三大舉措迅速處理Win2003中IPsec故障

    用戶使用IPsec通常是用來(lái)保護(hù)局域網(wǎng)內(nèi)的通信安全，但是有時(shí)候用戶不知道該怎么來(lái)確定網(wǎng)絡(luò)通信受到確切的保護(hù)，所以這里就來(lái)教教用戶如何來(lái)診斷IPsec，確保通信安全。

　　1. 檢查IPsec是否在運(yùn)行

　　即使你已經(jīng)成功地部署了IPsec，還是會(huì)有很多地方出現(xiàn)問(wèn)題。當(dāng)你為Windows Server 2003或Windows XP機(jī)器上一般網(wǎng)絡(luò)連接丟失而苦惱時(shí)，操作系統(tǒng)保證會(huì)讓你知道出問(wèn)題了。遺憾的是，沒(méi)有類似的方法能讓你始終了解IPsec的狀態(tài)。依靠IPsec部署，當(dāng)你有問(wèn)題時(shí)，要么釋放所有的網(wǎng)絡(luò)連接，要么——可能性更大，并且更隱秘的是——網(wǎng)絡(luò)通信得以繼續(xù)，但是不再加密。想象一下當(dāng)你相信自己受到保護(hù)，卻發(fā)現(xiàn)你的網(wǎng)絡(luò)通信根本不安全時(shí)會(huì)是多么震驚。

　　檢查IPsec是否在運(yùn)行的最快捷的方法是使用網(wǎng)絡(luò)監(jiān)視器捕捉進(jìn)出你的計(jì)算機(jī)的數(shù)據(jù)包，并檢查它們是否被加密。網(wǎng)絡(luò)監(jiān)視器是隨Windows Server 2003一起提供的，你可以通過(guò)打開(kāi)“控制面板”*“添加或刪除程序”，添加/刪除Windows組件來(lái)安裝它。安裝完之后，你可以從“捕獲”菜單選擇“開(kāi)始”來(lái)開(kāi)始包捕捉。然后，要制造一些網(wǎng)絡(luò)行為，生成一些數(shù)據(jù)，執(zhí)行諸如瀏覽另一臺(tái)計(jì)算機(jī)上的一個(gè)共享文件夾的普通動(dòng)作。最后，在“捕獲”菜單下選擇“停止并查看”。

　　圖1顯示了兩個(gè)包捕捉的結(jié)果。左邊是當(dāng)計(jì)算機(jī)未配置使用IPsec時(shí)執(zhí)行的包捕捉，你會(huì)看到在協(xié)議列中列出了多種協(xié)議。右邊是在計(jì)算機(jī)配置使用IPsec時(shí)執(zhí)行的包捕捉，你會(huì)看到只列出了一個(gè)協(xié)議：封裝安全負(fù)載(Encapsulating Security Payload，ESP)協(xié)議。當(dāng)一臺(tái)Windows Server 2003計(jì)算機(jī)被配置為使用默認(rèn)的IPsec策略時(shí)，只有ESP和因特網(wǎng)控制消息協(xié)議(Internet Control Message Protocol，ICMP)會(huì)出現(xiàn)在包捕捉中。因特網(wǎng)控制消息協(xié)議會(huì)出現(xiàn)是因?yàn)槟�認(rèn)的IPsec策略允許ICMP通信。所以，如果在你捕捉網(wǎng)絡(luò)通信時(shí)看到多種協(xié)議，你就有理由認(rèn)為IPsec沒(méi)有正常工作。

　　幾乎所有IPsec問(wèn)題的發(fā)生都是因?yàn)镮nternet密鑰交換(Internet Key Exchange，IKE)階段的驗(yàn)證困難。當(dāng)兩臺(tái)計(jì)算機(jī)試圖建立一個(gè)安全關(guān)聯(lián)(security association,SA)時(shí),它們要經(jīng)歷一個(gè)對(duì)彼此的身份進(jìn)行驗(yàn)證的過(guò)程。IKE是協(xié)商建立安全關(guān)聯(lián)的算法。身份驗(yàn)證基于預(yù)共享密鑰、數(shù)字證書或Kerberos。默認(rèn)的Windows Server 2003 IPsec策略使用Kerberos。在大多數(shù)實(shí)例中，對(duì)IPsec進(jìn)行故障排除意味著排除驗(yàn)證過(guò)程的故障。

　　2.重新啟動(dòng)IPsec服務(wù)

　　你一旦確定IPsec未運(yùn)行，應(yīng)該首先嘗試重新啟動(dòng)IPsec服務(wù)。重新啟動(dòng)IPsec服務(wù)會(huì)完全清除IKE協(xié)商狀態(tài)。當(dāng)策略發(fā)生重大變化以后IPsec變得不起作用時(shí)，這種方法通常能夠使它重新發(fā)揮作用。這一方案的兩個(gè)優(yōu)勢(shì)在于它無(wú)需重新啟動(dòng)服務(wù)器，并且實(shí)施起來(lái)耗時(shí)很少。你可以通過(guò)在Windows Server 2003計(jì)算機(jī)的命令提示符中運(yùn)行如下的Net命令重新啟動(dòng)IPsec服務(wù)：

　　現(xiàn)在，再次執(zhí)行網(wǎng)絡(luò)包捕捉測(cè)試，或者運(yùn)行我在后面將要談到的Netsh命令進(jìn)行測(cè)試。

　　3. 在事件日志中診斷IKE問(wèn)題

　　如果重新啟動(dòng)IPsec不能解決問(wèn)題，你可以轉(zhuǎn)而檢查安全事件日志。創(chuàng)建和刪除安全關(guān)聯(lián)的行為被審核為網(wǎng)絡(luò)登錄事件。如果你在審核登錄事件策略中啟用了對(duì)成功和失敗的審核，這些事件就會(huì)被寫入日志。當(dāng)一切都正常運(yùn)行時(shí)，出現(xiàn)的成功代碼是541、542和543。但是，本文討論IPsec未運(yùn)行時(shí)你該怎么辦，所以在我們的實(shí)例中，需要特別關(guān)注失敗代碼。圖2顯示了失敗事件547。

　　安全關(guān)聯(lián)事件日志的一個(gè)問(wèn)題是該事件會(huì)很快充滿你的日志。如果你專門審核登錄事件，但又不想你的安全事件日志被IKE項(xiàng)充滿，可以通過(guò)創(chuàng)建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\DisableIKE Audits”子鍵，并將其鍵值設(shè)置為1來(lái)禁止IKE審核。

　　對(duì)平常使用電腦的用戶來(lái)說(shuō)，IPsec可能對(duì)他們沒(méi)什么多大的意義，但是對(duì)于一個(gè)公司或一個(gè)網(wǎng)管來(lái)說(shuō)，IPsec是一個(gè)很重要的技術(shù)功能，能夠確切地保護(hù)局域網(wǎng)內(nèi)的通信安全，不被竊聽(tīng)。