Как настроить туннелирование IPSec в Windows Server 2003

Код статьи: 816514 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Версии Microsoft Windows 2000 в данной статье см. 252735
(http://support.microsoft.com/kb/252735/EN-US/ )
.

В ЭТОЙ ЗАДАЧЕ

Развернуть все | Свернуть все

На этой странице

Аннотация

Можно использовать IP-безопасность (IPSec) в туннельном режиме для Инкапсуляция пакетов протокола IP и их выборочного шифрования. В Основная причина (иногда называется «чистым туннельный режим IPSec Туннель IPSec») в Windows Server 2003 является необходимость взаимодействия с корпорацией Майкрософт маршрутизаторы или шлюзы, которые не поддерживают протокол туннелирования уровня 2 (L2TP) / IPSec или PPTP виртуальной частной сети (VPN) технологии туннелирования.

Перейти к началу страницы
Перейти к началу страницы | Отправить отзыв
Windows Server 2003 поддерживает туннелирование IPSec для случаев там, где оба туннеля конечные точки имеют статические IP-адреса. Это полезно в первую очередь в реализации шлюза к шлюзу. Тем не менее он может также работать для специализированных сценарии сетевой безопасности между шлюза или маршрутизатора и сервера. (Например, Маршрутизатор Windows Server 2003, который направляет трафик от внешнего интерфейса для Внутренний компьютер под управлением Windows Server 2003 защиты внутреннего пути туннель IPSec к внутреннему серверу, который обеспечивает работу внешние клиенты).

Туннелирование IPSec в Windows Server 2003 не для удаленного клиентского доступа к виртуальной частной сети использовать, так как запросы IPSec IETF (Internet Engineering Task Force) на комментарии (RFC) не поддерживается в настоящее время предоставляет решения удаленного доступа в Internet Key Exchange (IKE) протокол для подключения клиента к шлюзу. IETF RFC 2661, протокол «l2tp» был разработан компаниями Cisco, Microsoft, и другие предоставляет клиенту VPN-подключений удаленного доступа. В Защищенные с помощью Windows Server 2003, клиент удаленного доступа VPN-подключений автоматически создается политика IPSec, который использует режим транспорта IPSec (не Туннельный режим) при выборе типа туннеля L2TP.

Windows Server Туннелирование IPSec 2003 также поддерживает туннели отдельных портов и протоколов. Хотя оснастка консоли управления (MMC) политики IPSec является очень Общие и позволяет сопоставить любой тип фильтра туннеля, убедитесь, что в спецификации фильтра для туннеля использовались только данные правило.

Для получения дополнительных сведений о работе протоколов IKE и IPSec см. Microsoft Windows Server 2003 Resource Kit.

В данной статье описывается настройка IPSec туннель на шлюзе Windows Server 2003. Поскольку туннель IPSec защищает только трафик, указанный в фильтры IPSec, настройке, в данной статье также Описание настройки фильтров в службе маршрутизации и удаленного доступа Запрет трафика за пределами туннеля от получения и пересылки. Это статьи используется следующий сценарий, чтобы сделать просто следовать шаги по настройке:

Свернуть эту таблицуРазвернуть эту таблицу
NetA-
WIN2003intIP-		-Windows Server 2003 шлюз-
-WIN2003extIP-		-Интернет--не-Microsoft шлюз-
-3rdExtIP-		-NetB
-3rdIntIP

NetA Идентификатор сети Внутренние шлюз Windows Server 2003 сеть.

WIN2003intIP IP-адрес, т.е. назначенные внутренней сети шлюза Windows Server 2003 адаптер.

WIN2003extIP — Это IP-адрес внешнего сетевого шлюза Windows Server 2003 адаптер.

3rdExtIP IP-адрес присваивается внешней сети стороннего шлюза адаптер.

3rdIntIP IP-адрес, т.е. назначенные внутренней сети стороннего шлюза адаптер.

NetB Идентификатор сети внутренней сети стороннего шлюза.

Цель состоит в Windows 2003 Сервер шлюза и шлюза корпорацией Майкрософт для установления туннеля IPSec когда трафик из NetA должны быть направлены NetB или когда трафик из NetB должны быть направлены NetA Поэтому трафик направляется через безопасный сеанс.

Если вы хотите настроить политику IPSec, необходимо построить два фильтра: один фильтр согласования пакетов с NetA Кому NetB (нисходящее 1) и один фильтр согласования пакетов с NetB Кому NetA (туннель, 2). Необходимо настроить действие фильтра, чтобы указать, как обеспечивается туннеля ( туннеля представляется правило, поэтому создаются два правила).

Перейти к началу страницы

Создание политики IPSec

Как правило, шлюз Windows Server 2003 не является членом домен, то создается локальная политика IPSec. Если шлюз Windows Server 2003 является членом домена, имеющего политикой IPSec, применяемой ко всем членам домен по умолчанию, это предотвращает шлюза Windows Server 2003 не локальной политики IPSec. В этом случае можно создать подразделение в Active Directory Windows Server 2003 создать шлюз является членом подразделение и назначьте политику IPSec для объекта групповой политики (GPO) подразделения. Дополнительные сведения содержатся в разделе «Создание, Изменение и назначение политик IPSec» раздела Windows Server 2003 через Интернет Справка.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, затем введите secpol.msc Чтобы запустить политики IP-безопасности Оснастка «Управление».
  2. Щелкните правой кнопкой мыши Политики безопасности IP на локальный Компьютер, а затем нажмите кнопку Создание IP-безопасности Политика.
  3. Нажмите кнопку Далее, а затем введите имя для вашего политики (например, Туннель IPSec со шлюзом отличных от корпорации Майкрософт). Нажмите кнопкуДалее.

    Примечание Можно также ввести данные вОписание поле.
  4. Снимите флажок Активировать ответ по умолчанию Правило Установите флажок и нажмите кнопку Далее.
  5. Нажмите кнопку Окончание (оставьтеРедактирование флажок установлен).
Примечание Политика IPSec создается с параметрами по умолчанию для IKE основной режим. Туннель IPSec состоит из двух правил. Каждое правило определяет туннель Конечная точка. Поскольку две конечные точки туннеля, существуют два правила. В фильтры каждого правила должно представлять исходного и конечного IP-адресов в IP-пакеты, отправленные на конечную точку туннеля для правила.

Перейти к началу страницы

Построение списка фильтра от NetA к NetB

  1. В свойствах новой политики, нажмите кнопку ОчиститьИспользование мастера Установите флажок и нажмите кнопку ДобавитьЧтобы создать новое правило.
  2. Нажмите кнопку Список фильтров IP вкладки, а затем нажмите кнопкуДобавить.
  3. Введите имя списка фильтров, щелкните Очистить Использование мастера Установите флажок и нажмите кнопкуДобавить.
  4. В Исходный адрес Выберите A Определенная подсеть IP, а затем введите IP-адреси Маска подсетиЧтобы для NetA.
  5. В Адрес назначения ВыберитеОпределенная подсеть IP, а затем введите IP- Адрес и Маска подсети Дополнительные NetB.
  6. Снимите флажок Зеркальное отображение флажок.
  7. Нажмите кнопку Протокол TAB. Убедитесь, чтоТип протокола имеет значение Любой, поскольку туннели IPSec не Поддержка фильтров протоколов или портов.
  8. Если вы хотите ввести описание для фильтра, нажмите кнопку очередь Описание Вкладка. Обычно рекомендуется предоставить Отбор тем же именем, который использовался для списка фильтров. Имя фильтра отображается в Монитор IPSec, когда туннель активен.
  9. Нажмите кнопку ОК.
к началу статьи TOP

Создание списка фильтров от NetB к NetA

  1. Нажмите кнопку Список фильтров IP вкладки, а затем Нажмите кнопку Добавить.
  2. Введите имя списка фильтров, щелкните Очистить Использование мастера Установите флажок и нажмите кнопкуДобавить.
  3. В Исходный адрес Выберите A Определенная подсеть IP, а затем введите IP-адреси Маска подсети Дополнительные NetB.
  4. В Адрес назначения ВыберитеОпределенная подсеть IP, а затем введите IP- Адрес и Маска подсети Дополнительные NetA.
  5. Снимите флажок Зеркальное отображение флажок.
  6. Если вы хотите ввести описание для фильтра, нажмите кнопку очередь Описание Вкладка.
  7. Нажмите кнопку ОК.
к началу статьи TOP

Настройка правила для туннеля NetA к NetB

  1. Нажмите кнопку Список фильтров IP вкладки, а затем Щелкните созданный список фильтров.
  2. Нажмите кнопку Параметры туннеля ЩелкнитеКонечная точка туннеля указана данным IP-адресом поле, и затем введите 3rdExtIP (где3rdExtIP IP-адрес, назначенный адаптера внешней сети стороннего шлюза).
  3. Нажмите кнопку Тип подключения ЩелкнитеВсе сетевые подключения (или нажмите кнопку Локальная сеть (LAN) Если WIN2003extIP не является ISDN, PPP, или прямых последовательных соединений).
  4. Нажмите кнопку Действие фильтра Щелкните на вкладке Очистить Использование мастера Установите флажок и нажмите кнопкуДобавить Чтобы создать новое действие фильтра, так как действия по умолчанию Разрешите входящий трафик в незашифрованном виде.
  5. Сохранить Согласование безопасности Параметр включить и снимите флажок Принимать небезопасную связь, но отвечать с помощью IPSec флажок. Это необходимо сделать безопасного операция.

    Примечание Ни один из флажков в нижней части Фильтр Действие диалоговое окно выбираются в качестве начальной настройки для действия фильтра для правила туннеля. Только Используйте ключ сеанса безопасной пересылки (PFS) флажок имеет недопустимое значение для туннелей Если другой конец туннеля также настроен на использование PFS.
  6. Нажмите кнопку Добавитьи сохранить Целостность и шифрование выбран параметр (или выбрать Настройка (для опытных пользователей) Если необходимо определить конкретные алгоритмы и время жизни ключа сеанса). Encapsulating Security Payload (ESP) является одним из два протокола IPSec.
  7. Нажмите кнопку ОК. Нажмите кнопкуОбщие Введите имя для нового действия фильтра (для пример, Туннель IPSec: ESP DES/MD5), а затем нажмите кнопку ОК.
  8. Выберите действие фильтра, который только что создали.
  9. Нажмите кнопку Методы проверки подлинности Вкладка, Настройте метод проверки подлинности, необходимо использовать ( Предварительный ключ для тестирования, и иным образом использовать Сертификаты). Kerberos — это технически возможно, если оба конца туннель находящиеся в доверенных доменах, и каждый доверенный домен IP-адрес (IP адрес контроллера домена) является доступным по сети с обоих концов туннеля во время согласования IKE туннеля (перед его созданием). Но это редко.
  10. Нажмите кнопку Закрыть.
к началу статьи TOP

Настройка правила для туннеля NetB к NetA

  1. В окне свойств политики IPSec нажмите кнопку Добавить Кому Создайте новое правило.
  2. Нажмите кнопку Список фильтров IP Щелкните на вкладке Выберите список фильтров, который был создан ( NetB КомуNetA).
  3. Нажмите кнопку Параметры туннеля ЩелкнитеКонечная точка туннеля указана данным IP-адресом поле, и затем введите WIN2003extIP (гдеWIN2003extIP IP-адрес, назначенный Windows Server 2003 шлюза внешнего сетевого адаптера).
  4. Нажмите кнопку Тип подключения ЩелкнитеВсе сетевые подключения (или нажмите кнопку Локальная сеть (LAN) Если WIN2003extIP не является ISDN, PPP, или прямых последовательных соединений). Любой исходящий трафик через интерфейс тип, который соответствует фильтрам пытается попасть конечная точка туннеля указанное в правиле. Входящий трафик, который соответствует фильтрам, отбрасывается. так как он должен приниматься по защищенному туннелю IPSec.
  5. Нажмите кнопку Действие фильтра вкладки, а затем нажмите на Выберите действие фильтра, которое вы создали.
  6. Нажмите кнопку Методы проверки подлинности вкладки, а затем Установите метод, который использовался в первом правиле (тот же метод должен использоваться в Оба правила).
  7. Нажмите кнопку ОК, убедитесь, что оба правила, созданные включены в вашу политику и нажмите кнопку ОК еще раз.
к началу статьи TOP

Назначение новой политики IPSec для шлюза Windows Server 2003

В политики безопасности IP на оснастки консоли MMC для локального компьютера, Щелкните правой кнопкой мыши новую политику и нажмите кнопку Назначение. Зеленый появляется кнопка со стрелкой на значке папки рядом с выбранной политикой.

После вашего политика назначена, у вас есть два активных фильтра (служба маршрутизации и удаленного Microsoft Access автоматически создает фильтры IPSec для трафика L2TP). Для просмотра активного фильтры, введите следующую команду в командной строке:
netdiag /test:ipsec /debug
При необходимости можно перенаправить выходные данные этой команды текст файл, который можно открыть его с помощью текстового редактора (например «Блокнота»), введя Следующая команда:
netdiag/test: IPSec/Debug > ИМЯ_ФАЙЛАTXT
В NetDiag команда доступна после того как вы Установка средств поддержки для Windows Server 2003. Чтобы установить средства поддержки, найдите Щелкните правой кнопкой мыши файл Suptools.msi Support\Tools на компакт-диска Windows Server 2003 и нажмите кнопку Установка. После установки, возможно, потребуется выполнить NetDiag команда % SystemRoot %\Program Files\Support Папке (где % SystemRoot % — это диск, на котором Windows Server 2003 установлен).

Туннельные фильтры поиска следующего вида Пример:
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound
к началу статьи TOP

Настройка маршрутизации и удаленного доступа фильтрации

Если необходимо, чтобы трафик, который не имеет источника или конечный адрес, соответствующий NetA -или- NetB, создать фильтр выхода для внешнего интерфейс маршрутизации и удаленного доступа К консоли MMC, таким образом, чтобы фильтр удаляет весь трафик, кроме пакеты из NetA Кому NetB. Также создайте входной фильтр удаляет весь трафик за исключением пакетов от NetB Кому NetA. Кроме того, необходимо разрешить трафик WIN2003extIP и 3rdExtIPдля проведения согласования IKE при создании туннеля. Служба маршрутизации и удаленного Выполняется фильтрация доступа через IPSec. Нет необходимости специально разрешить IPSec протокол, поскольку он никогда не достигает уровня фильтрации пакетов IP. Ниже Примером является очень простым представлением Windows Server 2003 TCP/IP Архитектура: 
Application layer 
Transport layer (TCP|UDP|ICMP|RAW) 
---- Network layer start ---- 
IP Packet Filter (where NAT/Routing and Remote Access filtering is done) 
IPSec (where IPSec filters are implemented) 
Fragmentation/Reassembly 
---- Network layer end ------ 
NDIS Interface 
Datalink layer 
Physical layer
Для настройки фильтров в службе маршрутизации и удаленного доступа службы, загрузки службы маршрутизации и удаленного доступа К MMC и выполните следующие действия:
  1. Разверните дерево сервера в группе Служба маршрутизации и удаленного Доступ, разверните узел IP-маршрутизации поддерево, а затем нажмите кнопкуОбщие.
  2. Щелкните правой кнопкой мыши WIN2003extIP, и Нажмите кнопку Свойства.
  3. Нажмите кнопку Фильтры исходящего трафика, а затем нажмите кнопкуНовый.
  4. Выберите Исходная сеть иСеть назначения флажки.
  5. В Исходная сеть ВведитеIP-адрес и Маска подсети Дополнительные NetA.
  6. В Сеть назначения поле типа очередь IP-адрес и Маска подсети Дополнительные NetB.
  7. Сохранить значение протокола Любой, а затем Нажмите кнопку ОК.
  8. Нажмите кнопку Новыйи затем выберитеИсходная сеть и Сеть назначения загрузке поля.
  9. В Исходная сеть ВведитеIP-адрес и Маска подсети ДополнительныеWIN2003extIP.
  10. В Сеть назначения поле типа очередь IP-адрес и Маска подсети Дополнительные 3rdExtIP (для согласования IKE используется подсеть маска 255.255.255.255).
  11. Сохранить значение протокола Любой, а затем Нажмите кнопку ОК.
  12. Выберите Отбрасывать все пакеты, кроме тех, которые что отвечают указанным ниже критериям Установите флажок и нажмите кнопкуОК.
  13. Нажмите кнопку Фильтры входа, нажмите кнопкуДобавитьи затем выберите Источник Сеть и Сеть назначения флажки.
  14. В Исходная сеть ВведитеIP-адрес и Маска подсети ДополнительныеNetB.
  15. В Сеть назначения поле типа очередь IP-адрес и Маска подсети Дополнительные NetA.
  16. Сохранить значение протокола Любой, а затем Нажмите кнопку ОК.
  17. Нажмите кнопку Новыйи затем выберитеИсходная сеть и Сеть назначения загрузке поля.
  18. В Исходная сеть ВведитеIP-адрес и Маска подсети Дополнительные 3rdExtIP.
  19. В Сеть назначения поле типа очередь IP-адрес и Маска подсети Дополнительные WIN2003extIP (для согласования IKE используется подсеть маска 255.255.255.255).
  20. Сохранить значение протокола Любой, а затем Нажмите кнопку ОК.
  21. Выберите Отбрасывать все пакеты, кроме тех, которые что отвечают указанным ниже критериям Установите флажок и нажмите кнопкуОК два раза.

    Примечание Если сервер маршрутизации и удаленного доступа имеет более одного интерфейс, подключенный к Интернету, или если у вас есть несколько туннелей IPSec Создание фильтров налогового освобождения маршрутизации и удаленного доступа для каждого туннеля IPSec (каждый исходный и конечный IP-подсети) для каждого интерфейса Интернета.
к началу статьи TOP

Настройка статических маршрутов в маршрутизации и удаленного доступа

Шлюз Windows Server 2003 должен иметь маршрут в своем маршруте Таблица для NetB. Чтобы настроить этот маршрут, добавить статический маршрут в службе маршрутизации и удаленного доступа К MMC. Если Windows Server 2003 Шлюз является многосетевым с двумя или более сетевых адаптеров на одной внешней сети (или двумя или несколькими сетями, которые можно получить доступ к IP туннеля назначения 3rdExtIP), возможны следующие:
  • Исходящий трафик туннеля остается на одном интерфейсе и получения входящего трафика туннеля на другой интерфейс. Даже если вы используете IPSec разгрузки для сетевых адаптеров, прием на другом интерфейсе (чем посылается исходящий трафик) не позволяет принимающей сети адаптеру обрабатывать шифрование в оборудовании, так как только исходящие интерфейс позволяет разгрузить сопоставление безопасности (SA).
  • Исходящий трафик туннеля остается на интерфейсе, т.е. отличается от интерфейса, который имеет IP-адрес конечной точки туннеля. В Исходный IP-адрес туннелированного пакета — это исходный IP-адрес исходящего интерфейса. Если Это не исходный IP-адрес, который ожидается по другую сторону, не является туннель установлено (или пакеты отсекаются конечной точкой, если туннель уже установлено).
Чтобы избежать отправки исходящего трафика туннеля Недопустимый интерфейс, следует определить статический маршрут для привязки трафика NetB к соответствующему внешнему интерфейсу:
  1. В службе маршрутизации и удаленного доступа К MMC разверните узел сервера дерево, разверните узел IP-маршрутизации Щелкните правой кнопкой мыши subtreeСтатические маршруты, а затем нажмите кнопку Новый статический Маршрут.
  2. В Интерфейс ВыберитеWIN2003extIP (если это интерфейс, который требуется всегда используйте для исходящего трафика туннеля).
  3. Тип Сеть назначения и Сеть Маска Дополнительные NetB.
  4. В Шлюз поле типа3rdExtIP.
  5. Сохранить Метрика значение по умолчанию (1), а затем нажмите кнопку ОК.

    Примечание Для решения проблемы приема входящего трафика туннеля на неполадки интерфейс, не объявляет интерфейс IP-адреса с использованием маршрута протокол. Кроме того настройте фильтр в службе маршрутизации и удаленного доступа удаление пакетов NetA -или-WIN2003extIP как указано в "Настройка маршрутизации и удаленного доступа Фильтрация"в разделе данной статьи.
к началу статьи TOP

Проверка туннеля IPSec

Можно инициировать туннеля, обмен пакетами с компьютера на NetA компьютер на NetB (или из NetB Кому NetA). Если фильтры созданы правильно и назначена соответствующая политика, между двумя шлюзами создается туннель IPSec таким образом они можно отправлять трафик ICMP Сообщение об ошибке «Проверка связи команда в зашифрованный формат. Даже если Сообщение об ошибке «Проверка связи команда работает, проверьте, что ICMP трафик отсылается в зашифрованном формате от шлюза к шлюзу. Можно использовать следующие средства для этого.

к началу статьи сверху

Включить аудит событий входа в систему и доступа К объектам

Это записывает события в журнал безопасности. Это означает, если IKE была предпринята попытка согласования сопоставления безопасности, и если он успешно или нет.
  1. С помощью оснастки групповой политики, разверните узел Локальные Политика компьютера, разверните узел Конфигурация компьютера, Откройте группу Параметры Windows, разверните узел Безопасность Параметры, разверните узел Локальные политики, а затем нажмите кнопкуПолитика аудита.
  2. Включить Успех и Сбой Аудит Аудит входа в систему События и Аудит доступа к объектам.

    Примечание Если шлюз Windows Server 2003 входит в состав домена и Если используется политика домена для аудита, перезаписывает политики домена Локальная политика. В этом случае изменения политики домена.
к началу статьи TOP

Монитор IP-безопасности

Консоль монитора IP-безопасности отображения статистики IPSec и активных сопоставления безопасности (SA). После создания туннеля, используя Сообщение об ошибке «Проверка связи команды, можно увидеть при создании сопоставления безопасности (если туннель Создание успешно, отображается Сопоставление). Если Сообщение об ошибке «Проверка связикоманда была выполнена успешно, но не существует никаких SA, ICMP-трафик не был защищен IPSec. Если отображается «мягкое сопоставление», которые не существовали ранее, IPSec пропустил этот трафик "в незашифрованном виде" (без шифрования). Для получения дополнительных сведений о «Мягких сопоставлениях» обратитесь к следующей статье базы знаний Майкрософт:
234580
(http://support.microsoft.com/kb/234580/EN-US/ )
«Мягкие» сопоставления между компьютерами, поддерживающими IPSec и не поддерживающими IPSec


Примечание В Microsoft Windows XP и семейства Windows Server 2003, IP-безопасности Монитор реализована в виде консоли консоли управления (MMC). Чтобы добавить Монитор IP-безопасности оснастку, выполните следующие действия:
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE MMC, а затем нажмите кнопку ОК.
  2. Нажмите кнопку Файл, нажмите кнопку Добавление и удаление Объект snap-in, а затем нажмите кнопку Добавить.
  3. Нажмите кнопку Монитор IP-безопасности, а затем нажмите кнопкуДобавить.
  4. Нажмите кнопку Закрыть, а затем нажмите кнопкуОК.
к началу статьи TOP

Сетевой монитор

Сетевой монитор можно использовать для записи трафика, который через WIN2003extIP интерфейс при попытке выполнить команду ping компьютер. Если вы видите ICMP-пакеты в файл записи с источником и Назначение IP-адресов, соответствующие IP-адреса компьютера, Применение команды ping из и компьютер, вы пытаетесь выполнить команду ping, затем — IPSec не защищает трафик. Если не видите этот трафик ICMP, но увидеть ISAKMP и пакеты ESP, IPSec защищает трафик. При использовании только Протокол проверки подлинности IPSec заголовка (AH), вы увидите ISAKMP трафика за пакеты ICMP. ISAKMP-пакеты — это согласование IKE возникновение и пакеты ESP, полезных данных, шифруются по протоколу IPSec протокол.

Установка сетевого монитора, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Элемент управления «», нажмите кнопку Установка и удаление программ, а затем нажмите кнопкуДобавление и удаление компонентов Windows.
  2. В окне мастера компонентов Windows нажмите кнопку Управление и средств мониторинга, а затем нажмите кнопку Подробности.
  3. В Компоненты управления и мониторинга Сервис, выберите Средства сетевого монитораУстановите флажок и нажмите кнопку ОК.
  4. При необходимости дополнительных файлов вставьте установочный компакт-ДИСК операционной системы или укажите путь расположения файлы в сети.
к началу статьи TOP

Тестирование

  1. Перед попыткой Сообщение об ошибке «Проверка связи с компьютера в одной подсети в другие)NetA -или- NetB), TYPE IPConfig в командной строке. Сеть отображаются интерфейсы, инициализированные в стеке TCP/IP.
  2. Запустите средство «монитор IP-безопасности».
  3. Запустите сетевой монитор, а затем наЗахват меню, нажмите кнопку Сетей. Нажмите кнопкуWIN2003extIP интерфейс, а затем нажмите кнопкуОК.
  4. Попробуйте Сообщение об ошибке «Проверка связи компьютер. Первый эхо-пакетов ICMP может время ожидания при построении туннеля IPSec. Если Сообщение об ошибке «Проверка связи не работает, Проверьте журналы безопасности и системы.
  5. Если Сообщение об ошибке «Проверка связи успешно, остановки записи сетевого монитора и ICMP-трафик происходило «очистить» или просто посмотреть ISAKMP и Пакеты протокола IPSec. Проверьте, чтобы увидеть, было ли создано сопоставление безопасности монитор IP-безопасности с помощью NetA Кому NetBсозданный фильтр. Также проверьте журнал безопасности. Вы должны увидеть событие с кодом 541 (Сопоставление безопасности IKE создано).
  6. Тип IPConfig Выполните следующие действия из командной строки еще раз, чтобы убедиться, что нет новых интерфейсов TCP/IP при туннеля уже используется. Это происходит потому, что IPSec защищает трафик, который проходит через физический интерфейс)WIN2003extIP).

    Если удаленный шлюз также узел Windows Server 2003, следует помнить, что:
    • Шлюзом по умолчанию для клиентов в NetA является WIN2003extIP. В шлюзом по умолчанию для клиентов в NetB является 3rdIntIP.
    • Туннель IPSec не изменяет способ трафика Маршрутизация в Windows Server 2003 шлюза. (Этот шлюз может маршрутизировать пакеты так как маршрутизация включена в службе маршрутизации и удаленного доступа. Фактический локальной или глобальной сети метрики интерфейса задействуются.)
к началу статьи TOP
Перейти к началу страницы | Отправить отзыв

Ссылки

Для получения дополнительных сведений о маршрутизации и удаленного доступа Служба, см. справку Windows Server 2003.

Для просмотра Windows Server 2003 Resource Kit и других технических документация, посетите следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/rus/windowsserver2003/default.mspx
(http://www.microsoft.com/windowsserver2003/default.mspx)
О стандарты IETF посетите следующие узлы: Корпорация Майкрософт предоставляет контактные данные независимых производителей, чтобы помочь пользователям получить необходимую техническую поддержку. Эта информация может быть изменена без предварительного уведомления. Корпорация Майкрософт не поддерживает гарантирует точность этой контактной информации о независимых производителей.
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 816514 - Последнее изменение :: 15 июня 2011 г. - Редакция: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Ключевые слова: 
kbhowtomaster kbmt KB816514 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:816514
(http://support.microsoft.com/kb/816514/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы