Dominio aisladoIsolated Domain

Se aplica a:Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

El dominio aislado es la zona principal para dispositivos de confianza.The isolated domain is the primary zone for trusted devices. Los dispositivos de esta zona usan reglas de firewall y seguridad de conexión para controlar las comunicaciones que se pueden enviar entre los dispositivos de la zona.The devices in this zone use connection security and firewall rules to control the communications that can be sent between devices in the zone.

El término dominio en este contexto significa un límite de confianza de comunicaciones en lugar de un dominio de Active Directory.The term domain in this context means a boundary of communications trust instead of an Active Directory domain. En esta solución, las dos construcciones son muy similares porque se requiere la autenticación de dominio de Active Directory (Kerberos V5) para aceptar conexiones entrantes de dispositivos de confianza.In this solution the two constructs are very similar because Active Directory domain authentication (Kerberos V5) is required for accepting inbound connections from trusted devices. Sin embargo, muchos dominios de Active Directory (o bosques) se pueden vincular con relaciones de confianza para proporcionar un dominio único, lógico y aislado.However, many Active Directory domains (or forests) can be linked with trust relationships to provide a single, logical, isolated domain. Además, los dispositivos que se autentican mediante certificados también se pueden incluir en un dominio aislado sin unirse al dominio de Active Directory.In addition, devices that authenticate by using certificates can also be included in an isolated domain without joining the Active Directory domain.

Para la mayoría de las implementaciones, un dominio aislado contendrá el mayor número de dispositivos.For most implementations, an isolated domain will contain the largest number of devices. Se pueden crear otras zonas de aislamiento para la solución si sus requisitos de comunicación difieren de los del dominio aislado.Other isolation zones can be created for the solution if their communication requirements differ from those of the isolated domain. Algunos ejemplos de estas diferencias son los resultados de las zonas de límite y cifrado descritas en esta guía.Examples of these differences are what result in the boundary and encryption zones described in this guide. Conceptualmente, el dominio aislado es solo la zona de aislamiento más grande y un superconjunto para las otras zonas.Conceptually, the isolated domain is just the largest isolation zone, and a superset to the other zones.

Debe crear un grupo en Active Directory para contener miembros del dominio aislado.You must create a group in Active Directory to contain members of the isolated domain. A continuación, se aplica uno de varios GPO que contienen reglas de firewall y seguridad de conexión al grupo para que se aplique la autenticación en todas las conexiones de red entrantes.You then apply one of several GPOs that contain connection security and firewall rules to the group so that authentication on all inbound network connections is enforced. La creación del grupo y cómo vincular los GPO que aplican las reglas a sus miembros se analizan en la sección Planeación de la implementación de directivas de grupo para las zonas de aislamiento.Creation of the group and how to link the GPOs that apply the rules to its members are discussed in the Planning Group Policy Deployment for Your Isolation Zones section.

Los GPO para el dominio aislado deben contener las siguientes reglas y configuraciones de seguridad de conexión.The GPOs for the isolated domain should contain the following connection security rules and settings.

Configuración de GPO para miembros de dominio aislados que ejecutan al menos Windows Vista y Windows Server 2008GPO settings for isolated domain members running at least Windows Vista and Windows Server 2008

Los GPO para dispositivos que ejecutan al menos Windows Vista y Windows Server 2008 deben incluir lo siguiente:GPOs for devices running at least Windows Vista and Windows Server 2008 should include the following:

  • Configuración predeterminada de IPsec que especifica las siguientes opciones:IPsec default settings that specify the following options:

    1. Excluir todo el tráfico ICMP de IPsec.Exempt all ICMP traffic from IPsec.

    2. Algoritmo y métodos de seguridad de intercambio de claves (modo principal).Key exchange (main mode) security methods and algorithm. Le recomendamos que use al menos ELS4, AES y SHA2 en la configuración.We recommend that you use at least DH4, AES and SHA2 in your settings. Usa las combinaciones de algoritmo más seguras que sean comunes a todos los sistemas operativos compatibles.Use the strongest algorithm combinations that are common to all your supported operating systems.

    3. Combinaciones de algoritmos de protección de datos (modo rápido).Data protection (quick mode) algorithm combinations. Se recomienda no incluir DES ni MD5 en ninguna configuración.We recommend that you do not include DES, or MD5 in any setting. Se incluyen solo por compatibilidad con versiones anteriores de Windows.They are included only for compatibility with previous versions of Windows. Usa las combinaciones de algoritmo más seguras que sean comunes a todos los sistemas operativos compatibles.Use the strongest algorithm combinations that are common to all your supported operating systems.

      Si hay dispositivos NAT presentes en las redes, use la encapsulación ESP.If any NAT devices are present on your networks, use ESP encapsulation. Si los miembros de dominio aislados deben comunicarse con hosts de la zona de cifrado, asegúrese de incluir algoritmos que sean compatibles con los requisitos de las directivas de modo de cifrado.If isolated domain members must communicate with hosts in the encryption zone, ensure that you include algorithms that are compatible with the requirements of the encryption mode policies.

    4. Métodos de autenticación.Authentication methods. Incluya al menos la autenticación Kerberos V5 basada en dispositivos.Include at least device-based Kerberos V5 authentication. Si desea usar el acceso basado en usuarios a servidores aislados, incluya también Kerberos V5 basado en el usuario como un método de autenticación opcional.If you want to use user-based access to isolated servers, then also include user-based Kerberos V5 as an optional authentication method. Del mismo modo, si alguno de los miembros de dominio aislados no puede usar la autenticación Kerberos V5, incluya la autenticación basada en certificados como un método de autenticación opcional.Likewise, if any of your isolated domain members cannot use Kerberos V5 authentication, then include certificate-based authentication as an optional authentication method.

  • Las siguientes reglas de seguridad de conexión:The following connection security rules:

    • Una regla de seguridad de conexión que excluye de la autenticación a todos los dispositivos de la lista de exenciones.A connection security rule that exempts all devices on the exemption list from authentication. Asegúrese de incluir todos los controladores de dominio de Active Directory en esta lista.Be sure to include all your Active Directory domain controllers on this list. Escriba las direcciones de subred, siempre que sea posible, en lugar de direcciones discretas, si procede en su entorno.Enter subnet addresses, where possible, instead of discrete addresses, if applicable in your environment.

    • Una regla de seguridad de conexión, desde cualquier dirección IP a cualquiera, que requiere autenticación entrante y de salida mediante la autenticación Kerberos V5.A connection security rule, from any IP address to any, that requires inbound and requests outbound authentication by using Kerberos V5 authentication.

      Importante: Asegúrese de comenzar las operaciones mediante el comportamiento de solicitud y solicitud de salida hasta que esté seguro de que todos los dispositivos de su entorno IPsec se comunican correctamente mediante IPsec.Important: Be sure to begin operations by using request in and request out behavior until you are sure that all the devices in your IPsec environment are communicating successfully by using IPsec. Después de confirmar que IPsec funciona de la forma esperada, puede cambiar la directiva para requerirla y solicitarla.After confirming that IPsec is operating as expected, you can change the policy to require in, request out.

  • Una directiva del Registro que incluye los siguientes valores:A registry policy that includes the following values:

    • Habilitar la detección de PMTU.Enable PMTU discovery. Si se habilita esta opción, TCP/IP puede determinar dinámicamente el tamaño de paquetes más grande admitido en una conexión.Enabling this setting allows TCP/IP to dynamically determine the largest packet size supported across a connection. El valor se encuentra en HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword).The value is found at HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword). El archivo XML de preferencias de GPO de ejemplo del Apéndice A: Archivos de plantilla de GPO de ejemplo para la configuración usada en esta guía establece el valor en 1.The sample GPO preferences XML file in Appendix A: Sample GPO Template Files for Settings Used in this Guide sets the value to 1.

    Nota: Para obtener una plantilla de ejemplo para esta configuración del Registro, vea el Apéndice A: Archivos de plantilla de GPO de ejemplo para la configuración usada en esta guía.Note: For a sample template for these registry settings, see Appendix A: Sample GPO Template Files for Settings Used in this Guide.

Siguiente: Zona límiteNext: Boundary Zone