文章編號: 816514 - 上次校閱: 2007年12月3日 - 版次: 6.4

如何設定 Windows Server 2003 中的 IPSec 通道

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
本文章的有 Microsoft Windows 2000] 版本請參閱 252735? (http://support.microsoft.com/kb/252735/EN-US/ )
回此頁最上方

在此工作

在此頁中

全部展開 | 全部摺疊

結論

您可以在通道模式使用 IP 安全性 (IPSec) 封裝起來的網際網路通訊協定 (IP) 封包,並選擇性地加密它們。交互操作性與非 Microsoft 路由器或閘道並不支援的 Windows Server 2003 中使用 IPSec 通道模式 (有時稱為 「 純粹 IPSec 通道 」) 的主要原因,是 Layer 2 通道通訊協定 (L2TP) / IPSec 或 PPTP 的虛擬私人網路 (VPN) 通道技術是的。

back to the top
回此頁最上方
Windows Server 2003 支援 IPSec 通道設定的情況下這兩個通道結束點位置有靜態 IP 位址。這主要是用於閘道對閘道的實作。不過它也可用於閘道或路由器和伺服器之間的特殊的網路安全性案例。(,例如 Windows Server 2003 路由器,將流量從外部介面路由傳送到內部的 Windows Server 2003 電腦來保護內部路徑來建立一條 IPSec 通道通往提供服務給外部用戶端的內部伺服器)。

Windows Server 2003 IPSec 通道設定時不支援的用戶端遠端存取 VPN 使用,因為網際網路工程任務推動小組 (IETF) IPSec 要求,如註解 (RFC) 並目前尚未提供遠端存取解決方案在網際網路金鑰交換 (IKE) 用戶端閘道連線的通訊協定。第二層通道通訊協定 」 L2TP"IETF RFC 2661 已特別開發由 Cisco、 Microsoft,和其他人提供用戶端遠端存取 VPN 連線。在 Windows Server 2003 用戶端遠端存取 VPN 連線保護使用自動產生的 IPSec 原則,使用 IPSec 傳輸模式 (不通道模式) 時選取了 L2TP 通道類型。

Windows Server 2003 IPSec 通道設定也不支援特定通訊協定和連接埠特定的通道。 雖然 Microsoft 管理主控台 (MMC) IPSec 原則嵌入式管理單元是非常一般並可讓您將任何類型的篩選器與一個通道相關聯請確定中,您可以使用只有地址資訊的通道規則的篩選器規格。

IPSec,IKE 通訊協定的詳細資訊工作,請參閱 Microsoft Windows Server 2003 資源工具箱 」

本文將告訴您,如何設定一個 IPSec Windows Server 2003 閘道的通道。因為 IPSec 通道保護中所指定的唯一傳輸之 IPSec 篩選您設定,本文也將告訴您如何設定篩選器,以防止從接收或轉送通道外的流量路由及遠端存取服務中。本文使用下列案例,以方便組態步驟:

摺疊此表格展開此表格
NetA-
WIN2003intIP-		-Windows Server 2003 閘道-
-WIN2003extIP-		-網際網路-非-Microsoft 閘道-
-3rdExtIP-		-NetB
-3rdIntIP

NetA是 Windows Server 2003 閘道內部網路的網路 ID。

WIN2003intIP是指派給 Windows Server 2003 閘道內部網路介面卡的 IP 位址。

WIN2003extIP是指派給 Windows Server 2003 閘道外部網路介面卡的 IP 位址。

3rdExtIP是指派給非 Microsoft 閘道外部網路介面卡的 IP 位址。

3rdIntIP是指派給非 Microsoft 閘道內部網路介面卡的 IP 位址。

NetB是非 Microsoft 廠商閘道內部網路的網路 ID。

目標是 Windows Server 2003 閘道和非 Microsoft 閘道,以建立 IPSec 通道,或從 NetB 的流量必須路由至 NetA 讓流量導向透過安全工作階段時必須從 NetA 流量路由到 NetB

如果想設定 IPSec 原則,您就必須建置兩個篩選器: 一個以上的篩選器,以符合從 NetANetB (通道 1) 的封包] 及 [一] 篩選器來符合封包從 NetBNetA (通道 2)。 您必須設定篩選器動作,以指定如何保障通道的安全 (通道由一個規則,所以會建立兩個規則)。

back to the top
回此頁最上方

建立 IPSec 原則

通常,Windows Server 2003 閘道不是成員是網域的所以建立本機 IPSec 原則。如果 Windows Server 2003 閘道具有預設套用到網域的所有成員的 IPSec 原則的網域的成員這可防止 Windows Server 2003 閘道,不需要本機 IPSec 原則。在這種情況下您可以在此 Active Directory 中建立組織單位、 將 Windows Server 2003 閘道這個組織單位並指派 IPSec 原則給 [群組原則] 物件 (GPO) 的組織單位。如需詳細資訊請參閱 「 建立,修改,及指派 IPSec 原則 > 一節 Windows Server 2003 線上說明]。
  1. 按一下 [開始],再按一下 [執行],然後再輸入 secpol.msc 啟動 IP 安全性原則管理] 嵌入式管理單元。
  2. 在本機電腦上的 IP 安全性原則,] 上按一下滑鼠右鍵,然後按一下 [建立 IP 安全性原則
  3. 按一下 [下一步],然後再輸入您的原則 (比方說 IPSec 通道與非-Microsoft 閘道) 的名稱。按一下 [下一步]。

    附註您也可以在 [描述] 方塊中鍵入資訊。
  4. 按一下以清除 [啟動預設回應規則] 核取方塊,然後按一下 [下一步]
  5. 按一下 [完成] (請保持選取 [編輯] 核取方塊)]。
附註IPSec 原則建立以預設設定為 [IKE 主要模式。IPSec 通道是由兩個規則組成。每個規則指定通道結束點。因為是兩個通道結束點有兩個規則。每個規則中篩選器必須代表來源和目的地 IP 位址,會傳送到該規則通道結束點的 IP 封包中。

back to the top
回此頁最上方

建造 NetB NetA 從篩選器清單

  1. 在新的原則內容按一下以清除 [使用新增精靈] 核取方塊,然後再按一下 [新增] 以建立新的規則。
  2. 按一下 [IP 篩選器清單] 索引標籤,然後按一下 [新增]。
  3. 輸入適當的篩選器清單的名稱、 按一下以清除 [使用新增精靈] 核取方塊,然後按一下 [新增]
  4. 在 [來源位址] 方塊按一下 [特定 IP 子網路,並鍵入 IP 位址子網路遮罩 來為 NetA
  5. 在 [目的地位址] 方塊按一下 [特定 IP 子網路,並鍵入 IP 位址] 和 [子網路遮罩NetB
  6. 按一下以清除 [鏡像] 核取方塊。
  7. 按一下 [通訊協定] 標籤,確定的 輸入通訊協定] 設為 [任何,因為 IPSec 通並不支援特定通訊協定或連接埠特定的篩選器。
  8. 如果想鍵入您的篩選器的說明按一下 [描述] 索引標籤。它通常是很好的作法給定篩選器用於篩選器清單相同的名稱。當通道在作用中時,篩選器名稱會出現在 IPSec 監視器。
  9. 按一下 [確定]
back to the top
回此頁最上方

建造 NetA NetB 從篩選器清單

  1. 按一下 [IP 篩選器清單] 索引標籤,然後按一下 [新增]。
  2. 輸入適當的篩選器清單的名稱、 按一下以清除 [使用新增精靈] 核取方塊,然後按一下 [新增]
  3. 在 [來源位址] 方塊按一下 [特定 IP 子網路,並鍵入 IP 位址] 和 [子網路遮罩NetB
  4. 在 [目的地位址] 方塊按一下 [特定 IP 子網路,並鍵入 IP 位址] 和 [子網路遮罩NetA
  5. 按一下以清除 [鏡像] 核取方塊。
  6. 如果想鍵入您的篩選器的說明按一下 [描述] 索引標籤。
  7. 按一下 [確定]
back to the top
回此頁最上方

為 NetA NetB 通道設定一個規則

  1. 按一下 [IP 篩選器清單] 索引標籤,然後按一下以選取您所建立的篩選器清單。
  2. 按一下 [通道設定] 索引標籤、 按一下 的通道結束點由這個 IP 位址所指定 的方塊,然後鍵入 3rdextip (其中 3rdextip 是指派給非 Microsoft 閘道外部網路介面卡的 IP 位址)。
  3. 按一下 [連線類型] 索引標籤]、 按一下 [所有網路連線] (或者如果 WIN2003extIP 不一的 ISDN PPP,或直接連接序列式連線,請都按一下 區域網路 (LAN)])。
  4. 按一下 [篩選器動作] 索引標籤上,按一下以清除 [使用新增精靈] 核取方塊然後再按一下 [新增] 以建立新的篩選器動作,因為預設動作允取清空時的傳入流量以純文字。
  5. 保持啟用,[交涉安全性 選項,然後按一下以清除 [接受無安全性的通訊,但永遠使用 IPsec 來回應] 核取方塊。安全的作業,您必須執行這項操作。

    附註篩選器動作] 對話方塊底部的核取方塊均已當做套用至通道規則之篩選器動作的初始設定。只 使用工作階段金鑰完整轉寄密碼 (PFS)] 核取方塊是有效設定的通道如果通道的另一端也被設定使用 PFS。
  6. 按一下 [新增],然後保留選取的 完整性及加密 選項 (或者如果您想要定義特定的演算法和工作階段金鑰存留期,您可以選取 [自訂 (提供給專業使用者)] 選項)。封裝安全承載 (ESP) 是一種兩個 IPSec 通訊協定。
  7. 按一下 [確定]。按一下 [一般] 索引標籤,鍵入新的篩選器動作的名稱 (比方說 IPSec 通道: ESP DES MD5),然後按一下 [確定]
  8. 按一下以選取您剛建立的篩選器動作。
  9. 按一下 [驗證方法] 索引標籤,設定您想 (使用 預先共用的金鑰 來進行測試,並沒有的話,請使用 憑證) 的驗證方法。如果通道的兩端是在受信任網域中,每個受信任網域的 IP 位址 (網域控制站的 IP 位址) 是由通道的兩端網路上連線到通道的 IKE 交涉期間建立) 之前,Kerberos 是技術上可行。但這是很少。
  10. 按一下 [關閉]。
back to the top
回此頁最上方

為 NetB NetA 通道設定一個規則

  1. IPSec 原則內容中按一下 [新增] 以建立新規則]。
  2. 按一下 [IP 篩選器清單] 索引標籤,請按一下以選取 (從至 NetANetB) 建立的篩選器清單。
  3. 按一下 [通道設定] 索引標籤、 按一下 的通道結束點由這個 IP 位址所指定 的方塊,然後鍵入 WIN2003extIP (其中 WIN2003extIP 是指派給 Windows Server 2003 閘道外部網路介面卡的 IP 位址)。
  4. 按一下 [連線類型] 索引標籤]、 按一下 [所有網路連線] (或者如果 WIN2003extIP 不一的 ISDN PPP,或直接連接序列式連線,請都按一下 區域網路 (LAN)])。在符合篩選器之介面類型上的任何輸出流量會嘗試使用通道至規則中指定的通道端點。在符合篩選器的輸入的流量已被丟棄,因為它必須被接收由 IPSec 通道安全。
  5. 按一下 [篩選器動作] 索引標籤,然後按一下以選取您所建立的篩選器動作。
  6. 按一下 [驗證方法] 索引標籤,然後設定第一個規則 (兩個規則中必須使用相同的方法) 中的 [與您使用相同的方法。
  7. 按一下 [確定],請確定您所建立的兩個規則在您的原則中啟用,然後再按一次 [確定]
back to the top
回此頁最上方

將新的 IPSec 原則指派給您的 Windows Server 2003 閘道

在 [本機電腦 MMC 嵌入式管理單元上 IP 安全性原則,您新的原則上按一下滑鼠右鍵,然後按一下 [分派]。在 [您的原則] 旁邊的 [資料夾] 圖示會出現綠色的箭號。

您指派您原則之後有兩個額外的作用中篩選器 (路由及遠端存取自動建立 L2TP 流量的 IPSec 篩選器)。若要讓使用中的篩選器在命令提示字元中輸入下列命令:
netdiag /test:ipsec/debug
您也可以選擇將重新導向至文字檔這個命令的輸出讓您可以使用文字編輯器 (例如 「 記事本 」) 中檢視輸入下列命令:
netdiag /test:ipsec/debug >filename.txt
安裝 Microsoft Windows Server 2003 支援工具之後,就使用 netdiag 指令。以安裝 「 支援工具]、 找出您的 Windows Server 2003 光碟機上的 [Support\Tools] 資料夾]、 Suptools.msi] 檔案上按一下滑鼠右鍵,然後按一下 [安裝]。安裝之後,您可能必須從 %SystemRoot% \Program Files\Support 工具資料夾 (其中 %SystemRoot% 是 Windows Server 2003 的安裝位置的磁碟機) 執行 netdiag 命令。

通道篩選器看來與下列範例類似: 
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound
back to the top
回此頁最上方

設定路由及遠端存取篩選

如果想防止流量並沒有為來源或目的位址符合 NetANetB 外部介面的輸出篩選器建立在路由及遠端存取 MMC,以便篩選封包以外的所有流量從卸都除 NetANetB。也建立輸入篩選條件,所以篩選器的封包以外的所有流量從卸都除 NetBNetA。您也必須允許進出流量 WIN2003extIP3rdExtIP 建立通道時,允許 IKE 交涉。路由及遠端存取透過 IPSec 篩選執行。您沒有特別允許,IPSec 通訊協定因為它永遠不會到達 IP 封包篩選層級。下列範例是一個非常簡單的 Windows Server 2003 TCP/IP 表示架構: 
Application layer 
Transport layer (TCP|UDP|ICMP|RAW) 
---- Network layer start ---- 
IP Packet Filter (where NAT/Routing and Remote Access filtering is done) 
IPSec (where IPSec filters are implemented) 
Fragmentation/Reassembly 
---- Network layer end ------ 
NDIS Interface 
Datalink layer 
Physical layer
設定路由及遠端存取服務中的篩選器,載入路由及遠端存取 MMC 及請依照下列步驟執行:
  1. 展開您的伺服器樹狀目錄,在 [路由及遠端存取、 展開 IP 路由] 子目錄,然後按一下 [一般]。
  2. WIN2003extIP,] 上按一下滑鼠右鍵,然後按一下 [內容]。
  3. 按一下 [輸出篩選器,然後再按一下 [新增]
  4. 按一下以選取 [來源網路] 和 [目的網路] 核取方塊。
  5. 在 [來源網路] 方塊輸入 [針對 NetA 的 [IP 位址] 和 [子網路遮罩]。
  6. 在 [目的網路] 方塊輸入 [針對 NetB 的 [IP 位址] 和 [子網路遮罩]。
  7. 保留為 [任何,通訊協定集,然後按一下 [確定]
  8. 按一下 [新增],然後再按一下以選取 [來源網路] 和 [目的網路] 核取方塊。
  9. 在 [來源網路] 方塊輸入 [針對 WIN2003extIP 的 [IP 位址] 和 [子網路遮罩]。
  10. 在 [目的網路] 方塊輸入 [針對 3rdExtIP (供 IKE 交涉使用子網路遮罩 255.255.255.255) 的 [IP 位址] 和 [子網路遮罩]。
  11. 保留為 [任何,通訊協定集,然後按一下 [確定]
  12. 按一下以選取 [丟棄封包除了那些符合下列條件的所有封包] 核取方塊,然後再按一下 [確定]
  13. 按 [輸入篩選器],按一下 [新增],然後再按一下以選取 [來源網路] 和 [目的網路] 核取方塊。
  14. 在 [來源網路] 方塊輸入 [針對 NetB 的 [IP 位址] 和 [子網路遮罩]。
  15. 在 [目的網路] 方塊輸入 [針對 NetA 的 [IP 位址] 和 [子網路遮罩]。
  16. 保留為 [任何,通訊協定集,然後按一下 [確定]
  17. 按一下 [新增],然後再按一下以選取 [來源網路] 和 [目的網路] 核取方塊。
  18. 在 [來源網路] 方塊輸入 [針對 3rdExtIP 的 [IP 位址] 和 [子網路遮罩]。
  19. 在 [目的網路] 方塊輸入 IP 位址子網路遮罩WIN2003extIP (供 IKE 交涉使用子網路遮罩 255.255.255.255)。
  20. 保留為 [任何,通訊協定集,然後按一下 [確定]
  21. 按一下以選取 [丟棄封包除了那些符合下列條件的所有封包] 核取方塊,然後再按兩次 [確定]

    附註如果路由及遠端存取伺服器有一個以上的介面連接到 [網際網路或您有多個 IPSec 通道,建立每個網際網路介面每個 IPSec 通道 (每個來源和目的地 IP 子網路) 的路由及遠端存取豁免篩選的器。
back to the top
回此頁最上方

在 [路由及遠端存取] 中設定靜態路由

Windows Server 2003 閘道必須在其路由表中有一個路由對於 NetB。若要進行這個路由請在路由及遠端存取 MMC 中新增靜態路由。如果 Windows Server 2003 閘道在相同的外部網路上的兩個或兩個以上網路介面卡具有多重主目錄 (或兩個或多個可以到達目的地的網路的通道 IP 3rdExtIP),可能會存在於下列:
  • 離開一個介面上的輸出通道流量,並在不同的介面接收輸入的通道傳輸。即使您使用 IPSec 卸載網路介面卡,(而非傳送輸出通道流量),在不同的介面接收不允許接收的網路介面卡處理硬體中, 加密因為只有輸出介面可以卸載安全性關聯 (SA)。
  • 輸出通道流量會留下不同於具有通道結束點 IP 位址的介面的介面上。通道的封包的來源 IP 是來源 IP 輸出介面上。如果這不是預期的另一端的來源 IP,不建立通道] (或封包所中斷遠端端點如果已經建立通道)。
避免錯誤介面傳送輸出通道流量的定義 [連結到 NetB 的流量到適當的外部介面的靜態路由]:
  1. 路由以和遠端存取 MMC 中請展開您的伺服器樹狀目錄]、 展開 [IP 路由 的樹狀子目錄]、 靜態路由,] 上按一下滑鼠右鍵,然後按一下 [新增靜態路由]。
  2. 在 [介面] 方塊按一下 WIN2003extIP] (如果這是您想要一直使用的輸出通道流量的介面)。
  3. 輸入 NetB目的網路網路遮罩
  4. 在 [閘道] 方塊中,輸入 3rdextip
  5. 公制 設定值保留為其預設值 (1),然後按一下 [確定]

    附註若要解決接收錯誤的介面上的輸入的通道流量的問題,嗎不通知介面的 IP 位址藉由使用路由通訊協定。而且,設定篩選器,以丟棄封包至 NetAWIN2003extIP 的本文的 < Configure Routing and Remote Access Filtering > 一節中所 「 路由及遠端存取 」 服務。
back to the top
回此頁最上方

測試 IPSec 通道

您可以藉由攻擊從路上 NetANetB 上的電腦的電腦 (或從 NetBNetA) 啟始通道。如果您正確地建立篩選器,並指派正確的原則,這兩個閘道便會建立 IPSec 通道,他們可以透過 ping 命令傳送 ICMP 流量,以加密格式。即使 ping 命令運作,確認 [ICMP 流量以加密格式傳送在閘道。如果要執行這項操作,您可以使用下列的工具。

back to the top
回此頁最上方

啟用登入事件與物件存取稽核

這在安全性記錄檔中記錄事件。這會告訴您如果 IKE 安全性關聯交涉已嘗試,但它是否成功與否。
  1. 使用 [群組原則 MMC 」 嵌入式管理單元,展開 [本機電腦原則,展開 [電腦設定]、 展開 [Windows 設定]、 展開 [安全性設定]、 展開 [本機原則],然後再按一下 稽核原則
  2. 啟用 成功失敗稽核登入事件] 和 [稽核物件存取 稽核。

    附註如果 Windows Server 2003 閘道是網域的成員,而且如果您使用網域原則做為稽核,網域原則會覆寫本機原則。在這種情況下修改網域原則。
back to the top
回此頁最上方

IP 安全性監視器

IP 安全性監視器主控台顯示 IPSec 統計資料以及使用中安全性關聯 (SA)。您嘗試藉由使用 Ping 命令建立通道後您可以查看是否建立了 SA (如果通道建立成功,便會顯示 SA)。如果 Ping 命令已成功,但沒有 SA,ICMP 流量已不受 IPSec 保護。如果您看到 [一個 「 軟 」 的關聯之前沒有 IPSec 同意來處理此流量 」 上清除"(不加密)。取得更多資訊有關軟體的關聯"按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
234580? (http://support.microsoft.com/kb/234580/EN-US/ ) IPSec 啟用且未啟用 IPSec 的電腦之間的 「 軟關聯"


附註在 Microsoft Windows XP 和 Windows Server 2003 家族 IP 安全性監視器實作為 Microsoft 管理主控台 (MMC) 主控台。如果要新增 [IP 安全性監視器] 嵌入式管理單元,請依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 MMC,然後按一下 [確定]]。
  2. 按一下 [檔案],按一下 [新增/移除嵌入式管理單元,然後再按一下 [新增]
  3. 按一下 [IP 安全性監視器,然後按一下 [新增]。
  4. 按一下 [關閉],然後再按一下 [確定]
back to the top
回此頁最上方

「 網路監視器

您可以使用網路監視器來擷取經過 WIN2003extIP 介面,而您嘗試抓取電腦的流量。如果可以看到 ICMP 封包中有來源的擷取檔案及目的地 IP 位址對應到的從攻擊的電腦和您嘗試抓取的電腦 IP 位址,然後 IPSec 不保護該流量。如果您看不到這個 ICMP 流量,但看改到 ISAKMP 和 ESP 封包 IPSec 會保護流量。如果您使用的驗證標頭 (AH) IPSec 通訊協定,您會看到後面接著 ICMP 封包的 ISAKMP 流量。ISAKMP 封包是實際發生的 IKE 交涉,ESP 封包是由 [IPSec 加密的內容資料通訊協定。

如果要安裝網路監視器,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [控制台]、 按一下 [新增或移除程式,然後再按一下 [新增/移除 Windows 元件]。
  2. Windows 元件] 精靈中按一下 [管理及監視工具,然後按一下 [詳細資料
  3. 子元件的管理及監視工具 中, 按一下以選取 [網路監視器工具] 核取方塊,再按 [確定]
  4. 如果系統提示您輸入其他檔案時,插入適合您作業系統安裝 CD,或鍵入網路上的檔案位置的路徑。
back to the top
回此頁最上方

實際的測試

  1. 之前您試著 ping 從路上至其他 (NetANetB) 型別 ipconfig 在命令提示字元中的一個子網路的電腦。在 TCP/IP 堆疊中初始化之網路介面會顯示。
  2. 啟動 「 IP 安全性監視器 」 工具。
  3. 啟動網路監視器,然後在 [擷取] 功能表上按一下 [網路]。按一下 [WIN2003extIP] 介面,然後按一下 [確定]
  4. 請試著 ping 電腦。第一個的 ICMP 回應封包可能已逾時正在建置 IPSec 通道。如果 Ping 不成功,檢查安全性和系統記錄檔。
  5. 如果 ping 成功,停止網路監視器擷取,並查看是否 」 上清除 」 發生的 ICMP 流量,或是您只會看到 ISAKMP 和 IPSec 通訊協定封包。請檢查已建立了 SA 使用 NetANetB 您建立的篩選器的 IP 安全性監視器。也請檢查安全性記錄檔。您應該會看到事件識別碼 541 (IKE 安全性關聯建立)。
  6. 在一次以確認有沒有其他 TCP/IP 介面通道在使用時的命令提示字元中輸入 ipconfig。IPSec 會保護流量,通過實體介面 (WIN2003extIP),就會發生這個問題。

    如果遠端閘道也是 Windows Server 2003 節點,請記得:
    • 預設閘道 NetA 中的用戶端是 WIN2003extIP。預設閘道為 NetB 的用戶端是 3rdIntIP
    • IPSec 通道不會變更在 Windows Server 2003 閘道路由流量的方式。(因為在路由及遠端存取已啟用路由,所以此閘道可以路由的封包。實際的 LAN 或 WAN 介面度量資訊會仍然使用)。
back to the top
回此頁最上方

?考

如需詳細路由及遠端存取服務的相關資訊,請參閱 Windows Server 2003 線上說明]。

如果要檢視 [Windows Server 2003 資源工具箱 」 和其他技術文件],請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserver2003/default.mspx (http://www.microsoft.com/windowsserver2003/default.mspx)
如 IETF 標準資訊請造訪下列網站:Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。 此連絡人資訊若有變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
回此頁最上方
關鍵字:?
kbmt kbhowtomaster KB816514 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:816514? (http://support.microsoft.com/kb/816514/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。