IKE-forhandling (Internet Key Exchange) i hovedtilstand opretter en sikker kanal mellem to computere, der kaldes ISAKMP-sikkerhedstilknytningen (Internet Security Association and Key Management Protocol). ISAKMP-sikkerhedstilknytningen bruges til at beskytte efterfølgende nøgleudvekslinger mellem peer-computere, også kaldet forhandling i hurtigtilstand. I forbindelse med oprettelse af den sikre kanal vælger forhandling i hovedtilstand et sæt kryptografiske beskyttelsespakker, udveksler nøglemateriale med henblik på at oprette den delte hemmelige nøgle og godkender computeridentiteter.

Overvågning af sikkerhedstilknytninger i hurtigtilstand kan levere oplysninger om, hvilke peers der i øjeblikket er tilsluttet computeren, hvornår sikkerhedstilknytningen blev udformet, hvilken beskyttelsespakke der er anvendt til udformning af sikkerhedstilknytningen samt andre oplysninger.

Standardfiltre

Standardfiltre er IP-filtre, der er konfigureret til at bruge IP-adresseindstillingerne som enten en kilde- eller destinationsadresse. Med IPsec kan du bruge nøgleord som Min IP-adresse, DNS-server, DHCP-server, WINS-servere og Standardgateway i forbindelse med konfiguration af filtre. Ved anvendelse af nøgleord viser standardfiltre nøgleordene i snap-in'en IP-sikkerhedsovervågning. Bestemte filtre afledes ved at udvide nøgleord til IP-adresser.

Tilføje, fjerne og sortere kolonner

Du kan tilføje, fjerne, omarrangere og sortere efter disse kolonner i resultatruden:

  • Navn.

  • Kilde. Pakkekildens IP-adresse.

  • Destination. Pakkedestinationens IP-adresse.

  • IKE-politik. Navnet på den IKE-politik, der er forbundet med dette standardfilter. Ikke navnet på den IPsec-politik, du har oprettet ved hjælp af snap-in'en IPsec-politik. Politikoplysninger, f.eks. hvilket sæt kryptografiske algoritmer der er anvendt, kan vises i elementet IKE-politik.

  • Godkendelsesmetoder. En liste over alle de godkendelsesmetoder, der findes til filteret, i ønsket rækkefølge.

  • Forbindelsestype. Den forbindelsestype, som dette filter gælder for, enten lokalt netværk (LAN), fjernadgang eller alle netværksforbindelsestyper.

Bestemte filtre

Bestemte filtre udvides på baggrund af standardfiltre ved at bruge IP-adresserne på kilde- eller destinationscomputeren til den aktuelle forbindelse. Hvis du f.eks. har et filter, der har brugt indstillingen Min IP-adresse som kildeadresse og indstillingen DHCP-server som destinationsadresse, og der oprettes forbindelse ved hjælp af dette filter, oprettes der automatisk et filter, som har din computers IP-adresse og IP-adressen på den DHCP-server, som computeren benytter.

Bemærk!

I snap-in'en IP-sikkerhedsovervågning kan IP-adresser også fortolkes som DNS-navne for mappen Bestemte filtre i mappen Hurtigtilstand, men ikke i mappen Hovedtilstand.

Tilføje, fjerne og sortere kolonner

Du kan tilføje, fjerne, omarrangere og sortere efter disse kolonner i resultatruden:

  • Navn.

  • Kilde. Pakkekildens IP-adresse.

  • Destination. Pakkedestinationens IP-adresse.

  • Retning. Angiver, om filteret er indgående eller udgående.

  • IKE-politik. Navnet på IKE-politikken. Ikke navnet på den IPsec-politik, du har oprettet ved hjælp af snap-in'en IPsec-politik. Politikoplysninger, f.eks. hvilket sæt kryptografiske algoritmer der er anvendt, kan vises i elementet IKE-politik.

  • Godkendelsesmetoder. En liste over alle de godkendelsesmetoder, der findes til filteret, i ønsket rækkefølge.

  • Vægt. Den prioritet, som IPsec-tjenesten tildeler filteret. Vægt er afledt af en række faktorer. Du kan finde flere oplysninger om filtervægte (siden er evt. på engelsk) på https://go.microsoft.com/fwlink/?LinkId=67685.

    Bemærk!

    Vægtegenskaben er altid angivet til 0 på computere, der kører Windows Vista®, Windows Server® 2008 eller en nyere version af Windows.

IKE-politikker

IKE-politikken henviser til de integritets- eller krypteringsmetoder, de to peer-computere kan forhandle med, i forbindelse med nøgleudvekslingen i hovedtilstand.

Statistik

I denne tabel vises de statistikker, der tilgængelige i statistikvisningen i hovedtilstand:

Bemærk!

Nogle af disse statistikker gælder ikke for computere, der kører Windows Vista, Windows Server 2008 eller en nyere version af Windows.

IKE-statistikBeskrivelse

Aktiv hentning

En hentning er en anmodning fra IPsec-driveren til IKE om at få udført en opgave. Statistikken over aktive hentninger omfatter også de udestående anmodninger og antallet af eventuelle anmodninger i kø. Normalt er antallet af aktive hentninger 1. Under kraftig belastning af systemet er antallet af aktive hentninger 1, og antallet af anmodninger, der er i kø for at blive behandlet af IKE, stiger.

Aktiv modtagelse

Antallet af modtagne IKE-meddelelser, der er i kø for at blive behandlet.

Hentningsfejl

Det antal gange, en hentning er mislykkedes.

Modtagelsesfejl

Det antal gange, Windows Sockets-funktionen WSARecvFrom() er mislykkedes under modtagelse af IKE-meddelelser.

Afsendelsesfejl

Det antal gange, Windows Sockets-funktionen WSASendTo() er mislykkedes under afsendelse af IKE-meddelelser.

Heapstørrelse for hentning

Antallet af aktive hentninger i stakken, hvor de aktive hentninger gemmes. Dette antal vokser under kraftig belastning af systemet og aftager gradvist, efterhånden som stakken med de aktive hentninger tømmes.

Heapstørrelse for modtagelse

Antal indgående IKE-meddelelser i modtagebufferne i IKE.

Godkendelsesfejl

Det samlede antal mislykkede identitetsgodkendelser (Kerberos, certifikat og forhåndsdelt nøgle) under forhandling i hovedtilstand. Hvis du har problemer med sikker kommunikation, kan du forsøge at gennemføre kommunikationen og få vist denne statistik for at se, om antallet af mislykkede forhandlinger øges. Hvis det er tilfældet, bør du kontrollere indstillingerne for godkendelse for at se, om der er uoverensstemmelse mellem godkendelsesmetoderne, eller om der er en forkert konfiguration af godkendelsesmetoden (f.eks. uoverensstemmelse i brug af forhåndsdelte nøgler).

Forhandlingsfejl

Det samlede antal mislykkede forhandlinger, der er opstået under forhandlinger i hovedtilstand eller hurtigtilstand. Hvis du har problemer med sikker kommunikation, kan du forsøge at gennemføre kommunikationen og få vist denne statistik for at se, om antallet af mislykkede forhandlinger øges. Hvis det er tilfældet, bør du kontrollere indstillingerne for godkendelse og sikkerhed for at se, om der er uoverensstemmelse mellem godkendelsesmetoderne, om der er en forkert konfiguration af godkendelsesmetoden (f.eks. uoverensstemmelse i brug af forhåndsdelte nøgler), eller om der er uoverensstemmelse mellem sikkerhedsmetoder eller -indstillinger.

Ugyldige cookies modtaget

En cookie er en værdi i en modtaget IKE-meddelelse, der bruges af IKE til at finde ud af tilstanden for en aktiv hovedtilstand. En cookie i en modtaget IKE-meddelelse, der ikke svarer til en aktiv hovedtilstand, er ugyldig.

Hentet i alt

Det samlede antal arbejdsanmodninger, der er sendt af IKE til IPsec-driveren.

SPI hentet i alt

Det samlede antal anmodninger, der er sendt af IKE til IPsec-driveren for at få et entydigt SPI (Security Parameters Index).

Nøgletilføjelser

Antallet af udgående sikkerhedstilknytninger i hurtigtilstand, der er føjet til IPsec-driveren af IKE.

Nøgleopdateringer

Antallet af indgående sikkerhedstilknytninger i hurtigtilstand, der er føjet til IPsec-driveren af IKE.

Hent SPI-fejl

Det antal mislykkede anmodninger, der er sendt af IKE til IPsec-driveren for at få et entydigt SPI (Security Parameters Index).

Fejl ved tilføjelse af nøgler

Det antal mislykkede udgående anmodninger, der er sendt fra IKE til IPsec-driveren om at tilføje sikkerhedstilknytninger i hurtigtilstand.

Fejl ved opdatering af nøgler

Det antal mislykkede indgående anmodninger, der er sendt fra IKE til IPsec-driveren om at tilføje sikkerhedstilknytninger i hurtigtilstand.

Størrelse på ISADB-liste

Antallet af poster i hovedtilstand, herunder forhandlede hovedtilstande, igangværende hovedtilstande og hovedtilstande, der mislykkedes men ikke er blevet slettet.

Størrelse på liste over forbindelser

Antallet af poster i hurtigtilstand.

IKE-hovedtilstand

Det samlede antal vellykkede oprettelser af sikkerhedstilknytninger under forhandlinger i hovedtilstand.

IKE-hurtigtilstand

Det samlede antal vellykkede oprettelser af sikkerhedstilknytninger under forhandlinger i hurtigtilstand. Da der normalt oprettes flere sikkerhedstilknytninger i hurtigtilstand for hver sikkerhedstilknytning i hovedtilstand, er dette antal ikke nødvendigvis lig med det tilsvarende antal i hovedtilstand.

Bløde tilknytninger

Det samlede antal forhandlinger, der er endt med at bruge klartekst (bløde sikkerhedstilknytninger). Dette afspejler normalt antallet af sikkerhedstilknytninger til computere, der ikke reagerede på forsøg på forhandling i hovedtilstand. Det kan både omfatte computere, der ikke er IPsec-kompatible, og computere, der er IPsec-kompatible, men hvor der ikke er defineret IPsec-politik til forhandling af sikkerhed med denne IPsec-peer. Selvom bløde sikkerhedstilknytninger ikke skyldes forhandlinger i hovedtilstand eller hurtigtilstand, behandles de som sikkerhedstilknytninger i hurtigtilstand.

Ugyldige pakker modtaget

Antallet af modtagne IKE-meddelelser, der er ugyldige, herunder IKE-meddelelser med ugyldige headerfelter, forkerte datalængder og forkerte værdier for svarcookie (når den skulle være 0). Ugyldige IKE-meddelelser skyldes ofte gamle gensendte IKE-meddelelser eller en forhåndsdelt nøgle uden tilsvarende forhåndsdelt nøgle på den pågældende IPsec-peer.

Bemærk!

Nogle af disse statistikker kan bruges til at registrere angrebsforsøg på netværket.

Sikkerhedstilknytninger

I denne visning vises de aktive sikkerhedstilknytninger, der er forbundet med denne computer. En sikkerhedstilknytning er en kombination af en forhandlet nøgle, en sikkerhedsprotokol og SPI, som tilsammen definerer den sikkerhed, der bruges til at beskytte kommunikationen fra afsender til modtager. Ved at se på computerens sikkerhedstilknytninger kan du derfor fastslå, hvilke computere der har forbindelse til computeren, hvilken type dataintegritet og -kryptering der anvendes på den pågældende forbindelse samt andre oplysninger.

Disse oplysninger kan være nyttige, når du tester IPsec-politikker og foretager fejlfinding i forbindelse med adgangsproblemer.

Tilføje, fjerne og sortere kolonner

Du kan tilføje, fjerne, omarrangere og sortere efter disse kolonner i resultatruden:

  • Mig . Den lokale computers IP-adresse.

  • Mit id. Den lokale computers DNS-adresse.

  • Peer. IP-adressen på fjerncomputeren eller den pågældende peer.

  • Peer-id. DNS-adressen på fjerncomputeren eller den pågældende peer.

  • Godkendelse. Den godkendelsesmetode, der bruges til at oprette sikkerhedstilknytningen.

  • Kryptering. Den krypteringsmetode, der bruges af sikkerhedstilknytningen til nøgleudvekslinger i hurtigtilstand.

  • Integritet. Den dataintegritetsmetode, der bruges af sikkerhedstilknytningen til nøgleudvekslinger i hurtigtilstand.

  • Diffie-Hellman. Den Diffie-Hellman-gruppe, der bruges til at oprette sikkerhedstilknytningen i hovedtilstand.

Yderligere referencer