Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

IPsec giải đáp thắc mắc trong Microsoft Windows 2000 Server

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:257225
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Để khắc phục vấn đề kết nối IPsec trong Microsoft Windows 2000, lần đầu tiên xác minh sự thành công của Internet Key Exchange (IKE) bảo mật đàm phán. Để thực hiện việc này, cho phép chính sách kiểm định và sau đó kiểm tra Nhật ký bảo mật. Tiếp theo, sử dụng công cụ dòng lệnh Netdiag.exe để hiển thị thông tin gỡ lỗi. Sau đó, tùy thuộc vào xem vấn đề xảy ra trong giai đoạn một hoặc trong giai đoạn hai, kiểm tra thuộc tính chính sách IPsec và IPsec quy tắc của bạn.

Sử dụng IP bảo mật Giám sát để xem thêm thông tin về các Hiệp hội IPsec và an ninh. Bạn cũng có thể sử dụng IP bảo mật Giám sát để xem thống kê IKE. Sử dụng mạng lưới giám sát để phân tích lưu lượng truy cập mạng và tình trạng của các giao thức khác nhau được sử dụng trong mạng của bạn. Bạn có thể sử dụng lệnh Netsh để gỡ rối các trường hợp mà IP offloading xảy ra trên các gói IPsec.

Bạn cũng có thể sử dụng các thông tin trong bài viết này để làm như sau:
  • Có được một đăng nhập Oakley
  • Hiểu nội dung của bản ghi sự kiện
  • Gỡ rối "xấu SPI" tin nhắn
  • Khởi động lại các đại lý chính sách
  • Xác minh sự tích hợp của các chính sách của bạn
GIỚI THIỆU
Bài viết này chứa hướng dẫn xử lý sự cố Internet Giao thức bảo mật (IPsec) kết nối vấn đề trong Microsoft Windows 2000. IPsec dựa trên giao thức Internet Key Exchange (IKE) để thiết lập bảo mật được chia sẻ tham số và phím xác thực giữa hai máy tính. Giao thức IKE sử dụng hai giai đoạn. Trong giai đoạn một, Windows 2000 sử dụng IKE Hiệp hội bảo mật và quản lý khóa Giao thức (ISAKMP) chế độ chính trao đổi. (Windows 2000 không hỗ trợ Aggressive Chế độ.) Khi trao đổi một trong những giai đoạn cung cấp một kênh bảo đảm, các máy tính có được một xác thực chính và một hiệp hội an ninh IKE. Điều này bảo đảm kênh được sử dụng trong giai đoạn hai để bảo vệ việc trao đổi chế độ nhanh. Nhanh chóng Trao đổi chế độ cung cấp các Hiệp hội bảo mật IPsec.

THÔNG TIN THÊM

Cơ bản giải đáp thắc mắc IPsec

Để khắc phục IPsec, trước tiên cho phép chính sách kiểm định, và sau đó xác minh kết quả của giai đoạn một và trao đổi hai giai đoạn. Khi bạn bật chính sách kiểm định, sự kiện bảo mật đăng nhập sổ ghi bảo mật. Bằng cách kiểm tra sổ ghi bảo mật, bạn có thể xác định liệu IKE an ninh Hiệp hội đàm phán là thành công. Để cho phép chính sách kiểm định, hãy làm theo các bước sau:
  1. Trong chính sách nhóm, mở rộng Máy tính cục bộ Chính sách.
  2. Xác định vị trí và sau đó nhấp vào Computer Configuration/Windows Cài đặt/Security Settings/Local chính sách/kiểm toán chính sách.
  3. Trong ngăn chi tiết, bấm chuột phải vào Đăng nhập kiểm toán sự kiện, và sau đó nhấp vào Bảo mật.
  4. Nhấn vào đây để chọn Thành công, nhấn vào đây để chọnThất bại, và sau đó nhấp vào Ok.
  5. Trong ngăn chi tiết, bấm chuột phải vào Đối tượng kiểm toán truy cập, và sau đó nhấp vào Bảo mật.
  6. Nhấn vào đây để chọn Thành công, nhấn vào đây để chọnThất bại, và sau đó nhấp vào Ok.
Chú ý Nếu bạn đang sử dụng một chính sách tên miền cho kiểm toán, chính sách tên miền sẽ ghi đè local của bạn chính sách.

Tiếp theo, gõ lệnh sau đây để sử dụng Netdiag.exe công cụ dòng lệnh:
netdiag /test:ipsec /debug
Lệnh này sẽ hiển thị thông tin gỡ lỗi về giai đoạn hai.

Chú ý Sử dụng Netdiag.exe, gói công cụ hỗ trợ Windows 2000 phải được cài đặt trên máy tính của bạn. Để cài đặt các công cụ hỗ trợ Windows 2000, làm theo các bước sau:
  1. Bắt đầu Windows 2000.

    Chú ý Bạn phải đăng nhập như một thành viên của nhóm người quản trị để cài đặt những công cụ này.
  2. Chèn Windows 2000 CD vào ổ đĩa CD của bạn.
  3. Nhấp vào Trình duyệt này CD, và sau đó mở các Support\Tools thư mục.
  4. Nhấp đúp vào Setup.exe, và sau đó làm theo các hướng dẫn mà xuất hiện trên màn hình.
Bạn cũng có thể sử dụng Netdiag.exe để xem chính sách mà không có một kết nối hoạt động. Để thực hiện việc này, gõ lệnh sau tại dấu nhắc lệnh, và sau đó nhấn ENTER:
netdiag /Test:IPSec/v
Lệnh này sẽ hiển thị chính sách hiện hành và thống kê IPsec với liên quan đến giai đoạn một.

Nếu các sự kiện đăng nhập chỉ ra rằng giai đoạn một trong những chính Chế độ trao đổi thất bại, xác minh cài đặt IKE và phương pháp xác thực IKE trong tài sản của bạn chính sách IPsec. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Nhấp vào Bắt đầu, bấm Chạy, loại secpol.msc, và sau đó nhấp vàoOk.
  2. Nhấp vào các quy tắc IPsec bạn muốn nhấp, nhấp chuột phải Quy tắc IPsec và sau đó nhấp vào Thuộc tính.
  3. Bấm vào các Tổng quát tab, và sau đó xác nhận rằng các thiết lập là đúng.
  4. Nhấp vào Nâng cao, kiểm tra các thiết đặt, bấm vào Phương pháp, và sau đó kiểm tra các thiết lập.
  5. Nhấp vào Ok hai lần.
  6. Nhấp vào Quy tắc tab, bấm vào Chỉnh sửa, và sau đó bấm vào các Phương pháp xác thực tab.
  7. Kiểm tra các cài đặt trên tab này.
Nếu các sự kiện đăng nhập chỉ ra rằng giai đoạn hai chế độ nhanh chóng thất bại, kiểm chứng phương pháp bảo mật IPsec trong các quy tắc IPsec và trong chính sách IPsec của bạn bất động sản. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Nhấp vào quy tắc IPsec bạn muốn xác minh, hãy nhấp vào Chỉnh sửa, và sau đó bấm vào các Lọc hành động tab.
  2. Bấm vào hành động lọc được kích hoạt, bấm vào Chỉnh sửa, và kiểm tra các thiết lập.

Sử dụng IP bảo mật Giám sát

Bạn có thể sử dụng IP bảo mật Monitor để giám sát các Hiệp hội bảo mật của bạn, Thống kê IPsec, và IKE thống kê. Đặc biệt, bạn có thể sử dụng IP bảo mật Giám sát để xác minh sự thành công của các Hiệp hội xác thực và an ninh. Để bắt đầu IP Security Monitor, bấm Bắt đầu, bấm Chạy, loại ipsecmon, và sau đó nhấp vào Ok.

Chú ý Theo mặc định, IP bảo mật màn hình hiển thị số liệu thống kê cho các địa phương máy tính. Chỉ rõ máy tính từ xa, nhấn vào đây Bắt đầu, bấm Chạy, loại ipsecmon computer_name, và sau đó nhấp vào Ok.

Các lower nhóm hộp trong hộp thoại IP an ninh màn hình hiển thị các Hiệp hội an ninh hoạt động và cấu hình chính sách hoạt động. Trái nhóm hộp thấp sẽ hiển thị các số liệu thống kê IPsec sau đây:
  • Hoạt động Hiệp hội
    Số lượng các Hiệp hội an ninh hoạt động.
  • Bí mật byte gửi
    Số lượng byte gửi bằng cách sử dụng giao thức bảo mật tải trọng an ninh Encapsulating (ESP) (thập phân ID 50).
  • Bí mật bai nhận
    Số byte nhận được bằng cách sử dụng giao thức bảo mật ESP.
  • Xác thực byte gửi
    Số lượng byte gửi với thuộc tính xác thực được kích hoạt.
  • Xác thực bai nhận
    Các Số bai nhận với thuộc tính xác thực được kích hoạt.
  • Các gói tin xấu SPI
    Số lượng các gói dữ liệu có chỉ số thông số an ninh (SPI) là không hợp lệ. Một tích cực đang có lẽ chỉ ra rằng Hiệp hội bảo mật đã quá hạn hoặc không còn hợp lệ.

    SPI là một giá trị nhận dạng duy nhất thuộc bảo mật Hiệp hội. Giá trị này cho phép máy tính nhận tin nhắn xác định bảo mật Hiệp hội để sử dụng để xử lý gói.
  • Các gói không giải mã
    Số lượng các gói trình điều khiển IPsec nhận tin nhắn không thể giải mã. Một số tích cực có thể chỉ ra một hoặc nhiều vấn đề sau:
    • Hiệp hội bảo mật đã hết hạn
    • Hiệp hội an ninh không còn hợp lệ
    • Xác thực không thành công
    • Kiểm tra tính toàn vẹn đã không thành công
  • Các gói không chứng thực
    Số gói đó không được chứng thực cho người lái xe IPsec. Một số tích cực có thể chỉ ra rằng Hiệp hội bảo mật đã hết hạn hoặc không còn hợp lệ. Trình điều khiển IPsec phải có các thông tin trong Hiệp hội bảo mật theo thứ tự để xử lý các gói.

    Một số tích cực có thể cũng chỉ ra rằng các hai máy tính có thiết đặt xác thực không tương thích. Xác minh rằng các phương thức xác thực là như nhau cho mỗi máy tính.
  • Phím bổ sung
    Số lượng phím đó cơ chế ISAKMP/Oakley gửi cho người lái xe IPsec. Một tích cực số cho thấy rằng ISAKMP giai đoạn hai an ninh hội đã thành công thương lượng.
Thống kê ISAKMP/Oakley được đặt trong ngăn cửa sổ bên phải thấp hơn. Các thấp hơn bên phải ngăn hiển thị các số liệu thống kê sau cho cơ chế bảo mật ISAKMP/Oakley:
  • Oakley chính chế độ
    Số lượng các Hiệp hội công an ninh đã được thành lập trong ISAKMP giai đoạn một. Một số tích cực chỉ ra rằng việc trao đổi thông tin quan trọng đã thành công. Danh tính đã được xác thực và vật liệu keying phổ biến đổi được thành lập.
  • Oakley nhanh chế độ
    Số lượng các Hiệp hội công an ninh đã được thành lập trong ISAKMP giai đoạn hai. Một số tích cực cho thấy rằng việc thương lượng để bảo vệ dịch vụ trong thời gian truyền dữ liệu đã thành công.
  • Hiệp hội mềm
    Số ISAKMP giai đoạn hai cuộc đàm phán dẫn đến máy tính đồng ý chỉ đến một truyền dữ liệu văn bản rõ ràng. Một chuyển giao dữ liệu rõ ràng văn bản liên quan đến việc không mật mã hoá hoặc việc đăng ký của các gói.
  • Xác thực thất bại
    Số lượng thời gian đó xác thực máy tính danh tính đã không thành công. Nếu số là tích cực, xác minh rằng các phương pháp xác thực thiết lập cho mỗi máy tính là tương thích. Một số tích cực có thể cũng cho thấy rằng bảo mật Hiệp hội đã hết hạn.
  • Cấu hình IPsecmon
    Một cấu hình tùy chọn cho phép bạn điều chỉnh lệ Cập Nhật dữ liệu.
IP Security Monitor cũng chỉ ra cho dù IP bảo mật được kích hoạt. Thông tin này là trong hộp bên phải thấp hơn nhóm của các IP Security Monitor hộp thoại. Đặt lại các thống kê trong IP Security Monitor, khởi động lại đại lý chính sách bảo mật IP bởi bằng cách sử dụng máy tính quản lý (Compmgmt.msc).

Sử dụng màn hình mạng

Bạn có thể sử dụng mạng lưới giám sát để phân tích sau đây:
  • Mạng lưới giao thông
  • Giao thức trao đổi IKE
  • Giao thức IPsec
  • Giao thức ESP
  • Xác thực Header (AH)

Việc thu thập một đăng nhập Oakley

Quan trọng Phần này, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để chỉnh sửa registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows


Các nhà phát triển và quản trị viên mạng lưới những người có IKE kiến thức tiên tiến có thể sửa đổi registry để có được một đăng nhập Oakley. Để làm này, sử dụng Registry Editor để xác định vị trí registry subkey sau. Nếu subkey không tồn tại, tạo ra nó.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Thêm một mục nhập giá trị REG_DWORD loại, đặt tên là "enablelogging." Mục nhập này cho một giá trị là 1. Khi cụm từ này có hiệu lực, một tập tin Oakley.log được tạo ra trong thư mục %systemroot%\Debug.

Chú ý Để bật tắt đăng nhập, cho các mục nhập EnableLogging một giá trị của 0.

Bằng cách sử dụng lệnh Netsh

Bạn có thể sử dụng lệnh Netsh để gỡ rối các trường hợp mà IP offloading xảy ra trên các gói IPsec. IP offloading xảy ra khi thẻ mạng thay vì CPU thực hiện chức năng IP. Ví dụ, IP offloading xảy ra khi thẻ mạng thực hiện kiểm tra tính toán hoặc thực hiện gói mã hóa và giải mã. IP offloading gây ra trình điều khiển IPsec để thả gói. Để xác định liệu một giao diện có thể thực hiện IP offloading, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm Chạy, loại CMD, và sau đó nhấp vào Ok.
  2. Tại dấu nhắc lệnh, gõ hiển thị ip Netsh int offload, và sau đó nhấn ENTER.
Lệnh này sẽ hiển thị các khả năng offloading của các giao diện. Tuy nhiên, lệnh không hiển thị các số liệu thống kê. Để xem thống kê, sử dụng IP bảo mật Monitor để giám sát bí mật bai nhận. Sử dụng các số liệu thống kê để xác định cho dù các gói dữ liệu bị mất hoặc đã nhận được.

Để vô hiệu hoá IP offloading, hãy làm theo các bước sau để sửa đổi registry:
  1. Nhấp vào Bắt đầu, bấm Chạy, loại regedit, và sau đó nhấp vàoOk.
  2. Định vị, rồi bấm chuột phải vào khoá con đăng ký sau:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
    Nếu các mục nhập EnableOffload không phải là hiện nay, thực hiện theo các bước sau để tạo mục:
    1. Nhấp chuột phải IPSEC, điểm đến Mới, và sau đó nhấp vào Giá trị DWORD.
    2. Loại EnableOffload để tên các giá trị mới, và sau đó nhấn ENTER.
    3. Bấm đúp EnableOffload.
    4. Loại 0, vaø sau ñoù baám NHẬP.
Nếu IP kết nối bạn đang gỡ rối đã thành công, vấn đề gây ra bởi IP offloading.

Bản ghi sự kiện

Các sự kiện sau đây có thể được đăng trong sổ ghi sự kiện an ninh:
  • Informational event 279Source: PolicyAgent Category: None
    Sự kiện này chỉ ra như sau:
    • Cho dù một chính sách IPsec có hiệu lực
    • Nguồn gốc của chính sách IPsec
    • Active Directory phiếu khoảng thời gian, nếu nguồn chính sách là một tên miền
    Ngoài ra, nếu một chính sách IPsec đã được thay đổi, các sự kiện văn bản bao gồm "Chính sách IPsec Updating."
  • Error event 284Source: PolicyAgent Category: None
    Sự kiện này chỉ ra rằng các đại lý IP chính sách bảo mật không thể liên lạc với các Active Directory cho vùng máy tính thuộc về.
  • Audit event 541Source: Security Category: Logon/Logoff
    Sự kiện này chỉ ra rằng có một hiệp hội cứng bảo mật IPsec được thành lập. Các Hiệp hội mềm an ninh không phải được kiểm toán.
  • Audit event 542Source: Security Category: Logon/Logoff
    Sự kiện này chỉ ra rằng một hiệp hội bảo mật IPsec đã kết thúc. Hiệp hội đã kết thúc bảo mật có thể được cứng hay mềm.
Các sự kiện sau đây có thể được đăng trong sổ ghi sự kiện ứng dụng. Sổ ghi sự kiện ứng dụng bao gồm các tin nhắn từ ISAKMP/Oakley. Sau đây sự kiện chỉ ra rằng một phiên bản nội địa của Windows 2000 đã cố gắng để thương lượng an ninh nhiều hơn so với một khách hàng xuất khẩu có thể hỗ trợ.
  • Warning event 541Source: Oakley Category: None
    Sự kiện này chỉ ra rằng khách hàng xuất khẩu không thể tạo ra sức mạnh trong nước trọng tài liệu. Việc đàm phán kết quả đồng ý chỉ trên sức mạnh xuất khẩu tài liệu quan trọng.
  • Warning event 542Source: Oakley Category: None
    Sự kiện này chỉ ra rằng khách hàng xuất khẩu không thể thực hiện mã hóa mạnh mẽ hơn hơn Data Encryption Standard (DES). Các kết quả đàm phán đồng ý chỉ về DES nếu máy tính khác có thể hỗ trợ DES.

Khắc phục sự cố chung

Giải đáp thắc mắc "xấu SPI" thư trong trình xem sự kiện

"Bad spi" thư đã đăng trong các trường hợp sau:
  • Nếu giá trị quan trọng đời đặt quá thấp
  • Nếu người gửi tiếp tục để truyền dữ liệu đến người nhận sau khi Hiệp hội bảo mật đã hết hạn
Khi bạn nhận được một hiệp hội an ninh mới, bạn phải bắt đầu truyền dữ liệu trên nó. Tuy nhiên, nếu bạn giao tiếp với một responder chậm hơn, responder chậm hơn có thể nhận được IPSed bảo vệ dữ liệu mà nó không công nhận. Responder sẽ xem xét một SPI rằng nó không công nhận một "xấu SPI." Để xác định vấn đề và để sửa chữa nó, sử dụng IP bảo mật Giám sát để kiểm tra số rekeys. Hãy xem xét bao lâu các kết nối đã hoạt động. Nếu số của rekeys là rất lớn, cấu hình dài hơn kiếp sống quan trọng trong chính sách. Các giá trị được chấp nhận cho các kết nối Ethernet cao lưu lượng truy cập nhiều hơn nữa hơn 50 megabyte và nhiều hơn năm phút.

Cấu hình còn các giá trị có thể không ngăn chặn tình trạng SPIs. Tuy nhiên, configuring dài hơn các giá trị có thể làm giảm đáng kể số lượng xấu SPIs. Thông thường, Windows 2000 Server ghi nhật ký sự kiện 4268 để chỉ ra rằng các gói bị bỏ đi vì của một xấu SPI.

Nếu IP bảo mật Giám sát chỉ ra rằng bảo đảm an ninh các Hiệp hội không được thành lập, các Hiệp hội an ninh toàn có thể ngăn chặn các Hiệp hội bảo đảm an ninh từ đang được thành lập.

Chú ý Một hiệp hội bảo đảm an ninh cũng được gọi là một khó khăn Hiệp hội an ninh. Hiệp hội an ninh toàn diện cũng là được biết đến như một mềm Hiệp hội an ninh.

Chạy IP Security Monitor trên một trong các máy tính ngang hàng. Nếu một hiệp hội bảo tồn tại, và bảo mật thiết lập là Không có, một hiệp hội an ninh toàn tồn tại. Một Hiệp hội an ninh toàn vẫn còn trên máy tính miễn là lưu lượng truy cập thường xuyên gửi. Để ngăn chặn tình trạng này, dừng tất cả lưu lượng truy cập đến bảo mật Hiệp hội thời gian. Thông thường, Hiệp hội an ninh lần trong năm phút. Sử dụng IP bảo mật Giám sát để đảm bảo rằng các Hiệp hội bảo mật là không còn được thành lập, và sau đó bắt đầu lưu lượng truy cập một lần nữa. Nếu các chính sách tương thích, một hiệp hội bảo đảm an ninh tự động lập. Khởi động lại các đại lý chính sách để xóa tất cả an toàn các Hiệp hội.

Nếu tập tin được yêu cầu cho các thành phần IPsec có được gỡ bỏ hoặc xóa, cài đặt lại các thành phần IPsec bằng cách loại bỏ và sau đó cài đặt lại giao thức mạng TCP/IP. Tác phẩm đó có yêu cầu các thành phần IPsec bao gồm:
  • ISAKMP/Oakley
  • Đại lý chính sách IPsec
  • Trình điều khiển IPsec
Các thành phần IPsec có cài đặt lại khi bạn cài đặt lại TCP/IP.

IPsec đàm phán có thể thất bại vì của không tương thích IPsec thiết đặt chính sách. Kiểm tra Nhật ký sự kiện an ninh trên mỗi máy tính mà tham gia vào đàm phán một. Sự kiện gần đây có thể ghi lại những nỗ lực để thực hiện một Oakley đàm phán. Các sự kiện có thể bao gồm một mô tả của sự thành công hay các sự thất bại.

Xác minh sự tích hợp của chính sách trên mỗi máy tính. Để xác định nguyên nhân của một chính sách không phù hợp, hãy làm theo các bước sau:
  1. Hãy chắc chắn rằng phương pháp xác thực tương thích.
  2. Hãy chắc chắn rằng phương pháp ít nhất một bảo mật tương thích một cách chính xác cấu hình.
  3. Nếu bạn sử dụng IPsec đường hầm, chắc chắn rằng đường hầm thiết đặt điểm cuối là chính xác. Cũng đảm bảo rằng các máy tính điểm cuối là hoạt động đúng.

    Lưu ý các thiết đặt điểm cuối đường hầm bao gồm thiết đặt cho ISAKMP/Oakley, các đại lý chính sách IPsec và IPsec trình điều khiển.
Nếu "Vị trí chính sách IPsec sai" xuất hiện trong sổ ghi sự kiện, kiểm tra những dòng cuối cùng trong Nhật ký đại lý chính sách. Nhật ký có thể cho thấy các vị trí của chính sách đã được sử dụng. Nếu vị trí chính sách không đăng nhập, làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm Chạy, loại CMD, và sau đó nhấp vào Ok.
  2. Gõ lệnh sau đây, sau đó nhấn ENTER:
    FINDSTR %SystemRoot%\ipsecpa.log
    Chú ý Lệnh này là chữ.
Nhật ký chỉ ra cho dù thiết đặt chính sách nhóm hoặc địa phương thiết đặt chính sách máy tính được sử dụng.

Khởi động lại các đại lý chính sách

Khi bạn khởi động lại các đại lý chính sách, bạn loại bỏ cũ hoặc toàn các Hiệp hội an ninh. Khởi động lại các đại lý chính sách nếu IP bảo mật Giám sát không hiển thị bất kỳ cuộc đàm phán an ninh. Cũng khởi động lại các đại lý chính sách nếu bạn muốn một chính sách từ các tên miền hoặc tải về từ các cửa hàng sách.

Xác nhận các chính sách toàn vẹn

Hoạt động thư mục giả định rằng những thay đổi gần đây nhất là hiện tại. Tuy nhiên, nếu nhiều quản trị viên cố gắng để thay đổi một chính sách cùng một lúc, các liên kết giữa các thành phần chính sách có thể phá vỡ. Một kiểm tra tính toàn vẹn chính sách giải quyết vấn đề này bằng xác minh các liên kết trong tất cả các chính sách IPsec. Chạy một kiểm tra tính toàn vẹn sau khi bất kỳ sửa đổi được thực hiện một chính sách. Để kiểm tra IPsec chính sách toàn vẹn, làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm Chạy, loại secpol.msc và sau đó nhấp vào Ok
  2. Nhấp chuột phải Các chính sách bảo mật IP trên các địa phương Máy, điểm đến Tất cả các nhiệm vụ, và sau đó nhấp vàoKiểm tra chính sách toàn vẹn.

Xem xét các IPsec trình điều khiển và chính sách đại lý đăng ký đặt

Cài đặt trình điều khiển IPsec được đặt tại đây registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
Bạn có thể sửa đổi các giá trị của các mục sau đây:
  • SAIdleTime

    Mục nhập này REG_DWORD cấu hình các Hiệp hội an ninh bộ đếm thời gian nhàn rỗi. Giá trị mặc định là 300 giây. Bạn có thể chỉ định một giá trị của 300 để 3600 giây.
  • CacheSize

    Mục nhập này REG_DWORD cấu hình IP Kích thước bộ nhớ cache dựa trên tiêu đề. Giá trị mặc định là 64 KB. Bạn có thể chỉ định một giá trị của 64 để 1024 KB.
  • SAHashSize

    Mục nhập này REG_DWORD cấu hình các Kích thước của SPI. Nó cũng cấu hình bảng điểm đến cho an ninh trong nước các Hiệp hội. Giá trị mặc định là 64 KB. Bạn có thể chỉ định một giá trị của 64 để 1024 KB.
Các thiết đặt cho các đại lý chính sách được đặt tại đây registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Bạn có thể sửa đổi các giá trị của các mục sau đây:
  • Gỡ lỗi

    Kiểu dữ liệu là REG_DWORD. Mặc định giá trị là 0. Một giá trị của 1 lượt về khai thác gỗ. Khi đăng nhập được bật, các tập tin Ipsecpa.log được tạo ra trong thư mục root%\Debug hệ thống %.
  • Đăng nhập

    Kiểu dữ liệu là REG_SZ. Mục nhập này xác định tên tệp nhật ký để mở khi các Gỡ lỗi mục nhập được thiết lập để 1.
Tài liệu tham khảo chính sách IPsec toàn cầu được đặt tại đây sổ đăng ký subkeys:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\ {GUID} Machine\Software\Policies\Microsoft\Windows\IPsec\GPTIPSECPolicy
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\GroupPolicyObjects\ {GUID} Machine\System\CurrentControlSet\Services\PolicyAgent\Policy\GPTIPSECPolicy
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IPsec\GPTIPSECPolicy
THAM KHẢO
231585 Tổng quan về an toàn IP giao tiếp với IPsec trong Windows 2000
Để biết thêm thông tin về lớp 2 Tunneling Protocol (L2TP) / IPsec connections, bấm số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
248750Mô tả về chính sách IPSec tạo cho L2TP/IPSec
Cấu hình bảo mật hiệu chỉnh thất bại cài đặt không hợp lệ bộ tài khoản của dấu nhắc SA tiện ích

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 257225 - Xem lại Lần cuối: 12/05/2015 19:05:22 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbinfo kbipsec kbnetwork kbtshoot kbmt KB257225 KbMtvi
Phản hồi