Päätilan IKE (Internet Key Exchange) -neuvottelu muodostaa kahden tietokoneen välille suojatun kanavan eli ISAKMP (Internet Security Association and Key Management Protocol) -suojaussidoksen. ISAKMP-suojaussidoksen avulla suojataan kahden vertaiskoneen väliset avainten vaihdot eli pikatilan neuvottelut. Suojatun kanavan muodostamiseksi päätilan neuvottelu määrittää joukon suojausasetusryhmiä, vaihtaa avainaineistoa jaetun salaisen avaimen muodostamiseksi ja todentaa tietokoneiden tunnistetiedot.
Päätilan suojaussidosten valvonnan avulla saadaan tietoja esimerkiksi siitä, milloin suojaussidos muodostettiin ja mitä suojausasetusryhmää suojaussidoksen muodostamisessa käytettiin.
Yleiset suodattimet
Yleiset suodattimet ovat IP-suodattimia, jotka on määritetty käyttämään mitä tahansa IP-osoiteasetusta joko lähde- tai kohdeosoitteena. IP-suojauksen avulla voit käyttää suodattimien määrityksessä avainsanoja, kuten Oma IP-osoite, DNS-palvelin, DHCP-palvelin, WINS-palvelimet ja Oletusyhdyskäytävä. Avainsanoja käytettäessä yleiset suodattimet näyttävät avainsanat IP-suojauksen valvontalaajennuksessa. Suodattimet johdetaan laajentamalla avainsanoja IP-osoitteiksi.
Sarakkeiden lisääminen, poistaminen ja lajitteleminen
Voit lisätä, poistaa, järjestää ja lajitella tietoja näiden sarakkeiden mukaan tuloskentässä:
- Nimi.
- Lähde. Tämä on paketin lähteen IP-osoite.
- Kohde. Tämä on paketin kohteen IP-osoite.
- IKE-käytäntö. Tämä on tähän yleiseen suodattimeen liittyvän IKE-käytännön nimi, ei sen IPsec-käytännön nimi, jonka loit IP-suojauskäytäntölaajennuksen avulla. Käytännön tiedot, kuten käytetty salausalgoritmien joukko, näkyvät IKE-käytäntö-kohdassa.
- Todentamismenetelmät. Tämä on suodattimen käytettävissä olevien todentamismenetelmien luettelo, joka on tärkeysjärjestyksessä.
- Yhteyslaji. Tämä on yhteyslaji, jossa tätä suodatinta käytetään (lähiverkko, etäkäyttö tai kaikki verkkoyhteyslajit).
Tietyt suodattimet
Tietyt suodattimet laajennetaan yleisistä suodattimista yhteyden lähde- tai kohdetietokoneen IP-osoitteiden avulla. Jos esimerkiksi suodattimessa käytettiin lähdeosoitteena Oma IP-osoite -asetusta ja kohdeosoitteena DHCP-palvelin-asetusta ja yhteys muodostetaan tämän suodattimen avulla, järjestelmä luo automaattisesti suodattimen, jolla on oman tietokoneesi IP-osoite ja tämän tietokoneen käyttämän DHCP-palvelimen IP-osoite.
 | Huomautus |
IP-suojauksen valvontalaajennus voi myös selvittää pikatilan (ei päätilan) kansion Tietyt suodattimet -kansion IP-osoitteiden DNS-nimet. |
Sarakkeiden lisääminen, poistaminen ja lajitteleminen
Voit lisätä, poistaa, järjestää ja lajitella tietoja näiden sarakkeiden mukaan tuloskentässä:
- Nimi.
- Lähde. Tämä on paketin lähteen IP-osoite.
- Kohde. Tämä on paketin kohteen IP-osoite.
- Suunta. Tämä ilmaisee, onko suodatin vastaanotto- vai lähetyssuodatin.
- IKE-käytäntö. Tämä on IKE-käytännön nimi, ei sen IPsec-käytännön nimi, jonka loit IP-suojauskäytäntölaajennuksen avulla. Käytännön tiedot, kuten käytetty salausalgoritmien joukko, näkyvät IKE-käytäntö-kohdassa.
- Todentamismenetelmät. Tämä on suodattimen käytettävissä olevien todentamismenetelmien luettelo, joka on tärkeysjärjestyksessä.
- Painoarvo. Tämä on IP-suojauspalvelun suodattimelle antama prioriteetti. Painoarvo johdetaan useista tekijöistä. Lisätietoja suodattimien painoarvosta on Microsoftin sivuston kohdassa
https://go.microsoft.com/fwlink/?LinkId=62212 (sivu voi olla englanninkielinen) .
Huomautus Painoarvo-ominaisuuden arvo on aina 0 tietokoneissa, joissa on Windows Vista®, Windows Server® 2008 tai uudempi Windows-versio.
IKE-käytännöt
IKE-käytäntö tarkoittaa aitous- ja salausmenetelmiä, joiden avulla kaksi vertaiskonetta voivat neuvotella päätilan avainten vaihdossa.
Tilastotiedot
Tämä taulukko sisältää päätilan tilastonäkymän tilastotiedot:
| Huomautus |
Jotkin näistä tiedoista eivät koske tietokoneita, joissa on Windows Vista, Windows Server 2008 tai uudempi Windows-versio. |
| IKE-tieto | Kuvaus |
|---|---|
Aktiivinen hankinta | Hankinnalla tarkoitetaan IPsec-ohjaimen IKE:lle tekemää tehtävän suorituspyyntöä. Aktiivinen hankinta -tilasto sisältää avoimen pyynnön ja jonossa olevien pyyntöjen määrän. Yleensä aktiivisten hankintojen määrä on 1. Jos kuormitus on suuri, aktiivisten hankintojen määrä on 1 ja IKE-käsittelyä odottavien pyyntöjen määrä kasvaa. |
Aktiivinen vastaanotto | Vastaanotettujen ja käsittelyyn jonottavien IKE-sanomien määrä. |
Hakuvirheet | Epäonnistuneiden hankintapyyntöjen määrä. |
Vastaanottovirheet | IKE-sanomia vastaanotettaessa epäonnistuneiden Windows Socketsin WSARecvFrom()-toimintojen määrä. |
Lähetysvirheet | IKE-sanomia lähetettäessä epäonnistuneiden Windows Socketsin WSASendTo()-toimintojen määrä. |
Hankinnan keon koko | Aktiiviset pyynnöt varastoivan keon alkioiden määrä. Määrä kasvaa kuormituksen kasvaessa ja pienenee vähitellen keon tyhjentyessä. |
Vastaanottokeon koko | Saapuvien IKE-sanomien määrä IKE-vastaanottopuskurissa. |
Todennusvirheet | Päätilan neuvottelun aikana tapahtuneiden epäonnistuneiden tunnistetietojen todennusten määrä (Kerberos, varmenne ja jaettu avain). Jos suojatun tietoliikenteen kanssa on ongelmia, yritä muodostaa yhteys ja tarkista tilastosta, kasvaako tämä arvo. Jos arvo kasvaa, tarkista todennuksen asetukset siltä varalta, että määritettynä on virheellinen todentamismenetelmä (esimerkiksi jaetun avaimen käyttöasetusten ristiriita) tai todentamismenetelmä, jota toisella osapuolella ei ole. |
Epäonnistuneet neuvottelut | Päätilassa tai pikatilassa tapahtuneiden neuvotteluvirheiden määrä. Jos suojatun tietoliikenteen kanssa on ongelmia, yritä muodostaa yhteys ja tarkista tilastosta, kasvaako tämä arvo. Jos arvo kasvaa, tarkista todennuksen ja suojausmenetelmän asetukset siltä varalta, että määritettynä on virheellinen todentamismenetelmä (esimerkiksi jaetun avaimen käyttöasetusten ristiriita) tai sellainen todentamismenetelmä, suojausmenetelmä tai asetus, jota toisella osapuolella ei ole. |
Vastaanotetut evästetiedot eivät kelpaa | Eväste on vastaanotetussa IKE-sanomassa oleva arvo, jonka avulla IKE selvittää päätilan tilan. Vastaanotetun IKE-sanoman eväste, joka ei vastaa mitään aktiivista päätilaa, ei ole kelvollinen. |
Kokonaishankinta | IKE:n IPsec-ohjaimelle välittämien työpyyntöjen määrä. |
SPI-kokonaissaanti | IKE:n IPsec-ohjaimelle välittämien yksilöllisten suojausparametri-indeksien (SPI) pyyntöjen määrä. |
Avainlisäyksiä | IKE:n IPsec-ohjaimeen lisäämien lähtevien pikatilan suojaussidosten määrä. |
Avainpäivitykset | IKE:n IPsec-ohjaimeen lisäämien lähtevien pikatilan suojaussidosten määrä. |
SPI-hakuvirheet | IKE:n IPsec-ohjaimelle välittämien epäonnistuneiden yksilöllisten suojausparametri-indeksien (SPI) pyyntöjen määrä. |
Avaimen lisäämisvirheet | IKE:n IPsec-ohjaimelle välittämien epäonnistuneiden lähtevien pikatilan suojaussidosten määrä. |
Avaimen päivitysvirheet | IKE:n IPsec-ohjaimelle välittämien epäonnistuneiden lähtevien pikatilan suojaussidosten määrä. |
ISADB-luettelon koko | Päätilatietojen määrä, mukaan lukien neuvotellut päätilat, käynnissä olevat päätilat ja epäonnistuneet päätilat, joita ei ole poistettu. |
Yhteysluettelon koko | Pikatilatietojen määrä. |
IKE-päätila | Päätilojen neuvottelujen aikana luotujen onnistuneiden suojaussidosten määrä. |
IKE-pikatila | Pikatilan neuvottelujen aikana luotujen onnistuneiden suojaussidosten määrä. Kullekin päätilan suojaussidokselle luodaan yleensä useita pikatilan suojaussidoksia, joten tämä luku ei välttämättä vastaa päätilan lukua. |
Ohjelmallisia sidoksia | Pelkän tekstin käyttöön johtaneiden neuvotteluiden määrä. Tämä vastaa yleensä sellaisten tietokoneiden kanssa muodostettujen sidosten määrää, jotka eivät vastanneet päätilan neuvotteluyrityksiin. Näitä voivat olla sekä IPsec-yhteensopivat tietokoneet että sellaiset IPsec-yhteensopivat tietokoneet, joilla ei ole IPsec-käytäntöä suojauksen neuvottelemiseksi tämän IPsec-vertaiskoneen kanssa. Vaikka nämä suojaussidokset eivät ole peräisin päätilan ja pikatilan neuvotteluista, niitä kohdellaan silti pikatilan suojaussidoksina. |
Vastaanotettuja virheellisiä paketteja | Vastaanotettujen virheellisten IKE-sanomien määrä, mukaan lukien virheelliset otsikkokentät, sisällön pituudet ja vastaanottoevästeen arvot (kun arvon pitäisi olla 0). Virheelliset IKE-sanomat johtuvat yleensä uudelleenlähetyistä vanhentuneista IKE-snomista tai IPsec-vertaiskoneiden jaettujen avainten ristiriidasta. |
| Huomautus |
Joidenkin tilastotietojen avulla voidaan havaita verkon hyökkäyksiä. |
Suojaussidokset
Tämä näkymä sisältää tietokoneen aktiiviset suojaussidokset. Suojaussidos on neuvotellun avaimen, suojausprotokollan ja suojausparametri-indeksin (SPI) yhdistelmä. Se määrittää suojauksen, jonka avulla tiedot suojataan koko tiedonsiirron ajaksi. Tutkimalla tietokoneen suojaussidoksia saadaan selville tietokoneet, joilla on yhteys tähän tietokoneeseen, yhteydessä käytettävä tietojen aitous- ja salaustyyppi sekä muita tietoja.
Näistä tiedoista voi olla hyötyä IP-suojauskäytäntöjen testauksessa ja käyttöoikeusongelmien ratkaisussa.
Sarakkeiden lisääminen, poistaminen ja lajitteleminen
Voit lisätä, poistaa, järjestää ja lajitella tietoja näiden sarakkeiden mukaan tuloskentässä:
- Minä. Tämä on paikallisen tietokoneen IP-osoite.
- Oma tunnus. Tämä on paikallisen tietokoneen DNS-nimi.
- Vertaiskone. Tämä on etätietokoneen tai vertaiskoneen IP-osoite.
- Vertaiskoneen tunnus. Tämä on etätietokoneen tai vertaiskoneen DNS-nimi.
- Todennus. Tämä on suojaussidoksen luomisessa käytetty todentamismenetelmä.
- Salaus. Tämä on suojaussidoksen käyttämä salausmenetelmä pikatilan avainten vaihtoa varten.
- Aitous. Tämä on suojaussidoksen käyttämä tietojen aitouden tarkistusmenetelmä pikatilan avainten vaihtoa varten.
- Diffie-Hellman. Tämä on päätilan suojaussidoksen luomisessa käytetty Diffie-Hellman-ryhmä.