IPSec的监视和故障排除.doc

IPSec的监视和故障排除 本章概述 本章帮助学员安装、配置网络访问服务器（NPS）服务角色并进行故障排除。 教学目标： 监视IPSec活动 IPSec故障排除 教学重点： 监视IPSec活动 IPSec故障排除 教学难点： 监视IPSec活动 IPSec故障排除 教学资源： 课本 知识点 1监视 IPSec 活动 2 IPSec 故障排除 实验 课件 电子课件、实验报告、实验答案 建议学时数 课堂教学课时+实验教学课时IP 安全监视 可以使用IP安全监视管理单元查看和监视IPSec相关统计以及应用到计算机的IPSec策略。该信息可以帮助用户对IPSec进行故障排除并测试创建的策略。 只有在 Windows XP 或更晚一些的 Windows中才可以使用该管理单元。 要启用IPSec远程监视，必须修改注册表中的一个键值并重启希望监视的计算机上的IPSec服务。 IPSecmon “IPSecmon”命令是提供给Windows 2000 IPSec 故障排除基本工具。此工具允许你监视 IPSec 会话。然而，此工具并不提供与 IP 安全监视器同等级别的统计。 具有高级安全性Windows 防火墙的管理单元的监视节点 此节点列出了所有被启用的连接安全规则以及关于其设置的详细信息。使用 Microsoft 管理控制台（MMC，Microsoft Management Console）节点监视的信息包括： 身份验证 密钥交换 数据完整性 加密 然后使用此信息形成安全关联（SA，security association），SA 定义了用来保护从发送者到接收者的通信的安全。 Netsh 此选项可启用对主模式协商和快速模式协商的非常详细的跟踪（IKE 跟踪）。大部分时候应该能够从事件查看器报告的信息中确认错误。 在事件查看器的数据不充分，不足以识别出错误的情况下，可使用下列“Netsh”命令“netsh IPSec dynamic set config ikelogging”启用 IKE 在 Windows XP 和 Windows 2000 中，通过注册表启用 IKE 跟踪。 “ikelogging”文件可在“systemroot\Debug\Oakley.log”中找到。 帮助主题：监视IPSec IPSec 故障排除工具：/fwlink/?LinkId=102233clcid=0x409 使用 IP 安全监视器来监视 IPSec 更改默认设置 可以更改 IP 安全监视器默认设置，例如自动刷新和DNS名称解析。例如，可以指定 IPSec 数据刷新之间的时间间隔。 此外，可为正在监视的 IP 地址启用 DNS 名称解析。注意，启用 DNS 时需要考虑一些问题。例如，它只用于快速模式的特定筛选器视图以及用于快速模式监视和主模式监视的安全关联视图中。如果视图中有多个项需要名称解析，可能会影响服务器性能。 最后，DNS 记录需要 DNS 中的有正确的指针记录（PTR，proper Pointer Record）。 添加要监视的计算机 可从一个控制台远程监视计算机，但是必须修改注册表密钥以使远程系统接受控制台连接。将“EnableRemoteMgmt”注册表密钥设置为“1”可防止远程管理计算机时发生“IPSec 0”）来禁用此功能：HKLM\system\currentcontrolset\services\policyagent。 获得关于活动策略的信息 可在 IP 安全监视 MMC 的活动策略节点中获得关于当前 IP 安全策略的基本信息。 这对于故障排除期间确认应用到服务器的策略非常有用。在确定现有的当前策略时，诸如策略位置和策略最后一次修改的时间之类的信息可提供关键细节。此外，使用下列命令确认已安装策略：netsh IPSec static show gpoassignedpolicy。 主模式 IKE 和快速模式 IKE 主模式 IKE 是两台计算机之间建立的初始 SA。这可以协商两台主机之间的一组加密保护套件。此初始 SA 允许在受保护环境下发生快速模式密钥交换。主模式会话也称为 Internet 安全关联和密钥管理协议（ISAKMP，Internet Security Association and Key Management Protocol）SA。主模式为 IPSec 策略所需的其他交换密钥建立安全环境。 快速模式 IKE 取决于主模式IKE 的成功建立。快速模式 IKE 也称为第 2 阶段 IKE。此过程基于策略指定的信息来建立密钥。快速模式也建立安全关联，称为 IPSec SA。此外，快速模式为策略中指定的实际应用程序 IP 数据建立安全传输信道。 参考资料 帮助主题：监视