Artikel-ID: 257225 - Geändert am: Freitag, 12. Oktober 2007 - Version: 7.3

IPSec zu Problembehandlung in Microsoft Windows 2000 Server

Deutsch und Englisch nebeneinanderMaschinell-übersetzte und englische Version des Artikels nebenander anzeigen
Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Produkte anzeigen, auf die sich dieser Artikel bezieht

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

Überprüfen Sie den Erfolg von IKE-Sicherheitssaushandlung zunächst Sie, um IPSec-Verbindungsprobleme in Microsoft Windows 2000 behandeln können. Aktivieren Sie Überwachungsrichtlinie zu Zweck, und untersuchen Sie anschließend das Sicherheitsprotokoll. Verwenden Sie zu dem Anzeigen von Debugging-Information das Befehlszeile-Programm Netdiag.exe als nächste. Anschließend untersucht zwei die Ihre IPSec-Eigenschaften der Richtlinie und Ihre IPSec-Regeln das Problem je nach Phase eins ob auftritt, oder in Phase.

Verwenden Sie IP-Sicherheitsmonitor, um weitere Information zu IPSec- und Sicherheitszuordnungen anzuzeigen. Um IKE-Statistiken anzuzeigen, können Sie IP-Sicherheitsmonitor auch verwenden. Verwenden Sie Netzwerkmonitor, um Netzwerkverkehr und den Status der verschiedenen Protokolle, die in Ihrem Netzwerk verwandt werden, zu analysieren. Zu dem Beheben von Instanzen, in denen das IP-abladen bei IPSec-Paketen auftritt, können Sie den Netsh-Befehl verwenden.

Für diesen Artikel können Sie die Information auch für folgende Aufgaben verwenden:
  • Rufen Sie ein Oakley-Protokoll ab
  • Grundlegend zu den Inhalten der Ereignisprotokolle
  • Behandeln Sie so "fehlerhaft SPI" Meldungen
  • Starten Sie den Richtlinienagenten neu
  • Überprüfen Sie die Integrität Ihrer Richtlinien
Zum Anfang

EINFÜHRUNG

Dieser Artikel enthält Richtlinien für das Behandeln von Sicherheit (IPSec) IP-Verbindungsproblemen in Microsoft Windows 2000 zu können. Um freigegebene Sicherheitsparameter herzustellen, basiert IPSec auf dem IKE-Protokoll, und IPSec authentifizierte Schlüssel zwischen zwei Computern. Das IKE-Protokoll verwendet zwei Phasen. Tauschen Sie in der Phase aus, in der einer Windows 2000 das IKE Security Association und den Hauptmodus Key Management Protocol (ISAKMP) verwendet. (Windows 2000 unterstützt Aggressiver Modus nicht). Wenn der Phasenaustausch einen gesicherten Kanal bereitstellt, beziehen die Computer einen authentifizierten Schlüssel und eine IKE-Sicherheitszuordnung. Dieser gesicherte Kanal wird bei zweiter Phase verwandt, um das Quick Mode Exchange zu schützen. Das Quick Mode Exchange stellt IPSec-Sicherheitszuordnungen bereit.

Zum Anfang

Weitere Informationen

Zum Anfang

Grundlegende IPSec-Problembehandlung

Aktivieren Sie zuerst Überwachungsrichtlinie, und überprüfen Sie dann die Ergebnisse Phase eins und Phase zwei Austausche, um IPSec zu beheben. Wenn Sie Überwachungsrichtlinie aktivieren, werden Sicherheitsereignisse in dem Sicherheitsprotokoll protokolliert. Sie können feststellen, indem Sie das Sicherheitsprotokoll untersuchen, ob IKE-Sicherheitsassoziationsverhandlung erfolgreich ist. Gehen Sie folgendermaßen vor, um Überwachungsrichtlinie zu aktivieren:
  1. Erweitern Sie in Gruppenrichtlinie Richtlinien für Lokaler Computer.
  2. Suchen Sie und klicken Sie dann auf Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy.
  3. Klicken Sie mit der rechten Maustaste das Sie im Detailfenster auf Anmeldeereignisse überwachen, und klicken Sie dann auf Sicherheit.
  4. Um Fehler auszuwählen, klickt Option Auswählen durch Klicken Success und Option Auswählen durch Klicken Success klickt dann auf OK.
  5. Klicken Sie mit der rechten Maustaste das Sie im Detailfenster auf Objektzugriffsversuche überwachen, und klicken Sie dann auf Sicherheit.
  6. Um Fehler auszuwählen, klickt Option Auswählen durch Klicken Success und Option Auswählen durch Klicken Success klickt dann auf OK.
Hinweis: die Domäne-Richtlinie überschreibt Ihre lokale Richtlinie, wenn Sie eine Domäne-Richtlinie für die Überwachung verwenden.

Geben Sie als nächste den folgenden Befehl ein, das Befehlszeile-Programm Netdiag.exe zu verwenden:
netdiag /test:ipsec /debug
Dieser Befehl zeigt De-Buginformation über zweite Phase an.

Hinweis: auf dem Tool-Support-Windows 2000-Paket muss Ihre installiert werden, damit Netdiag.exe nutzen kann. Gehen Sie folgendermaßen vor, um das Windows 2000-Supporttool zu installieren:
  1. Starten Sie Windows2000

    Hinweis: Sie müssen sich als ein Mitglied der Administrator-Gruppe anmelden, um diese Tools zu installieren.
  2. Legen Sie in Ihrem CD-Laufwerk die Windows 2000-CD ein.
  3. Klicken Sie auf Diese CD durchsuchen, und öffnen Sie anschließend den Ordner Support\Tools.
  4. Doppelklicken Sie auf Setup.exe, und befolgen Sie dann auf den Bildschirm die Anweisungen.
Um die Richtlinie ohne eine aktive Verbindung anzuzeigen, können Sie Netdiag.exe auch verwenden. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein und drücken Sie anschließend die [Eingabetaste]:
netdiag /test:ipsec /v
Dieser Befehl zeigt die aktuelle Richtlinie und die IPSec-Statistiken in bezug auf Phase eins an.

Überprüfen Sie die IKE-Einstellungen und die IKE-Authentifizierungsmethoden in Ihren IPSec-Eigenschaften der Richtlinie, wenn die protokollierten Ereignisse anzeigen, dass ein Phase-Haupt-Modus-Austausch fehlschlägt. Gehen Sie hierzu folgendermaßen vor
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie secpol.msc ein, und klicken Sie dann auf OK.
  2. Klicken Sie auf die IPSec-Regel, die Sie möchten, auf IPsec rules zu klicken, mit der rechten Maustaste zu klicken und auf Eigenschaft dann zu klicken.
  3. Klicken Sie auf die Registerkarte Allgemein, und überprüfen Sie dann dass die Einstellungen korrekt sind.
  4. Klicken Sie auf Erweitert, untersuchen Sie die Einstellungen, klicken Sie auf Methoden, und untersuchen Sie anschließend die Einstellungen.
  5. Klicken Sie zwei mal auf OK.
  6. Klicken Sie auf Registerkarte Regeln, klicken Sie auf Bearbeiten, und klicken Sie dann auf die Registerkarte der Authentifizierungsmethoden.
  7. Untersuchen Sie die Einstellungen auf dieser Registerkarte.
Überprüfen Sie die IPSec-Sicherheit-IPSec-IPSec-Methoden in den Regeln und Ihren Eigenschaften der Richtlinie, wenn die protokollierten Ereignisse anzeigen, dass die zwei Schnell-Modus-Fehler phasenbasiert. Gehen Sie hierzu folgendermaßen vor
  1. Klicken Sie auf die IPSec-Regel, die Sie möchten, Bearbeiten zu überprüfen, auf Bearbeiten zu klicken und auf die Registerfilterkarte Aktion dann zu klicken.
  2. Klicken Sie auf die Filteraktion, die aktiviert ist, klicken Sie auf Bearbeiten, und untersuchen Sie die Einstellungen.
Zum Anfang

Verwenden von IP-Sicherheitsmonitor

Mit der Hilfe des IP-Sicherheitsmonitors können Sie Ihre Sicherheitszuordnungen, Ihre IPSec-Statistiken und Ihre IKE-Statistiken überwachen. Insbesondere können Sie IP-Sicherheitsmonitor verwenden, um den Erfolg Authentifizierung und Sicherheitszuordnungen zu überprüfen. Starten von IP-Sicherheitsmonitor auf Start klicken, auf Ausführen klicken Typ ipsecmon , Und dann klicken Sie auf OK

Hinweis: IP-Sicherheitsmonitor zeigt Statistik für den lokalen Computer standardmäßig an. Angeben eines Remotecomputer auf Start klicken, auf Ausführen klicken Typ ipsecmon computer_name , Und dann klicken Sie auf OK.

Das obere Gruppenfeld in dem IP-Dialogsicherheitsmonitorfeld zeigt die aktiven Sicherheitszuordnungen und die Konfiguration der aktiven Richtlinie an. Die folgende IPSec-Statistik wird in dem linken unteren Gruppenfeld angezeigt:
  • Aktive Zuordnungen
    Die Nummer aktiver Sicherheitszuordnungen.
  • Vertrauliches gesandtes Byte
    Die Anzahl der Byte, die gesandt wird, indem das ESP-Sicherheitsprotokoll (dezimales ID 50) verwendet.
  • Vertraulich empfangene Bytes
    Die Anzahl der Byte, die die empfangen wird, indem das ESP-Sicherheitsprotokoll verwendet.
  • Authentifizierte gesendete Bytes
    Die Anzahl der Byte, gesandt wird, mit der Authentifizierungseigenschaft, die aktiviert wird.
  • Authentifizierte empfangene Bytes
    Die Anzahl der Byte, die mit der Authentifizierungseigenschaft empfangen wird, die aktiviert wird.
  • Fehlerhafte SPI - Pakete-Pakete
    Von Paketen, Sicherheit-Parameter-Index wobei ungültig ist, der Anzahl. Eine positive Zahl zeigt wahrscheinlich an, dass die Sicherheitszuordnung abgelaufen ist, oder nicht mehr gültig ist.

    Das SPI ist ein eindeutiger identifizierender Wert in der Sicherheitszuordnung. Dieser Wert kann der empfangende Computer die zu verwendende, um das Paket zu verarbeiten Sicherheitszuordnung bestimmen.
  • Pakete, die nicht entschlüsselt werden
    Die Anzahl der Pakete, die der empfangende IPSec-Treiber nicht entschlüsseln kann. Eine positive Zahl deutet auf einem oder mehreren folgenden Problemen hin:
    • Die Sicherheitszuordnung ist abgelaufen
    • Die Sicherheitszuordnung ist nicht mehr gültig
    • Authentifizierung wurde fehlgeschlagen
    • Die Integritätsprüfung schlug fehl
  • Pakete, die nicht authentifiziert werden
    Die Anzahl der Pakete, die an dem IPSec-Treiber nicht authentifiziert wurde. Eine positive Zahl kann anzeigen, dass die Sicherheitszuordnung abgelaufen ist, oder nicht mehr gültig ist. Der IPSec-Treiber muss die Information in der Sicherheitszuordnung enthalten, um die Pakete zu verarbeiten.

    Eine positive Nummer kann außerdem angeben, dass die zwei Computer über inkompatible Authentifizierungseinstellungen verfügen. Überprüfen Sie, dass die Authentifizierungsmethode für jeden Computer übereinstimmt.
  • Schlüsseladditionen
    Die Nummer Schlüssel, die der ISAKMP-Oakley-Mechanismus an den IPSec-Treiber sendete. Eine positive Nummer gibt an, dass die zwei ISAKMP-Phasensicherheitszuordnungen erfolgreich ausgehandelt wurden.
ISAKMP-Oakley-Statistiken werden in dem rechten unteren Fensterbereich gesucht. In dem rechten unteren Bereich wird die folgende Statistik für den ISAKMP-Oakley-Sicherheitsmechanismus angezeigt:
  • Oakley-Hauptmodus
    Die Anzahl erfolgreicher Sicherheitszuordnungen, die während ISAKMP eingerichtet wurden, phasenbasieren einen. Eine positive Zahl zeigt an, dass der Informationsschlüsselaustausch erfolgreich war. Identitäten wurden authentifiziert, und gemeinsame Schlüsseldaten wurden etabliert
  • Oakley-Schnellmodus
    Die Anzahl erfolgreicher Sicherheitszuordnungen, die während ISAKMP eingerichtet wurden, phasenbasieren zwei. Eine positive Zahl zeigt an, dass die Verhandlung für Schutzdienste während der Dateiübertragung erfolgreich war.
  • Weiche Zuordnungen
    Die Nummer von ISAKMP phasenbasieren zwei Verhandlungen, die zu den Computern führten, die nur einem Daten-Klartext-Transfer zustimmen. Ein Daten-Klartext-Transfer umfasst keine Verschlüsselung oder kein Signieren der Pakete nicht.
  • Authentifizierungsfehler
    Die Nummer zeitsteuert die Authentifizierung von dem Computer, den Identitäten fehlschlugen. Überprüfen Sie Kompatibilität der Authentifizierungsmethodeneinstellungen für jeden Computer, ist diese Anzahl positiv. Eine positive Zahl kann außerdem hinweisen, abgelaufen ist auf die Sicherheitszuordnung.
  • Konfigurieren von Ipsecmon
    Eine konfigurierbar Option, die es ermöglicht, Sie die Aktualisierungsrate der Daten anzupassen.
IP-Sicherheitsmonitor gibt außerdem an, ob IP-Sicherheit aktiviert ist. Diese Information befindet sich in dem rechten unteren Gruppenfeld in dem IP-Dialogsicherheitsmonitorfeld. Starten Sie das IP Security Policy Agent neu zu dem Zurücksetzen der Statistik in IPSec-Monitor, indem Sie Computerverwaltung (Compmgmt.msc) verwenden.

Zum Anfang

Verwenden von Netzwerkmonitor

Zu dem Analysieren von folgenden können Sie Netzwerkmonitor verwenden:
  • Netzwerkverkehr
  • Das IKE-Austauschprotokoll
  • Das IPSec-Protokoll
  • Das ESP-Protokoll
  • Authentication Header (AH)
Zum Anfang

Abrufen eines Oakley-Protokolls

Wichtig: der Abschnitt, die Methode oder der Vorgang enthalten Schritte, die Ihnen das Ändern der Registrierung mitteilen. Schwerwiegende Probleme können jedoch falsch bei dem Ändern der Registrierung auftreten. Stellen Sie daher sicher, dass Sie folgendermaßen sorgfältig vorgehen. Sichern Sie die Registrierung für Schutz zu dem hinzugefügten, bevor Sie es ändern. Sie können die Registrierung anschließend wiederherstellen, wenn ein Problem auftritt. Erhalten Sie Weitere Informationen wie zu dem Sichern und dem Wiederherstellen der Registrierung, indem auf die folgende Artikelanzahl klickt, um den Artikel der Microsoft Knowledge Base zu lesen:
322756  (http://support.microsoft.com/kb/322756/ ) Wie gesichert und Wiederherstellen der Registrierung in Windows


Entwickler und Netzwerkadministratoren, die IKE-Wissen erweitert haben, können die Registrierung ändern, um ein Oakley-Protokoll zu erhalten. Verwenden Sie dazu Registrierungs-Editor, um den folgenden Registrierungsunterschlüssel zu suchen. Erstellen Sie es, wenn der Unterschlüssel nicht existiert.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Fügen Sie einen Eintrag des REG_DWORD-Typenwerts, der "EnableLogging" benannt wird, hinzu Weisen Sie diesem Eintrag einen Wert 1 zu. Wenn dieser Eintrag wirksam wird, wird eine Datei Oakley.log in dem %systemroot%\Debug-Ordner erstellt.

Hinweis: weisen Sie einen Wert 0 dem EnableLogging-Eintrag zu, um die Protokollierung zu deaktivieren.

Zum Anfang

Verwenden des Netsh-Befehls

Zu dem Beheben von Instanzen, in denen das IP-abladen bei IPSec-Paketen auftritt, können Sie den Netsh-Befehl verwenden. Wenn die Netzwerkkarte statt der CPU IP-Funktionen ausführt, tritt das IP-abladen auf. Beispielsweise tritt das IP-abladen auf, wenn die Netzwerkkarte Berechnungen von Prüfsumme ausführt oder wenn Paketverschlüsselung und Entschlüsselung durchführt. Das IP-abladen verursacht, den IPSec-Treiber das Paket zu verwerfen. Gehen Sie folgendermaßen vor, um festzustellen, ob eine Schnittstelle ausführen kann, IP abzuladen:
  1. Auf Start klickt Sie, klicken Sie auf Ausführen, Typ cmd, Und dann klicken Sie auf OK.
  2. Geben Sie Folgendes in die Eingabeaufforderung ein netsh int ip show offload, Und die EINGABETASTE dann drückt.
Dieser Befehl zeigt die abladenden Funktionen der Schnittstelle an. Der Befehl zeigt Statistik jedoch nicht an. Verwenden Sie IP-Sicherheitsmonitor, um Statistik anzuzeigen, um vertrauliche Byte zu überwachen, die empfangen werden. Legen Sie in diesen Statistiken fest, dass Pakete verloren werden, oder erhalten werden sollen.

Gehen Sie folgendermaßen vor, um IP-abladen zu deaktivieren, um die Registrierung zu ändern:
  1. Auf Start klickt Sie, klicken Sie auf Ausführen, Typ regedit , Und dann klicken Sie auf OK.
  2. Klicken Sie auf folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
    Gehen Sie folgendermaßen, wenn der Enableoffload-Eintrag nicht vorhanden ist, vor, um den Eintrag zu erstellen:
    1. Klicken Sie mit der rechten Maustaste auf IPSEC, zeigen Sie auf Neu, und klicken Sie dann auf DWORD value.
    2. Typ EnableOffload Benennen des neuen Werts und dann Drücken der EINGABETASTE.
    3. Doppelklicken Sie auf EnableOffload.
    4. Typ 0 , Und die EINGABETASTE dann drückt.
Wenn die IP-Verbindung Sie die Verbindung von beheben, erfolgreich ist, wird das Problem verursacht IP von abladen.

Zum Anfang

Ereignisprotokoll

Die möglicherweise folgenden Ereignisse werden in dem Sicherheitsereignisprotokoll protokolliert: 
  • Informational event 279
Source: PolicyAgent 
Category: None
    Dieses Ereignis zeigt folgend an:
    • Ob ist in Kraft eine IPSec-Richtlinie
    • Der Quell der IPSec-Richtlinie
    • Das Abruf-Active Directory-Intervall, wenn der Quell der Richtlinie eine Domäne ist
    Wenn eine IPSec-Richtlinie geändert wurde, enthält der Ereignistext darüber hinaus "Aktualisieripsec-richtlinie". 
  • Error event 284
Source: PolicyAgent 
Category: None
    Dieses Ereignis zeigt an, dass der IP-Sicherheitsrichtlinienagent das Active Directory für die Domäne herstellen kann, zu der der Computer gehört. 
  • Audit event 541
Source: Security 
Category: Logon/Logoff
    Dieses Ereignis zeigt an, dass eine IPSec-Sicherheitsfestplattenzuordnung eingerichtet worden ist. Schwache Sicherheitszuordnungen werden nicht überwacht. 
  • Audit event 542
Source: Security 
Category: Logon/Logoff
    Dieses Ereignis zeigt an, dass eine IPSec-Sicherheitszuordnung beendet worden ist. Die beendete Sicherheitszuordnung kann schwer oder weich sein.
Die möglicherweise folgenden Ereignisse werden in dem Anwendungsereignisprotokoll protokolliert. Das Ereignisprotokoll der Anwendung enthält Nachrichten von ISAKMP/Oakley. Die folgenden Ereignisse zeigen an, dass eine inländische Version von Windows 2000 versuchte, höhere als ein Exportclient unterstützen kann Sicherheit auszuhandeln. 
  • Warning event 541
Source: Oakley 
Category: None
    Dieses Ereignis zeigt an, dass das Exportclient domestic-strength Schlüsselmaterial nicht erstellen kann. Die resultierende Verhandlung stimmt lediglich auf Export-strength-Schlüsselmaterial überein. 
  • Warning event 542
Source: Oakley 
Category: None
    Dieses Ereignis zeigt an, dass das Exportclient stärkere als Data Encryption Standard (DES) Verschlüsselung nicht durchführen kann. Wenn der andere Computer DES unterstützt, stimmt die resultierende Verhandlung nur auf DES überein.
Zum Anfang

Allgemein zu Problembehandlung

Ereignis Messaging die Problembehandlung bei "fehlerhaftem SPI" Viewer

Meldungen von "Fehlerhafte SPI - Pakete" werden unter den folgenden Umständen protokolliert:
  • Wenn ein Wert für Schlüsselgültigkeitsdauer ist zu niedrig eingestellt
  • Wenn setzt der Absender fort, Daten an dem Empfänger zu übertragen, nachdem die Sicherheitszuordnung abgelaufen ist
Wenn Sie eine neue Sicherheitszuordnung empfangen, müssen Sie die Übertragung von Daten auf es starten. Wenn Sie mit einem langsameren Responder kommunizieren, empfängt das langsamere Responder möglicherweise jedoch IPSed-protected Daten, die es nicht erkennt. Das Responder berücksichtigt ein SPI, dass es "ein fehlerhaftes SPI" nicht erkennt Verwenden Sie IP-Sicherheitsmonitor, um die Nummer von Schlüsseln zu überprüfen, um das Problem zu ermitteln, und es zu beheben. Berücksichtigen Sie, wie lang die Verbindungen aktiv sind. Konfigurieren Sie längere Schlüssellebensdauern in der Richtlinie, wenn die Zahl von Schlüsseln sehr groß ist. Zulässige Werte für Ethernet-Verbindungen von high-traffic sind mehr als 50 Megabyte und mehr als fünf Minuten.

Möglicherweise verhindert das Konfigurieren längerer Werte fehlerhafte SPI nicht. Deutlich kann das Konfigurieren längerer Werte die Nummer von fehlerhaften SPI jedoch senken. Um anzuzeigen, dass wegen eines fehlerhaften SPI Pakete verworfen wurden, protokolliert Windows 2000 Server normalerweise Ereignis 4268.

Wenn IP-Sicherheitsmonitor angibt, dass gesicherte Sicherheitszuordnungen nicht eingerichtet werden, verhindern nicht sichere Sicherheitszuordnungen gesicherte Sicherheitszuordnungen möglicherweise von dem Einrichten.

Hinweis: eine gesicherte Sicherheitszuordnung ist auch Harte eine Sicherheitszuordnung. Eine nicht sichere Sicherheitszuordnung ist auch Weichzeichner eine Sicherheitszuordnung.

Führen Sie auf einem Peer Computer IP-Sicherheitsmonitor aus. Wenn eine Sicherheitszuordnung besteht und wenn Sicherheit auf Keine gesetzt wird, besteht eine nicht sichere Sicherheitszuordnung. Eine nicht sichere Sicherheitszuordnung bleibt auf dem Computer, sol. Datenverkehr regelmäßig gesandt wird. Beenden Sie gesamten Datenverkehr, um diese Bedingung zu verhindern, bis die Sicherheitszuordnung das Zeitlimit überschreitet. Die Sicherheitszuordnung überschreitet das Zeitlimit normalerweise in fünf Minuten. Verwenden Sie IP-Sicherheitsmonitor, um sicherzustellen, dass die Sicherheitszuordnung nicht länger eingerichtet wird, und starten Sie dann Datenverkehr erneut. Wenn Richtlinien kompatibel sind, wird automatisch eine gesicherte Sicherheitszuordnung eingerichtet. Starten Sie den Richtlinienagenten neu um alle nicht sichere Sicherheitszuordnungen zu löschen.

Installieren Sie die IPSec-Komponenten neu, indem Sie das TCP-IP-Netzwerkprotokoll entfernen und neu anschließend installieren, wenn die Dateien entfernt werden, die für IPSec-Komponenten erforderlich sind oder wenn gelöscht werden, die für IPSec-Komponenten erforderlich sind. Dateien, die IPSec-Komponenten benötigen, umfassen folgend:
  • ISAKMP/Oakley
  • IPSec-Richtlinienagent
  • Der IPSec-Treiber
IPSec-Komponenten werden neu installiert, wenn Sie TCP/IP installieren.

Aufgrund inkompatiblen IPSec-Richtlinieneinstellungen können IPSec-Aushandlungen fehlschlagen. Überprüfen Sie das Sicherheitsereignisprotokoll auf jedem Computer, der zu einer Verhandlung gehört. Aktuelle Ereignisse zeichnen möglicherweise Versuche auf, eine Oakley-Verhandlung auszuführen. Die Ereignisse können eine Beschreibung des Erfolgs oder des Fehlers enthalten.

Überprüfen Sie die Integrität der Richtlinie auf jedem Computer. Gehen Sie folgendermaßen vor, um die Ursache von einem Richtlinienkonflikt festzustellen:
  1. Stellen Sie sicher, dass die Authentifizierungsmethoden kompatibel sind.
  2. Nehmen Sie ordnungsgemäße Konfiguration der mindestens kompatiblen Sicherheitsmethode vor.
  3. Stellen Sie, dass die Tunneleinstellungen von Endpunkt richtig sind sicher, wenn Sie IPSec-Tunnel verwenden. Stellen Sie außerdem sicher, dass die Endpunkt-Computer ordnungsgemäß funktionieren.

    Beachten Sie, dass die Tunneleinstellungen von Endpunkt Einstellungen für ISAKMP/Oakley, den IPSec-Richtlinienagenten und den IPSec-Treiber enthalten.
Untersuchen Sie die letzte Zeile in dem Richtlinienagentenprotokoll, wenn in dem Ereignisprotokoll "Falscher IPSec-Richtlinienspeicherort" angezeigt wird. Das Protokoll kann auf dem Speicherort der Richtlinie, die verwandt wurde, hinweisen. Gehen Sie folgendermaßen vor, wenn der Richtlinienspeicherort nicht protokolliert wird:
  1. Auf Start klickt Sie, klicken Sie auf Ausführen, Typ cmd, Und dann klicken Sie auf OK.
  2. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]
    findstr %systemroot%\ipsecpa.log
    Hinweis: dieser Befehl ist von Großschreibung von Kleinschreibung abhängig.
Das Protokoll gibt an, ob Gruppenrichtlinieneinstellungen oder lokale Computerrichtlinieneinstellungen verwandt werden.

Neu Starten des Richtlinienagenten

Wenn Sie den Richtlinienagenten neu starten, entfernen Sie alte oder nicht sichere Sicherheitszuordnungen. Starten Sie den Richtlinienagenten neu, wenn IP-Sicherheitsmonitor beliebige Sicherheitssaushandlungen nicht anzeigt. Starten Sie den Richtlinienagenten neu außerdem, wenn Sie eine Richtlinie der Domäne oder des Richtlinienspeichers downloaden möchten.

Überprüfen von Richtlinienintegrität

In Active Directory wird davon ausgegangen, dass die letzten Änderungen aktuell sind. Kann jedoch zu Fehlern bei den Verknüpfungen zwischen Richtlinienkomponenten führen, wenn mehrere Administratoren versuchen, eine Richtlinie gleichzeitig zu ändern. Eine Richtlinienintegritätsprüfung behebt dieses Problem, indem eine Richtlinienintegritätsprüfung die Verknüpfungen in allen IPSec-Richtlinien überprüft. Führen Sie eine Integritätsprüfung aus, nachdem Änderungen an eine Richtlinie vorgenommen werden. Gehen Sie folgendermaßen vor, um IPSec-Richtlinienintegrität zu testen:
  1. Auf Start klickt Sie, klicken Sie auf Ausführen, Typ secpol.msc Klicken Sie dann auf OK
  2. Klicken Sie mit der rechten Maustaste auf IP Security Policies on the Local Machine, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Richtlinienintegrität prüfen.

Überprüfen der Treiber- von Registrierung und der Richtlinie-IPSec-Agenteneinstellungen von Registrierung

Die Einstellungen für den IPSec-Treiber befinden sich in dem folgenden Registrierungsteilschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
Sie können die Werte der folgenden Einträge ändern:
  • SAIdleTime

    Dieser REG_DWORD-Eintrag konfiguriert das Security Association Idle Timer. Der Standardwert ist 300 Sekunden. Sie können einen Wert von 300 bis 3600 Sekunden angeben.
  • CacheSize

    Dieser REG_DWORD-Eintrag konfiguriert die IP header-based Cache-Größe. 64 KB ist der Standardwert. Sie können einen Wert von 64 bis 1024 KB angeben.
  • SAHashSize

    Dieser REG_DWORD-Eintrag konfiguriert die Größe von dem SPI. Es konfiguriert die Zieltabelle für eingehende Sicherheitszuordnungen außerdem. 64 KB ist der Standardwert. Sie können einen Wert von 64 bis 1024 KB angeben.
Die Einstellungen des Richtlinienagenten befinden sich in dem folgenden Registrierungsteilschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Sie können die Werte der folgenden Einträge ändern:
  • Debuggen Sie

    REG_DWORD hat den Datentypen. Der Standardwert ist 0. Ein Wert 1 aktiviert die Protokollierung. Wenn die Protokollierung aktiviert ist, wird die Ipsecpa.log-Datei in dem Leistung-System-root%\Debug-Ordner erstellt.
  • Protokoll

    REG_SZ hat den Datentypen. Um die Protokolldatei zu öffnen, wenn der Eintrag Debuggen auf 1 setzt, gibt dieser Eintrag den Name der Protokolldatei an.
Die globalen IPSec-Richtlinienverweise befinden sich in den folgenden Registrierungsteilschlüsseln:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\Software\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\System\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IPsec\GPTIPSECPolicy
Zum Anfang

Informationsquellen

231585  (http://support.microsoft.com/kb/231585/ ) Sichere Kommunikation-IP-Übersicht mit IPSec in Windows 2000
IPSec-Verbindungen klicken auf die folgende Artikelanzahl, den Artikel der Microsoft Knowledge Base zu lesen für Weitere Informationen zu Layer 2 Tunneling Protocol (L2TP):
248750  (http://support.microsoft.com/kb/248750/ ) Beschreibung der IPSec-Richtlinie, die für L2TP/IPSec erstellt wird
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Zum Anfang
Keywords: 
kbinfo kbipsec kbnetwork kbtshoot KB257225 KbMtde kbmt
Zum Anfang
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 257225  (http://support.microsoft.com/kb/257225/en-us/ )
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN

 

Related Support Centers