ID Artikel: 816514 - Kajian Terakhir: 04 Oktober 2011 - Revisi: 2.0

Cara mengkonfigurasi IPSec Tunneling pada Windows Server 2003

Tampil berdampinganKlik disini untuk menampilkan sumber Inggris dan terjemahan oleh mesin secara berdampingan
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Melihat produk di mana artikel ini berlaku.
Tips SistemThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.
Untuk versi Microsoft Windows 2000 dari artikel ini, lihat 252735  (http://support.microsoft.com/kb/252735/EN-US/ ) .
Kembali ke atas

DALAM TUGAS INI

Pada Halaman ini

Perbesar semua | Perkecil semua

RINGKASAN

Anda dapat menggunakan IP Security (IPSec) dalam mode terowongan merangkum Paket Internet Protocol (IP) dan opsional mengenkripsi mereka. The alasan utama untuk menggunakan IPSec terowongan mode (kadang-kadang disebut sebagai "murni IPSec tunnel") pada Windows Server 2003 adalah untuk interoperabilitas dengan non-Microsoft router atau gateway yang tidak mendukung Layer 2 Tunneling Protocol (L2TP) / IPSec atau PPTP jaringan privat virtual (VPN) tunneling teknologi.

kembali ke atas
Kembali ke atas
Windows Server 2003 mendukung IPSec penerowongan untuk situasi di mana kedua terowongan Endpoint memiliki alamat IP statis. Hal ini terutama bermanfaat di gerbang-gerbang implementasi. Namun, hal itu mungkin juga bekerja untuk khusus jaringan keamanan skenario antara gateway atau router dengan server. (Misalnya, Windows Server 2003 router yang rute lalu lintas dari antarmuka eksternal untuk internal komputer berbasis Windows Server 2003 yang akan mengamankan jalan internal oleh membangun terowongan IPSec ke server internal yang menyediakan layanan untuk klien eksternal).

Windows Server 2003 IPSec tunneling bukanlah didukung untuk akses remote klien VPN menggunakan karena Internet Engineering Task Force (IETF) IPSec permintaan untuk komentar (RFC) tidak saat ini menyediakan solusi akses remote di Internet Key Exchange (IKE) protokol untuk sambungan klien untuk gerbang. IETF RFC 2661, protokol Penerobosan lapis dua "L2TP," secara khusus dikembangkan oleh Cisco, Microsoft, dan orang lain untuk memberikan klien sambungan VPN akses remote. Dalam Windows Server 2003, sambungan VPN klien akses remote dilindungi menggunakan otomatis IPSec kebijakan yang menggunakan IPSec transportasi mode (bukan terowongan modus) ketika L2TP terowongan jenis dipilih.

Windows Server 2003 IPSec penerowongan juga mendukung protokol-spesifik dan pelabuhan khusus terowongan. Sementara snap-in konsol manajemen Microsoft (MMC) IPSec kebijakan adalah sangat umum dan memungkinkan Anda untuk menghubungkan jenis penyaring dengan sebuah terowongan, pastikan Anda menggunakan hanya informasi alamat dalam spesifikasi penyaring untuk sebuah terowongan aturan.

Untuk informasi lebih lanjut tentang bagaimana protokol IPSec dan IKE bekerja, lihat Microsoft Windows Server 2003 Resource Kit.

Artikel ini menjelaskan cara mengkonfigurasi IPSec terowongan pada Windows Server 2003 gateway. Karena terowongan IPSec mengamankan hanya lalu lintas yang ditentukan pada IPSec filter bahwa Anda mengkonfigurasi, artikel ini juga menjelaskan cara mengkonfigurasi penyaring dalam Routing dan layanan akses jauh ke mencegah lalu lintas di luar terowongan dari menerima atau diteruskan. Ini artikel menggunakan skenario berikut untuk membuatnya mudah untuk mengikuti langkah-langkah konfigurasi:

Perkecil tabel iniPerbesar tabel ini
NetA-
WIN2003intIP-		-Windows Server 2003 Gateway-
-WIN2003extIP-		-Internet--non-Microsoft Gateway-
-3rdExtIP-		-NetB
-3rdIntIP

NetA adalah ID jaringan Windows Server 2003 gateway internal jaringan.

WIN2003intIP alamat IP yang ditugaskan untuk jaringan internal gateway Windows Server 2003 adaptor.

WIN2003extIP alamat IP yang diberikan untuk jaringan eksternal gateway Windows Server 2003 adaptor.

3rdExtIP alamat IP yang diberikan untuk jaringan eksternal non-Microsoft gateway adaptor.

3rdIntIP alamat IP yang ditugaskan untuk jaringan internal non-Microsoft gateway adaptor.

NetB adalah ID jaringan non-Microsoft gateway jaringan internal.

Tujuannya adalah untuk Windows Server 2003 gateway dan gerbang non-Microsoft untuk membangun terowongan IPSec Ketika lalu lintas dari NetA harus dialihkan ke NetB atau ketika lalu lintas dari NetB harus dialihkan ke NetA begitu lalu lintas diarahkan selama sesi aman.

Jika Anda ingin mengkonfigurasi kebijakan IPSec, Anda harus membangun dua filter: satu penyaring untuk mencocokkan paket dari NetA untuk NetB (terowongan 1), dan satu penyaring untuk mencocokkan paket dari NetB untuk NetA (terowongan 2). Anda harus mengkonfigurasi penyaring tindakan untuk menentukan bagaimana terowongan dijamin ( terowongan diwakili oleh aturan, jadi dua aturan dibuat).

kembali ke atas
Kembali ke atas

Membuat kebijakan IPSec

Biasanya, Windows Server 2003 gateway bukanlah anggota domain, jadi kebijakan IPSec lokal dibuat. Jika gerbang Windows Server 2003 adalah anggota domain yang memiliki kebijakan IPSec diterapkan untuk semua anggota domain secara default, hal ini mencegah pintu gerbang Windows Server 2003 dari memiliki kebijakan IPSec lokal. Dalam kasus ini, Anda dapat membuat unit organisasi di Active Directory, membuat Windows Server 2003 gateway anggota ini unit organisasi, dan menetapkan kebijakan IPSec untuk objek kebijakan grup (GPO) unit organisasi. Untuk selengkapnya, lihat "membuat, memodifikasi, dan menetapkan kebijakan IPSec"bagian dari Windows Server 2003 online Tolong.
  1. Klik Mulai, klik Menjalankan, kemudian ketik secpol.MSC untuk memulai kebijakan keamanan IP Snap-in manajemen.
  2. Klik kanan Kebijakan keamanan IP pada lokal Komputer, lalu klik Membuat keamanan IP Kebijakan.
  3. Klik Berikutnya, dan kemudian ketik nama Anda kebijakan (misalnya, IPSec Tunnel dengan non - Microsoft Gateway). KlikBerikutnya.

    Catatan Anda juga bisa mengetik informasi dalamDeskripsi kotak.
  4. Klik untuk menghapus Mengaktifkan respon default aturan Periksa kotak, dan kemudian klik Berikutnya.
  5. Klik Menyelesaikan (meninggalkanMengedit Pilih kotak centang).
Catatan Kebijakan IPSec dibuat dengan pengaturan default untuk IKE modus utama. Terowongan IPSec terdiri dari dua aturan. Setiap aturan menentukan sebuah terowongan Endpoint. Karena ada dua terowongan Endpoint, ada dua aturan. The filter di setiap aturan harus mewakili alamat IP sumber dan tujuan di IP paket yang dikirim ke aturan bahwa terowongan endpoint.

kembali ke atas
Kembali ke atas

Membuat daftar Filter dari NetA untuk NetB

  1. Dalam sifat-sifat kebijakan baru, klik untuk mengosongkanPenggunaan menambahkan Wizard Periksa kotak, dan kemudian klik Tambahkanuntuk membuat aturan baru.
  2. Klik IP saringan tab, dan kemudian klikTambahkan.
  3. Ketik nama yang sesuai untuk daftar filter, klik untuk jelas Penggunaan menambahkan Wizard Periksa kotak, dan kemudian klikTambahkan.
  4. Dalam Alamat sumber kotak, klik A Subnet IP tertentu, kemudian ketik Alamat IPdan Subnet maskuntuk untuk NetA.
  5. Dalam Alamat tujuan kotak, klikSubnet IP tertentu, kemudian ketik IP Alamat dan Subnet mask untuk NetB.
  6. Klik untuk menghapus Cermin kotak centang.
  7. Klik Protokol tab. memastikan bahwajenis protokol diatur ke Setiap, karena IPSec terowongan tidak mendukung protokol khusus atau port khusus filter.
  8. Jika Anda ingin ketik keterangan filter, klik The Deskripsi tab. Hal ini umumnya ide yang baik untuk memberikan Filter nama yang sama yang Anda gunakan untuk daftar penyaring. Nama Penyaring muncul di monitor IPSec ketika terowongan aktif.
  9. Klik Oke.
kembali ke atas
Kembali ke atas

Membuat daftar Filter dari NetB untuk NetA

  1. Klik IP saringan tab, dan kemudian Klik Tambahkan.
  2. Ketik nama yang sesuai untuk daftar filter, klik untuk jelas Penggunaan menambahkan Wizard Periksa kotak, dan kemudian klikTambahkan.
  3. Dalam Alamat sumber kotak, klik A Subnet IP tertentu, kemudian ketik Alamat IPdan Subnet mask untuk NetB.
  4. Dalam Alamat tujuan kotak, klikSubnet IP tertentu, kemudian ketik IP Alamat dan Subnet mask untuk NetA.
  5. Klik untuk menghapus Cermin kotak centang.
  6. Jika Anda ingin ketik keterangan filter, klik The Deskripsi tab.
  7. Klik Oke.
kembali ke atas
Kembali ke atas

Mengkonfigurasi aturan untuk terowongan NetA-NetB

  1. Klik IP saringan tab, dan kemudian Klik untuk memilih filter daftar yang Anda buat.
  2. Klik Terowongan pengaturan tab, klikTerowongan endpoint ditentukan oleh alamat IP ini kotak, dan kemudian ketik 3rdextip (di mana3rdextip alamat IP yang diberikan untuk non-Microsoft gateway eksternal adaptor jaringan).
  3. Klik Jenis sambungan tab, klikSemua sambungan jaringan (atau klik Jaringan area lokal (LAN) Jika WIN2003extIP bukanlah ISDN, PPP, atau direct-connect serial koneksi).
  4. Klik Penyaring tindakan tab, klik untuk jelas Penggunaan menambahkan Wizard Periksa kotak, dan kemudian klikTambahkan untuk membuat penyaring tindakan baru karena tindakan bawaan membolehkan lalu lintas masuk dalam bentuk teks.
  5. Tetap Bernegosiasi keamanan pilihan diaktifkan, dan kemudian klik untuk mengosongkan Menerima komunikasi tanpa jaminan, tapi selalu menanggapi menggunakan IPSec kotak centang. Anda harus melakukan hal ini untuk aman operasi.

    Catatan Tak satu pun dari kotak centang di bagian bawah Penyaring Tindakan kotak dialog yang dipilih sebagai konfigurasi awal untuk Penyaring tindakan yang berlaku untuk terowongan aturan. Hanya Penggunaan sesi kunci kerahasiaan maju sempurna (PFS) kotak centang adalah pengaturan berlaku untuk terowongan Jika ujung terowongan juga dikonfigurasi untuk menggunakan PFS.
  6. Klik Tambahkan, dan tetap Integritas dan enkripsi opsi yang dipilih (atau Anda dapat memilih Custom (untuk pengguna ahli) pilihan jika Anda ingin mendefinisikan algoritma tertentu dan tahan kunci sesi). Encapsulating keamanan muatan (ESP) adalah salah satu dua protokol IPSec.
  7. Klik Oke. KlikGeneral tab, ketik sebuah nama untuk tindakan penyaring baru (untuk contoh, IPSec tunnel: ESP DES/MD5), lalu klik Oke.
  8. Klik untuk memilih penyaring tindakan yang baru saja Anda buat.
  9. Klik Metode otentikasi tab, mengkonfigurasi metode otentikasi yang Anda inginkan (penggunaan kunci preshared untuk pengujian, dan jika tidak menggunakan sertifikat). Kerberos adalah teknis mungkin jika kedua ujung terowongan dalam domain yang terpercaya, dan masing-masing dipercaya alamat IP domain (IP alamat dari kontroler domain) dicapai pada jaringan oleh kedua ujung terowongan selama negosiasi IKE terowongan (sebelum itu didirikan). Tapi ini langka.
  10. Klik Tutup.
kembali ke atas
Kembali ke atas

Mengkonfigurasi aturan untuk terowongan NetB NetA

  1. Pada IPSec kebijakan properti, klik Tambahkan untuk membuat aturan baru.
  2. Klik IP saringan tab, klik untuk Pilih daftar penyaring yang Anda buat (dari NetB untukNetA).
  3. Klik Terowongan pengaturan tab, klikTerowongan endpoint ditentukan oleh alamat IP ini kotak, dan kemudian ketik WIN2003extIP (di manaWIN2003extIP alamat IP yang diberikan untuk Windows Server 2003 gateway eksternal adaptor jaringan).
  4. Klik Jenis sambungan tab, klikSemua sambungan jaringan (atau klik Jaringan area lokal (LAN) Jika WIN2003extIP bukanlah ISDN, PPP, atau direct-connect serial koneksi). Lalu lintas keluar pada antarmuka jenis yang sesuai dengan filter mencoba dilintasi untuk akhir terowongan yang ditetapkan dalam aturan. Lalu lintas masuk yang sesuai dengan filter tersebut akan dibuang karena itu harus menerima diamankan oleh terowongan IPSec.
  5. Klik Penyaring tindakan tab, dan kemudian klik untuk Pilih penyaring tindakan yang Anda buat.
  6. Klik Metode otentikasi tab, dan kemudian mengkonfigurasi metode yang sama yang digunakan dalam aturan pertama (metode yang sama harus digunakan dalam kedua aturan).
  7. Klik Oke, pastikan kedua aturan yang Anda buat diaktifkan pada kebijakan Anda, dan kemudian klik Oke lagi.
kembali ke atas
Kembali ke atas

Menetapkan kebijakan IPSec Anda baru untuk Windows Server 2003 Gateway Anda

Dalam kebijakan keamanan IP pada lokal komputer snap-in MMC, Klik kanan kebijakan baru Anda, dan kemudian klik Menetapkan. Hijau panah muncul dalam folder icon sebelah kebijakan Anda.

Setelah Anda kebijakan diberikan, Anda memiliki dua filter aktif tambahan (Routing dan Remote Akses secara otomatis menciptakan IPSec filter untuk L2TP lalu lintas). Untuk melihat yang aktif filter, ketik perintah berikut pada prompt perintah:
netdiag /test:ipsec /debug
Anda dapat mengarahkan output perintah ini opsional untuk teks berkas sehingga Anda dapat melihat dengan editor teks (seperti Notepad) dengan mengetik perintah berikut:
netdiag /test:ipsec /debug mengatakan nama berkas.txt
The Netdiag perintah tersedia setelah Anda menginstal Alat Dukungan Microsoft Windows Server 2003. Untuk menginstal alat dukungan, Cari Dukungan\Alat pada Windows Server 2003 CD-ROM, klik kanan Suptools.msi file, dan kemudian klik Menginstal. Setelah instalasi, Anda mungkin harus menjalankan Netdiag perintah dari % SystemRoot %\Program Files\Support Alat folder (di mana % SystemRoot % adalah pengandar di mana Windows Server 2003 adalah diinstal).

Filter terowongan terlihat mirip dengan berikut contoh:
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound
kembali ke atas
Kembali ke atas

Mengkonfigurasi Routing dan Remote akses penyaringan

Jika Anda ingin mencegah lalu lintas yang tidak memiliki sumber atau alamat tujuan yang sesuai NetA atau NetB, membuat filter output untuk eksternal antarmuka dalam Routing dan akses jauh MMC sehingga filter tetes semua lalu lintas kecuali paket dari NetA untuk NetB. Juga membuat penyaring masukan sehingga filter tetes semua lalu lintas kecuali paket dari NetB untuk NetA. Anda juga harus mengizinkan lalu lintas ke dan dari WIN2003extIP dan 3rdExtIPuntuk memungkinkan IKE negosiasi terowongan yang sedang dibuat. Routing dan Remote Akses penyaringan dilakukan atas IPSec. Anda tidak perlu secara khusus memungkinkan IPSec protokol karena tidak pernah mencapai lapisan filter paket IP. Berikut contoh adalah representasi yang sangat sederhana dari Windows Server 2003 TCP/IP Arsitektur: 
Application layer 
Transport layer (TCP|UDP|ICMP|RAW) 
---- Network layer start ---- 
IP Packet Filter (where NAT/Routing and Remote Access filtering is done) 
IPSec (where IPSec filters are implemented) 
Fragmentation/Reassembly 
---- Network layer end ------ 
NDIS Interface 
Datalink layer 
Physical layer
Mengkonfigurasi penyaring dalam Routing dan akses jauh layanan, memuat Routing dan akses jauh MMC dan ikuti langkah-langkah ini:
  1. Memperluas pohon server Anda di bawah Routing dan Remote Akses, memperluas IP Routing sub pohon, dan kemudian klikGeneral.
  2. Klik kanan WIN2003extIP, dan kemudian klik Properti.
  3. Klik Filter keluar, lalu klikBaru.
  4. Klik untuk memilih Sumber jaringan danTujuan jaringan kotak centang.
  5. Dalam Sumber jaringan Ketik jenisAlamat IP dan Subnet mask untuk NetA.
  6. Dalam Tujuan jaringan kotak, jenis The Alamat IP dan Subnet mask untuk NetB.
  7. Menjaga protokol yang mengatur Setiap, dan kemudian Klik Oke.
  8. Klik Baru, dan kemudian klik untuk memilihSumber jaringan dan Tujuan jaringan Periksa kotak.
  9. Dalam Sumber jaringan Ketik jenisAlamat IP dan Subnet mask untukWIN2003extIP.
  10. Dalam Tujuan jaringan kotak, jenis The Alamat IP dan Subnet mask untuk 3rdExtIP (untuk IKE negosiasi menggunakan subnet topeng 255.255.255.255).
  11. Menjaga protokol yang mengatur Setiap, dan kemudian Klik Oke.
  12. Klik untuk memilih Drop paket semua kecuali yang yang memenuhi kriteria di bawah ini Periksa kotak, dan kemudian klikOke.
  13. Klik Masukan filter, klikTambahkan, dan kemudian klik untuk memilih Sumber jaringan dan Tujuan jaringan kotak centang.
  14. Dalam Sumber jaringan Ketik jenisAlamat IP dan Subnet mask untukNetB.
  15. Dalam Tujuan jaringan kotak, jenis The Alamat IP dan Subnet mask untuk NetA.
  16. Menjaga protokol yang mengatur Setiap, dan kemudian Klik Oke.
  17. Klik Baru, dan kemudian klik untuk memilihSumber jaringan dan Tujuan jaringan Periksa kotak.
  18. Dalam Sumber jaringan Ketik jenisAlamat IP dan Subnet mask untuk 3rdExtIP.
  19. Dalam Tujuan jaringan kotak, jenis The Alamat IP dan Subnet mask untuk WIN2003extIP (untuk IKE negosiasi menggunakan subnet topeng 255.255.255.255).
  20. Menjaga protokol yang mengatur Setiap, dan kemudian Klik Oke.
  21. Klik untuk memilih Drop paket semua kecuali yang yang memenuhi kriteria di bawah ini Periksa kotak, dan kemudian klikOke dua kali.

    Catatan Jika server Routing dan akses jauh memiliki lebih dari satu antarmuka yang terhubung ke Internet, atau jika Anda memiliki beberapa IPSec terowongan membuat Routing dan akses jauh dibebaskan filter untuk setiap IPSec terowongan (masing-masing sumber dan tujuan subnet IP) untuk setiap antarmuka Internet.
kembali ke atas
Kembali ke atas

Mengkonfigurasi rute statis dalam Routing dan Remote akses

Gerbang Windows Server 2003 harus memiliki rute di rute meja untuk NetB. Untuk mengkonfigurasi rute ini, tambahkan rute statis dalam Routing dan akses jauh MMC. Jika Windows Server 2003 Gateway adalah multihomed dengan dua atau lebih adapter jaringan pada eksternal sama jaringan (atau dua atau lebih jaringan yang dapat mencapai tujuan terowongan IP 3rdExtIP), ada potensi untuk berikut:
  • Lalu lintas terowongan keluar daun pada satu antarmuka, dan inbound terowongan lalu lintas yang diterima pada antarmuka yang berbeda. Bahkan jika Anda menggunakan IPSec offload adapter jaringan, menerima pada antarmuka yang berbeda (daripada lalu lintas terowongan keluar dikirim) tidak memungkinkan jaringan menerima adaptor untuk proses enkripsi di hardware, karena hanya keluar antarmuka dapat offload keamanan Association (SA).
  • Lalu lintas terowongan keluar daun pada antarmuka yang berbeda dari antarmuka yang memiliki alamat IP endpoint terowongan. The sumber IP paket terobosan akan menentukan adalah sumber IP pada antarmuka keluar. Jika Hal ini tidak IP sumber yang diharapkan oleh ujung, terowongan bukanlah didirikan (atau paket dijatuhkan oleh endpoint terpencil jika terowongan telah ditetapkan).
Untuk menghindari mengirimkan lalu lintas terowongan keluar salah antarmuka, menentukan rute statis untuk mengikat lalu lintas ke NetB untuk antarmuka eksternal yang sesuai:
  1. Dalam Routing dan akses jauh MMC, memperluas server Anda pohon, memperluas IP Routing subtree, klik kananRute statis, lalu klik Baru statis Rute.
  2. Dalam Antarmuka kotak, klikWIN2003extIP (jika ini adalah antarmuka yang ingin Anda selalu gunakan untuk lalu lintas terowongan keluar).
  3. Jenis Tujuan jaringan dan Jaringan topeng untuk NetB.
  4. Dalam Gateway kotak, jenis3rdextip.
  5. Tetap Metrik nilai set nilai (1), lalu klik Oke.

    Catatan Untuk mengatasi masalah menerima lalu lintas terowongan inbound pada antarmuka yang salah, tidak mengiklankan antarmuka alamat IP dengan menggunakan routing protokol. Juga, mengkonfigurasi penyaring dalam Routing dan layanan akses jauh ke drop paket untuk NetA atauWIN2003extIP seperti ditunjukkan dalam "Mengkonfigurasi Routing dan Remote akses Pemfilteran"bagian dari artikel ini.
kembali ke atas
Kembali ke atas

Menguji IPSec Tunnel

Anda dapat memulai terowongan oleh ping dari komputer di NetA untuk komputer pada NetB (atau dari NetB untuk NetA). Jika Anda membuat filter dengan benar dan ditugaskan kebijakan yang tepat, iptables membangun terowongan IPSec jadi mereka dapat mengirimkan lalu lintas ICMP dari ping perintah di dienkripsi format. Bahkan jika ping perintah karya, memverifikasi bahwa ICMP lalu lintas dikirim dalam format terenkripsi dari gateway untuk gerbang. Anda dapat menggunakan alat berikut untuk melakukan hal ini.

kembali ke atas
Kembali ke atas

Mengaktifkan audit untuk Logon acara dan objek akses

Ini log peristiwa pada log keamanan. Ini memberitahu Anda jika IKE Keamanan Asosiasi negosiasi diadili dan apakah itu berhasil atau tidak.
  1. Menggunakan snap-in MMC kebijakan grup, memperluas Lokal Kebijakan komputer, memperluas Konfigurasi komputer, memperluas Pengaturan Windows, memperluas Keamanan Tataan, memperluas Kebijakan lokal, lalu klikAudit kebijakan.
  2. Mengaktifkan Sukses dan Kegagalan Audit untuk Audit logon peristiwa dan Audit objek akses.

    Catatan Jika Windows Server 2003 gateway adalah anggota domain dan Jika Anda menggunakan domain kebijakan untuk audit, domain kebijakan akan menimpa kebijakan lokal Anda. Dalam kasus ini, mengubah domain kebijakan.
kembali ke atas
Kembali ke atas

Monitor Keamanan IP

Monitor Keamanan IP konsol menunjukkan statistik IPSec dan aktif Keamanan Asosiasi (SA). Setelah Anda mencoba untuk membangun terowongan dengan menggunakan ping perintah, Anda dapat melihat apakah SA diciptakan (jika terowongan penciptaan sukses, SA ditampilkan). Jika pingperintah berhasil tapi ada tidak ada SA, ICMP lalu lintas tidak dilindungi oleh IPSec. Jika Anda melihat "Asosiasi lembut" yang ternyata tidak ada sebelumnya, kemudian IPSec setuju untuk mengizinkan lalu lintas ini terus "jelas" (tanpa enkripsi). Untuk informasi tambahan tentang "Lembut Asosiasi", klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
234580  (http://support.microsoft.com/kb/234580/EN-US/ ) "Asosiasi lembut" antara komputer berkemampuan IPSec dan Non-IPSec-diaktifkan


Catatan Di Microsoft Windows XP dan Windows Server 2003 keluarga, keamanan IP Monitor diimplementasikan sebagai konsol konsol manajemen Microsoft (MMC). Untuk menambahkan Monitor Keamanan IP snap-in, ikuti langkah berikut:
  1. Klik Mulai, klik Menjalankan, jenis MMC, lalu klik Oke.
  2. Klik Berkas, klik Tambah/Hapus Snap-in, lalu klik Tambahkan.
  3. Klik Monitor Keamanan IP, lalu klikTambahkan.
  4. Klik Tutup, lalu klikOke.
kembali ke atas
Kembali ke atas

Monitor Jaringan

Anda dapat menggunakan Monitor Jaringan untuk menangkap lalu lintas akan melalui WIN2003extIP antarmuka saat Anda mencoba untuk melakukan ping ke komputer. Jika Anda dapat melihat ICMP paket capture file yang memiliki sumber dan alamat IP tujuan yang sesuai dengan alamat IP komputer yang Anda ping dari dan Anda mencoba untuk melakukan ping ke komputer, kemudian IPSec tidak melindungi lalu lintas. Jika Anda tidak melihat lalu lintas ICMP ini tapi melihat ISAKMP dan paket ESP sebaliknya, IPSec melindungi lalu lintas. Jika Anda menggunakan hanya Otentikasi protokol IPSec Header (AH), Anda akan melihat lalu lintas ISAKMP diikuti oleh ICMP paket. ISAKMP paket yang sebenarnya IKE negosiasi terjadi, dan paket ESP adalah muatan data dienkripsi oleh IPSec protokol.

Untuk menginstal Monitor Jaringan, ikuti langkah berikut:
  1. Klik Mulai, klik Kontrol Panel, klik Tambah atau Hapus Program, lalu klikMenambahkan/menghapus komponen Windows.
  2. Pada Wisaya Komponen Windows, klik Manajemen dan pemantauan Tools, lalu klik Rincian.
  3. Dalam -Masing subkomponen dari pengelolaan dan pemantauan Alat, klik untuk memilih Alat-alat Monitor JaringanPeriksa kotak, dan kemudian klik Oke.
  4. Jika Anda diminta untuk file-file tambahan, masukkan CD penginstalan untuk sistem operasi Anda, atau ketik lintasan lokasi file pada jaringan.
kembali ke atas
Kembali ke atas

Pengujian yang sebenarnya

  1. Sebelum Anda mencoba untuk ping dari komputer pada subnet satu untuk (lainNetA atau NetB), jenis ipconfig pada prompt perintah. Jaringan antarmuka yang diinisialisasi di TCP/IP stack ditampilkan.
  2. Mulai menjalankan alat IP keamanan Monitor.
  3. Mulai menjalankan jaringan Monitor, dan kemudian padaMenangkap menu, klik Jaringan. KlikWIN2003extIP antarmuka, dan kemudian klikOke.
  4. Mencoba untuk ping komputer. Paket-paket gema ICMP pertama mungkin waktu keluar sementara IPSec terowongan dibangun. Jika ping ini tidak berhasil, Periksa log keamanan dan sistem.
  5. Jika ping berhasil, berhenti menangkap Monitor Jaringan dan melihat jika lalu lintas ICMP melanjutkan "jelas" atau jika Anda hanya melihat ISAKMP dan Paket-paket protokol IPSec. Periksa IP keamanan Monitor untuk melihat jika SA diciptakan menggunakan NetA untuk NetBfilter yang Anda buat. Juga periksa log keamanan. Anda harus melihat acara ID 541 (IKE keamanan Asosiasi didirikan).
  6. Jenis ipconfig pada prompt perintah lagi untuk memverifikasi bahwa tidak ada tambahan TCP/IP antarmuka sementara terowongan ini digunakan. Perilaku ini terjadi karena IPSec melindungi lalu lintas yang akan melalui antarmuka fisik)WIN2003extIP).

    Jika gateway jauh adalah juga sebuah simpul Windows Server 2003, ingat bahwa:
    • Gateway default untuk klien di NetA adalah WIN2003extIP. The gateway default untuk klien di NetB adalah 3rdIntIP.
    • Terowongan IPSec tidak mengubah cara lalu lintas diarahkan dalam gerbang Windows Server 2003. (Gateway ini dapat rute paket karena routing diaktifkan dalam Routing dan akses jauh. Sebenarnya LAN atau WAN antarmuka metrik masih digunakan.)
kembali ke atas
Kembali ke atas

REFERENSI

Untuk informasi lebih lanjut tentang Routing dan akses jauh layanan, lihat Windows Server 2003 online membantu.

Untuk melihat Kit sumber daya Windows Server 2003 dan teknis lainnya dokumentasi, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/windowsserver2003/default.mspx (http://www.microsoft.com/windowsserver2003/default.mspx)
Untuk informasi standar IETF, kunjungi situs-situs berikut: Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin ketepatan dari informasi kontak pihak ketiga ini.
Kembali ke atas
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Kembali ke atas
Kata kunci: 
kbhowtomaster kbmt KB816514 KbMtid
Kembali ke atas
Penerjemahan MesinPenerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:816514  (http://support.microsoft.com/kb/816514/en-us/ )
Kembali ke atas