Solucionando problemas de IPSec no Microsoft Windows 2000 Server

Traduções deste artigo Traduções deste artigo
ID do artigo: 257225 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter informações adicionais sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Para solucionar problemas de conexão com o IPSec no Microsoft Windows 2000, primeiro verifique o sucesso da negociação de segurança IKE (troca de chaves na Internet). Para fazer isto, habilite a diretiva de Auditoria e examine o log de Segurança. Em seguida, use a ferramenta de linha de comando Netdiag.exe para exibir as informações sobre a depuração. Em seguida, examine as propriedades da diretiva IPsec e as regras de IPsec de acordo com a ocorrência do problema nas fases um ou dois.

Use o Monitor de segurança IP para visualizar mais informações sobre as associações de IPSec e segurança. Também é possível usar o Monitor de segurança IP para visualizar as estatísticas de IKE. Use o Monitor de rede para analisar o tráfego de rede e o status dos vários protocolos usados na rede. É possível usar o comando Netsh para solucionar ocorrências nas quais ocorre o descarregamento de IP em pacotes IPSec.

Também é possível usar as informações no artigo para fazer o seguinte:
  • Obter um log Oakley
  • Compreender o conteúdo dos logs de evento
  • Solucionar problemas de mensagens "bad SPI"
  • Reinicie o agente da diretiva
  • Verifique a integridade das diretivas

INTRODUÇÃO

Este artigo contém diretrizes para a solução de problemas de conexão do protocolo IPSec (Internet Protocol security) no Microsoft Windows 2000. IPsec depende do protocolo IKE (Internet Key Exchange) para estabelecer parâmetros de segurança compartilhada e chaves autenticadas entre dois computadores. O protocolo IKE usa duas fases. Na fase um, o Windows 2000 usa o intercâmbio no modo principal do protocolo ISAKMP (Associação de segurança IKE e Gerenciamento de chave). (O Windows 2000 não oferece suporte ao Modo agressivo.) Quando o intercâmbio da fase um fornece um canal protegido, os computadores obtêm uma chave autenticada e uma associação de segurança IKE. Esse canal protegido é usado na fase dois para ajudar na proteção do Intercâmbio em modo rápido. O Intercâmbio em modo rápido fornece associações de segurança de IPSec.

Mais Informações

Solução básica de problemas IPSec

Para solucionar problemas do protocolo IPsec, primeiro ative a diretiva de Auditoria e verifique os resultados dos intercâmbios das fases um e dois. Quando a diretiva é ativada, os eventos da segurança são registrados no log de Segurança. Ao examinar esse log, você pode determinar se a negociação da associação de segurança IKE obteve êxito. Para ativar a diretiva de Auditoria, execute estas etapas:
  1. Na Diretiva de grupo, expanda Diretiva Computador local.
  2. Localize e clique em Configuração do computador/Configurações do Windows/Configurações de segurança/Diretivas locais/Diretiva de auditoria.
  3. No painel de detalhes, clique com o botão direito do mouse em Auditoria de eventos de logon e clique em Segurança.
  4. Selecione Sucesso, Falha e clique em OK.
  5. No painel de detalhes, clique com o botão direito do mouse em Auditoria do acesso a objetos e clique em Segurança.
  6. Selecione Sucesso, Falha e clique em OK.
Observação Se estiver usando uma diretiva de domínio para auditoria, ela substitui a diretiva local.

Em seguida, digite o seguinte comando para usar a ferramenta de linha de comando Netdiag.exe:
netdiag /test:ipsec /debug
O comando exibe informações sobre a depuração da fase dois.

Observação Para usar Netdiag.exe, o pacote de ferramentas de suporte do Windows 2000 deve estar instalado no computador. Para instalá-lo, execute as seguintes etapas:
  1. Inicie o Windows 2000.

    Observação É necessário fazer logon como um membro do grupo de administradores, para instalar as ferramentas.
  2. Insira o CD do Windows 2000 na unidade.
  3. Clique em Examinar este CD e abra a pasta Support\Tools.
  4. Clique duas vezes em Setup.exe e siga as instruções exibidas na tela.
Também é possível usar o Netdiag.exe para visualizar a diretiva sem uma conexão ativa. Para fazer isso, digite o seguinte comando em um prompt e pressione ENTER:
netdiag /test:ipsec /v
O comando exibe a diretiva atual e as estatísticas do IPsec com relação à primeira fase.

Se os eventos registrados indicarem falha no intercâmbio do Modo principal da fase, verifique as configurações IKE e os métodos de autenticação nas propriedades da diretiva do IPSec. Para fazer isto, execute as etapas a seguir:
  1. Clique em Iniciar, em Executar, digite secpol.msc e clique em OK.
  2. Clique na regra IPsec que você deseja, clique com o botão direito do mouse em Regras IPsec e clique em Propriedades.
  3. Clique na guia Geral e verifique se as configurações estão corretas.
  4. Clique em Avançado, examine as configurações, clique em Métodos e examine as configurações.
  5. Clique em OK duas vezes.
  6. Clique na guia Regras, em Editar e na guia Métodos de autenticação.
  7. Examine as configurações na guia.
Se os eventos registrados indicarem falha no Intercâmbio em modo rápido da fase dois, verifique os métodos de segurança IPSec nas regras IPSec e nas propriedades da diretiva de IPSec. Para fazer isto, execute as etapas a seguir:
  1. Clique na regra de IPSec a ser verificada, clique em Editar e na guia Ação de filtro.
  2. Clique na ação de filtro ativada, em Editar e examine as configurações.

Usando o Monitor de segurança IP

É possível usar o Monitor de segurança IP para monitorar as associações de segurança, as estatísticas de IPSec e IKE. Em especial, é possível usar o Monitor de segurança IP para verificar o sucesso da autenticação e as associações de segurança. Para iniciar o Monitor de segurança IP, clique em Iniciar, Executar, digite ipsecmon e clique em OK.

Observação Por padrão, o Monitor de segurança IP exibe as estatísticas do computador local. Para especificar um computador remoto, clique em Iniciar, Executar, digite ipsecmon nome do computador e clique em OK.

A caixa de grupo superior na caixa de diálogo Monitor de segurança IP exibe as associações de segurança ativas e a configuração da diretiva ativa. Já a caixa de grupo no canto inferior esquerdo exibe as seguintes estatísticas de IPSec:
  • Associações ativas
    O número de associações de segurança ativas.
  • Bytes confidenciais enviados
    O número de bytes enviados, usando o protocolo de segurança ESP (Encapsulating Security Payload) (Identificação decimal 50).
  • Bytes confidenciais recebidos
    O número de bytes recebidos, usando o protocolo de segurança ESP.
  • Bytes autenticados enviados
    O número de bytes enviados com a propriedade de autenticação ativada.
  • Bytes autenticados recebidos
    O número de bytes recebidos com a propriedade de autenticação ativada.
  • Pacotes SPI com problemas
    O número de pacotes cuja SPI (indexação incorreta de parâmetros de segurança) não é válida. Um número positivo possivelmente indica que a associação de segurança expirou ou que não é mais válida.

    A SPI é um valor de identificação exclusivo na associação de segurança. O valor permite ao computador de destino determinar a associação de segurança a ser usada no processamento do pacote.
  • Pacotes não descriptografados
    O número de pacotes que o driver IPSec de destino não é capaz de descriptografar. Um número positivo pode indicar um ou mais dos seguintes problemas:
    • A associação de segurança expirou
    • A associação de segurança não é mais válida
    • A autenticação não foi realizada
    • A verificação da integridade não foi realizada
  • Pacotes não autenticados
    O número de pacotes que não foram autenticados no driver IPSec. Um número positivo pode indicar que a associação de segurança expirou ou que não é mais válida. O driver IPSec deve ter as informações na associação de segurança, para poder processar os pacotes.

    Um número positivo também pode indicar que os dois computadores possuem configurações de autenticação incompatíveis. Verifique se o método de autenticação é o mesmo para os computadores.
  • Adições de chaves
    O número de chaves enviadas pelo mecanismo ISAKMP/Oakley para o driver IPSec. Um número positivo indica que as associações de segurança da fase dois ISAKMP foram negociadas com sucesso.
As estatísticas ISAKMP/Oakley estão localizadas no painel no canto inferior direito da janela. O painel no canto inferior direito exibe as seguintes estatísticas para o mecanismo de segurança ISAKMP/Oakley:
  • Modos Oakley principais
    O número de associações de segurança com êxito estabelecidas durante a fase um ISAKMP. Um número positivo indica que o intercâmbio das informações-chave foi bem-sucedido. As identidades foram autenticadas e o material de recriação de chave foi estabelecido.
  • Modos Oakley rápidos
    O número de associações de segurança estabelecidas com êxito durante a fase dois ISAKMP. Um número positivo indica que a negociação para serviços de proteção durante a transferência dos dados foi bem-sucedida.
  • Associações virtuais
    O número de negociações da fase dois ISAKMP que resultaram no acordo entre os computadores em relação a uma transferência de dados em texto não criptografado. Uma transferência de dados em texto não criptografado envolve a não criptografia ou assinatura dos pacotes.
  • Falhas de autenticação
    O número de vezes em que a autenticação das identidades do computador não tem êxito. Se o número for positivo, verifique se as configurações do método de autenticação para cada computador são compatíveis. Um número positivo também indica que a associação de segurança expirou.
  • Configurações de IPsecmon
    Uma opção configurável que permite ajustar a taxa de atualização dos dados.
O Monitor de segurança IP também indica se a Segurança IP está habilitada. As informações estão na caixa de grupo no canto inferior direito da caixa de diálogo Monitor de segurança IP. Para redefinir as estatísticas no Monitor de segurança IP, reinicie o Agente da diretiva de segurança IP, usando o Gerenciamento do computador (Compmgmt.msc).

Usando o Monitor de rede

É possível usar o Monitor de rede para analisar o seguinte:
  • Tráfego da rede
  • O protocolo de intercâmbio IKE
  • O protocolo IPSec
  • O protocolo ESP
  • Authentication Header (AH)

Obtendo um log Oakley

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.

Desenvolvedores e administradores de rede com conhecimento avançado sobre IKE podem modificar o Registro a fim de obter um log Oakley. Para fazer isto, use o Editor do Registro para localizar a seguinte subchave do Registro: Se ela não existir, crie-a.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Adicione uma entrada de valor tipo REG_DWORD chamada "EnableLogging". Dê a ela um valor igual a 1. Quando a entrada tiver efeito, um arquivo Oakley.log será criado na pasta %systemroot%\Debug.

Observação Para desativar o log, dê à entrada EnableLogging um valor igual a 0.

Usando o comando Netsh

É possível usar o comando Netsh para solucionar problemas em que há um descarregamento do IP em pacotes IPSec. Esse descarregamento acontece quando a placa de rede, e não a CPU, realiza funções de IP. Por exemplo, o descarregamento IP ocorre quando a placa de rede realiza cálculos da soma de verificação ou criptografa e descriptografa pacotes. O descarregamento faz o driver IPSec ignorar o pacote. Para determinar se uma interface é capaz de realizar um descarregamento de IP, execute estas etapas:
  1. Clique em Iniciar, em Executar, digite cmd e clique em OK.
  2. Em um prompt de comando, digite netsh int ip show offload e pressione ENTER.
O comando exibe os recursos de descarregamento da interface. Porém, o comando não exibe as estatísticas. Para visualizá-las, use o Monitor de segurança IP para monitorar bytes confidenciais recebidos. Use as estatísticas para determinar se os pacotes são perdidos ou recebidos.

Para desativar o descarregamento de IP, execute as seguintes etapas e modifique o Registro:
  1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
    Se a entrada EnableOffload não estiver presente, execute estas etapas para criá-la:
    1. Clique com o botão direito do mouse em IPSEC, aponte para Novo e clique em Valor DWORD.
    2. Digite EnableOffload como nome do novo valor e pressione ENTER.
    3. Clique duas vezes em EnableOffload.
    4. Digite 0 e pressione ENTER.
Se a conexão IP, cujos problemas estão sendo solucionados, funcionar, é sinal de que a causa do problema é o descarregamento de IP.

Logs de evento

Os seguintes eventos podem ser registrados no log de eventos da Segurança:
  • Origem do evento informativo 279: Categoria do agente da diretiva: Nenhuma
    O evento indica o seguinte:
    • Se há uma diretiva IPSec funcionando
    • A origem da diretiva IPSec
    • O intervalo de pesquisa do Active Directory, caso a origem da diretiva seja um domínio
    Além disso, caso uma diretiva de IPSec tenha sido alterada, o texto do evento inclui "Atualizando a diretiva IPSec".
  • Origem do evento de erro 284: Categoria do agente da diretiva: Nenhuma
    O evento indica que o Agente da diretiva IPSec não pode entrar em contato com o Active Directory para o domínio ao qual o computador pertence.
  • Origem do evento de auditoria 541: Categoria de segurança: Logon/Logoff
    O evento indica que uma associação de segurança física IPSec foi estabelecida. Associações de segurança virtuais não sofrem auditoria.
  • Origem do evento de auditoria 542: Categoria de segurança: Logon/Logoff
    O evento indica que uma associação de segurança IPSec foi finalizada. A associação de segurança finalizada pode ser física ou virtual.
Os seguintes eventos podem ser registrados no log de eventos do Aplicativo: O log de eventos do Aplicativo inclui mensagens de ISAKMP/Oakley. Os seguintes eventos indicam que uma versão doméstica do Windows 2000 tentou negociar uma segurança maior do que um cliente de exportação pode suportar.
  • Origem do evento de aviso 541: Categoria Oakley: Nenhuma 
    Esse evento indica que o cliente de exportação não pode gerar material chave de força doméstica. A negociação resultante concorda somente em material chave de força de exportação.
  • Origem do evento de aviso 542: Categoria Oakley: Nenhuma
    O evento indica que o cliente de exportação não pode executar criptografias superiores a DES (Data Encryption Standard). A negociação resultante concorda apenas com a DES se o outro computador suportar DES.

Solução de problemas gerais

Solucionando mensagens "SPI inválida" no Visualizar eventos

Mensagens "SPI inválida" são registradas nas seguintes circunstâncias:
  • Caso um valor de vida útil da chave esteja muito baixo
  • Caso o emissor continue transmitindo dados para o receptor após a expiração da associação de segurança
Quando uma nova associação de segurança for recebida, será preciso iniciar a transmissão dos dados. No entanto, caso a comunicação seja com um respondedor mais lento, ele pode receber dados protegidos IPSed não reconhecidos. Ele considera uma SPI não reconhecida como "SPI inválida". Para determinar e corrigir o problema, use o Monitor de segurança IP para examinar o número de chaves novas. Considere o período em que as conexões permanecem ativas. Caso o número de novas chaves seja muito grande, configure valores de vida útil maiores na diretiva. Valores aceitáveis para conexões da Ethernet com tráfego muito alto têm mais de 50 megabytes e cinco minutos.

A configuração de valores maiores não impede SPIs inválidas. No entanto, a configuração de valores maiores pode reduzir significativamente o número de SPIs inválidas. Normalmente, o Windows 2000 Server registra o evento 4268 para indicar que os pacotes foram descartados devido a um SPI defeituoso.

Caso o Monitor de segurança IP indique que as associações de segurança protegidas não foram estabelecidas, é possível que as associações de segurança não-seguras estejam impedindo o estabelecimento de associações de segurança protegidas.

Observação Uma associação de segurança protegida também é conhecida como física. Uma associação de segurança não-segura também é conhecida como virtual.

Execute o Monitor de segurança IP em um dos computadores do ponto. Se houver uma associação de segurança e a configuração da segurança for Nenhuma, haverá uma associação de segurança não-segura. Uma associação de segurança não-segura permanece no computador, desde que o tráfego seja enviado regularmente. Para evitar essa condição, pare todo o tráfego até que a associação de segurança expire. A associação de segurança costuma expirar em cinco minutos. Use o Monitor de segurança IP para verificar se a associação de segurança não está mais definida e inicie o tráfego novamente. Se as diretivas forem compatíveis, uma associação de segurança protegida será estabelecida automaticamente. Reinicie o agente de diretiva para excluir todas as associações de segurança não-seguras.

Se os arquivos exigidos por componentes IPSec forem removidos ou excluídos, reinstale os componentes IPSec, removendo e reinstalando o protocolo de rede TCP/IP. Entre os arquivos exigidos pelos componentes IPSec estão os seguintes:
  • ISAKMP/Oakley
  • Agente da diretiva IPSec
  • O driver IPSec
Os componentes IPSec são reinstalados durante a reinstalação de TCP/IP.

As negociações IPSec podem falhar devido à incompatibilidade das configurações da diretiva IPSec. Examine o log de eventos da Segurança em todos os computadores que participam de uma negociação. Eventos recentes podem registrar tentativas de realização de uma negociação Oakley. Entre os eventos podem estar uma descrição do sucesso ou da falha.

Verifique a integridade da diretiva em todos os computadores. Para determinar a causa de uma incompatibilidade de diretiva, execute estas etapas:
  1. Verifique se os métodos de autenticação são compatíveis.
  2. Verifique se há pelo menos um método de segurança compatível e se ele está configurado corretamente.
  3. Se você usa encapsulamento IPSec, verifique se as configurações do ponto de extremidade estão corretas. Além disso, verifique se os computadores do ponto da extremidade estão funcionando corretamente.

    Observação Entre as configurações do ponto de extremidade do encapsulamento estão o ISAKMP/Oakley, o Agente de diretiva IPSec e o driver IPSec.
Se "Local da diretiva Ipsec errado" for exibido no log de eventos, examine as últimas linhas do log no agente de diretiva. O log pode indicar o local da diretiva que foi usada. Se o local da diretiva não for registrado, execute estas etapas:
  1. Clique em Iniciar, em Executar, digite cmd e clique em OK.
  2. Digite o seguinte comando e pressione ENTER:
    findstr %systemroot%\ipsecpa.log
    Observação O comando diferencia maiúsculas de minúsculas.
O log indica se configurações da Diretiva de grupo ou da diretiva do computador local estão sendo usadas.

Reiniciando o agente da diretiva

Ao reiniciar o agente da diretiva, você remove associações de segurança antigas ou não seguras. Reinicie o agente da diretiva, caso o Monitor de segurança IP não apresente nenhuma negociação de segurança. Também reinicie o agente da diretiva caso queira baixar uma diretiva do domínio ou do armazenamento.

Verificando a integridade de diretiva

O Active Directory pressupõe que as alterações mais recentes são as atuais. No entanto, se vários administradores tentarem alterar uma diretiva ao mesmo tempo, os links entre os componentes da diretiva podem ser quebrados. O verificador de integridade da diretiva resolve o problema, verificando os links em todas as diretivas IPSec. Execute um verificador de integridade após quaisquer modificações feitas na diretiva. Para testar a integridade da diretiva IPSec, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite secpol.msc e clique em OK
  2. Clique com o botão direito do mouse em Diretivas de segurança IP em Máquina local, aponte para Todas as tarefas e clique em Verificar integridade da diretiva.

Examinando o driver IPSec e as configurações do Registro do agente da diretiva

As configurações do driver IPSec estão localizadas na seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
É possível modificar os valores das seguintes entradas:
  • SAIdleTime

    A entrada REG_DWORD configura o timer de ociosidade da associação de segurança. O valor padrão é de 300 segundos. É possível especificar um valor entre 300 e 3600 segundos.
  • CacheSize

    A entrada REG_DWORD configura o tamanho do cache com base no cabeçalho IP. O valor padrão é de 64 KB. É possível especificar um valor entre 64 e 1024 KB.
  • SAHashSize

    A entrada REG_DWORD configura o tamanho da SPI. Ela também configura a tabela de destino das associações de segurança de entrada. O valor padrão é de 64 KB. É possível especificar um valor entre 64 e 1024 KB.
As configurações do agente da diretiva estão localizadas na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
É possível modificar os valores das seguintes entradas:
  • Debug

    O tipo dos dados é REG_DWORD. O valor padrão é 0. Um valor de 1 ativa o registro. Com o log ativado, o arquivo Ipsecpa.log é criado na pasta %system root%\Debug.
  • Log

    O tipo dos dados é REG_SZ. Essa entrada especifica o nome do arquivo de log a ser aberto quando a entrada Debug é configurada como 1.
As referências da diretiva IPSec global estão localizadas nas seguintes subchaves do Registro:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\Software\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\System\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IPsec\GPTIPSECPolicy

Referências

Para obter informações adicionais sobre o IPSec, consulte os seguintes sites da Microsoft (em inglês):
http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/ispstep.mspx
231585 Visão geral da comunicação IP segura com IPSec no Windows 2000
Para obter informações adicionais sobre conexões L2TP/IPSec, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
248750 Descrição da diretiva IPSec criada para L2TP/IPSec

Propriedades

ID do artigo: 257225 - Última revisão: sábado, 10 de março de 2007 - Revisão: 8.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbinfo kbipsec kbnetwork kbtshoot KB257225

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com