Artigo: 252735 - �ltima revis�o: quarta-feira, 14 de Novembro de 2007 - Revis�o: 7.7

Como configurar o IPSec Tunneling in Windows 2000

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Ver isen��o de responsabilidades para tradu��o autom�tica

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Importante

Este artigo aplica-se para o Windows 2000. Suporte para o Windows 2000 termina em 13 de Julho de 2010. O Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) � um ponto de partida para planear a estrat�gia de migra��o a partir do Windows 2000. Para mais informa��es consulte a Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .

Importante

Nesta p�gina

Expandir tudo | Reduzir tudo

Sum�rio

Pode utilizar a seguran�a IP (IPSec) no modo de t�nel para encapsular pacotes do protocolo Internet (IP) e, opcionalmente, encript�-las. A raz�o principal para utilizar o IPSec � o modo de t�nel (por vezes referido como "t�nel IPSec puro") no Microsoft Windows 2000 para interoperabilidade com terceiros routers ou gateways que n�o suportam Layer 2 Tunneling Protocol (L2TP) / tecnologia de t�neis IPSec ou PPTP Virtual Private Networking (VPN).

Voltar ao topo

Mais Informa��o

O Windows 2000 suporta a utiliza��o de t�neis IPSec para situa��es em que ambos os pontos finais de t�nel utilizarem endere�os IP est�ticos. Isto � �til principalmente em implementa��es de gateway a gateway, mas tamb�m poder� funcionar para cen�rios de seguran�a de rede especializada entre um router/gateway e um servidor (tal como um Windows 2000 router encaminhamento tr�fego a partir da respectiva interface externa para um interno baseado no Windows 2000 computador proteger caminho interno estabelecendo um t�nel IPSec para o servidor interno fornecer servi�os aos clientes externos).

Utiliza��o de t�neis IPSec do Windows 2000 n�o � suportada para acesso remoto de cliente VPN utilizar porque os RFC de IPSec do IETF n�o fornecer actualmente uma solu��o de acesso remoto no protocolo Internet Key Exchange (IKE) para liga��es de cliente-a-gateway. O IETF RFC 2661 para Layer 2 Tunneling Protocol (L2TP) foi especificamente desenvolvido pela Cisco, o Microsoft e outros utilizadores com o objectivo de fornecer liga��es VPN de acesso remoto de cliente. No Windows 2000, cliente VPN de acesso remoto liga��es s�o protegidas atrav�s de uma pol�tica IPSec gerada automaticamente que utiliza o modo de transporte IPSec (n�o o modo de t�nel) quando � seleccionado o tipo de t�nel L2TP.

Utiliza��o de t�neis IPSec do Windows 2000 tamb�m n�o suporta protocolo e t�neis porta espec�fica. Enquanto o snap-in Pol�tica de IPSec da consola de gest�o da Microsoft (MMC) � muito geral e permite-lhe associar qualquer tipo de filtro com um t�nel, certifique-se de que utiliza apenas as informa��es de endere�o na especifica��o de um filtro para uma regra de t�nel.

Detalhes sobre como funcionam os protocolos IPSec e IKE podem ser encontradas no Microsoft Windows 2000 Resource Kit e em instru��es de ponto-a-ponto IPSec do Windows 2000. Informa��es sobre onde pode encontrar estes documentos est�o inclu�das no fim deste artigo.

Este artigo explica como configurar um t�nel IPSec de um gateway de Windows 2000. Uma vez que o t�nel IPSec protege apenas o tr�fego especificado nos filtros IPSec configurar, este artigo tamb�m descreve como configurar filtros em Encaminhamento e acesso remoto (RRAS, Routing and Remote Access Service) para impedir que o tr�fego fora do t�nel sejam recebidos ou reencaminhado. Este artigo descreve o cen�rio seguinte para facilitar a seguir os passos de configura��o:

   NetA - Windows 2000 gateway --- Internet --- third-party gateway - NetB
        W2KintIP     W2KextIP         3rdExtIP               3rdIntIP

NetA� o ID de rede de rede interna de gateway do Windows 2000.

W2KintIP� o endere�o IP atribu�do � placa de rede interna de gateway de Windows 2000.

W2KextIP� o endere�o IP atribu�do � placa de rede externa do gateway de Windows 2000.

3rdExtIP� o endere�o IP atribu�do � placa de rede externa de gateway de outros fabricantes.

3rdIntIP� o endere�o IP atribu�do � placa de rede interna de gateway de outros fabricantes.

NetB� o ID de rede da rede interna gateway de outros fabricantes.

O objectivo � para o gateway de Windows 2000 e o gateway de outros fabricantes para estabelecer um t�nel IPSec quando o tr�fego de NetA necessita de ser encaminhado para NetB ou quando o tr�fego de NetB necessita de ser encaminhado para NetA para que o tr�fego � encaminhado atrav�s de uma sess�o segura.

Ter� de configurar uma pol�tica IPSec. Tem de criar dois filtros; uma para fazer corresponder pacotes vai partir NetA NetB (t�nel 1) e outra para fazer corresponder pacotes vai partir NetB NetA (t�nel 2). Ter� de configurar uma ac��o de filtro para especificar a forma como o t�nel dever� ser protegido (um t�nel � representado por uma regra, pelo que s�o criadas duas regras).

Voltar ao topo

Como criar a pol�tica IPSec

Normalmente, um gateway de Windows 2000 n�o � um membro de um dom�nio, pelo que � criada uma pol�tica IPSec local. Se o gateway de Windows 2000 � um membro do dom�nio que tenha a pol�tica IPSec aplicada a todos os membros do dom�nio por predefini��o, esta impede que o Windows 2000 gateway de ter uma pol�tica IPSec local. Neste caso, pode criar uma unidade organizacional (UO) no Active Directory, tornar o Windows 2000 gateway num membro desta UO e atribua a pol�tica IPSec para o objecto de pol�tica de grupo (GPO) na OU. Para mais informa��es, consulte a sec��o "Pol�tica de IPSec atribuir" ajuda online do Windows 2000.

Utilizar a MMC para trabalhar na gest�o da pol�tica de seguran�a IP snap-in (uma forma r�pida de carregar esta � a clique em Iniciar, clique em Executar e, em seguida, escreva secpol.msc).
Clique com o bot�o direito do rato em Pol�ticas de seguran�a IP no computador local e, em seguida, clique em Criar pol�tica de seguran�a IP.
Clique em seguinte e, em seguida, escreva um nome para a pol�tica (por exemplo, t�nel IPSec com terceiros gateway).

Nota: tamb�m � poss�vel escrever mais informa��es na caixa Descri��o.
Clique para desmarcar a caixa de verifica��o activar a regra de resposta predefinida e, em seguida, clique em seguinte.
Clique em Concluir (mantenha seleccionada a caixa de verifica��o Editar).

Nota: pol�tica IPSec A � criada com as predefini��es para o IKE de modo principal (fase 1) no separador Geral, na Troca de chaves. T�nel IPSec consiste em duas regras, cada uma delas Especifica um ponto final do t�nel. Uma vez que existem dois pontos finais de t�nel, existem duas regras. Os filtros em cada regra tem de representar os endere�os IP de origem e destino em pacotes IP que s�o enviados para o ponto final do t�nel dessa regra.

Voltar ao topo

Como criar uma lista de filtros de NetA para NetB

Nas propriedades do pol�tica nova, clique para desmarcar a caixa de verifica��o Utilizar assistente e, em seguida, clique em Adicionar para criar uma nova regra.
No separador Lista de filtros IP, clique em Adicionar.
Escreva um nome adequado para a lista de filtros, clique para desmarcar a caixa de verifica��o Utilizar assistente e, em seguida, clique em Adicionar.
Na �rea de endere�o de origem, fa�a clique sobre Uma sub-rede IP espec�fica e, em seguida, preencha as caixas de Endere�o IP e m�scara de sub-rede para reflectir NetA.
Na �rea de endere�o de destino, clique em Uma sub-rede IP espec�fica e preencha as caixas de Endere�o IP e m�scara de sub-rede para reflectir NetB.
Clique para desmarcar a caixa de verifica��o espelhado.
No separador protocolo, certifique-se de que o tipo de protocolo � definido para qualquer, porque os t�neis IPSec n�o suportam filtros espec�ficos de protocolo ou porta espec�fica.
Se pretender escrever uma descri��o para o filtro, clique no separador de Descri��o. Geralmente � uma boa ideia para fornecer o filtro o mesmo nome que utilizou para a lista de filtros. O nome do filtro � apresentado no monitor de IPSec quando o t�nel est� activo.
Clique em OK e, em seguida, clique em Fechar.

Voltar ao topo

Como criar uma lista de filtros de NetB para NetA

No separador Lista de filtros IP, clique em Adicionar.
Escreva um nome adequado para a lista de filtros, clique para desmarcar a caixa de verifica��o Utilizar assistente e, em seguida, clique em Adicionar.
Na �rea de endere�o de origem, fa�a clique sobre Uma sub-rede IP espec�fica e, em seguida, preencha as caixas de Endere�o IP e m�scara de sub-rede para reflectir NetB.
Na �rea de endere�o de destino, clique em Uma sub-rede IP espec�fica e preencha as caixas de Endere�o IP e m�scara de sub-rede para reflectir NetA.
Clique para desmarcar a caixa de verifica��o espelhado.
Se pretender escrever uma descri��o para o filtro, clique no separador de Descri��o.
Clique em OK e, em seguida, clique em Fechar.

Voltar ao topo

Como configurar uma regra para um t�nel NetA-NetB

No separador de Lista de filtros IP, clique na lista de filtros que criou.
No separador Configura��o do t�nel, fa�a clique sobre o ponto final do t�nel � especificado por este endere�o IP caixa e, em seguida, escreva 3rdextip (onde 3rdextip � o endere�o IP atribu�do � placa de rede externa de gateway de terceiros).
No separador Tipo de liga��o, clique em todas as liga��es de rede (ou clique em liga��es de rede local se W2KextIP n�o for uma RDIS, PPP ou ligar liga��o s�rie directa).
No separador Ac��o de filtro, clique para desmarcar a caixa de verifica��o Utilizar assistente e, em seguida, clique em Adicionar para criar uma nova ac��o de filtro porque as ac��es predefinidas permitem tr�fego de entrada do limpar.
Mantenha a op��o Negociar seguran�a activada e clique para desmarcar a caixa de verifica��o Aceitar comunica��es n�o seguras, mas responder sempre utilizando IPSec. Ter� de o fazer para assegurar o funcionamento seguro.

Nota: nenhuma das caixas de verifica��o na parte inferior da caixa de di�logo Ac��o de filtro devem ser verificadas como uma configura��o inicial de uma ac��o de filtro que se aplica regras de t�nel. Apenas a caixa de verifica��o Perfect Forward Secrecy (PFS) � uma defini��o v�lida para os t�neis se a outra extremidade do t�nel tamb�m for configurada para utilizar o PFS. As outras duas caixas de verifica��o n�o s�o v�lidas para ac��es de filtro de t�nel.
Clique em Adicionar e manter a op��o Alta (ESP) seleccionada (ou pode seleccionar a op��o personalizada (para utilizadores avan�ados) se pretender definir algoritmos espec�ficos e as dura��es da chave de sess�o). O payload ESP (Encapsulating Security) � um dos IPSec dois protocolos.
Clique em OK. No separador Geral, escreva um nome para a nova ac��o de filtro (por exemplo, IPSec t�nel: ESP DES/MD5) e, em seguida, clique em OK.
Seleccione a ac��o de filtro que acabou de criar.
No separador M�todos de autentica��o, configure o m�todo de autentica��o que pretende (utilizar chave pr�-partilhada para testes, caso contr�rio, utilize certificados). Kerberos � tecnicamente poss�vel se ambas as extremidades do t�nel est�o em dom�nios fidedignos e que fidedigno IP do dom�nio endere�o (endere�o IP de um controlador de dom�nio) � acess�vel na rede por ambas as extremidades do t�nel durante a negocia��o IKE do t�nel (antes de ser estabelecida). Este � um caso raro.
Clique em Fechar.

Voltar ao topo

Como configurar uma regra para um t�nel NetB-NetA

Nas propriedades de pol�tica de IPSec, clique em Adicionar para criar uma nova regra.
No separador de Lista de filtros IP, clique na lista de filtros que criou (de NetB para NetA).
No separador Configura��o do t�nel, fa�a clique sobre o ponto final do t�nel � especificado por este endere�o IP caixa e, em seguida, escreva w2kextip (onde w2kextip � o endere�o IP atribu�do � placa de rede externa do gateway de Windows 2000).
No separador Tipo de liga��o, clique em todas as liga��es de rede (ou clique em liga��es de rede local se W2KextIP n�o for uma RDIS, PPP ou ligar liga��o s�rie directa). Qualquer tr�fego de sa�da no tipo de interface que corresponde os filtros tentativas de t�nel para o ponto final do t�nel especificado na regra. Tr�fego de entrada que corresponde os filtros � eliminado porque ele deve ser recebido protegida por um t�nel IPSec.
No separador Ac��o de filtro, clique na ac��o de filtro que criou.
No separador M�todos de autentica��o, configure o mesmo m�todo utilizado na primeira regra (o mesmo m�todo deve ser utilizado em ambas as regras).
Clique em Fechar, certifique-se de que ambas as regras que criar est�o activadas na pol�tica e, em seguida, clique em Fechar.

Voltar ao topo

Como atribuir a nova pol�tica de IPSec para O Gateway 2000 do Windows

Em pol�ticas de seguran�a IP no snap-in MMC de computador local, clique com o bot�o direito do rato a nova pol�tica e, em seguida, clique em atribuir. � apresentada uma seta verde no �cone da pasta junto � pol�tica.

Depois da pol�tica est� atribu�da, ter� dois filtros activos adicionais (RRAS cria automaticamente filtros de IPSec para tr�fego de L2TP). Para ver os filtros de Active Directory, escreva o seguinte comando numa linha de comandos:

netdiag/test: IPSec /debug

Pode, opcionalmente, redireccionar a sa�da deste comando para um ficheiro de texto para que possa visualizar com um editor de texto (tal como o bloco de notas), escrevendo o seguinte comando:

netdiag/test: IPSec /debug >filename .txt

O comando netdiag est� dispon�vel depois de instalar o Microsoft Windows 2000 Resource Kit, que pode instalar a partir do CD-ROM do Windows 2000. Para instalar o kit, localize a pasta Support\Tools e, em seguida, fa�a duplo clique no Setup.exe ficheiro. Ap�s a instala��o, poder� ser necess�rio executar o comando netdiag partir da pasta de ferramentas de Files\Support %SystemRoot%\Program (onde % SystemRoot % � a unidade onde o Windows 2000 est� instalado).

Os filtros de t�nel ter um aspecto semelhantes ao seguinte exemplo:

Activo de pol�tica IPSec local: 't�nel IPSec com} ponto final do t�nel {' caminho de pol�tica de seguran�a IP:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {- longnumber-}

Existem dois filtros
A partir de NetA para NetB
ID do filtro: {- longo n�mero-}
ID de pol�tica: {- longo n�mero-}
IPSEC_POLICY PolicyId = {- n�mero longo-}
Sinalizadores: 0 x 0
Endere�o de t�nel: 0.0.0.0
PHASE 2 disponibiliza contagem = 1
Oferta # 0:
ESP [DES MD5 HMAC]
Recodifica��o: 0 segundos/0 bytes.
Contagem de INFO AUTHENTICATION = 1
M�todo = chave pr�-partilhada: - chave real -
Endere�o de origem: NetA Src m�scara: - m�scara de sub-rede -
M�scara de destino do endere�o de destino: NetB: - m�scara de sub-rede -
Porta de origem do endere�o de t�nel: 3rdExtIP: porta de destino 0: 0
Protocolo: 0 TunnelFilter: Sim
Sinalizadores: sa�da
A partir de NetB para NetA
ID do filtro: {- longo n�mero-}
ID de pol�tica: {- longo n�mero-}
IPSEC_POLICY PolicyId = {- n�mero longo-}
Sinalizadores: 0 x 0
Endere�o de t�nel: 0.0.0.0
PHASE 2 disponibiliza contagem = 1
Oferta # 0:
ESP [DES MD5 HMAC]
Recodifica��o: 0 segundos/0 bytes.
Contagem de INFO AUTHENTICATION = 1
M�todo = chave pr�-partilhada: - chave real -
Endere�o de origem: NetB Src m�scara: - m�scara de sub-rede -
M�scara de destino do endere�o de destino: NetA: - m�scara de sub-rede -
Porta de origem do endere�o de t�nel: W2KextIP: porta de destino 0: 0
Protocolo: 0 TunnelFilter: Sim
Sinalizadores: entrada

Voltar ao topo

Como configurar a filtragem de RRAS

Se pretender impedir que o tr�fego que n�o tenha um endere�o de origem ou destino correspond�ncia NetA ou NetB, crie um filtro de sa�da para a interface externa na MMC RRAS para descer todo o tr�fego excepto os pacotes de NetA para NetB e um filtro de entrada para descer todo o tr�fego excepto os pacotes de NetB para NetA. Tamb�m necess�rio permitir tr�fego de/para W2KextIP e 3rdExtIP para permitir que a negocia��o IKE quando est� a ser criado o t�nel. Filtragem de RRAS � efectuada acima IPSec, n�o � necess�rio que permitir que o protocolo IPSec porque nunca atinge a camada de filtro de pacotes IP. O exemplo seguinte � uma representa��o muito simples de arquitectura do Windows 2000 TCP/IP:

Camada de aplica��o
Camada de transporte (TCP|UDP|ICMP|RAW)
----In�cio da camada de rede----
Filtro de pacotes IP (onde a filtragem de NAT/RRAS � efectuado)
IPSec (onde filtros IPSec s�o implementados)
Fragmenta��o/remontagem
----Fim de camada de rede------
Interface NDIS
Camada de liga��o de dados
Camada f�sica

Para configurar os filtros de RRAS, carregar RRAS MMC e utilize os seguintes passos:

Expanda a �rvore de servidor em Encaminhamento e acesso remoto, expanda a sub�rvore de Encaminhamento IP e, em seguida, clique em Geral.
Clique com o bot�o direito do rato W2KextIP e, em seguida, clique em Propriedades.
Clique em Filtros de sa�da e, em seguida, clique em Adicionar.
Clique para seleccionar as caixas de verifica��o rede de origem e de rede de destino.
Na �rea de rede de origem, preencha as caixas de endere�o IP e m�scara de sub-rede para reflectir NetA.
Na �rea de rede de destino, preencha as caixas de endere�o IP e m�scara de sub-rede para reflectir NetB.
Manter o conjunto de protocolo para qualquer e, em seguida, clique em OK.
Clique em Adicionar e, em seguida, clique para seleccionar as caixas de verifica��o rede de origem e de rede de destino.
Na �rea de rede de origem, preencha as caixas de endere�o IP e m�scara de sub-rede para reflectir W2KextIP.
Na �rea de rede de destino, preencha as caixas de endere�o IP e m�scara de sub-rede para reflectir 3rdExtIP (para IKE negocia��o utiliza��o m�scara de sub-rede 255.255.255.255).
Manter o conjunto de protocolo para qualquer e, em seguida, clique em OK.
Clique para seleccionar a caixa de verifica��o Recusar todos os pacotes excepto aqueles que correspondam aos crit�rios abaixo e, em seguida, clique em OK.
Clique em Filtros de entrada, clique em Adicionar e, em seguida, clique para seleccionar as caixas de verifica��o rede de origem e de rede de destino.
Na �rea de rede de origem, preencha as caixas de endere�o IP e m�scara de sub-rede para reflectir NetB.
Na �rea de rede de destino, preencha as caixas de endere�o IP e m�scara de sub-rede para reflectir NetA.
Manter o conjunto de protocolo para qualquer e, em seguida, clique em OK.
Clique em Adicionar e, em seguida, clique para seleccionar as caixas de verifica��o rede de origem e de rede de destino.
Na �rea de rede de origem, preencha as caixas de endere�o IP e m�scara de sub-rede para reflectir 3rdExtIP.
Na �rea de rede de destino, preencha as caixas de endere�o IP e m�scara de sub-rede para reflectir W2KextIP (ou negocia��o IKE utilize m�scara de sub-rede 255.255.255.255).
Manter o conjunto de protocolo para qualquer e, em seguida, clique em OK.
Clique para seleccionar a caixa de verifica��o Recusar todos os pacotes excepto aqueles que correspondam aos crit�rios abaixo e, em seguida, clique duas vezes em OK.

Nota: Se o servidor de RRAS tem mais do que uma interface ligada � Internet, ou se tiver v�rios t�neis IPSec, escreva filtros de isen��o de RRAS para cada t�nel IPSec (cada sub-rede IP origem e destino) para cada Internet interface.

Voltar ao topo

Como configurar rotas est�ticas no RRAS

O gateway de Windows 2000 tem de ter uma rota na respectiva tabela de rota para NetB, pode configurar adicionando uma rota est�tica na RRAS MMC. Se o gateway de Windows 2000 � multihomed com dois ou mais placas de rede no mesmo rede externa (ou duas ou mais redes podem atingir o destino t�nel IP 3rdExtIP), existe o potencial para o seguinte:

Tr�fego de t�nel de sa�da deixa numa interface e o tr�fego de t�nel de entrada � recebido uma interface diferente. Mesmo se utilizar placas de rede de descarregamento de IPSec, receber numa interface diferente (que � enviado o tr�fego de t�nel de sa�da) n�o permite que a placa de rede receptora para processar a encripta��o no hardware, dado obt�m apenas a interface de sa�da descarregar a associa��o de seguran�a (SA).
Tr�fego de t�nel de sa�da deixa numa interface que � diferente do que a interface tem o endere�o IP do ponto final de t�nel. O IP de origem do pacote de t�nel � o IP de origem na interface de sa�da. Se n�o for este o IP de origem que � esperado no final, o t�nel n�o � estabelecido (ou pacotes s�o ignorados pelo ponto final remoto se j� tiver sido estabelecido o t�nel).

Para resolver o problema de envio de tr�fego de t�nel de sa�da na interface errada, defina uma rota est�tica para ligar tr�fego NetB para a interface externa apropriada:

Na MMC do RRAS, expanda a �rvore de servidor, expanda a sub�rvore de Encaminhamento IP, clique com o bot�o direito do rato em Rotas est�ticas e, em seguida, clique em Novo est�tico rota.
Na �rea de interface, clique em W2KextIP (se esta � a interface que pretende utilizar sempre para o tr�fego de t�nel de sa�da).
Preencha as caixas de destino e M�scara de rede para reflectir NetB.
Na caixa gateway, escreva 3rdextip.
Manter o valor de m�trica definido para a predefini��o (1) e, em seguida, clique em OK.

Nota: para resolver o problema de receber tr�fego de t�nel de entrada na interface errado, n�o anunciar o endere�o IP da interface utilizando um protocolo de encaminhamento e configurar um filtro de RRAS para largar pacotes para NetA ou W2KextIP conforme indicado na sec��o "Como para configurar RRAS filtragem" deste artigo.

Voltar ao topo

Testar o t�nel IPSec

Pode iniciar o t�nel executando o ping a partir de um computador em NetA a um computador na NetB (ou de NetB para NetA). Se tiver criado correctamente os filtros e atribuiu a pol�tica correcta, dois gateways estabelecer um t�nel IPSec, de modo a poderem enviar tr�fego ICMP a partir do comando ping em formato encriptado.

Mesmo se o comando ping funcionar, deve verificar que o tr�fego ICMP foi enviado em formato encriptado do gateway a gateway. Pode utilizar as seguintes ferramentas para efectuar este procedimento.

Activar a auditoria de eventos de in�cio de sess�o e de acesso a objectos

Este regista eventos no registo de seguran�a a inform�-lo se IKE foi tentada a negocia��o de associa��o de seguran�a e se foi ou n�o bem sucedida.

Utilizando o snap-in MMC da pol�tica de grupo, expanda Pol�tica computador local e, v� para configura��o/Windows Settings/seguran�a do computador defini��es/local/Auditar pol�ticas pol�tica.
Activar o �xito e falha de auditoria para "Auditar eventos de in�cio de sess�o" e "Auditar o acesso a objectos".

Nota: Se o gateway de Windows 2000 � um membro de um dom�nio e se estiver a utilizar uma pol�tica de dom�nio para auditoria, a pol�tica de dom�nio substitui a pol�tica local. Neste caso, modifique a pol�tica de dom�nio.

Monitor de seguran�a IP

Esta ferramenta mostra as estat�sticas IPSec e SAs activas. Depois de tentar estabelecer o t�nel utilizando o comando ping, pode ver se uma SA foi criada (se a cria��o de t�nel for bem sucedida, uma SA � apresentada). Se o comando ping com �xito mas n�o existe nenhum SA, o tr�fego ICMP n�o foi protegido pelo IPSec. Se vir uma "associa��o tempor�ria" que n�o existia anteriormente, o IPSec combina permitir este tr�fego de ir no simples (sem encripta��o).

Para carregar o Monitor de seguran�a IP, clique em Iniciar, clique em Executar e, em seguida, escreva ipsecmon.

Monitor de rede

Pode utilizar o Monitor de rede para capturar tr�fego vai atrav�s da interface de W2KextIP enquanto tenta efectuar o ping do computador. Se pode ver os pacotes ICMP na captura com endere�os IP de origem e destino correspondente ao endere�o IP do computador a partir do qual s�o ping e o computador que est� a tentar efectuar o ping e, em seguida, IPSec n�o est� a proteger o tr�fego. Se n�o vir o tr�fego ICMP mas Consulte pacotes ISAKMP e o ESP em vez disso, IPSec est� a proteger o tr�fego. Se estiver a utilizar apenas o protocolo Authentication Header (AH) IPSec, ver� o tr�fego ISAKMP seguido de pacotes ICMP. Pacotes ISAKMP s�o a negocia��o IKE real decorre e pacotes ESP s�o os dados de payload encriptados pelo IPSec no protocolo.

Pode instalar o Monitor de rede a partir do CD-ROM do Windows 2000 Server. N�o est� dispon�vel no CD-ROM do Windows 2000 Professional, mas pode instalar a ferramenta num computador com o Windows 2000 Professional se tiver o Microsoft Systems Management Server (SMS).

Para obter informa��es adicionais sobre como instalar o Monitor de rede no Windows 2000, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

243270� (http://support.microsoft.com/kb/243270/ ) Como instalar o Monitor de rede no Windows 2000

Teste real

Antes tente efectuar o ping a partir de um computador numa sub-rede para o outro (NetA ou NetB), tipo ipconfig numa linha de comandos. As interfaces de rede que foi inicializadas na pilha de TCP/IP s�o apresentadas.
Execute a ferramenta Monitor de seguran�a IP.
Carregar o Monitor de rede, clique em Capturar/rede e, em seguida, clique na interface de W2KextIP (que pode iniciar uma captura clicando em Iniciar/captura).
Tentativa de efectuar o ping do computador. Os pacotes de eco ICMP primeiro poder�o tempo limite enquanto o t�nel IPSec est� a ser criado. Se a tentativa de ping n�o tiver �xito, verifique os registos de seguran�a e sistema.
Se a tentativa de ping tiver �xito, pare o Monitor de rede captura e ver se o tr�fego ICMP entrou no simples ou se acabou Consulte pacotes de protocolo ISAKMP e o IPSec. Verifique o Monitor de seguran�a IP para ver se uma SA foi criada utilizando NetA ao filtro de NetB que criou. Verifique tamb�m o registo de seguran�a. Dever� ver o ID de eventos 541 (associa��o de seguran�a IKE estabelecida).
Escrever ipconfig numa linha de comandos novamente para ver que n�o existe nenhuma interface TCP/IP adicional enquanto o t�nel � c�pia. Isto acontece porque o IPSec, na realidade, est� a proteger o tr�fego vai atrav�s da interface f�sica (W2KextIP).

Se o gateway remoto tamb�m for um n� do Windows 2000, tenha em considera��o as seguintes informa��es:

O gateway predefinido para clientes em NetA deve ser W2KextIP; o gateway predefinido para clientes em NetB deve ser 3rdIntIP.
Um t�nel IPSec n�o altera a forma como o tr�fego � encaminhado no gateway Windows 2000 (que � capaz de encaminhar pacotes uma vez que o encaminhamento est� activado no RRAS; LAN real ou WAN interface m�tricas ainda s�o utilizadas.

Nota Modo de t�nel IPSec n�o funciona directamente com um ponto final que executa a convers�o de endere�os de rede (NAT) ou Microsoft Internet Security Acceleration Server (ISA). Para obter informa��es adicionais sobre esta limita��o, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

314764� (http://support.microsoft.com/kb/314764/ ) Utilizar Internet Protocol Security com NAT e Internet Security Acceleration Server

Para obter mais informa��es sobre a RRAS, consulte a ajuda do Windows 2000. Para aceder � ajuda online, visite o seguinte Web site da Microsoft:

http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx (http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx)

� poss�vel localizar o Windows 2000 Resource Kit, instru��es passo a passo e outra documenta��o t�cnica no seguinte Web site da Microsoft:

http://technet.microsoft.com/en-us/windowsserver/2000/default.aspx (http://technet.microsoft.com/en-us/windowsserver/2000/default.aspx)

Para obter informa��es adicionais sobre associa��es tempor�rias, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

234580� (http://support.microsoft.com/kb/234580/ ) 'Associa��es tempor�rias' entre computadores IPSec-activada e n�o-IPSec-activado

Para informa��es de normas da IETF, consulte os Web sites apropriados:

IPSec
http://www.ietf.org/rfc/rfc2401.txt (http://www.ietf.org/rfc/rfc2401.txt)
L2TP
http://www.ietf.org/html.charters/pppext-charter.html (http://www.ietf.org/html.charters/pppext-charter.html)

ftp://ftp.isi.edu/in-notes/rfc2661.txt (ftp://ftp.isi.edu/in-notes/rfc2661.txt)

http://www.ietf.org/html.charters/l2tpext-charter.html (http://www.ietf.org/html.charters/l2tpext-charter.html)

A Microsoft fornece informa��es de contactos de outros fabricantes para o ajudar a encontrar suporte t�cnico. Estas informa��es de contacto poder� ser alterado sem aviso pr�vio. A Microsoft n�o garante a precis�o este informa��es de contacto de outros fabricantes.

Voltar ao topo

A informa��o contida neste artigo aplica-se a:

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

Voltar ao topo

kbmt kb3rdparty kbhowto kbnetwork KB252735 KbMtpt

Voltar ao topo

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 252735� (http://support.microsoft.com/kb/252735/en-us/ )

Voltar ao topo

This site in other countries/regions:

Como configurar o IPSec Tunneling in Windows 2000

Importante

Importante

Nesta p�gina

Sum�rio

Mais Informa��o

Como criar a pol�tica IPSec

Como criar uma lista de filtros de NetA para NetB

Como criar uma lista de filtros de NetB para NetA

Como configurar uma regra para um t�nel NetA-NetB

Como configurar uma regra para um t�nel NetB-NetA

Como atribuir a nova pol�tica de IPSec para O Gateway 2000 do Windows

Como configurar a filtragem de RRAS

Como configurar rotas est�ticas no RRAS

Testar o t�nel IPSec

Activar a auditoria de eventos de in�cio de sess�o e de acesso a objectos

Monitor de seguran�a IP

Monitor de rede

Teste real

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Tradu��es de Artigos

Centros de suporte relacionados