Устранение неполадок
Устранение неполадок при согласовании IKE
Служба IKE работает в составе службы агента политики IPSec (IPSec Policy Agent). Убедитесь, что эта служба запущена. Также убедитесь, что выполняется аудит успешных и неудачных событий с помощью политики Аудит входа в систему (Audit Logon Events). В журнале безопасности будут регистрироваться события, относящиеся к службе IKE, в которых также будет предоставлены пояснения о причинах невыполненных согласований.
Сброс состояния IKE: Перезапуск службы агента политики IPSec
Для выполнения сброса состояния согласования IKE необходимо остановить и запустить службу агента политики. Из командной строки, пользователем с правами локального администратора, выполните следующие команды:
net stop policyagent net start policyagent
Повторите Ваши шаги для защиты трафика.
Внимание
Когда Вы остановите службу агента политики IPSec, все действующие IPSec фильтры будут деактивированы. Активные VPN-туннели не будут больше защищены посредством IPSec. Если у Вас также запущены службы маршрутизации и удаленного доступа (Routing or Remote Access) или у Вас имеются активные входящие подключения VPN, то Вы должны остановить службу маршрутизации и удаленного доступа, выполнив команду net stоp remoteaccess, и повторно запустить ее, выполнив команду net start remoteaccess после перезапуска службы агента политики IPSec.
Использование журнала событий безопасности для поиска ошибок IKE
Записи в журнале безопасности содержат описания причин неуспешных согласований IKE. Используйте эти записи журнала для определения того, какое из согласований не выполнено и почему. Вы должны разрешить аудит, используя процедуру, описанную в начале данного руководства.
Использование анализатора пакетов (Sniffer)
Если ничто из вышеперечисленного Вам так и не помогло, а Вы, к сожалению, так и не прочитали раздел "Понимание IKE-согласования (для опытных пользователей)", то сделаете следующее.
Для более подробного исследования пакетов, перехваченных в процессе обмена, используйте анализатор пакетов, например, Сетевой монитор (Microsoft Network Monitor). Помните, что основное содержимое пакетов зашифровано вследствие согласования IKE и не может быть интерпретировано анализатором пакетов. Хотя, может быть, придется проанализировать весь трафик, отправленный компьютером, чтобы убедиться, что Вы видите именно то, что рассчитывали увидеть. Ограниченная версия Microsoft Network Monitor входит в состав Windows 2000 Server, учтите, что этот инструмент и не установлен по умолчанию. Для его установки в Панели управления (Control Panel) откройте Установка и удаление программ (Add or Remove Programs), перейдите в раздел Добавление и удаление компонентов Windows (Add/Remove Windows Components) в диалоговом окне Мастер компонентов Windows (Windows Components Wizard), выберите Средства управления и наблюдения (Management and Monitoring Tools), нажмите Состав (Details) и выберите Средства сетевого монитора (Network Monitor Tools).
Использование трассировки отладки IKE (для квалифицированных пользователей)
Журнал событий безопасности – лучшее средство для определения причин отказа согласования IKE. Однако для специалистов в области протокола согласования IKE может быть полезна опция трассировки отладки согласования IKE, которая активируется специальным ключом реестра. Регистрация событий, относящихся к трассировке отладки, по умолчанию отключена. Для активирования регистрации событий отладки Вы должны остановить и повторно запустить службу агента политики IPSec.
Чтобы активировать регистрацию событий отладки IKE
После перезапуска службы агента политики новый файл журнала по умолчанию будет записан вwindir\debug\oakley.log, а в файле oakley.log.sav будет сохранена предыдущая версия журнала.
Размер журнала ограничен 50000 записями, что обычно соответствует файлу размером не более 6 Мб.