Réplication d'Active Directory avec des pare-feux (fr-FR)
Cet article est basé sur un article paru dans la bibliothèque TechNet de Microsoft et est présenté ici pour permettre à ceux à l'extérieur de Microsoft qui sont intéressés et compétents sur le sujet de l'améliorer.
Des directives plus récentes concernant la réplication d'Active Directory dans Windows Server 2008 est dans l'article Active Directory Domain Services in the Perimeter Network (Windows Server 2008) (en-US).
Les plus récentes directives sur les limites de support Microsoft pour l'utilisation d'Active Directory avec traduction d'adresses réseau (NAT) sont à http://support.Microsoft.com/default.aspx?scid=kb ;EN-US; 978772 .
Des informations plus récentes sur les exigences de ports réseau pour Windows Server System sont à http://support.microsoft.com/kb/832017
Introduction
Les pare-feu présentent deux difficultés lors du déploiement d'une architecture de service d'annuaire d'Active Directory (AD) :
Tout d'abord de promouvoir un serveur à un contrôleur de domaine.
Trafic de réplication entre les contrôleurs de domaine.
Active Directory s'appuie sur l'appel de procédure distante (RPC) pour la réplication entre les contrôleurs de domaine. (SMTP simple Mail Transfer Protocol [] peuvent être utilisé dans certaines situations, schéma, configuration et réplication du catalogue global, mais pas dans le contexte de nommage domaine — limitation de son utilité.) Pour fonctionner correctement dans des environnements où une forêt est distribuée entre les réseaux de périmètre interne, et les réseaux externes (c'est-à-dire, via Internet) il peut être difficiles de faire la réplication. Il y a trois approches possibles :
Ouvrez le pare-feu largement pour permettre le comportement dynamique natif du RPC.
Limiter l'utilisation de ports TCP du RPC et ouvrir le pare-feu juste un petit peu.
Encapsuler le trafic de domaine contrôleur (DC-à-DC) à l'intérieur du protocole de sécurité IP (IPSec) et ouvrir le pare-feu pour cela.
Chaque méthode a ses avantages et inconvénients. En général, il y a plus d'inconvénients que d'avantages en haut de la liste et plus d'avantages que d'inconvéniants au bas. Bien que ce document décrit comment faire tous les trois points, l'accent est basée sur l'approche IPSec en raison de ses avantages sur les deux autres.
RPC dynamique complet
Avantages |
Inconvéniants |
|---|---|
Aucune configuration spéciale de serveur |
Transforme le pare-feu en « Fromage suisse » |
|
Connexions entrantes au hasard sur les ports haut |
|
Configuration du pare-feu non sécuritaire |
Bien qu'il est certainement possible de configurer votre environnement pour travailler de cette façon, il y a beaucoup de raisons de ne pas le faire — et surtout — il en résulte un réseau non sécurisé. Cependant, elle exige le moins de travail de configuration.
Pour activer la réplication sur RPC dynamique, configurer votre pare-feu afin de permettre ce qui suit.
Service |
Port/protocole |
|---|---|
Mappeur de point final RPC |
135/tcp, 135/udp |
Basic input/output system (NetBIOS) service de nom de réseau |
137/tcp, 137/udp |
Service de datagramme NetBIOS |
138/udp |
Service de session NetBIOS |
139/tcp |
Affectation dynamique RPC |
1024-65535/tcp |
Bloc de message serveur (SMB) sur IP (Microsoft-DS) |
445/tcp, 445/udp |
Lightweight Directory Access Protocol (LDAP) |
389/tcp |
Ping LDAP |
389/udp |
LDAP sur SSL |
636/tcp |
Catalogue global LDAP |
3268/tcp |
Catalogue global LDAP sur SSL |
3269/tcp |
Kerberos |
88/tcp, 88/udp |
Service de nom de domaine (DNS) |
53/tcp1, 53/udp |
| 1 | TCP est utilisé pour les transferts de zone et chaque fois que les réponses aux questions de dépassent 512 octets. |
Pour une référence d'exigences de port de Windows, consultez :
Présentation du Service et réseau 832017 port exigences pour le système Windows Server
http://support.Microsoft.com/default.aspx?scid=kb ;EN-US; 832017
C'est la règle « Affectation dynamique RPC » qui rend ce scénario non sécuritaire. Parfois appelé « Les ports TCP élevés », la règle doit autoriser le trafic entrant sur n'importe quel port au-dessus de 1024. Si votre pare-feu permet cela, il y a très peu de raison même d'avoir un pare-feu.
Si vous ne souhaitez pas autoriser les DNS ou WINS, vous pouvez utiliser des hôtes (DNS) et les fichiers LMHOSTS (pour WINS) pour la résolution de noms. Ces fichiers sont stockés dans %SystemRoot%\system32\drivers\etc. Regarder dans les fichiers pour de plus amples informations sur la façon de les utiliser.
Comment fonctionne le RPC
Le service RPC est configuré dans le registre avec un identificateur unique universel (UUID) (semblable à un identificateur global unique [GUID]). UUID sont des identificateurs connus, uniques pour chaque service et communs sur toutes les plateformes. Lorsqu'un service RPC commence et il ne demande pas un port spécifique au démarage, il obtient un port élevé libre et enregistre ce port avec l'UUID. L'affectation du port est statique pour la durée de vie du service.
Lorsqu'un client souhaite communiquer avec un service RPC donné, il ne peut pas déterminer à l'avance quel port le service s'exécute la plupart du temps. Certaines interfaces RPC documente une terminaison connu (port) qu'ils utilisent. Cela n'est pas fait pour l'une des interfaces RPC utilisés par AD.
Ainsi, il établit une connexion au service de mappeur de port du serveur (sur 135) et demande le service, qu'il veut à l'aide UUID du service. Le portmapper renvoie le numéro de port correspondant au client et ferme la connexion. Enfin, le client effectue une nouvelle connexion au serveur en utilisant le numéro de port, qu'il a reçu du portmapper.
Parce qu'il est impossible de savoir à l'avance quel port un service RPC utilisera, le pare-feu doit permettre à tous les ports élevés de passer.
RPC limitée
Avantages |
Inconvéniants |
|---|---|
Plus sûre que la RPC dynamique — qu'un seul port haut ouvert |
Modification du Registre sur tous les serveurs |
| Les attaquants peuvent utiliser ce port ouvert une fois qu'ils l'ont identifié |
Ce scénario vous donne plus de sécurité, mais cela exige de faire des modifications de registre sur tous vos contrôleurs de domaine. Les modifications du Registre peuvent être scriptées avec des outils comme reg.EXE, qui aide à élimine les erreurs de configuration.
Vous devez décider sur des numéros de port fixe pour la réplication de l'AD et du service de réplication de fichiers SYSVOL (FRS ou DFSR). L'Internet Assigned Numbers Authority (IANA) a annulé la plage 49152 à 65535 pour l'utilisation des affectations dynamiques et privées.
À l'aide de l'éditeur du Registre, accédez à cette clé de Registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\
Ajoutez une nouvelle valeur DWORD appelée TCP/IP Port (inclure l'espace). La valeur va etre le numéro de port que vous souhaitez utiliser (n'oubliez pas de changer la base affichée en décimal, avant d'entrez les données).
Pour le Service de réplication de fichiers, accédez à cette clé de Registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\
Ajoutez une nouvelle valeur DWORD appelée RPC TCP/IP Port Assignment (y compris les espaces). La valeur est le numéro de port que vous souhaitez utiliser (n'oubliez pas de changer la base affichée en décimal, avant d'entrez les données).
Le Service de réplication de Services de fichier distribué comprend l'outil de ligne de commande Dfsrdiag.exe. Dfsrdiag.exe peut définir le serveur de port RPC qui est utilisé pour l'administration et de la réplication. Pour utiliser Dfsrdiag.exe pour définir le port RPC serveur, suivez cet exemple :
Dfsrdiag StaticRPC /port : nnnnn /Member : Branch01.sales.contoso.com
Dans cet exemple, nnnnn représente un seul port RPC statique que DFSR utilisera pour la réplication. Branch01.sales.contoso.com représente le nom DNS ou NetBIOS de l'ordinateur membre cible. Si aucun membre n'est spécifié, Dfsrdiag.exe utilise l'ordinateur local.
A faire sur tous vos serveurs d'Active Directory. Dans Windows 2000 et 2003, vous devez redémarrer le serveur pour que le paramètre « NTDS » soit prit en compte. Dans Windows 2008 et plus récents, il suffit de redémarrer le service « Active Directory Domain Services ». Ce servcie va aussi redémarrer NTFRS qui est utilisé pour SYSVOL. Vous devez toujours redémarrer manuellement le service de « DFS Replication ».
Maintenant configurer votre pare-feu afin de permettre ce qui suit.
Service |
Port/protocole |
|---|---|
Mappeur de point final RPC |
135/tcp, 135/udp |
Service de nom NetBIOS |
137/tcp, 137/udp |
Service de datagramme NetBIOS |
138/udp |
Service de session NetBIOS |
139/tcp |
Port statique de RPC pour la réplication de l'AD |
/TCP < AD-fixe-port > |
Port statique de RPC pour FRS ou |
/TCP < FRS-fixe-port > |
Port statique de RPC pour la réplication DFS |
/TCP < DFSR-fixe-port > |
SMB sur IP (Microsoft-DS) |
445/tcp, 445/udp |
LDAP |
389/tcp |
Ping LDAP |
389/udp |
LDAP sur SSL |
636/tcp |
Catalogue global LDAP |
3268/tcp |
Catalogue global LDAP sur SSL |
3269/tcp |
Kerberos |
88/tcp, 88/udp |
DNS |
53/tcp, 53/udp |
Remplacer < AD-fixe-port >, < FRS-fixe-port > et /TCP < DFSR-fixe-port > avec les numéros de port que vous avez utilisé les valeurs de Registre.
Comme avant, si vous ne souhaitez pas autoriser les DNS ou WINS, vous pouvez utiliser des hôtes (DNS) et les fichiers LMHOSTS (pour WINS) pour la résolution de noms. Ces fichiers sont stockés dans %SystemRoot%\system32\drivers\etc. Regarder dans les fichiers pour de plus amples informations sur la façon de les utiliser.
Vous avez toujours besoin du mappeur de point final, car les clients ne peuvent savoir que vous avez configuré les ports. Le mappeur de point de terminaison retourne toujours vos ports fixes lorsque les clients demandent les numéros de port associés à l'UUID de l'AD et le RPC du FRS.
Vous devez choisir un port pour l'AD et le service FRS RPC qui sort de l'allocation de port standard de la pile TCP/IP et de prendre un port qui n'est pas couramment utilisé. Pour Windows 2008 et plus récents, choisissez une gamme inférieure à 49152 et créer une liste contenant les ports et le service qui y sont assignés à (port du serveur AD, port FRS, port de DFS-R, app x port de service, …). Les gens de la sécurité de votre réseau peuvent déjà avoir une telle liste, donc leur demander de vous donner les ports dont vous avez besoin. Par exemple, les ports, qu'ils vous donnent sont 34223, 34224 et 34225 (en hexadécimal 85AF, 85B0 et 85B1). Créer un fichier reg à partir de ce texte alors : Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]"TCP/IP Port"=dword:000085AF[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters]
"RPC TCP/IP Port Assignment"=dword:000085B0
Ensuite utiliser: «dfsrdiag StaticRPC /port:34225 /Member : Branch01.sales.contoso.com [Haut de page
Pare-feu de filtrage UUID RPC
Avantages |
Inconvéniants |
|---|---|
Plus sûre que la RPC dynamique — qu'un seul port haut ouvert |
Demande de client du moment peuvent provoquer des erreurs sporadiques |
| Seules les interfaces autorisés par l'admin Firewall traverseront le pare-feu |
Une nouvelle classe de pare-feu est disponible où les administrateurs peuvent spécifier les interfaces RPC qui sont autorisés sur le réseau. Le pare-feu permettrait de surveiller les réponses et les demandes de mappeur de point de terminaison RPC. Lorsqu'une demande est accueillie et l'interface est autorisée, elle créerait une entrée de table des serveurs connus et permettent la session RPC et lier les demandes qui est censé se passer en une fraction de seconde.
Lorsque le partenaire se connecte maintenant vers le port, le pare-feu le permet en ce basant sur la précédente demande du mappeur de point de terminaison.
Vous devez toujours ouvrir quelques ports bien connus :
Service |
Port/protocole |
|---|---|
Mappeur de point final RPC |
135/tcp, 135/udp |
Service de nom NetBIOS |
137/tcp, 137/udp |
Service de datagramme NetBIOS |
138/udp |
Service de session NetBIOS |
139/tcp |
SMB sur IP (Microsoft-DS) |
445/tcp, 445/udp |
LDAP |
389/tcp |
Ping LDAP |
389/udp |
LDAP sur SSL |
636/tcp |
Catalogue global LDAP |
3268/tcp |
Catalogue global LDAP sur SSL |
3269/tcp |
Kerberos |
88/tcp, 88/udp |
DNS |
53/tcp, 53/udp |
La liste des interfaces RPC utilisés par Active Directory :
| Nom | UUID | Comon |
| MS NT Directory DRS Interface | e3514235-4b06-11D1-ab04-00c04fc2dcd2 | Réplication de l'AD |
| MS NT Directory Interface NSP | f5cc5a18-4264-101A-8c59-08002b2f8426 | Carnet d'adresses Outlook, facultatif |
| LSA RPC | 12345778-1234-ABCD-ef00-0123456789ab | Autorité de sécurité locale |
| Netlogon | 12345678-1234-ABCD-ef00-01234567cffb | Ouverture de session distante |
| SAM RPC | 12345778-1234-ABCD-ef00-0123456789ac |
Gestionnaire de comptes de sécurité |
| Interface de sauvegarde NTDS | ecec0d70-A603-11D0-96b1-00a0c91ece30 | Sauvegarde AD, facultatif |
| ATN rétablir l'Interface | 16e0cf3a-A604-11D0-96b1-00a0c91ece30 | Restauration AD, facultative |
| Service de réplication de fichiers | f5cc59b4-4264-101A-8c59-08002b2f8426 | Réplication FRS |
| Réplication de fichiers API | d049b186-814f-11D1-9a3c-00c04fc9b232 | Administration FRS |
| Service de réplication DFS | 897e2e5f-93f3-4376-9c9c-fd2277495c27 | Interface de DFS-R |
Vous pouvez combiner cette approche avec « RPC limitée ». Avec cette combinaison, vous pouvez modifier le port du serveur sur une base régulière pour ajouter une sécurité supplémentaire sans avoir besoin de reconfigurer les pare-feu.
Encapsulation IPSec
Avantages |
Inconvéniants |
|---|---|
Fournit la meilleure sécurité de pare-feu |
Configuration de la stratégie IPSec sur tous les serveurs |
Politiques individualisées, si nécessaire |
Votre équipe de pare-feu Admin peut ne pas etre passionné de tunnels |
Bonnes raisons de commencer le déploiement d'une infrastructure à clé publique (PKI), si vous le souhaitez |
|
IPSec fournit un moyen d'encapsuler facilement et de transporter le trafic RPC sur un pare-feu. En plus de simplifier le transport de la RPC, IPSec augmente aussi la sécurité entre les contrôleurs de domaine en raison de la caractéristique de l'authentification mutuelle de IPSec: à l'aide soit de Kerberos ou des certificats d'ordinateur, les contrôleurs de domaine « sauront » avec qui ils communiquent avant que toute échange d'informations se produise.
Ce document vous montre comment créer une stratégie IPSec appropriée à l'aide de l'interface de la Console de gestion Microsoft (MMC). Vous pouvez crée un script de création de politique avec IPSECPOL.EXE, un outil disponible dans le Kit de ressources Windows 2000. Veillez à bien lire et à comprendre la documentation d'IPSECPOL.EXE avant que vous essayez de l'utiliser — contrairement à l'interface graphique, l'outil en ligne de commande a très peu de vérification de cohérence.
Une décision que vous devez faire avant de commencer, s'il faut utiliser des certificats pour l'authentification IPSec ou intégré Kerberos de Windows 2000. L'authentification Kerberos exige que les deux ordinateurs soient déjà dans le même domaine, donc si vous préférez Kerberos, puis vous devez utiliser quelque chose d'autre que IPSec pour la phase de promotion d'un contrôleur de domaine (DCPROMO) (parce que le serveur cible n'est pas encore un membre du domaine). Les tunnels Point à Point Tunneling Protocol (PPTP) fonctionnent bien pour cela et sont documentés ici. Si vous souhaitez plutôt utiliser des certificats pour l'authentification, vous devez obtenir un certificat pour chaque contrôleur de domaine qui participera à la réplication de IPSec. Veuillez consulter http://www.microsoft.com/windows2000/library/ pour les documents qui décrivent comment créer une autorité de certification Windows 2000 et comment faire pour configurer votre domaine pour l'inscription automatique des certificats d'ordinateur.
Pour la réplication de IPSec et pour la promotion IPSec ou PPTP, configurez votre pare-feu afin de permettre ce qui suit.
Service |
Port/protocole |
|---|---|
DNS |
53/tcp, 53/udp |
Création de PPTP (si utilisant PPTP) |
1723/tcp |
GRE, encapsulation routage générique (si utilisant PPTP) |
Protocole IP 47 |
Kerberos |
88/tcp, 88/udp |
IKE Internet Key Exchange |
500/udp |
IPSec ESP, encapsulated security payload |
Protocole IP 50 |
IPSec AH, en-tête authentifié |
Protocole IP 51 |
| 1 | Si vous décidez d'utiliser des certificats pour l'authentification IPSec au lieu de Kerberos, vous pouvez configurer les serveurs de transporter le trafic Kerberos à l'intérieur de IPSec. Ce sera couvert plus en détail plus tard. Indépendamment du mode d'authentification Kerberos entre les contrôleurs de domaine est encore nécessaire. |
Notez que IPSec ne fonctionne pas au moyen d'appareils de réseau qui font des traduction d'adresse (NAT). Parce que IPSec utilise des adresses IP lors du calcul des totaux de contrôle de paquet, les paquets IPSec dont les adresses source a été modifiés par NAT sont ignorées lorsqu'ils arrivent à destination.
Promotion de contrôleur de domaine avec des Tunnels PPTP
Si vous choisissez d'utiliser des tunels PPTP pour la phase de promotion, vous devez configurer routage et accès distant (RRAS) dans le réseau interne. RRAS peut s'exécuter sur un contrôleur de domaine interne ou sur un serveur distinct. Pour plus de simplicité, il est préférable que le serveur RRAS existence dans le même sous-réseau que le contrôleur de domaine racine — alors aucun entretien de la route statique n'est nécessaire.
Pour configurer le service RRAS :
Sélectionnez Démarrer | Programmes | Outils d'administration | Routage et Accès distant.
Un clic droit sur votre serveur dans le volet gauche et puis cliquez sur configurer et activer le routage et accès distant. L'Assistant d'installation RRAS démarre.
Cliquez sur manuellement configuré serveur.
**Figure 1:**Assistant routage et accès à distance
Terminez l'Assistant et démarrer le service quand il vous invite.
La console MMC doit maintenant ressembler à ceci, après avoir cliqué sur le + à côté du nom de serveur.
**Figure 2:**RRAS après la configuration et l'activation
Après que le service RRAS est configuré et activé, apportez les modifications suivantes :
Un clic droit sur le serveur et puis cliquez sur propriétés. Cliquez sur l'onglet IP , cliquez sur pool d'adresses statique. Entrez une plage d'adresses IP dans le même sous-réseau que votre contrôleur de domaine interne. Seules quelques — peut-être 9 — adresses sont nécessaires. Fermer toutes les boîtes de dialogue.
**Figure 3:**Propriétés du serveur, affectation d'adresses IP
Cliquez sur les Ports (dans le volet gauche de la console MMC) et puis cliquez sur propriétés. Configurer Direct parallèle de sorte que ni connexions d'accès distantes accès ni à la demande sont autorisées ; Si vous avez un modem sur le serveur (comme dans l'exemple ci-dessous), les configurer de la même manière. Configurer la demande de composer (L2TP) afin qu'il y a zéro ports qui ne sont autorisées et ni connexions d'accès distantes ou à la demande. Vous n'avez pas besoin d'apporter des modifications à la demande de composer (PPTP) , sauf si vous avez besoin de plus de cinq ports. Fermer toutes les boîtes de dialogue.
**Figure 4:**Propriétés de ports
RRAS est maintenant prêt à accepter les connexions PPTP entrantes pour la promotion de contrôleur de domaine.
Avant de promouvoir un réseau de périmètre ou un serveur externe à un contrôleur de domaine, établir un tunnel PPTP vers le serveur RRAS interne. Ouvrez la page propriétés de Favoris réseau , puis cliquez sur Nouvelle connexion à faire. Dans l'Assistant :
Cliquez sur se connecter à un réseau privé via Internet.
Ne pas composer de connexion initiale.
Tapez l'adresse IP du serveur RRAS interne comme la destination.
Définir la disponibilité de la connexion à tous les utilisateurs.
Ne partagez pas la connexion.
Nommer la connexion comme vous le souhaitez.
La connexion s'ouvre alors. Avant de vous connecter, cliquez sur le bouton propriétés . Cliquez sur l'onglet Options et puis cliquez sur inclure le nom de domaine de l'ouverture Windows. Fermez la boîte de dialogue.
Maintenant ouvrir une session sur le serveur RRAS en utilisant les informations d'identification administrateur entreprise (l'administrateur du domaine racine). Après la connexion, le serveur vous permet de lancer DCPROMO. DCPROMO requiert un redémarrage à la fin du processus ; ceci va aussi déconnecter le tunnel PPTP. Parce que vous n'avez plus besoin du tunnel, vous pouvez supprimer la connexion.
Promotion de contrôleur de domaine avec IPSec et les certificats d'ordinateur
Vous voudrez peut-être examiner cette approche, si une condition entre eux s'applique :
Vous ne souhaitez pas utiliser PPTP pour la promotion.
Vous préférez ne pas permettre Kerberos via votre pare-feu.
Vous cherchez une raison de commencer a déploiement un PKI.
Vous devez installer les certificats sur vos contrôleurs de domaine afin qu'ils peuvent exécuter l'authentification IPSec. Tous les certificats nécessitent de signatures de la même autorité de certification. Windows 2000 inclut une demande de commentaires (RFC-compatible) certificate authority (CA) qui fonctionne très bien dans ce cas. Avec des stratégies de groupe, vous pouvez configurer votre domaine pour inscrire automatiquement les ordinateurs membres avec des certificats d'ordinateur. Alors que IPSec fonctionne avec des certificats de tout CA, auto-inscription nécessite une autorité de certification Windows 2000. Si vous avez déjà un PKI, l'autorité de certification de Windows 2000 peut être configurée comme un subordonné par l'émission CA. Veuillez consulter la documentation, y compris les procédures pas à pas mentionné plus tôt, pour plus de détails.
Si vous décidez de passer par là, vous avez également la possibilité de comprendre le trafic Kerberos à l'intérieur de IPSec. Normalement, certains types de trafic sont exemptés de traitement en mode de transport IPSec :
Diffusion — ne peut être classé par les filtres IPSec parce que l'expéditeur ne connaît pas tous les récepteurs.
Multidiffusion — comme la diffusion.
Protocole de réservation de ressource (RSVP), le protocole IP 46 — doit être exonéré afin que la qualité du marquage de service se produit ; Toutefois, les paquets IPSec peuvent être effectués à l'intérieur des paquets RSVP.
Échange de clés Internet (IKE) — IPSec utilise IKE pour établir les paramètres de sécurité et d'effectuer l'échange de clés. Négociations IKE sont déjà chiffrées si nécessaire.
Kerberos, le protocole d'authentification Windows 2000 natif et également utilisé par IPSec pour l'authentification de la machine. Kerberos lui-même est déjà protégé.
Même si un filtre IPSec peut spécifier que tout le trafic d'un ordinateur à un autre doit être encapsulé, les précédents types de trafic sont exemptés de traitement IPSec.
Windows 2000 Service Pack 1 introduit une clé de Registre qui modifie ce comportement quelque peu. À l'aide de l'éditeur du Registre, accédez à :
HKEY_LOCAL_MACHINE
SYSTEM\
CurrentControlSet\
Services\
IPSEC\
Ajouter une valeur double mot (DWORD) appelée NoDefaultExempt et définissez la valeur sur 1. Les valeurs suivantes sont autorisées :
0: appliqueront les exemptions par défaut
1: Kerberos et RSVP sont inclus dans le traitement IPSec
Comprendre Kerberos à l'intérieur d'IPSec est correct après qu'une machine est promue à un contrôleur de domaine (et donc est un membre du domaine). Pour une machine non membre encore d'un domaine Windows, que vous souhaitez y promouvoir un controlleur de domaine, vous ne peut pas établir un tunnel IPSec à l'aide de Kerberos. Vous devez utiliser une autre forme d'authentification, ceci est la raison de l'utilisation de certificats d'ordinateur.
Voici un texte que vous pouvez importer dans le registre. Il déterminera la valeur NoDefaultExempt à 1. Copier dans le presse-papiers, collez-le dans un écran vide de bloc-notes, enregistrez le fichier avec un .REG extension et puis double-cliquez sur que le fichier dans l'Explorateur Windows.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC]
"NoDefaultExempt"=dword:00000001
Comprendre ceci avant de procéder. Si vous décidez de suivre cette approche, vous devez aussi suivre toutes les étapes de la section suivante, « Configuration du Mode de transport IPSec pour la communication de DC-DC » avant l'exécution de DCPROMO. Voici l'ordre :
Si vous souhaitez inclure Kerberos dans le traitement IPSec, ajoutez la clé de Registre précédente.
Installer une autorité de certification.
Obtenir des certificats d'ordinateur pour tous les contrôleurs de domaine existants et pour tous les contrôleurs de domaine futur.
Effectuez les étapes dans la section « Configuration du Mode de transport IPSec pour la communication de DC-DC. »
Exécutez DCPROMO sur les contrôleurs de domaine choisi.
Une fois fait — tout laisser en place ; la réplication continue de ce produire par la configuration d'IPSec existante.
Comparaison des deux méthodes de Promotion
Voici les différences entre les deux méthodes présentées précédemment.
Tunnels PPTP
Facile et rapide.
Nécessite que le pare-feu permet Kerberos.
Nécessite que le pare-feu permet le protocole PPTP.
Sépare les fonctions de promotion et de la réplication – configurer PPTP pour la promotion et ensuite configurer IPSec pour la réplication en mode continue.
IPSec avec les certificats d'ordinateur
Fournit de bonnes raisons pour le déploiement d'un PKI.
Permet d'avoir Kerberos dans le traitement IPSec.
Moins de protocoles par l'intermédiaire du pare-feu — aucun PPTP, peut-être pas de Kerberos.
Seule étape pour la réplication en mode continue et de promotion.
Bien qu'aucune méthode est préférable à l'autre, à l'aide d'IPSec avec des certificats d'ordinateur est probablement l'approche plus « progressistes », notamment parce que la plupart des organisations envisage de déployer des PKI quelconque.
Configurer le Mode de Transport IPSec pour la Communication de DC-DC
Il est maintenant temps pour configurer des stratégies sur tous les contrôleurs de domaine pour utiliser le mode de transport IPSec pour communiquer les uns avec les autres. Avec cette configuration, vous devez permettre seulement IPSec et protocoles connexes sur le pare-feu, qui est beaucoup plus simple et plus soutenable. Notez que vous ne créiez pas de tunnels IPSec. Au lieu de cela, vous utilisez le mode de transport IPSec — IPSec d'un bout à l'autre — pour sécuriser les sessions de communications entre les serveurs.
Sur chaque contrôleur de domaine, vous devez créer une stratégie IPSec pour la réplication, avec une action liste et filtre de le filtre IP de correspondante. Sélectionnez Démarrer | Programmes | Outils d'administration | Stratégie de sécurité locale.
**Figure 5:**Paramètres de sécurité locaux
Ensuite, cliquez sur Stratégies de sécurité IP sur ordinateur Local (dans le volet gauche de la console MMC). Cela affiche les stratégies par défaut, où vous allez ajouterez une nouvelle pour la réplication. Tout d'abord, cependant, vous devez créer la liste de filtres et l'action.
La liste de filtre indique que les adresses IP, les ports et les protocoles déclenchent l'application de IPSec. Vous souhaitez sécuriser tout le trafic entre les contrôleurs de domaine seulement, pas tout entre un contrôleur de domaine et une autre machine. Faites un clic droit dans le volet de droite de la console MMC, puis cliquez sur gérer les filtre IP source et actions de filtrage. Vous serez sous l'onglet Gestion de listes de filtre IP . Une liste de filtres est simplement une liste de filtres ; vous allez créer un filtre pour chaque serveur avec qui le serveur présent va répliquer avec. C'est la liste, un seul filtre est nécessaire et la liste contient des filtres pour tous les contrôleurs de domaine.
**Figure 6:**Listes de filtres IP et les Actions de filtrage, onglet Listes de filtres
Cliquez sur le bouton ajouter pour créer une nouvelle liste de filtres. Nom de la liste de filtre de réplication DC. Cliquez sur le bouton ajouter pour créer un nouveau filtre ; Suivez ces étapes pour terminer l'Assistant :
Sélectionnez mon IP adresse de l'adresse source.
Sélectionnez une adresse IP spécifique comme adresse de destination et tapez l'adresse IP de l'autre serveur.
Sélectionnez aucun comme type de protocole. Cela configure le filtre afin que tout le trafic entre deux ordinateurs se fera à l'intérieur de IPSec.
**Figure 7:**Liste filtre de réplication de contrôleur de domaine
Ajouter des filtres supplémentaires pour les contrôleurs de domaine restants. Lorsque terminé, fermez la boîte de dialogue.
Ensuite, vous souhaitez définir une action de filtrage. Cliquez sur l'onglet gérer les actions de filtrage et puis cliquez sur le bouton ajouter pour créer une nouvelle action. Dans l'Assistant :
Nom de l'action de réplication DC.
Cliquez sur négocier la sécurité.
Cliquez sur ne communiquent pas avec les ordinateurs qui ne prennent pas en charge IPSec.
Cliquez sur le haut (charge sécurisé encapsulé).
Sélectionnez la case à cocher modifier les propriétés (vous devez apporter des modifications plus tard).
Cliquez sur le bouton terminer .
Dans la boîte de dialogue propriétés , désactivez la case à cocher à accepter les communications non sécurisées, mais toujours répondre en utilisant IPSec. Vous ne voulez pas le serveur à répondre du tout aux communication non sécurisée. Bien sûr, cela s'applique uniquement à ces machines qui font partie de la liste de filtres IP correspondante ; vous lierez la liste de filtres et de l'action de filtrage avec une politique dans un instant. Fermer toutes les boîtes de dialogue.
**Figure 8:**Filtre action réplication de contrôleur de domaine
Vous êtes maintenant prêt à créer la stratégie IPSec. Faites un clic droit dans le volet de droite de la console MMC, puis cliquez sur crée stratégie de sécurité IP. Dans l'Assistant :
Nom de la stratégie de réplication de contrôleur de domaine.
Désactivez activer la règle de réponse par défaut.
Assurez-vous que la case à cocher modifier les propriétés est sélectionnée et fermer l'Assistant.
La politique existe, mais elle ne contient aucuns règles.
**Figure 9:**Stratégie IPSec de réplication de contrôleur de domaine
Vous créez une règle en associant la liste de filtres et l'action de filtrage que vous avez créé plus tôt. Cliquez sur le bouton ajouter pour définir une nouvelle règle. Dans l'Assistant :
Sélectionnez cette règle ne spécifie pas un tunnel.
Sélectionnez le réseau local (LAN) pour le type de réseau.
Choisissez une méthode d'authentification
Sélectionnez Windows 2000 par défaut (protocole Kerberos V5) si vous avez utilisé des tunnels PPTP pour DCPROMO, ou
Sélectionnez utiliser un certificat de cette autorité de certification (CA) si vous utilisez les certificats. Ensuite, cliquez sur Parcourir et sélectionnez l'autorité de certification qui a délivré le certificat d'ordinateur installé sur l'ordinateur.
Vous verrez une liste de listes de filtres IP. Sélectionnez la liste de filtre que vous avez créé plus tôt, la réplication DC, de la liste.
Vous verrez une liste des actions de filtrage. Sélectionnez l'action de filtrage que vous avez créé plus tôt, la réplication DC, de la liste.
Ne modifiez pas les propriétés. Terminez l'Assistant.
Votre politique ressemblera maintenant à cette (indique la colonne d'authentification « certificat » si vous avez choisi cette méthode).
**Figure 10 :**Terminé la réplication de contrôleur de domaine
Enfin, vous devez allumer — c'est-à-dire attribuer — la politique.
Clic droit sur la stratégie de réplication de contrôleur de domaine .
Cliquez sur attribuer.
**Figure 11 :**Stratégie de contrôleur de domaine est attribué
Traitement IPSec se produit immédiatement. Il n'y a pas besoin de redémarrer le serveur.
Chaque contrôleur de domaine requiert une stratégie IPSec similaire. Indépendamment de la question de savoir si le contrôleur est dans le réseau interne, le réseau de périmètre ou le réseau externe, vous devez configurer la stratégie IPSec afin que toutes les communications avec tous les autres contrôleurs de domaine sont par IPSec. Non seulement cela permet au vérificateur de cohérence des connaissances à construire une topologie de réplication qui ignore le pare-feu, mais elle assure également toutes les réplication IPSec entre chaque serveur.
**Analyse de la stratégie IPSec.**Veillez à tester les politiques que vous avez créé. Après avoir créé et attribué à une politique à au moins deux machines, vous pouvez utiliser l'outil IPSECMON qui sert à observer lorsque les machines établissent l'association de sécurité IPSec :
Ouvrez une fenêtre de commande.
Nom de commande ipsecmon. Un utilitaire graphique commence, liste des associations de sécurité actuelles et quel trafic authentifié et chiffré est passé par le serveur. (À moins que les contrôleurs de domaine ont commencé à échanger des informations, probablement aucunes d'administrateurs système en ce moment.)
Cliquez sur le bouton Options et changer la fréquence de rafraîchissement d'une seconde.
Revenir à l'invite de commandes et faire un ping sur un autre contrôleur de domaine qui possède également une stratégie IPSec. Utiliser l'option -t de ping qui le met en continu jusqu'à ce qu'il est arrêté (ping -t adresse ip ).
Recherchez plusieurs réponses « négociation sécurité IP" — les machines s'échange les clés cryptographiques et construise leurs associations de sécurité. Enfin, vous verrez les réponses normales. Peut prendre 10 à 12 secondes pour établir les associations de sécurité dans les deux directions.
Appuyez sur CTRL + C pour arrêter.
Verrouillage supplémentaire des contrôleurs de domaine dans un réseau de périmètre
Les réseaux de commerce électronique et les connexions extranet peuvent exiger un contrôleur de domaine dans le réseau de périmètre. Bien que d'abord ce qui pourrait paraître créer des problèmes de sécurité, IPSec peut aider ici aussi. Il est possible de créer des filtres fin de paquets en utilisant les fonctionnalités permet/bloque dans les règles IPSec. Veuillez consulter le document, « Using IPSec to Lock Down a Server (en-US) » à http://www.microsoft.com/technet/itsolutions/network/security/ipsecld.mspx . Vous pouvez combiner l'approche avec l'information ici pour créer une stratégie IPSec qui permet la communication sécurisée uniquement de DC-DC et bloque tous les autres types de trafic d'atteindre le contrôleur de domaine dans le réseau de périmètre.
Est-ce une utilisation légitime d'IPSec ?
Bien que probablement pas imaginé par les designers de IPSec, le protocole est devenu une excellente méthode d'encapsulation de trafic complexe afin de pouvoir être transporté en toute sécurité entre les réseaux. Le moteur de la stratégie IPSec de Windows 2000 peut servir à créer des règles granulaire très finne qui spécifie le trafic qui est autorisé, bloqué ou sécurisé entre les hôtes. Dans le scénario ici, nous faisons appel à elle pour sécuriser tout le trafic entre les hôtes connus — contrôleurs de domaine spécifiques — tout en permettant d'autres types de trafic vers et à partir de ces hôtes.
Pour plus d'informations
Pour plus d'informations sur Windows 2000 IPSec et d'autres fonctionnalités de sécurité de Windows 2000, veuillez commencer votre aventure à http://www.microsoft.com/technet/security/default.mspx .
| 1 | Ce document n'est pas discuter à l'aide de clés prépartagées. Authentification par clé pré-partagée est incluse dans Windows 2000 uniquement pour la compatibilité avec d'autres implémentations IPSec et pour se conformer à la RFC IPSec. En aucun cas nous encourageons l'utilisation de clés prépartagées dans un environnement de production en raison des risques inhérents sécurité associés à l'authentification partagée-secret style. |
| 2 | C'est tout le trafic sauf que qui est exemptée de traitement IPSec, comme nous l'avons vu. |
Autres langues
Cet article est également disponible les langues suivantes :