6.检查Kerberos认证的问题

Kerberos认证依靠AD。如果产生了Kerberos问题，很可能跟计算机帐户的问题有关。你可能需要重置计算机帐户的密码或者重启计算机帐户。如果继续有故障，可能就需要将Kerberos网络通信与域控制器（DC）上的IPsec隔离。运行命令 netsh ipsec dynamic set config ipsecexempt value＝0Win2000容许Kerberos认证通信，但是Windows2003不容许。该Netsh命令强制Windows2003如Win2000一样操作。

7.检查证书认证的问题

如果基于证书的认证系统有问题，很大可能是如下三种情况之一：没有安装证书，证书过期，或者证书撤销列表（CRL）不完整。默认的IPsec证书有效期是2年，这对大多数忘了该有效期的组织来说都足够长了。不像一些证书模板，默认情况下，IPsec证书模板没有设置成自动注册模式。

确定证书认证到底是上述哪种问题的最简便方法就是打开本地计算机的证书存储器。你也可以使用内置MMC证书工具来请求一个新的IPsec证书。当你创建了内置MMC证书来检查已安装的IPsec证书的过期数据时，需要确认你选择了“计算机帐户”选项，如图5所示。如果选择的是“我的用户帐户”或者“服务器帐户”选项的话，你就无法在定位到该找的IPsec 证书。

从长远角度来看，最好的解决方法是创建一个支持自动注册（仅限于Windows2003 企业版）的新的IPsec模板。这样，IPsec证书就可以自动更新，并且只要你选择了自动更新选项你就不需要记住IPsec证书有效期是2年了。

证书正在使用时，IPsec检查CRL来确定证书是否已被废除。IPsec要花一定的时间来做这个检查，并且很有可能在得到结果之前，系统就被关闭了。可以运行 netsh ipsec dynamic set config strongcrlcheck 0 来取消CRL检查。

8.检查是否所有人都使用客户端策略

IPsec的新的管理员有时候对网络上的所有计算机都应用客户端（只响应）策略，然后纳闷为什么没有加密任何信息。对开始生效的IPsec来说，搭档中的一个需要请求使用IPsec的策略。如果所有的主机都指定的是客户端（只响应）策略，那么没有主机会请求使用IPsec。要解决该问题，可以在计算机上激活各种服务器策略中的一个，然后运行GPU更新。

9.检查IKE日志

如果所有的前述措施都没有解决IKE问题，你就不得不按照更详细的步骤来决定方案。这种情况下，你需要有互联网安全连接和密钥管理协议RFC 2408和IKE RFC 2409（ISAKMP）方面的更进一步的知识。运行 netsh ipsec dynamic set config ikelogging 1来开始追踪IKE的协商。可以将ikelogging的值增加至7（记录所有可能的数据）来增加记录下来的信息量。IKE跟踪日志位于\%systemroot%\Debug\Oakley.log，可以用文本编辑器来查看。需要注意的是，记录文档的内容很密集，刚接触IPsec的人很可能很快就受不了了。

慎用自定义

Windows2003带的IPsec策略是可以直接使用的。只有你自定义它们使用基于证书或者基于共享密钥的认证系统的时候，才会产生问题。如果需要修改IPsec的认证方法，你应该创建新策略而不是对已存在的策略进行修改。只要遵从这个建议，在调查各种突然出现的问题时，都能够迅速切换到起作用的配置上。http://www.hacker.cn/News/xtaq/2006-9/6/069618405045273_4.shtml