Для диагностики конфигурации IPSec существует несколько полезных средств:

· оснастка IPSec для настройки соответствующей политики;

· журнал событий;

· оснастка Групповая политика (Group Policy), используемая при настройке политик IPSec для объекта групповой политики;

· файл OAKLEY.LOG в каталоге %systemroot%\debug.

В этом разделе основное внимание уделяется двум другим инструментам: программам NETDIAG.EXE и IPSECMON.EXE (IP Security Monitor).

Программа IP Security Monitor поставляется в комплекте с Windows, а утилита NETDIAG.EXE, в свою очередь — в пакете Support Tools (<CD:>\Support\Tools), для которого требуется отдельная установка.

Программа IP Security Monitor отличается удобством в применении, отображает текущие параметры безопасности для компьютеров, с которым осуществляется связь, а также определяет факт использования IPSec (с указанием типа IPSec).

Щелчок на кнопке Options позволяет менять частоту обновления параметров IPSec.

Значение каждого параметра IP Security Monitor рассматривается далее.

Параметры программы IP Security Monitor

Active Associations

Количество отслеживаемых активных каналов шифрования

Confidential Bytes Send

Общее количество байт, переданных с флагом Confidentiality, который указывает на использование для передачи пакетов протокола безопасности ESP (Encapsulating Security Payload) (десятичный идентификатор 50)

Confidential Bytes Received

Общее количество байт, полученных с флагом Confidentiality, который указывает на использование для передачи пакетов протокола безопасности ESP (Encapsulating Security Payload) (десятичный идентификатор 50)

Authenticated Bytes Sent

Общее количество байт, отправленное с указанным свойством аутентификации

Authenticated Bytes Received

Общее количество байт, отправленное с указанным свойством аутентификации

Bad SPI Packet

Общее количество пакетов данных, имеющих неправильный индекс SPI (Security Parameters Index). Возможно, это означает, что связь безопасности SA (Security Association) больше не действительна или время ее действия истекло

SPI — это специальный идентификатор связи SA, дающий принимающей системе возможность выбирать необходимую связь SA, в соответствии с параметрами которой будут обрабатываться пакеты данных

Packets Not Decrypted

Общее количество пакетов, которые не смог расшифровать драйвер IPSec Это может указывать на истечение срока действия связи SA, неудачную аутентификацию или проверку целостности пакетов данных

Packets Not Authenticated

Общее количество пакетов, которые не удалось успешно аутентифицировать для драйвера IPSec. Это может указывать на истечение срока действия связи SA, информация о которой необходима драйверу IPSec для обработки пакетов данных.

Кроме того, параметр может указывать на несовместимость свойств аутентификации для обоих систем (передающей и принимающей). Убедитесь в использовании общего метода аутентификации

Key Additions

Общее количество ключей, которые были отправлены драйверу IPSec службой ISAKMP (ISAKMP/Oakley). Это указывает на успешное утверждение связей безопасности во время второй фазы инициализации ISAKMP

Oakley Main Modes

Общее количество связей безопасности, утвержденных во время первой фазы инициализации ISAKMP. Это указывает на успешное завершение обмена данных, относящихся к ключам шифрования, аутентификацию всех основных функций и применение общих параметров для ключей

Oakley Quick Modes

Общее количество связей безопасности, утвержденных во время второй фазы инициализации ISAKMP. Это указывает на успешное завершение переговоров по использованию служб защиты при передаче данных

Soft Associations

Общее количество переговоров во время второй фазы инициализации ISAKMP, при которой системы “договариваются” о передаче исключительно текстовых данных (без их шифрования или подписывания)

Authentication Failures

Общее количество неудачных аутентификаций. Проверьте совместимость методов аутентификации, настроенных на всех системах. Параметр может указывать на истечение срока действия связей безопасности

Программа NETDIAG.EXE, который используется для диагностики проблем в локальной сети, предоставляет более универсальные возможности. Одной из них является проверка статуса IPSec, как показано ниже:

netdiag /test:ipsec /v /debug

Gathering IPX configuration information.
Opening \Device\NwLnkIpx failed
Querying status of the Netcard drivers… Passed
Testing Domain membership… Passed
Gathering NetBT configuration information.
Gathering IP Security information

Tests complete.

Computer Name: CYPHER
DNS Host Name: cypher.microsoft.com
DNS Domain Name: microsoft.com
System Info: Windows XP Professional (Build 2195)
Processor: x86 Family 6 Model 5 Stepping 2, GenuineIntel
Hotfixes :
Installed? Name
..
..

IP Security test…………. : Passed
Directory IPSec Policy Active : ‘Server (Request Security)’

IP Security Verbose Test……: Failed
Access is denied.

The command completed successfully.