IPsec 在 Microsoft Windows 2000 Server 中的疑難排解

文章翻譯 文章翻譯
文章編號: 257225 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

疑難排解 IPsec 連線問題,在 Microsoft Windows 2000 中的,請先確認成功的網際網路金鑰交換 (IKE) 安全性交涉。如果要執行這項操作,啟用稽核原則],然後檢查 [安全性記錄檔]。接下來,使用 Netdiag.exe 命令列工具來顯示偵錯資訊。然後,根據是否問題發生在一階段或階段中兩個,檢查您的 IPsec 原則內容和 IPsec 規則。

使用 [IP 安全性監視器] 檢視 IPsec 和安全性關聯的詳細資訊。您也可以使用 IP 安全性監視器,若要檢視 IKE 統計資料。使用 「 網路監視器 」 來分析網路流量,並在您的網路中使用不同的通訊協定的狀態。您可以使用 Netsh 命令來疑難排解執行個體其中 IP 將卸載發生於 IPsec 封包。

您也可以使用該資訊本文中執行下列:
  • 取得 Oakley 記錄檔
  • 了解事件記錄檔的內容
  • 疑難排解錯誤的 SPI 」 訊息
  • 重新啟動原則代理程式
  • 確認您的原則的完整性

簡介

本文包含指導方針疑難排解網際網路通訊協定安全性 (IPsec) 在 Microsoft Windows 2000 中的連線問題。IPsec 依賴網際網路金鑰交換 (IKE) 通訊協定,以建立共用的安全性參數,而且驗證兩部電腦之間的金鑰。IKE 通訊協定會使用兩個階段。 在階段一 Windows 2000 會使用 IKE 安全性關聯及金鑰管理通訊協定 (ISAKMP) 主要模式交換。(Windows 2000 並不支援主動模式)。當階段一個交換提供安全的通道時,電腦取得已驗證的索引鍵] 和 [IKE 安全性關聯。此安全的通道使用兩個階段,以協助保護快速模式 Exchange。[快速模式 Exchange 提供 IPsec 安全性關聯。

其他相關資訊

基本 IPsec 疑難排解

若要 IPsec 的疑難排解先啟用 [稽核原則],然後再驗證一階段和兩階段交換的結果。啟用 [稽核原則時的安全性事件記錄安全性記錄檔中。在測試安全性記錄檔中,您可以決定 IKE 安全性關聯交涉是否成功。 若要以便稽核原則,請依照下列步驟執行:
  1. 在 [群組原則] 中展開 本機電腦原則
  2. 找出並按一下 [電腦設定 Windows 設定/安全性設定/本機原則/稽核原則。
  3. 在詳細資料] 窗格中以滑鼠右鍵按一下 [稽核登入事件,然後按一下 [安全性]。
  4. 按一下以選取 [成功],按一下以選取 [失敗,然後再按一下 [確定]]。
  5. 在詳細資料] 窗格中以滑鼠右鍵按一下 [稽核物件存取],然後按一下 [安全性]。
  6. 按一下以選取 [成功],按一下以選取 [失敗,然後再按一下 [確定]]。
附註如果您使用網域原則進行稽核,網域原則會覆寫本機原則。

接下來,輸入下列命令以使用 [Netdiag.exe 命令列工具:
netdiag /test:ipsec/debug
這個命令顯示關於偵錯資訊階段兩個。

附註若要用以 Netdiag.exe 必須在您的電腦上安裝 Windows 2000 支援工具套件。若要安裝 Windows 2000 支援工具,請依照下列步驟執行:
  1. 啟動 Windows 2000。

    附註您必須以系統管理員群組的成員,才能安裝這些工具登入。
  2. 將 Windows 2000 CD 插入 CD 磁碟機。
  3. 按一下 [瀏覽此 CD,然後開啟 [Support\Tools] 資料夾。
  4. 連按兩下 Setup.exe,並遵循出現在螢幕的指示。
您也可以使用 Netdiag.exe 若要檢視原則沒有作用中的連線。如果要執行這項操作,在命令提示字元中輸入下列命令,並再按下 ENTER:
netdiag /test:ipsec/v
這個命令會顯示目前的原則及 IPsec 考慮到其中一個階段的統計資料。

如果記錄的事件表示一個主要模式交換階段失敗,請確認 IKE 設定] 和 [IKE 驗證方法,在 IPsec 原則內容。要這麼做,請您執行下列步驟:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 secpol.msc,然後按一下 [確定]]。
  2. 按一下您想要按一下、 IPsec 規則 上按一下滑鼠右鍵,然後按一下 [內容] [IPsec 規則。
  3. 按一下 [一般] 索引標籤,並確認設定正確。
  4. 按一下 [進階]、 檢查設定值、 按一下 [方法,及再檢查設定值。
  5. 按兩次 [確定]
  6. 按一下 [規則] 索引標籤,按一下 [編輯],然後再按一下 [驗證方法] 索引標籤。
  7. 請檢查此索引標籤上的設定值。
如果記錄的事件指出該階段兩個快速模式失敗,請確認在 IPsec 規則和 IPsec 原則內容中時,IPsec 安全性方法。要這麼做,請您執行下列步驟:
  1. 按一下您想要確認,按一下 [編輯],然後再按一下 [篩選器動作] 索引標籤上的 IPsec 規則。
  2. 按一下 [已啟用篩選器動作],按一下 [編輯,然後檢查設定]。

使用 IP 安全性監視器

您可以使用 [IP 安全性監視器] 監視安全性關聯、 IPsec 統計資料以及 IKE 統計資料。在特別您可以使用 [IP 安全性監視器] 確認成功的驗證及安全性關聯。要 IP 安全性監視器按一下 [開始],再按一下 [執行]、 鍵入 ipsecmon,然後再按一下 [確定]。

附註預設情況下,IP 安全性監視器會顯示本機電腦的統計資料。若要指定遠端電腦,請按一下 [開始]、 按一下 [執行]、 鍵入 ipsecmon computer_name,然後按一下 [確定]]。

IP 安全性監視器] 對話方塊中的 [上層群組] 方塊會顯示使用中安全性關聯] 和 [作用中的原則設定。 較低的左的群組方塊會顯示下列的 IPsec 統計資料:
  • 使用中的關聯
    使用中安全性關聯的數目。
  • 已傳送的機密位元組
    藉由使用封裝安全承載 (ESP) 安全性通訊協定傳送的位元組數目 (十進位識別碼 50)。
  • 已接收的機密位元組
    使用 ESP 安全性通訊協定來接收的位元組數目。
  • 驗證已傳送的位元組數
    啟用驗證屬性與傳送的位元組數目。
  • 驗證已接收的位元組數
    收到含有啟用的驗證內容的位元組數目。
  • 錯誤的 SPI 封包
    其安全性參數索引 (SPI) 不是有效的封包數目。正數可能表示安全性關聯已過期,或已不再有效。

    SPI 是唯一的識別值中安全性關聯。這個值可以讓接收判斷安全性關聯,以使用來處理封包的電腦。
  • 封包不解密
    接收的 IPsec 驅動程式無法解密的封包數目。正數可能表示一或多個下列問題:
    • 安全性關聯已過期
    • 安全性關聯已不再有效
    • 驗證未成功
    • 未成功完整性檢查
  • 封包未驗證
    IPsec 驅動程式已未經驗證的封包數目。正數可能表示安全性關聯已過期,或是已不再有效。 IPsec 驅動程式必須具有安全性關聯,以便處理封包中的資訊。

    正數也可能表示兩個電腦都有不相容的驗證設定。請確認驗證方法是相同的每一部電腦。
  • 金鑰 「 新增 」
    ISAKMP/Oakley 機制傳送到 IPsec 驅動程式的按鍵數目。正數表示已成功交涉 ISAKMP 階段兩個安全性關聯。
ISAKMP/Oakley 統計資料位於右下視窗窗格。右下角的窗格會顯示下列統計的 ISAKMP/Oakley 安全性機制:
  • Oakley 主要模式
    ISAKMP 期間所建立的成功的安全性關聯數目階段之一。 一個正數則表示金鑰資訊交換已順利完成。 已驗證識別身份,並建立常用的金鑰材料。
  • Oakley 快速模式
    成功的安全性關聯所建立期間 ISAKMP 數目階段兩個。 一個正數則表示在資料傳輸期間的保護服務交涉已順利完成。
  • 軟性的關聯
    ISAKMP 數第一階段導致同意僅以純文字資料傳輸的電腦的兩個交涉。沒有加密或簽章的封包,牽涉到純文字資料傳輸。
  • 驗證失敗
    該驗證電腦身分沒有成功逾的數。如果這個數字是正值,請確認每一部電腦驗證方法設定相容。正數也可能表示安全性關聯已過期。
  • IPsecmon 組態
    可設定的選項,可讓您調整的資料更新速率。
IP 安全性監視器也指出是否啟用 IP 安全性。此資訊是於 [IP 安全性監視器] 對話方塊的右下角群組方塊。若要重設在 [IP 安全性監視器統計,請使用 [電腦管理 (Compmgmt.msc) 來重新啟動 IP 安全性原則代理程式。

使用 「 網路監視器

您可以使用網路監視器 」 來分析下列:
  • 網路流量
  • IKE 交換通訊協定
  • IPsec 通訊協定
  • ESP 通訊協定
  • 驗證標頭 (AH)

取得 Oakley 記錄檔

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄


開發人員和網路系統管理員已經進階 IKE 知識可以修改登錄,以取得 Oakley 記錄檔。若要執行此動作可以使用 [登錄編輯程式來找出下列登錄子機碼。如果子機碼不存在,建立它。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
新增項目的 REG_DWORD 類型值名為"EnableLogging]。 提供此項目的值為 1。當這個項目生效 Oakley.log 檔案會建立 %systemroot%\Debug 資料夾中。

附註若要關閉記錄,提供 EnableLogging 項目 0 的值。

使用 netsh 命令

您可以使用 Netsh 命令來疑難排解執行個體其中 IP 將卸載發生於 IPsec 封包。當網路卡,而非 [CPU 執行 IP 功能時,就會發生 IP 將卸載。比方說 IP 將卸載當網路卡執行總和檢查碼計算或執行封包加密和解密。將卸載 IP 會導致 IPsec 驅動程式丟棄封包。如果要判斷介面是否能夠執行 IP 將卸載,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]、 輸入 cmd,] 然後再按一下 [確定]
  2. 在命令提示字元下鍵入 netsh int IP 放映卸載,並按下 ENTER。
這個命令會顯示介面的卸載的能力。不過,命令不會顯示統計資料。若要欲統計資料] 使用 [IP 安全性監視器來監視已接收的機密位元組。使用這些統計資料判斷封包都遺失或接收。

若要停用 IP 將卸載,請依照下列步驟修改登錄:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並點選下列登錄子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
    如果 EnableOffload 項目不存在,請依照下列步驟建立項目:
    1. IPSEC] 上按一下滑鼠右鍵,指向 [新增],然後再按一下 [DWORD 值
    2. 鍵入 EnableOffload 命名新的值,然後按下 ENTER。
    3. 連按兩下 EnableOffload
    4. 鍵入 0,並按下 ENTER。
如果您正在進行疑難排解之 IP 連線成功,問題造成藉由 IP 將卸載。

事件記錄檔

安全性事件記錄檔可能會記錄下列事件:
  • Informational event 279
    Source: PolicyAgent 
    Category: None
    此事件表示下列:
    • 是否使用 IPsec 原則是作用中
    • IPsec 原則的來源
    • 如果原則的來源是一個網域在 Active Directory 輪詢間隔
    此外,如果變更 IPsec 原則事件文字包含 < 更新 IPsec 原則]。
  • Error event 284
    Source: PolicyAgent 
    Category: None
    此事件表示 IP 安全性原則代理程式無法連絡 Active Directory,為該電腦所屬的網域。
  • Audit event 541
    Source: Security 
    Category: Logon/Logoff
    此事件表示已建立 IPsec 硬安全性關聯。不稽核軟安全性關聯。
  • Audit event 542
    Source: Security 
    Category: Logon/Logoff
    此事件表示 IPsec 安全性關聯已結束。 已結束的安全性關聯可能硬或軟。
下列事件可能會記錄在應用程式事件日誌。 應用程式事件記錄檔包含來自 ISAKMP/Oakley 的郵件。下列事件表示國內版本的 Windows 2000 嘗試交涉比匯出用戶端可以支援更高的安全性。
  • Warning event 541
    Source: Oakley 
    Category: None
    此事件表示匯出用戶端無法產生國內強度金鑰材料。產生交涉同意只在匯出強度金鑰材料。
  • Warning event 542
    Source: Oakley 
    Category: None
    此事件表示匯出用戶端無法執行較強比資料加密標準 (DES) 加密。如果另一台電腦可以支援 DES 只能在 DES 同意產生交涉。

一般疑難排解

「 事件檢視器中的不良的 SPI 」 訊息 」 疑難排解

錯誤的 SPI 」 訊息被記錄在下列情況:
  • 如果金鑰存留時間值設定太低
  • 如果寄件者繼續傳輸資料到接收者後安全性關聯已過期
當您收到新的安全性關聯時,您必須啟動傳輸上的資料。不過,如果與速度較慢的回應器通訊,速度較慢的回應者可能會收到無法辨識的 IPSed 保護資料。回應者會認為 SPI 無法辨識 」 不良 SPI 」。若要判定此問題,並更正它,使用 [IP 安全性監視器] 來檢查重複金鑰的數目。請考慮多久該連線已啟用。如果重複金鑰的數目很大時,請在原則中設定較長的金鑰生命週期。高流量的乙太網路連線可接受的值為百萬位元組 (MB) 為超過 50 單位和超過五分鐘。

設定較長的時間值可能會導致錯誤 SPIs。不過,設定較長的時間值,可大幅降低錯誤 SPIs 數目。通常,Windows 2000 伺服器記錄檔事件 4268 指出因為不良的 SPI 的已捨棄的封包。

如果 IP 安全性監視器指出不建立安全的安全性關聯,非安全性的安全性關聯可能會不讓從正在建立安全的安全性關聯。

附註安全的安全性關聯也稱為是 硬式 的安全性關聯。非安全性的安全性關聯也稱為是 軟體 的安全性關聯。

在其中一個對等電腦上執行 IP 安全性監視器。如果安全性關聯存在,而且安全性設定是 [無],非安全性的安全性關聯存在。非安全性的安全性關聯仍會保留在電腦上,只要定期傳送流量。若要避免這種情況,停止所有流量安全性關聯逾時之前。通常,安全性關聯逾時在五分鐘。使用 [IP 安全性監視器] 以確定不再建立安全性關聯,然後重新啟動傳輸。如果原則相容,會自動建立安全的安全性關聯。 重新啟動原則代理程式來刪除所有的非安全性的安全性關聯。

如果檔案所需的 IPsec 元件已經移除或刪除,移除並重新安裝 TCP/IP 網路通訊協定重新安裝 IPsec 元件。IPsec 元件需要的檔案包括下列各項:
  • ISAKMP/Oakley
  • IPsec 原則代理程式
  • IPsec 驅動程式
當您重新安裝 TCP/IP,IPsec 元件是重新安裝。

IPsec 交涉可能會因為失敗不相容的 IPsec 原則設定。檢查安全性事件日誌中參與一個交涉每台電腦上。最近的事件可能會記錄嘗試執行 Oakley 交涉。這些事件可能包括成功或失敗的描述。

確認原則在每一部電腦上的完整性。如果要判斷原則不相符的原因,請依照下列步驟執行:
  1. 請確定驗證方法是相容的。
  2. 請確定已正確設定至少一個相容的安全性方法。
  3. 如果您使用 IPsec 通道設定,請確定通道端點設定正確。同時也請確定端點電腦運作正常。

    附註的通道端點設定包括 ISAKMP/Oakley、 「 IPsec 原則代理程式 」 和 「 IPsec 驅動程式。
如果事件日誌會出現錯誤的 IPsec 原則位置,檢查原則代理程式記錄檔中最後一次的行。記錄檔可能表示原則時所使用的位置。如果不記錄原則位置,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]、 輸入 cmd,] 然後再按一下 [確定]
  2. 輸入下列命令並按下 ENTER:
    findstr %systemroot%\ipsecpa.log
    附註區分大小寫,則此命令。
記錄檔會指示是否要用群組原則設定或本機電腦原則設定。

重新啟動原則代理程式

當您重新啟動原則代理程式時,移除舊的或非安全性的安全性關聯。如果 IP 安全性監視器不會顯示任何安全性交涉,請重新啟動原則代理程式]。如果您想要下載原則從網域或從原則存放區,也重新啟動原則代理程式。

驗證原則完整性

作用中的目錄假設最近的變更是目前的。 不過,如果多個系統管理員嘗試一次變更一個原則,原則元件之間連結可能會中斷。原則完整性檢查可以藉由驗證所有 IPsec 原則中的連結解決這個問題。對原則進行任何修改之後,請執行完整性檢查。若要測試 IPsec 原則完整性請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行]、 鍵入 secpol.msc 然後再按一下 [確定]
  2. 用滑鼠右鍵按一下 [IP 安全性原則本機電腦上,指向 [所有工作],然後再按一下 [檢查原則整合性

檢閱 IPsec 驅動程式和原則代理程式登錄設定

IPsec 驅動程式的設定位於下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
您可以修改下列項目值:
  • SAIdleTime

    此 REG_DWORD 項目設定安全性關聯閒置計時器。預設值為 300 秒。您可以指定其值為 300 到 3600 秒。
  • CacheSize

    此 REG_DWORD 項目設定 IP 標頭架構快取大小。預設值為 64 KB。您可以指定其值為 64 到 1024 KB。
  • SAHashSize

    此 REG_DWORD 項目設定 SPI 的大小。它也會設定目的資料表,輸入的安全性關聯。預設值為 64 KB。您可以指定其值為 64 到 1024 KB。
原則代理程式的設定位於下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
您可以修改下列項目值:
  • 偵錯

    資料型別是 REG_DWORD。預設值為 0。若其值設為 1,會記錄功能。當記錄亮 Ipsecpa.log 檔案會建立在 %系統 root%\Debug 資料夾中。
  • 記錄檔

    資料類型是 REG_SZ。此項目會指定以開啟 偵錯 項目設為 1 時,記錄檔的名稱。
通用的 IPsec 原則參考位於下列登錄子機碼:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\Software\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\{GUID}Machine\System\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IPsec\GPTIPSECPolicy

?考

231585使用 Windows 2000 中的 IPsec 安全 IP 通訊的概觀
如需有關第 2 層通道通訊協定 (L2TP) / IPsec 連線按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
248750建立 L2TP/IPSec 的 IPSec 原則的描述

屬性

文章編號: 257225 - 上次校閱: 2007年10月12日 - 版次: 7.3
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbmt kbinfo kbipsec kbnetwork kbtshoot KB257225 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:257225
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com