ID do artigo: 816514 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 6.4

Como configurar o encapsulamento IPSec no Windows Server 2003

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Para uma versão deste artigo do Microsoft Windows 2000, consulte 252735  (http://support.microsoft.com/kb/252735/EN-US/ ) .
Voltar para o início

NESTA TAREFA

Nesta página

Expandir tudo | Recolher tudo

Sumário

Você pode usar segurança IP (IPSec) no modo de encapsulamento para encapsular pacotes Internet Protocol (IP) e, opcionalmente, criptografá-los. A principal razão para usar o modo de encapsulamento IPSec (às vezes chamado de "encapsulamento de segurança IP puro") no Windows Server 2003 é para interoperabilidade com roteadores de terceiros ou gateways que não oferecem suporte a protocolo de encapsulamento 2 (L2TP) de camada / tecnologia de encapsulamento (VPN) de rede particular virtual IPSec ou PPTP.

back to the top
Voltar para o início
O Windows Server 2003 oferece suporte a encapsulamento de IPSec para situações em que ambos os pontos de extremidade encapsulamento tenham endereços IP estáticos. Isso é útil principalmente em implementações de gateway-to-gateway. No entanto, ele também pode funcionar para cenários de segurança de rede especializadas entre um gateway ou roteador e um servidor. (Por exemplo, um roteador do Windows Server 2003 que roteia o tráfego de sua interface externa para um computador baseado no Windows Server 2003 interno que protege o caminho interno ao estabelecer um encapsulamento IPSec para o servidor interno que fornece serviços para clientes externos).

Encapsulamento IPSec do Windows Server 2003 não há suporte para acesso remoto do cliente VPN usar pois Internet Engineering Task Force (IETF) IPSec solicitações de comentários (RFCs) não está atualmente fornece uma solução no IKE (Internet Key Exchange) de acesso remoto protocolo para conexões de cliente-to-gateway. Especificamente, o IETF RFC 2661, Layer Two Tunneling Protocol "L2TP", foi desenvolvido pela Cisco, Microsoft e outras pessoas para fornecer conexões VPN de acesso remoto cliente. No Windows Server 2003, conexões VPN de acesso remoto para cliente são protegidos usando uma diretiva IPSec gerada automaticamente que usa o modo de transporte IPSec (não modo de encapsulamento) quando o tipo de encapsulamento L2TP é selecionado.

Encapsulamento IPSec do Windows Server 2003 também não suporta encapsulamentos específicos de protocolo e porta específicos. Enquanto o snap-in de diretiva de IPSec Microsoft Management Console (MMC) é muito geral e permite que você associar qualquer tipo de filtro com um encapsulamento, certifique-se de que você usar somente as informações de endereço na especificação de um filtro para uma regra de encapsulamento.

Para obter mais informações sobre como funcionam os protocolos IKE e IPSec, consulte o Microsoft Windows Server 2003 Resource Kit .

Este artigo descreve como configurar uma IPSec encapsulamento em um gateway do Windows Server 2003. Porque o encapsulamento IPSec protege apenas o tráfego que está especificado no filtros de IPSec que você configurar, este artigo também descreve como configurar filtros no serviço de roteamento e acesso remoto para impedir que tráfego fora o encapsulamento seja recebido ou encaminhado. Este artigo usa o cenário a seguir para facilitar a etapas de configuração:

Recolher esta tabelaExpandir esta tabela
RedeA-
WIN2003intIP-		-Windows Server 2003 gateway-
-WIN2003extIP-		-Internet--não - Microsoft gateway-
-3rdExtIP-		-RedeB
-3rdIntIP

NetAé a identificação de rede da rede interna gateway Windows Server 2003.

WIN2003intIPé o endereço IP atribuído ao adaptador da rede interna do gateway do Windows Server 2003.

WIN2003extIPé o endereço IP atribuído ao adaptador da rede externa do gateway do Windows Server 2003.

3rdExtIPé o endereço IP atribuído ao adaptador da rede externa do gateway não-Microsoft do.

3rdIntIPé o endereço IP atribuído ao adaptador de rede interno de gateway não-Microsoft.

NetBé a identificação de rede da rede interna gateway não-Microsoft.

O objetivo é para o gateway do Windows Server 2003 e o gateway de terceiros para estabelecer um encapsulamento IPSec quando o tráfego da NetA deve ser roteado para a NetB ou quando o tráfego da NetB deve ser roteado para a NetA para que tráfego é roteado através de uma sessão segura.

Se você deseja configurar uma diretiva IPSec, você deve criar dois filtros: um filtro para corresponder pacotes vai da NetA para a NetB (encapsulamento 1) e um filtro para corresponder pacotes vai da NetB para a NetA (encapsulamento 2). Você deve configurar uma ação de filtro para especificar como o encapsulamento é protegido (um encapsulamento é representado por uma regra, portanto, são criadas duas regras).

back to the top
Voltar para o início

Criar diretiva de IPSec

Normalmente, um gateway do Windows Server 2003 não é um membro de um domínio, então uma diretiva IPSec local é criada. Se o gateway do Windows Server 2003 for um membro de um domínio que tenha a diretiva IPSec aplicada a todos os membros do domínio por padrão, isso impede que o gateway do Windows Server 2003 de ter uma diretiva IPSec local. Nesse caso, você pode criar uma unidade organizacional no Active Directory, tornar o gateway do Windows Server 2003 um membro desta unidade organizacional e atribua a diretiva IPSec a objeto de diretiva de grupo (GPO) da unidade organizacional. Para obter mais informações, consulte a seção "Criando, modificando e atribuindo diretivas IPSec" do Windows Server 2003 ajuda on-line.
  1. Clique em Iniciar , clique em Executar e, em seguida, digite secpol.msc para iniciar o snap-in de gerenciamento de diretivas de segurança.
  2. Clique com o botão direito do mouse em Diretivas de segurança IP em computador local e, em seguida, clique em Criar diretiva de segurança IP .
  3. Clique em Avançar e, em seguida, digite um nome para a diretiva (por exemplo, Encapsulamento de IPSec com gateway não-Microsoft ). Clique em Avançar .

    Observação Você também pode digitar informações na caixa Descrição .
  4. Clique para desmarcar a caixa de seleção Ativar a regra de resposta padrão e clique em Avançar .
  5. Clique em Concluir (deixe a caixa de seleção Editar selecionada).
Observação A diretiva IPSec é criada com configurações padrão para o IKE do modo principal. O encapsulamento IPSec é formado por duas regras. Cada regra especifica um ponto de extremidade do encapsulamento. Como há dois pontos de extremidade do encapsulamento, há duas regras. Os filtros em cada regra devem representar os endereços IP de origem e de destino em pacotes IP que são enviadas a extremidade do encapsulamento da regra.

back to the top
Voltar para o início

Criar uma lista de filtros da RedeA para a RedeB

  1. Nas propriedades da nova diretiva, clique para desmarcar a caixa de seleção Usar o Assistente para adicionar e clique em Adicionar para criar uma nova regra.
  2. Clique na guia Lista de filtros IP e, em seguida, clique em Adicionar .
  3. Digite um nome apropriado para a lista de filtros, clique para desmarcar a caixa de seleção Usar o Assistente para adicionar e em seguida, clique em Adicionar .
  4. Na caixa endereço de origem , clique em Uma sub-rede IP específica e digite o Endereço IP e máscara de sub-rede para a NetA.
  5. Na caixa endereço de destino , clique em Uma sub-rede IP específica e, em seguida, digite o Endereço IP e máscara de sub-rede para NetB.
  6. Clique para desmarcar a caixa de seleção espelhado .
  7. Clique em guia de protocolo Certifique-se que o protocolo digite está definido como qualquer , porque encapsulamentos IPSec não suportam filtros específicos de protocolo ou porta específicos.
  8. Se você deseja digitar uma descrição para o filtro, clique na guia Descrição . Geralmente é uma boa idéia para dar o filtro o mesmo nome que você usou para a lista de filtros. O nome do filtro é exibido no monitor IPSec quando o encapsulamento estiver ativo.
  9. Clique em OK .
back to the top
Voltar para o início

Criar uma lista de filtros da RedeB para a RedeA

  1. Clique na guia Lista de filtros IP e, em seguida, clique em Adicionar .
  2. Digite um nome apropriado para a lista de filtros, clique para desmarcar a caixa de seleção Usar o Assistente para adicionar e em seguida, clique em Adicionar .
  3. Na caixa endereço de origem , clique em Uma sub-rede IP específica e, em seguida, digite o Endereço IP e máscara de sub-rede para NetB.
  4. Na caixa endereço de destino , clique em Uma sub-rede IP específica e, em seguida, digite o Endereço IP e máscara de sub-rede para NetA.
  5. Clique para desmarcar a caixa de seleção espelhado .
  6. Se você deseja digitar uma descrição para o filtro, clique na guia Descrição .
  7. Clique em OK .
back to the top
Voltar para o início

Configurar uma regra para um encapsulamento RedeA a RedeB

  1. Clique na guia Lista de filtros IP e, em seguida, clique para selecionar a lista de filtros que você criou.
  2. Clique na guia Configuração de encapsulamento , clique em caixa a extremidade do encapsulamento é especificada por este endereço IP e digite 3rdextip (onde 3rdextip é o endereço IP que é atribuído ao adaptador da rede externa do gateway não-Microsoft de).
  3. Clique na guia Tipo de conexão , clique em todas as conexões de rede (ou clique em rede Local (LAN) se WIN2003extIP não for uma ISDN, PPP, ou conexão serial de conexão direta).
  4. Clique na guia Ação de filtro , clique para desmarcar a caixa de seleção Usar o Assistente para adicionar e, em seguida, clique em Adicionar para criar uma nova ação de filtro porque as ações padrão permitem o tráfego de entrada em texto não criptografado.
  5. Mantenha a opção Negociar segurança habilitada e clique para desmarcar a caixa de seleção Aceitar comunicação não segura, mas sempre responder usando IPSec . Você deve fazer isso para operação segura.

    Observação Nenhuma das caixas de seleção na parte inferior da caixa de diálogo Ação de filtro são selecionadas como uma configuração inicial para uma ação de filtro que se aplica a regras de encapsulamento. Somente a Usar sigilo total na transferência (PFS) de chave de sessão caixa de seleção estiver uma configuração válida para encapsulamentos se a outra extremidade do encapsulamento também estiver configurada para usar PFS.
  6. Clique em Adicionar e mantenha a opção integridade e criptografia selecionada (ou você pode selecionar a opção personalizado (para usuários experientes) se você desejar definir algoritmos específicos e as vidas úteis de chave de sessão). Segurança de encapsulamento Payload (ESP) é um dos dois protocolos IPSec.
  7. Clique em OK . Clique na guia Geral , digite um nome para a nova ação de filtro (por exemplo, encapsulamento de segurança IP: ESP DES/MD5 ) e em seguida, clique em OK .
  8. Clique para selecionar a ação de filtro que você acabou de criar.
  9. Clique na guia Métodos de autenticação , configure o método de autenticação que você deseja (usar chave pré-compartilhada para teste e, caso contrário usar certificados ). Kerberos é tecnicamente possível se ambas as extremidades do encapsulamento estarem em domínios confiáveis e confiável para cada endereço IP do domínio (endereço IP de um controlador de domínio) é acessível na rede por ambas as extremidades do encapsulamento durante a negociação IKE do encapsulamento (antes que ele seja estabelecido). Mas isso é raro.
  10. Clique em Fechar .
back to the top
Voltar para o início

Configurar uma regra para um encapsulamento RedeB a RedeA

  1. Nas propriedades da diretiva IPSec, clique em Adicionar para criar uma nova regra.
  2. Clique na guia Lista de filtros IP , clique para selecionar a lista de filtros que você criou (da NetB para a NetA).
  3. Clique na guia Configuração de encapsulamento , clique em caixa a extremidade do encapsulamento é especificada por este endereço IP e, em seguida, digite WIN2003extIP (onde WIN2003extIP é o endereço IP que é atribuído ao adaptador da rede externa do gateway do Windows Server 2003).
  4. Clique na guia Tipo de conexão , clique em todas as conexões de rede (ou clique em rede Local (LAN) se WIN2003extIP não for uma ISDN, PPP, ou conexão serial de conexão direta). Qualquer tráfego de saída no tipo de interface que corresponda aos filtros da tenta ser encapsulado com o ponto de extremidade encapsulamento é especificado na regra. Tráfego de entrada que corresponda aos filtros da é descartado porque deve ser recebido protegido por um encapsulamento IPSec.
  5. Clique na guia Ação de filtro e, em seguida, clique para selecionar a ação de filtro que você criou.
  6. Clique na guia Métodos de autenticação e configure o mesmo método que você usou na primeira regra (o mesmo método deve ser usado nas duas regras).
  7. Clique em OK , verifique se ambas as regras que você criou habilitadas em sua diretiva e, em seguida, clique em OK novamente.
back to the top
Voltar para o início

Atribuir sua nova diretiva IPSec ao seu gateway do Windows Server 2003

Nas diretivas de segurança IP no snap-in do MMC local do computador, clique com o botão direito sua nova diretiva e clique em atribuir . Uma seta verde aparece no ícone de pasta próximo à diretiva.

Após a diretiva for atribuída, você tem dois filtros ativos adicionais (roteamento e acesso remoto cria automaticamente filtros IPSec para tráfego L2TP). Para ver os filtros ativos, digite o seguinte comando em um prompt de comando:
netdiag/test: IPSec /debug
Você pode redirecionar a saída desse comando para um arquivo de texto para que poder visualizá-lo com um editor de texto (como o bloco de notas), digitando o seguinte comando:
netdiag/test: IPSec /debug >filename .txt
O comando netdiag está disponível depois de instalar as ferramentas de suporte Microsoft Windows Server 2003. Para instalar as ferramentas de suporte, localize a pasta Support\Tools no CD-ROM do Windows Server 2003, clique com o botão direito no arquivo Suptools.msi e clique em instalar . Após a instalação, talvez seja necessário executar o comando netdiag na pasta %SystemRoot% \Program Files\Support ferramentas (onde %SystemRoot% é a unidade onde o Windows Server 2003 está instalado).

Os filtros de encapsulamento ser semelhante ao exemplo a seguir: 
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound
back to the top
Voltar para o início

Configurar o roteamento e acesso remoto filtragem

Se você desejar impedir que o tráfego que não tem uma fonte ou endereço de destino que corresponde a NetA ou NetB, crie um filtro de saída para a interface externa no MMC de acesso remoto e roteamento para que o filtro ignora todo o tráfego, exceto pacotes da NetA para a NetB. Também crie um filtro de entrada para que o filtro ignora todo o tráfego, exceto pacotes da NetB para a NetA. Você também precisará permitir o tráfego para e partir WIN2003extIP e 3rdExtIP para permitir a negociação IKE quando o encapsulamento estiver sendo criado. Roteamento e acesso remoto filtragem é executada através de IPSec. Não é necessário que permitir especificamente o IPSec porque ele nunca chegue a camada de filtro de pacote IP de protocolo. O exemplo a seguir é uma representação muito simples do Windows Server 2003 TCP/IP arquitetura: 
Application layer 
Transport layer (TCP|UDP|ICMP|RAW) 
---- Network layer start ---- 
IP Packet Filter (where NAT/Routing and Remote Access filtering is done) 
IPSec (where IPSec filters are implemented) 
Fragmentation/Reassembly 
---- Network layer end ------ 
NDIS Interface 
Datalink layer 
Physical layer
para configurar os filtros no serviço de roteamento e acesso remoto, carregar o roteamento e o MMC de acesso remoto e execute as seguintes etapas:
  1. Expanda a árvore de servidor em roteamento e acesso remoto , expanda a subárvore de Roteamento IP e, em seguida, clique em Geral .
  2. Clique com o botão direito do mouse WIN2003extIP e, em seguida, clique em Propriedades .
  3. Clique em Filtros de saída e, em seguida, clique em novo .
  4. Clique para selecionar as caixas de seleção rede de origem e rede de destino .
  5. Na caixa rede de origem , digite o endereço IP e máscara de sub-rede para a NetA.
  6. Na caixa rede de destino , digite o endereço IP e máscara de sub-rede para a NetB.
  7. Manter o conjunto de protocolo para qualquer e, em seguida, clique em OK .
  8. Clique em novo e, em seguida, clique para selecionar as caixas de seleção rede de origem e rede de destino .
  9. Na caixa de rede de origem , digite o endereço IP e máscara de sub-rede para WIN2003extIP.
  10. Na caixa de rede de destino , digite o endereço IP e máscara de sub-rede para 3rdExtIP (para uso de negociação IKE uma máscara de sub-rede 255.255.255.255).
  11. Manter o conjunto de protocolo para qualquer e, em seguida, clique em OK .
  12. Clique para selecionar a caixa de seleção Ignorar todos os pacotes, exceto os que atenderem aos critérios abaixo e, em seguida, clique em OK .
  13. Clique em Filtros de entrada , clique em Adicionar e, em seguida, clique para selecionar as caixas de seleção rede de origem e rede de destino .
  14. Na caixa rede de origem , digite o endereço IP e máscara de sub-rede para a NetB.
  15. Na caixa rede de destino , digite o endereço IP e máscara de sub-rede para a NetA.
  16. Manter o conjunto de protocolo para qualquer e, em seguida, clique em OK .
  17. Clique em novo e, em seguida, clique para selecionar as caixas de seleção rede de origem e rede de destino .
  18. Na caixa de rede de origem , digite o endereço IP e máscara de sub-rede para 3rdExtIP.
  19. Na caixa de rede de destino , digite o endereço IP e máscara de sub-rede para WIN2003extIP (para uso de negociação IKE uma máscara de sub-rede 255.255.255.255).
  20. Manter o conjunto de protocolo para qualquer e, em seguida, clique em OK .
  21. Clique para marque a caixa de seleção Ignorar todos os pacotes, exceto os que atenderem aos critérios abaixo e, em seguida, clique em OK duas vezes.

    Observação Se o servidor de roteamento e acesso remoto tem mais de uma interface que é conectada à Internet ou se você tiver vários encapsulamentos IPSec, crie filtros de isenção roteamento e acesso remoto para cada encapsulamento de IPSec (cada sub-rede IP origem e de destino) para cada interface de Internet.
back to the top
Voltar para o início

Configurar rotas estáticas no roteamento e acesso remoto

O gateway do Windows Server 2003 deve ter uma rota na sua tabela de rotas para a NetB. Para configurar essa rota, adicione uma rota estática no roteamento e MMC de acesso remoto. Se o Windows Server 2003 gateway for multihomed com dois ou mais adaptadores de rede na mesma rede externa (ou duas ou mais redes podem alcançar o destino de encapsulamento IP 3rdExtIP), existe o potencial para o seguinte:
  • O tráfego de encapsulamento de saída deixa uma interface e o tráfego de encapsulamento de entrada é recebido em uma interface diferente. Mesmo se você usar adaptadores de rede de descarregamento de IPSec, receber em uma interface diferente (que o tráfego de encapsulamento de saída é enviado) não permite o recebimento adaptador de rede processar a criptografia no hardware, porque apenas a interface de saída pode descarregar a associação de segurança (SA).
  • Tráfego de encapsulamento de saída deixa uma interface que é diferente da interface que tem o endereço IP do ponto de extremidade de encapsulamento. O IP de origem do pacote encapsulado é o IP de origem na interface de saída. Se não for o IP de origem que é esperado pela outra extremidade, o encapsulamento não é estabelecido (ou pacotes são descartados pelo ponto de extremidade remoto se o encapsulamento já tiver sido estabelecido).
Para evitar enviar tráfego de encapsulamento de saída na interface errada, defina uma rota estática para ligar o tráfego a NetB à interface externa apropriada:
  1. Em Roteamento e MMC de acesso remoto, expanda a árvore de servidor, expanda a subárvore Roteamento IP , clique com o botão direito do mouse Rotas estáticas e, em seguida, clique em novo estático circular .
  2. Na caixa de interface , clique em WIN2003extIP (se esta for a interface que você deseja usar sempre para tráfego de encapsulamento de saída).
  3. Digite a rede de destino e máscara de rede para a NetB.
  4. Na caixa gateway , digite 3rdextip.
  5. Manter o conjunto de valor de métrica padrão ( 1 ) e, em seguida, clique em OK .

    Observação Para resolver o problema de receber tráfego de encapsulamento de entrada na interface errada, não anuncie endereço IP da interface usando um protocolo de roteamento. Além disso, configure um filtro no serviço de roteamento e acesso remoto para descartar pacotes para a NetA ou WIN2003extIP conforme indicado na seção "Configure Routing and Remote Access Filtering" deste artigo.
back to the top
Voltar para o início

Teste o encapsulamento IPSec

Você pode iniciar o encapsulamento usando o comando ping a partir de um computador na NetA para um computador na NetB (ou da NetB para a NetA). Se você criou os filtros corretamente e atribuído a diretiva correta, os dois gateways estabelecer um encapsulamento IPSec para que eles podem enviar o tráfego ICMP do comando ping em formato criptografado. Mesmo se o comando ping funciona, verifique o ICMP tráfego enviado em formato criptografado de gateway a gateway. Você pode usar as seguintes ferramentas para fazer isso.

back to the top
Voltar para o início

Ativar a auditoria de eventos de logon e acesso a objetos

Isso registra eventos no log de segurança. Isso informa se IKE negociação da associação de segurança foi tentada e se ele foi bem-sucedido ou não.
  1. Usando o snap-in MMC diretiva de grupo, expanda Diretiva computador local , expanda Configuração do computador , expanda Configurações do Windows , expanda Configurações de segurança , expanda Diretivas locais e, em seguida, clique em Diretiva de auditoria .
  2. Habilite o êxito e Falha de auditoria para eventos de logon de auditoria e auditoria de acesso a objetos .

    Observação Se o gateway do Windows Server 2003 é um membro de um domínio e se você estiver usando uma diretiva de domínio para auditoria, a diretiva de domínio substitui a diretiva local. Nesse caso, modifique a diretiva de domínio.
back to the top
Voltar para o início

Monitor de segurança IP

Console Monitor de segurança IP mostra estatísticas de IPSec e associações de segurança ativas (SA). Após você tentar estabelecer o encapsulamento usando o comando ping , você pode ver se uma SA foi criada (se a criação do encapsulamento tiver êxito, uma SA é exibida). Se o comando ping tiver êxito, mas não SA, o tráfego ICMP não estava protegido por IPSec. Se você vir uma "associação suave" que não existia anteriormente, IPSec concordou em permitir que esse tráfego ir "criptografado" (sem criptografia).Para obter informações adicionais sobre "Disco associações", clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
234580  (http://support.microsoft.com/kb/234580/EN-US/ ) "Associações virtuais" entre computadores habilitados para IPSec e não-IPSec-ativado


Observação No Microsoft Windows XP e na família Windows Server 2003, segurança IP monitor é implementado como um console do Microsoft Management Console (MMC). Para adicionar o snap-in de Monitor de segurança IP, execute estas etapas:
  1. Clique em Iniciar , clique em Executar , digite MMC e, em seguida, clique em OK .
  2. Clique em arquivo , clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
  3. Clique em Monitor de segurança IP e, em seguida, clique em Adicionar .
  4. Clique em Fechar e, em seguida, clique em OK .
back to the top
Voltar para o início

Monitor de rede

Você pode usar o Monitor de rede para capturar o tráfego vai por meio da interface WIN2003extIP enquanto você tenta fazer ping no computador. Se você puder ver pacotes ICMP no arquivo de captura que têm origem e endereços IP de destino que correspondem aos endereços IP do computador que são ping do e do computador que você está tentando efetuar ping, em seguida, IPSec não está protegendo o tráfego. Se você não vir esse tráfego ICMP, mas conseguir ver pacotes ISAKMP e ESP em vez disso, o IPSec está protegendo o tráfego. Se você estiver usando somente o protocolo IPSec AH (Authentication Header), você verá o tráfego ISAKMP seguido os pacotes ICMP. Pacotes ISAKMP são a negociação IKE real ocorrendo e pacotes são os dados de carga criptografados pelo IPSec protocolo.

Para instalar o Monitor de rede, execute estas etapas:
  1. Clique em Iniciar , clique em Painel de controle , clique em Adicionar ou remover programas e, em seguida, clique em Adicionar ou remover componentes do Windows .
  2. No Windows Components wizard, clique em Ferramentas de gerenciamento e monitoramento e, em seguida, clique em detalhes .
  3. Em Subcomponentes de ferramentas gerenciamento e monitoramento , clique para marque a caixa de seleção Ferramentas do Monitor de rede e, em seguida, clique em OK .
  4. Se você for solicitado para arquivos adicionais, insira o CD de instalação de seu sistema operacional ou digite um caminho da localização dos arquivos na rede.
back to the top
Voltar para o início

Teste real

  1. Antes você tentar ping de um computador em uma sub-rede para a outra (NetA ou NetB), digite ipconfig em um prompt de comando. As interfaces de rede que são inicializadas na pilha TCP/IP são exibidas.
  2. Inicie a ferramenta Monitor de segurança IP.
  3. Iniciar o Monitor de rede e, em seguida, no menu capturar , clique em redes . Clique na interface WIN2003extIP e, em seguida, clique em OK .
  4. Tente ping o computador. Os primeiro pacotes echo ICMP podem expirar enquanto o encapsulamento de IPSec está sendo criado. Se o ping não for bem-sucedida, verifique os logs de segurança e sistema.
  5. Se o ping tiver êxito, interrompa a captura do Monitor de rede e veja se o tráfego ICMP entrou "em Limpar" ou se você ver apenas os pacotes de protocolo ISAKMP e IPSec. Verifique o Monitor de segurança IP para ver se uma SA foi criada usando a NetA para a NetB filtro criado. Também verifique o log de segurança. Você verá a identificação de evento 541 (associação de segurança IKE estabelecida).
  6. Digite ipconfig no prompt de comando novamente para verificar que não há nenhuma interface TCP/IP adicional enquanto o encapsulamento está em uso. Esse comportamento ocorre porque o IPSec está protegendo o tráfego que será através da interface física (WIN2003extIP).

    Se o gateway remoto também é um nó do Windows Server 2003, lembre-se de que:
    • O gateway padrão para clientes na NetA é WIN2003extIP. O gateway padrão para clientes na NetB é 3rdIntIP.
    • Um encapsulamento IPSec não altera a maneira de tráfego é roteado no gateway do Windows Server 2003. (Este gateway pode rotear pacotes porque roteamento está habilitado no roteamento e acesso remoto. A métrica da interface LAN ou WAN real ainda é usada.)
back to the top
Voltar para o início

Referências

Para obter mais informações sobre o serviço Roteamento e acesso remoto, consulte Windows Server 2003 ajuda on-line.

Para exibir o Windows Server 2003 Resource Kit e outras documentações técnicas, visite o seguinte site da Microsoft:
http://www.microsoft.com/windowsserver2003/default.mspx (http://www.microsoft.com/windowsserver2003/default.mspx)
Para informações de padrões da IETF, visite os seguintes sites:A Microsoft fornece terceiros informações de contatos para ajudá-lo a encontrar suporte técnico. Essa informações de contatos podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações contatos de terceiros.
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Voltar para o início
Palavras-chave: 
kbmt kbhowtomaster KB816514 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 816514  (http://support.microsoft.com/kb/816514/en-us/ )
Voltar para o início