可以使用“IP 安全监视器”管理单元来查看和监视与 IPSec 有关的统计信息和应用到此计算机和其他计算机的 IPSec 策略。此信息可以帮助您对 IPSec 进行疑难解答以及测试所创建的策略。若要更改 IPSec 策略,请使用“IP 安全策略”管理单元。

如果使用 高级安全 Windows 防火墙 管理单元创建策略,则无法使用“IP 安全监视器”管理单元查看这些规则。您必须使用 高级安全 Windows 防火墙 管理单元的“监视”项。

注意
  • “IP 安全监视器”管理单元仅用于监视运行 Windows XP 及更高版本的计算机上的 IPSec。若要监视运行 Windows 2000 的计算机上的 IPsec,请使用 ipsecmon 命令。
  • “IP 安全策略”管理单元可用于创建 IPSec 策略,这类策略可应用于运行 Windows Vista(R)、Windows Server(R) 2008 和更高版本 Windows 的计算机,但是此管理单元不使用新的安全算法以及这些更高版本中所提供的其他新功能。若要使用更新的算法来创建 IPSec 策略,请使用 高级安全 Windows 防火墙 管理单元。高级安全 Windows 防火墙 管理单元创建的策略不能用于较早版本的 Windows。

监视任务

以下是使用“IP 安全监视器”管理单元来执行的最常见任务的简单列表:

添加计算机

在可以监视远程计算机上的 IPSec 之前,必须首先将计算机添加到该管理单元中。必须对该远程计算机具有管理员级别的访问权限,才能添加该计算机并监视 IPSec。

将计算机添加到“IP 安全监视器”管理单元中的步骤
  1. 在控制台树中,右键单击“IP 安全监视器”,然后单击“添加计算机”

  2. 在“添加计算机”对话框中,单击“下列计算机”,然后键入远程计算机的名称。或者单击“浏览”在网络上查找该计算机。

注意
  • 如果所监视的计算机尚未启动 IPSec 服务,则该服务器的图标将显示为已停止的服务。若要在该计算机上的 IPSec 服务重新启动后刷新 IP 安全监视器,请右键单击该计算机,然后单击“重新连接”
  • 在运行 Windows Server 2003 及更高版本的计算机上,必须将远程计算机的 EnableRemoteMgmt 注册表项设置为 1,并重新启动 IPSec 服务。否则,将从管理单元收到“IPSec 服务尚未运行”错误。该注册表项位于 HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\Services\PolicyAgent 中。

查找特定筛选器

可以使用两种方法来查找有关特定筛选器的信息,这些信息可能会有帮助,例如,在疑难解答过程中:可以排序“特定筛选器”视图以查找筛选器,或者可以在“主模式”或“快速模式”的“特定筛选器”文件夹中搜索筛选器。

通过浏览在筛选器列表中查找筛选器的步骤
  1. 在“主模式”或“快速模式”文件夹的“特定筛选器”文件夹中,单击要浏览的属性的列标题。如果再次单击该列标题,将以逆序对该列表排序。

  2. 浏览列表以查找筛选器。

通过搜索查找特定筛选器的步骤
  1. 在“主模式”或“快速模式”文件夹下,右键单击“特定筛选器”文件夹,然后单击“寻找匹配的筛选器”

  2. 在“寻找匹配的筛选器”对话框中,选择所需的搜索条件,然后单击“搜索”

    注意

    “只查找最佳匹配”选项仅查找最匹配条件的筛选器。如果没有找到搜索的筛选器,请尝试使用“查找所有匹配”选项再次进行搜索。源和目标选项“任何”不会搜索任何源和目标。而用于查找“特定筛选器”列表视图中列出的“任何”源或目标。

查找可能的攻击的迹象

在查找对计算机和添加到管理单元中的其他计算机进行的可能的攻击时,由“IP 安全监视器”管理单元收集和显示的统计信息将十分有用。此信息位于“主模式”和“快速模式”文件夹的“统计”文件夹中。有关可用的统计信息的详细信息,请参阅监视主模式监视快速模式

查看安全关联

安全关联 (SA) 是协商密钥、安全协议与安全参数索引 (SPI) 的组合,它们共同定义用于保护从发送方到接收方的通信的安全性。通过查看此计算机的 SA,可以确定哪些计算机连接到此计算机,哪种类型的数据完整性和加密用于该连接,以及其他信息。

此信息在您测试 IPSec 策略或对访问问题进行疑难解答时将十分有用。

更改其他设置

可以配置管理单元是否自动刷新提供的信息。还可以配置刷新的频率,以及这些视图是显示 IP 地址还是显示 DNS 名称。

配置自动刷新的步骤
  1. 在“IP 安全监视器”文件夹下,右键单击该计算机的节点,然后单击“属性”

  2. 在计算机“属性”对话框中,选中“启用自动刷新”复选框。

  3. 若要更改管理单元更新信息的频率,请键入首选时间间隔。

    注意

    默认情况下,启用自动刷新的时间间隔为 45 秒。将自动刷新频率配置得过高可能会导致性能问题,尤其当您从管理单元监视多台计算机并启用了 DNS 名称解析时,此问题更为突出。

查看 DNS 名称形式的 IP 地址的步骤
  1. 在“IP 安全监视器”管理单元中右键单击该计算机的节点,然后单击“属性”

  2. 在计算机“属性”对话框中,选中“启用 DNS 名称解析”复选框,然后单击“确定”

    注意
    • 默认情况下,不会启用 DNS 名称解析。DNS 名称解析仅在“快速模式特定筛选器”视图以及主模式和快速模式的“安全关联”视图中运行。
    • 如果多个项目需要在此视图中进行解析,则 DNS 名称解析可能会影响性能。
    • 若要从 IP 地址解析 DNS 名称,则必须在 DNS 基础结构中配置适当的反向域和指针 (PTR) 资源记录。可以手动或通过使用 DNS 动态更新来配置 PTR 资源记录。若要从 IP 地址解析计算机的 NetBIOS 计算机名称,则必须在该计算机上启用 TCP/IP 上的 NetBIOS。

其他参考