诊断Windows Server 2003中IPsec问题的9种方法

你已经实施了IPsec来保护你公司局域网内的通信，虽然已仔细地遵照所有技术文档，但你还是不能确信网络通信切实受到保护，不被窃听。怎么才能重新树立IPsec确实对你的计算机的网络通信进行了加密的信心呢？
让我们来看一看如何确保一切顺利进行，然后——假如你在验证过程中发现问题——看一看对IPsec相关的验证问题进行故障排除的整体情况。在验证过程中，我会给你展示一些Windows Server 2003的内建工具，如果你真的发现网络通信未被加密，你可以使用这些工具来诊断IPsec的问题（但是，请注意：我在本文中所讨论的技术不一定适用于特定的IPsec应用程序，诸如：IPsec卡和基于虚拟专用网的IPsec）。

1． 检查IPsec是否在运行
即使你已经成功地部署了IPsec，还是会有很多地方出现问题。当你为Windows Server 2003或Windows XP机器上一般网络连接丢失而苦恼时，操作系统保证会让你知道出问题了。遗憾的是，没有类似的方法能让你始终了解IPsec的状态。依靠IPsec部署，当你有问题时，要么释放所有的网络连接，要么——可能性更大，并且更隐秘的是——网络通信得以继续，但是不再加密。想象一下当你相信自己受到保护，却发现你的网络通信根本不安全时会是多么震惊。
检查IPsec是否在运行的最快捷的方法是使用网络监视器捕捉进出你的计算机的数据包，并检查它们是否被加密。网络监视器是随Windows Server 2003一起提供的，你可以通过打开“控制面板”*“添加或删除程序”，添加/删除Windows组件来安装它。安装完之后，你可以从“捕获”菜单选择“开始”来开始包捕捉。然后，要制造一些网络行为，生成一些数据，执行诸如浏览另一台计算机上的一个共享文件夹的普通动作。最后，在“捕获”菜单下选择“停止并查看”。
图1显示了两个包捕捉的结果。左边是当计算机未配置使用IPsec时执行的包捕捉，你会看到在协议列中列出了多种协议。右边是在计算机配置使用IPsec时执行的包捕捉，你会看到只列出了一个协议：封装安全负载（Encapsulating Security Payload，ESP）协议。当一台Windows Server 2003计算机被配置为使用默认的IPsec策略时，只有ESP和因特网控制消息协议（Internet Control Message Protocol，ICMP）会出现在包捕捉中。因特网控制消息协议会出现是因为默认的IPsec策略允许ICMP通信。所以，如果在你捕捉网络通信时看到多种协议，你就有理由认为IPsec没有正常工作。

图1：包捕捉比较

几乎所有IPsec问题的发生都是因为Internet密钥交换（Internet Key Exchange，IKE）阶段的验证困难。当两台计算机试图建立一个安全关联（security association,SA）时,它们要经历一个对彼此的身份进行验证的过程。IKE是协商建立安全关联的算法。身份验证基于预共享密钥、数字证书或Kerberos。默认的Windows Server 2003 IPsec策略使用Kerberos。在大多数实例中，对IPsec进行故障排除意味着排除验证过程的故障。

2．重新启动IPsec服务
你一旦确定IPsec未运行，应该首先尝试重新启动IPsec服务。重新启动IPsec服务会完全清除IKE协商状态。当策略发生重大变化以后IPsec变得不起作用时，这种方法通常能够使它重新发挥作用。这一方案的两个优势在于它无需重新启动服务器，并且实施起来耗时很少。你可以通过在Windows Server 2003计算机的命令提示符中运行如下的Net命令重新启动IPsec服务：
net stop policyagent 
net start policyagent 
现在，再次执行网络包捕捉测试，或者运行我在后面将要谈到的Netsh命令进行测试。

评论：在计算机遇到问题的时候，重新启动服务是一种较常用的方法，实在不行，就重新启动计算机，这大概就是我们对付Windows的惯用招数。对于IPsec，重新启动服务这个方法同样奏效，在遇到问题时，你不妨先这样试一试。（译者）

3． 在事件日志中诊断IKE问题
如果重新启动IPsec不能解决问题，你可以转而检查安全事件日志。创建和删除安全关联的行为被审核为网络登录事件。如果你在审核登录事件策略中启用了对成功和失败的审核，这些事件就会被写入日志。当一切都正常运行时，出现的成功代码是541、542和543。但是，本文讨论IPsec未运行时你该怎么办，所以在我们的实例中，需要特别关注表1中显示的失败代码。图2显示了失败事件547。

表1：失败审核代码

图2：失败事件547

安全关联事件日志的一个问题是该事件会很快充满你的日志。如果你专门审核登录事件，但又不想你的安全事件日志被IKE项充满，可以通过创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\DisableIKE Audits”子键，并将其键值设置为1来禁止IKE审核。

4． 使用共享密钥验证
由于共享密钥验证依赖一个共享的字符串，而不是更复杂的诸如Kerberos或证书的方法，所以它能够提供一种即使在有些故障的情况下仍可使IPsec工作的方法。当然，如果你已经使用了共享密钥验证，并且有问题的话，你应该校验每一台计算机上的预共享密钥是否确实匹配。如果其中某一个预共享密钥中存在输入错误的话，IPsec无法运行。
如果你能够用共享密钥验证使IPsec运行，你就会了解到Kerberos或证书验证机制需要更多的调查研究。要在默认的IPsec策略中将Kerberos转换成共享密钥验证，需执行如下步骤：
* 禁用任何可能应用的活动目录（Active Directory，AD）IPsec策略；
* 单击“开始”*“运行”，输入gpedit.msc，开始编辑本地策略；
* 浏览到组策略对象编辑器中的“计算机配置\Windows设置\安全设置\IP安全策略”节点；
* 在导致问题的策略上单击鼠标右键，选择“属性”；
* 在“规则”标签页中，选择“筛选器列表”中的“所有IP通讯”，单击“编辑”；
* 在“编辑规则属性”对话框中，选择“身份验证方法”标签页，单击“添加”以增加新的验证方法；
* 选择“使用此字符串”单选钮，并输入预共享密钥，单击“确定”；
* 使用“身份验证方法”标签页中的“上移”按钮将预共享密钥方法移动到列表顶端。
上述这些指令假定你没有费劲定制你的IPsec策略。通常，你应该创建一个新策略，而不是编辑某个现有的策略。但是，在这个实例中，你只是增加了一种身份验证方法，在你解决了问题之后还可以再把它降级处理。修改为共享密钥验证大大简化了验证过程，所以它很可能能使你网络中的IPsec运行起来。

评论：预共享密钥验证方法实施起来比较容易，但是如果使用不当会产生负面影响。微软建议不要在活动目录中使用预共享密钥身份验证。这是因为预共享密钥值以明文形式存储在IPsec策略中。默认情况下，域中任何已通过身份验证的用户都可以查看存储在基于活动目录的IPsec策略中的预共享密钥。看来简单的方法总是伴随着一些相对的弱点。（译者）

5.确定哪个IPsec策略处于激活状态
IPsec不运行很可能是因为网络上的计算机被分配了不兼容的策略。例如，某个策略试图使用证书进行身份验证，而其它策略只接受共享密钥身份验证。有两种方法可以确定目前哪个IPsec策略占主导地位。第一种方法是使用IP安全监视器（IP Security Monitor）。如图3所示的微软管理控制台（Microsoft Management Console，MMC）IP安全监视器管理单元代替了Windows 2000 Ipsecmon.exe工具，能够确定当前计算机上哪个IPsec策略处于激活状态。

图3：IP安全监视器管理单元

在命令行中运行如下Netsh命令可以得到同样的信息：
netsh ipsec dynamic show all | more 
该命令可将所有的IPsec信息放置在剪贴板上。随后你可以将这些信息粘贴到记事本中，如图4所示。在文本输出中，你可以看到一个策略被应用到本地级别上，即：客户端（仅响应）,并通过活动目录，即：服务器（请求安全）。一旦得到这个信息，你就可以迅速找到IPsec不运行的原因，即：要么是计算机没有配置任何策略，要么是配置了不兼容的策略。解决了策略不兼容的问题之后，IPsec很可能就能正常工作了。

图4：将IPsec信息粘贴到记事本中

6． 研究Kerberos验证问题
Kerberos验证依赖于活动目录。如果Kerberos出现问题，很可能与计算机帐户有关。你可能需要重新设置计算机帐户密码或重新启用计算机帐户。如果问题一直存在，你可能需要在主域控制器（domain controller，DC）上把Kerberos通信从IPsec中隔离出来。要做到这样，运行如下命令：
netsh ipsec dynamic set config ipsecexempt value=0 
Windows 2000支持Kerberos验证通信，但是Windows Server 2003不支持。该Netsh命令迫使Windows Server 2003像Windows 2000一样支持Kerberos验证通讯。

7． 研究证书验证问题
如果你在使用基于证书的验证时遇到麻烦，或许你可以跟踪问题到以下三个原因之一：证书未安装，证书已过期或者证书撤销列表（Certificate Revocation List，CRL）检查未完成。默认的IPsec证书周期是两年，对于大多数机构而言，这样的时间段已经长到足够将证书忘记了。与其它一些证书模板不同，默认的IPsec证书模板未被配置为自动注册。
确定是否安装了证书，以及证书是否被破坏或到期的最简单的方法是打开本地计算机的证书库。你也可以使用微软管理控制台证书管理单元这个工具来请求一个新的IPsec证书。当你创建一个微软管理控制台证书管理单元来检查已安装的IPsec证书的到期日时，你需要保证选择了“计算机帐户”选项，如图5所示。如果你选择了“我的用户帐户”或“服务帐户”选项，你就无法定位到发布的IPsec证书。

图5：选择“计算机帐户”选项

从长远来看，最好的办法是创建一个支持自动注册（一种仅限于Windows Server 2003企业版支持的功能）的新的IPsec证书模板。IPsec证书将会被自动更新，只要选择了自动更新选项，大家无需记得IPsec证书每两年就会到期。
当证书在使用中时，IPsec检查证书撤销列表，查看证书是否已经被撤销了。IPsec为该项检查分配一定量的时间，在IPsec得到结果之前该窗口可能会关闭。要禁止检查证书撤销列表，可以使用如下命令：
netsh ipsec dynamic set config strongcrlcheck 0

8． 检查是否每一个人都使用了客户端策略
作为新手的IPsec管理员有时可能将默认的客户端（仅响应）策略应用于网络上的所有计算机，然后又想知道为什么信息都没有被加密。要想让IPsec策略发挥作用，必须有一台计算机应用请求使用IPsec的策略。如果所有的主机都被分配了客户端（仅响应）策略，那么将没有一台机器请求使用IPsec。要解决这个问题，请你尝试激活你的计算机上的某个服务器策略，并运行GPU更新。

9． 检查IKE日志
如果前面提到的所有这些方法都不能帮你解决IKE问题的话，你可能就必须循着一条更加详尽的路线来解决。这时，你会需要关于Internet安全关联和密钥管理协议（Internet Security Association and Key Management Protocol，ISAKMP）RFC 2408，以及IKE RFC 2409的更高深的知识。你可以通过运行如下的命令启用对IKE协商的跟踪：
netsh ipsec dynamic set config ikelogging 1 
将ikelogging值最大增加到7（日志中记录所有可能的数据），你可以增加日志的信息量。IKE跟踪日志存放在“\%systemroot%\Debug\Oakley.log”中，你可以使用文本编辑器查看该文件。请注意日志文件内容十分晦涩难懂，作为新手的IPsec管理员在试图阅读其内容时可能很快就会如坠云里雾里。

评论：本文中介绍的9种方法似乎是按照从易到难的顺序排列的，检查IKE日志可能是前面那些方法都不能奏效时最后的杀手锏。对于IPsec管理员新手而言，要读懂日志文件内容可能会有一定困难，但要成为高手恐怕读懂它是必要的。（译者）

注意定制
随Windows Server 2003一起提供的IPsec策略一般可以正常运行。只有当你开始将它们定制为使用基于证书或共享密钥的验证时，问题才会出现。如果你确实想要修改IPsec的验证方式，你应该创建新的策略，而不是编辑某个现有的策略。只要你遵循这个建议，当你研究出现的任何问题时，都将能够迅速转换到一个能正常工作的配置。