Windows2003下(IPSec)疑问解答
服务。
无法指派或不指派 IP 安全策略
原因:当 IP 安全策略用于 Active Directory 时,无法指派或不指派策略。
解决方案:要指派基于 Active Directory 的策略,请使用组策略内的“IP 安全策略”。
需要 3DES 时正使用 DES
原因:该IPSec 对等机是一台运行 Windows 2000 且未安装 Windows 2000 高度加密包或 Windows 2000 Service Pack 2(或更高版本)的计算机。
解决方案:在运行 Windows 2000 的计算机上安装 Windows 2000 高度加密包或 Windows 2000 Service Pack 2(或更高版本)。
不安全通信正被发送给安全服务器
原因:客户端计算机正在使用默认响应规则。
解决方案:使用默认响应规则配置客户端计算机时,它会在启动通信或在导致快速模式 SA 与动态筛选器列表超时的延迟之后重新启动通信时,发送不安全的数据包。为防止出现这种情况,应为总是启动与安全服务器的安全通讯的客户端计算机配置其他规则。
事件查看器正在显示有关 IPSec 的错误消息
原因:这可能是 IPSec 策略代理或 Oakley 服务出现问题。
解决方案:查看系统与安全事件日志,以获取可帮助确定问题根源的消息。
显示策略位置错误消息
原因:如果 IPSec 策略代理正试图从不正确的存储位置检索策略,则会出现这种错误。
解决方案:检查事件查看器中的“IPSec 策略代理”事件与“IPSec 策略代理”日志,以获取指明正从何处检索策略的消息(本地注册表或域)。如果将 HKLMSOFTWAREPoliciesMicrosoftWindowsIPSecGPTIPSecPolicyDSIPSecPolicyFlags 设置为 1,则会从 Active Directory 获取 IPSec 策略。否则,从注册表获取该策略。本地计算机警告用户,域策略在启动时即生效。如果假定该策略是基于 Active Directory 的策略,但无法获取,则可删除 HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory,然后重新启动计算机。
事件查看器正在显示“错误 SPI”错误消息
原因:如果密钥的生存期值设置太低,或者 SA 已到期但发送方继续将数据传输给接收方,则可能发生此错误。
解决方案:要确定并纠正此问题,请使用 IPSec 安全监视器检查重生成密钥数。如果与连接保持活动的时间量相比重生成密钥数非常大,则可将策略中的密钥生存期设置得更长。对于通信频繁的以太网连接,较理想的值是同时大于 50 MB 和 5 分钟。当一个 IPSec 对等上已删除 SA,而另一个 IPSec 对等在该 SA 上发送安全通信时,通常会记录此事件。这通常是繁忙或进行自我修复的系统上发生的一种临时情况。
IP 安全监视器显示错误消息“IPSec 服务器不可用或与 IPSec 监视器不兼容”
原因:您正使用“IP 安全监视器”控制台监视运行 Windows 2000 的计算机上的 IPSec。
解决方案:“IP 安全监视器”控制台只能用来监视运行 Windows XP 或 Windows Server 2003 操作系统的计算机上的 IPSec。要监视运行 Windows 2000 的计算机上的 IPSec,请在正被监视的计算机上的 Windows 2000 命令提示符下使用 IPSecmon 命令。
无法指派或不指派 IP 安全策略
原因:当 IP 安全策略用于 Active Directory 时,无法指派或不指派策略。
解决方案:要指派基于 Active Directory 的策略,请使用组策略内的“IP 安全策略”。
需要 3DES 时正使用 DES
原因:该IPSec 对等机是一台运行 Windows 2000 且未安装 Windows 2000 高度加密包或 Windows 2000 Service Pack 2(或更高版本)的计算机。
解决方案:在运行 Windows 2000 的计算机上安装 Windows 2000 高度加密包或 Windows 2000 Service Pack 2(或更高版本)。
不安全通信正被发送给安全服务器
原因:客户端计算机正在使用默认响应规则。
解决方案:使用默认响应规则配置客户端计算机时,它会在启动通信或在导致快速模式 SA 与动态筛选器列表超时的延迟之后重新启动通信时,发送不安全的数据包。为防止出现这种情况,应为总是启动与安全服务器的安全通讯的客户端计算机配置其他规则。
事件查看器正在显示有关 IPSec 的错误消息
原因:这可能是 IPSec 策略代理或 Oakley 服务出现问题。
解决方案:查看系统与安全事件日志,以获取可帮助确定问题根源的消息。
显示策略位置错误消息
原因:如果 IPSec 策略代理正试图从不正确的存储位置检索策略,则会出现这种错误。
解决方案:检查事件查看器中的“IPSec 策略代理”事件与“IPSec 策略代理”日志,以获取指明正从何处检索策略的消息(本地注册表或域)。如果将 HKLMSOFTWAREPoliciesMicrosoftWindowsIPSecGPTIPSecPolicyDSIPSecPolicyFlags 设置为 1,则会从 Active Directory 获取 IPSec 策略。否则,从注册表获取该策略。本地计算机警告用户,域策略在启动时即生效。如果假定该策略是基于 Active Directory 的策略,但无法获取,则可删除 HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory,然后重新启动计算机。
事件查看器正在显示“错误 SPI”错误消息
原因:如果密钥的生存期值设置太低,或者 SA 已到期但发送方继续将数据传输给接收方,则可能发生此错误。
解决方案:要确定并纠正此问题,请使用 IPSec 安全监视器检查重生成密钥数。如果与连接保持活动的时间量相比重生成密钥数非常大,则可将策略中的密钥生存期设置得更长。对于通信频繁的以太网连接,较理想的值是同时大于 50 MB 和 5 分钟。当一个 IPSec 对等上已删除 SA,而另一个 IPSec 对等在该 SA 上发送安全通信时,通常会记录此事件。这通常是繁忙或进行自我修复的系统上发生的一种临时情况。
IP 安全监视器显示错误消息“IPSec 服务器不可用或与 IPSec 监视器不兼容”
原因:您正使用“IP 安全监视器”控制台监视运行 Windows 2000 的计算机上的 IPSec。
解决方案:“IP 安全监视器”控制台只能用来监视运行 Windows XP 或 Windows Server 2003 操作系统的计算机上的 IPSec。要监视运行 Windows 2000 的计算机上的 IPSec,请在正被监视的计算机上的 Windows 2000 命令提示符下使用 IPSecmon 命令。