网络安全 频道

加密企业数据通信 IPSec排障小技巧

  3、查看IPSec策略及其认证方法

  从验证哪一个策略正运行在计算机上开始,然后它是否有一个兼容的认证方法——如果其他的使用了一个预共享的密钥的话,策略不能使用Kerberos。你需要检查哪一个策略是被激活的,并找出正在使用的策略使用了什么认证方法。

  要想完成这个任务,从开始菜单中点击运行,然后输入mmc,点击OK,运行微软管理控制台(MMC)。从文件|添加删除管理单元中,点击增加,然后在弹出的对话框中选择上IP安全策略管理,点击确认。这样你将可以看到哪一个安全策略是激活的,以及它使用了什么认证方法。

图3、添加IPSec管理单元

  根据你看到的内容不一样,你可能需要简单的应用这个策略或修改其认证方法。让我们看一下几种可能性:

  ·如果你的策略使用了一个预共享的密钥,确保这些密钥是相同的。把这些密钥在记事本中打出来,剪切并粘贴在策略中。

  ·如果你的策略使用数字证书,确认你已经安装这个证书 而且它已经被验证。IPSec每两年过期一次,而且它们不自动更新。

  ·如果你的策略在使用Kerberos,最大的可能是你的活动目录(AD)有问题,你应该首先对它进行故障排查。你可以到Windows Server 2003活动目录技术中心(http://support.microsoft.com/default.aspx?scid=fh;en-us;winsvr2003ad)查阅相关文章,并修复你的AD问题。

  现在,你的IP安全策略应该一切正常了。如果还没有,你或许应该先禁用IPSec,然后重新看一下使用IPSec的文章,从头开始重新建立IPSec了。

  人们在IPSec策略实施的过程中所犯的最常见错误之一是,对网络上的所有计算机都应用客户端(只响应)策略,这是IPSec策略模板中的默认设置。对开始生效的IPsec来说,搭档中的一个需要请求使用IPsec的策略。如果所有的主机都指定的是客户端(只响应)策略,那么没有主机会请求使用IPsec——那么你的所有网络通信依然处于未加密状态。要解决该问题,可以在计算机上修改其中一个策略为请求或响应,然后运行组策略更新来激活这个策略修改。

0
相关文章