主要模式網際網路金鑰交換 (IKE) 交涉會在兩台電腦之間建立安全的通道,即一般所知的網際網路安全性關聯與金鑰管理通訊協定 (ISAKMP) 安全性關聯 (SA)。ISAKMP SA 是用來保護對等電腦之間的後續金鑰交換,這稱為快速模式交涉。為了建立安全性通道,Main Mode 交涉會判斷一組加密編譯保護套件與交換金鑰處理內容,以建立共用金鑰,並且驗證電腦身分。
監視主要模式 SA 可以提供有關目前連線到此電腦之對等電腦、形成 SA 的時間、是使用哪個保護套件來形成 SA 以及其他資訊。
一般篩選器
一般篩選器是設定來使用任何 IP 位址選項以做為來源或目的地位址的 IP 篩選器。IPsec 允許您在篩選器的設定中使用關鍵字,例如,我的 IP 位址、DNS 伺服器、DHCP 伺服器、WINS 伺服器,以及預設閘道。使用關鍵字時,一般篩選器會在 IP 安全性監視嵌入式管理單元中顯示關鍵字。特定篩選器是藉由將關鍵字展開成 IP 位址所衍生。
新增、移除及排序欄位
您可以在結果窗格中新增、移除、重新安排及排序這些欄位:
- 名稱。
- 來源。此為封包來源的 IP 位址。
- 目的地。此為封包目的地的 IP 位址。
- IKE 原則。此為與這個一般篩選器相關聯的 IKE 原則名稱,而不是您使用 IPsec 原則嵌入式管理單元所建立的 IPsec 原則名稱。您可以在 IKE 原則項目中檢視原則的詳細資料,例如使用哪一組加密編譯演算法。
- 驗證方法。此為篩選器可用的所有驗證方法清單,會以喜好設定排序。
- 連線類型。此為這個篩選器所套用到的連線類型,可能是區域網路 (LAN)、遠端存取,或是所有網路連線類型。
特定篩選器
特定篩選器是藉由針對實際連線使用來源或目的電腦的 IP 位址,從一般篩選器所擴充的。例如,如果您有篩選器是使用 [我的 IP 位址] 選項做為來源位址,且使用 [DHCP 伺服器] 選項做為目的地位址,之後在使用此篩選器來建立連線時,就會自動建立擁有您電腦的 IP 位址及此電腦所使用之 DHCP 伺服器 IP 位址的篩選器。
 | 附註 |
IP 安全性監視器嵌入式管理單元也可以為快速模式資料夾中的特定篩選器資料夾,將 IP 位址解析成 DNS 名稱,但在主要模式資料夾中不行。 |
新增、移除及排序欄位
您可以在結果窗格中新增、移除、重新安排及排序這些欄位:
- 名稱。
- 來源。此為封包來源的 IP 位址。
- 目的地。此為封包目的地的 IP 位址。
- 方向。此為指定篩選器為輸入或輸出的方向。
- IKE 原則。此為 IKE 原則的名稱,而不是您使用 IPsec 原則嵌入式管理單元所建立的 IPsec 原則名稱。您可以在 IKE 原則項目中檢視原則的詳細資料,例如使用哪一組加密編譯演算法。
- 驗證方法。此為篩選器可用的所有驗證方法清單,會以喜好設定排序。
- 權數。此為 IPsec 服務給予篩選器的優先順序。權數是衍生自一些係數。如需篩選器權數的相關資訊,請參閱
https://go.microsoft.com/fwlink/?LinkId=62212 (可能為英文網頁) 。
附註 權數屬性在執行 Windows Windows Vista®、Windows Server® 2008 或較新版本的電腦上一律設定為 0。
IKE 原則
IKE 原則會參照兩台對等電腦在主要模式金鑰交換中,進行交涉時所用的整合或加密方法。
統計
這個表格會顯示「主要模式統計」檢視中可用的統計:
| 附註 |
其中的一些統計資料並不能套用至 Windows Windows Vista、Windows Server 2008 或較新版本的電腦上。 |
| IKE 統計 | 描述 |
|---|---|
使用中取得 | 所謂的取得是 IPsec 驅動程式所做的要求,讓 IKE 可以執行工作。「作用中的取得」統計包括未執行的要求及佇列的要求數 (如果有任何要求)。一般來說,使用中取得的數量為 1。在高載量的情況下,使用中取得的數量是 1 再加上 IKE 已佇列等待處理增加的要求數量。 |
使用中接收 | 接收到在佇列中等待處理的 IKE 訊息數。 |
取得失敗 | 取得已經失敗的次數。 |
接收失敗 | 接收 IKE 訊息時,Windows Sockets WSARecvFrom() 函數失敗的次數。 |
傳送失敗 | 傳送 IKE 訊息時,Windows Sockets WSASendTo() 函數失敗的次數。 |
取得堆集大小 | 在「取得堆集」中的項目數,「取得堆集」會儲存使用中的取得。這個數目在負載過大時會增加,之後會隨著時間逐漸降低,如同將取得堆集清除。 |
接收堆集大小 | 在接收連入 IKE 訊息緩衝區的 IKE 中的項目數。 |
驗證失敗 | 在主要模式交涉期間所發生的識別身分驗證失敗 (Kerberos、憑證及預先共用金鑰) 的總數。如果您對進行安全通訊有困難,請嘗試通訊並參考此統計,以查看此數目是否有增加。如果有增加,請檢查您的驗證設定是否為不相符的驗證方法或是不正確的驗證方法設定 (例如,使用不相符的預先共用金鑰)。 |
交涉失敗 | 在主要模式或快速模式交涉期間發生的交涉失敗總數。如果您對進行安全通訊有困難,請嘗試通訊並參考此統計,以查看此數目是否有增加。如果有增加,請檢查您的驗證及安全性方法設定是否為不相符的驗證方法、不正確的驗證方法設定 (例如,使用不相符的預先共用金鑰),或是不相符的安全性方法或設定。 |
接收到不正確的 Cookie | 所謂 Cookie 是一個內含在已接收 IKE 訊息中的值,IKE 可使用它來尋找使用中主要模式的狀態。無法與使用中主要模式相符之已接收 IKE 訊息中的 Cookie 是無效的。 |
總共取得 | 由 IKE 提交給 IPsec 驅動程式的工作要求總數。 |
總共取得 SPI | 由 IKE 提交給 IPsec 驅動程式,以獲取唯一安全性參數索引 (SPI) 的要求總數。 |
新增金鑰 | 由 IKE 新增至 IPsec 驅動程式的輸出快速模式 SA 數目。 |
金鑰更新 | 由 IKE 新增至 IPsec 驅動程式的輸入快速模式 SA 數目。 |
取得 SPI 失敗 | 由 IKE 提交給 IPsec 驅動程式,以獲取唯一 SPI 的失敗要求數目。 |
新增金鑰失敗 | 由 IKE 提交給 IPsec 驅動程式的失敗輸出快速模式 SA 新增要求數目。 |
金鑰更新失敗 | 由 IKE 提交給 IPsec 驅動程式的失敗輸入快速模式 SA 新增要求數目。 |
ISADB 清單大小 | 主要模式狀態項目數,包括交涉的主要模式、進行中的主要模式以及失敗但未被刪除的主要模式。 |
連線清單大小 | 快速模式狀態項目數。 |
IKE 主要模式 | 主要模式交涉期間建立的成功 SA 總數。 |
IKE 快速模式 | 快速模式交涉期間建立的成功 SA 總數。因為一般會針對每個主要模式 SA 建立多個快速模式 SA,所以此數目不一定會與主要模式數目相符。 |
變動性關聯 | 使用純文字 (亦稱為軟 SA) 所產生的交涉總數。這通常反應不回應主要模式交涉嘗試之電腦所產生的關聯數。這同時包含非 IPsec 相容的電腦,以及 IPsec 相容但不具 IPsec 原則以與此 IPsec 對等電腦交涉安全性的電腦。雖然軟 SA 不是主要模式和快速模式交涉所產生的結果,但它們仍會被視為快速模式 SA。 |
接收到不正確的封包 | 已接收的無效 IKE 訊息數,包括含有無效標題欄位的 IKE 訊息、不正確的裝載長度,以及回應程式 Cookie 的值不正確 (當它必須設定為 0 時)。無效的 IKE 訊息通常是由於重新傳輸的 IKE 訊息已過期或 IPSec 對等電腦間的預先共用金鑰不相符。 |
| 附註 |
這些統計有部分是用於偵測網路攻擊嘗試。 |
安全性關聯
這個檢視會顯示此電腦的使用中 SA。SA 是交涉的金鑰、安全性通訊協定以及 SPI 的組合,它定義了用來保護傳送者對接收者之通訊的安全性。因此,藉由查看此電腦的安全性關聯,您可以判斷哪些電腦會與此電腦連線、哪些類型的資料完整性與加密會用於該連線,以及其他資訊。
當您正在測試 IPsec 原則並對存取問題進行疑難排解時,此資訊會相當有用。
新增、移除及排序欄位
您可以在結果窗格中新增、移除、重新安排及排序這些欄位:
- 我。此為本機電腦 IP 位址。
- 我的識別碼。此為本機電腦 DNS 名稱。
- 對等。此為遠端電腦或對等 IP 位址。
- 對等識別碼。此為遠端電腦或對等 DNS 名稱。
- 驗證。此為建立 SA 時所使用的驗證方法。
- 加密。此為 SA 快速模式金鑰交換所使用的加密方法。
- 完整性。此為 SA 快速模式金鑰交換所使用的資料完整性方法。
- Diffie-Hellman。此為用來建立主要模式 SA 的 Diffie-Hellman 群組。