通信不被保护 原因:保护通信安全的 IPSec 安全关联 (SA)(也称为硬 SA)尚未建立。
解决方案:这可能是由于筛选器列表配置错误或允许与不支持 IPSec 的计算机进行不安全的通讯所造成。根据规则、筛选器列表与筛选器操作设置,检查为两个 IPSec 对等指派的策略,并确定 IPSec 是否要求保护通信。应进行检查并确定是否启用了相应的筛选器操作的“安全措施”选项卡上的“允许和不支持 IPSec 的计算机进行不安全的通讯”选项。同时应使用审核日志确定协商失败的原因。
IPSec SA 协商失败 原因:保护通信安全的 IPSec 安全关联 (SA)(也称为硬 SA)尚未建立。如果允许与不支持 IPSec 的计算机进行不安全的通讯,则协商会失败。
在两个 IPSec 对等机上使用默认策略并且其中一方或双方都不是 Active Directory 域的成员时,两台支持 IPSec 的计算机之间的协商通常会失败。运行 Windows XP Home Edition 的计算机不支持 Active Directory 域成员资格或 Kerberos V5 身份验证方法。默认策略使用 Kerberos V5 验证方法,该方法对于非 Active Directory 域成员无效。
解决方案:两台支持 IPSec 的计算机间的协商失败通常是由于密钥交换方法、身份验证方法或安全措施不匹配所造成。请检查为两个 IPSec 对等指派的策略,并根据高级设置、规则、筛选器列表与筛选器操作设置,确定 IPSec 是否在保护通信。如果是,请确定是否存在阻碍硬 SA 成功协商的不匹配的密钥交换方法、身份验证方法或安全措施。同时应使用审核日志确定协商失败的原因。
使用证书进行身份验证时 IPSec SA 协商失败 原因:IPSec 对等未安装正确的计算机证书。
解决方案:在 Ipsec 对等上安装正确的计算机证书。
原因:在身份验证方法中选择了不正确的证书颁发机构 (CA)。
解决方案:对于每个 IPSec 对等的规则,应选择安装在另一个 IPSec 对等上的已颁发了计算机证书的 CA。
原因: 从颁发证书的 CA 到根 CA 的证书链中断。
解决方案: 沿着有效证书链向上,将计算机证书安装在每一台 IPSec 对等机上,一直到受信任的根 CA。
原因: IPSec 对等机的一方或双方的计算机证书已经过期。
解决方案: 在每一台 IPSec 对等机上安装当前计算机证书。
某些计算机无法与安全计算机进行通讯 原因:安全计算机正在使用需要客户端计算机来启动安全通讯的锁定策略。无法通信的计算机未配置有启动安全通讯的规则。
解决方案:或者是允许在安全服务器上进行不安全的传入连接请求,或者是为无法通信的计算机配置其他规则,使其能够启动与安全计算机的安全通信。 原因:客户端计算机不支持 IPSec,而安全计算机不允许进行不安全的通讯。
解决方案:或是安装支持 IPSec 的客户端计算机;或是重新配置安全计算机,以允许与不支持 IPSec 的计算机进行通讯。
原因:有些计算机配置的策略中的密钥交换、身份验证方法或安全措施与为安全计算机配置的策略不匹配。
解决方案:请检查为两个 IPSec 对等指派的策略,并根据高级设置、规则、筛选器列表与筛选器操作设置,确定 IPSec 是否在保护通信。如果是,请确定是否存在阻碍成功 SA 协商的不匹配的密钥交换、身份验证方法或安全措施。同时应使用审核日志确定协商失败的原因。
本地计算机 IPSec 策略未使用 原因:该计算机是 Active Directory 域的成员,并且正在接收基于 Active Directory 的 IPSec 策略。
解决方案:所有域成员都接收基于 Active Directory 的 IPSec 策略,该策略将覆盖本地 IPSec 策略设置。要防止出现这种情况,应从该域删除该计算机。 原因:未启动 IPSec 服务。
解决方案:启动或重新启动 IPSec 服务。
无法指派或不指派 IP 安全策略 原因:当 IP 安全策略用于 Active Directory 时,无法指派或不指派策略。
解决方案:要指派基于 Active Directory 的策略,请使用组策略内的“IP 安全策略”。
需要 3DES 时正使用 DES 原因:该IPSec 对等机是一台运行 Windows 2000 且未安装 Windows 2000 高度加密包或 Windows 2000 Service Pack 2(或更高版本)的计算机。
解决方案:在运行 Windows 2000 的计算机上安装 Windows 2000 高度加密包或 Windows 2000 Service Pack 2(或更高版本)。
不安全通信正被发送给安全服务器 原因:客户端计算机正在使用默认响应规则。
解决方案:使用默认响应规则配置客户端计算机时,它会在启动通信或在导致快速模式 SA 与动态筛选器列表超时的延迟之后重新启动通信时,发送不安全的数据包。为防止出现这种情况,应为总是启动与安全服务器的安全通讯的客户端计算机配置其他规则。
事件查看器正在显示有关 IPSec 的错误消息 原因:这可能是 IPSec 策略代理或 Oakley 服务出现问题。
解决方案:查看系统与安全事件日志,以获取可帮助确定问题根源的消息。
显示策略位置错误消息 原因:如果 IPSec 策略代理正试图从不正确的存储位置检索策略,则会出现这种错误。
解决方案:检查事件查看器中的“IPSec 策略代理”事件与“IPSec 策略代理”日志,以获取指明正从何处检索策略的消息(本地注册表或域)。如果将 HKLMSOFTWAREPoliciesMicrosoftWindowsIPSecGPTIPSecPolicyDSIPSecPolicyFlags 设置为 1,则会从 Active Directory 获取 IPSec 策略。否则,从注册表获取该策略。本地计算机警告用户,域策略在启动时即生效。如果假定该策略是基于 Active Directory 的策略,但无法获取,则可删除 HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory,然后重新启动计算机。
事件查看器正在显示“错误 SPI”错误消息 原因:如果密钥的生存期值设置太低,或者 SA 已到期但发送方继续将数据传输给接收方,则可能发生此错误。
解决方案:要确定并纠正此问题,请使用 IPSec 安全监视器检查重生成密钥数。如果与连接保持活动的时间量相比重生成密钥数非常大,则可将策略中的密钥生存期设置得更长。对于通信频繁的以太网连接,较理想的值是同时大于 50 MB 和 5 分钟。当一个 IPSec 对等上已删除 SA,而另一个 IPSec 对等在该 SA 上发送安全通信时,通常会记录此事件。这通常是繁忙或进行自我修复的系统上发生的一种临时情况。
IP 安全监视器显示错误消息“IPSec 服务器不可用或与 IPSec 监视器不兼容” 原因:您正使用“IP 安全监视器”控制台监视运行 Windows 2000 的计算机上的 IPSec。
解决方案:“IP 安全监视器”控制台只能用来监视运行 Windows XP 或 Windows Server 2003 操作系统的计算机上的 IPSec。要监视运行 Windows 2000 的计算机上的 IPSec,请在正被监视的计算机上的 Windows 2000 命令提示符下使用 IPSecmon 命令。
--(编辑:
一笔 / ChinaITLab.com) 或
