IPsec gi?i đáp th?c m?c trong Microsoft Windows 2000 Server

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 257225 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Đ? kh?c ph?c v?n đ? k?t n?i IPsec trong Microsoft Windows 2000, l?n đ?u tiên xác minh s? thành công c?a Internet Key Exchange (IKE) b?o m?t đàm phán. Đ? th?c hi?n vi?c này, cho phép chính sách ki?m đ?nh và sau đó ki?m tra Nh?t k? b?o m?t. Ti?p theo, s? d?ng công c? d?ng l?nh Netdiag.exe đ? hi?n th? thông tin g? l?i. Sau đó, tùy thu?c vào xem v?n đ? x?y ra trong giai đo?n m?t ho?c trong giai đo?n hai, ki?m tra thu?c tính chính sách IPsec và IPsec quy t?c c?a b?n.

S? d?ng IP b?o m?t Giám sát đ? xem thêm thông tin v? các Hi?p h?i IPsec và an ninh. B?n c?ng có th? s? d?ng IP b?o m?t Giám sát đ? xem th?ng kê IKE. S? d?ng m?ng lư?i giám sát đ? phân tích lưu lư?ng truy c?p m?ng và t?nh tr?ng c?a các giao th?c khác nhau đư?c s? d?ng trong m?ng c?a b?n. B?n có th? s? d?ng l?nh Netsh đ? g? r?i các trư?ng h?p mà IP offloading x?y ra trên các gói IPsec.

B?n c?ng có th? s? d?ng các thông tin trong bài vi?t này đ? làm như sau:
  • Có đư?c m?t đăng nh?p Oakley
  • Hi?u n?i dung c?a b?n ghi s? ki?n
  • G? r?i "x?u SPI" tin nh?n
  • Kh?i đ?ng l?i các đ?i l? chính sách
  • Xác minh s? tích h?p c?a các chính sách c?a b?n

GI?I THI?U

Bài vi?t này ch?a hư?ng d?n x? l? s? c? Internet Giao th?c b?o m?t (IPsec) k?t n?i v?n đ? trong Microsoft Windows 2000. IPsec d?a trên giao th?c Internet Key Exchange (IKE) đ? thi?t l?p b?o m?t đư?c chia s? tham s? và phím xác th?c gi?a hai máy tính. Giao th?c IKE s? d?ng hai giai đo?n. Trong giai đo?n m?t, Windows 2000 s? d?ng IKE Hi?p h?i b?o m?t và qu?n l? khóa Giao th?c (ISAKMP) ch? đ? chính trao đ?i. (Windows 2000 không h? tr? Aggressive Ch? đ?.) Khi trao đ?i m?t trong nh?ng giai đo?n cung c?p m?t kênh b?o đ?m, các máy tính có đư?c m?t xác th?c chính và m?t hi?p h?i an ninh IKE. Đi?u này b?o đ?m kênh đư?c s? d?ng trong giai đo?n hai đ? b?o v? vi?c trao đ?i ch? đ? nhanh. Nhanh chóng Trao đ?i ch? đ? cung c?p các Hi?p h?i b?o m?t IPsec.

THÔNG TIN THÊM

Cơ b?n gi?i đáp th?c m?c IPsec

Đ? kh?c ph?c IPsec, trư?c tiên cho phép chính sách ki?m đ?nh, và sau đó xác minh k?t qu? c?a giai đo?n m?t và trao đ?i hai giai đo?n. Khi b?n b?t chính sách ki?m đ?nh, s? ki?n b?o m?t đăng nh?p s? ghi b?o m?t. B?ng cách ki?m tra s? ghi b?o m?t, b?n có th? xác đ?nh li?u IKE an ninh Hi?p h?i đàm phán là thành công. Đ? cho phép chính sách ki?m đ?nh, h?y làm theo các bư?c sau:
  1. Trong chính sách nhóm, m? r?ng Máy tính c?c b? Chính sách.
  2. Xác đ?nh v? trí và sau đó nh?p vào Computer Configuration/Windows Cài đ?t/Security Settings/Local chính sách/ki?m toán chính sách.
  3. Trong ngăn chi ti?t, b?m chu?t ph?i vào Đăng nh?p ki?m toán s? ki?n, và sau đó nh?p vào Bảo mật.
  4. Nh?n vào đây đ? ch?n Thành công, nh?n vào đây đ? ch?nTh?t b?i, và sau đó nh?p vào Ok.
  5. Trong ngăn chi ti?t, b?m chu?t ph?i vào Đ?i tư?ng ki?m toán truy c?p, và sau đó nh?p vào Bảo mật.
  6. Nh?n vào đây đ? ch?n Thành công, nh?n vào đây đ? ch?nTh?t b?i, và sau đó nh?p vào Ok.
Chú ý N?u b?n đang s? d?ng m?t chính sách tên mi?n cho ki?m toán, chính sách tên mi?n s? ghi đè local c?a b?n chính sách.

Ti?p theo, g? l?nh sau đây đ? s? d?ng Netdiag.exe công c? d?ng l?nh:
netdiag /test:ipsec /debug
L?nh này s? hi?n th? thông tin g? l?i v? giai đo?n hai.

Chú ý S? d?ng Netdiag.exe, gói công c? h? tr? Windows 2000 ph?i đư?c cài đ?t trên máy tính c?a b?n. Đ? cài đ?t các công c? h? tr? Windows 2000, làm theo các bư?c sau:
  1. B?t đ?u Windows 2000.

    Chú ý B?n ph?i đăng nh?p như m?t thành viên c?a nhóm ngư?i qu?n tr? đ? cài đ?t nh?ng công c? này.
  2. Chèn Windows 2000 CD vào ? đ?a CD c?a b?n.
  3. Nh?p vào Tr?nh duy?t này CD, và sau đó m? các Support\Tools thư m?c.
  4. Nh?p đúp vào Setup.exe, và sau đó làm theo các hư?ng d?n mà xu?t hi?n trên màn h?nh.
B?n c?ng có th? s? d?ng Netdiag.exe đ? xem chính sách mà không có m?t k?t n?i ho?t đ?ng. Đ? th?c hi?n vi?c này, g? l?nh sau t?i d?u nh?c l?nh, và sau đó nh?n ENTER:
netdiag /Test:IPSec/v
L?nh này s? hi?n th? chính sách hi?n hành và th?ng kê IPsec v?i liên quan đ?n giai đo?n m?t.

N?u các s? ki?n đăng nh?p ch? ra r?ng giai đo?n m?t trong nh?ng chính Ch? đ? trao đ?i th?t b?i, xác minh cài đ?t IKE và phương pháp xác th?c IKE trong tài s?n c?a b?n chính sách IPsec. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Nh?p vào B?t đ?u, b?m Ch?y, lo?i secpol.msc, và sau đó nh?p vàoOk.
  2. Nh?p vào các quy t?c IPsec b?n mu?n nh?p, nh?p chu?t ph?i Quy t?c IPsec và sau đó nh?p vào Thu?c tính.
  3. B?m vào các T?ng quát tab, và sau đó xác nh?n r?ng các thi?t l?p là đúng.
  4. Nh?p vào Nâng cao, ki?m tra các thi?t đ?t, b?m vào Phương pháp, và sau đó ki?m tra các thi?t l?p.
  5. Nh?p vào Ok hai l?n.
  6. Nh?p vào Quy t?c tab, b?m vào Ch?nh s?a, và sau đó b?m vào các Phương pháp xác th?c tab.
  7. Ki?m tra các cài đ?t trên tab này.
N?u các s? ki?n đăng nh?p ch? ra r?ng giai đo?n hai ch? đ? nhanh chóng th?t b?i, ki?m ch?ng phương pháp b?o m?t IPsec trong các quy t?c IPsec và trong chính sách IPsec c?a b?n b?t đ?ng s?n. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Nh?p vào quy t?c IPsec b?n mu?n xác minh, h?y nh?p vào Ch?nh s?a, và sau đó b?m vào các L?c hành đ?ng tab.
  2. B?m vào hành đ?ng l?c đư?c kích ho?t, b?m vào Ch?nh s?a, và ki?m tra các thi?t l?p.

S? d?ng IP b?o m?t Giám sát

B?n có th? s? d?ng IP b?o m?t Monitor đ? giám sát các Hi?p h?i b?o m?t c?a b?n, Th?ng kê IPsec, và IKE th?ng kê. Đ?c bi?t, b?n có th? s? d?ng IP b?o m?t Giám sát đ? xác minh s? thành công c?a các Hi?p h?i xác th?c và an ninh. Đ? b?t đ?u IP Security Monitor, b?m B?t đ?u, b?m Ch?y, lo?i ipsecmon, và sau đó nh?p vào Ok.

Chú ý Theo m?c đ?nh, IP b?o m?t màn h?nh hi?n th? s? li?u th?ng kê cho các đ?a phương máy tính. Ch? r? máy tính t? xa, nh?n vào đây B?t đ?u, b?m Ch?y, lo?i ipsecmon computer_name, và sau đó nh?p vào Ok.

Các lower nhóm h?p trong h?p tho?i IP an ninh màn h?nh hi?n th? các Hi?p h?i an ninh ho?t đ?ng và c?u h?nh chính sách ho?t đ?ng. Trái nhóm h?p th?p s? hi?n th? các s? li?u th?ng kê IPsec sau đây:
  • Ho?t đ?ng Hi?p h?i
    S? lư?ng các Hi?p h?i an ninh ho?t đ?ng.
  • Bí m?t byte g?i
    S? lư?ng byte g?i b?ng cách s? d?ng giao th?c b?o m?t t?i tr?ng an ninh Encapsulating (ESP) (th?p phân ID 50).
  • Bí m?t bai nh?n
    S? byte nh?n đư?c b?ng cách s? d?ng giao th?c b?o m?t ESP.
  • Xác th?c byte g?i
    S? lư?ng byte g?i v?i thu?c tính xác th?c đư?c kích ho?t.
  • Xác th?c bai nh?n
    Các S? bai nh?n v?i thu?c tính xác th?c đư?c kích ho?t.
  • Các gói tin x?u SPI
    S? lư?ng các gói d? li?u có ch? s? thông s? an ninh (SPI) là không h?p l?. M?t tích c?c đang có l? ch? ra r?ng Hi?p h?i b?o m?t đ? quá h?n ho?c không c?n h?p l?.

    SPI là m?t giá tr? nh?n d?ng duy nh?t thu?c b?o m?t Hi?p h?i. Giá tr? này cho phép máy tính nh?n tin nh?n xác đ?nh b?o m?t Hi?p h?i đ? s? d?ng đ? x? l? gói.
  • Các gói không gi?i m?
    S? lư?ng các gói tr?nh đi?u khi?n IPsec nh?n tin nh?n không th? gi?i m?. M?t s? tích c?c có th? ch? ra m?t ho?c nhi?u v?n đ? sau:
    • Hi?p h?i b?o m?t đ? h?t h?n
    • Hi?p h?i an ninh không c?n h?p l?
    • Xác th?c không thành công
    • Ki?m tra tính toàn v?n đ? không thành công
  • Các gói không ch?ng th?c
    S? gói đó không đư?c ch?ng th?c cho ngư?i lái xe IPsec. M?t s? tích c?c có th? ch? ra r?ng Hi?p h?i b?o m?t đ? h?t h?n ho?c không c?n h?p l?. Tr?nh đi?u khi?n IPsec ph?i có các thông tin trong Hi?p h?i b?o m?t theo th? t? đ? x? l? các gói.

    M?t s? tích c?c có th? c?ng ch? ra r?ng các hai máy tính có thi?t đ?t xác th?c không tương thích. Xác minh r?ng các phương th?c xác th?c là như nhau cho m?i máy tính.
  • Phím b? sung
    S? lư?ng phím đó cơ ch? ISAKMP/Oakley g?i cho ngư?i lái xe IPsec. M?t tích c?c s? cho th?y r?ng ISAKMP giai đo?n hai an ninh h?i đ? thành công thương lư?ng.
Th?ng kê ISAKMP/Oakley đư?c đ?t trong ngăn c?a s? bên ph?i th?p hơn. Các th?p hơn bên ph?i ngăn hi?n th? các s? li?u th?ng kê sau cho cơ ch? b?o m?t ISAKMP/Oakley:
  • Oakley chính ch? đ?
    S? lư?ng các Hi?p h?i công an ninh đ? đư?c thành l?p trong ISAKMP giai đo?n m?t. M?t s? tích c?c ch? ra r?ng vi?c trao đ?i thông tin quan tr?ng đ? thành công. Danh tính đ? đư?c xác th?c và v?t li?u keying ph? bi?n đ?i đư?c thành l?p.
  • Oakley nhanh ch? đ?
    S? lư?ng các Hi?p h?i công an ninh đ? đư?c thành l?p trong ISAKMP giai đo?n hai. M?t s? tích c?c cho th?y r?ng vi?c thương lư?ng đ? b?o v? d?ch v? trong th?i gian truy?n d? li?u đ? thành công.
  • Hi?p h?i m?m
    S? ISAKMP giai đo?n hai cu?c đàm phán d?n đ?n máy tính đ?ng ? ch? đ?n m?t truy?n d? li?u văn b?n r? ràng. M?t chuy?n giao d? li?u r? ràng văn b?n liên quan đ?n vi?c không m?t m? hoá ho?c vi?c đăng k? c?a các gói.
  • Xác th?c th?t b?i
    S? lư?ng th?i gian đó xác th?c máy tính danh tính đ? không thành công. Nếu s? là tích c?c, xác minh r?ng các phương pháp xác th?c thi?t l?p cho m?i máy tính là tương thích. M?t s? tích c?c có th? c?ng cho th?y r?ng b?o m?t Hi?p h?i đ? h?t h?n.
  • C?u h?nh IPsecmon
    M?t c?u h?nh tùy ch?n cho phép b?n đi?u ch?nh l? C?p Nh?t d? li?u.
IP Security Monitor c?ng ch? ra cho dù IP b?o m?t đư?c kích ho?t. Thông tin này là trong h?p bên ph?i th?p hơn nhóm c?a các IP Security Monitor h?p tho?i. Đ?t l?i các th?ng kê trong IP Security Monitor, kh?i đ?ng l?i đ?i l? chính sách b?o m?t IP b?i b?ng cách s? d?ng máy tính qu?n l? (Compmgmt.msc).

S? d?ng màn h?nh m?ng

B?n có th? s? d?ng m?ng lư?i giám sát đ? phân tích sau đây:
  • M?ng lư?i giao thông
  • Giao th?c trao đ?i IKE
  • Giao th?c IPsec
  • Giao th?c ESP
  • Xác th?c Header (AH)

Vi?c thu th?p m?t đăng nh?p Oakley

Quan tr?ng Ph?n này, phương pháp, ho?c công vi?c có bư?c mà cho b?n bi?t làm th? nào đ? ch?nh s?a registry. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? đăng k? trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? đăng k? n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi ph?c s? đăng k?, h?y nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Cách sao lưu và lưu tr? s? đăng kư trong Windows


Các nhà phát tri?n và qu?n tr? viên m?ng lư?i nh?ng ngư?i có IKE ki?n th?c tiên ti?n có th? s?a đ?i registry đ? có đư?c m?t đăng nh?p Oakley. Đ? làm này, s? d?ng Registry Editor đ? xác đ?nh v? trí registry subkey sau. Nếu subkey không t?n t?i, t?o ra nó.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Thêm m?t m?c nh?p giá tr? REG_DWORD lo?i, đ?t tên là "enablelogging." M?c nh?p này cho m?t giá tr? là 1. Khi c?m t? này có hi?u l?c, m?t t?p tin Oakley.log đư?c t?o ra trong thư m?c %systemroot%\Debug.

Chú ý Đ? b?t t?t đăng nh?p, cho các m?c nh?p EnableLogging m?t giá tr? c?a 0.

B?ng cách s? d?ng l?nh Netsh

B?n có th? s? d?ng l?nh Netsh đ? g? r?i các trư?ng h?p mà IP offloading x?y ra trên các gói IPsec. IP offloading x?y ra khi th? m?ng thay v? CPU th?c hi?n ch?c năng IP. Ví d?, IP offloading x?y ra khi th? m?ng th?c hi?n ki?m tra tính toán ho?c th?c hi?n gói m? hóa và gi?i m?. IP offloading gây ra tr?nh đi?u khi?n IPsec đ? th? gói. Đ? xác đ?nh li?u m?t giao di?n có th? th?c hi?n IP offloading, h?y làm theo các bư?c sau:
  1. Nh?p vào B?t đ?u, b?m Ch?y, lo?i CMD, và sau đó nh?p vào Ok.
  2. T?i d?u nh?c l?nh, g? hi?n th? ip Netsh int offload, và sau đó nh?n ENTER.
L?nh này s? hi?n th? các kh? năng offloading c?a các giao di?n. Tuy nhiên, l?nh không hi?n th? các s? li?u th?ng kê. Đ? xem th?ng kê, s? d?ng IP b?o m?t Monitor đ? giám sát bí m?t bai nh?n. S? d?ng các s? li?u th?ng kê đ? xác đ?nh cho dù các gói d? li?u b? m?t ho?c đ? nh?n đư?c.

Đ? vô hi?u hoá IP offloading, h?y làm theo các bư?c sau đ? s?a đ?i registry:
  1. Nh?p vào B?t đ?u, b?m Ch?y, lo?i regedit, và sau đó nh?p vàoOk.
  2. Định vị, rồi bấm chuột phải vào khoá con đăng ký sau:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
    N?u các m?c nh?p EnableOffload không ph?i là hi?n nay, th?c hi?n theo các bư?c sau đ? t?o m?c:
    1. Nh?p chu?t ph?i IPSEC, đi?m đ?n M?i, và sau đó nh?p vào Giá tr? DWORD.
    2. Lo?i EnableOffload đ? tên các giá tr? m?i, và sau đó nh?n ENTER.
    3. B?m đúp EnableOffload.
    4. Lo?i 0, vaø sau ñoù baám NH?P.
Nếu IP k?t n?i b?n đang g? r?i đ? thành công, v?n đ? gây ra b?i IP offloading.

B?n ghi s? ki?n

Các s? ki?n sau đây có th? đư?c đăng trong s? ghi s? ki?n an ninh:
  • Informational event 279
    Source: PolicyAgent 
    Category: None
    S? ki?n này ch? ra như sau:
    • Cho dù m?t chính sách IPsec có hi?u l?c
    • Ngu?n g?c c?a chính sách IPsec
    • Active Directory phi?u kho?ng th?i gian, n?u ngu?n chính sách là m?t tên mi?n
    Ngoài ra, n?u m?t chính sách IPsec đ? đư?c thay đ?i, các s? ki?n văn b?n bao g?m "Chính sách IPsec Updating."
  • Error event 284
    Source: PolicyAgent 
    Category: None
    S? ki?n này ch? ra r?ng các đ?i l? IP chính sách b?o m?t không th? liên l?c v?i các Active Directory cho vùng máy tính thu?c v?.
  • Audit event 541
    Source: Security 
    Category: Logon/Logoff
    S? ki?n này ch? ra r?ng có m?t hi?p h?i c?ng b?o m?t IPsec đư?c thành l?p. Các Hi?p h?i m?m an ninh không ph?i đư?c ki?m toán.
  • Audit event 542
    Source: Security 
    Category: Logon/Logoff
    S? ki?n này ch? ra r?ng m?t hi?p h?i b?o m?t IPsec đ? k?t thúc. Hi?p h?i đ? k?t thúc b?o m?t có th? đư?c c?ng hay m?m.
Các s? ki?n sau đây có th? đư?c đăng trong s? ghi s? ki?n ?ng d?ng. S? ghi s? ki?n ?ng d?ng bao g?m các tin nh?n t? ISAKMP/Oakley. Sau đây s? ki?n ch? ra r?ng m?t phiên b?n n?i đ?a c?a Windows 2000 đ? c? g?ng đ? thương lư?ng an ninh nhi?u hơn so v?i m?t khách hàng xu?t kh?u có th? h? tr?.
  • Warning event 541
    Source: Oakley 
    Category: None
    S? ki?n này ch? ra r?ng khách hàng xu?t kh?u không th? t?o ra s?c m?nh trong nư?c tr?ng tài li?u. Vi?c đàm phán k?t qu? đ?ng ? ch? trên s?c m?nh xu?t kh?u tài li?u quan tr?ng.
  • Warning event 542
    Source: Oakley 
    Category: None
    S? ki?n này ch? ra r?ng khách hàng xu?t kh?u không th? th?c hi?n m? hóa m?nh m? hơn hơn Data Encryption Standard (DES). Các k?t qu? đàm phán đ?ng ? ch? v? DES n?u máy tính khác có th? h? tr? DES.

Khắc phục sự cố chung

Gi?i đáp th?c m?c "x?u SPI" thư trong tr?nh xem s? ki?n

"Bad spi" thư đ? đăng trong các trư?ng h?p sau:
  • N?u giá tr? quan tr?ng đ?i đ?t quá th?p
  • N?u ngư?i g?i ti?p t?c đ? truy?n d? li?u đ?n ngư?i nh?n sau khi Hi?p h?i b?o m?t đ? h?t h?n
Khi b?n nh?n đư?c m?t hi?p h?i an ninh m?i, b?n ph?i b?t đ?u truy?n d? li?u trên nó. Tuy nhiên, n?u b?n giao ti?p v?i m?t responder ch?m hơn, responder ch?m hơn có th? nh?n đư?c IPSed b?o v? d? li?u mà nó không công nh?n. Responder s? xem xét m?t SPI r?ng nó không công nh?n m?t "x?u SPI." Đ? xác đ?nh v?n đ? và đ? s?a ch?a nó, s? d?ng IP b?o m?t Giám sát đ? ki?m tra s? rekeys. H?y xem xét bao lâu các k?t n?i đ? ho?t đ?ng. N?u s? c?a rekeys là r?t l?n, c?u h?nh dài hơn ki?p s?ng quan tr?ng trong chính sách. Các giá tr? đư?c ch?p nh?n cho các k?t n?i Ethernet cao lưu lư?ng truy c?p nhi?u hơn n?a hơn 50 megabyte và nhi?u hơn năm phút.

C?u h?nh c?n các giá tr? có th? không ngăn ch?n t?nh tr?ng SPIs. Tuy nhiên, configuring dài hơn các giá tr? có th? làm gi?m đáng k? s? lư?ng x?u SPIs. Thông thư?ng, Windows 2000 Server ghi nh?t k? s? ki?n 4268 đ? ch? ra r?ng các gói b? b? đi v? c?a m?t x?u SPI.

N?u IP b?o m?t Giám sát ch? ra r?ng b?o đ?m an ninh các Hi?p h?i không đư?c thành l?p, các Hi?p h?i an ninh toàn có th? ngăn ch?n các Hi?p h?i b?o đ?m an ninh t? đang đư?c thành l?p.

Chú ý M?t hi?p h?i b?o đ?m an ninh c?ng đư?c g?i là m?t khó khăn Hi?p h?i an ninh. Hi?p h?i an ninh toàn di?n c?ng là đư?c bi?t đ?n như m?t m?m Hi?p h?i an ninh.

Ch?y IP Security Monitor trên m?t trong các máy tính ngang hàng. N?u m?t hi?p h?i b?o t?n t?i, và b?o m?t thi?t l?p là Không có, m?t hi?p h?i an ninh toàn t?n t?i. M?t Hi?p h?i an ninh toàn v?n c?n trên máy tính mi?n là lưu lư?ng truy c?p thư?ng xuyên g?i. Đ? ngăn ch?n t?nh tr?ng này, d?ng t?t c? lưu lư?ng truy c?p đ?n b?o m?t Hi?p h?i th?i gian. Thông thư?ng, Hi?p h?i an ninh l?n trong năm phút. S? d?ng IP b?o m?t Giám sát đ? đ?m b?o r?ng các Hi?p h?i b?o m?t là không c?n đư?c thành l?p, và sau đó b?t đ?u lưu lư?ng truy c?p m?t l?n n?a. N?u các chính sách tương thích, m?t hi?p h?i b?o đ?m an ninh t? đ?ng l?p. Kh?i đ?ng l?i các đ?i l? chính sách đ? xóa t?t c? an toàn các Hi?p h?i.

N?u t?p tin đư?c yêu c?u cho các thành ph?n IPsec có đư?c g? b? ho?c xóa, cài đ?t l?i các thành ph?n IPsec b?ng cách lo?i b? và sau đó cài đ?t l?i giao th?c m?ng TCP/IP. Tác ph?m đó có yêu c?u các thành ph?n IPsec bao g?m:
  • ISAKMP/Oakley
  • Đ?i l? chính sách IPsec
  • Tr?nh đi?u khi?n IPsec
Các thành ph?n IPsec có cài đ?t l?i khi b?n cài đ?t l?i TCP/IP.

IPsec đàm phán có th? th?t b?i v? c?a không tương thích IPsec thi?t đ?t chính sách. Ki?m tra Nh?t k? s? ki?n an ninh trên m?i máy tính mà tham gia vào đàm phán m?t. S? ki?n g?n đây có th? ghi l?i nh?ng n? l?c đ? th?c hi?n m?t Oakley đàm phán. Các s? ki?n có th? bao g?m m?t mô t? c?a s? thành công hay các s? th?t b?i.

Xác minh s? tích h?p c?a chính sách trên m?i máy tính. Đ? xác đ?nh nguyên nhân c?a m?t chính sách không phù h?p, h?y làm theo các bư?c sau:
  1. H?y ch?c ch?n r?ng phương pháp xác th?c tương thích.
  2. H?y ch?c ch?n r?ng phương pháp ít nh?t m?t b?o m?t tương thích m?t cách chính xác c?u h?nh.
  3. N?u b?n s? d?ng IPsec đư?ng h?m, ch?c ch?n r?ng đư?ng h?m thi?t đ?t đi?m cu?i là chính xác. C?ng đ?m b?o r?ng các máy tính đi?m cu?i là ho?t đ?ng đúng.

    Lưu ? các thi?t đ?t đi?m cu?i đư?ng h?m bao g?m thi?t đ?t cho ISAKMP/Oakley, các đ?i l? chính sách IPsec và IPsec tr?nh đi?u khi?n.
N?u "V? trí chính sách IPsec sai" xu?t hi?n trong s? ghi s? ki?n, ki?m tra nh?ng d?ng cu?i cùng trong Nh?t k? đ?i l? chính sách. Nh?t k? có th? cho th?y các v? trí c?a chính sách đ? đư?c s? d?ng. N?u v? trí chính sách không đăng nh?p, làm theo các bư?c sau:
  1. Nh?p vào B?t đ?u, b?m Ch?y, lo?i CMD, và sau đó nh?p vào Ok.
  2. G? l?nh sau đây, sau đó nh?n ENTER:
    FINDSTR %SystemRoot%\ipsecpa.log
    Chú ý L?nh này là ch?.
Nh?t k? ch? ra cho dù thi?t đ?t chính sách nhóm ho?c đ?a phương thi?t đ?t chính sách máy tính đư?c s? d?ng.

Kh?i đ?ng l?i các đ?i l? chính sách

Khi b?n kh?i đ?ng l?i các đ?i l? chính sách, b?n lo?i b? c? ho?c toàn các Hi?p h?i an ninh. Kh?i đ?ng l?i các đ?i l? chính sách n?u IP b?o m?t Giám sát không hi?n th? b?t k? cu?c đàm phán an ninh. C?ng kh?i đ?ng l?i các đ?i l? chính sách n?u b?n mu?n m?t chính sách t? các tên mi?n ho?c t?i v? t? các c?a hàng sách.

Xác nh?n các chính sách toàn v?n

Ho?t đ?ng thư m?c gi? đ?nh r?ng nh?ng thay đ?i g?n đây nh?t là hi?n t?i. Tuy nhiên, n?u nhi?u qu?n tr? viên c? g?ng đ? thay đ?i m?t chính sách cùng m?t lúc, các liên k?t gi?a các thành ph?n chính sách có th? phá v?. M?t ki?m tra tính toàn v?n chính sách gi?i quy?t v?n đ? này b?ng xác minh các liên k?t trong t?t c? các chính sách IPsec. Ch?y m?t ki?m tra tính toàn v?n sau khi b?t k? s?a đ?i đư?c th?c hi?n m?t chính sách. Đ? ki?m tra IPsec chính sách toàn v?n, làm theo các bư?c sau:
  1. Nh?p vào B?t đ?u, b?m Ch?y, lo?i secpol.msc và sau đó nh?p vào Ok
  2. Nh?p chu?t ph?i Các chính sách b?o m?t IP trên các đ?a phương Máy, đi?m đ?n T?t c? các nhi?m v?, và sau đó nh?p vàoKi?m tra chính sách toàn v?n.

Xem xét các IPsec tr?nh đi?u khi?n và chính sách đ?i l? đăng k? đ?t

Cài đ?t tr?nh đi?u khi?n IPsec đư?c đ?t t?i đây registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
B?n có th? s?a đ?i các giá tr? c?a các m?c sau đây:
  • SAIdleTime

    M?c nh?p này REG_DWORD c?u h?nh các Hi?p h?i an ninh b? đ?m th?i gian nhàn r?i. Giá tr? m?c đ?nh là 300 giây. B?n có th? ch? đ?nh m?t giá tr? c?a 300 đ? 3600 giây.
  • CacheSize

    M?c nh?p này REG_DWORD c?u h?nh IP Kích thư?c b? nh? cache d?a trên tiêu đ?. Giá tr? m?c đ?nh là 64 KB. B?n có th? ch? đ?nh m?t giá tr? c?a 64 đ? 1024 KB.
  • SAHashSize

    M?c nh?p này REG_DWORD c?u h?nh các Kích thư?c c?a SPI. Nó c?ng c?u h?nh b?ng đi?m đ?n cho an ninh trong nư?c các Hi?p h?i. Giá tr? m?c đ?nh là 64 KB. B?n có th? ch? đ?nh m?t giá tr? c?a 64 đ? 1024 KB.
Các thi?t đ?t cho các đ?i l? chính sách đư?c đ?t t?i đây registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
B?n có th? s?a đ?i các giá tr? c?a các m?c sau đây:
  • G? l?i

    Ki?u d? li?u là REG_DWORD. M?c đ?nh giá tr? là 0. M?t giá tr? c?a 1 lư?t v? khai thác g?. Khi đăng nh?p đư?c b?t, các t?p tin Ipsecpa.log đư?c t?o ra trong thư m?c root%\Debug h? th?ng %.
  • Đăng nh?p

    Ki?u d? li?u là REG_SZ. M?c nh?p này xác đ?nh tên t?p nh?t k? đ? m? khi các G? l?i m?c nh?p đư?c thi?t l?p đ? 1.
Tài li?u tham kh?o chính sách IPsec toàn c?u đư?c đ?t t?i đây s? đăng k? subkeys:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\ {GUID} Machine\Software\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\ {GUID} Machine\System\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IPsec\GPTIPSECPolicy

THAM KH?O

231585 T?ng quan v? an toàn IP giao ti?p v?i IPsec trong Windows 2000
Đ? bi?t thêm thông tin v? l?p 2 Tunneling Protocol (L2TP) / IPsec connections, b?m s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
248750Mô t? v? chính sách IPSec t?o cho L2TP/IPSec

Thu?c tính

ID c?a bài: 257225 - L?n xem xét sau cùng: 21 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
T? khóa: 
kbinfo kbipsec kbnetwork kbtshoot kbmt KB257225 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:257225

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com