3、查看IPSec策略及其认证方法

　　从验证哪一个策略正运行在计算机上开始，然后它是否有一个兼容的认证方法——如果其他的使用了一个预共享的密钥的话，策略不能使用Kerberos。你需要检查哪一个策略是被激活的，并找出正在使用的策略使用了什么认证方法。

　　要想完成这个任务，从开始菜单中点击运行，然后输入mmc，点击OK，运行微软管理控制台(MMC)。从文件|添加删除管理单元中，点击增加，然后在弹出的对话框中选择上IP安全策略管理，点击确认。这样你将可以看到哪一个安全策略是激活的，以及它使用了什么认证方法。

图3、添加IPSec管理单元

　　根据你看到的内容不一样，你可能需要简单的应用这个策略或修改其认证方法。让我们看一下几种可能性：

　　·如果你的策略使用了一个预共享的密钥，确保这些密钥是相同的。把这些密钥在记事本中打出来，剪切并粘贴在策略中。

　　·如果你的策略使用数字证书，确认你已经安装这个证书 而且它已经被验证。IPSec每两年过期一次，而且它们不自动更新。

　　·如果你的策略在使用Kerberos，最大的可能是你的活动目录(AD)有问题，你应该首先对它进行故障排查。你可以到Windows Server 2003活动目录技术中心(http://support.microsoft.com/default.aspx?scid=fh;en-us;winsvr2003ad)查阅相关文章，并修复你的AD问题。

　　现在，你的IP安全策略应该一切正常了。如果还没有，你或许应该先禁用IPSec，然后重新看一下使用IPSec的文章，从头开始重新建立IPSec了。

　　人们在IPSec策略实施的过程中所犯的最常见错误之一是，对网络上的所有计算机都应用客户端(只响应)策略，这是IPSec策略模板中的默认设置。对开始生效的IPsec来说，搭档中的一个需要请求使用IPsec的策略。如果所有的主机都指定的是客户端(只响应)策略，那么没有主机会请求使用IPsec——那么你的所有网络通信依然处于未加密状态。要解决该问题，可以在计算机上修改其中一个策略为请求或响应，然后运行组策略更新来激活这个策略修改。