本章提供有关如何对 Internet 协议安全性 (IPsec) 问题(如服务器和域隔离方案中的安全性问题)进行疑难解答的信息,这些信息依赖于 Microsoft 信息技术 (IT) 小组的经验和方法。 在有可能的时候,本章将引用现有的 Microsoft 疑难解答过程及相关信息。
Microsoft IT 支持基于一个多层支持模型,咨询台被称为第 1 层支持。 汇报过程使咨询台职员能够汇报需要专家予以协助的事件。
本章中的过程引用了三个级别的支持:第 1 层、第 2 层和第 3 层。 为了确保提供的指南尽可能地实用并且精确,大部分内容是第 2 层的。 最初,提供了第 1 层指南以帮助组织机构尽快确定问题是否与 IPsec 相关,如果是,就生成必需的信息以帮助第 2 层支持工程师对问题进行疑难解答。
本章未提供支持第 3 层疑难解答工作所需的高度详细并且复杂的信息。 如果本章提供的信息无法解决 IPsec 问题,Microsoft 建议您与 Microsoft® Product Support Services 联系以获取其他帮助。
本章提供的许多由 Microsoft 使用的支持过程、工具和脚本仅供您参考。 您应该根据贵公司的特定需求来决定是否采用这些建议和工具。
当使用 IPsec 来保护网络中的传输控制协议 (TCP) 和用户数据报协议 (UDP) 通信流时,典型的 TCP/IP 网络疑难解答过程和工具就会变得无能为力了。 因此,规划并开发当使用(或尝试使用)IPsec 来进行通信的计算机之间发生问题时使用的 IPsec 专用疑难解答技术十分重要。
本页内容
 |
支持层和汇报 |
|
第 1 层疑难解答 |
|
第 2 层疑难解答准备 |
|
IPsec 疑难解答过程 |
|
第 3 层疑难解答 |
|
总结 |
支持层和汇报
在 Microsoft 中,服务器和域隔离支持是一个标准产品,并且是在标准服务级别协议 (SLA) 中定义的。 下列各层提供了隔离支持:
| • | 第 1 层:咨询台。 咨询台既是与域相关的客户端问题的入口点又是与域无关的客户端问题的入口点。 咨询台还支持由中央 IT 组织管理的服务器。 (其他服务器可能由业务应用小组或产品组管理。) 咨询台职员经过培训,他们可以使用分类法和若干流程图来将与服务器和域隔离相关的问题分类。 在 Microsoft 隔离解决方案的试验阶段,客户端问题被汇报给“企业 IT 安全性”部门。 然而,在将解决方案部署到生产环境中后,客户端问题由第 2 层支持小组处理。 |
| • | 第 2 层:数据中心操作、全局网络运作中心、业务流程应用支持以及消息传递/协作支持。 这些都是日常运作小组,他们监视并管理 IT 服务以及相关资产。 在服务器和域隔离试验期间,对于与服务器相关的问题和疑难解答来说,这些小组是咨询台和“企业 IT 安全性”部门的初始汇报点。 每个小组都有服务器和域隔离方面的专家,并且都有详细的疑难解答过程。 |
| • | 第 3 层:Windows 网络和基础结构服务。 在服务器和域隔离试验期间,这个小组确定一组人员作为解决方案疑难解答专家 - 相关的体系结构组件和技术,如 IPsec、TCP/IP 数据包处理、计算机帐户和网络登录权限。 在 Microsoft 内部,如果需要进行进一步的汇报,第 3 层职员就会直接与 Windows 开发小组配合工作,直到达成最终方案为止。 在 Microsoft 外部,这个级别将根据需要与“Microsoft 产品支持服务”配合工作。 |
下一节内容对第 1 层支持组织中的咨询台职员可以使用的疑难解答技术进行汇总。
第 1 层疑难解答
此部分内容阐述咨询台职员(他们提供第 1 层支持)在对与 IPsec 相关的问题进行疑难解答时使用的整体过程。 通常,第 1 层支持人员是通过电话提供服务的咨询台职员,他们尝试以远程方式诊断问题。
问题是否出自 IPsec?
咨询台可能会接到诸如“我在打开 IPsec 之前无法连接到服务器 x”或“昨天一切正常,今天网络就瘫痪了!”之类的电话。根据 Microsoft IT 的经验,有关各类网络连接问题和“访问被拒绝”事件的 IPsec 电话咨询不断增加的原因是人们越来越对应用程序和网络行为加以关注。 如果客户认为问题可能与 IPsec 相关,他们就会致电咨询台。 服务器和域隔离实施方案应该包括一个电话分类系统,这样咨询台人员就能够提供一份清晰的有关 IPsec 相关问题数量和性质的报表。
在向呼叫者了解适当的管理信息之后,咨询台职员应该遵循已定义的疑难解答过程。 由于 IPsec 策略设计对通信的影响可能有所不同,并且由于配置过程可能需要几天或几个星期的时间,因此应该针对每一组正在实施的隔离更改来定义并更新流程图。 咨询台管理人员必须参与此项规划过程。
咨询台的目标应该是对问题进行分类,以便可以尝试已知的解决方案。 如果这些尝试无法解决问题,咨询台人员就可以确保收集正确的信息并将该问题汇报给第 2 层支持。 例如,咨询台应该能够按照以下方式确定问题的各种类型:
| • | 网络连接性。 使用 ping 和 tracert Internet 控制消息协议 (ICMP) 消息来测试网络路径。 |
| • | 名称解析。 使用 ping<目标名称> 和 nslookup。 |
| • | 应用程序。 当与同一目标通信时,某些应用程序工作正常(例如 net view),但其他应用程序无法正常工作。 |
| • | 服务。 例如,确定服务器是否正在运行路由和远程访问 (RRAS) 服务,该服务会为 L2TP 创建有冲突的自动 IPsec 策略。 |
| • | 呼叫者的计算机。 确定该计算机能否访问用于进行咨询台测试和诊断的任何主机或特定受信任主机目标计算机。 |
| • | 目标计算机。 确定呼叫者的计算机是否可以访问所有用于进行测试的咨询台计算机但无法访问某台目标计算机。 |
根据组织机构的不同,咨询台可能会使用“远程协助”或“远程桌面”来连接至呼叫者的计算机。 本章提供的指南不要求使用远程访问,尽管这些工具对于咨询台人员指导呼叫者使用 IPsec 监视器 Microsoft 管理控制台 (MMC) 管理单元或事件日志查看器来说可能非常方便。
在使用了服务器隔离而未使用域隔离的方案中,咨询台人员应该了解哪些服务器是隔离组的成员。
指定范围和严重性
第 1 层支持人员首先必须解决的其中一个问题是:哪些用户受问题影响? 支持人员需要了解其他用户是否也遇到了同一问题,如果是,还需了解那些用户的数目以及所在位置。 然后,支持人员必须检查问题的范围。 例如,该问题是仅仅影响与单一服务器的连接性,还是存在更广泛的问题,如网络中发生大范围的登录或身份验证失败?
连接性问题可能涉及网络通信中使用的许多不同的层和技术。 支持工程师应该对 Windows TCP/IP 网络通信方式以及与解决方案相关的特定问题有一般的了解。 此部分内容回顾不同类型的问题以及第 1 层支持人员针对每种问题必须处理的常见情况。
| • | 特定于计算机的问题。 受 IPsec 保护的通信要求进行相互 Internet 密钥交换 (IKE) 计算机身份认证。 发起通信的计算机与响应通信的计算机都必须有有效的域帐户并能够访问它们所在的域的域控制器。 此外,IPsec 策略指派和网络访问控制要求计算机帐户包含在正确的域组中。 可能影响 IPsec 行为的其他特定于计算机的问题包括:
由于这些类型的问题,某些计算机可能会遇到连接性故障,而其他计算机则不会。 注:本章讨论的所有 IPsec 疑难解答工具都要求本地管理员组权限。 |
||||||
| • | 特定于网络位置和路径的问题。 在服务器和域隔离解决方案或 IPsec 的其他流行部署中,有可能所有 TCP 和 UDP 通信流都被封装。 因此,路径中的网络设备将只能看到 IKE、IPsec 和 ICMP 协议。 如果在源计算机与目标计算机之间传输这些协议时发生了任何网络问题,两台计算机之间的通信就会中断。 |
||||||
| • | 特定于用户的问题。 IPsec 的部署(如在服务器和域隔离方案中的部署)会影响域用户的网络登录权限。 例如,此问题可能只影响未隶属于有权进行网络访问的组中的用户,此外,授权用户在获取包含正确组成员身份的 Kerberos 身份验证凭据时也可能会发生问题。 域帐户与本地用户或服务帐户之间的行为可能会有区别。 |
另外两个在 IPsec 企业部署中也很常见的服务器和域隔离解决方案特征是:使用子网筛选器来定义内部网络中使用的地址范围并且应用基于域成员身份和组成员身份的 IPsec 策略,而不考虑计算机在内部网络中的所处位置。 因此,如果子网筛选器设计或者该计算机用来访问其他计算机的网络路径有问题,连接性问题就可能只在网络的某些区域出现(使用特定 IP 地址时出现问题,例如无线地址,而不是 LAN 地址),或者仅仅在某些计算机上发生连接性问题。
疑难解答流程图
本节提供的电话处理流程图是由 Microsoft IT 开发的,其目的在于帮助对第 1 层 IPsec 支持问题进行分类。 除了标准工具以外,其中两个流程图还提到了 IPsec 策略刷新脚本,此脚本的描述在本章随后的“支持脚本示例”一节提供。
图 7.1 用于进行初始诊断以及确定问题类型:
| • | 是网络连接性问题吗? 如果是,尝试进行基本的网络疑难解答。 如果不成功,就汇报给第 2 层支持。 |
| • | 是名称解析问题吗? 如果是,尝试进行基本的名称解析疑难解答。 如果不成功,就汇报给第 2 层支持。 |
| • | 是应用程序问题吗? 如果是,就汇报给第 2 层支持。 |
| • | 是呼叫者计算机的 IPsec 问题吗? 如果是,转到图 7.2。 |
| • | 是呼叫者尝试访问的目标计算机的 IPsec 问题吗? 如果是,转到图 7.3。 |
注:此流程图假定呼叫者计算机正在运行 IPsec,并且 DNS 逆向查找区域已被配置为允许 ping –a 命令正常工作。
图 7.2 旨在帮助确定与呼叫者自己的计算机相关的问题。 注意,除了进行诊断以外,此流程图还提到了使用 IPsec 策略刷新脚本(请参阅本章随后的“支持脚本示例”),该脚本可能能够在不需要确定问题的情况下解决问题。 图 7.2 中的步骤帮助确定呼叫者计算机的下列潜在问题:
| • | 是 RRAS 问题吗? 如果是,或者停止 RRAS 服务(如果不需要 RRAS ),或者将问题汇报给第 2 层支持。 |
| • | 是策略问题吗? 如果是,尝试刷新组策略和 IPsec 策略。 |
| • | 是域帐户问题吗? 如果是,请为呼叫者计算机创建域帐户。 |
| • | 上述全都不是? 如果无法通过刷新 IPsec 策略和/或创建域帐户解决问题,则将该问题汇报给第 2 层支持。 |
图 7.3 旨在帮助确定与特定目标计算机相关的问题。 注意,此流程图还提到了 IPsec 策略刷新脚本,该脚本可能能够在不需要确定问题的情况下解决问题。 图 7.3 帮助确定目标计算机(或通往目标计算机的路径)的下列潜在问题:
| • | 是 RRAS 问题吗? 如果是,就汇报给第 2 层支持。 |
| • | 是 IPsec 策略问题吗? 如果是,尝试刷新组策略和 IPsec 策略。 然后,检查网络连接。 |
| • | 是网络连接性问题吗? 如果是,就汇报给第 2 层支持。 |
| • | 是登录权限问题吗? 如果是,就汇报给第 2 层支持。 |
在第 1 层支持人员处理完这些流程图之后,问题将具有下列其中一种状态:
| • | 问题已确定,并已解决。 此状态表示问题已被解决,并且问题的原因已明确。 |
| • | 问题未确定,但已解决。 此状态表示问题已被解决,但问题的原因未完全明确。 例如,通过进行 IPsec 策略刷新,可能能够解决问题,但不必解释为何应用了不正确的策略(甚至根本未应用任何策略)。 |
| • | 未解决。 此状态表示该问题仍待处理,但由于已将问题汇报给第 2 层支持,所以问题可能已被确定。 |
预防社会工程攻击
在隔离解决方案中,咨询台人员可能会了解到 IT 环境中未受 IPsec 保护的特定区域,如免除列表所包含的计算机。 这些区域不能用来保护敏感信息,这是因为,在其他安全性解决方案中,此类关键信息只能由高级别支持小组使用。 因此,咨询台人员应该接受有关如何检测和抵御社会工程攻击的培训。
在社会工程攻击中,不受信任的人员尝试获取有关安全性实施方式以及安全性弱点的信息,这通常是简单地利用人们信任他人的特点进行的。 咨询台人员应该谨慎地管理下列信息:
| • | 免除列表的成员。 通过使用 IPsec 监视器 MMC 管理单元或通过查看本地注册表中的域 IPsec 策略缓存,所有受信任主机上的本地管理员都有可能看到免除列表筛选器中的 IP 地址列表。 此外,公司使用的安全设置可能会允许非管理用户对缓存进行读访问。 在全面实施域隔离之后,攻击者必须扫描网络以检测免于处理的计算机,这些计算机能够响应 TCP 和 UDP 连接请求。 注意,根据 DHCP 配置,可以很容易地确定 DNS 服务器、DHCP 服务器和 WINS 服务器,并且,通过使用 DNS 查询或 UDP 轻型目录访问协议 (LDAP) 查询,可以很容易地找到域控制器。 |
| • | 公司中未参与隔离解决方案的计算机。 例如,解决方案可能未包括某些类型的域或服务器。 |
| • | 使用了服务器隔离或者需要基于机器的访问控制的计算机。 包含最敏感信息的服务器通常实施最严密的安全保护。 |
| • | IT 组织内的管理员用户或拥有特殊角色的用户。 在某些情况下,电子邮件地址被用作计算机名或计算机名的一部分,从而透露了登录名或电子邮件地址。 |
| • | 用于特定用途或由特定组织使用的子网。 如果攻击者了解此信息,他们就可以将他们的攻击侧重于网络的最敏感并且最有价值的部分。 |
| • | 正在使用的其他基于网络的安全措施。 例如,对是否存在防火墙、路由器筛选器是否允许某些通信流或者是否使用了网络入侵检测等情况的了解对于攻击者来说非常有帮助。 |
咨询台人员还应该接受培训,当呼叫者请求他们连接至呼叫者计算机 IP 地址以了解是否发生问题时,他们应该有所警觉(例如,攻击者可能会请咨询台人员使用文件共享、远程桌面、Telnet 或其他网络协议来连接至他们的计算机)。 如果咨询台人员在不使用 IPsec 的情况下进行连接,攻击者的计算机就可以了解到有关密码的信息或者(在某些情况下,例如使用 Telnet 时)窃取密码。 发生这种情况的原因是,某些客户端网络协议在透露与用户身份或密码相关的信息前未首先进行身份验证(从而错误地信任目标计算机)或者未进行强密码保护。
支持脚本示例
对于大部分疑难解答方案来说,可以在确定适当的信息后快速地确定解决方案。 您可以使用各种 Windows 工具(如流程图中提到的工具)来获得此信息。 在 Woodgrove Bank 解决方案中,开发了许多脚本来提供关键信息,而不要求第 1 层支持人员详细了解工具操作和语法。 这些脚本在本指南的“工具和模板”下载文件夹中提供。
可供第 1 层支持使用的脚本
如果用户是他们的计算机的本地管理员,咨询台人员就可以请他们运行本解决方案附带提供的三个脚本其中之一。 这些脚本是本指南详细描述的 Woodgrove Bank 环境所使用的自定义脚本的示例。 本章阐述这些脚本的目的是说明如何使用脚本来对疑难解答过程进行支持。
注:这些脚本是经过测试的示例,但 Microsoft 不支持这些脚本。 机构应该将这些脚本用作自己的自定义解决方案的基础。
IPsec_Debug.vbs
除了提供调试信息以外,此脚本实际上可以解决一些问题。 此脚本停止并重新启动 IPsec 服务(这将删除所有当前 IKE 和 IPsec 安全关联)、强制进行组策略刷新以从 Active Directory® 目录服务重新加载当前域指派的 IPsec 策略并更新策略缓存。 为了避免丢失远程桌面会话连接,应该将此脚本下载到呼叫者的计算机并使用具有管理权限的帐户来以本地方式运行该脚本。 请在命令提示符处使用以下语法来运行该脚本:
cscript IPsec_Debug.vbs
该脚本执行下列功能:
| • | 发现操作系统版本 |
| • | 调用 Detect_IPsec_Policy.vbs |
| • | 增加组策略记录 |
| • | 增加 Kerberos V5 身份验证协议记录 |
| • | 清除当前 Kerberos 协议票证 |
| • | 刷新组策略 |
| • | 启用 IPsec 记录 |
| • | 执行 PING 和 SMB (Net View) 测试 |
| • | 检测 IPsec 文件版本 |
| • | 运行策略和网络诊断测试 |
| • | 将 IPsec 547 事件复制到一个文本文件中 |
| • | 禁用 IPsec 记录 |
| • | 恢复 Kerberos 协议记录 |
| • | 恢复组策略记录 |
此脚本还启用所有与 IPsec 相关的记录,以便第 2 层支持进行疑难解答。
Detect_IPsec_Policy.vbs
此脚本通过在当前本地注册表缓存中检查域 IPsec 策略的策略版本信息来确定计算机是否正在运行正确的 IPsec 策略。 请在命令提示符处使用以下语法来运行该脚本:
cscript Detect_IPsec_Policy.vbs
注:IPsec_Debug.vbs 也调用此脚本,因此,如果运行了该脚本,就不需要运行此脚本。
Refresh_IPsec_Policy.vbs
此脚本就是疑难解答流程图中提到的 IPsec 策略刷新脚本。 此脚本刷新计算机的 Kerberos 身份验证协议票证和组策略,如果问题是由不正确的 IPsec 策略指派或下载组策略失败而引起的,此脚本可能能够解决问题。 请在命令提示符处使用以下语法来运行该脚本:
cscript Refresh_IPsec_Policy.vbs
汇报
当咨询台人员需要汇报可能的 IPsec 问题时,第 1 层支持应该收集下列信息并随服务请求一起传递:
| • | < |
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
