Al momento sei offline in attesa che la connessione Internet venga ristabilita

Procedura di base per la risoluzione di problemi IPSec in Windows 2000

Sommario
In questo articolo vengono fornite le linee guida per la risoluzione dei problemi di connessione relativi al protocollo IPSec (Internet Protocol Security) in Microsoft Windows 2000. Ulteriori informazioni sul funzionamento del protocollo IPSec sono disponibili nei documenti elencati nella sezione "Informazioni" di questo articolo.

Il protocollo IPSec utilizza il protocollo IKE (Internet Key Exchange) per negoziare e stabilire parametri di protezione condivisi e chiavi autenticate tra due peer. Il funzionamento del protocollo IKE si suddivide in due fasi. Nella Fase 1, Windows 2000 utilizza lo scambio in modalità principale del protocollo ISAKMP (IKE Security Association and Key Management Protocol); la modalità Aggressive non è supportata. Questo scambio fornisce un canale sicuro mediante cui ottenere una chiave autenticata e un'associazione di protezione IKE. Questo canale protetto è utilizzato anche nella Fase 2 per proteggere lo scambio in modalità Quick, che fornisce le associazioni di protezione IPSec.
Informazioni

Risoluzione dei problemi di connessione relativi al protocollo IPSec

Per risolvere i problemi di connessione causati da un comportamento anomalo del protocollo IPSec, è necessario innanzitutto verificare i risultati degli scambi della Fase 1 e della Fase 2 abilitando i criteri di controllo, affinché gli eventi di protezione vengano registrati nel registro di protezione del Visualizzatore eventi.

Quindi, verificare il criterio e i filtri IPSec attivi nel computer. A tale proposito, al prompt dei comandi digitare il seguente comando:
netdiag /test:ipsec /debug
Il comando netdiag è disponibile una volta installati gli strumenti di supporto di Windows 2000 dal CD di Windows 2000. Per installare il Resource Kit, individuare la cartella Support\Tools e fare doppio clic sul file Setup.exe. Al termine dell'installazione potrebbe essere necessario eseguire il comando netdiag dalla cartella %SystemRoot%\Programmi\Support Tools, dove SystemRoot% è l'unità in cui è stato installato Windows 2000.

Se gli eventi registrati indicano che lo scambio in modalità principale della Fase 1 non è andato a buon fine, effettuare le seguenti operazioni:
  • Verificare le impostazioni IKE nelle proprietà del criterio IPSec: fare clic sulla scheda Generale, fare clic su Avanzate, quindi su Metodi.

    e
  • Verificare i metodi di autenticazione IKE configurati nelle proprietà del criterio IPSec: selezionare la regola IPSec da verificare, fare clic su Modifica, quindi fare clic sulla scheda Metodi di autenticazione.
Se gli eventi registrati indicano che il metodo rapido della Fase 2 non è andato a buon fine, verificare i metodi di protezione IPSec configurati nelle regole IPSec nelle proprietà del criterio IPSec:
  • Selezionare la regola IPSec da verificare, scegliere Modifica, selezionare la scheda Operazione filtro, selezionare l'operazione filtro abilitata, quindi scegliere Modifica.

Monitor di protezione IP

Il Monitor di protezione IP può essere utilizzato per monitorare le associazioni di protezione e le statistiche IKE. Per avviare il Monitor di protezione IP, fare clic sul pulsante Start, scegliere Esegui, quindi digitare ipsecmon.

Network Monitor

Network Monitor può essere utilizzato per analizzare il traffico scambiato dai due peer per analizzare lo scambio IKE e i protocolli IPSec ESP (Encapsulating Security Payload) e AH (Authentication Header).

Acquisizione di un file registro Oakley

Gli sviluppatori o gli amministratori di rete con conoscenze IKE avanzate possono ottenere un file registro Oakley modificando il Registro di sistema.

AVVISO: l'errato utilizzo dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema è a rischio e pericolo dell'utente.

Utilizzare l'editor del Registro di sistema per individuare la seguente chiave di registro e nel caso non esistesse, crearla:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
In questa chiave aggiungere un valore REG_DWORD denominato EnableLogging con valore 1. Il file Oakley.log verrà creato nella directory %SystemRoot%\debug.

NOTA: impostando EnableLogging su 0 si disabilita la registrazione.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
231585 Panoramica della protezione delle comunicazioni IP tramite IPSec in Windows 2000
Vedere anche il documento "Step-by-Step Guide to Internet Protocol Security (IPSec)", disponibile sul seguente sito Web Microsoft (informazioni in lingua inglese):

Proprietà

ID articolo: 257225 - Ultima revisione: 10/12/2007 06:51:00 - Revisione: 2.2

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • kbinfo kbtshoot kbipsec kbnetwork KB257225
Feedback