Устранение неполадок в Microsoft Windows 2000 Server IPsec

Переводы статьи Переводы статьи
Код статьи: 257225 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Устранение неполадок подключения IPsec в Microsoft Windows 2000, сначала проверьте успех Интернет Согласование безопасности обмена ключами (IKE). Для этого включить политику аудита, а затем просмотрите журнал безопасности. Затем используйте средство Netdiag.exe для отображения отладочной информации. Затем в зависимости от того, ли проблема в первом этапе или на этапе 2, просмотрите свойства политики IPsec и правил IPsec.

Для получения дополнительных сведений о связи IPsec и безопасности с помощью монитора IP-безопасности. Монитор IP-безопасности можно также использовать для просмотра статистики IKE. Сетевой монитор можно используйте для анализа сетевого трафика и состояние различных протоколов, используемых в сети. Можно использовать команды Netsh для устранения неполадок экземпляры где IP Разгрузка происходит на пакеты IPsec.

В этой статье сведения также позволяют выполните следующие:
  • Получить Журнал Oakley
  • Понять содержимое журналов событий
  • Устранение «ошибки SPI» сообщения
  • Перезапуск агента политики
  • Проверьте целостность политики

ВВЕДЕНИЕ

В данной статье содержатся рекомендации по устранению неполадок Интернет Протокол безопасности (IP IPsec) проблем подключения в Microsoft Windows 2000. IPsec использует протокол обмена ключами в Интернете (IKE) для обеспечения общей безопасности параметры и проверенные ключи между двумя компьютерами. Протокол IKE использует два этапа. В первом этапе Windows 2000 использует сопоставление безопасности IKE и управление ключами Основной режим exchange протокола (ISAKMP). (Windows 2000 не поддерживает Агрессивный Режим). Когда exchange один этап обеспечивает безопасный канал, компьютеры Получите проверкой подлинности ключа и сопоставление безопасности IKE. Это защищенный канал используется в два этапа для защиты обмена быстрого режима. Быстрая Режим Exchange предоставляет сопоставления безопасности IPsec.

Дополнительная информация

Основные способы устранения неполадок IPsec

Для устранения неполадок IPsec, сначала включить политику аудита, а затем проверьте результаты одного этапа и обменов на два этапа. При включении политики аудита события безопасности заносятся в журнал безопасности. При просмотре журнала безопасности можно определить, успешно ли согласования сопоставления безопасности IKE. Чтобы включить политику аудита, выполните следующие действия.
  1. В групповой политики разверните узел Локальный компьютер Политика.
  2. Найдите и выделите компьютера/Конфигурация Windows Параметры/безопасности параметры/локальные политики/Политика аудита.
  3. В области сведений щелкните правой кнопкой мыши Аудит входа в систему События, а затем нажмите кнопку Безопасность.
  4. Выберите Успех, выберитеСбой, а затем нажмите кнопку ОК.
  5. В области сведений щелкните правой кнопкой мыши Объект аудита доступ, а затем нажмите кнопку Безопасность.
  6. Выберите Успех, выберитеСбой, а затем нажмите кнопку ОК.
Примечание Если вы используете домена политики аудита, политика домена переопределяет локальные политики.

Далее введите следующую команду, чтобы использовать программу Netdiag.exe средство командной строки:
netdiag /test:ipsec /debug
Эта команда отображает отладочную информацию о стадии два.

Примечание При использовании Netdiag.exe необходимо пакет средств поддержки Windows 2000 установить на ваш компьютер. Чтобы установить средства поддержки Windows 2000 выполните следующие действия.
  1. Запуск Windows 2000.

    Примечание Необходимо войти в систему как член группы «Администраторы» для установки Эти средства.
  2. Вставьте компакт-ДИСК Windows 2000 в дисковод компакт-дисков.
  3. Нажмите кнопку Обзор этого компакт-диска, а затем откройте Папку Support\Tools.
  4. Дважды щелкните файл Setup.exe и следуйте инструкциям которые выводятся на экран.
Netdiag.exe можно также использовать для просмотра политики без активное подключение. Для этого введите следующую команду в командной строке, а затем Нажмите клавишу ВВОД:
NetDiag / test: IPSec /v
Эта команда отображает текущую политику и о статистике IPsec с Первый этап учета.

Если зарегистрированные события указывают, этап один основной Режим exchange завершается ошибкой, проверьте настройки IKE и методы проверки подлинности IKE в свойствах политики IPsec. Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE secpol.msc, а затем нажмите кнопкуОК.
  2. Выберите правило IPsec, которую требуется щелкните правой кнопкой мыши щелкните Правила IPsec и выберите команду Свойства.
  3. Нажмите кнопку Общие TAB и затем проверьте правильность параметров.
  4. Нажмите кнопку Дополнительно, проверьте настройки, нажмите кнопку Методы, а затем проверить параметры.
  5. Нажмите кнопку ОК два раза.
  6. Нажмите кнопку Правила Щелкните Редактирование, а затем нажмите кнопку Методы проверки подлинности Вкладка.
  7. Проверьте параметры на этой вкладке.
Зарегистрированные события указывает, что этот этап не два быстрого режима, Проверка методов безопасности IPsec в политике IPsec и правил IPsec свойства. Чтобы сделать это, выполните следующие действия.
  1. Выберите правило IPsec, необходимо проверить, нажмите кнопку Редактирование, а затем нажмите кнопку Действие фильтра Вкладка.
  2. Выберите действие фильтра, которое включено, нажмите кнопку Редактированиеи проверьте настройки.

С помощью монитора IP-безопасности

Монитор IP-безопасности можно использовать для отслеживания вашего сопоставлений безопасности Статистики IPsec и статистики IKE. В частности можно использовать монитор IP-безопасности для Проверьте успешных сопоставлений безопасности и проверки подлинности. Чтобы запустить IP Щелкните Монитор безопасности Начало, нажмите кнопку Запустить, TYPE Ipsecmon, а затем нажмите кнопку ОК.

Примечание По умолчанию монитор IP-безопасности отображает статистику для локального компьютер. Для указания удаленного компьютера, нажмите кнопку Начало, нажмите кнопку Запустить, тип Ipsecmon имя_компьютера, а затем нажмите кнопку ОК.

В поле группы верхний» диалогового окна «Монитор IP-безопасности отображает активные сопоставления безопасности и конфигурации активной политики. Нижнее поле левой группы отображается следующая Статистика IPsec:
  • Активных сопоставлений
    Количество активных сопоставлений безопасности.
  • Отправлено байтов (секретных)
    Количество байт, отправленных по протоколу безопасности Encapsulating Security Payload (ESP) (Десятичный идентификатор 50).
  • Получено байтов (секретных)
    Номер байт, полученных по протоколу безопасности ESP.
  • Отправлено байт (проверенных)
    Количество байт, отправленных с была включена проверка подлинности.
  • Получено байт (проверенных)
    В число байтов, полученных с помощью была включена проверка подлинности.
  • Сбойных пакетов SPI
    Число пакетов которого индексом параметров безопасности (SPI) не является допустимым. Положительное число возможно Указывает, что сопоставления безопасности истек или больше является допустимым.

    SPI является уникальное определяющее значение в параметрах безопасности ассоциации. Это значение позволяет определить, какую безопасность компьютера получателя Ассоциация для обработки пакета.
  • Нерасшифрованных пакетов
    Количество пакеты, которые не удалось расшифровать принимающему драйверу IPsec. Возможно положительное число Указывает один или несколько из следующих проблем:
    • Истек срок действия сопоставления безопасности
    • Сопоставление безопасности больше не является допустимым
    • Не удалось выполнить проверку подлинности
    • Проверка целостности не выполнена
  • Непроверенных пакетов
    Номер пакеты, которые не прошли проверку подлинности в драйвер IPsec. Положительное число может означать, что сопоставления безопасности истек или больше не является допустимым. Драйвер IPsec необходимо иметь информацию в сопоставление безопасности в порядке для обработки пакетов.

    Положительное значение может также указывать, оба компьютера имеют несовместимые параметры проверки подлинности. Убедитесь, что метод проверки подлинности является одинаковым для каждого компьютера.
  • Основных добавлениях
    Число ключей механизм ISAKMP/Oakley, отправленных в драйвер IPsec. Положительный Указывает, что были два сопоставления безопасности ISAKMP фаза успешно согласованы.
Статистика ISAKMP/Oakley, находятся в области окна в правом нижнем. В нижней правой области отображается следующая статистика механизм безопасности ISAKMP/Oakley:
  • Основные режимы Oakley
    Количество Первый этап успешных сопоставлений безопасности, которые были установлены во время ISAKMP. Положительное число успешном обмена ключевой информацией. Прошли проверку подлинности удостоверений и был часто материала установлено.
  • Быстрого режима Oakley
    Количество второй этап успешных сопоставлений безопасности, которые были установлены во время ISAKMP. Положительное значение указывает, что согласование для защиты службы во время Передача данных выполнена успешно.
  • Мягкие сопоставления
    Количество ISAKMP этап два согласований, приведших к компьютерам, подтвердив только с Передача незашифрованных данных. Передача незашифрованных данных включает в себя без шифрования или подписывание пакетов.
  • Ошибки проверки подлинности
    Количество время проверки подлинности компьютера удостоверений не удалась. Если это число является положительным, убедитесь, что параметры метода проверки подлинности для каждого компьютер совместимы. Положительное значение может также указывать, безопасность Ассоциация истек.
  • IPsecmon конфигураций
    Настраиваемые параметр, который позволяет настроить частоту обновления данных.
Монитор IP-безопасности также указывает ли Включить IP-безопасности. Эта информация находится в поле группы нижний правый Диалоговое окно «Монитор IP-безопасности». Сброс Статистика в мониторе IP-безопасности, перезапустите агент политики безопасности IP с помощью управления компьютером (Compmgmt.msc).

С помощью сетевого монитора

Сетевой монитор можно использовать для анализа следующее:
  • Сетевой трафик
  • Протокол обмена IKE
  • Протокол IPsec
  • Протокол ESP
  • Заголовок проверки подлинности (AH)

Получение журнала Oakley

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows


Разработчики и администраторы сети имеют Расширенный IKE в базе знаний можно изменить реестр, чтобы получить Журнал Oakley. Для этого Это, используйте редактор реестра и найдите следующий раздел реестра. Если подраздел не существует, создайте его.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Добавьте запись значения типа REG_DWORD, с именем «enablelogging.» Присвойте этой записи значение 1. Когда эта запись вступает в силу, файл создается в папке % SystemRoot%\debug.

Примечание Чтобы отключить ведение журнала, предоставьте запись EnableLogging значение 0.

С помощью команды Netsh

Можно использовать команды Netsh для устранения неполадок экземпляры где IP Разгрузка происходит на пакеты IPsec. Разгрузка IP возникает, когда сетевой адаптер вместо Процессор выполняет функции IP. Например Разгрузка IP возникает, когда сетевой адаптер выполняет вычисления контрольной суммы или выполняет пакет шифрования и расшифровки. Разгрузка IP вызывает сброс пакета драйвера IPsec. Для определить, может ли интерфейс выполнить IP Разгрузка, выполните следующие действия:
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE cmd, а затем нажмите кнопку ОК.
  2. В командной строке введите: netsh int ip шоу Разгрузка, а затем нажмите клавишу ВВОД.
Эта команда отображает offloading возможности интерфейс. Тем не менее команда выводит статистику. Для просмотра Статистика, используйте монитор IP-безопасности для наблюдения за получено байтов (секретных). Использование Статистика для определения ли пакеты потеряны или получено.

Для отключить IP Разгрузка, выполните следующие действия для изменения реестра:
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE regedit, а затем нажмите кнопкуОК.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
    Если запись реестра EnableOffload отсутствует, выполните следующие действия для Создайте запись:
    1. Щелкните правой кнопкой мыши IPSEC, выберите пункт Новый, а затем нажмите кнопку Значение типа DWORD.
    2. Тип EnableOffload Имя новое значение и нажмите клавишу ВВОД.
    3. Дважды щелкните значок EnableOffload.
    4. Тип 0, а затем нажмите клавишу ВВОД.
Если IP-подключение, при устранении неполадок завершается успешно, проблема вызвана обработки IP.

Журналы событий

В журнале событий безопасности могут регистрироваться следующие события:
  • Informational event 279
    Source: PolicyAgent 
    Category: None
    Это событие указывает на следующее:
    • Действует ли политики IPsec
    • Источник политики IPsec
    • Active Directory, опрос интервал, если источник политика является доменом
    Кроме того Если политика IPsec была изменена, текст события включает в себя «Обновление политики IPsec».
  • Error event 284
    Source: PolicyAgent 
    Category: None
    Указывает, что не удается связаться с агентом политики безопасности IP Active Directory для домена, к которому принадлежит компьютер.
  • Audit event 541
    Source: Security 
    Category: Logon/Logoff
    Это событие означает, что сопоставление безопасности IPsec было установлено. Мягких сопоставлений безопасности не ведется.
  • Audit event 542
    Source: Security 
    Category: Logon/Logoff
    Указывает, что сопоставление безопасности IPsec завершен. Сопоставление закончен безопасности может быть оборудованием или программным обеспечением.
В журнале событий приложений регистрируются следующие события. Журнал приложений содержит сообщения ISAKMP/Oakley. Ниже события указывают, что Российские версии Windows 2000 попытки согласовать поддерживает большую безопасность, чем клиент экспорта.
  • Warning event 541
    Source: Oakley 
    Category: None
    Это событие указывает, что клиент экспорта не может создать материал для ключа нужной силы. При согласовании принимается только на Интенсивность экспорта ключа.
  • Warning event 542
    Source: Oakley 
    Category: None
    Указывает, что клиент экспорта не может выполнить шифрование надежнее, чем стандартные DES (Data Encryption). Полученный согласование принимается только DES Если другой компьютер может поддерживать АЛГОРИТМ DES.

Устранение общих неполадок

Устранение «ошибки SPI» сообщения в окне просмотра событий

«Ошибки SPI» заносятся в следующих случаях:
  • Если задано слишком низкое значение времени жизни ключа
  • Если отправитель продолжает передавать данные получателю После истечения срока действия сопоставления безопасности
При получении нового сопоставления безопасности, необходимо запустить Передача данных на нем. Тем не менее если связь с более медленных сетевых ответчиков медленных сетевых ответчиков может появиться IPSed с защитой данных, не может распознать. Отвечающая сторона считает SPI, что не распознает плохой» SPI.» Для определения проблемы и устранить ее, используйте монитор IP-безопасности для Изучите менялся. Рассмотрим, как долго соединения были активные. В случае большого числа смен ключа настройки большее время жизни ключа в политике. Допустимые значения для сетей Ethernet с высоким трафиком: дополнительные более 50 мегабайт и более пяти минут.

Настройка больше значения не может предотвратить SPI. Тем не менее Настройка больше значения можно существенно уменьшите количество SPI. Как правило Windows 2000 Server Заносит в журнал событий 4268 для указания того, что пакеты были удалены из-за плохой SPI.

Если монитор IP-безопасности показывает, что защита безопасности ассоциации не устанавливаются, может быть сопоставлений безопасности незащищенных не удалось запустить безопасный безопасность сопоставлений.

Примечание Сопоставление безопасности защищенных также называется жесткие сопоставление безопасности. Также является ассоциацией небезопасные безопасности называется Мягкий сопоставление безопасности.

Запустите монитор IP-безопасности на одном из одноранговых компьютеров. Если существует сопоставление безопасности и параметр безопасности является Нет, ассоциация небезопасные безопасности существует. Объект сопоставление безопасности небезопасные остается на компьютере до тех пор, пока трафик регулярно пересылаются. Чтобы предотвратить такую ситуацию, остановите весь трафик до безопасности Истекло время согласования. Как правило сопоставление безопасности времени ожидания в пяти минут. Убедитесь, что сопоставление безопасности с помощью монитора IP-безопасности больше не установлено, а затем снова запустите трафика. Если политики совместимость, сопоставление безопасности защищенных автоматически устанавливается. Перезапустите агент политики, чтобы удалить все небезопасные параметры безопасности ассоциации.

Если у файлов, необходимых для работы компонентов IPsec удалены или уничтожены, переустановите компоненты IPsec путем удаления и затем После переустановки сетевой протокол TCP/IP. Файлы, использующие компоненты IPsec следующие условия:
  • ISAKMP/Oakley
  • Агент политики IPsec
  • Драйвер IPsec
Компоненты IPsec переустанавливаются при повторной установке ПРОТОКОЛ TCP/IP.

Согласования IPsec может произойти сбой из-за несовместимости IPsec параметры политики. Просмотрите журнал событий безопасности на каждом компьютере, участвует в согласовании. Последние события могут записывать попытки выполнения Согласования Oakley. События могут включать описание успех или Произошла ошибка.

Проверьте целостность политики на каждом компьютере. Для Определите причину несоответствия политики, выполните следующие действия:
  1. Убедитесь, что методы проверки подлинности совместимость.
  2. Убедитесь, что хотя бы одного общего метода безопасности неправильно настроен.
  3. При использовании туннелирования IPsec убедитесь, что туннель правильно заданы параметры конечной точки. Также убедитесь, что конечных компьютеров работает без ошибок.

    Обратите внимание, включают параметры конечной точки туннеля Параметры ISAKMP/Oakley, агент политики IPsec и IPsec драйвер.
Если «Неправильный IPsec политики места», отображается в журнале событий Просмотрите последние строки в журнале агента политики. Журнал может означать расположение политики, который был использован. Если расположение политики не вошел в систему, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE cmd, а затем нажмите кнопку ОК.
  2. Введите следующую команду и нажмите клавишу ВВОД:
    Команда findstr %SystemRoot%\IPSECPA.log
    Примечание Эта команда с учетом регистра.
Журнал показывает ли параметры групповой политики или локальной используются параметры политики компьютера.

Перезапуск агента политики

Перезапустите агент политики вы удалите старый и небезопасные сопоставления безопасности. Перезапустите агент политики, если не монитор IP-безопасности Показать все согласования безопасности. Перезапустите агент политики для Загрузите политику домена или из хранилища политик.

При проверке целостности политики

Active Directory предполагает, что самые последние изменения текущей. Тем не менее, если попытаться изменить политику, в то же время нескольких администраторов могут быть нарушены связи между компонентами политики. Проверить целостность политики Данная проблема решается путем проверки ссылок во всех политиках IPsec. Запустить Проверка целостности после любых изменений в политику. Чтобы проверить IPsec целостность политики, выполните следующие действия:
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE secpol.msc и выберите команду ОК
  2. Щелкните правой кнопкой мыши Политики безопасности IP на локальном Машина, выберите пункт Все задачи, а затем нажмите кнопкуПроверьте целостность политики.

Проверка драйверов и политика агента реестра параметры IPsec

Параметры для драйвера IPsec находятся в следующих подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
Можно изменить значения следующих элементов:
  • SAIdleTime

    Эта запись REG_DWORD настраивает Таймер простоя ассоциации безопасности. Значение по умолчанию составляет 300 секунд. Вы можете Задайте значение 300-3600 секунд.
  • CacheSize

    Эта запись REG_DWORD настраивает IP размер кэша на основе заголовка. Значение по умолчанию составляет 64 КБ. Можно указать значение 64-1024 КБ.
  • SAHashSize

    Эта запись REG_DWORD настраивает размер SPI. Он также настраивает целевой таблицы для входящего безопасности ассоциации. Значение по умолчанию составляет 64 КБ. Можно указать значение от 64 до 1024 КБ.
Параметры агента политики находятся в следующих подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Можно изменить значения следующих элементов:
  • Отладка

    Имеет тип данных REG_DWORD. По умолчанию значение равно 0. Значение 1 Включение ведения журнала. При включении ведения журнала, файл Ipsecpa.log создается в папке % root%\Debug системы.
  • Журнал

    Тип данных — REG_SZ. Этот параметр задает Имя файла журнала, чтобы при открытии Отладка элемент имеет значение Кому 1.
Глобальные ссылки политики IPsec, находятся в следующих подразделы реестра:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • Machine\Software\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\ {GUID}
  • Machine\System\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\ {GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IPsec\GPTIPSECPolicy

Ссылки

231585 Общие сведения о безопасности IP-связь с помощью протокола IPsec в Windows 2000
Для получения дополнительных сведений о протокол туннелирования уровня 2 (L2TP) / IPsec-подключения, щелкните следующий номер статьи базы знаний Майкрософт:
248750Описание политики IPSec для протокола L2TP/IPSec

Свойства

Код статьи: 257225 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbinfo kbipsec kbnetwork kbtshoot kbmt KB257225 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:257225

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com