文章編號: 942964 - 上次校閱: 2008年2月20日 - 版次: 1.1

IPsec 原則的預設回應規則在 Windows Vista 和 Windows Server 2008 Beta 3 的運作方式

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
Beta 版資訊
本文說明 Beta 版的 Microsoft 產品。本文資訊係依「現況」提供,若有變更,恕不另行通知。

Microsoft 將不會為此 Beta 版產品提供正式版的產品支援。如需有關如何取得 Beta 版支援的資訊,請參閱 Beta 版產品檔案隨附的文件,或者造訪先前下載此版本的網路位置。
全部展開 | 全部摺疊

簡介

本文說明網際網路通訊協定安全性 (IPsec) 原則的預設回應規則在 Windows Vista 和 Windows Server 2008 Beta 3 的運作方式,同時說明如何在 Windows Vista 和 Windows Server 2008 Beta 3 中建立預設回應規則的取代規則。

其他相關資訊

當 IPsec 中沒有其他規則可以使用時,預設回應規則會套用在要求 IPsec 連線的遠端電腦上。為了透過加密的通道進行通訊,電腦必須回應要求,以建立加密通道。當您在 Windows Vista 和 Windows Server 2008 Beta 3 以前的 Windows 版本中建立 IPsec 原則時,系統會自動建立預設回應規則。根據預設,在 Windows Vista 或 Windows Server 2008 Beta 3 中建立 IPsec 原則時,不會啟用預設回應規則。

當您在 Windows Vista 或 Windows Server 2008 Beta 3 中建立或修改 IPsec 原則時,可以使用「IP 安全性原則管理」嵌入式管理單元或 netsh ipsec 命令來設定預設回應規則。即使您可以在 Windows Vista 或 Windows Server 2008 Beta 3 中設定 IPsec 原則的預設回應規則,當您在 Windows Vista 電腦或 Windows Server 2008 Beta 3 電腦上套用 IPsec 原則時,規則仍是無效的。這個規則只在您將預設回應規則套用在以前版本的 Windows 時才有效。此外,您無法在 Windows Vista 或 Windows Server 2008 Beta 3 中使用 netsh ipsec 命令,以修改 Windows Vista 電腦上所套用 IPsec 原則的預設回應規則。不過,您可以針對執行 Windows Vista 以前版本的 Windows 用戶端修改預設回應規則。如果包含預設回應規則的 IPsec 原則被指派至 Windows Vista 電腦,則不會套用此原則。此外,安全性記錄檔會記錄下列事件:

事件識別碼:5461
來源:Security Auditing (安全性稽核)
類型:稽核失敗
訊息:PAStore 引擎無法在電腦上套用本機登錄存放 IPSec 原則。
原則:Policy Name
錯誤碼: Error Code。參數錯誤

與其使用預設原則規則,您可以針對用來啟用 Windows Vista 電腦或 Windows Server 2008 Beta 3 電腦的原則建立規則,以便將規則套用在要求 IPsec 連線的 Windows Vista 用戶端上。預設回應規則只會回應用戶端要求。然而,您建立的規則可以回應所有種類的要求。此外,這個規則還會透過加密通道,與用戶端建立通訊。如果 IPsec 交涉期間無法透過加密通道建立通訊,通訊將會以純文字在網路上進行。這個通訊將不會遭到捨棄。

如果要為 Windows Vista 或 Windows Server 2008 Beta 3 中的 IPsec 原則建立新規則,請依照下列步驟執行:
  1. 使用 [IP 安全性原則管理] 嵌入式管理單元來修改 IPsec 原則。如果要執行這項操作,請依照下列步驟執行:
    1. 使用適當的方法:
      • 在 Windows Server 2008 Beta 3 中,請按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 mmc,然後按一下 [確定]
      • 在 Windows Vista 中,按一下 [開始]
        摺疊此圖像展開此圖像
        [開始] 按鈕
        ,在 [開始搜尋] 方塊中輸入 mmc,然後按下 ENTER。
    2. 按一下 [檔案] 功能表上的 [新增/移除嵌入式管理單元][新增或移除嵌入式管理單元] 對話方塊隨即開啟。
    3. [可用的嵌入式管理單元] 清單中,按一下 [IP 安全性原則管理],然後按一下 [新增]
    4. [選擇電腦或網域] 對話方塊中,按一下 [完成]
    5. 按一下 [確定] 關閉 [新增或移除嵌入式管理單元] 對話方塊。
    6. 在工作窗格中,按一下 [在本機電腦上的 IP 安全性原則]
    7. 在詳細資料窗格中,用滑鼠右鍵按一下您要建立新規則的原則,然後按一下 [內容]
    8. 按一下 [新增],將新規則新增至原則。
  2. 設定新規則的通道內容和網路類型內容。如果要執行這項操作,請依照下列步驟執行:
    1. 在 [安全性規則精靈] 的歡迎頁面上,按一下 [下一步]
    2. 在 [通道端點] 頁面上,確認 [這個規則並沒有指定 IPsec 通道] 選項已啟用,然後按一下 [下一步]
    3. 在 [網路類型] 頁面上,確認 [所有網路連線] 選項已啟用,然後按一下 [下一步]
  3. 建立新的 IP 篩選器清單,然後設定篩選器清單內容。如果要執行這項操作,請依照下列步驟執行:
    1. 在 [IP 篩選器清單] 頁面上,按一下 [新增][IP 篩選器清單] 對話方塊隨即開啟。
    2. [名稱] 方塊中,輸入 All IP Traffic,然後按一下 [新增]
    3. 在 [IP 篩選器精靈] 的歡迎頁面上,按一下 [下一步]
    4. 在 [IP 篩選器描述和鏡像屬性] 頁面上,加入 IP 篩選器的描述,然後按一下 [下一步]
    5. 在 [IP 流量來源] 頁面上,確認已選取 [來源位址] 清單中的 [任何 IP 位址],然後按一下 [下一步]
    6. 在 [IP 流量目的] 頁面上,確認已選取 [目的地位址] 清單中的 [任何 IP 位址],然後按一下 [下一步]
    7. 在 [IP 通訊協定類型] 頁面上,確認已選取 [請選取通訊協定的類型] 清單中的 [任何],然後按一下 [下一步]
    8. 在 [正在完成 IP 篩選器精靈] 頁面上,按一下 [完成]
    9. 按一下 [確定] 儲存新的篩選器清單,並且關閉 [IP 篩選器清單] 對話方塊。
  4. 建立新的篩選器動作,然後設定篩選器動作內容。如果要執行這項操作,請依照下列步驟執行:
    1. 在 [IP 篩選器清單] 頁面上,按一下您所建立的 IP 篩選器清單,然後按一下 [下一步]
    2. 在 [篩選器動作] 頁面上,按一下 [新增] 建立新的篩選器動作。
    3. 在 [篩選器動作精靈] 的歡迎頁面上,按一下 [下一步]
    4. 在 [篩選器動作名稱] 頁面上,在 [名稱] 方塊中輸入 Always negotiate security,然後按一下 [下一步]
    5. 在 [篩選器動作一般選項] 頁面上,確認 [交涉安全性] 選項已啟用,然後按一下 [下一步]
    6. 在 [正與不支援 IPsec 的電腦進行通訊] 頁面上,按一下 [如果無法建立安全的連線,則允許無安全性的通訊],然後按一下 [下一步]
    7. 在 [IP 流量安全性] 頁面上,選取您要使用的安全性方法,然後按一下 [下一步]
    8. 在 [正完成 IP 安全性篩選器動作精靈] 頁面上,按一下 [完成]
    9. 在 [篩選器動作] 頁面上,選取您所建立的篩選器動作,然後按一下 [編輯][新增篩選器動作內容] 對話方塊隨即開啟。
    10. [安全性方法] 索引標籤上,按一下以選取 [接受無安全性的通訊,但永遠使用 IPsec 來回應] 核取方塊,然後按一下 [確定]
    11. 在 [篩選器動作] 頁面上,按一下 [下一步]
  5. 在 [驗證方法] 頁面上,指定您要使用的驗證方法,然後按一下 [下一步]
  6. 在 [正在完成安全性原則精靈] 頁面上,按一下 [完成]
  7. 按一下 [確定] 關閉 IPsec 原則內容對話方塊。
這篇文章中的資訊適用於:
  • Microsoft Windows Code Name “Longhorn”
  • Windows Vista 旗艦版
  • Windows Vista 商用進階版
  • Windows Vista 商用入門版
  • Windows Vista 家用進階版
  • Windows Vista 家用入門版
  • Windows Vista Starter
  • Windows Vista 旗艦 64 位元版
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 商用入門 64 位元版
  • Windows Vista 家用進階 64 位元版
  • Windows Vista 家用入門 64 位元版
回此頁最上方
關鍵字:?
kbhowto kbinfo kbexpertiseinter KB942964
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。