Windows2003下(IPSec)疑问解答

【编者按】：网学网其他类别为您提供Windows2003下(IPSec)疑问解答参考，解决您在Windows2003下(IPSec)疑问解答学习中工作中的难题，参考学习。

　　通信不被保护
　　原因：保护通信安全的 IPSec 安全关联 (SA)（也称为硬 SA）尚未建立。
　　解决方案：这可能是由于筛选器列表配置错误或允许与不支持 IPSec 的计算机进行不安全的通讯所造成。根据规则、筛选器列表与筛选器操作设置，检查为两个 IPSec 对等指派的策略，并确定 IPSec 是否要求保护通信。应进行检查并确定是否启用了相应的筛选器操作的“安全措施”选项卡上的“允许和不支持 IPSec 的计算机进行不安全的通讯”选项。同时应使用审核日志确定协商失败的原因。
　　
　　IPSec SA 协商失败
　　原因：保护通信安全的 IPSec 安全关联 (SA)（也称为硬 SA）尚未建立。如果允许与不支持 IPSec 的计算机进行不安全的通讯，则协商会失败。
　　在两个 IPSec 对等机上使用默认策略并且其中一方或双方都不是 Active Directory 域的成员时，两台支持 IPSec 的计算机之间的协商通常会失败。运行 Windows XP Home Edition 的计算机不支持 Active Directory 域成员资格或 Kerberos V5 身份验证方法。默认策略使用 Kerberos V5 验证方法，该方法对于非 Active Directory 域成员无效。
　　解决方案：两台支持 IPSec 的计算机间的协商失败通常是由于密钥交换方法、身份验证方法或安全措施不匹配所造成。请检查为两个 IPSec 对等指派的策略，并根据高级设置、规则、筛选器列表与筛选器操作设置，确定 IPSec 是否在保护通信。如果是，请确定是否存在阻碍硬 SA 成功协商的不匹配的密钥交换方法、身份验证方法或安全措施。同时应使用审核日志确定协商失败的原因。
　　
　　使用证书进行身份验证时 IPSec SA 协商失败
　　原因：IPSec 对等未安装正确的计算机证书。
　　解决方案：在 Ipsec 对等上安装正确的计算机证书。
　　原因：在身份验证方法中选择了不正确的证书颁发机构 (CA)。
　　解决方案：对于每个 IPSec 对等的规则，应选择安装在另一个 IPSec 对等上的已颁发了计算机证书的 CA。
　　原因： 从颁发证书的 CA 到根 CA 的证书链中断。
　　解决方案： 沿着有效证书链向上，将计算机证书安装在每一台 IPSec 对等机上，一直到受信任的根 CA。
　　原因： IPSec 对等机的一方或双方的计算机证书已经过期。
　　解决方案： 在每一台 IPSec 对等机上安装当前计算机证书。
　　
　　某些计算机无法与安全计算机进行通讯
　　原因：安全计算机正在使用需要客户端计算机来启动安全通讯的锁定策略。无法通信的计算机未配置有启动安全通讯的规则。
　　解决方案：或者是允许在安全服务器上进行不安全的传入连接请求，或者是为无法通信的计算机配置其他规则，使其能够启动与安全计算机的安全通信。　　原因：客户端计算机不支持 IPSec，而安全计算机不允许进行不安全的通讯。
　　解决方案：或是安装支持 IPSec 的客户端计算机；或是重新配置安全计算机，以允许与不支持 IPSec 的计算机进行通讯。
　　原因：有些计算机配置的策略中的密钥交换、身份验证方法或安全措施与为安全计算机配置的策略不匹配。
　　解决方案：请检查为两个 IPSec 对等指派的策略，并根据高级设置、规则、筛选器列表与筛选器操作设置，确定 IPSec 是否在保护通信。如果是，请确定是否存在阻碍成功 SA 协商的不匹配的密钥交换、身份验证方法或安全措施。同时应使用审核日志确定协商失败的原因。
　　
　　本地计算机 IPSec 策略未使用
　　原因：该计算机是 Active Directory 域的成员，并且正在接收基于 Active Directory 的 IPSec 策略。
　　解决方案：所有域成员都接收基于 Active Directory 的 IPSec 策略，该策略将覆盖本地 IPSec 策略设置。要防止出现这种情况，应从该域删除该计算机。　　原因：未启动 IPSec 服务。
　　解决方案：启动或重新启动 IPSec