Αντιμετώπιση προβλημάτων στα Microsoft Windows 2000 Server IPsec

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 257225 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Για την αντιμετώπιση προβλημάτων σύνδεσης ασφαλείας IP στα Microsoft Windows 2000, επαληθεύστε πρώτα την επιτυχία του Internet Key Exchange (IKE) η διαπραγμάτευση ασφαλείας. Για να γίνει αυτό, ενεργοποιήστε την πολιτική ελέγχου και, στη συνέχεια, εξετάστε το αρχείο καταγραφής ασφαλείας. Στη συνέχεια, μπορείτε να χρησιμοποιήσετε το εργαλείο γραμμής εντολών Netdiag.exe για να εμφανίσετε πληροφορίες εντοπισμού σφαλμάτων. Στη συνέχεια, ανάλογα με το αν το πρόβλημα παρουσιάζεται σε φάση μία ή σε φάση δύο, εξετάστε το Ιδιότητες πολιτικής ασφαλείας IP και τους κανόνες ασφαλείας IP.

Χρησιμοποιήστε την Εποπτεία ασφαλείας IP για να προβάλετε περισσότερες πληροφορίες σχετικά με τις συσχετίσεις ασφαλείας IP και την ασφάλεια. Μπορείτε επίσης να χρησιμοποιήσετε το Συμπληρωματικό πρόγραμμα Εποπτεία ασφαλείας IP για να δείτε τα στατιστικά στοιχεία IKE. Χρησιμοποιήστε την Εποπτεία δικτύου για να αναλύσετε την κυκλοφορία του δικτύου και την κατάσταση των διαφόρων πρωτοκόλλων που χρησιμοποιούνται στο δίκτυό σας. Μπορείτε να χρησιμοποιήσετε την εντολή Netsh για να αντιμετωπίσετε περιπτώσεις όπου IP φορτίο παρουσιάζεται σε πακέτα ασφαλείας IP.

Μπορείτε επίσης να χρησιμοποιήσετε τις πληροφορίες σε αυτό το άρθρο, για να κάνετε τα εξής:
  • Αποκτήστε το αρχείο καταγραφής Oakley
  • Κατανόηση των περιεχομένων των αρχείων καταγραφής συμβάντων
  • Αντιμετώπιση προβλημάτων σε μηνύματα "εσφαλμένο SPI"
  • Ξεκινήστε πάλι τον παράγοντα πολιτικής
  • Επαληθεύστε την ακεραιότητα των πολιτικών σας

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιέχει οδηγίες για την αντιμετώπιση προβλημάτων του Internet Protocol προβλήματα σύνδεσης ασφάλειας (IPsec) στα Microsoft Windows 2000. IPsec εξαρτάται από το πρωτόκολλο ανταλλαγής κλειδιών Internet (IKE) για να δημιουργήσετε παραμέτρους κοινόχρηστων ασφαλείας και έλεγχος ταυτότητας κλειδιών μεταξύ δύο υπολογιστών. Το πρωτόκολλο IKE χρησιμοποιεί δύο φάσεις. Στη φάση ένα, τα Windows 2000 χρησιμοποιούν το συσχετισμού ασφαλείας IKE και διαχείριση κλειδιών ανταλλαγής Protocol (ISAKMP) κύριας κατάστασης λειτουργίας. (Τα Windows 2000 δεν υποστηρίζουν δραστική λειτουργία.) Κατά τη φάση μία ανταλλαγή παρέχει ένα ασφαλές κανάλι, οι υπολογιστές Αποκτήστε ένα κλειδί ελέγχου ταυτότητας και ενός συσχετισμού ασφαλείας IKE. Αυτό το ασφαλές κανάλι χρησιμοποιείται στη φάση δύο για να προστατέψετε το Exchange γρήγορης κατάστασης λειτουργίας. Η γρήγορη Λειτουργία Exchange παρέχει τις συσχετίσεις ασφαλείας IPsec.

Περισσότερες πληροφορίες

Βασική αντιμετώπιση προβλημάτων IPsec

Για την αντιμετώπιση προβλημάτων IPsec, πρώτα να ενεργοποιήσετε την πολιτική ελέγχου και, στη συνέχεια, να επιβεβαιώσετε τα αποτελέσματα της φάσης μία και φάση ανταλλαγών. Εάν ενεργοποιήσετε την πολιτική ελέγχου, συμβάντα ασφαλείας καταγράφονται στο αρχείο καταγραφής ασφαλείας. Εξετάζοντας το αρχείο καταγραφής ασφαλείας, μπορείτε να καθορίσετε εάν είναι επιτυχής η διαπραγμάτευση συσχετισμού ασφαλείας IKE. Για να ενεργοποιήσετε την πολιτική ελέγχου, ακολουθήστε τα εξής βήματα:
  1. Στην πολιτική ομάδας, αναπτύξτε το στοιχείοΠολιτική: "Τοπικός υπολογιστής" (Local Computer Policy).
  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο κουμπί Ρυθμίσεις υπολογιστή/Windows ρυθμίσεις/ασφαλείας ρυθμίσεις/τοπικές πολιτικές/Πολιτική ελέγχου.
  3. Στο παράθυρο λεπτομερειών, κάντε δεξιό κλικΈλεγχος συμβάντων σύνδεσης, και στη συνέχεια κάντε κλικ στο κουμπίSecurity.
  4. Κάντε κλικ στην επιλογήΕπιτυχία, κάντε κλικ για να επιλέξετεΑποτυχία, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  5. Στο παράθυρο λεπτομερειών, κάντε δεξιό κλικΈλεγχος πρόσβασης αντικειμένου, και στη συνέχεια κάντε κλικ στο κουμπίSecurity.
  6. Κάντε κλικ στην επιλογήΕπιτυχία, κάντε κλικ για να επιλέξετεΑποτυχία, και στη συνέχεια κάντε κλικ στο κουμπίOk.
ΣΗΜΕΙΩΣΗΕάν χρησιμοποιείτε μια πολιτική τομέα για τον έλεγχο, την πολιτική τομέα αντικαθιστά την τοπική πολιτική.

Στη συνέχεια, πληκτρολογήστε την ακόλουθη εντολή για να χρησιμοποιήσετε το Netdiag.exe εργαλείο της γραμμής εντολών:
/ Debug /test:ipsec Netdiag
Η εντολή αυτή εμφανίζει πληροφορίες εντοπισμού σφαλμάτων σχετικά με τη φάση δύο.

ΣΗΜΕΙΩΣΗΓια να χρησιμοποιήσετε το Netdiag.exe, το πακέτο εργαλείων υποστήριξης των Windows 2000 πρέπει να εγκατασταθεί στον υπολογιστή σας. Για να εγκαταστήσετε τα εργαλεία υποστήριξης των Windows 2000, ακολουθήστε τα εξής βήματα:
  1. Εκκίνηση των Windows 2000.

    ΣΗΜΕΙΩΣΗΘα πρέπει να συνδεθείτε ως μέλος της ομάδας διαχειριστών για να εγκαταστήσετε αυτά τα εργαλεία.
  2. Τοποθετήστε το CD των Windows 2000 στη μονάδα δίσκου CD.
  3. Κάντε κλικΑναζητήστε αυτό το CD, και στη συνέχεια ανοίξτε το φάκελο Support\Tools.
  4. Κάντε διπλό κλικ στο αρχείο Setup.exe και στη συνέχεια ακολουθήστε τις οδηγίες που εμφανίζονται στην οθόνη.
Μπορείτε επίσης να χρησιμοποιήσετε το Netdiag.exe για να προβάλετε την πολιτική χωρίς μια ενεργή σύνδεση. To do this, type the following command at a command prompt, and then press ENTER:
netdiag /test:ipsec /v
This command displays the current policy and IPsec statistics with regard to phase one.

If the logged events indicate that phase one Main Mode exchange fails, verify the IKE settings and the IKE authentication methods in your IPsec policy properties. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα: (Use the tools in the Windows Recovery Environment to repair Windows Vista. To do this, follow these steps:):
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPEsecpol.msc, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  2. Click the IPsec rule that you want to click, right-clickIPsec rulesκαι, στη συνέχεια, κάντε κλικ στο κουμπίΙδιότητες (Properties).
  3. Κάντε κλικ στην καρτέλαΓενικάtab, and then verify that the settings are correct.
  4. Κάντε κλικΓια προχωρημένους (Advanced), examine the settings, clickμεθόδους, and then examine the settings.
  5. Κάντε κλικOkδύο φορές.
  6. Κάντε κλικΚανόνες (Rules)καρτέλα, κάντε κλικ στο κουμπίΕπεξεργαστείτε τη διαδρομή, και στη συνέχεια κάντε κλικ στοAuthentication MethodsTAB.
  7. Examine the settings on this tab.
If the logged events indicate that phase two Quick Mode fails, verify the IPsec security methods in the IPsec rules and in your IPsec policy properties. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα: (Use the tools in the Windows Recovery Environment to repair Windows Vista. To do this, follow these steps:):
  1. Click the IPsec rule that you want to verify, clickΕπεξεργαστείτε τη διαδρομή, και στη συνέχεια κάντε κλικ στοFilter ActionTAB.
  2. Click the filter action that is enabled, clickΕπεξεργαστείτε τη διαδρομή, and examine the settings.

Using IP Security Monitor

You can use IP Security Monitor to monitor your security associations, IPsec statistics, and IKE statistics. In particular, you can use IP Security Monitor to verify the success of authentication and security associations. To start IP Security Monitor, clickStartΚάντε κλικΕκτέλεση, typeipsecmon, και στη συνέχεια κάντε κλικ στο κουμπίOK.

ΣΗΜΕΙΩΣΗBy default, IP Security Monitor displays statistics for the local computer. To specify a remote computer, clickStartΚάντε κλικΕκτέλεσηTYPEipsecmonΌνομα_υπολογιστή, και στη συνέχεια κάντε κλικ στο κουμπίOk.

The upper group box in the IP Security Monitor dialog box displays the active security associations and the configuration of the active policy. The lower left group box displays the following IPsec statistics:
  • Active Associations
    The number of active security associations.
  • Confidential Bytes Sent
    The number of bytes sent by using the Encapsulating Security Payload (ESP) security protocol (decimal ID 50).
  • Confidential Bytes Received
    The number of bytes received by using the ESP security protocol.
  • Authenticated Bytes Sent
    The number of bytes sent with the authentication property enabled.
  • Authenticated Bytes Received
    The number of bytes received with the authentication property enabled.
  • Bad SPI Packets
    The number of packets whose Security Parameters Index (SPI) is not valid. A positive number probably indicates that the security association has expired or is no longer valid.

    The SPI is a unique identifying value in the security association. This value lets the receiving computer determine the security association to use to process the packet.
  • Packets Not Decrypted
    The number of packets that the receiving IPsec driver cannot decrypt. A positive number may indicate one or more of the following problems:
    • The security association has expired
    • The security association is no longer valid
    • Authentication did not succeed
    • Integrity checking did not succeed
  • Packets Not Authenticated
    The number of packets that were not authenticated to the IPsec driver. A positive number may indicate that the security association has expired or is no longer valid. The IPsec driver must have the information in the security association in order to process the packets.

    A positive number may also indicate that the two computers have incompatible authentication settings. Verify that the authentication method is the same for each computer.
  • Key Additions
    Τον αριθμό των πλήκτρων που ο μηχανισμός ISAKMP/Oakley αποστέλλεται στο πρόγραμμα οδήγησης IPsec. Ένας θετικός αριθμός δηλώνει ότι το πρωτόκολλο ISAKMP φάση δύο συσχετισμοί ασφαλείας ήταν επιτυχής διαπραγμάτευση.
Η υπηρεσία ISAKMP/Oakley στατιστικά στοιχεία βρίσκονται στο τμήμα του παραθύρου κάτω δεξιά. Το παράθυρο κάτω δεξιά εμφανίζει τα παρακάτω στατιστικά στοιχεία για τον μηχανισμό ασφαλείας ISAKMP/Oakley:
  • Κύριες λειτουργίες της υπηρεσίας Oakley
    Ο αριθμός των συσχετισμών ασφαλείας επιτυχών που είχε δημιουργήσει ISAKMP κατά τη διάρκεια της φάσης μία. Ένας θετικός αριθμός υποδηλώνει ότι η ανταλλαγή πληροφοριών κλειδιού ήταν επιτυχής. Έγινε έλεγχος ταυτότητας ταυτότητες και πραγματοποιήθηκε κοινό υλικό δημιουργίας κλειδιών.
  • Γρήγορη κατάσταση λειτουργίας Oakley
    Ο αριθμός των συσχετισμών ασφαλείας επιτυχών που είχε δημιουργήσει ISAKMP κατά τη διάρκεια της φάσης δύο. Ένας θετικός αριθμός υποδηλώνει ότι η διαπραγμάτευση για υπηρεσίες προστασίας κατά τη μεταφορά δεδομένων ήταν επιτυχής.
  • Εικονικοί συσχετισμοί
    Ο αριθμός των ISAKMP φάση δύο διαπραγματεύσεων που είχαν ως αποτέλεσμα των υπολογιστών agreeing μόνο για μετάδοση δεδομένων απλού κειμένου. Περιλαμβάνει τη μετάδοση δεδομένων απλού κειμένου χωρίς κρυπτογράφηση ή υπογραφή των πακέτων.
  • Αποτυχίες ελέγχου ταυτότητας
    Πόσες φορές ότι ο έλεγχος ταυτότητας του υπολογιστή ταυτότητες δεν ολοκληρώθηκε με επιτυχία. Εάν αυτός ο αριθμός είναι θετικός, βεβαιωθείτε ότι οι ρυθμίσεις μεθόδου ελέγχου ταυτότητας για κάθε υπολογιστή είναι συμβατό. Ένα θετικό αριθμό ενδέχεται επίσης να υποδηλώνει ότι ο συσχετισμός ασφαλείας έχει λήξει.
  • Ρυθμίσεις παραμέτρων IPsecmon
    Μια επιλογή με δυνατότητα ρύθμισης, η οποία σας επιτρέπει να ρυθμίσετε την ταχύτητα ενημέρωσης των δεδομένων.
Εποπτεία ασφαλείας IP υποδεικνύει επίσης εάν είναι ενεργοποιημένη η ασφάλεια IP. Αυτή η πληροφορία είναι στο πλαίσιο κάτω δεξιά ομάδα από το παράθυρο διαλόγου Εποπτεία ασφαλείας IP. Για να επαναφέρετε τα στατιστικά στοιχεία στο Συμπληρωματικό πρόγραμμα Εποπτεία ασφαλείας IP, κάντε επανεκκίνηση του παράγοντα πολιτικής ασφαλείας IP, χρησιμοποιώντας τη Διαχείριση υπολογιστή (Compmgmt.msc).

Χρήση της Εποπτείας δικτύου

Μπορείτε να χρησιμοποιήσετε την Εποπτεία δικτύου για να αναλύσετε τα εξής:
  • Κυκλοφορία δικτύου
  • Το πρωτόκολλο ανταλλαγής IKE
  • Το πρωτόκολλο ασφαλείας IP
  • Το πρωτόκολλο ESP
  • Κεφαλίδα ελέγχου ταυτότητας (AH)

Λήψη ενός αρχείου καταγραφής Oakley

ΣημαντικόΑυτή ενότητα, μέθοδο ή εργασία περιέχει βήματα που θα σας πληροφορήσει πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου προτού το τροποποιήσετε. Με αυτόν τον τρόπο, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Οι προγραμματιστές και οι διαχειριστές δικτύου που έχετε προηγμένες γνώσεις IKE μπορεί να τροποποιήσει το μητρώο για να αποκτήσετε ένα αρχείο καταγραφής Oakley. Για να το κάνετε αυτό, χρησιμοποιήστε τον Επεξεργαστή μητρώου για να εντοπίσετε το ακόλουθο δευτερεύον κλειδί μητρώου. Εάν το δευτερεύον κλειδί δεν υπάρχει, δημιουργήστε την.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Προσθέστε μια καταχώρηση από την τιμή του τύπου REG_DWORD με το όνομα "EnableLogging." Δίνουν αυτήν την καταχώρηση με τιμή 1. Όταν ενεργοποιείται αυτή η καταχώρηση, δημιουργείται ένα αρχείο Oakley.log στο φάκελο %systemroot%\Debug.

ΣΗΜΕΙΩΣΗΓια να απενεργοποιήσετε την καταγραφή, δώστε στην καταχώρηση EnableLogging τιμή 0.

Χρήση της εντολής Netsh

Μπορείτε να χρησιμοποιήσετε την εντολή Netsh για να αντιμετωπίσετε περιπτώσεις όπου IP φορτίο παρουσιάζεται σε πακέτα ασφαλείας IP. Φορτίο IP παρουσιάζεται όταν η κάρτα δικτύου αντί της CPU εκτελεί λειτουργίες IP. Για παράδειγμα, φορτίο IP παρουσιάζεται όταν η κάρτα δικτύου εκτελεί υπολογισμούς άθροισμα ελέγχου ή εκτελεί πακέτου κρυπτογράφησης και αποκρυπτογράφησης. Φορτίο IP έχει ως αποτέλεσμα το πρόγραμμα οδήγησης IPsec για να αποθέσετε το πακέτο. Για να προσδιορίσετε εάν μια διασύνδεση μπορεί να εκτελέσει φορτίο IP, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPECmd, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  2. Στη γραμμή εντολών, πληκτρολογήστεnetsh int ip show μείωσης φόρτουκαι κατόπιν πατήστε το πλήκτρο ENTER.
Η εντολή αυτή εμφανίζει τις δυνατότητες offloading της διασύνδεσης. Ωστόσο, η εντολή δεν εμφανίζει στατιστικά στοιχεία. Για να δείτε τα στατιστικά στοιχεία, χρησιμοποιήστε Εποπτεία ασφαλείας IP για την Εποπτεία Εμπιστευτικά Byte που παραλήφθηκαν. Χρησιμοποιήστε αυτά τα στατιστικά στοιχεία για να προσδιορίσετε αν τα πακέτα χάνονται ή παραλήφθηκε.

Για να απενεργοποιήσετε το φορτίο IP, ακολουθήστε τα εξής βήματα για να τροποποιήσετε το μητρώο:
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPERegedit, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
    Εάν δεν υπάρχει η καταχώρηση EnableOffload, ακολουθήστε τα εξής βήματα για να δημιουργήσετε την καταχώρηση:
    1. Κάντε δεξιό κλικ στο στοιχείοIPsec, τοποθετήστε το δείκτηΝέα, και στη συνέχεια κάντε κλικ στο κουμπίΤιμή DWORD.
    2. TYPEEnableOffloadΓια να ονομάσετε τη νέα τιμή και κατόπιν πιέστε το πλήκτρο ENTER.
    3. Διπλό κλικEnableOffload.
    4. TYPE0και κατόπιν πατήστε το πλήκτρο ENTER.
Εάν επιτύχει η σύνδεση IP που αντιμετωπίζετε προβλήματα, το ζήτημα προκαλείται από το φορτίο IP.

Τα αρχεία καταγραφής συμβάντων

Τα ακόλουθα συμβάντα μπορεί να καταγραφούν στο αρχείο καταγραφής συμβάντων ασφαλείας:
  • Informational event 279
    Source: PolicyAgent 
    Category: None
    This event indicates the following:
    • Whether an IPsec policy is in effect
    • The source of the IPsec policy
    • The Active Directory polling interval, if the source of the policy is a domain
    Additionally, if an IPsec policy was changed, the event text includes "Updating IPsec Policy."
  • Error event 284
    Source: PolicyAgent 
    Category: None
    This event indicates that the IP Security Policy Agent cannot contact the Active Directory for the domain that the computer belongs to.
  • Audit event 541
    Source: Security 
    Category: Logon/Logoff
    This event indicates that an IPsec hard security association has been established. Soft security associations are not audited.
  • Audit event 542
    Source: Security 
    Category: Logon/Logoff
    This event indicates that an IPsec security association has ended. The ended security association may be hard or soft.
The following events may be logged in the Application event log. The Application event log includes messages from ISAKMP/Oakley. The following events indicate that a domestic version of Windows 2000 tried to negotiate greater security than an export client can support.
  • Warning event 541
    Source: Oakley 
    Category: None
    This event indicates that the export client cannot generate domestic-strength key material. The resulting negotiation agrees only on export-strength key material.
  • Warning event 542
    Source: Oakley 
    Category: None
    This event indicates that the export client cannot perform encryption stronger than Data Encryption Standard (DES). The resulting negotiation agrees only on DES if the other computer can support DES.

General troubleshooting

Troubleshooting "bad SPI" messages in the Event Viewer

"Bad SPI" messages are logged in the following circumstances:
  • If a key lifetime value is set too low
  • If the sender continues to transmit data to the receiver after the security association has expired
When you receive a new security association, you must start transmitting data on it. However, if you communicate with a slower responder, the slower responder may receive IPSed-protected data that it does not recognize. The responder considers an SPI that it does not recognize a "bad SPI." To determine the problem and to correct it, use IP Security Monitor to examine the number of rekeys. Consider how long the connections have been active. If the number of rekeys is very large, configure longer key lifetimes in the policy. Acceptable values for high-traffic Ethernet connections are more than 50 megabytes and more than five minutes.

Configuring longer values may not prevent bad SPIs. However, configuring longer values can significantly reduce the number of bad SPIs. Typically, Windows 2000 Server logs event 4268 to indicate that packets were discarded because of a bad SPI.

If IP Security Monitor indicates that secured security associations are not established, nonsecure security associations may be preventing secured security associations from being established.

ΣΗΜΕΙΩΣΗA secured security association is also known as ahardsecurity association. An nonsecure security association is also known as asoftsecurity association.

Run IP Security Monitor on one of the peer computers. If a security association exists, and the security setting isNONE, an nonsecure security association exists. An nonsecure security association remains on the computer as long as traffic is regularly sent. To prevent this condition, stop all traffic until the security association times out. Typically, the security association times out in five minutes. Use IP Security Monitor to make sure that the security association is no longer established, and then start traffic again. If policies are compatible, a secured security association is automatically established. Restart the policy agent to delete all nonsecure security associations.

Εάν τα αρχεία που απαιτούνται για τα στοιχεία IPsec έχουν καταργηθεί ή διαγραφεί, εγκαταστήστε ξανά τα στοιχεία IPsec καταργώντας και στη συνέχεια να εγκαταστήσετε ξανά το πρωτόκολλο δικτύου TCP/IP. Αρχεία που απαιτούν στοιχεία IPsec περιλαμβάνει τα εξής:
  • Η υπηρεσία ISAKMP/Oakley
  • Ο παράγοντας πολιτικής IPsec
  • Το πρόγραμμα οδήγησης IPsec
Στοιχεία IPsec είναι εκ νέου κατά την επανεγκατάσταση του TCP/IP.

Διαπραγματεύσεων IPsec ενδέχεται να αποτύχει εξαιτίας της IPsec ασύμβατες ρυθμίσεις πολιτικής. Εξετάστε το αρχείο καταγραφής ασφαλείας σε κάθε υπολογιστή που συμμετέχει σε μια διαπραγμάτευση. Πρόσφατα συμβάντα ενδέχεται να καταγράψουν προσπάθειες για την εκτέλεση μιας διαπραγμάτευσης Oakley. Τα συμβάντα ενδέχεται να περιλαμβάνει μια περιγραφή για την επιτυχία ή την αποτυχία.

Επαληθεύστε την ακεραιότητα της πολιτικής σε κάθε υπολογιστή. Για να προσδιορίσετε την αιτία του μια ασυμφωνία πολιτικής, ακολουθήστε τα εξής βήματα:
  1. Βεβαιωθείτε ότι οι μέθοδοι ελέγχου ταυτότητας είναι συμβατές.
  2. Βεβαιωθείτε ότι τουλάχιστον μία συμβατή μέθοδος ασφαλείας έχει ρυθμιστεί σωστά.
  3. Εάν χρησιμοποιείτε διοχέτευση IPsec, βεβαιωθείτε ότι είναι σωστές οι ρυθμίσεις του απόληξη σήραγγας. Επίσης, βεβαιωθείτε ότι οι υπολογιστές απόληξης λειτουργούν σωστά.

    Σημείωση Οι ρυθμίσεις του απόληξη σήραγγας περιλαμβάνουν τις ρυθμίσεις για την υπηρεσία ISAKMP/Oakley, ο παράγοντας πολιτικής IPsec και η IPsec προγράμματος οδήγησης.
Εάν εμφανιστεί το παράθυρο "Πολιτικών IPsec με λάθος" στο αρχείο καταγραφής συμβάντων, εξετάστε τις τελευταίες γραμμές στο αρχείο καταγραφής του παράγοντα πολιτικής. Το αρχείο καταγραφής ενδέχεται να υποδεικνύουν τη θέση της πολιτικής που χρησιμοποιήθηκε. Αν δεν είναι συνδεδεμένος στη θέση πολιτική, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPECmd, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  2. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    findstr %systemroot%\ipsecpa.log
    ΣΗΜΕΙΩΣΗΑυτή η εντολή είναι η διάκριση πεζών-κεφαλαίων.
Το αρχείο καταγραφής υποδεικνύει εάν θα χρησιμοποιούνται οι ρυθμίσεις πολιτικής ομάδας ή ρυθμίσεων πολιτικής τοπικού υπολογιστή.

Επανεκκίνηση του παράγοντα πολιτικής

Όταν κάνετε επανεκκίνηση του παράγοντα πολιτικής, μπορείτε να καταργήσετε τις συσχετίσεις ασφαλείας παλιά ή μη ασφαλή. Εάν η Εποπτεία ασφαλείας IP δεν εμφανίζει τις διαπραγματεύσεις ασφαλείας, κάντε επανεκκίνηση του παράγοντα πολιτικής. Επίσης επανεκκίνηση του παράγοντα πολιτικής, εάν θέλετε να κάνετε λήψη μιας πολιτικής από τον τομέα ή από το χώρο αποθήκευσης πολιτικών.

Επαλήθευση της ακεραιότητας πολιτικής

Η υπηρεσία Active Directory τις πιο πρόσφατες αλλαγές εκλαμβάνονται ως τρέχουσα. Ωστόσο, εάν πολλούς διαχειριστές προσπαθούν να αλλάξουν μια πολιτική την ίδια στιγμή, ενδέχεται να διασπάσετε τις συνδέσεις μεταξύ των στοιχείων της πολιτικής. Ένας έλεγχος ακεραιότητας πολιτικής επιλύει αυτό το ζήτημα κατά την επαλήθευση των συνδέσεων σε όλες τις πολιτικές ασφαλείας IP. Εκτελείται ο έλεγχος ακεραιότητας, μετά τις όποιες αλλαγές γίνονται σε μια πολιτική. Για να ελέγξετε την IPsec ακεραιότητας πολιτικής, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPEsecpol.mscκαι, στη συνέχεια, κάντε κλικ στο κουμπίOk
  2. Κάντε δεξιό κλικ στο στοιχείοΠολιτικές ασφαλείας IP σε Τοπικός υπολογιστής, τοποθετήστε το δείκτηΌλες οι εργασίες, και στη συνέχεια κάντε κλικ στο κουμπίΈλεγχος ακεραιότητας πολιτικής.

Αναθεώρηση του προγράμματος οδήγησης και την πολιτική παράγοντα μητρώου ρυθμίσεις IPsec

Οι ρυθμίσεις για το πρόγραμμα οδήγησης IPsec βρίσκονται στο ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
Μπορείτε να τροποποιήσετε τις τιμές από τις ακόλουθες καταχωρήσεις:
  • SAIdleTime

    This REG_DWORD entry configures the Security Association Idle Timer. The default value is 300 seconds. You can specify a value of 300 to 3600 seconds.
  • CacheSize

    This REG_DWORD entry configures the IP header-based cache size. The default value is 64 KB. You can specify a value of 64 to 1024 KB.
  • SAHashSize

    This REG_DWORD entry configures the size of the SPI. It also configures the destination table for inbound security associations. The default value is 64 KB. You can specify a value of 64 to 1024 KB.
The settings for the policy agent are located in the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
You can modify the values of the following entries:
  • Ο εντοπισμός σφαλμάτων

    The data type is REG_DWORD. The default value is0. A value of1turns on logging. When logging is turned on, the Ipsecpa.log file is created in the %system root%\Debug folder.
  • Αρχείο καταγραφής

    The data type is REG_SZ. This entry specifies the name of the log file to open when theΟ εντοπισμός σφαλμάτωνentry is set to1.
The global IPsec policy references are located in the following registry subkeys:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\Software\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\System\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IPsec\GPTIPSECPolicy

Αναφορές

231585Overview of secure IP communication with IPsec in Windows 2000
For more information about Layer 2 Tunneling Protocol (L2TP)/IPsec connections, click the following article number to view the article in the Microsoft Knowledge Base:
248750Description of the IPSec policy created for L2TP/IPSec

Ιδιότητες

Αναγν. άρθρου: 257225 - Τελευταία αναθεώρηση: Κυριακή, 19 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
Λέξεις-κλειδιά: 
kbinfo kbipsec kbnetwork kbtshoot kbmt KB257225 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:257225

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com