隧道。而是利用 IPSec 傳輸模式 - 端到端 IPSec，來保證伺服器間會話的安全。在每個域控制器上，都必須新增用於複製的 IPSec 原則，以及相應的 IP 篩選器列表和篩選器操作。選項「開始」、「程序」、「系統管理工具」、「本機安全原則」。本機安全性設定。接著，按下「本機電腦上的 IP 安全原則」（位於 MMC 的左側面板）。即會顯示預設原則，可在此增加一個用於複製的新原則。但必須先新增篩選器列表和篩選器操作。篩選器列表表明了哪些 IP 位址、連接埠和傳輸協定觸發 IPSec 的套用。現在，您只需保證域控制器間所有通信的安全，而無需保護域控制器與其它電腦之間通信的安全。在 MMC 的右側面板中按下滑鼠右鍵，然後按下「管理 IP 篩選器表和篩選器操作」。即會自動定位到「管理 IP 篩選器列表」選擇項。篩選器列表只是一個篩選器列表；您應該為每個參與複製的伺服器新增一個篩選器。也就是說，只需要一個篩選器列表，而該列表包含了所有域控制器的篩選器。 IP 篩選器列表和篩選器操作，篩選器列表選擇項。要新增一個篩選器列表，請按下「增加」按鈕。將該篩選器列表命名為「DC 複製」。然後按下「增加」按鈕，新增一個篩選器，並按照以下步驟完成嚮導： • 選項「我的 IP 位址」作為源位址。 • 選項「一個特定的 IP 位址」作為目標位址，然後鍵入其它伺服器的 IP 位址。 • 選項「任意」作為傳輸協定類型。這會將篩選器配置為兩台電腦間的所有通信均攜帶在 IPSec4 中。域控制器複製篩選器列表。給其餘域控制器增加其它篩選器。完成後，關閉對話視窗。接著，需要定義一個篩選器操作。按下「管理篩選器操作」選擇項，然後按下「增加」按鈕新增一個操作。在嚮導中： • 將操作命名為「DC 複製」。 • 按下「協商安全」。 • 按下「不與不支持 IPSec 的電腦通訊」。 • 按下「高（封裝的安全有效負載）」。 • 選「編輯內容」複選框（需要以後進行更改）。 • 按下「完成」按鈕。在「內容」對話視窗中，清除「接受不安全的通訊，但總是用 IPSec 回應」旁的複選框。您肯定不希望伺服器對不安全的通訊做出回應。當然，該設定只套用於那些位於相應 IP 篩選器列表中的電腦；您即刻就會將該篩選器列表和篩選器操作與某個原則相連結。關閉所有對話視窗。域控制器複製篩選器操作。現在，已經為新增 IPSec 原則做好準備。在 MMC 的右側面板中按下滑鼠右鍵，然後按下「新增 IP 安全原則」。在嚮導中： • 將原則命名為「域控制器複製」。 • 清除「啟動預設回應規則」。 • 驗證「編輯內容」複選框已被選，然後關閉嚮導。現在，原則已經存在，但不包含規則。域控制器複製 IPSec 原則。與以前新增的篩選器列表和篩選器操作建立關聯，從而新增一條規則。按下「增加」按鈕定義新規則。在嚮導中： • 選「此規則不指定隧道」。 • 選「區域網路 (LAN)」作為網路類型。選項一種驗證方法 -- o 如果將 PPTP 隧道用於 DCPROMO，則應選「Windows 2000 預設值(Kerberos V5 傳輸協定)」。或 o 如果用的是證書，則選「使用由此證書頒發機構 (CA) 頒發的證書:」。然後按下「瀏覽」，並選項頒發了電腦所裝機器證書的證書頒發機構。 • 您將會看到一列 IP 篩選器列表。從此列表中選項以前新增的篩選器列表「DC 複製」。 • 還會看到一列篩選器操作。從此列表中選項以前新增的篩選器操作「DC 複製」。 • 不編輯其內容。完成該嚮導。現在，您的原則類似於下圖（如果選用了該方法，則「身份驗證」列會標明「證書」）。已完成的域控制器複製原則。最後，必須啟用（即指派）該原則。 • 用滑鼠右鍵按下「DC 複製」原則。 • 按下「指派」。圖 11 指派域控制器原則。會立即進行 IPSec 處理。而不必重啟伺服器。每個域控制器都需要類似的 IPSec 原則。無論控制器位於內部網路、DMZ 還是外部網路，都必須為其配置 IPSec 原則，使其與其它所有域控制器的所有通訊都經由 IPSec。這樣，不僅使知識一致性檢查器得以建立一個忽略防火牆的複製拓撲，還可確保各個伺服器間所有 IPSec 複製的安全。測試 IPSec 原則。確定要測試的原則已經新增。在新增某原則，並將其至少指派給兩台電腦以後，即可用 IPSECMON.EXE 工具觀察電腦何時建立 IPSec 安全關聯： • 開啟一個指令視窗。 • 發佈指令 ipsecmon。即會啟動一個圖形化工具，列出當前的安全關聯，以及有多少已驗證和/或已加密的通信通過了該伺服器。（除非域控制器已開始進行信息交換，否則目前可能沒有任何系統管理員權限。） • 按下「選項」按鈕，然後將重新整理頻率改為 1 秒。 • 返回到命令提示字元， ping 另一個同樣具有 IPSec 原則的域控制器。用 -t 標誌繼續 ping，直到停止 (ping -t ip-address)。 • 檢視幾個「協商 IP 安全」回應 - 電腦正交換密鑰，並建立其安全關聯。最後，將看到正常的回復。建立雙向安全關聯可能需要 10 到 12 秒的時間。 • 按 Ctrl +C 停止建立關聯。進一步鎖定 DMZ 中的 DC 支持電子商務和外部網路連接的網路，可能需要將域控制器置於 DMZ 中。儘管最初這可能會帶來安全隱患，但 IPSec 同樣可說明解決該問題。可以利用 IPSec 規則的許可/阻止功能，新增完善的資料包篩選器。請參閱我的文件「Using IPSec to Lock Down a Server」，網址為： http://www.microsoft.com/ISN/Columnists/P66703.asp。可結合本文信息及參考我的文件中的方法，新增一種 IPSec 原則，該原則可以只確保域控制器間通訊的安全，而阻止其它任何通訊到達 DMZ 中的域控制器。此種 IPSec 用法的合法性儘管 IPSec 的設計者可能未預見到這一問題，但該傳輸協定的確已成為封裝複雜通信、使其在網路間安全傳輸的極好方法。 Windows 2000 IPSec 原則引擎可用於新增極其完善的規則，以指定主機間所許可的、阻止的或受到保護的通信。本文中，我們利用它保護已知主機（特定的域控制器）間所有通信的安全，同時准許這些主機間的其它通信往來。有關 Windows 2000 IPSec 的詳細資料以及 Windows 2000 的其它安全功能，請參閱 http://www.microsoft.com/windows2000...gies/security/ 和 http://www.microsoft.com/technet/security/。 1 TCP 用來進行區域複製以及每當其回復超過 512 字元時。 2 本文不討論使用預共享密鑰。Windows 2000 包含預共享密鑰驗證，僅是為了與其它 IPSec 實現方式相容，並符合 IPSec RFC。鑒於共享式機密樣式驗證所帶來的固有不安全因素，我們堅決反對在產品環境中使用預共享密鑰。 3 如果決定使用證書進行 IPSec 驗證而不是使用 Kerberos，則可以配置伺服器，允許在 IPSec 內部攜帶 Kerberos 通信。以後的文章中將詳細介紹有關內容。無論採用何種驗證模式，域控制器之間都需要 Kerberos。 4 即那些不經 IPSec 處理的通信之外的所有通信（如前所述）。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次