Иллюстрированный самоучитель по настройке Windows 2000/2003

Устранение неполадок

Устранение неполадок при согласовании IKE

Служба IKE работает в составе службы агента политики IPSec (IPSec Policy Agent). Убедитесь, что эта служба запущена. Также убедитесь, что выполняется аудит успешных и неудачных событий с помощью политики Аудит входа в систему (Audit Logon Events). В журнале безопасности будут регистрироваться события, относящиеся к службе IKE, в которых также будет предоставлены пояснения о причинах невыполненных согласований.

Сброс состояния IKE: Перезапуск службы агента политики IPSec

Для выполнения сброса состояния согласования IKE необходимо остановить и запустить службу агента политики. Из командной строки, пользователем с правами локального администратора, выполните следующие команды:

net stop policyagent net start policyagent

Повторите Ваши шаги для защиты трафика.

Внимание
Когда Вы остановите службу агента политики IPSec, все действующие IPSec фильтры будут деактивированы. Активные VPN-туннели не будут больше защищены посредством IPSec. Если у Вас также запущены службы маршрутизации и удаленного доступа (Routing or Remote Access) или у Вас имеются активные входящие подключения VPN, то Вы должны остановить службу маршрутизации и удаленного доступа, выполнив команду net stоp remoteaccess, и повторно запустить ее, выполнив команду net start remoteaccess после перезапуска службы агента политики IPSec
.

Использование журнала событий безопасности для поиска ошибок IKE

Записи в журнале безопасности содержат описания причин неуспешных согласований IKE. Используйте эти записи журнала для определения того, какое из согласований не выполнено и почему. Вы должны разрешить аудит, используя процедуру, описанную в начале данного руководства.

Использование анализатора пакетов (Sniffer)

Если ничто из вышеперечисленного Вам так и не помогло, а Вы, к сожалению, так и не прочитали раздел "Понимание IKE-согласования (для опытных пользователей)", то сделаете следующее.

Для более подробного исследования пакетов, перехваченных в процессе обмена, используйте анализатор пакетов, например, Сетевой монитор (Microsoft Network Monitor). Помните, что основное содержимое пакетов зашифровано вследствие согласования IKE и не может быть интерпретировано анализатором пакетов. Хотя, может быть, придется проанализировать весь трафик, отправленный компьютером, чтобы убедиться, что Вы видите именно то, что рассчитывали увидеть. Ограниченная версия Microsoft Network Monitor входит в состав Windows 2000 Server, учтите, что этот инструмент и не установлен по умолчанию. Для его установки в Панели управления (Control Panel) откройте Установка и удаление программ (Add or Remove Programs), перейдите в раздел Добавление и удаление компонентов Windows (Add/Remove Windows Components) в диалоговом окне Мастер компонентов Windows (Windows Components Wizard), выберите Средства управления и наблюдения (Management and Monitoring Tools), нажмите Состав (Details) и выберите Средства сетевого монитора (Network Monitor Tools).

Использование трассировки отладки IKE (для квалифицированных пользователей)

Журнал событий безопасности – лучшее средство для определения причин отказа согласования IKE. Однако для специалистов в области протокола согласования IKE может быть полезна опция трассировки отладки согласования IKE, которая активируется специальным ключом реестра. Регистрация событий, относящихся к трассировке отладки, по умолчанию отключена. Для активирования регистрации событий отладки Вы должны остановить и повторно запустить службу агента политики IPSec.

Чтобы активировать регистрацию событий отладки IKE

После перезапуска службы агента политики новый файл журнала по умолчанию будет записан вwindir\debug\oakley.log, а в файле oakley.log.sav будет сохранена предыдущая версия журнала.

Размер журнала ограничен 50000 записями, что обычно соответствует файлу размером не более 6 Мб.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.