Procedura di base per la risoluzione di problemi IPSec in Windows 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 257225 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo vengono fornite le linee guida per la risoluzione dei problemi di connessione relativi al protocollo IPSec (Internet Protocol Security) in Microsoft Windows 2000. Ulteriori informazioni sul funzionamento del protocollo IPSec sono disponibili nei documenti elencati nella sezione "Informazioni" di questo articolo.

Il protocollo IPSec utilizza il protocollo IKE (Internet Key Exchange) per negoziare e stabilire parametri di protezione condivisi e chiavi autenticate tra due peer. Il funzionamento del protocollo IKE si suddivide in due fasi. Nella Fase 1, Windows 2000 utilizza lo scambio in modalitÓ principale del protocollo ISAKMP (IKE Security Association and Key Management Protocol); la modalitÓ Aggressive non Ŕ supportata. Questo scambio fornisce un canale sicuro mediante cui ottenere una chiave autenticata e un'associazione di protezione IKE. Questo canale protetto Ŕ utilizzato anche nella Fase 2 per proteggere lo scambio in modalitÓ Quick, che fornisce le associazioni di protezione IPSec.

Informazioni

Risoluzione dei problemi di connessione relativi al protocollo IPSec

Per risolvere i problemi di connessione causati da un comportamento anomalo del protocollo IPSec, Ŕ necessario innanzitutto verificare i risultati degli scambi della Fase 1 e della Fase 2 abilitando i criteri di controllo, affinchÚ gli eventi di protezione vengano registrati nel registro di protezione del Visualizzatore eventi.

Quindi, verificare il criterio e i filtri IPSec attivi nel computer. A tale proposito, al prompt dei comandi digitare il seguente comando:
netdiag /test:ipsec /debug
Il comando netdiag Ŕ disponibile una volta installati gli strumenti di supporto di Windows 2000 dal CD di Windows 2000. Per installare il Resource Kit, individuare la cartella Support\Tools e fare doppio clic sul file Setup.exe. Al termine dell'installazione potrebbe essere necessario eseguire il comando netdiag dalla cartella %SystemRoot%\Programmi\Support Tools, dove SystemRoot% Ŕ l'unitÓ in cui Ŕ stato installato Windows 2000.

Se gli eventi registrati indicano che lo scambio in modalitÓ principale della Fase 1 non Ŕ andato a buon fine, effettuare le seguenti operazioni:
  • Verificare le impostazioni IKE nelle proprietÓ del criterio IPSec: fare clic sulla scheda Generale, fare clic su Avanzate, quindi su Metodi.

    e
  • Verificare i metodi di autenticazione IKE configurati nelle proprietÓ del criterio IPSec: selezionare la regola IPSec da verificare, fare clic su Modifica, quindi fare clic sulla scheda Metodi di autenticazione.
Se gli eventi registrati indicano che il metodo rapido della Fase 2 non Ŕ andato a buon fine, verificare i metodi di protezione IPSec configurati nelle regole IPSec nelle proprietÓ del criterio IPSec:
  • Selezionare la regola IPSec da verificare, scegliere Modifica, selezionare la scheda Operazione filtro, selezionare l'operazione filtro abilitata, quindi scegliere Modifica.

Monitor di protezione IP

Il Monitor di protezione IP pu˛ essere utilizzato per monitorare le associazioni di protezione e le statistiche IKE. Per avviare il Monitor di protezione IP, fare clic sul pulsante Start, scegliere Esegui, quindi digitare ipsecmon.

Network Monitor

Network Monitor pu˛ essere utilizzato per analizzare il traffico scambiato dai due peer per analizzare lo scambio IKE e i protocolli IPSec ESP (Encapsulating Security Payload) e AH (Authentication Header).

Acquisizione di un file registro Oakley

Gli sviluppatori o gli amministratori di rete con conoscenze IKE avanzate possono ottenere un file registro Oakley modificando il Registro di sistema.

AVVISO: l'errato utilizzo dell'editor del Registro di sistema pu˛ causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non Ŕ in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema Ŕ a rischio e pericolo dell'utente.

Utilizzare l'editor del Registro di sistema per individuare la seguente chiave di registro e nel caso non esistesse, crearla:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
In questa chiave aggiungere un valore REG_DWORD denominato EnableLogging con valore 1. Il file Oakley.log verrÓ creato nella directory %SystemRoot%\debug.

NOTA: impostando EnableLogging su 0 si disabilita la registrazione.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
231585 Panoramica della protezione delle comunicazioni IP tramite IPSec in Windows 2000
Vedere anche il documento "Step-by-Step Guide to Internet Protocol Security (IPSec)", disponibile sul seguente sito Web Microsoft (informazioni in lingua inglese):

http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/ispstep.mspx

ProprietÓ

Identificativo articolo: 257225 - Ultima modifica: venerdý 12 ottobre 2007 - Revisione: 2.2
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Chiavi:á
kbinfo kbtshoot kbipsec kbnetwork KB257225
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com