用戶使用IPsec通常是用來保護局域網(wǎng)內的通信安全，但是有時候用戶不知道該怎么來確定網(wǎng)絡通信受到確切的保護，所以這里就來教教用戶如何來診斷IPsec，確保通信安全。

　　1. 檢查IPsec是否在運行

　　即使你已經(jīng)成功地部署了IPsec，還是會有很多地方出現(xiàn)問題。當你為Windows Server 2003或Windows XP機器上一般網(wǎng)絡連接丟失而苦惱時，操作系統(tǒng)保證會讓你知道出問題了。遺憾的是，沒有類似的方法能讓你始終了解IPsec的狀態(tài)。依靠IPsec部署，當你有問題時，要么釋放所有的網(wǎng)絡連接，要么——可能性更大，并且更隱秘的是——網(wǎng)絡通信得以繼續(xù)，但是不再加密。想象一下當你相信自己受到保護，卻發(fā)現(xiàn)你的網(wǎng)絡通信根本不安全時會是多么震驚。

　　檢查IPsec是否在運行的最快捷的方法是使用網(wǎng)絡監(jiān)視器捕捉進出你的計算機的數(shù)據(jù)包，并檢查它們是否被加密。網(wǎng)絡監(jiān)視器是隨Windows Server 2003一起提供的，你可以通過打開“控制面板”*“添加或刪除程序”，添加/刪除Windows組件來安裝它。安裝完之后，你可以從“捕獲”菜單選擇“開始”來開始包捕捉。然后，要制造一些網(wǎng)絡行為，生成一些數(shù)據(jù)，執(zhí)行諸如瀏覽另一臺計算機上的一個共享文件夾的普通動作。最后，在“捕獲”菜單下選擇“停止并查看”。

　　圖1顯示了兩個包捕捉的結果。左邊是當計算機未配置使用IPsec時執(zhí)行的包捕捉，你會看到在協(xié)議列中列出了多種協(xié)議。右邊是在計算機配置使用IPsec時執(zhí)行的包捕捉，你會看到只列出了一個協(xié)議：封裝安全負載(Encapsulating Security Payload，ESP)協(xié)議。當一臺Windows Server 2003計算機被配置為使用默認的IPsec策略時，只有ESP和因特網(wǎng)控制消息協(xié)議(Internet Control Message Protocol，ICMP)會出現(xiàn)在包捕捉中。因特網(wǎng)控制消息協(xié)議會出現(xiàn)是因為默認的IPsec策略允許ICMP通信。所以，如果在你捕捉網(wǎng)絡通信時看到多種協(xié)議，你就有理由認為IPsec沒有正常工作。

　　幾乎所有IPsec問題的發(fā)生都是因為Internet密鑰交換(Internet Key Exchange，IKE)階段的驗證困難。當兩臺計算機試圖建立一個安全關聯(lián)(security association,SA)時,它們要經(jīng)歷一個對彼此的身份進行驗證的過程。IKE是協(xié)商建立安全關聯(lián)的算法。身份驗證基于預共享密鑰、數(shù)字證書或Kerberos。默認的Windows Server 2003 IPsec策略使用Kerberos。在大多數(shù)實例中，對IPsec進行故障排除意味著排除驗證過程的故障。

　　2.重新啟動IPsec服務

　　你一旦確定IPsec未運行，應該首先嘗試重新啟動IPsec服務。重新啟動IPsec服務會完全清除IKE協(xié)商狀態(tài)。當策略發(fā)生重大變化以后IPsec變得不起作用時，這種方法通常能夠使它重新發(fā)揮作用。這一方案的兩個優(yōu)勢在于它無需重新啟動服務器，并且實施起來耗時很少。你可以通過在Windows Server 2003計算機的命令提示符中運行如下的Net命令重新啟動IPsec服務：

　　現(xiàn)在，再次執(zhí)行網(wǎng)絡包捕捉測試，或者運行我在后面將要談到的Netsh命令進行測試。

　　3. 在事件日志中診斷IKE問題

　　如果重新啟動IPsec不能解決問題，你可以轉而檢查安全事件日志。創(chuàng)建和刪除安全關聯(lián)的行為被審核為網(wǎng)絡登錄事件。如果你在審核登錄事件策略中啟用了對成功和失敗的審核，這些事件就會被寫入日志。當一切都正常運行時，出現(xiàn)的成功代碼是541、542和543。但是，本文討論IPsec未運行時你該怎么辦，所以在我們的實例中，需要特別關注失敗代碼。圖2顯示了失敗事件547。

　　安全關聯(lián)事件日志的一個問題是該事件會很快充滿你的日志。如果你專門審核登錄事件，但又不想你的安全事件日志被IKE項充滿，可以通過創(chuàng)建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\DisableIKE Audits”子鍵，并將其鍵值設置為1來禁止IKE審核。

　　對平常使用電腦的用戶來說，IPsec可能對他們沒什么多大的意義，但是對于一個公司或一個網(wǎng)管來說，IPsec是一個很重要的技術功能，能夠確切地保護局域網(wǎng)內的通信安全，不被竊聽。