Microsoft Windows 2000 Server de resolução de problemas de IPsec

Traduções de Artigos Traduções de Artigos
Artigo: 257225 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Para resolver problemas de ligação IPsec no Microsoft Windows 2000, verifique primeiro se o êxito da Internet a negociação de segurança IKE (Key Exchange). Para tal, activar a política de auditoria e, em seguida, examine o registo de segurança. Em seguida, utilize a ferramenta da linha de comandos Netdiag.exe para apresentar informações de depuração. Em seguida, dependendo se o problema ocorre na primeira fase ou na fase dois, examine as propriedades da política IPsec e regras IPsec.

Utilize o Monitor de segurança IP para ver mais informações sobre associações de segurança e IPsec. Também pode utilizar o Monitor de segurança IP para visualizar estatísticas de IKE. Utilize o Monitor de rede para analisar o tráfego de rede e o estado dos vários protocolos utilizados na rede. Pode utilizar o comando Netsh para resolver instâncias onde IP Descarregar ocorre em pacotes IPsec.

Também pode utilizar as informações neste artigo para efectuar o seguinte:
  • obter um registo Oakley
  • Compreender o conteúdo dos registos de eventos
  • resolver mensagens de "SPI danificados"
  • reiniciar o agente de política
  • Verificar a integridade das políticas

INTRODUÇÃO

Este artigo contém orientações para a resolução de problemas de Internet protocolo problemas de ligação de segurança (IPsec) no Microsoft Windows 2000. IPsec depende do protocolo IKE (Internet Key Exchange) para estabelecer os parâmetros de segurança partilhado e autenticado chaves entre dois computadores. O protocolo IKE utiliza duas fases. Na primeira fase, Windows 2000 utiliza a associação de segurança IKE e gestão de chave de troca de modo principal de Protocol (ISAKMP). (O Windows 2000 não suporta modo agressivo.) Quando a troca de uma fase fornece um canal seguro, os computadores obtém uma chave autenticada e uma associação de segurança IKE. Este canal protegido é utilizado na fase dois para ajudar a proteger o Exchange de modo rápido. A rápida Exchange modo fornece associações de segurança IPsec.

Mais Informação

Resolução de problemas básicos de IPsec

Para resolver problemas relacionados com IPsec, política de auditoria de activar primeiro e verifique se os resultados da primeira fase e trocas de duas fases. Quando activar a política de auditoria, eventos de segurança são registados no registo de segurança. Ao examinar o registo de segurança, pode determinar se a negociação IKE de associação de segurança for bem sucedida. Para activar a política de auditoria, siga estes passos:
  1. Na política de grupo, expanda computador local política .
  2. Localize e clique em configuração do computador/Windows Settings/segurança definições/local políticas/opções de auditoria política.
  3. No painel de detalhes, clique com o botão direito do rato Auditar eventos de início de sessão e, em seguida, clique em segurança .
  4. Clique para seleccionar com êxito , clique para seleccionar Falha e, em seguida, clique em OK .
  5. No painel de detalhes, clique com o botão direito do rato Auditar o acesso a objectos e, em seguida, clique em segurança .
  6. Clique para seleccionar com êxito , clique para seleccionar Falha e, em seguida, clique em OK .
Nota Se estiver a utilizar uma política de domínio para auditoria, a política de domínio substitui a política local.

Em seguida, escreva o seguinte comando para utilizar o Netdiag.exe ferramenta da linha de comandos:
netdiag/test: IPSec /debug
Este comando apresenta informações de depuração sobre fase dois.

Nota Para utilizar Netdiag.exe, o pacote de ferramentas de suporte do Windows 2000 tem de ser instalado no computador. Para instalar as ferramentas de suporte do Windows 2000, siga estes passos:
  1. Inicie o Windows 2000.

    Nota Tem de iniciar sessão como membro do grupo de administradores para instalar estas ferramentas.
  2. Introduza o CD do Windows 2000 na sua unidade de CD.
  3. Clique em Procurar neste CD e, em seguida, abra a pasta Support\Tools.
  4. Faça duplo clique em Setup.exe e, em seguida, siga as instruções apresentadas no ecrã.
Pode também utilizar Netdiag.exe para visualizar a política sem uma ligação activa. Para o fazer, escreva o seguinte comando numa linha de comandos e, em seguida, prima ENTER:
netdiag/test: IPSec /v
Este comando apresenta a política actual e as estatísticas IPsec relativamente a primeira fase.

Se os eventos registados indicarem a fase de uma troca de modo principal falha, verifique se as definições IKE e os métodos de autenticação IKE nas propriedades da política IPsec. Para o fazer, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva secpol.msc e, em seguida, clique em OK .
  2. Clique na regra IPsec que pretende clique em, clique com o botão direito do rato em regras IPsec e, em seguida, clique em Propriedades .
  3. Clique no separador Geral e, em seguida, verifique se as definições estão correctas.
  4. Clique em Avançadas , examine as definições, clique em métodos e, em seguida, examine as definições.
  5. Clique duas vezes em OK .
  6. Clique em separador regras , clique em Editar e, em seguida, clique no separador Métodos de autenticação .
  7. Examine as definições neste separador.
Se os eventos registados indicam essa fase dois modo rápido falhar, verifique se os métodos de segurança IPsec nas regras de IPsec e nas propriedades da política IPsec. Para o fazer, siga estes passos:
  1. Clique na regra IPsec que pretende verificar, clique em Editar e, em seguida, clique no separador Acção de filtro .
  2. Clique na acção de filtro que está activada, clique em Editar e examine as definições.

Utilizando o Monitor de segurança IP

Pode utilizar o Monitor de segurança IP para monitorizar as associações de segurança, estatísticas de IPsec e estatísticas de IKE. Em particular, pode utilizar o Monitor de segurança IP para verificar o êxito da autenticação e associações de segurança. Para iniciar o Monitor de segurança IP, clique em Iniciar , clique em Executar , escreva ipsecmon e, em seguida, clique em OK.

Nota Por predefinição, o Monitor de segurança IP apresenta estatísticas para o computador local. Para especificar um computador remoto, clique em Iniciar , clique em Executar , escreva ipsecmon computer_name e, em seguida, clique em OK .

A caixa de grupo superior na caixa de diálogo Monitor de segurança IP apresenta as associações de segurança activas e a configuração da política activa. Caixa de grupo para a esquerda inferior apresenta as estatísticas IPsec seguintes:
  • Associações activas
    O número de associações de segurança activas.
  • bytes confidenciais enviados
    O número de bytes enviados utilizando o protocolo de segurança payload de segurança de encapsulamento (ESP, Encapsulating Security Payload) (ID decimal 50).
  • bytes confidenciais recebidos
    O número de bytes recebidos utilizando o protocolo de segurança ESP.
  • autenticação de bytes enviados
    O número de bytes enviados com a propriedade de autenticação activada.
  • autenticação de bytes recebidos
    O número de bytes recebidos com a propriedade de autenticação activada.
  • pacotes SPI danificados
    O número de pacotes cujo índice de parâmetros de segurança (SPI, Security Parameters Index) não é válido. Um número positivo, provavelmente, indica que a associação de segurança expirou ou já não é válida.

    O SPI é um valor de identificação exclusivo na associação de segurança. Este valor permite que o computador receptor determinar a associação de segurança para utilizar para processar o pacote.
  • pacotes não desencriptados
    O número de pacotes que não é possível desencriptar o controlador IPsec recepção. Um número positivo poderá indicar um ou mais dos seguintes problemas:
    • A associação de segurança expirou
    • A associação de segurança já não é válida
    • Autenticação não teve êxito
    • A verificação da integridade não teve êxito
  • pacotes não autenticados
    O número de pacotes que não foram autenticadas ao controlador IPsec. Um número positivo poderá indicar que a associação de segurança expirou ou já não é válida. O controlador IPsec tem de ter as informações a associação de segurança para processar os pacotes.

    Também poderá indicar um número positivo que os dois computadores têm definições de autenticação incompatíveis. Verifique se o método de autenticação é o mesmo para cada computador.
  • adições de chaves
    O número de chaves que o mecanismo ISAKMP/Oakley enviado para o controlador IPsec. Um número positivo indica que o ISAKMP fase duas associações de segurança foram negociadas com êxito.
Estatísticas ISAKMP/Oakley estão localizadas no painel da janela inferior esquerda. O painel inferior direito apresenta as seguintes estatísticas para o mecanismo de segurança ISAKMP/Oakley:
  • modos principais Oakley
    O número de segurança com êxito associações que foram estabelecidas durante ISAKMP fase um. Um número positivo indica que a troca de informações da chave teve êxito. As identidades foram autenticadas e material de chaves comuns foi estabelecido.
  • modo rápido Oakley
    O número de segurança com êxito associações que foram estabelecidas durante ISAKMP fase dois. Um número positivo indica que a negociação para serviços de protecção durante a transferência de dados teve êxito.
  • associações temporárias
    O número de ISAKMP fase dois negociações que resultaram em computadores concordar apenas para uma transferência de dados de texto simples. Uma transferência de dados de texto simples envolve sem encriptação ou assinatura dos pacotes.
  • falhas de autenticação
    O número de vezes que a autenticação do computador identidades não teve êxito. Se este número for positivo, verifique se as definições do método de autenticação para cada computador são compatíveis. Também poderá indicar um número positivo que a associação de segurança expirou.
  • IPsecmon configurações
    Uma opção configurável que lhe permite ajustar a velocidade de actualização dos dados.
Monitor de segurança IP também indica se a segurança IP está activada. Esta informação é a caixa de grupo inferior direito da caixa de diálogo Monitor de segurança IP. Para repor as estatísticas no Monitor de segurança IP, reinicie o agente de política de segurança IP, utilizando a gestão de computadores (Compmgmt.msc).

Utilizar o Monitor de rede

Pode utilizar o Monitor de rede para analisar o seguinte:
  • Tráfego de rede
  • O protocolo de troca de IKE
  • O protocolo IPsec
  • O protocolo ESP
  • Cabeçalho de autenticação (AH, Authentication Header)

Obter um registo Oakley

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows


Os programadores e administradores de rede que tem conhecimentos de IKE avançados podem modificar o registo para obter um registo Oakley. Para o fazer, utilize o Editor de registo para localizar na seguinte subchave de registo. Se a subchave não existir, crie-o.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Adicionar uma entrada do valor de tipo REG_DWORD denominado "EnableLogging." Atribua esta entrada de um valor de 1. Quando esta entrada tem o efeito, um ficheiro Oakley.log é criado na pasta %systemroot%\Debug.

Nota Para desativá-lo, atribua a entrada EnableLogging um valor de 0.

Utilizando o comando Netsh

Pode utilizar o comando Netsh para resolver instâncias onde IP Descarregar ocorre em pacotes IPsec. IP Descarregar ocorre quando a placa de rede em vez da CPU executa funções IP. Por exemplo, IP Descarregar ocorre quando a placa de rede executa cálculos de soma de verificação ou efectua pacote de encriptação e desencriptação. Descarregar IP faz com que o controlador IPsec colocar o pacote. Para determinar se pode efectuar uma interface IP descarregar, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, clique em OK .
  2. Na linha de comandos, escreva netsh int ip show offload e, em seguida, prima ENTER.
Este comando apresenta as capacidades de apresentação da interface. No entanto, o comando não apresenta as estatísticas. Para ver estatísticas, utilize o Monitor de segurança IP para monitorizar bytes confidenciais recebidos. Utilize estas estatísticas para determinar se pacotes forem perdidos ou recebidos.

Para desactivar a descarregar IP, siga estes passos para modificar o registo:
  1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
    Se o movimento EnableOffload não estiver presente, siga estes passos para criar a entrada:
    1. Clique com o botão direito do rato em IPSEC , aponte para Novo e, em seguida, clique em valor DWORD .
    2. Escreva EnableOffload nome ao novo valor e, em seguida, prima ENTER.
    3. Faça duplo clique em EnableOffload .
    4. Escreva 0 e, em seguida, prima ENTER.
Se tiver êxito a ligação de IP que estiver a efectuar a resolução, o problema é causado por IP descarregar.

Registos de eventos

Poderão ser registados os seguintes eventos no registo de eventos de segurança:
  • Informational event 279
    Source: PolicyAgent 
    Category: None
    Este evento indica o seguinte:
    • Se uma política IPsec está em vigor
    • A origem da política IPsec
    • O intervalo de consulta do Active Directory, se a origem da política for um domínio
    Além disso, se uma política IPsec tiver sido alterada, o texto do evento inclui "Política de IPsec de actualização".
  • Error event 284
    Source: PolicyAgent 
    Category: None
    Este evento indica que o agente de política de segurança IP não consegue contactar o Active Directory para o domínio que o computador pertence.
  • Audit event 541
    Source: Security 
    Category: Logon/Logoff
    Este evento indica que foi estabelecida uma associação de segurança de disco rígido de IPsec. Associações temporárias de segurança não serão auditadas.
  • Audit event 542
    Source: Security 
    Category: Logon/Logoff
    Este evento indica que uma associação de segurança IPsec terminou. A associação de segurança concluídas pode ser hardware ou software.
Poderão ser registados os seguintes eventos no registo de eventos de aplicações. Registo de eventos de aplicações inclui as mensagens do ISAKMP/Oakley. Os seguintes eventos indicam que uma versão nacional do Windows 2000 tentou negociar segurança maior do que um cliente de exportação pode suportar.
  • Warning event 541
    Source: Oakley 
    Category: None
    Este evento indica que o cliente de exportação não é possível gerar material de chave força nacional. A negociação resultante concorda apenas no material da chave intensidade de exportação.
  • Warning event 542
    Source: Oakley 
    Category: None
    Este evento indica que o cliente de exportação não pode efectuar encriptação mais forte do que DES Data Encryption Standard (). A negociação resultante concorda apenas em DES se o computador pode suportar DES.

Resolução de problemas gerais

Resolução de problemas "SPI danificados" mensagens no Visualizador de eventos

São registadas mensagens de "SPI danificados" nas seguintes circunstâncias:
  • Se um valor de duração da chave for definido insuficiente
  • Se o emissor continua a transmitir dados ao receptor após a associação de segurança ter expirado
Quando receber uma nova associação de segurança, tem de iniciar transmitir dados nele existentes. No entanto, se comunicar com um dispositivo de resposta mais lento, o dispositivo de resposta mais lento pode receber dados protegidos por IPSed-que não reconhece. O dispositivo de resposta considera um SPI que não reconhece "SPI danificado". Para determinar o problema e corrigi-la, utilize o Monitor de segurança IP para examinar o número de restauros de chave. Tenha em consideração quanto as ligações estiveram activas. Se o número de restauros de chave é muito grande, configure mais durações de chave na política. Os valores aceitáveis para ligações de Ethernet de tráfego intenso são mais de 50 megabytes quer a mais de cinco minutos.

Configurar valores mais poderá não impedir SPI danificados. No entanto, configurar valores mais pode reduzir significativamente o número de SPI danificados. Normalmente, o Windows 2000 Server regista o evento 4268 para indicar que os pacotes foram ignorados devido a um SPI incorrecto.

Se o Monitor de segurança IP indica que as associações de segurança segura não são estabelecidas, associações de segurança não protegidas podem estar a impedir associações de segurança segura do que está a ser estabelecida.

Nota Uma associação de segurança segura é também conhecido como uma disco rígido associação de segurança. Uma associação de segurança não segura também é conhecido como uma associação de segurança temporária .

Execute o Monitor de segurança IP em um dos computadores peer. Se existe uma associação de segurança e a definição de segurança é nenhum , existe uma associação de segurança não segura. Uma associação de segurança não segura permanece no computador, desde que o tráfego é enviado regularmente. Para evitar esta situação, pare todo o tráfego até que a associação de segurança expirar. Normalmente, a associação de segurança expirar dentro de cinco minutos. Utilize o Monitor de segurança IP para garantir que a associação de segurança já não é estabelecida e volte a executar o tráfego. Se as políticas forem compatíveis, uma associação de segurança segura é estabelecida automaticamente. Reinicie o agente de política para eliminar todas as associações de segurança não segura.

Se os ficheiros necessários para os componentes IPsec foram removidos ou eliminados, reinstale os componentes IPsec removendo e reinstalando o protocolo de rede TCP/IP. Ficheiros que requeiram componentes de IPsec incluem:
  • ISAKMP/Oakley
  • Agente de política IPsec
  • O controlador IPsec
Componentes IPsec são reinstalados quando reinstalar o TCP/IP.

As negociações IPsec poderão falhar devido a IPsec incompatível definições de política. Examine o registo de eventos segurança em cada computador que participa numa negociação. Eventos recentes poderão registar tentativas para executar uma negociação Oakley. Os eventos podem incluir uma descrição do êxito ou falha.

Verificar a integridade da política em cada computador. Para determinar a causa de uma incompatibilidade de políticas, siga estes passos:
  1. Certifique-se que os métodos de autenticação são compatíveis.
  2. Certifique-se que método de segurança compatíveis com pelo menos está correctamente configurado.
  3. Se utilizar túnel IPsec, certifique-se de que as definições de ponto final do túnel estão correctas. Certifique-se de que os computadores de ponto final estão a funcionar correctamente também.

    Nota as definições de ponto final de túnel incluem definições para ISAKMP/Oakley, o agente de política IPsec e o IPsec controlador.
Se "Localização de política IPsec errada" aparecer no registo de eventos, examine as linhas últimos registo do agente de política. O registo pode indicar a localização da política que foi utilizada. Se a localização de política não é iniciada, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, clique em OK .
  2. Escreva o seguinte comando e, em seguida, prima ENTER:
    findstr %systemroot%\ipsecpa.log
    Nota Este comando é sensível a maiúsculas e minúsculas.
O registo indica se as definições de política de grupo ou definições de política de computador local são utilizadas.

Reiniciar o agente de política

Quando reiniciar o agente de política, remover associações de segurança antigos ou não seguras. Reinicie o agente de política, se o Monitor de segurança IP não mostra as negociações de segurança. Reinicie o agente de política também se pretende transferir uma política de domínio ou do arquivo de políticas.

Verificar integridade da política

O Active Directory considera que as alterações mais recentes são actuais. No entanto, se vários administradores tentarem alterar uma política ao mesmo tempo, poderão quebrar as ligações entre componentes da política. Uma verificação de integridade de política resolve este problema verificando as hiperligações na todas as políticas IPsec. Execute uma verificação de integridade depois de quaisquer modificações efectuadas a uma política de. Para testar IPsec integridade da política, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva secpol.msc e, em seguida, clique em OK
  2. Clique com o botão direito do rato em Políticas de segurança IP no computador local , aponte para Todas as tarefas e, em seguida, clique em Verificar a integridade da política .

Rever as IPsec controlador e política de agente de definições de registo

As definições para o controlador IPsec estão localizadas na seguinte subchave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
Pode modificar os valores das seguintes entradas:
  • SAIdleTime

    Esta entrada REG_DWORD configura o temporizador de inactividade de associação para segurança. O valor predefinido é 300 segundos. Pode especificar um valor de 300 para 3600 segundos.
  • CacheSize

    Esta entrada REG_DWORD configura o endereço IP com o cabeçalho tamanho da cache. O valor predefinido é 64 KB. Pode especificar um valor de 64 para 1024 KB.
  • SAHashSize

    Esta entrada REG_DWORD configura o tamanho do SPI. Configura também a tabela de destino para associações de segurança de entrada. O valor predefinido é 64 KB. Pode especificar um valor de 64 para 1024 KB.
As definições para o agente de política estão localizadas na seguinte subchave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Pode modificar os valores das seguintes entradas:
  • Depuração

    O tipo de dados é REG_DWORD. O valor predefinido é 0 . Um valor de 1 activa o registo. Quando o registo está activado, o ficheiro Ipsecpa.log é criado na pasta % sistema root%\Debug.
  • Registo

    O tipo de dados é REG_SZ. Esta entrada especifica o nome do ficheiro de registo a abrir quando a entrada de depuração está definida como 1 .
As referências de política de IPsec globais estão localizadas nas seguintes subchaves de registo:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\Software\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\System\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IPsec\GPTIPSECPolicy

Referências

231585Descrição geral das comunicações IP seguras com IPsec no Windows 2000
Para obter mais informações sobre Layer 2 Tunneling Protocol (L2TP) / IPsec ligações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
248750Descrição da política IPSec criada para L2TP/IPSec

Propriedades

Artigo: 257225 - Última revisão: 12 de outubro de 2007 - Revisão: 7.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbinfo kbipsec kbnetwork kbtshoot KB257225 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 257225

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com