Microsoft Güvenlik Danışma Belgesi: IPSec güvenlik açığı güvenlik özelliği bypass izin verebilir

GİRİŞ

Microsoft, bir Microsoft Güvenlik danışma belgesi Bu sorun hakkında BT uzmanlarına yönelik yayımladı. Güvenlik danışma belgesi, güvenlikle ilgili ek bilgiler içerir. Güvenlik danışma belgesini görüntülemek için aşağıdaki Microsoft Web sitesine bakın:

Çözüm

Aşağıdaki dosyalar Microsoft İndirme Merkezi üzerinden edinilebilir:


Windows XP'nin desteklenen tüm x86 tabanlı sürümleri için

Download Paketi şimdi indir.

Windows XP Professional x64 sürümünün desteklenen tüm x64 tabanlı sürümleri için

Download Paketi şimdi indir.

Windows Server 2003'ün tüm desteklenen x 86 tabanlı sürümleri için

Download Paketi şimdi indir.

Windows Server 2003'ün tüm desteklenen x 64 tabanlı sürümleri için

Download Paketi şimdi indir.

Windows Server 2003'ün tüm desteklenen IA-64 tabanlı sürümleri için

Download Paketi şimdi indir.

X86 tabanlı sürümleri Windows Vista'nın tüm desteklenen

Download Paketi şimdi indir.

X64 tabanlı sürümleri Windows Vista'nın tüm desteklenen

Download Paketi şimdi indir.

Tüm desteklenen sürümleri Windows Server 2008 tabanlı x86

Download Paketi şimdi indir.

X64 tabanlı sürümleri Windows Server 2008'in tüm desteklenen

Download Paketi şimdi indir.

Windows Server 2008'in tüm desteklenen IA-64 tabanlı sürümleri için

Download Paketi şimdi indir.

Windows 7'nin desteklenen tüm x86 tabanlı sürümleri için

Download Paketi şimdi indir.

Windows 7'nin tüm desteklenen x64 tabanlı sürümleri için

Download Paketi şimdi indir.

Tüm x86 tabanlı gömülü Windows 7'in desteklenen sürümleri için

Download Paketi şimdi indir.

Tüm x64 tabanlı gömülü Windows 7'in desteklenen sürümleri için

Download Paketi şimdi indir.

X64 tabanlı sürümleri Windows Server 2008 R2'in tüm desteklenen

Download Paketi şimdi indir.

Windows Server 2008 R2'nin desteklenen tüm IA-64 tabanlı sürümleri için

Download Paketi şimdi indir.

Windows 8'in tüm desteklenen x86 tabanlı sürümleri

Download Paketi şimdi indir.

Windows 8'in x64-tabanlı tüm desteklenen sürümleri

Download Paketi şimdi indir.

Tüm desteklenen Windows Server 2012 x64 tabanlı sürümleri

Download Paketi şimdi indir.

Windows 8.1'in desteklenen tüm x86 tabanlı sürümleri için

Download Paketi şimdi indir.

Windows 8.1'in desteklenen tüm x64 tabanlı sürümleri için

Download Paketi şimdi indir.

X64 tabanlı sürümleri Windows Server 2012 R2'in tüm desteklenen

Download Paketi şimdi indir.

Yayın Tarihi: 10 Kasım 2013

Microsoft Destek dosyalarını indirme hakkında daha fazla bilgi edinmek için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
119591 Microsoft destek dosyaları Çevrimiçi Hizmetler'den nasıl
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın gönderildiği tarihte kullanılabilir en güncel virüs tarama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardımcı olan geliştirilmiş güvenliğe sahip sunucularda depolanır.

Daha fazla bilgi

1: Bu güvenlik güncelleştirmesinin amacı

Güvenlik güncelleştirmesi, bir IPSec istemcisi uzak bağlantıdan ise uzak IPSec sunucularının kimliğini nasıl doğrulanacağını güçlendirir. Bu güncelleştirmenin yüklenmesini üç adımlı bir işlemdir. İşlem bu bölümde özetlenen ve ayrıntılı olarak bu makalede belgelenmiştir.

Bu güncelleştirmeyi yüklemek için şu adımları izleyin:
  1. Güncelleştirmeyi istemci sisteminde uzak sunucu doğrulama artırır. Yönetici adım 2 izler ve el ile güncelleştirme sağlar kadar güncelleştirme yükleme sonrasında devre dışı kalır. (Bu 4.1 bölümünde açıklanmıştır.) Bir istemci ağ geçidi yapılandırma ise, güncelleştirme istemci bilgisayara yüklenmelidir. Bir sitenin site yapılandırması varsa, her iki iletişim uzak sunucuları yükleme almalısınız.
  2. Yeni doğrulama kurallarına göre doğrulanması için kimliğe sahip sunucudaki sertifikanın güncelleştirin. (Bu "Dağıtım yönergeleri" bölümünde açıklanmıştır.)
  3. Yeni geçerlilik kuralları eklemek için doğrulama bilgisayarlardaki kayıt defteri güncelleştirilemiyor. Bu kurallar kayıt defterinde ayarlanır sürece yeni kurallar bir tünel ile uzak taraf kurarken zorlamayı güncelleştirmeyi otomatik olarak başlar.
Not: Bu güncelleştirme yalnızca tünel modu bağlantıları için geçerlidir. Aktarım modu bağlantıları bu durumdan etkilenmez.

2: kim bu güvenlik güncelleştirmesini yüklemeniz?

Aşağıdaki yapılandırmalar olan kuruluş yöneticileri kendi uzak istemci ve sunucular için Gelişmiş güvenlik güncelleştirme göz önünde bulundurmalısınız:
  • DirectAccess ile sertifika tabanlı AuthIP
    Bu yapılandırmada, güncelleştirmeyi Windows 7 tabanlı istemci bilgisayarlarda yüklü gerekir. Sunucu sertifikası yapılandırması güncelleştirilmesi gerekmektedir Windows Server 2008 R2, Windows Server 2012 veya Windows Server 2012 R2 çalıştırıyor olmanız.

    Sertifika tabanlı bir Windows 8 dağıtımda yüklenmişse bu güncelleştirme herhangi bir etkisi olmaz.
  • KerbProxy kimlik doğrulaması AuthIP DirectAccess
    Bu yapılandırmada, güncelleştirmeyi Windows 8 veya 8.1 Windows tabanlı istemci bilgisayarlarda yüklü gerekir. Sunucu üzerinde değişiklik gerekli değildir.
  • IPSec sertifika tabanlı kimlik doğrulaması ile
    Bu çok yönlü bir yapılandırmadır. Siteden siteye veya istemci ağ geçidi olarak yapılandırılabilir.
Senaryoİletişim kuralıKimlik doğrulama yöntemiYükleme türüDüzeltme uygulanacak platformları
IPSecIKEv1Sertifika tabanlıSiteye (örneğin, RRAS)Win 2003, Windows Server 2008, Windows Server 2008 R2
İstemci-sunucuWindows XP, Windows Vista, Windows 7
DirectAccessAuthIPSertifika tabanlıİstemci-sunucu (örneğin, DirectAccess)Windows 7
KerbProxyİstemci-sunucu (örneğin, DirectAccess)Windows 8, Windows 8.1
Önemli Not: Sertifika tabanlı kimlik doğrulaması için (IPSec veya DirectAccess):
  • Siteler: Windows Server 2012 ve Windows Server 2012 R2 iç sertifikanın denetimlerini yeterli olduğu için düzeltme eki uygulanmış gerekmez.
  • İstemci ağ geçidine: Windows 8 ve Windows 8.1 yeterli olup iç sertifikayı denetler çünkü düzeltme zorunda değilsiniz.
8.1 Server 2012 ve Server 2012 R2, Windows 8'de sertifikanın denetimlerini yapılandırma hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın:

3: dağıtım senaryoları


3.1: IPSec istemcisi ağ geçidine

Bu bölümde, tipik bir istemci ağ geçidi yapılandırma gösterilmiştir. Güncelleştirme onay C1 R1 sunucusunun geçerliliğini üzerinde yapar bu bilgisayar artıracaktır.
IPsec tunnel

3.2: IPSec siteye

Genel trafik tetiklenen IPSec siteler tünel burada gösterilmiştir. Bu güncelleştirme sunucu R1 ve R2 sunucusu olur ve daha zorlu zorlamak için yapılandırmasıyla ilgili diğer sunucular üzerinde geçerlilik denetler.
IPsec tunnel

4: dağıtım yönergeleri

4.1: güvenlik güncelleştirmesinin açıklaması

2862152 güncelleştirmeleri güvenlik bir parçası olarak, IPSec daha fazla IPSec anlaşması (Windows 7, Windows Server 2008 R2, Windows XP ve Windows Server 2003 için) sertifika kimlik doğrulama yöntemleri ve KerbProxy kimlik doğrulaması (Windows 8, Windows Server 2012, Windows 8.1 ve Windows Server 2012) denetimlerini zorlar. IPSec anlaşması sırasında IPSec ayrıca listelenen özniteliklere kayıt yapılandırılmış değerleri karşı aşağıdaki gibi denetler:
Windows 7 ve önceki işletim sistemleri
  • Yalnızca IP adresi ve EKU yapılandırılmış IPSec hedef IP adresi ve EKU nesne tanımlayıcısı (OID olarak da bilinir) denetler.
  • Yalnızca yapılandırılmış IP adresi ve DNS, IPSec hedef IP adresi ve DNS (sertifika) adı için denetler.
  • IPSec, IP adresini, DNS ve EKU yapılandırılırsa, hedef IP adresi ve EKU nesne tanımlayıcısı denetler.
Notlar
  • DNS (sertifika) sertifika adı sunucusu (veya Yanıtlayıcı yanında) s.
  • EKU nesne tanımlayıcısı olan sunucu sertifikasını genişletilmiş anahtar kullanımı tanımlayıcısıdır.
Windows 8 ve Windows 8.1
  • Hedef IP adresi ve SPN değerleri

    Hizmet asıl adı (SPN) genellikle aşağıdaki biçimdedir:
    host/<ComputerName>.<ComputerDomain>.com
    Yöneticiler, geçerli IP sağlamalıdır, DNS adları/EKU nesne tanımlayıcılarını (Windows 7 veya daha eski işletim sistemlerini) veya geçerli IP adresi ve SPN değerlerini (Windows 8 ve sonraki sürümler) kayıt defteri ayarlarından. Her kimlik doğrulama yöntemi için bir alt anahtar olacaktır ayrı bir kayıt defteri anahtar her modülünü olacaktır.

    Aynı ayarları Yanıtlayıcı bilgisayarda Yanıtlayıcı güvenliğini sağlamak için de yapılandırılabilir. Bu yalnızca Windows 7 ve önceki sürümleri için geçerlidir.

    Windows 8 ve sonraki sürümlerinde yalnızca başlatıcı bilgisayar yapılandırılabilir. Yanıtlayıcı yapılandırılamaz.

4.2: sertifika dağıtım - Windows 7 ve önceki sürümleri

4.2.1 IPSec senaryosu
4.2.1.1 EKU istemci yapılandırmasına:
  • IPSec istemcinizi bir EKU olan bir sertifika varsa, güncelleştirmek veya yeni bir sertifika IPSec İstemci sisteminde dağıtmanız gerekmez. IPSec sunucusu üzerinde yeni bir sertifikası EKU ile dağıtılacak şekilde ayarlanır.

    Not: Bu sertifika IPSec ilkesinde yapılandırılan aynı kök sertifika yetkilisine (CA) zincirleme var. Bu yeni EKU istemci kayıt defteri ayarlarını yapılandırın.
  • Bir EKU olmayan sertifikalar "genel amaçlı sertifika olarak" olarak kabul edilir Bu güncelleştirme ile bu tür sertifikalar kullanıldığında, yeni EKU çekleri uygulanmayacak. Karşı bir sertifikanın denetimlerini zorunlu kılmak istiyorsanız, yalnızca DNS ayarlarını yapılandırın.
4.2.1.2 istemcide DNS yapılandırması:
  • DNS tabanlı doğrulamalarını kullanmak istiyorsanız, sunucu sertifikasının DNS adı (sertifika adı) istemcinin kayıt defteri ayarlarını yapılandırabilirsiniz.

    Not: EKU yapılandırılmışsa, DNS ayarlarını dikkate alınmayacak. Bu nedenle, DNS tabanlı doğrulamalarını kullanmak isterseniz, yalnızca DNS ayarlarını yapılandırın.
4.2.2 site site senaryosu
4.2.2.1 EKU yapılandırması:
  • Başlatıcı veya Yanıtlayıcı zaten bir EKU olan bir sertifika varsa, güncelleştirmek veya Başlatıcı veya Yanıtlayıcı herhangi bir sertifikayı dağıtmanız gerekmez. Eşin sertifikasının EKU hemen her iki ucunda kayıt defteri ayarlarını yapılandırın.
  • Başlatıcı veya Yanıtlayıcı, sertifika yok EKU varsa, bu, "çok amaçlı sertifika" olduğunu ve yeni EKU çekleri uygulanmayacak anlamına gelir. Karşı bir sertifikanın denetimlerini zorunlu kılmak istiyorsanız, yalnızca DNS ayarlarını yapılandırın.
4.2.2.2 DNS yapılandırması:
  • DNS tabanlı doğrulamalarını kullanmak istiyorsanız, kayıt defterinde her iki Eşin sertifikasının DNS adı (sertifika adı) yapılandırabilirsiniz.

    Not: EKU yapılandırılmışsa, DNS ayarlarını dikkate alınmayacak. Bu nedenle, DNS tabanlı doğrulamalarını kullanmak isterseniz, yalnızca DNS ayarlarını yapılandırın.

4.3: Windows 7, Windows Server 2008 R2, Windows Vista ve Windows Server 2008'de kayıt defteri ayarları

Doğrulamaları yalnızca kayıt defteri anahtarlarını yapılandırıldığında etkinleştirilir.

Not: Kayıt defteri anahtarı değeri veya veri yok olsa bile, geçerlilik zorlanır.
  • 4.3.1: AuthIP kullanarak, sertifika kimlik doğrulaması
    • Kayıt defteri anahtarı: HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters\IPsecTunnelConfig\AuthIP\Cert
    • Kayıt defteri adı: Bu, herhangi bir ad (örneğin, Tunnel1) olabilir.
    • Türü: REG_MULTI_SZ
    • Veri: < Ipv4adresi veya Ipv6adresi >< DNS1 >< DNS2 >< DNS3 >< özel EKU OID >
    Veri Ayırıcılar "boşluk" veya "sekme" veya "yeni satır." olabilir. Örneğin, verileri de şu şekilde yapılandırılabilir:

    Veri: < Ipv4adresi veya Ipv6adresi >
    <DNS1>
    <DNS2>
    <DNS3>
    < özel EKU OID >

    EKU OID kullanılarak yapılandırılması özel "EKU:" önek biçimi aşağıda gösterildiği gibi:
    EKU: < EKU OID >


    Kayıt, birden fazla kayıt defteri adı içerebilir:
    • Kayıt adı: Bu, herhangi bir ad (örneğin, Tunnel2) olabilir.
    • Türü: REG_MULTI_SZ
    • Veri: < Ipv4adresi veya Ipv6adresi >< DNS4 >< DNS5 >< DNS6 >< özel EKU OID >
  • 4.3.2: IKEv1 kullanarak, sertifika kimlik doğrulaması
    • Kayıt defteri anahtarı: HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters\IPsecTunnelConfig\IKEV1\Cert
    • Kayıt defteri adı: Bu, herhangi bir ad (örneğin, Tunnel1) olabilir.
    • Türü: REG_MULTI_SZ
    • Veri: < Ipv4adresi veya Ipv6adresi >< DNS1 >< DNS2 >< DNS3 >< özel EKU OID >

    Veri Ayırıcılar "boşluk" veya "sekme" veya "yeni satır." olabilir. Örneğin, verileri de şu şekilde yapılandırılabilir:

    Veri: < Ipv4adresi veya Ipv6adresi >
    <DNS1>
    <DNS2>
    <DNS3>
    < özel EKU OID >

    EKU OID kullanılarak yapılandırılması özel "EKU:" önek biçimi aşağıda gösterildiği gibi:
    EKU: < EKU OID >


    Kayıt, birden fazla kayıt defteri adı içerebilir:
    • Kayıt adı: Bu, herhangi bir ad (örneğin, Tunnel2) olabilir.
    • Türü: REG_MULTI_SZ
    • Veri: < Ipv4adresi veya Ipv6adresi >< DNS4 >< DNS5 >< DNS6 >< özel EKU OID >
    Her girişin 10'dan fazla DNS adlarına sahip olabilir ve yalnızca bir özel EKU belirtilmiş.

    Her giriş yapılandırılmış DNS adlarının sayısı 10'dur.

    Not: Giriş boyutu 16.384 karakteri aşıyorsa, bu girişi sayılır. Bu IP adresi boyutu ve EKU boyutunu içerir.

    Tünel hedef (örneğin, her IP) başına yalnızca bir EKU kabul edilebilir. Yinelemeli arama olur. Birden çok yapılandırılmış "IP" girişler varsa, bu IP adres girişi için ilk yapılandırılan EKU doğrulamasını kabul eder.

    En büyük kayıt defteri yolu altında yapılandırılabilir tünelleri 1.024 sayısıdır.

    Notlar
    • "IP" değerlerinin yapılandırılması gerekir. Yöneticiler, DNS veya EKU gereksinimlerine göre yapılandırabilirsiniz.
    • Yalnızca EKU yapılandırılmışsa, biz eş sertifikasında EKU doğrulamak ve etkinleştirmek veya doğrulama sonucu üzerinde temel kimlik doğrulamasına izin verme.
    • Yalnızca DNS ad yapılandırılmışsa, biz yalnızca sertifikasında subjectAltName doğrulamak ve etkinleştirmek veya doğrulama sonucu üzerinde temel kimlik doğrulamasına izin verme.
    • EKU ve DNS yapılandırılırsa, biz yalnızca EKU doğrulamak ve etkinleştirmek veya doğrulaması temel kimlik doğrulamasına izin verme.
DNS yaklaşım:
  • Ad alanında, herhangi bir dize belirtebilirsiniz.
  • Sunucunuzda IPv6 adresi varsa, IPv4 adresi yerine aynı IPv6 adresi belirtebilirsiniz.
Figure 2. AuthIP (or IKEv1) Cert Based Registry settings - DNS approach

EKU yaklaşım:

Figure 3. AuthIP (or IKEv1) Cert Based Registry settings - EKU approach

4.4: Windows XP ve Windows Server 2003 kayıt defteri ayarları

Doğrulamaları yalnızca kayıt defteri anahtarlarını yapılandırıldığında etkinleştirilir.

Not: Kayıt defteri anahtarlarını değer ya da veri olsa bile doğrulamaları zorlanır.

4.4.1: Oakley kullanarak, sertifika kimlik doğrulaması
  • Kayıt defteri anahtarı: HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley\Cert
  • Kayıt defteri adı: Bu, herhangi bir ad (örneğin, Tunnel1) olabilir.
  • Türü: REG_MULTI_SZ
  • Veri: < Ipv4adresi >< DNS1 >< DNS2 >< DNS3 >< özel EKU OID >

    Veri Ayırıcılar "boşluk" veya "sekme" veya "yeni satır." olabilir. Örneğin, verileri de şu şekilde yapılandırılabilir:

    Veri: < Ipv4adresi >
    <DNS1>
    <DNS2>
    <DNS3>
    < özel EKU OID >

    EKU OID kullanılarak yapılandırılması özel "EKU:" önek biçimi aşağıda gösterildiği gibi:
    EKU: < EKU OID >


    Kayıt, birden fazla kayıt defteri adı içerebilir:
  • Kayıt adı: Bu, herhangi bir ad (örneğin, Tunnel2) olabilir.
  • Türü: REG_MULTI_SZ
  • Veri: < Ipv4adresi >< DNS4 >< DNS5 >< DNS6 >< özel EKU OID >
IP adresini tünel hedefinin adresidir ve ilk dizesi girişi olması gerekir.

Her girişin 10'dan fazla DNS adlarına sahip olabilir ve yalnızca bir özel EKU belirtilmiş.

Her giriş yapılandırılmış DNS adlarının sayısı 10'dur.


Not: Giriş boyutu 16.384 karakteri aşıyorsa, bu girişi sayılır. Bu IP adresi boyutu ve EKU boyutunu içerir.

Bir tünel hedefinin (örneğin, her IP) başına yalnızca bir EKU kabul edilebilir. Yinelemeli arama olur. Birden çok yapılandırılmış "IP" girişler varsa, bu IP adres girişi için ilk yapılandırılan EKU doğrulamasını kabul eder.

En büyük kayıt defteri yolu altında yapılandırılabilir tünelleri 1.024 sayısıdır.

Notlar
  • "IP" değerlerinin yapılandırılması gerekir. Yöneticiler, DNS veya EKU gereksinimlerine göre yapılandırabilirsiniz.
  • Yalnızca EKU yapılandırılmışsa, biz eş sertifikasında EKU doğrulamak ve izin vermek veya doğrulama sonucu üzerinde temel kimlik doğrulamasına izin verme.
  • Yalnızca DNS ad yapılandırılmışsa, biz yalnızca sertifikasında subjectAltName doğrulamak ve izin veya doğrulama sonucu üzerinde temel kimlik doğrulamasına izin verme.
  • Her ikisi de yapılandırılırsa, biz yalnızca EKU doğrulamak ve izin vermek veya doğrulaması temel kimlik doğrulamasına izin verme.

DNS yaklaşım:
  • Ad alanında, herhangi bir dize belirtebilirsiniz.
  • Sunucunuzda IPv6 adresi varsa, IPv4 adresi yerine aynı IPv6 adresi belirtebilirsiniz.
 Figure 4. IKEv1 Cert Based Registry settings - DNS approach

EKU yaklaşım:

Figure 5. IKEv1 Cert Based Registry settings – EKU approach

4.5: Windows 8 ve Windows 8.1

Kayıt defteri anahtarı yapılandırılmışsa doğrulamaları etkinleştirilir. Çeklerin bile herhangi bir kayıt defteri değerleri veya verileri olmadan anahtar ekleyerek zorlanır unutmayın.




4.5.1: KerbProxy AuthIP kullanılarak kimlik doğrulama:
  • Kayıt defteri anahtarı: HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters\IPsecTunnelConfig\AuthIP\kerberos
  • Kayıt defteri adı: Bu, herhangi bir dize (örneğin, Tunnel1) olabilir.
  • Türü: REG_MULTI_SZ
  • Veri: < Ipv4adresi veya Ipv6adresi >< SPN1 >< SPN2 >< SPN3 >

    Veri Ayırıcılar "boşluk" veya "sekme" veya "yeni satır." olabilir. Örneğin, verileri de şu şekilde yapılandırılabilir:

    Veri: < Ipv4adresi veya Ipv6adresi >
    <SPN1>
    <SPN2>
    <SPN3>

    Kayıt, birden fazla kayıt defteri adı içerebilir:
  • Kayıt defteri adı: Bu, herhangi bir dize (örneğin, Tunnel2) olabilir.
  • Türü: REG_MULTI_SZ
  • Veri: < Ipv4adresi veya Ipv6adresi >< SPN4 >< SPN5 >< SPN6 >
IP adresini tünel hedefinin adresidir ve ilk dizesi girişi olması gerekir.

SPN girdisi yapılandırılmış en fazla sayısı 10'dur.


Not: Giriş (IP adresi boyutu da dahil olmak üzere) boyutunu 16.384 karakteri aşıyorsa, bu girişi sayılır. En büyük kayıt defteri yolu altında yapılandırılabilir tünelleri 1.024 sayısıdır.

SPN yaklaşım:
  • Ad alanında, herhangi bir dize belirtebilirsiniz.
  • Sunucunuzda IPv6 adresi varsa, IPv4 adresi yerine aynı IPv6 adresi belirtebilirsiniz.
Figure 1: AuthIP KerbProxy Based Registry settings - SPN approach

5: sorun giderme

IPSec bağlantı hataları oluşursa, sorunu gidermek için şu adımları izleyin:
  1. Önceki bölümlerde açıklandığı gibi doğru yapılandırma gerçekleştirilir emin olun.
  2. Başarısızlık Başlatıcı veya Yanıtlayıcı atılan belirlemek için olay günlüklerini inceleyin.
  3. Windows 8 ve sonraki sürümlerinde Yanıtlayıcı tarafında herhangi bir değişiklik vardır. Bu nedenle, hata yalnızca başlatıcıdan olabilir. Bir hata oluşursa, IKE izleme günlüğüne aşağıdakine benzer bir ileti gösterilir:

    AuthIP eş SPN eşleşmedi SPN yapılandırılmış
  4. Windows 7 ve önceki sürümlerinde, başlatıcı ya da yanıtlayan hata oluşturulabilir.
Başlatıcı tarafı hataları varsa, aşağıdaki olaylar günlüğe kaydedilir.


Hata durumuBaşlatıcıYanıtlayıcı
IKEv1Bir IPSec ana mod anlaşması başarısız oldu.Bir IPSec ana mod güvenlik ilişkisi kurulmuştur. Genişletilmiş Mod etkin değil. Sertifika kimlik doğrulaması için kullanıldı.
Bir IPSec ana mod güvenlik ilişkisi sona erdi.
AuthIPBir IPSec ana mod anlaşması başarısız oldu.Bir IPSec ana mod anlaşması başarısız oldu.
Yanıtlayıcı tarafı hataları varsa, aşağıdaki olaylar kaydedilir:


Hata durumuBaşlatıcıYanıtlayıcı
IKEv1Bir IPSec ana mod güvenlik ilişkisi kurulmuştur. Genişletilmiş Mod etkin değil. Sertifika kimlik doğrulaması için kullanılanBir IPSec ana mod güvenlik ilişkisi kurulmuştur. Genişletilmiş Mod etkin değil. Sertifika kimlik doğrulaması için kullanıldı.
Bir IPSec hızlı mod anlaşması başarısız oldu.Bir IPSec ana mod güvenlik ilişkisi sona erdi.
Bir IPSec ana mod güvenlik ilişkisi sona erdi.Bir IPSec hızlı mod anlaşması başarısız oldu.
AuthIPBir IPSec ana mod anlaşması başarısız oldu.IPSec mod anlaşması başarısız genişletilmiş. İlgili ana mod güvenlik ilişkilendirmesi silindi.
IPSec mod anlaşması başarısız genişletilmiş. İlgili ana mod güvenlik ilişkilendirmesi silindi.

IKE izleme

  1. IKE etkinleştir izleme ve sorunu yeniden oluşturma.
  2. IKE Durdur izleme.
  3. C:\windows\system32 Ikeext.etl dosyasından Microsoft Destek ekibine paylaşın.
Hatalar varsa, IKE izlemeleri aşağıdaki günlükleri görüntüler.

EKU nedeniyle hata oluştu:
  • Eş sertifika özel, AUTHIP için yapılandırılmış EKU ile EKU eşleşmedi
  • Eş sertifika özel, IKE ile yapılandırılmış EKU EKU eşleşmedi
Bir hata yüzünden sertifikası:
  • DNS adını eşlenemiyor yapılandırılmış DNS adlarıyla IKE eş sertifika
  • AUTHIP eş sertifika ile yapılandırılmış DNS adlarını DNS ad eşleşmedi

Windows XP ve Windows Server 2003

Oakley Yardım oturumu IPSec ile ilgili hata nedenini belirlemek.

Komut isteminde, IPSec günlük kaydını etkinleştirmek için aşağıdaki komutu yazın ve Enter tuşuna basın:
Netsh IPsec dynamic set config 1 IKE günlüğe kaydetme
Sonra hata durumunu yeniden oluşturmak için aşağıdaki komutu yazın:
Netsh IPsec dynamic set config 0 IKE günlüğe kaydetme
Oakley günlüğünü, aşağıdaki klasörde oluşturulur:
C:\winodws\Debug
Hatalar varsa, IKE izlemeleri aşağıdaki günlükleri görüntüler.

EKU nedeniyle hata oluştu:
  • Özel EKU vermedi eş sertifika ile eşleşen değil EKU IKEv1 için yapılandırılmış.
Bir hata yüzünden sertifikası:
  • DNS adı IKEv1 için yapılandırılmış DNS adıyla eşleşmeyen sertifika eş
Not: İletide burada listelenen bilgileri "eşlenemiyor" kodda görünen tipografik bir hatadır.

Başvurular

IPSec hakkında daha fazla bilgi için aşağıdaki Microsoft Web sayfasına bakın:
CA hakkında daha fazla bilgi için bkz: Gelişmiş Dağıtım Kılavuzu Web sayfası:
Tek bir uzaktan erişim sunucusuna dağıtma hakkında daha fazla bilgi için aşağıdaki Microsoft Temel uzaktan erişim dağıtımı Web sayfasına gidin:
Siteden siteye VPN hakkında daha fazla bilgi için aşağıdaki Microsoft Test Laboratuvar Kılavuzu Web sayfasına gidin:

DOSYA BİLGİLERİ

Bu yazılım güncelleştirmesinin İngilizce (ABD) sürümü aşağıdaki tablolarda listelenen özniteliklere sahip dosyaları yükler. Bu dosyaların tarihleri ve saatleri Koordinatlı Evrensel Saat'te (UTC) listelenmiştir. Tarihleri ve saatleri bu dosyaların yerel bilgisayarınızda yerel saatinize ve geçerli gün ışığından yararlanma saati (DST) göre görüntülenir. Tarih ve saatler ayrıca dosyalarda belirli işlemleri gerçekleştirdiğinizde değişebilir.

Windows XP ve Windows Server 2003 dosya bilgileri
Windows Vista ve Windows Server 2008 dosya bilgileri
Windows 7 ve Windows Server 2008 R2 dosya bilgileri
Windows 8 ve Windows Server 2012 dosya bilgileri
8.1 Windows ve Windows Server 2012 R2 dosya bilgileri
Dosya karması bilgileri
Özellikler

Makale No: 2862152 - Son İnceleme: 24 Şub 2017 - Düzeltme: 1

Windows RT 8.1, Windows 8.1, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows RT, Windows 8, Windows 8 Enterprise, Windows 8 Pro, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Home Premium, Windows 7 Home Basic, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional Edition

Geri bildirim