Artigo: 816514 - Última revisão: segunda-feira, 3 de Dezembro de 2007 - Revisão: 6.4

Como configurar o IPSec Tunneling in Windows Server 2003

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Para obter uma versão do Microsoft Windows 2000 deste artigo, consulte 252735  (http://support.microsoft.com/kb/252735/EN-US/ ) .
Voltar ao topo

NESTA TAREFA

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Pode utilizar a segurança IP (IPSec) em modo de túnel para encapsular pacotes IP (protocolo Internet) e, opcionalmente, encriptá-las. O motivo principal para utilizar o modo de túnel IPSec (por vezes referido como "túnel IPSec puro") no Windows Server 2003 é para interoperabilidade com fabricantes routers ou gateways que não suportam Layer 2 Tunneling Protocol (L2TP) / tecnologia de túnel (VPN) de rede privadas virtuais IPSec ou PPTP.

back to the top
Voltar ao topo
O Windows Server 2003 suporta a utilização de túneis IPSec para situações onde ambos os pontos finais de túnel utilizarem endereços IP estáticos. Isto é útil principalmente em implementações de gateway a gateway. No entanto, também poderá funcionar para cenários de segurança de rede especializada entre um gateway ou router e um servidor. (Por exemplo, um router do Windows Server 2003 que encaminha tráfego a partir da respectiva interface externa para um computador interno baseado no Windows Server 2003 que protege o caminho interno estabelecendo um túnel IPSec para o servidor interno que fornece serviços aos clientes externos).

Utilização de túneis IPSec do Windows Server 2003 não é suportada para o cliente de acesso remoto VPN utilizar porque os pedidos de IPSec do IETF (Internet Engineering Task Force) de comentários (RFC, Requests for Comments) não está actualmente fornecer uma solução de acesso remoto de IKE (Internet Key Exchange) protocolo para ligações de cliente-a-gateway. IETF RFC 2661, Layer Two Tunneling Protocol "L2TP", foi desenvolvido especificamente pela Cisco, Microsoft e outros para fornecer ligações VPN de acesso remoto de cliente. No Windows Server 2003, ligações de VPN de acesso remoto de cliente são protegidas através de uma política IPSec gerada automaticamente pelo modo de transporte IPSec (modo de túnel não) quando é seleccionado o tipo de túnel L2TP.

Utilização de túneis IPSec do Windows Server 2003 também não suporta túneis específicos de protocolo e específico da porta. Enquanto o snap-in Política de IPSec da consola de gestão da Microsoft é muito geral e permite-lhe associar qualquer tipo de filtro com um túnel, certifique-se que utiliza apenas informações de endereço na especificação de um filtro para uma regra de túnel.

Para mais informações sobre como funcionam os protocolos IPSec e IKE, consulte o Microsoft Windows Server 2003 Resource Kit .

Este artigo descreve como configurar uma IPSec túnel num gateway de Windows Server 2003. Porque o túnel IPSec protege apenas o tráfego que é especificado no filtros de IPSec que configurou, este artigo também descreve como configurar filtros no serviço de encaminhamento e acesso remoto para evitar tráfego fora túnel sejam recebidos ou reencaminhado. Este artigo utiliza o seguinte cenário para facilitar a seguir os passos de configuração:

Reduzir esta tabelaExpandir esta tabela
NetA-
WIN2003intIP-		-Windows Server 2003 gateway-
-WIN2003extIP-		-Internet--não - Microsoft gateway-
-3rdExtIP-		-NetB
-3rdIntIP

NetAé o ID de rede da rede interna do gateway de Windows Server 2003.

WIN2003intIPé o endereço IP atribuído à placa de rede interna de gateway de Windows Server 2003.

WIN2003extIPé o endereço IP atribuído a placa de rede externa do gateway de Windows Server 2003.

3rdExtIPé o endereço IP atribuído a placa de rede externas não-Microsoft gateway.

3rdIntIPé o endereço IP atribuído a placa de rede interno gateway que não sejam da Microsoft.

NetBé o ID da rede interna não-Microsoft gateway de rede.

O objectivo é para o gateway de Windows Server 2003 e o gateway que não sejam da Microsoft para estabelecer um túnel IPSec quando o tráfego de NetA deve ser encaminhado para NetB ou quando o tráfego de NetB deve ser encaminhado para NetA para que tráfego é encaminhado através de uma sessão segura.

Se pretender configurar uma política IPSec, tem de criar dois filtros: um filtro para fazer corresponder pacotes de NetA para NetB (túnel 1) e um filtro para fazer corresponder pacotes de NetB para NetA (túnel 2). Tem de configurar uma acção de filtro para especificar como o túnel é protegido (um túnel é representado por uma regra, pelo que são criadas duas regras).

back to the top
Voltar ao topo

Criar política IPSec

Normalmente, um gateway de Windows Server 2003 não é um membro de um domínio, para é criada uma política IPSec local. Se o gateway de Windows Server 2003 for um membro de um domínio que tenha a política IPSec aplicada a todos os membros do domínio por predefinição, esta impede que o gateway de Windows Server 2003 a partir de ter uma política IPSec local. Neste caso, pode criar uma unidade organizacional no Active Directory, torne o gateway de Windows Server 2003 membro desta unidade organizacional e atribuir a política IPSec ao objecto de política de grupo (GPO, Group Policy Object) da unidade organizacional. Para mais informações, consulte a secção "Criar, modificar e atribuir políticas IPSec" Windows Server 2003 ajuda online.
  1. Clique em Iniciar , clique em Executar e, em seguida, escreva secpol.msc para iniciar o snap-in Gestão de políticas de segurança para IP.
  2. Clique com o botão direito do rato em Políticas de segurança IP em computador local e, em seguida, clique em Criar política de segurança IP .
  3. Clique em seguinte e, em seguida, escreva um nome para a política (por exemplo, Túnel IPSec com gateway não Microsoft ). Clique em seguinte .

    Nota Também pode escrever informações na caixa Descrição .
  4. Clique para desmarcar a caixa de verificação activar a regra de resposta predefinida e, em seguida, clique em seguinte .
  5. Clique em Concluir (deixe a caixa de verificação Editar seleccionada).
Nota É criada com as predefinições para a IKE a política de IPSec de modo principal. O túnel IPSec é constituído por duas regras. Cada regra Especifica um ponto final do túnel. Uma vez que existem dois pontos finais de túnel, existem duas regras. Os filtros em cada regra tem de representar os endereços de IP de origem e destino em pacotes IP que são enviados para o ponto final do túnel dessa regra.

back to the top
Voltar ao topo

Criar uma lista de filtros a partir do NetA para NetB

  1. Nas propriedades do política nova, clique para desmarcar a caixa de verificação Utilizar Assistente para adicionar e, em seguida, clique em ' Adicionar ' para criar uma nova regra.
  2. Clique no separador de Lista de filtros IP e, em seguida, clique em Adicionar .
  3. Escreva um nome adequado para a lista de filtros, clique para desmarcar a caixa de verificação Utilizar Assistente para adicionar e, em seguida, clique em Adicionar .
  4. Na caixa endereço de origem , faça clique sobre A sub-rede IP específica e, em seguida, escreva o Endereço IP e máscara de sub-rede para NetA.
  5. Na caixa endereço de destino , faça clique sobre A sub-rede IP específica e, em seguida, escreva o Endereço IP e máscara de sub-rede para NetB.
  6. Clique para desmarcar a caixa de verificação de mirror .
  7. Faça clique sobre o separador ' protocolo . Certifique-se que o protocolo escreva está definido para qualquer , uma vez que estabelece um túnel IPSec não suportam filtros específicos de protocolo ou porta específica.
  8. Se pretender escrever uma descrição para o filtro, clique no separador Descrição . Geralmente é uma boa ideia para fornecer o filtro o mesmo nome que utilizou para a lista de filtros. O nome do filtro aparece no monitor IPSec quando o túnel está activo.
  9. Clique em OK .
back to the top
Voltar ao topo

Criar uma lista de filtros a partir do NetB para NetA

  1. Clique no separador de Lista de filtros IP e, em seguida, clique em Adicionar .
  2. Escreva um nome adequado para a lista de filtros, clique para desmarcar a caixa de verificação Utilizar Assistente para adicionar e, em seguida, clique em Adicionar .
  3. Na caixa endereço de origem , faça clique sobre A sub-rede IP específica e, em seguida, escreva o Endereço IP e máscara de sub-rede para NetB.
  4. Na caixa endereço de destino , faça clique sobre A sub-rede IP específica e, em seguida, escreva o Endereço IP e máscara de sub-rede para NetA.
  5. Clique para desmarcar a caixa de verificação de mirror .
  6. Se pretender escrever uma descrição para o filtro, clique no separador Descrição .
  7. Clique em OK .
back to the top
Voltar ao topo

Configurar uma regra para um túnel NetA para NetB

  1. Clique no separador de Lista de filtros IP e, em seguida, clique para seleccionar a lista de filtros que criou.
  2. Clique no separador Configuração do túnel , faça clique sobre o ponto final do túnel é especificado por este endereço IP caixa e, em seguida, escreva 3rdextip (em que 3rdextip é o endereço IP atribuído à placa de rede externa não-Microsoft gateway).
  3. Clique no separador Tipo de ligação , clique em todas as ligações de rede (ou clique em rede local se WIN2003extIP não for uma RDIS, PPP, ou ligação série de ligação directa).
  4. Clique no separador Acção de filtro , clique para desmarcar a caixa de verificação Utilizar Assistente para adicionar e, em seguida, clique em ' Adicionar ' para criar uma nova acção de filtro porque as acções predefinidas permitem tráfego de entrada em texto simples.
  5. Manter a opção Negociar segurança activada e, em seguida, clique para desmarcar a caixa de verificação Aceitar comunicações não seguras, mas responder sempre utilizando IPSec . Deve fazê para operação segura.

    Nota Nenhuma das caixas de verificação na parte inferior da caixa de diálogo Acção de filtro estiver seleccionada como uma configuração inicial de uma acção de filtro que se aplica regras de túnel. Apenas a caixa de verificação Utilizar chave de sessão de perfect forward secrecy (PFS) é uma definição válida para os túneis se a outra extremidade do túnel também for configurada para utilizar Perfect Forward Secrecy (PFS).
  6. Clique em Adicionar e manter a integridade e encriptação opção seleccionada (ou pode seleccionar a opção personalizada (para utilizadores avançados) se pretender definir algoritmos específicos e validades de chave de sessão). O payload ESP (Encapsulating Security) é um dos dois protocolos de IPSec.
  7. Clique em OK . Clique no separador Geral , escreva um nome para a nova acção de filtro (por exemplo, túnel IPSec: ESP DES/MD5 ) e, em seguida, clique em OK .
  8. Clique para seleccionar a acção de filtro que acabou de criar.
  9. Clique no separador Métodos de autenticação , configurar o método de autenticação que pretende (utilizar chave pré-partilhada para testes e, caso contrário, utilize certificados ). Kerberos é tecnicamente possível se ambas as extremidades do túnel estiverem em domínios fidedignos e cada fidedigno o endereço IP do domínio (endereço IP de um controlador de domínio) é acessível na rede por ambas as extremidades do túnel durante a negociação IKE do túnel (antes de ser estabelecida). Mas isto é raro.
  10. Clique em Fechar .
back to the top
Voltar ao topo

Configurar uma regra para um túnel NetB para NetA

  1. Nas propriedades de política de IPSec, clique em Adicionar para criar uma nova regra.
  2. Clique no separador de Lista de filtros IP , clique para seleccionar a lista de filtros que criou (de NetB para NetA).
  3. Clique no separador Configuração do túnel , faça clique sobre o ponto final do túnel é especificado por este endereço IP caixa e, em seguida, escreva WIN2003extIP (em que WIN2003extIP é o endereço IP atribuído à placa de rede externa do gateway de Windows Server 2003).
  4. Clique no separador Tipo de ligação , clique em todas as ligações de rede (ou clique em rede local se WIN2003extIP não for uma RDIS, PPP, ou ligação série de ligação directa). Qualquer tráfego de saída no tipo de interface que corresponde os filtros tenta túnel para o ponto final de túnel especificado na regra. Tráfego de entrada que corresponde os filtros é eliminado porque tem ser recebido protegida por um túnel IPSec.
  5. Clique no separador Acção de filtro e, em seguida, clique para seleccionar a acção de filtro que criou.
  6. Clique no separador Métodos de autenticação e, em seguida, configure o mesmo método que utilizou na primeira regra (o mesmo método tem de ser utilizado em ambas as regras).
  7. Clique em OK , certifique-se ambas as regras que criou estão activadas na política e, em seguida, clique novamente em OK .
back to the top
Voltar ao topo

Atribuir a nova política de IPSec para o Gateway Server do Windows

Na políticas de segurança IP no snap-in MMC de computador local, clique com o botão direito do rato a nova política e, em seguida, clique em atribuir . Aparece uma seta verde no ícone da pasta junto à política.

Depois da política está atribuída, terá dois filtros activos adicionais (encaminhamento e acesso remoto cria automaticamente filtros de IPSec para tráfego de L2TP). Para ver os filtros de Active Directory, escreva o seguinte comando numa linha de comandos:
netdiag/test: IPSec /debug
Pode, opcionalmente, redireccionar a saída deste comando para um ficheiro de texto para que possa visualizar com um editor de texto (tal como o bloco de notas), escrevendo o seguinte comando:
netdiag/test: IPSec /debug >filename .txt
O comando netdiag está disponível depois de instalar o ferramentas de suporte do Microsoft Windows Server 2003. Para instalar as ferramentas de suporte, localize a pasta Support\Tools no CD-ROM do Windows Server 2003, clique com o botão direito do rato no ficheiro Suptools.msi e, em seguida, clique em instalar . Após a instalação, poderá ser necessário que executar o comando netdiag da pasta %SystemRoot% \Programas\Support Tools (em que %SystemRoot% é a unidade onde o Windows Server 2003 está instalado).

Os filtros de túnel semelhante ao seguinte exemplo: 
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound
back to the top
Voltar ao topo

Configurar o encaminhamento e acesso remoto filtragem

Se pretender impedir que o tráfego que não tem uma origem ou endereço de destino que corresponda ao NetA ou NetB, crie um filtro de saída para a interface externa em Encaminhamento e acesso remoto MMC para que o filtro ignora todo o tráfego excepto os pacotes de NetANetB. Também crie um filtro de entrada para que o filtro ignora todo o tráfego excepto os pacotes de NetBNetA. Também tem de permitir tráfego de e para WIN2003extIP e 3rdExtIP para permitir que a negociação IKE quando está a criar o túnel. Encaminhamento e acesso remoto a filtragem é efectuada através de IPSec. Não é necessário que permitir especificamente a IPSec protocolo porque nunca atinge a camada de filtro de pacotes IP. O exemplo seguinte é uma representação muito simples de TCP/IP no Windows Server 2003 arquitectura: 
Application layer 
Transport layer (TCP|UDP|ICMP|RAW) 
---- Network layer start ---- 
IP Packet Filter (where NAT/Routing and Remote Access filtering is done) 
IPSec (where IPSec filters are implemented) 
Fragmentation/Reassembly 
---- Network layer end ------ 
NDIS Interface 
Datalink layer 
Physical layer
para configurar os filtros no serviço de encaminhamento e acesso remoto, carregar o encaminhamento e acesso remoto MMC e siga estes passos:
  1. Expanda a árvore de servidor em Encaminhamento e acesso remoto , expanda a subárvore de Encaminhamento IP e, em seguida, clique em Geral .
  2. Clique com o botão direito do rato WIN2003extIP e, em seguida, clique em Propriedades .
  3. Clique em Filtros de saída e, em seguida, clique em Novo .
  4. Clique para seleccionar as caixas de verificação rede de origem e de rede de destino .
  5. Na caixa origem de rede , escreva o endereço IP e máscara de sub-rede para NetA.
  6. Na caixa de rede de destino , escreva o endereço IP e máscara de sub-rede para NetB.
  7. Mantenha o conjunto de protocolo para qualquer e, em seguida, clique em OK .
  8. Clique em Novo e, em seguida, clique para seleccionar as caixas de verificação rede de origem e de rede de destino .
  9. Na caixa origem de rede , escreva o endereço IP e máscara de sub-rede para WIN2003extIP.
  10. Na caixa de rede de destino , escreva o endereço IP e máscara de sub-rede para 3rdExtIP (para utilização de negociação IKE uma máscara de sub-rede 255.255.255.255).
  11. Mantenha o conjunto de protocolo para qualquer e, em seguida, clique em OK .
  12. Clique para seleccionar a caixa de verificação Recusar todos os pacotes excepto aqueles que correspondam aos critérios abaixo e, em seguida, clique em OK .
  13. Clique em Filtros de entrada , clique em Adicionar e, em seguida, clique para seleccionar as caixas de verificação rede de origem e de rede de destino .
  14. Na caixa origem de rede , escreva o endereço IP e máscara de sub-rede para NetB.
  15. Na caixa de rede de destino , escreva o endereço IP e máscara de sub-rede para NetA.
  16. Mantenha o conjunto de protocolo para qualquer e, em seguida, clique em OK .
  17. Clique em Novo e, em seguida, clique para seleccionar as caixas de verificação rede de origem e de rede de destino .
  18. Na caixa origem de rede , escreva o endereço IP e máscara de sub-rede para 3rdExtIP.
  19. Na caixa de rede de destino , escreva o endereço IP e máscara de sub-rede para WIN2003extIP (para utilização de negociação IKE uma máscara de sub-rede 255.255.255.255).
  20. Mantenha o conjunto de protocolo para qualquer e, em seguida, clique em OK .
  21. Clique para seleccionar a caixa de verificação Recusar todos os pacotes excepto aqueles que correspondam aos critérios abaixo e, em seguida, clique em OK duas vezes.

    Nota Se o servidor de encaminhamento e acesso remoto tem mais do que uma interface ligada à Internet ou se tiver vários túneis IPSec, crie filtros isenção de encaminhamento e acesso remoto para cada túnel IPSec (cada sub-rede IP e de destino) para cada interface da Internet.
back to the top
Voltar ao topo

Configurar rotas estáticas no encaminhamento e acesso remoto

O gateway de Windows Server 2003 tem de ter uma rota na tabela de rota para NetB. Para configurar esta rota, adicione uma rota estática no encaminhamento e acesso remoto MMC. Se o gateway de 2003 do Windows Server é multihomed com duas ou mais placas de rede na mesma rede externa (ou duas ou mais redes que podem alcançar o destino do túnel IP 3rdExtIP), existe o potencial para a seguinte:
  • Sai do tráfego de túnel de saída numa interface e o tráfego de túnel de entrada é recebido uma interface diferente. Mesmo se utilizar placas de rede de descarga IPSec, receber numa interface diferente (que é enviado o tráfego de túnel de saída na) não irá permitir a recepção placa de rede processar a encriptação no hardware, porque apenas a interface de saída pode descarregar a associação de segurança (SA, Security ASSOCIATION).
  • Tráfego de túnel de saída deixa numa interface à qual é diferente da interface que possui o endereço de ponto final do túnel. O IP de origem do pacote de túnel é o IP de origem na interface de saída. Se não for este o IP de origem que é esperado no final, não é estabelecer o túnel (ou pacotes são ignorados pelo ponto final remoto se já tiver sido estabelecido o túnel).
Para evitar enviar tráfego de túnel de saída na interface incorrecta, defina uma rota estática para ligar tráfego NetB à interface externa adequado:
  1. Em Encaminhamento e acesso remoto MMC, expanda a árvore de servidor, expanda subárvore Encaminhamento IP , clique com o botão direito do rato em Rotas estáticas e, em seguida, clique em Novo estático rota .
  2. Na caixa de interface , clique em WIN2003extIP (se esta é a interface que pretende utilizar sempre para tráfego de túnel de saída).
  3. Escreva a rede de destino e máscara de rede para NetB.
  4. Na caixa gateway , escreva 3rdextip.
  5. Manter o valor de métrica definido para a predefinição ( 1 ) e, em seguida, clique em OK .

    Nota Para resolver o problema de receber tráfego de túnel de entrada na interface incorrecta, não anunciará endereço da interface através de um protocolo de encaminhamento. Além disso, configure um filtro no serviço de encaminhamento e acesso remoto para largar pacotes NetA ou WIN2003extIP conforme indicado na secção "Configure Routing and Remote Access Filtering" deste artigo.
back to the top
Voltar ao topo

Testar o túnel IPSec

Pode iniciar o túnel efectuando o ping de um computador no NetA para um computador NetB (ou de NetB para NetA). Se tiver criado correctamente os filtros e atribuiu a política correcta, dois gateways estabelecer um túnel IPSec para que poderem enviar o tráfego ICMP do comando ping em formato encriptado. Mesmo se o comando ping funciona, verifique o ICMP tráfego foi enviado em formato encriptado do gateway a gateway. Pode utilizar as seguintes ferramentas para o fazer.

back to the top
Voltar ao topo

Activar a auditoria de eventos de início de sessão e o acesso a objectos

Este regista eventos no registo de segurança. Isto indica se IKE negociação de associação de segurança foi tentada e se era efectuada com êxito ou não.
  1. Utilizando o snap-in da política de grupo da MMC, expanda Política computador local , expanda Configuração do computador , expanda Definições do Windows , expanda Definições de segurança , expanda Políticas locais (Local Policies) e clique em Política de auditoria .
  2. Active com êxito e Falha de auditoria para Auditar eventos de início de sessão e Auditar o acesso a objectos .

    Nota Se o gateway de Windows Server 2003 for um membro de um domínio e se estiver a utilizar uma política de domínio para fins de auditoria, a política de domínio substitui a política local. Neste caso, modifique a política de domínio.
back to the top
Voltar ao topo

Monitor de segurança IP

A consola Monitor de segurança IP mostra as estatísticas IPSec e associações de segurança activas (SA, Security ASSOCIATION). Depois de tentar estabelecer o túnel, utilizando o comando ping , pode ver se uma SA foi criada (se a criação de túnel tiver êxito, uma SA é apresentada). Se o comando ping com êxito mas não existe nenhum SA, o tráfego ICMP não foi protegido pelo IPSec. Se vir uma "associação temporária" que não existia anteriormente, o IPSec combina permitir este tráfego ir "Limpar" (sem encriptação).Para obter informações adicionais sobre "Associações de software", clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
234580  (http://support.microsoft.com/kb/234580/EN-US/ ) "Associações temporárias" entre os computadores IPSec-activado e não-IPSec-activado


Nota No Microsoft Windows XP e na família Windows Server 2003, IP Security Monitor é implementado como uma consola Microsoft Management Console (MMC). Para adicionar o snap-in Monitor de segurança IP, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva MMC e, em seguida, clique em OK .
  2. Clique em ficheiro , clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
  3. Clique em Monitor de segurança IP e, em seguida, clique em Adicionar .
  4. Clique em Fechar e, em seguida, clique em OK .
back to the top
Voltar ao topo

Monitor de rede

Pode utilizar o Monitor de rede para capturar tráfego percorrer a interface WIN2003extIP enquanto tenta efectuar o ping do computador. Se conseguir visualizar pacotes ICMP no ficheiro de captura tem origem e endereços IP de destino que corresponda aos endereços IP do computador que são ping do e do computador que está a tentar efectuar o ping, em seguida, IPSec está não proteger o tráfego. Se não vir este tráfego ICMP mas conseguir visualizar pacotes ISAKMP e o ESP em vez disso, IPSec está a proteger o tráfego. Se estiver a utilizar apenas o protocolo de cabeçalho de autenticação (AH, Authentication Header) IPSec, verá o tráfego ISAKMP seguido os pacotes ICMP. Pacotes ISAKMP são a negociação IKE real ocorra e pacotes ESP são os dados de payload encriptados pelo IPSec no protocolo.

Para instalar o Monitor de rede, siga estes passos:
  1. Clique em Iniciar , clique em Painel de controlo , clique em Adicionar ou remover programas e, em seguida, clique em Adicionar/remover componentes do Windows .
  2. No Assistente de componentes do Windows, clique em Ferramentas de monitorização e gestão e, em seguida, clique em Detalhes .
  3. Na Subcomponentes de ' Gestão e ferramentas de monitorização , clique para seleccionar a caixa de verificação Ferramentas de monitorização de rede e, em seguida, clique em OK .
  4. Se lhe for pedido para ficheiros adicionais, insira o CD de instalação para o sistema operativo ou escreva um caminho da localização dos ficheiros na rede.
back to the top
Voltar ao topo

Teste real

  1. Antes tente ping de um computador numa sub-rede para o outro (NetA ou NetB), tipo ipconfig na linha de comandos. As interfaces de rede inicializadas na pilha de TCP/IP são apresentadas.
  2. Inicie a ferramenta Monitor de segurança IP.
  3. Iniciar Monitor de rede e, em seguida, no menu Capturar , clique em redes . Clique na interface WIN2003extIP e, em seguida, clique em OK .
  4. Tente ping ao computador. Os pacotes de eco ICMP primeiro poderão exceder o tempo limite enquanto o túnel IPSec está a ser criado. Se o ping não tiver êxito, verifique os registos de segurança e sistema.
  5. Se o ping tiver êxito, pare a captura do Monitor de rede e se o tráfego ICMP ficou "no desmarque" ou se ver apenas os pacotes de protocolo ISAKMP e o IPSec. Verifique o Monitor de segurança IP para verificar se uma SA foi criada utilizando NetANetB filtro criado. Verifique também o registo de segurança. Deverá ver o ID de eventos 541 (associação de segurança IKE estabelecida).
  6. Escreva ipconfig uma linha de comandos novamente para verificar que existe sem interface de TCP/IP adicional enquanto o túnel está em utilização. Este comportamento ocorre porque o IPSec está a proteger o tráfego que vai através da interface física (WIN2003extIP).

    Se o gateway remoto também for um nó do Windows Server 2003, lembre-se de que:
    • O gateway predefinido para clientes de NetA é WIN2003extIP. O gateway predefinido para clientes de NetB é 3rdIntIP.
    • Um túnel IPSec não altera a forma como o tráfego é encaminhado no gateway Windows Server 2003. (Este gateway pode encaminhar pacotes porque o encaminhamento está activado no encaminhamento e acesso remoto. A métrica de interface de rede local ou ALARGADA real ainda é utilizada.)
back to the top
Voltar ao topo

Referências

Para mais informações sobre o serviço Encaminhamento e acesso remoto, consulte a ajuda online do Windows Server 2003.

Para ver o Windows Server 2003 Resource Kit e outra documentação técnica, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/windowsserver2003/default.mspx (http://www.microsoft.com/windowsserver2003/default.mspx)
Para informações de padrões do IETF, visite os seguintes sites:Microsoft fornece informações de contactos outros fabricantes para ajudar a encontrar suporte técnico. Poderá ser alterado estas informações de contacto sem aviso prévio. Microsoft não garante a precisão destas informações de contacto outros fabricantes.
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Voltar ao topo
Palavras-chave: 
kbmt kbhowtomaster KB816514 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 816514  (http://support.microsoft.com/kb/816514/en-us/ )
Voltar ao topo