Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chapitre 7 : Dépannage d'IPSec
Dernière mise à jour le 16-02-2005
Ce chapitre fournit des informations relatives au dépannage d'IPSec (Internet Protocol security), dans le cadre d'une isolation de serveurs et de domaines, par exemple. Il est basé sur l'expérience et les processus de l'équipe Service informatique (IT) de Microsoft. Lorsque cela est possible, ce chapitre fait référence aux procédures de dépannage Microsoft existantes ainsi qu'aux informations associées.
Le support informatique de Microsoft repose sur un modèle de prise en charge multi-niveaux, et le support technique est communément appelé support de niveau 1. Les procédures de remontée des incidents permettent aux techniciens du support technique de transférer les incidents nécessitant l'intervention de spécialistes.
Les procédures de ce chapitre font référence à trois niveaux de support : niveau 1, niveau 2 et niveau 3. Pour garantir des conseils aussi pratiques et précis que possible, la majeure partie du contenu se situe au niveau 2. Les conseils de niveau 1 permettent d'aider les entreprises à déterminer aussi rapidement que possible si un problème est lié à IPSec et, si tel est le cas, à générer les informations requises pour aider les ingénieurs du support de niveau 2 à résoudre le problème.
Les informations extrêmement détaillées et complexes qui sont nécessaires à la résolution des problèmes de niveau 3 ne sont pas traitées dans ce chapitre. Si les informations proposées dans ce chapitre ne permettent pas de résoudre un problème lié à IPSec, Microsoft vous recommande de contacter Microsoft® Product Support Services (services de support technique) pour obtenir une assistance supplémentaire.
La plupart des procédures de support, des outils et des scripts utilisés par Microsoft sont fournis dans ce chapitre à titre de référence. Ces recommandations et outils sont généralement adaptés et répondent aux besoins spécifiques de votre entreprise.
Lorsque IPSec est utilisé pour sécuriser le trafic sur le réseau via les protocoles TCP (Transmission Control Protocol) et UDP (User Datagram Protocol), les procédures et outils de dépannage réseau TCP/IP traditionnels peuvent se révéler inefficaces. C'est pourquoi il est important de planifier et d'élaborer des techniques de dépannage spécifiques à IPSec qui pourront être utilisées si un problème se présente sur les ordinateurs qui utilisent ou (tentent d'utiliser) IPSec pour leurs communications.
Sur cette page
Niveaux de support et transfert des incidents Dépannage de niveau 1 Préparation du dépannage de niveau 2 Processus de dépannage d'IPSec Dépannage de niveau 3 Résumé
Niveaux de support et transfert des incidents
Le support de l'isolation de serveurs et de domaines est un service standard proposé par Microsoft, qui est défini par les accords sur les niveaux de service (service level agreement, SLA). Le support de l'isolation est fourni par les niveaux suivants :
Niveau 1 : support technique. Le support technique constitue le point d'entrée à la fois pour les problèmes client associés et non associés à un domaine. Le support technique prend également en charge les serveurs gérés par les services informatiques centraux. (Les autres serveurs peuvent être gérés par des équipes de gestion des applications d'entreprise ou des groupes de produits). Les membres du support technique sont formés pour utiliser une taxinomie et divers organigrammes de classification des problèmes liés à l'isolation de serveurs et de domaines.
Au cours de la phase pilote de la solution d'isolation de Microsoft, les problèmes rencontrés par les clients ont été transférés au service de sécurité informatique d'entreprise. Cependant, après le déploiement de la solution dans l'étape de production, les problèmes client ont été traités par les équipes de support de niveau 2.
Niveau 2 : exploitation du centre de données, centre d'exploitation du réseau global, support des applications d'entreprise et support de messagerie/collaboration. Ces groupes sont des équipes d'exploitation quotidienne qui surveillent et gèrent les services informatiques et leurs ressources associées. Lors des phases pilote d'isolation de serveurs et de domaines, ces équipes ont été le point de départ de transfert des problèmes de serveur et du dépannage pour le support technique et le service de sécurité informatique d'entreprise. Chaque groupe possède un expert en isolation de serveurs et de domaines, ainsi que des procédures de dépannage détaillées.
Niveau 3 : services d'infrastructure et de réseau Windows. Lors des phases pilote d'isolation de serveurs et de domaines, ce groupe a défini une équipe d'experts en dépannage des composants architecturaux et des technologies inhérentes à la solution, comme IPSec, le traitement des paquets TCP/IP, les comptes d'ordinateurs et les droits de connexion au réseau. Si un autre niveau de transfert est nécessaire au sein de Microsoft, le niveau 3 fonctionne directement avec les équipes de développement Windows jusqu'à ce que le problème soit clos. Hors du cadre de Microsoft, ce niveau fonctionne avec les services de support technique Microsoft en cas de nécessité.
La section suivante résume les techniques de dépannage pouvant être utilisées par le personnel du support technique dans l'organisation du support de niveau 1.
Dépannage de niveau 1
Cette section présente le processus général de dépannage des problèmes liés à IPSec qui est utilisé par le personnel du support technique chargé du support de niveau 1. En général, le personnel du support de niveau 1 est composé d'opérateurs téléphoniques qui tentent de diagnostiquer les problèmes à distance.
Le problème est-il lié à IPSec ?
Le support technique est susceptible de recevoir des appels du type « J'ai réussi à me connecter au serveur x jusqu'à l'activation d'IPSec » ou « Tout fonctionnait parfaitement hier, mais je n'arrive pas à me connecter aujourd'hui ». D'après l'expérience des équipes informatiques de Microsoft, le déploiement d'IPSec a entraîné l'augmentation des volumes d'appels pour tous les types de problèmes de connectivité réseau et les incidents « d'accès refusé » car les utilisateurs étaient plus attentifs aux comportements des applications et du réseau. Si un utilisateur pensait que le problème était lié à IPSec, il appelait le support technique. Un plan d'implémentation de l'isolation de serveurs et de domaines doit inclure un système de classification des appels afin que le personnel du support technique puisse fournir des rapports précis sur le volume et la nature des problèmes liés à IPSec.
Une fois que l'appelant a fourni toutes les informations d'administration utiles, le personnel du support technique doit suivre un processus de dépannage défini. Étant donné que les répercutions des stratégies IPSec sur les communications peuvent varier et que le processus de déploiement peut prendre plusieurs jours (voire plusieurs semaines), il est vivement recommandé de définir un organigramme et de le mettre à jour pour chaque ensemble de modifications d'isolation mis en place. Le personnel de gestion du support technique doit être impliqué dans ce processus de planification.
L'objectif du support technique est de classer le problème dans une catégorie afin de pouvoir lui appliquer des solutions adaptées. Si ces tentatives ne permettent pas de résoudre le problème, le support technique doit s'assurer qu'il a bien reçu les informations requises, puis il doit transférer le problème au support de niveau 2. Par exemple, le support technique doit être en mesure d'identifier divers types de problèmes de la manière suivante :
Connectivité réseau. Utilisez les messages ping et tracert du protocole ICMP (Internet Control Message Protocol) pour tester les chemins du réseau.
Résolution de noms. Utilisez les commandes ping <nom destination> et nslookup.
Applications. Certaines applications fonctionnent (par exemple, net view), alors que d'autres ne fonctionnent pas lorsqu'elles communiquent avec la même destination.
Services. Par exemple, déterminez si le serveur exécute le service de routage et d'accès distant (Routing and Remote Access, RRAS), lequel crée une stratégie IPSec automatique conflictuelle avec le protocole L2TP.
Ordinateur de l'appelant. Déterminez s'il peut accéder à n'importe quel ordinateur hôte ou à un ordinateur de destination approuvé spécifique qui est utilisé par le support technique pour les tests et les diagnostics.
Ordinateur cible. Déterminez si l'ordinateur de l'appelant peut accéder à tous les ordinateurs du support technique utilisés pour les tests et s'il ne peut pas accéder à certains ordinateurs de destination.
En fonction de l'entreprise, le support technique peut utiliser l'Assistance à distance ou le Bureau à distance pour se connecter à l'ordinateur de l'appelant. Les instructions fournies dans ce chapitre ne nécessitent pas un accès à distance, mais elles peuvent s'avérer utiles pour le personnel du support technique qui peut s'en servir plutôt que de guider l'appelant dans le composant logiciel enfichable MMC (Microsoft Management Console) Moniteur IPSec ou la visionneuse du journal des événements.
Dans des scénarios où l'isolation de serveurs est utilisée sans isolation de domaines, le personnel du support technique doit savoir quels serveurs font partie du groupe d'isolation.
Détermination de l'étendue et de la gravité
L'une des premières questions auxquelles le support de niveau 1 doit répondre est la suivante : « qui est concerné par le problème ? » En effet, le personnel technique doit savoir si d'autres utilisateurs rencontrent le même problème et, le cas échéant, le nombre d'utilisateurs concernés et leur emplacement. Le personnel technique doit ensuite s'intéresser à l'étendue du problème. Par exemple, cela affecte-t-il la connectivité d'un seul serveur ou existe-t-il d'autres problèmes de type échec de connexion ou d'authentification sur des zones importantes du réseau ?
Les problèmes de connectivité peuvent impliquer de nombreuses couches et technologies utilisées dans les communications réseau. Les ingénieurs du support technique doivent connaître le fonctionnement général des communications réseau TCP/IP Windows, ainsi que les problèmes spécifiques liés à la solution. Cette section détaille les différents types de problèmes courants que chaque support de niveau 1 doit traiter.
Problèmes spécifiques à l'ordinateur. Les communications protégées par IPSec requièrent une authentification IKE (Internet Key Exchange) mutuelle des ordinateurs. Les ordinateurs qui débutent des communications et ceux qui y répondent doivent posséder des comptes de domaine valides et avoir accès aux contrôleurs de leur domaine. En outre, pour que les attributions de stratégie IPSec et que les contrôles d'accès au réseau fonctionnent, il est nécessaire que les comptes d'ordinateur soient dans les groupes de domaine appropriés. D'autres problèmes spécifiques peuvent affecter le comportement d'IPSec :
Le système d'exploitation ne dispose pas du Service Pack ou du correctif approprié, ou la configuration de la clé du registre est incorrecte.
Un logiciel ou des services particuliers sont installés et en cours d'exécution sur l'ordinateur.
La connexion réseau utilise une adresse IP spécifique ou communique à l'aide d'un chemin réseau particulier.
En raison de ces types de problèmes, certains ordinateurs peuvent rencontrer des problèmes de connectivité et d'autres non.
Remarque : tous les outils de dépannage d'IPSec mentionnés dans ce chapitre nécessitent des privilèges du groupe des administrateurs locaux.
Problèmes d'emplacement réseau et problèmes spécifiques au chemin. Dans une solution d'isolation de serveurs et de domaines ou de déploiement à grande échelle d'IPSec, il est probable que la totalité du trafic TCP et UDP sera encapsulée. Par conséquent, les périphériques réseau du chemin ne voient que les protocoles IKE, IPSec et ICMP. S'il existe des problèmes réseau au niveau de la transmission de ces trois protocoles entre la source et la destination, il est possible que la communication soit bloquée entre les deux ordinateurs.
Problèmes spécifiques à l'utilisateur. Le déploiement d'IPSec, dans le cas d'une isolation de serveurs et de domaines, par exemple, peut avoir des répercutions sur les droits de connexion au réseau des utilisateurs d'un domaine. Par exemple, le problème peut concerner uniquement les utilisateurs qui ne font pas partie d'un groupe autorisé à accéder au réseau, ou il peut concerner un utilisateur autorisé qui ne parvient pas à obtenir les informations d'authentification Kerberos contenant les appartenances de groupe correctes. Il peut exister des différences de comportement entre les comptes de domaine et d'utilisateur local ou les comptes de service.
Deux autres caractéristiques de l'isolation de serveurs et de domaines sont fréquentes lors des déploiements d'IPSec en entreprise : il s'agit de l'utilisation de filtres de sous-réseau pour définir les intervalles d'adresses utilisés sur le réseau interne et l'application de stratégies IPSec basées sur l'appartenance au domaine et au groupe qui ne tiennent pas compte de l'emplacement d'un ordinateur sur le réseau interne. C'est pourquoi, en cas de problème avec la conception des filtres de sous-réseau ou le chemin réseau utilisé par cet ordinateur pour communiquer avec les autres, des problèmes de connectivité peuvent survenir uniquement dans certaines zones du réseau lors de l'utilisation d'une adresse IP particulière (une adresse sans fil au lieu d'une adresse LAN), ou sur certains ordinateurs uniquement.
Organigrammes de dépannage
Les organigrammes de gestion des appels de cette section ont été élaborés par les équipes informatiques de Microsoft pour faciliter le classement des problèmes de support d'IPSec de niveau 1. Outre les outils standards, deux des organigrammes font référence à un script d'actualisation de la stratégie IPSec, dont une description est fournie dans la section « Exemples de scripts de prise en charge » plus loin dans ce chapitre.
La figure 7.1 est utilisée pour réaliser un diagnostic initial et pour déterminer le type de problème :
S'agit-il d'un problème de connectivité réseau ? Si oui, procédez à une action de dépannage réseau de base. Si la tentative de résolution échoue, transférez le problème au support de niveau 2.
S'agit-il d'un problème de résolution de noms ? Si oui, procédez à une action de dépannage de résolution de noms de base. Si la tentative de résolution échoue, transférez le problème au support de niveau 2.
S'agit-il d'un problème lié à l'application ? Si oui, transférez le problème au support de niveau 2.
S'agit-il d'un problème IPSec lié à l'ordinateur de l'appelant ? Si oui, reportez-vous à la figure 7.2.
S'agit-il d'un problème IPSec lié à l'ordinateur cible que l'appelant tente de contacter ? Si oui, reportez-vous à la figure 7.3.
.gif)
Figure 7.1 Processus de dépannage en cas d'échec de communication avec l'ordinateur cible
.gif)
Remarque: cet organigramme part du principe que l'ordinateur de l'appelant exécute IPSec et que les zones DNS de recherche inversée sont configurées pour permettre le bon fonctionnement de la commande ping –a.
La figure 7.2 permet d'identifier les problèmes liés à l'ordinateur de l'appelant. Outre les diagnostics, cet organigramme référence l'utilisation d'un script d'actualisation de stratégie IPSec (reportez-vous à la section « Exemples de scripts de prise en charge » plus loin dans ce chapitre), qui peut résoudre le problème sans nécessairement l'identifier. Les étapes illustrées dans la figure 7.2 vous aident à déterminer les éventuels problèmes suivants liés à l'ordinateur de l'appelant :
S'agit-il d'un problème de routage et d'accès distant ? Si oui, arrêtez le service RRAS (s'il n'est pas requis) ou transférez le problème au support de niveau 2.
S'agit-il d'un problème de stratégie ? Si oui, essayez d'actualiser la stratégie de groupe et la stratégie IPSec.
S'agit-il d'un problème lié au compte de domaine ? Si oui, créez un compte de domaine pour l'ordinateur de l'appelant.
S'agit-il d'un problème autre que ceux énoncés ci-dessus ? Si l'actualisation de la stratégie IPSec et/ou la création d'un compte de domaine n'ont pas permis de résoudre le problème, transférez le problème au support de niveau 2.
.gif)
Figure 7.2 Dépannage d'IPSec sur l'ordinateur de l'appelant – problèmes connexes
.gif)
La figure 7.3 permet d'identifier les problèmes liés à un ordinateur cible spécifique. Notez que cet organigramme référence également l'utilisation d'un script d'actualisation de stratégie IPSec qui peut résoudre le problème sans nécessairement l'identifier. La figure 7.3 vous aide à déterminer les éventuels problèmes suivants liés à l'ordinateur cible (ou vous indique le chemin d'accès à cet ordinateur) :
S'agit-il d'un problème RRAS ? Si oui, transférez le problème au support de niveau 2.
S'agit-il d'un problème de stratégie IPSec ? Si oui, essayez d'actualiser la stratégie de groupe et la stratégie IPSec. Vérifiez ensuite la connectivité réseau.
S'agit-il d'un problème de connectivité réseau ? Si oui, transférez le problème au support de niveau 2.
S'agit-il d'un problème de droits de connexion ? Si oui, transférez le problème au support de niveau 2.
.gif)
Figure 7.3 Dépannage d'IPSec sur l'ordinateur cible – problèmes connexes
.gif)
Une fois que le personnel du support de niveau 1 a étudié le problème par rapport aux organigrammes, l'un des états suivants est attribué au problème :
Résolution complète. Cet état indique que le problème a été résolu et que sa cause a peut-être été déterminée.
Résolution partielle. Cet état signifie que le problème a été résolu mais que sa cause n'a pas été totalement comprise. Par exemple, l'actualisation d'une stratégie IPSec peut résoudre le problème mais n'explique pas forcément pourquoi une mauvaise stratégie ou aucune stratégie n'a été appliquée.
Non résolu. Cet état indique que le problème est toujours en attente d'une résolution mais que sa cause a probablement été identifiée. Le problème est transféré au support de niveau 2.
Prévention des attaques de manipulation
Dans une solution d'isolation, le personnel du support technique peut avoir connaissance de certaines zones spécifiques de l'environnement informatique non protégées par IPSec, comme les ordinateurs appartenant à la liste d'exemption. Ces zones ne doivent pas être utilisées pour protéger des informations confidentielles, car en général, les autres solutions de sécurité ne donnent accès à ces informations qu'aux équipes de support de niveau supérieur. C'est pour cette raison que le personnel du support technique doit être formé à la détection et à la prévention des manipulations.
Une attaque de manipulation se manifeste lorsqu'une personne peu fiable tente d'obtenir des informations sur le fonctionnement de la sécurité et sur les points faibles du système de sécurité, en profitant simplement de la tendance des gens à faire confiance aux autres. Le personnel du support technique doit contrôler attentivement les informations suivantes :
Membres de la liste d'exemption. La liste des adresses IP dans les filtres de la liste d'exemption est à la disposition des administrateurs locaux sur tous les hôtes approuvés lors de l'utilisation du composant logiciel enfichable MMC Moniteur IPSec ou lors de l'affichage du cache de la stratégie IPSec dans le registre local. De plus, les paramètres de sécurité utilisés dans l'entreprise sont susceptibles de donner aux utilisateurs non administratifs un accès en lecture au cache. Une fois que l'isolation du domaine est entièrement implémentée, les pirates analysent le réseau pour détecter les ordinateurs exemptés qui seront capables de répondre aux requêtes de connexion TCP et UDP. Notez que les serveurs DNS, DHCP et WINS sont facilement identifiables à partir de la configuration DHCP et que les contrôleurs de domaine sont faciles à localiser par l'utilisation d'une requête DNS ou UDP LDAP (Light Directory Access Protocol).
Ordinateurs de l'entreprise ne faisant pas partie de la solution d'isolation. Par exemple, certains types de serveurs ou domaines peuvent ne pas être inclus dans la solution.
Ordinateurs qui utilisent l'isolation de serveurs ou qui requièrent un contrôle d'accès basé sur les machines. Les serveurs contenant les informations les plus sensibles sont généralement dotés des protections de sécurité les plus efficaces.
Utilisateurs qui sont des administrateurs ou qui jouent un rôle spécial dans le service informatique. Les noms de connexion ou les adresses électroniques sont divulgués lorsqu'ils sont utilisés dans les noms complets ou partiels des ordinateurs.
Sous-réseaux utilisés à des fins spécifiques ou par certaines entreprises. Si ces informations sont connues, un pirate peut alors concentrer son attaque sur les points les plus importants du réseau.
Autres mesures de sécurité basées sur le réseau qui sont utilisées. Par exemple, il est extrêmement utile pour un pirate de savoir s'il existe des pare-feu, si les filtres de routeur autorisent certains trafics ou si la détection d'intrus sur le réseau est utilisée.
Les agents du support technique doivent également être vigilents si des appelants leur demandent de se connecter à l'adresse IP de leur ordinateur pour détecter un problème ; par exemple, un pirate demande à une personne du support technique de se connecter à son ordinateur en utilisant le partage de fichiers, le Bureau à distance, Telnet ou un autre protocole réseau. Si l'agent du support technique effectue la connexion sans IPSec, l'ordinateur pirate peut obtenir des informations sur le mot de passe ou (dans certains cas, comme avec Telnet) « dérober » le mot de passe. Cette situation peut se produire car certains protocoles réseau des clients ne procèdent pas à l'authentification de l'ordinateur de destination, ni n'établissent de relation d'approbation, ou encore, ils ne requièrent pas de protection par mot de passe fiable avant de révéler des informations sur l'identité de l'utilisateur ou des données sur le mot de passe.
Exemples de scripts de prise en charge
Dans la plupart des scénarios de dépannage, il est possible de trouver rapidement une solution lorsque les informations appropriées ont été identifiées. Pour ce faire, vous pouvez utiliser divers outils Windows, comme ceux déisngés dans les organigrammes. Dans la solution Woodgrove Bank, plusieurs scripts ont été développés pour fournir des informations clés, sans que le personnel du support de niveau 1 ne connaisse en détail le fonctionnement des outils et la syntaxe. Ces scripts sont disponibles dans le dossier de téléchargement Tools and Templates de ce guide.
Scripts disponibles pour le support de niveau 1
Si l'utilisateur est également l'administrateur local de son ordinateur, le personnel du support technique peut lui demander d'exécuter l'un des trois scripts fournis dans le cadre de cette solution. Ces scripts sont des exemples des scripts personnalisés utilisés dans l'environnement Woodgrove Bank détaillé dans ce guide. Ils sont décrits dans ce chapitre pour illustrer la manière dont les scripts peuvent être utilisés dans le processus de dépannage.
Remarque: ces scripts sont des exemples testés, mais ils ne sont pas pris en charge par Microsoft. Ils doivent être utilisés par une entreprise comme base pour l’élaboration d'une solution personnalisée.
IPSec_Debug.vbs
Ce script fournit des informations de débogage et peut résoudre certains problèmes. Il arrête et redémarre le service IPSec (qui supprime toutes les associations de sécurité IKE et IPSec actuelles), force une actualisation de stratégie de groupe à recharger la stratégie IPSec actuellement affectée au domaine à partir du service d'annuaire Active Directory® et met à jour le cache de la stratégie. Pour éviter la perte de connectivité des sessions de bureau à distance, le script doit être téléchargé sur l'ordinateur de l'appelant et exécuté localement par un compte disposant de privilèges administratifs. Utilisez la syntaxe suivante pour exécuter le script à l'invite de commande :
cscript IPSec_Debug.vbs
Le script effectue les fonctions suivantes :
détection de la version du système d'exploitation ;
appel du script Detect_IPSec_Policy.vbs ;
augmentation de la journalisation de la stratégie de groupe ;
augmentation de la journalisation du protocole d'authentification Kerberos version 5 ;
purge des tickets actuels du protocole Kerberos ;
actualisation de la stratégie de groupe ;
activation de la journalisation IPSec ;
exécution de tests PING et SMB (Net View) ;
détection des versions de fichier IPSec ;
exécution de tests de diagnostic de la stratégie et du réseau ;
copie des événements IPSec 547 dans un fichier texte ;
désactivation de la journalisation IPSec ;
restauration de la journalisation du protocole Kerberos ;
restauration de la journalisation de la stratégie de groupe.
Ce script active également tous les journaux liés à IPSec en vue du dépannage par le support de niveau 2.
Detect_IPSec_Policy.vbs
Ce script détermine si l'ordinateur exécute la stratégie IPSec appropriée en vérifiant les informations sur la version de la stratégie IPSec de domaine dans le cache du registre local actuel. Utilisez la syntaxe suivante pour exécuter le script à l'invite de commande :
cscript Detect_IPSec_Policy.vbs
Remarque : ce script est également appelé à partir du script IPSec_Debug.vbs ; il n'est donc pas nécessaire de l'exécuter en complément de ce dernier.
Refresh_IPSec_Policy.vbs
Il s'agit du script d'actualisation de la stratégie IPSec référencé dans les organigrammes de dépannage. Il actualise les tickets du protocole d'authentification Kerberos sur l'ordinateur ainsi que la stratégie de groupe et peut résoudre le problème si ce dernier est provoqué par une attribution de stratégie IPSec incorrecte ou par un échec lors du téléchargement de la stratégie de groupe. Utilisez la syntaxe suivante pour exécuter le script à l'invite de commande :
cscript Refresh_IPSec_Policy.vbs
Transfert des problèmes
Lorsque le personnel du support technique doit transférer un problème IPSec, le personnel du niveau 1 doit collecter les informations suivantes et les transmettre avec la requête de service :
les fichiers journaux générés avec le script IPSec_Debug.vbs ;
le nom de l'ordinateur de l'appelant afin que le niveau de support technique suivant puisse identifier le fichier journal généré par le script ;
l'ordinateur de destination auquel l'accès est refusé, afin que le problème soit transféré au groupe de support compétent.
Les scénarios d'isolation de serveurs disposent souvent de leur propre équipe technique pour identifier l'appartenance des groupes d'accès au réseau.
Préparation du dépannage de niveau 2
Le support de niveau 2 a deux rôles principaux. Tout d'abord, en tant que destinataire des transferts de niveau 1, le niveau 2 valide les problèmes et passe en revue les étapes effectuées par le niveau 1 pour s'assurer qu'aucune étape de dépannage n'a été omise. Dans cette optique, le niveau 2 doit confirmer que les problèmes transférés sont véritablement liés à IPSec et qu'il ne s'agit pas d'une erreur de diagnostic. Ensuite, en tant qu'ingénieurs de support réseau qualifiés, les membres du support de niveau 2 doivent utiliser leurs compétences et leur expérience (voir la section suivante) pour résoudre le problème grâce à l'analyse du journal et sans obtenir le contrôle administratif de l'ordinateur. Toutefois, les fichiers journaux ne font que capturer les informations, et les actions correctives nécessitent un accès administratif. En principe, un membre du support technique de niveau 2 n'est pas administrateur de domaine et n'est pas chargé d'apporter des modifications à une stratégie IPSec basée sur un domaine ni aux appartenances de groupe.
Compétences du support de niveau 2
Le personnel technique chargé du support IPSec de niveau 2 doit posséder des compétences et de l'expérience dans les domaines suivants :
Stratégie de groupe. Il doit connaître les stratégies à attribuer, savoir comment elles sont attribuées et être en mesure d'effectuer les tâches suivantes :
vérifier les listes de contrôle d’accès (Access control lists, ACL) sur les objets de la stratégie de groupe (Group policy objects, GPO) ;
vérifier les paramètres GPO ;
vérifier les appartenances des ordinateurs et des utilisateurs aux divers groupes.
Expérience des logiciels tiers utilisés par l'entreprise.
Identification des échecs d'authentification.
- Le personnel technique doit être capable de vérifier que le compte d'un ordinateur appartenant à un domaine est correct en utilisant les utilitaires netdiag et nltest.
Configuration IPSec. Le personnel technique doit être capable d'effectuer les tâches suivantes :
vérifier les configurations du filtre IPSec ;
recharger la stratégie de domaine IPSec ;
désactiver entièrement IPSec ou uniquement la stratégie de domaine afin d'utiliser la stratégie locale pour des tests ;
dépanner le processus de négociation IKE d'IPSec et les protocoles de sécurité.
Réseau. Le personnel technique doit être capable d'effectuer les tâches suivantes :
dépanner la pile de protocole réseau sur un ordinateur hôte ;
comprendre et résoudre les informations collectées dans un fichier de suivi réseau ;
dépanner des problèmes de chemin d'accès au réseau, y compris les solutions de recherche de l'unité maximale de transfert (Maximum Transmission Unit, MTU) du chemin TCP et les solutions d'accès distant au réseau privé virtuel (virtual private network, VPN).
Problèmes inhérents à l'utilisation d'IPSec
Comme nous l'avons mentionné dans la section précédente, dans le cas d'une solution d'isolation de serveurs et de domaines, le personnel du support de niveau 2 a besoin de connaître les détails relatifs aux communications protégées par IPSec, mais il doit aussi être capable d'isoler les problèmes associés à d'autres composants.
Pour établir une communication IPSec entre deux ordinateurs, ceux-ci nécessitent généralement une stratégie IPSec compatible. Par exemple, une stratégie IPSec peut bloquer la communication si l'ordinateur distant ne dispose pas d'une stratégie IPSec adéquate. Bien que ce comportement soit intentionnel ou acceptable lors du déploiement d'un changement de stratégie, le fait qu'il bloque la connectivité réseau entre un ou plusieurs ordinateurs et provoque l'apparition d'avertissements ou d'erreurs dans une application n'est pas forcément visible immédiatement. Dans le pire des cas, un administrateur peut accidentellement attribuer une stratégie IPSec à tous les membres d'un domaine qui bloque la totalité du trafic. Il est difficile d'interrompre la réplication de la stratégie préjudiciable, sauf si l'erreur est immédiatement réparée avec une attribution qui réplique rapidement l'attribution d'origine. Ce type d'erreur entraîne une situation dans laquelle les communications entre un client et un contrôleur de domaine sont nécessaires à l'utilisation d'IPSec. Étant donné que l'authentification utilisée dans cette solution repose sur le protocole Kerberos, les clients qui héritent de cette stratégie ne sont pas en mesure d'effectuer le processus de connexion, car ils ne sont pas capables d'obtenir le ticket Kerberos requis pour sécuriser les communications. Les administrateurs doivent planifier avec minutie toute modification de la stratégie et s'assurer que des mesures de protection existent pour minimiser les risques de ce type de situation.
Des informations générales sur le dépannage du protocole TCP/IP sont fournies dans les guides de dépannage répertoriés à la section « Informations complémentaires » à la fin de ce chapitre. Cependant, plusieurs procédures mentionnées dans ces guides fonctionnent uniquement si IPSec assure la connectivité. Si IKE ou IPSec sont défaillants, alors la plupart de ces procédures et outils deviennent inopérants. Dans un scénario d'isolation de serveurs et de domaines, il est possible que certaines procédures indiquées dans ces guides ne fonctionnent pas du tout, même si IPSec assure la connectivité. Un service de support technique doit mettre à jour et personnaliser ses outils et procédures de dépannage afin qu'ils soient efficaces dans un environnement d'isolation de serveurs et de domaines. Comme il existe différentes manières de déployer des stratégies IPSec pour contrôler et sécuriser le trafic réseau, il est peu vraisemblable que les entreprises puissent uniquement utiliser les procédures existantes et un jeu d'outils générique.
Il est important que le personnel du support dispose d'exemples documentés sur les résultats escomptés des outils de dépannage réseau qui sont obtenus à partir d'un laboratoire où l'isolation de serveurs et de domaines ou le déploiement d'IPSec fonctionnent correctement. Dans la plupart des cas, les outils de diagnostic réseau n'attendent pas le délai de trois secondes pour passer en communication en texte clair ou les brefs délais requis pour la négociation IKE initiale des associations de sécurité (security associations, SA) d'IPSec. Par conséquent, les outils peuvent afficher un résultat lors de leur exécution initiale et afficher un autre résultat s'ils sont exécutés quelques secondes plus tard. En outre, lorsque l'accès au réseau est délibérément refusé par IPSec, les outils signalent des échecs. Le type d'échec dépend de l'outil utilisé et de l'environnement IPSec.
Remarque: dans la section consacrée au support de niveau 1, les termes appelant et cible ont été utilisés pour aider le personnel du support technique à résoudre les problèmes courants. Dans la section relative au support de niveau 2, il est préférable d'utiliser les termes IPSec initiateur et répondeur pour que les processus de dépannage avancé soient plus clairs. Le reste de ce chapitre utilise ces termes IPSec.
Stratégie de groupe et appartenance aux groupes
La stratégie IPSec basée sur le domaine dépend de la stratégie de groupe et du téléchargement des GPO. Si le système de stratégie de groupe du client rencontre des erreurs lors de la détection de changements GPO ou lors de leur téléchargement, la connectivité IPSec peut s'en trouver affectée. Si l'attribution de la stratégie de groupe est contrôlée par l'appartenance à une unité d'organisation (UO) et que les comptes d'ordinateurs sont par inadvertance déplacés vers une autre UO, supprimés ou recréés dans une UO inappropriée, il est possible qu'une stratégie IPSec inadéquate soit attribuée.
Cette solution utilise les groupes de sécurité des domaines pour contrôler les attributions de stratégies et l'accès au réseau. L'appartenance aux groupes est contenue dans les tickets (tickets TGT et de service) du protocole d'authentification Kerberos version 5. La durée de vie de ces tickets est assez longue. Ainsi, les administrateurs doivent prévoir le temps nécessaire aux ordinateurs pour recevoir les informations d'identification des nouveaux tickets TGT et de service Kerberos contenant les mises à jour des appartenances aux groupes. Le protocole Kerberos permet très difficilement de déterminer si les tickets Kerberos d'un ordinateur contiennent les appartenances aux groupes appropriées. Il s'agit d'une difficulté liée à la conception des tickets, car toutes les informations sur l'appartenance à un groupe sont stockées sous forme chiffrée dans le ticket. L'appartenance à un groupe doit être déterminée par l'utilisation des informations du service d'annuaire, et non par l'utilisation des tickets.
Authentification Kerberos
La conception de l'isolation de serveurs et de domaines utilise le protocole Kerberos version 5 pour l'authentification IKE. Étant donné que le protocole Kerberos requiert une connectivité réseau et un service disponible à partir du DNS et des contrôleurs de domaine, le manque de connectivité entraîne l'échec de l'authentification Kerberos et d'IKE. (IKE échoue également si Kerberos échoue.) Ainsi, des problèmes de connectivité entre un ordinateur A et un ordinateur B peuvent être provoqués par une connectivité réseau bloquée entre l'ordinateur A et l'ordinateur C. Ces problèmes sont causés par l'incapacité du protocole Kerberos de s'authentifier auprès d'un contrôleur de domaine. Dans ce type de situation, les informations fournies dans les événements 547 des journaux d'audit et de sécurité de Windows offrent généralement des conseils très précieux sur la source du problème.
Trafic entrant protégé par IPSec requis
Cette solution d'isolation de serveurs et de domaines spécifie que des communications protégées par IPSec sont requises pour l'accès entrant. Cette condition a pour conséquence d'obliger les outils de surveillance à distance exécutés sur des ordinateurs non approuvés ou sur des périphériques de surveillance réseau dédiés à signaler qu'il est impossible de contacter un ordinateur distant. Si ces ordinateurs ou périphériques ne peuvent pas intégrer l'environnement « approuvé », ils ne seront pas capables de jouer un rôle de surveillance sauf si des exemptions spécifiques sont ajoutées à la conception. Le dépannage est compliqué par le fait qu'IPSec peut être requis pour établir la connectivité vers un hôte approuvé, ce qui signifie qu'un administrateur risque de ne pas pouvoir se connecter à un hôte approuvé, ni de pouvoir interrompre le service IPSec sans perdre la connectivité. Si la stratégie IPSec de l'administrateur autorise la communication en texte clair, alors la connexion à distance subit un délais de trois à quatre secondes après l'interruption du service sur l'ordinateur distant. Toutefois, l'arrêt du service IPSec sur un ordinateur distant supprime les associations de sécurité IPSec utilisées par tous les autres ordinateurs actuellement connectés. Si les autres ordinateurs ne sont pas en mesure d'établir la communication en texte clair, alors les communications sont interrompues et les connexions TCP sont hors délais. Comme les ruptures soudaines des communications TCP peuvent entraîner la corruption des données de certaines applications, l'arrêt du service IPSec doit uniquement être utilisé comme dernier recours du processus de dépannage. Avant l'arrêt du service IPSec, il est préférable de préparer la mise hors tension de l'ordinateur afin que tous les utilisateurs connectés puissent mettre fin correctement aux communications.
Problèmes de direction des communications
L'un des scénarios de dépannage courants présente une communication réussie dans une direction mais qui échoue dans la direction opposée. L'authentification IKE requiert généralement l'authentification mutuelle des ordinateurs. Si un ordinateur ne peut pas obtenir de ticket Kerberos lorsqu'il initie le mode IKE principal pour un ordinateur distant, alors IKE échoue. Cette situation peut se produire si le client Kerberos de l'initiateur ne peut pas accéder à un contrôleur du domaine de l'ordinateur de destination. Si les ordinateurs font partie de domaines qui ne sont pas mutuellement approuvés (approbation bidirectionnelle), alors les négociations IKE en mode principal réussissent lorsqu'un seul ordinateur démarre et échoue si l'autre ordinateur démarre. De la même manière, les droits de connexion au réseau peuvent être différents sur deux ordinateurs. Il est possible que les négociations IKE en mode principal et en mode rapide échouent dans une direction pour ces raisons, mais également si les conceptions des stratégies IPSec ne sont pas compatibles.
Les pare-feu pour hôte qui interceptent le trafic au-dessus de la couche IPSec peuvent imposer la direction des connexions. Certains pare-feu pour hôte interceptent le trafic sous la couche IPSec. Une fois que la communication IPSec est établie, le trafic protégé par IPSec sera vraisemblablement autorisé dans les deux directions pendant une certaine durée.
Le filtrage avec état par un routeur réseau ou un pare-feu peut également bloquer les actions IKE de recomposition ou le flux du trafic IPSec sans influencer les autres protocoles de diagnostic comme le protocole ICMP. Il est possible que les ports TCP et UDP ne soient pas accessibles sur un ordinateur parce qu'un service n'est pas exécuté ou parce qu'un périphérique qui fonctionne au-dessus de la couche IPSec (un pare-feu Windows ou un routeur réseau, par exemple) bloque l'accès.
Suivis des réseaux et dépannage avancé du chemin d'accès au réseau
Les échecs de la négociation IKE entraînent souvent l'interruption de réponse à la négociation IKE de la part de l'ordinateur qui subit l'échec ou, dans certains cas, entraînent le renvoi du dernier message de bon fonctionnement jusqu'à ce que la limite de nouvelles tentatives expire. IKE doit être capable d'envoyer des datagrammes UDP fragmentés contenant les tickets Kerberos, car ces paquets dépassent souvent l'unité maximale de transfert d'un chemin (path maximum transmission unit, PMTU) pour l'adresse IP de destination. Si la fragmentation n'est pas correctement prise en charge, de tels fragments peuvent être abandonnés par les périphériques réseau dans un chemin donné. En outre, il est possible que le réseau ne transmette pas les paquets du protocole IPSec ou les fragments des paquets IPSec correctement. L'intégration d'IPSec à TCP permet à TCP de réduire la taille des paquets afin de recevoir la surcharge des en-têtes IPSec. Cependant, la négociation TCP de la taille maximale du segment (maximum segment size, MSS) lors de la liaison TCP ne prend pas en compte la surcharge IPSec. D'où le besoin croissant de recherche de l'unité PMTU ICMP sur le réseau afin de garantir que les communications TCP réussies sont protégées par IPSec. Ainsi, le dépannage des échecs de connectivité peut nécessiter les suivis des réseaux des deux côtés de la communication ou d'un seul, ainsi que les fichiers journaux des deux côtés de la communication.
Les ingénieurs du support technique doivent savoir lire les fichiers du suivi réseau et comprendre la négociation IKE. Les serveurs doivent être équipés du logiciel Moniteur réseau de Windows. Le Moniteur réseau de Windows 2000 permet l'analyse d'IPSec AH et d'IKE. Windows Server 2003 ajoute la prise en charge de l'analyse IPSec ESP null, l'analyse d'ESP lorsque le chiffrement est déchargé et l'analyse de l'encapsulation UDP-ESP utilisée pour NAT traversal.
Jeu d'outils de dépannage
Avant de commencer les opérations de dépannage, il est important d'identifier les utilitaires capables de fournir des informations en vue de faciliter le processus de dépannage. Cette section ne vise pas à dupliquer les informations disponibles dans l'aide de Windows 2000, Windows XP ou Windows Server 2003 accessible via la page Troubleshooting tools (Outils de dépannage) .gif)
du site Web de Microsoft Windows Server™ 2003 à l'adresse www.microsoft.com/resources/documentation/
WindowsServ/2003/standard/proddocs/en-us/
sag_IPSec_tools.asp.
Les informations détaillées sur les outils sont uniquement fournies dans cette section pour le cas où elles ne seraient pas facilement accessibles dans la page Troubleshooting tools ou lorsqu'il est utile de disposer de résumés sur les différentes versions des systèmes d'exploitation.
Composant logiciel enfichable MMC Gestion de stratégie de sécurité IP
Le composant logiciel enfichable MMC Gestion de stratégie de sécurité IP permet de créer et de gérer les stratégies IPSec locales ou les stratégies IPSec stockées dans le service d'annuaire Active Directory. Il sert également à modifier la stratégie IPSec sur les ordinateurs distants. Le composant MMC Gestion de stratégie de sécurité IP est inclus dans les systèmes d'exploitation Windows Server 2003, Windows XP, Windows 2000 Server et Windows 2000 Édition Professionnel, et il peut être utilisé pour afficher et modifier les détails de la stratégie IPSec, les filtres, les listes de filtres et les actions de filtrage IPSec, ainsi que pour attribuer ou supprimer l'attribution de stratégies IPSec.
Composant logiciel enfichable MMC Moniteur de sécurité IP
Le composant MMC Moniteur de sécurité IP affiche les statistiques IPSec et les associations de sécurité actives. Il permet également d'afficher des informations sur les composants IPSec suivants :
le mode principal et le mode rapide IKE ;
les stratégies IPSec locales ou de domaine ;
les filtres IPSec qui s'appliquent à l'ordinateur.
Bien que ce composant logiciel enfichable fasse partie des systèmes d'exploitation Windows XP et Windows Server 2003, il existe des différences dans les fonctionnalités et les interfaces de ces deux versions. En outre, la version Windows Server 2003 possède les fonctions supplémentaires suivantes :
Windows Server 2003 propose des détails sur la stratégie IPSec active : nom, description, date de dernière modification, emplacement, chemin, UO et nom d'objet de stratégie de groupe. Pour obtenir ces informations sous Windows XP, vous devez utiliser l'utilitaire de ligne de commande IPSeccmd (décrit ultérieurement).
Des statistiques sont fournies séparément pour le mode principal et le mode rapide dans des dossiers situés sous chaque mode, et non dans un seul affichage.
Remarque : sous Windows 2000, l'outil Moniteur de sécurité IP est un programme exécutable indépendant (IPSecmon.exe) disposant de sa propre interface graphique utilisateur. Vous trouverez des informations sur cet outil et son utilisation dans l'article 257225 Basic IPSec troubleshooting in Microsoft Windows 2000 Server (Résolution élémentaire des problèmes liés à IPSec sous Windows 2000)
de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/kb/257225.
Une mise à jour de ce composant logiciel enfichable est disponible pour Windows XP en tant que partie de la mise à jour décrite dans l'article 818043 L2TP/IPSec NAT-T update for Windows XP and Windows 2000 (Mise à jour NAT-T pour le protocole L2TP et la sécurité IP dans Windows XP et Windows 2000) de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/?kbid=818043. Grâce à cette mise à jour, il est possible d'afficher les ordinateurs Windows Server 2003 à partir de Windows XP. Le composant logiciel enfichable MMC Moniteur de sécurité IP mis à jour peut également lire les fonctions avancées créées sous Windows Server 2003 (par exemple, les informations sur le groupe 2048 Diffie-Hellman, les mappages de certificats et les filtres dynamiques), mais il ne peut pas les modifier. Pour plus d’informations, reportez-vous à l’article de la Base de connaissances référencé.
Netsh
Netsh est un utilitaire de script de ligne de commande qui vous permet d'afficher ou de modifier la configuration réseau. Vous pouvez l'utiliser localement ou à distance. Netsh est disponible sous Windows 2000, Windows XP et Windows Server 2003. De plus, la version Windows Server 2003 a été améliorée afin de fournir des fonctions de gestion et de diagnostic IPSec. Les commandes Netsh pour IPSec sont uniquement disponibles pour Windows Server 2003 ; elles remplacent les commandes Ipseccmd de Windows XP et Netdiag de Windows 2000.
Ipseccmd
Vous pouvez utiliser l'utilitaire de ligne de commande Ipseccmd à la place du composant logiciel enfichable MMC Stratégie de sécurité IP. Il est uniquement disponible pour Windows XP. Windows XP Service Pack 2 fournit des fonctionnalités supplémentaires pour cet outil.
Ipseccmd doit être installé à partir du dossier Outils de support du CD d'installation de Windows XP. Une version mise à jour est disponible avec Windows XP SP2 et doit être installée à partir du dossier Outils de support du CD d'installation de Windows XP SP2. La version précédant la version SP2 ne fonctionne pas sur les ordinateurs mis à jour, et la version mise à jour ne fonctionne pas sur les ordinateurs antérieurs à SP2.
L'utilitaire Ipseccmd mis à jour est doté des fonctionnalités suivantes :
il active et désactive la journalisation d'IKE de façon dynamique ;
il affiche des informations sur une stratégie actuellement attribuée ;
il vous permet de créer une stratégie IPSec de longue durée ;
il peut afficher la stratégie IPSec actuellement attribuée et active.
Pour plus d'informations sur l'utilitaire Ipseccmd mis à jour, reportez-vous à l'article 818043 (cité plus haut) de la Base de connaissances Microsoft.
Pour afficher tous les paramètres de la stratégie IPSec et les statistiques de diagnostic, utilisez la syntaxe suivante :
ipseccmd show all
Pour afficher les stratégies IPSec actuellement attribuées et actives (locales ou placées dans Active Directory), utilisez la syntaxe suivante :
ipseccmd show gpo
Remarque : cette commande fonctionne uniquement avec la version SP2.
Pour activer la journalisation du débogage sur Windows XP SP2, utilisez la syntaxe suivante :
ipseccmd set logike (le redémarrage du service IPSec n'est pas requis)
Pour désactiver la journalisation du débogage, utilisez la syntaxe suivante :
ipseccmd set dontlogike (le redémarrage du service IPSec n'est pas requis)
Remarque : seul Ipseccmd vous permet d'activer la journalisation Oakley sous Windows XP SP2 ; les commandes ci-dessus ne fonctionnent pas sur des ordinateurs antérieurs à la version SP2.
Netdiag
Netdiag est un utilitaire de ligne de commande d'exécution de diagnostics utilisé pour tester la connectivité et la configuration réseau, y compris les informations IPSec. Netdiag est disponible avec Windows 2000, Windows XP et Windows Server 2003, mais sa fonctionnalité change en fonction de la version du système d'exploitation. Sous Windows Server 2003, Netdiag n'inclut plus la fonctionnalité IPSec, mais vous pouvez utiliser le contexte netsh ipsec à la place et utiliser Netsh pour les tests réseau de base. Vous devez vous assurer que vous utilisez la version la plus récente de votre système d'exploitation en procédant à une vérification via le Centre de téléchargement Microsoft. Netdiag doit être installé à partir du dossier Outils de support du CD du système d'exploitation utilisé.
Remarque: Netdiag n'est pas mis à jour lors de l'installation de Windows XP SP2.
La pertinence du dépannage d'IPSec par Netdiag dépend de la version du système d'exploitation. Les différences en termes de fonctionnalités sont décrites dans le tableau suivant.
Tableau 7.1: Fonctionnalité Netdiag IPSec sous différents systèmes d'exploitation
| Commande | Description | Windows 2000 ? | Windows XP ? | Windows 2003 ? |
|---|---|---|---|---|
| netdiag /test:ipsec |
Affiche la stratégie IPSec attribuée | Oui | Oui | Non** |
| netdiag /test:ipsec /debug |
Affiche la stratégie IPSec active, les filtres et les statistiques du mode rapide | Oui | Oui* | Non** |
| netdiag /test:ipsec /v |
Affiche la stratégie IPSec active, les filtres et les statistiques du mode principal | Oui | Oui* | Non** |
| Outil | Systèmes d'exploitation pris en charge | Obtention | Rôle | Informations complémentaires |
|---|---|---|---|---|
| Ipsecpol.exe | Windows 2000 uniquement | Kit de ressources de Windows 2000 | Configure les stratégies IPSec dans l'annuaire ou un registre | Aide contenue dans les outils du kit de ressources de Windows 2000 |
| Gpresult | Windows 2000, Windows Server 2003, Windows XP |
Kit de ressources Windows 2000 ; pour Windows XP et Windows Server 2003, Gpresult fait partie du système d'exploitation |
Indique quand la stratégie de groupe a été appliquée pour la dernière fois | Aide contenue dans les outils du kit de ressources de Windows 2000, Aide de Windows XP et de Windows Server 2003 |
| Composant logiciel enfichable MMC Jeu de stratégie résultant (Resultant Set of Policy, RSoP) |
Windows Server 2003, Windows XP |
Inclus dans le système d'exploitation | Affiche la stratégie IPSec d'un ordinateur ou des membres d'un conteneur de stratégie de groupe | Windows Server 2003 |
| Srvinfo | Kits de ressources Windows 2000, Windows Server 2003, Windows XP |
Windows 2000 et Windows Server 2003 |
Fournit des informations sur les services, pilotes de périphériques et protocoles | Aide contenue dans les outils du kit de ressources de Windows Server 2003 |
| PortQry | Kits de ressources Windows 2000, Windows Server 2003, Windows XP |
Windows Server 2003 |
Génère des rapports sur l'état des ports réseau | http://support. microsoft.com/ kb/310099 |
| NLTest | Kits de ressources Windows 2000, Windows Server 2003, Windows XP |
Outils de support | Teste les relations d'approbation et les canaux Netlogon sécurisés | Aide contenue dans les outils du kit de ressources de Windows Server 2003 |
| Klist | Kits de ressources Windows 2000, Windows Server 2003, Windows XP |
Windows 2000 et Windows Server 2003 |
Génère des rapports sur les tickets Kerberos | Aide contenue dans les outils du kit de ressources de Windows Server 2003 |
| Pathping | Kits de ressources Windows 2000, Windows Server 2003, Windows XP |
Inclus dans le système d'exploitation | Teste les chemins d'accès et la connectivité réseau | Aide de Windows |
| LDP | Kits de ressources Windows 2000, Windows Server 2003, Windows XP |
Outils de support | Teste le client LDAP pour Active Directory | Aide contenue dans les outils du kit de ressources de Windows Server 2003 |
Utilisation d'outils ICMP avec IPSec
Les outils Ping, Pathping et Tracert de Windows XP et de Windows Server 2003 reconnaissent IPSec, mais ils peuvent ne pas fonctionner correctement tant que des associations de sécurité n'ont pas été établies (si la communication en texte clair est autorisée). Si des associations de sécurité IPSec étaient négociées avec succès pour encapsuler le trafic ICMP utilisé par ces utilitaires, elles ne seraient pas en mesure de détecter des sauts (routeur) intermédiaires entre le client et la destination. Les calculs relatifs à la perte de paquets concernant l'outil Ping peuvent indiquer les paquets perdus pendant la durée requise par IKE pour négocier avec succès une association de sécurité IPSec avec la cible. Les calculs sur la perte de paquets pour chaque saut intermédiaire ne sont pas disponibles lorsque le trafic ICMP est encapsulé par IPSec.
Ces utilitaires ICMP sont conçus pour détecter si le pilote IPSec correspondait à un filtre IPSec pour le paquet de demande d'écho ICMP sortant et nécessitait ainsi une négociation de sécurité IKE. Lorsque cela se produit, le message « Négociation de la sécurité IP » est affiché par l'utilitaire. Un bogue connu de Windows 2000 empêche l'utilitaire Ping d'attendre autant que nécessaire avant de tenter une nouvelle demande d'écho, ce qui signifie que la commande peut s'achever immédiatement au lieu d'attendre trois secondes pour que la SA logicielle soit établie. L'utilitaire Ping de Windows XP et de Windows Server 2003 attend le temps nécessaire avant d'envoyer la demande d'écho suivante.
Le message « Négociation de la sécurité IP » ne s'affiche pas lorsque :
le pilote IPSec abandonne le paquet ICMP sortant en raison d'un filtre bloquant ;
le pilote IPSec autorise le transfert du paquet ICMP non sécurisé en raison d'un filtre d'autorisation ou d'une SA logicielle ;
le pilote IPSec ne détecte pas le paquet sortant (par exemple, s'il a été abandonné par les couches situées au-dessus du pilote).
Remarque : certains outils utilisant ICMP ne sont pas capables de détecter qu'IPSec négocie la sécurité et peuvent produire des résultats incohérents ou erronés.
Processus de dépannage d'IPSec
Si le support de niveau 1 a clairement identifié un problème, le support de niveau 2 sera en mesure de trouver rapidement la procédure de dépannage appropriée dans les sections suivantes. Dans ce modèle, le support de niveau 1 traite principalement les problèmes d'accès du client. En général, les propriétaires administratifs de serveurs sont capables d'effectuer des diagnostics de connectivité réseau de base et peuvent ignorer le niveau 1. Cependant, chaque entreprise doit ajuster le modèle en fonction de son environnement de support. Le support de niveau 2 doit se concentrer sur l'identification du point d'échec de la communication, puis rechercher des causes associées dans l'architecture du système.
Si votre entreprise utilise les scripts fournis dans le cadre du processus de dépannage, vous aurez accès à un certain nombre de fichiers journaux au format texte qui vous aideront à diagnostiquer le problème. Le tableau suivant présente la description des fichiers générés par le script.
Tableau 7.3 : Fichiers générés par le script IPSec_Debug.vbs
| Nom de fichier | Description |
|---|---|
| <NomOrdin>_FileVer.txt | Liste des versions de fichier de plusieurs DLL associées à IPSec. |
| <NomOrdin>_gpresult.txt | Résultat de la commande gpresult. |
| <NomOrdin>_ipsec_547_events.txt | Affiche le résultat de n'importe quelle erreur IPSEC 547 dans le journal des événements de sécurité. |
| <NomOrdin>_ipsec_policy_version.txt | Résultat du script Detect_IPSec_Policy.vbs. Affiche la version de la stratégie actuelle et indique si elle correspond à la stratégie Active Directory. |
| <NomOrdin>_ipseccmd_show_all.txt | Uniquement pour Windows XP. Ce fichier capture le résultat de la commande ipseccmd. |
| <NomOrdin>_kerberos_events.txt | Affiche le résultat de n'importe quel événement Kerberos dans le journal des événements système. |
| <NomOrdin>_klist_purge_mt.txt | Résultat de KList lors de la purge des tickets d'ordinateur. |
| <NomOrdin>_lsass.log | Copie du fichier lsass.log, s'il est présent. |
| <NomOrdin>_netdiag.txt | Résultat de l'exécution de netdiag. |
| <NomOrdin>_netsh_show_all.txt | Uniquement sur les plates-formes serveur. Résultat de l'exécution de la commande show all dans netsh. |
| <NomOrdin>_netsh_show_gpo.txt | Uniquement sur les plates-formes serveur. Résultat de l'exécution de la commande show gpo dans netsh. |
| <NomOrdin>_oakley.log | Copie du fichier Oakley.log, s'il est présent. |
| <NomOrdin>_OSInfo.txt | Sortie des informations du système d'exploitation actuel. |
| <NomOrdin>_RegDefault.txt | Résultat des valeurs de la clé de registre d'origine avant leur modification. Peut être utilisé pour rétablir manuellement les valeurs précédentes du registre si le script échoue. |
| <NomOrdin>_userenv.log | Copie du fichier userenv.log, s'il est présent. |
| <NomOrdin>_<SrvName>_netview.txt | Résultat de l'exécution de la commande net view sur <NomSrv>. |
| <NomOrdin>_<SrvName>_ping.txt | Résultat de l'exécution de la commande ping sur <NomSrv>. |
| <NomOrdin>_winlogon.log | Copie du fichier winlogon.log, s'il est présent. |
Si le problème de résolution de noms persiste, arrêtez brièvement le service IPSec (si possible) lorsque les tests sur la résolution de noms sont répétés. Si les tests de résolution de noms échouent uniquement lorsque le service IPSec est en cours d'exécution, vous devez continuer vos recherches pour savoir quelle stratégie IPSec est appliquée (voir les explications plus loin dans cette section).
Vérification de la connectivité et de l'authentification avec les contrôleurs de domaine
Étant donné que la transmission de la stratégie IPSec, l'authentification IKE et les protocoles de niveau supérieur dépendent de l'accès aux contrôleurs de domaine, des tests de connectivité réseau et de bon fonctionnement des services d'authentification doivent être réalisés avant les étapes de dépannage d'IPSec spécifiques (voir la section suivante). Dans le scénario Woodgrove Bank, la conception de la stratégie IPSec exempt tout le trafic vers tous les contrôleurs de domaine ; les tests de connectivité réseau pour les contrôleurs de domaine ne devraient donc pas être affectés par IPSec. Toutefois, la liste des adresses IP du contrôleur de domaine de la liste d'exemption doit être mise à jour manuellement. Si la négociation IKE est visible pour une adresse IP de contrôleur de domaine, alors la stratégie IPSec peut ne pas être correctement attribuée ou ne pas être mise à jour.
Pour dépanner l'accès aux services réseau dans Active Directory
Assurez-vous que le client peut envoyer une requête ping à chaque adresse IP du contrôleur de domaine. Si ce n'est pas le cas, reportez-vous aux étapes de connectivité réseau ci-dessus.
Identifiez les adresses IP utilisées pour les contrôleurs du membre du domaine. Utilisez la commande nslookup <nom domaine> pour obtenir la liste complète des adresses IP. Un scénario d'isolation de serveurs et de domaines doit prévoir un filtre spécifique au mode rapide avec une stratégie de négociation (action de filtrage) autoriser pour chacune de ces adresses.
Utilisez l'outil portqry.exe version 2.0 ou ultérieure ou l'outil PortQueryUI pour tester l'accès aux ports UDP, LDAP et RPC du contrôleur de domaine. Les messages du protocole UDP utilisés par l'outil portqry ne requièrent généralement pas l'authentification du protocole de niveau supérieur ; ils peuvent donc vérifier la disponibilité du service même si l'authentification n'est pas disponible. Ces étapes sont expliquées à la page HOW TO: Use Portqry to Troubleshoot Active Directory Connectivity Issues (COMMENT FAIRE : Utilisation du Portqry pour la résolution des problèmes de connectivité de Active Directory)
, disponible à l'adresse http://support.microsoft.com/?kbid=816103.Lorsque vous êtes connecté au réseau interne, utilisez la commande netdiag /v >outputfile.txt pour effectuer divers tests de connectivité liés à DNS et au contrôleur de domaine. L'utilitaire Netdiag utilise plusieurs connexions réseau et protocoles pour réaliser les tests ; si l'une de ces connexions déclenche des négociations IKE et que l'authentification échoue parce que IKE ne réussit pas à localiser un contrôleur de domaine pour l'authentification IKE, l'erreur de l'événement 547 peut être consignée dans le journal de sécurité.
L'outil de support klist.exe de Windows peut être utilisé pour vérifier que la connexion et l'authentification Kerberos ont réussi. L'outil Klist doit être exécuté dans le contexte du système local pour que vous puissiez afficher les tickets Kerberos de l'ordinateur.
Pour afficher les tickets de service Kerberos pour l'utilisateur de domaine connecté
- Ouvrez une invite de commande et tapez ce qui suit :
klist tickets
Pour afficher les tickets de l'ordinateur du domaine
Vérifiez que le service Planificateur de tâches est en cours d'exécution et que l'utilisateur connecté fait partie du groupe Administrateurs local.
À une invite de ligne de commande, choisissez une heure en avance d'une minute par rapport au temps système actuel (16:38, par exemple) et tapez ce qui suit :
at 4:38pm /interactive cmd /k klist tickets
Notez que la barre de titre de la fenêtre de commande contient C:\Windows\System32\svchost.exe.
Bien que les tickets Kerberos contiennent des informations sur le groupe de l'utilisateur ou de l'ordinateur, ces informations sont chiffrées afin qu'il soit impossible d'afficher les groupes. Par conséquent, les appartenances aux groupes doivent être confirmées manuellement par l'inspection des appartenances de groupe dans le service Active Directory. Pour vous assurer que les ordinateurs possèdent les informations d'appartenance aux groupes les plus récentes sur leurs tickets Kerberos, utilisez klist afin de purger les tickets Kerberos actuels. Lors de la nouvelle tentative de négociation IKE, les nouveaux tickets Kerberos seront obtenus automatiquement.
Pour purger les tickets Kerberos d'un ordinateur
(Les étapes 1 à 4 doivent être réalisées dans le contexte d'un système local.)
Vérifiez que le service Planificateur de tâches est en cours d'exécution et que l'utilisateur connecté fait partie du groupe Administrateurs local.
À une invite de ligne de commande, choisissez une heure en avance d'une minute par rapport au temps système actuel (16:38, par exemple) et tapez ce qui suit :
at 4:38pm /interactive cmdTapez klist purge et appuyez sur O pour chaque type de ticket afin de supprimer tous les tickets Kerberos.
Tapez klist tickets pour confirmer qu'il n'existe aucun ticket.
Si cette procédure fait partie du dépannage de l'échec des négociations IKE, attendez une minute pour que le délai de négociation IKE soit écoulé puis reéssayez d'accéder au serveur cible avec l'application. Les nouvelles négociations IKE en mode principal nécessitent de nouveaux tickets d'attribution de tickets (ticket-granting ticket, TGT) Kerberos et des tickets de service pour l'ordinateur de destination, lequel disposera des informations les plus récentes sur les groupes. Veillez à ne pas exécuter l'application à partir de la fenêtre de commande exécutée dans le contexte du système local.
Vous trouverez des procédures détaillées supplémentaires sur le dépannage de Kerberos dans les Livres blancs suivants :
Troubleshooting Kerberos Errors
(Dépannage des erreurs Kerberos) à l'adresse www.microsoft.com/downloads/details.aspx?
FamilyID=7dfeb015-6043-47db-8238-dc7af89c93f1&displaylang=enTroubleshooting Kerberos Delegation (Dépannage de la délégation Kerberos) à l'adresse
www.microsoft.com/downloads/details.aspx?
FamilyID=99b0f94f-e28a-4726-bffe-2f64ae2f59a2&displaylang=en
Vérification des autorisations et de l'intégrité de la stratégie IPSec dans Active Directory
Il peut s'avérer nécessaire de vérifier les informations relatives au conteneur de la stratégie IPSec dans le service Active Directory. La procédure suivante utilise l'outil de support ldp.exe.
Pour vérifier les informations sur le conteneur de la stratégie IPSec
Cliquez sur Démarrer, Exécuter, tapez ldp.exe et appuyez sur ENTRÉE.
Sélectionnez Connexion, puis Connecter. Indiquez le nom du domaine cible.
Sélectionnez Connexion, puis Liaison. Indiquez les informations de connexion pour le domaine cible.
Sélectionnez Afficher, puis Arborescence. Vous pouvez soit n'indiquer aucun nom de domaine de base et rechercher le conteneur de la stratégie IPSec, soit spécifier le nom du domaine LDAP pour le conteneur de la stratégie IPSec comme emplacement de base.
Cliquez sur le symbole + en regard du nœud du conteneur dans l'arborescence. Si vous possédez des autorisations en lecture sur le conteneur, tous les objets de la stratégie IPSec qu'il contient s'affichent.
Remarque: selon la configuration des autorisations, il est possible que certains utilisateurs de domaine ne disposent pas des autorisations en lecture. Pour plus d'informations, reportez-vous à l'article 329194 IPSec Policy Permissions in Windows 2000 and Windows Server 2003 (Autorisations de stratégie IPSec dans Windows 2000 et Windows Server 2003)
de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/?kbid=329194.
Pour effectuer un dépannage avancé des problèmes d'extraction et de corruption de la stratégie, vous pouvez utiliser ldp.exe pour inspecter manuellement le contenu du conteneur IPSec et les relations existant entre les objets de la stratégie IPSec. Windows 2000, Windows XP et Windows Server 2003 utilisent le même schéma d'annuaire de base pour la stratégie IPSec, affiché dans le diagramme de la structure de la stratégie IPSec de la référence technique How IPSec Works (Fonctionnement d'IPSec) de Windows Server 2003 disponible à l'adresse
WindowsServ/2003/all/techref/en-us/w2k3tr_ipsec_how.asp.
Le tableau suivant décrit les relations existant entre le nom de l'objet Active Directory et le nom du composant de la stratégie IPSec configuré dans le composant logiciel enfichable MMC Gestion de stratégie IPSec :
Tableau 7.4 : Association entre le nom du composant de la stratégie IPSec et le nom de l'objet Active Directory
| Nom du composant de la stratégie IPSec | Nom de l'objet Active Directory |
|---|---|
| Stratégie de sécurité IP | ipsecPolicy{GUID} |
| Méthodes de sécurité Échange de clés IKE | ipsecISAKMPPolicy{GUID} |
| Règle IPSec | ipsecNFA{GUID} |
| Liste de filtres IPSec | ipsecFilter{GUID} |
| Action de filtrage IPSec | ipsecNegotiationPolicy{GUID} |
Le script de commande Netsh suivant sert à supprimer toutes les stratégies persistantes :
pushd ipsec static
set store persistent
delete all
exit
Stratégie IPSec locale
La stratégie IPSec locale est prise en charge par Windows 2000, Windows XP et Windows Server 2003, et elle est stockée sous la clé de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\Policy\Local
Si une stratégie locale est attribuée, celle-ci sera stockée dans la clé de la manière suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\Policy\Local\ActivePolicy
Si aucune stratégie de domaine n'est attribuée, alors la stratégie locale attribuée sera ajoutée à une stratégie persistante configurée afin de devenir la stratégie active. Pour faciliter considérablement le dépannage, il est recommandé de modifier les stratégies IPSec créées par les scripts ipsecpol ou ipseccmd au moyen du composant logiciel enfichable MMC Gestion de stratégie IPSec afin de définir un nom pour chaque filtre avant de les utiliser dans des environnements de production. Vous pouvez aussi utiliser la commande netsh ipsec pour créer la stratégie sur un système Windows Server 2003, puis l'exporter vers un fichier compatible avec des systèmes Windows 2000 et Windows XP ou l'importer dans un domaine après que la stratégie aura été testée.
Sous Windows 2000, utilisez la commande netdiag /test:ipsec /debugpour afficher les détails de l'attribution de la stratégie et la stratégie active. Vous devez utiliser le composant logiciel enfichable MMC Gestion de stratégie IPSec ou les outils du registre pour supprimer les objets de la stratégie IPSec situés dans le magasin local. Pour forcer le rechargement de la stratégie IPSec attribuée, arrêtez puis redémarrez le service.
Sous Windows XP, utilisez la commande ipseccmd show gpo ou netdiag /test:ipsecpour afficher les détails de l'attribution de la stratégie et la stratégie active. Utilisez le composant logiciel enfichable MMC Gestion de stratégie IPSec, les outils du registre ou la commande
ipseccmd.exe -w REG -p "<policy_name>" –o pour supprimer la stratégie IPSec nommée. Pour supprimer facilement une stratégie locale, supprimez toutes les sous-clés de l'emplacement de stockage précédemment référencé.
Pour obliger le service IPSec à recharger la stratégie, arrêtez le service IPSec, puis redémarrez-le ou supprimez l'attribution de la stratégie IPSec, puis attribuez-la de nouveau à l'aide du composant logiciel MMC Gestion de stratégie IPSec. Il est également possible d'utiliser la commande sc policyagent control 130pour recharger la stratégie. Une fois la stratégie rechargée, toutes les associations de sécurité IKE et IPSec sont supprimées, ce qui peut entraîner des retards ou des interruptions de connectivité sur les ordinateurs qui utilisaient activement les SA IPSec pour transmettre et recevoir le trafic.
Sous Windows Server 2003, utilisez la commande,
netsh ipsec static show gpoassignedpolicyle composant logiciel enfichable MMC Gestion de stratégie IPSec ou le nœud Stratégie active du moniteur IPSec pour afficher la stratégie locale actuellement attribuée.
Utilisez la commande netsh ipsec dynamic show allpour afficher la configuration de la stratégie active. Vous pouvez aussi utiliser le Moniteur IPSec pour inspecter différentes parties de la stratégie active.
Pour supprimer puis recharger la stratégie locale sous Windows Server 2003, utilisez les mêmes commandes que celles répertoriées pour Windows XP. La commande netsh ipsecpeut servir à supprimer l'attribution d'une stratégie, à l'attribuer de nouveau et à la supprimer.
Stratégie IPSec Active Directory
Cette stratégie est prise en charge par Windows 2000, Windows XP et Windows Server 2003. La stratégie IPSec de domaine attribuée est stockée dans le registre local à l'emplacement suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\GPTIPSECPolicy
Le cache du registre local de la stratégie de domaine est stocké sous :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\Policy\Cache
Le magasin d'annuaire doit être géré par le composant logiciel enfichable MMC Gestion de stratégie IPSec ou par la commande netsh ipsec exécutée en tant que processus local dans Active Directory. Il n'existe aucun outil qui vous permette d'afficher directement le contenu du cache. Vous devez utiliser un outil du registre pour savoir si le cache existe et s'il possède le contenu approprié. De la même manière, les outils du registre servent à supprimer la stratégie de domaine en supprimant les clés de registre GPTIPSecPolicy et Cache. Ensuite, vous devez soit redémarrer le service IPSec, soit utiliser la commande de contrôle de services pour forcer le rechargement de la stratégie IPSec sans la stratégie de domaine.
Pour actualiser l'attribution de la stratégie IPSec de domaine, recharger la stratégie IPSec et mettre à jour le contenu du cache, utilisez la commande gpudpate /force.
Pour bloquer temporairement l'application de la stratégie de domaine à l'ordinateur local, vous pouvez configurer les autorisations sur les clés de registre GPTIPSecPolicy et Cache afin de refuser l'accès en lecture au compte système local. Le composant logiciel enfichable MMC Moniteur de sécurité IPSec et les outils de ligne de commande continueront à indiquer que la stratégie de domaine est attribuée car ces outils lisent les informations GPTIPSecPolicy exécutées dans le contexte de l'administrateur local. Pour un blocage à plus long terme de la stratégie IPSec basée sur le domaine, vous devez empêcher l'ordinateur de lire l'objet GPO approprié dans Active Directory.
Sous Windows 2000, vous pouvez rencontrer les erreurs suivantes en cas de problème lié à la stratégie :
Impossible d'effectuer la liaison avec le schéma de l'annuaire. Le service Agent de stratégie IPSec n'a pas pu effectuer de liaison LDAP authentifiée au conteneur de stratégies de sécurité IP Active Directory. Cette erreur est probablement apparue parce que le compte de l'ordinateur n'a pas réussi à se connecter et à obtenir les informations d'identification Kerberos, ou parce que le protocole Kerberos ne réussit pas à émettre le ticket du service LDAP pour le service Agent de stratégie IPSec.
Impossible d'effectuer la liaison avec l'objet Stockage de stratégie IPSEC. Un objet a été défini dans la stratégie IPSec (une règle ou une liste de filtrage, par exemple) qui n'existe pas. Il est possible que la stratégie IPSec ou la stratégie de stockage Active Directory soit corrompue, ou que l'objet ait été supprimé (bien que les stratégies IPSec existantes continuent à le référencer). Étudiez la stratégie IPSec en utilisant le composant logiciel enfichable MMC Gestion de stratégie IPSec pour voir si toutes les règles de la stratégie sont intactes et si les propriétés Échange de clés (de l'onglet Général) peuvent être affichées correctement.
Impossible de trouver le contrôleur de domaine. Assurez-vous que l'ordinateur est membre du domaine et vérifiez la connectivité réseau. Le module de stockage de la stratégie IPSec n'a pas réussi à trouver un annuaire LDAP à partir duquel extraire la stratégie IPSec basée sur le domaine.
Impossible de communiquer avec le service d'annuaire sur le contrôleur de domaine. Contactez votre administrateur système. Le module de stockage IPSec n'a pas réussi à utiliser les fonctions de signature et de scellement de LDAP pour télécharger la stratégie IPSec attribuée.
Impossible de trouver l'objet dans l'emplacement de stockage. Cette erreur est généralement grave, car elle signifie que la stratégie IPSec ne peut pas être extraite en totalité et donc ne fonctionnera pas correctement. Le module Stockage de la stratégie IPSec n'a pas réussi à trouver le GUID de l'objet (règle, liste de filtres, action de filtrage ou paramètres ISAKMP) contenu dans la stratégie IPSec ou l'une des règles en utilisant un appel LDAP ou un appel de registre distant. Cette erreur peut être provoquée par :
des retards de réplication au cours desquels l'objet « référençant » arrive avant l'objet référencé ou des requêtes sont dirigées vers deux contrôleurs de domaine différents ;
la suppression de l'objet alors qu'il était toujours utilisé par la stratégie IPSec ;
des autorisations qui ne permettent pas d'énumérer ou de lire l'objet, ou le stockage de la stratégie IPSec a été restauré à une heure antérieure à la création de l'objet ;
la corruption de la stratégie IPSec qui génère un GUID incorrect dans la requête ;
l'indisponibilité de la connectivité réseau pour l'adresse IP de destination ;
l'indisponibilité du service LDAP ou du registre distant.
Impossible de terminer l'opération requise. Le stockage de stratégie n'est pas ouvert. Il est impossible d'ouvrir le magasin Active Directory, de l'ordinateur distant ou de l'ordinateur local. Cette erreur est généralement causée par un échec d'autorisation ou d'authentification.
L'utilisation de la stratégie de registre local actif, du fait que (i) il n'y a pas de stratégie de stockage Active Directory ou (ii) la stratégie de stockage Active Directory n'a pas pu être appliquée avec succès, et il n'y a pas de stratégie de cache. Cet événement indique que la stratégie IPSec est définie localement sur l'ordinateur et que la stratégie de domaine n'a pas pu être appliquée pour la remplacer.
N'utiliser aucune stratégie Ipsec, du fait que (i) il n'y a pas de stockage Active Directory ou de stratégie de registre local active ou (ii) la stratégie de stockage Active Directory n'a pas pu être appliquée avec succès, et il n'y a pas de stratégie de cache ou pas de stratégie de registre local active. Cet événement identifie l'état par défaut dans lequel aucune stratégie n'est attribuée à l'ordinateur.
Sous Windows XP et Windows Server 2003, les événements suivants indiquent que le service IPSec n'a pas réussi à retrouver un type de stratégie spécifique. Si une stratégie locale ne peut pas être lue sous Windows Server 2003 et Windows XP SP2, elle est ignorée et la stratégie attribuée suivante dans l'ordre de persistance est lue.
Le moteur PAStore n'a pas pu charger la stratégie IPSec de stockage persistant sur l'ordinateur pour <nomstratégie> avec le code d'erreur <numéro>. Le service IPSec a détecté qu'une stratégie persistante était attribuée et stockée dans le registre local, mais n'a pas réussi à lire le contenu d'au moins un des objets de la stratégie persistante. Vérifiez les autorisations dans les clés de registre. La stratégie est peut-être corrompue. Supprimez la stratégie persistante, puis recréez-la.
Le moteur PAStore n'a pas pu charger la stratégie IPSec de stockage locale sur l'ordinateur pour <nomstratégie> avec le code d'erreur <numéro>. Le service IPSec a détecté qu'une stratégie locale était attribuée et a tenté de la lire, mais une erreur s'est produite lors de la lecture d'au moins un des objets associés à la stratégie attribuée. Vérifiez les autorisations dans les clés de registre. La stratégie est peut-être corrompue : vous devez la supprimer, puis la recréer.
Le moteur PAStore n'a pas pu charger la stratégie IPSec de stockage d'annuaire sur l'ordinateur pour <nomstratégie> avec le code d'erreur <numéro>. Le service IPSec a rencontré au moins une erreur lors de la lecture de la stratégie IPSec attribuée à partir d'Active Directory. Ce problème peut être causé par une erreur de connectivité réseau avant que tous les objets aient pu être extraits ou par des objets absents de la stratégie IPSec ou par des objets ne possédant pas d'autorisation en lecture.
Le moteur PAStore a effectué un sondage pour détecter des modifications apportées à la stratégie IPSec Active Directory, a détecté que Active Directory est inaccessible et a migré vers l'utilisation de la copie mise en cache de la stratégie IPSec Active Directory. Toutes les modifications apportées à la stratégie IPSec Active Directory depuis le dernier sondage n'ont pas été appliquées. Ce message indique simplement qu'à un intervalle de sondage régulier, le service IPSec n'a pas réussi à contacter Active Directory (par exemple, en raison de la perte du service DNS) et qu'aucune modification n'a été apportée à la stratégie IPSec active. La connectivité à Active Directory était disponible à l'origine lorsque la stratégie active était appliquée et que le service IPSec avait extrait et stocké la version la plus récente dans le cache. Par conséquent, le service IPSec considère à présent le cache du registre de la stratégie de domaine IPSec comme la source principale de stratégie. Le sondage en vue de contacter l'annuaire va continuer.
Dépannage de l'interprétation de la stratégie IPSec
L'interprétation de la stratégie IPSec a lieu après l'extraction de la stratégie complète de l'emplacement de stockage approprié. Les adresses IP actuelles de l'interface réseau sont utilisées pour développer les filtres génériques de la stratégie en filtres spécifiques. Ensuite, la liste des filtres entrants et sortants spécifiques est chargée dans le pilote IPSec en vue du traitement des paquets. Les événements de modification de l'interface sont signalés au service IPSec, qui ajuste la configuration du filtre IPSec dans le pilote IPSec aussi rapidement que possible, si nécessaire (par exemple, pour les filtres Mon adresse IP).
Sous Windows 2000, les messages suivants peuvent indiquer un problème d'interprétation ou de configuration des composants IPSec pour appliquer la stratégie :
L'attribut Type de données spécifie un format de données non reconnu. Une partie de la stratégie IPSec contient un format de données que le moteur de stockage de la stratégie ne reconnaît pas. Cette erreur est le signe d'une corruption de la stratégie ou peut indiquer un problème futur de version de la stratégie. Les fonctions de la stratégie IPSec de Windows XP et Windows Server 2003 sont conçues pour être transparentes pour l'Agent de stratégie IPSec de Windows 2000.
Impossible de lire des données à partir du blob. Le format de données de l'attribut IPSecData dans un objet de stratégie IPSec ne correspond pas au format prévu. Cette erreur indique pratiquement toujours une corruption de la stratégie ou un problème de version. Vous devez la corriger avant de pouvoir appliquer tous les paramètres de la stratégie IPSec comme vous le souhaitez.
L'Agent de stratégie n'a pas de liste d'interfaces. L'Agent de stratégie n'a pas trouvé d'interface réseau IP à filtrer. Notez que l'erreur dans le texte de ce message provient directement du code source Windows, et elle apparaîtra de la manière illustrée ici.
L'Api d'aide publique Ip n'a pas pu obtenir la table d'interfaces. Les filtres basés sur les interfaces ne seront pas étendus et connectés au pilote Ipsec. Une erreur s'est produite lorsque l'Agent de stratégie a tenté d'énumérer la liste des interfaces de l'ordinateur. Il est possible qu'il n'y ait pas d'interface réseau ou qu'il existe une erreur dans le gestionnaire des interfaces réseau. Des périphériques qui ne sont pas complètement compatibles PnP, la corruption des fichiers ou des problèmes liés au pilote NIC ou à d'autres composants réseau de Windows peuvent être à l'origine de cette erreur : les filtres IPSec basés sur le type d'interface, comme ceux configurés dans une règle pour un type de connexion particulier (l'accès à distance, par exemple) plutôt que pour toutes les connexions. Si le problème persiste après le redémarrage de l'ordinateur, contactez les services de support technique Microsoft.
L'Api d'aide publique Ip n'a pas pu obtenir la table d'adresse IP. Les filtres basés sur les interfaces ne seront pas étendus et connectés au pilote Ipsec. Une erreur s'est produite lorsque l'Agent de stratégie IPSec a tenté d'énumérer toutes les adresses IP de l'ordinateur en utilisant un appel de fonction de l'API de l'application d'assistance IP. Il est possible qu'aucune adresse IP ne soit configurée ou qu'il existe des problèmes semblables à ceux mentionnés ci-dessus.
L'index d'entrée de l'adresse IP n'a pas été trouvé dans la table d'interfaces. Rejet de l'adresse IP. L'Agent de stratégie IPSec confirme que toutes les adresses IP apparaissent dans la liste des interfaces réseau. Ce problème est dû à des conditions passagères lorsqu'une nouvelle interface réseau est ajoutée ou supprimée. Ce message indique que le service IPSec ne va pas créer de filtres spécifiques pour cette adresse IP rejetée, pour les filtres génériques Mon adresse IP de la stratégie, ce qui pourrait apparaître comme un comportement de connectivité inattendu lors de l'utilisation de cette adresse IP. Cette erreur peut également révéler un problème de l'état interne de la configuration de l'interface IP que les services de support technique Microsoft devront examiner en détail. Puisque l'adresse IP est rejetée par l'Agent de stratégie IPSec (non par la pile TCP/IP), aucun filtre IPSec ne sera créé pour cette adresse IP. Ainsi, aucune action de sécurité (de type autoriser ou bloquer, par exemple) et aucune négociation des associations de sécurité IPSec ne sera réalisée pour le trafic au moyen de cette adresse IP.
Un miroir de filtre correspondant existe dans la liste des filtres. Cette erreur signale une condition de filtre dupliqué dans la stratégie IPSec. Vous devez analyser la conception de la stratégie IPSec pour vous assurer que les filtres spécifiques au mode rapide pour les directions entrante et sortante ne sont pas dupliqués.
Aucun filtre n'a été ajouté à la liste de filtres principale. L'Agent de stratégie IPSec n'a trouvé aucun filtre dans la stratégie IPSec extraite du stockage. Il est possible que celle-ci contienne uniquement la règle de réponse par défaut ou que des erreurs soient survenues lors de la lecture des règles ou des listes de filtrage.
Zéro offre pour la phase 1. Rejet de la stratégie ISAKMP. Si aucune méthode de sécurité en mode principal IKE n'a été trouvée (objets de stratégie ISAKMP), cela signifie que la stratégie IPSec est probablement corrompue.
Zéro offre pour la phase 2. Rejet de la stratégie de négociation. Sans aucune méthode de sécurité dans l'action de filtrage (offres de la phase 2 du mode rapide IKE), IKE ne réussira pas les négociations en mode rapide pour le trafic adapté aux filtres correspondants. La stratégie IPSec est probablement corrompue.
La stratégie ne contient pas d'offres valides. La stratégie IPSec ne contient aucune méthode de sécurité valide dans l'action de filtrage d'une règle ou ne contient aucun paramètre pour le mode principal IKE (paramètres Échange de clés configurés sous l'onglet Général).
L'Agent de stratégie a tenté d'insérer un filtre existant dans IPSEC. Le pilote IPSec a détecté un filtre dupliqué et rejette le doublon. Cette situation est sans conséquence si le filtre dupliqué possède la même action que celui déjà traité par le pilote IPSec. Toutefois, si les actions des filtres sont différentes, la conception de la stratégie IPSec n'est pas prise en charge. Les résultats peuvent différer après une période donnée et dépendent de l'ordre dans lequel le changement de stratégie est traité. La stratégie IPSec doit être conçue de manière à éviter les filtres dupliqués.
Impossible d'ajouter une entrée à la table de stratégies IPSEC. L'Agent de stratégie IPSec n'a pas réussi à ajouter un nouveau filtre au pilote IPSec. Cette erreur signifie que tout le trafic correspondant à ce filtre ne sera pas sécurisé. Elle peut avoir pour origine une condition de mémoire noyau faible. Si l'erreur persiste, contactez les services de support technique Microsoft.
L'Agent de stratégie n'a pas pu insérer ou mettre à jour un filtre dans IPSEC. Comme pour le message précédent sur l'ajout d'un filtre, la liste des filtres du pilote IPSec ne correspond pas aux besoins de la stratégie IPSec appliquée. C'est pourquoi le niveau de sécurité offert n'est pas approprié.
L'utilisation de la stratégie de cache, en tant que stratégie de stockage Active Directory n'a pas pu être appliquée correctement (réseau non joignable, intégrité de la stratégie non valide, etc.). Lorsqu'une stratégie IPSec de domaine est attribuée, l'Agent de stratégie IPSec tente de lire la toute dernière stratégie depuis Active Directory en premier lieu. Ce message indique que l'Agent n'a pas pu extraire la stratégie IPSec du service d'annuaire et qu'il applique la stratégie de la dernière stratégie de domaine, mise en cache dans le registre.
Sous Windows Server 2003, les événements suivants indiquent qu'un problème d'interprétation de la stratégie IPSec a pu se produire. Dans la plupart des cas, Windows XP utilise le même texte d'événement. Ces problèmes doivent être résolus pour que la stratégie IPSec fonctionne correctement.
Le moteur PAStore n'a pas pu appliquer la stratégie IPSec de stockage persistante sur l'ordinateur pour <nomstratégie> avec le code d'erreur : <numéro>. Le service IPSec a trouvé la stratégie persistante configurée dans le registre mais n'a pas réussi à l'appliquer. Toute stratégie persistante déjà appliquée est supprimée, et le pilote IPSec sera programmé en mode de blocage (avec des exemptions d'heure de démarrage) comme indiqué dans un message distinct.
Le moteur PAStore n'a pas pu appliquer la stratégie IPSec de stockage du Registre local sur l'ordinateur pour <nomstratégie> avec le code d'erreur <numéro>. Ce message indique que le service a rencontré au moins une erreur lors de l'application de la stratégie IPSec locale à partir du registre local. Il peut aussi signifier que la stratégie est corrompue ou que les autorisations sont incorrectes.
Le moteur PAStore n'a pas pu appliquer la stratégie IPSec de stockage Active Directory sur l'ordinateur pour le DN <CN=ipsecPolicy{GUID} avec le code d'erreur : <numéro>. Le service IPSec a trouvé la stratégie de domaine spécifiée par le nom de domaine dans la clé de registre GPTIPSecPolicy mais n'a pas réussi à l'appliquer. Il s'agit d'un message informatif qui indique dans la plupart des cas que les clients mobiles ne peuvent pas contacter le contrôleur de domaine ; ce message doit être suivi par une application réussie de la stratégie mise en cache (si elle existe). Cependant, il peut aussi indiquer qu'un objet GPO fournit une stratégie IPSec qui n'existe pas, qui ne peut pas être lue ou qui est corrompue.
Le moteur PAStore n'a pas pu appliquer la copie mise en cache localement de la stratégie IPSec de stockage Active Directory sur l'ordinateur pour <nomstratégie> avec le code d'erreur : <numéro>. Ce message signale que le service IPSec sait que la stratégie de domaine doit être attribuée et qu'il a déjà échoué dans l'application de la stratégie extraite d'Active Directory. Il a maintenant rencontré au moins une erreur lors de l'application de la copie mise en cache de la stratégie de domaine attribuée à partir du registre local. Cette erreur peut signifier que le cache est corrompu ou que les autorisations sont incorrectes. Cette condition est grave car aucune stratégie de domaine n'a pu être appliquée, ce qui pourrait affecter la connectivité avec les autres membres du domaine d'isolation. La stratégie locale (si elle est définie) est la suivante dans l'ordre de priorité.
Le moteur PAStore n'a pas pu appliquer certaines règles de la stratégie IPSec active <nomstratégie> sur l'ordinateur avec le code d'erreur : <numéro>. Exécutez le composant logiciel enfichable Moniteur IPSec pour diagnostiquer le problème. Ce problème se produit généralement en combinaison avec d'autres problèmes cités ici, lorsqu'il n'existe pas de méthode (offre) de sécurité en mode rapide, par exemple.
Les services IPSec n'ont pas pu obtenir la liste complète des interfaces réseau de cet ordinateur. Cela peut représenter un risque potentiel pour la sécurité de cet ordinateur car certaines interfaces réseau n'obtiendront peut-être pas la protection telle qu'elle était voulue par les filtres IPSec appliqués. Exécutez le composant logiciel enfichable Moniteur IPSec pour diagnostiquer ce problème. Ce message remplace les différents messages de l'API de l'application d'assistance IP utilisés sous Windows 2000. Il s'agit d'une erreur bénigne si elle se produit lors de l'ajout et de la suppression d'interfaces ou lorsque l'état de la connexion change (quand un réseau sans fil n'est plus dans l'intervalle valide, par exemple). Elle est aussi sans importance si elle intervient durant une reprise après l'utilisation des modes Mise en veille ou Mise en veille prolongée et qu'une configuration d'interface réseau différente existe et est détectée au cours de l'étape de reprise.
Problèmes de configuration de la stratégie avec le réseau privé virtuel RRAS
Comme nous l'avons mentionné dans la section consacrée au support de niveau 1 plus haut dans ce chapitre, le service RRAS est une source courante de conflits avec la stratégie IPSec dans certaines entreprises. Cette section explique pourquoi la stratégie IPSec intégrée aux serveurs VPN L2TP/IPSec crée un conflit avec la stratégie de domaine utilisée dans cette solution. Cette situation décrit le problème d'un filtre dupliqué.
Dans la discussion suivante, la conception de la stratégie IPSec utilisée dans le scénario Woodgrove Bank est utilisée pour illustrer les problèmes. Toutefois, les principes s'appliquent à de nombreux déploiements d'IPSec en entreprise.
La stratégie IPSec pour les serveurs L2TP/IPSec est automatiquement générée par le service du gestionnaire RAS (RASMAN) et comprend les filtres suivants :
Depuis Toute adresse IP à Mon adresse IP, UDP, source 1701, dest N'importe laquelle (entrante)
Depuis Mon adresse IP à Toute adresse IP, UDP, source N'importe laquelle, dest 1701 (sortante)
Remarque : pour plus d'informations sur cette stratégie, reportez-vous à l'article 248750 de la Base de connaissances, Description of the IPSec policy created for L2TP/IPSec (Description de la stratégie IPSec créée pour L2TP/IPSec)
à l'adresse http://support.microsoft.com/?kbid=248750.
Par conséquent, le filtre spécifique au mode principal qui contrôle la réponse de la négociation IKE à ce serveur est l'adresse du filtre entrant :
- Depuis Toute adresse IP à Mon adresse IP -> Authentification par certificat
Notez que l'utilisation de Mon adresse IP provoque le développement du filtre entrant pour chaque adresse IP du serveur VPN. En supposant que le serveur VPN possède une adresse IP d'interface externe pour la connectivité Internet et une interface interne pour la connectivité LAN, les filtres entrants spécifiques au mode principal IKE sont :
Depuis Toute adresse IP à <adresse IP de l'interface externe> -> Authentification par certificat
Depuis Toute adresse IP à <adresse IP de l'interface LAN interne> -> Authentification par certificat
Le second filtre (pour l'interface LAN interne) est plus spécifique que le filtre entrant du mode principal IKE de l'isolation de serveurs et de domaines, c'est-à-dire :
- Depuis Toute adresse IP à Sous-réseau -> Authentification Kerberos
Par conséquent; lorsqu'un administrateur utilise un client approuvé pour gérer le serveur VPN, il initie IKE pour l'adresse IP interne du serveur VPN. La recherche de stratégie IKE entrante correspondra au filtre plus spécifique du mode principal et répondra avec les paramètres du mode principal IKE pour L2TP. L'authentification par certificat sera utilisée à la place de l'authentification Kerberos utilisée pour cette solution.
Un second cas de conflit peut survenir si le client VPN Internet utilise les fonctions de mise en quarantaine du client Gestionnaire de connexion. Ce client doit transmettre une « clé de quarantaine » à l'adresse IP LAN interne du serveur VPN pour mettre fin à la quarantaine et obtenir l'accès VPN total au réseau. Dans ce scénario, la stratégie IPSec de domaine du client VPN est appliquée à partir du cache lorsque le portable démarre. Lorsque la connexion de quarantaine VPN est établie, une adresse IP interne est attribuée au client VPN. L'adresse IP interne du client peut être dissimulée par l'un des filtres de sous-réseau (N'importe lequel <-> Sous-réseau interne) défini dans la stratégie IPSec de l'isolation de domaines. Ce filtre est requis pour que les clients VPN disposent d'un accès authentifié par IPSec de bout en bout via le tunnel VPN aux serveurs internes et aux autres stations de travail auxquelles ils accèdent.
Cependant, les filtres de sous-réseau de cette solution initient une négociation IKE à partir de l'adresse IP interne de l'interface virtuelle du tunnel VPN du client vers l'interface LAN interne du serveur VPN. Le mode principal IKE échouera car le serveur répondra pour accepter uniquement l'authentification par certificat, laquelle n'est pas compatible avec la stratégie utilisée pour l'isolation de domaines et de serveurs. Même si la stratégie n'a pas permis l'authentification par certificat, le mode rapide IKE du client proposera le filtre pour tout le trafic, et le serveur VPN échouera la négociation car le filtre proposé est trop général. Le serveur VPN n'acceptera que les filtres en mode rapide spécifiques à L2TP : UDP source 1701, destination N'importe laquelle ou UDP source 1701, destination 1701.
Vous pouvez utiliser les options suivantes pour résoudre le conflit entre la stratégie L2TP/IPSec du serveur RRAS et la stratégie d'isolation.
Ajoutez les adresses IP LAN internes du serveur RRAS à la liste d'exemptions.
Désactivez les ports L2TP sur les serveurs VPN. Utilisez uniquement les ports PPTP (Point to Point Tunneling Protocol, Protocole de tunnel point à point).
Désactivez la stratégie IPSec automatique pour L2TP en utilisant la clé de registre ProhibitIPSec pour RASMAN. Personnalisez manuellement la configuration de la stratégie IPSec pour L2TP afin qu'elle utilise uniquement l'adresse IP externe pour l'authentification par certificat pour le trafic UDP 1701 et uniquement l'adresse IP interne pour l'authentification Kerberos pour le trafic d'isolation de domaines.
Remarque : pour plus d'informations sur cette configuration, reportez-vous à l'article 240262 de la Base de connaissances How to Configure a L2TP/IPSec Connection Using Pre-shared Key Authentication (Comment faire pour configurer une connexion L2TP/IPSec en utilisant l'authentification par clé pré-partagée)
à l'adresse http://support.microsoft.com/kb/240262.
La solution la plus simple de cette liste est la première, qui exempt la carte réseau interne du serveur RRAS d'utiliser IPSec.
Dépannage d'IKE
L'échec d'IKE et d'IPSec lors du déploiement initial est principalement dû au filtrage réseau qui n'autorise pas les paquets du protocole UDP 500 ou IPSec. C'est pourquoi il est utile d'établir une station de travail IP ou un serveur IP statique pour les tests de stratégie simple, comme dans l'exemple de la stratégie prédéfinie de serveur (requête) qui utilise une clé pré-partagée. L'audit doit être activé pour capturer les événements d'audit IKE. Une stratégie IP de domaine par défaut est déployée pour tous les membres de domaine qui s'authentifient avec la même clé pré-partagée et contient une règle avec un filtre pour la totalité du trafic (y compris ICMP) pour tester l'adresse IP de l'ordinateur.
Ensuite, le script de connexion est déployé pour exécuter une requête ping <testserver> ou
nbtstat –n <testserver>, qui déclenchera la négociation IKE à partir de tous les membres de domaine en vue de tester le serveur. En analysant et en résumant les adresses IP dans les audits des succès du mode principal IKE, vous pouvez déterminer si tous les ordinateurs reçoivent la stratégie et vérifier que toutes les zones de votre réseau peuvent accéder à l'ordinateur test en utilisant les protocoles IKE et IPSec.
Un test plus avancé confirmerait que l'encapsulation IPSec fonctionne avec la fragmentation pour chaque zone du réseau à l'aide de ping –l 5000 <IP address> depuis le serveur test à destination des ordinateurs situés dans chaque zone. L'option –l 5000 entraîne la création d'une surchage de paquet ICMP de 5 000 octets par l'utilitaire Ping. Ce paquet IP complet sera encapsulé par le protocole IPSec, puis fragmenté par la couche IP avant d'être placé sur le réseau. Tous les fragments doivent être reçus à destination ; une réponse consistant en un nombre égal de fragments est renvoyée. L'expérience a montré que les périphériques encombrés ou servant de limite entre des réseaux aux vitesses différentes (par exemple, les réseaux Ethernet de 1 et 100 mégabits) peuvent rencontrer des problèmes de transmission des fragments. De la même manière, les hôtes résidant sur des liaisons MTU différentes, (comme le mode ATM (Asynchronous Transfer Mode, mode de transfert asynchrone), l'interface FDDI (Fiber Distributed Data Interface, interface de transmission de données réparties via fibre optique) et le mode Token Ring) requièrent des messages PMTU ICMP pour découvrir correctement l'unité MTU du chemin réseau pour les paquets TCP protégés par IPSec. Reportez-vous à l'article 314496 Default MTU Size for Different Network Topology (Taille de MTU par défaut pour différentes topologies de réseaux) de la Base de connaissances à l'adresse http://support.microsoft.com/kb/314496 pour obtenir des informations sur les différentes valeurs MTU réseau par défaut.
Dépannage de la négociation IKE
Il peut s'avérer difficile de dépanner IKE car certaines erreurs peuvent se produire dans certaines conditions uniquement, par exemple, lorsque le mode rapide IKE est initié à partir d'un ordinateur qui est le répondeur. Les erreurs peuvent également être provoquées par des échecs du système d'authentification (erreurs du protocole Kerberos, par exemple) ou lorsque des conceptions de stratégie incompatibles ou des stratégies pré-existantes fusionnent avec la stratégie de domaine. Les défaillances d'IKE entraînent l'arrêt de la participation à la négociation IKE de l'ordinateur qui subit l'échec, alors que l'autre ordinateur participant à la négociation va tenter de se connecter jusqu'à épuisement du nombre de tentatives alloué. Si IKE échoue, étudiez cet échec et les journaux sans effectuer de modification. Vous pouvez activer l'audit standard de façon dynamique sans changer la configuration IPSec ou l'état d'exécution du service. Toutefois, sous Windows 2000, vous devez redémarrer le service IPSec pour activer la journalisation détaillée d'IKE dans le fichier Oakley.log. Sous Windows XP SP2 et Windows Server 2003, vous pouvez activer et désactiver la journalisation d'IKE via la ligne de commande lorsque cela est nécessaire.
Dans certaines situations, il est nécessaire d'arrêter puis de redémarrer le service IPSec afin d'étudier le trafic réseau et de capturer les résultats du fichier Oakley.log à partir d'un état sain. Lorsque le service IPSec est arrêté manuellement ou en tant que partie du redémarrage ou de l'arrêt de l'ordinateur, IKE tente d'envoyer des messages de suppression pour nettoyer l'état de l'association de sécurité IPSec sur tous les pairs connectés. Parfois, le système d'exploitation désactive la fonction d'envoi des paquets avant qu'IKE ait terminé l'envoi des messages de suppression à tous les ordinateurs pairs actifs ; ainsi, l'ordinateur pair conserve l'état de l'association de sécurité IPSec. Lorsque cela se produit, l'ordinateur pair peut « penser » qu'il est connecté de façon sécurisée à l'ordinateur redémarré. Après le redémarrage, si l'ordinateur n'initie pas une nouvelle négociation IKE avec le pair, ce dernier devra patienter cinq minutes pour que les associations de sécurité IPSec soient hors délai avant de tenter de les rétablir. Pour rétablir les associations de sécurité, une négociation en mode rapide est d'abord tentée pendant une minute, suivie d'une initiation en mode principal IKE.
La journalisation IKE a été améliorée dans toutes les versions à partir de Windows 2000. Les événements documentés dans cette section s'appliquent à Windows XP et à Windows Server 2003, bien que les événements Windows 2000 soient similaires.
Le journal de sécurité Windows est recommandé comme point de départ lorsque vous essayez de déterminer la raison d'un échec de négociation IKE. Pour afficher les événements IKE, l'audit des échecs et des succès doit être activé dans le paramètre de la stratégie de sécurité de groupe Auditer les événements de connexion. Une fois que l'audit est activé, le service IKE crée des entrées d'audit et offre une explication à l'échec de la négociation. Toutefois, l'explication des échecs de la négociation IKE est pratiquement toujours signalée comme un échec de l'événement 547, et il peut exister plusieurs causes possibles pour le même message d'erreur. La liste des échecs de l'événement 547 et les causes potentielles sont décrites en détail dans les sections suivantes.
Sous Windows XP SP2 et Windows Server 2003, vous pouvez désactiver tous les audits IKE grâce à la clé de registre DisableIKEAudits. Pensez à vérifier cette valeur sur les ordinateurs contrôlés. Vous pouvez désactiver les audits IKE lorsque ceux-ci génèrent trop d'événements de succès ou d'échec et que cela empêche les événements de la catégorie connexion/déconnexion d'être contrôlés de façon efficace.
Les valeurs du code d'erreur sont souvent signalées dans les événements d'audit IKE et les détails du journal. Vous trouverez une description de ces valeurs dans Microsoft MSDN®, à la page System Code Errors (12000-15999) (Erreurs du code système (12000-15999)) à l'adresse http://msdn.microsoft.com/library/en-us/debug/base/
system_error_codes__12000-15999_.asp.
Le dépannage de la négociation IKE requiert une connaissance approfondie du comportement attendu de la conception de la stratégie IPSec, du processus de négociation IKE et des événements d'échec IKE. Cette section décrit uniquement les événements les plus courants associés au scénario d'isolation de domaine Woodgrove Bank. Elle ne traite pas tous les événements d'audit IKE ni toutes les conditions d'échec.
Une fois que le processus de négociation IKE est bien compris, un suivi réseau depuis au moins un côté de la communication doit être obtenu (si possible) afin d'identifier les problèmes liés à IKE avant de tenter de remplir un fichier Oakley.log. Dans des scénarios d'isolation de serveurs et de domaines, les serveurs déployés doivent disposer de la possibilité d'effectuer un suivi à l'aide du Moniteur réseau.
Le fichier Oakley.log propose la journalisation la plus détaillée possible et peut être requis par les deux côtés de la négociation (avec des heures synchronisées). Cependant, si vous activez ce fichier journal, la négociation IKE risque d'être ralentie, ce qui va modifier les conditions de synchronisation et entraîner la perte de l'état existant si le service est redémarré pour lire de nouveau la clé de registre (requis sous Windows 2000 et Windows XP SP1). À l'heure actuelle, il n'existe pas d'instructions publiées permettant d'interpréter le fichier Oakley.log. Dans ce guide, cette interprétation est considérée comme partie intégrante de l'ensemble des compétences de niveau 3. En raison de contraintes liées à l'espace, les extraits issus des détails du journal fournis ici ne concernent que quelques erreurs. Pour obtenir de l'aide sur l'interprétation du fichier Oakley.log, contactez les services de support technique Microsoft.
Les quatre fichiers journaux suivants sont créés pour IKE :
Oakley.log. Journal actuel d'IKE, limité à 50 000 lignes.
Oakley.log.bak. Une fois que le fichier Oakley.log contient 50 000 lignes, ce fichier est créé et un nouveau fichier Oakley.log vide est utilisé. Ce fichier continue à être écrasé autant de fois que nécessaire par le nouveau fichier Oakley.log tant que le service IPSec est exécuté.
Oakley.log.sav. Le fichier Oakley.log précédent est enregistré sous ce nom lorsque le service IPSec démarre.
Oakley.log.bak.sav. Le fichier Oakley.log.bak précédent est enregistré sous ce nom lorsque le service IPSec démarre.
Au cours des opérations de dépannage, il arrive fréquemment que l'heure des deux ordinateurs sur lesquels sont effectués la journalisation et le suivi réseau ne soit pas synchronisée. Cette erreur rend la corrélation des journaux difficile, mais pas impossible. La corrélation entre les messages IKE et les paquets du suivi réseau doit faire l'objet d'une vérification croisée à l'aide des cookies d'en-tête ISAKMP et des champs d'ID de message en mode rapide IKE.
Comportements IKE attendus
Si l'initiation du mode principal IKE ne peut pas contacter l'adresse IP de destination souhaitée en raison d'un blocage réseau, la communication sécurisée par IPSec ne peut pas être négociée. Si l'initiateur n'est pas configuré pour la communication en texte clair, alors l'échec du contact de la destination apparaîtra en tant qu'événement d'audit 547 dans le journal de sécurité avec l'une des entrées de texte suivantes :
Pas de réponse du pair
Le délai d'attente a expiré pour la négociation.
SA IKE supprimée avant que l'établissement ait été terminé
Cependant, pour les clients d'isolation de domaines, il est possible que cette condition n'apparaisse pas comme un échec si leur stratégie autorise la communication en clair. Un événement 541 de succès en mode principal IKE est créé lorsqu'une association de sécurité logicielle est établie. Vous savez qu'un événement 541 affiche une SA logicielle lorsque le SPI sortant est égal à zéro et que tous les algorithmes sont affichés sous la forme Aucun. L'exemple suivant montre comment ces paramètres apparaissent dans un événement 541 :
ESP Algorithm None
HMAC Algorithm None
AH Algorithm None
Encapsulation None
InboundSpi 31311481 (0x1ddc679)
OutBoundSpi 0 (0x0)
Lifetime (sec) <whatever is configured for QM lifetime>
Lifetime (kb) 0
Remarque: les événements des SA logicielles vers la même adresse IP de destination porteront des dates différentes et des valeurs SPI entrantes différentes.
Des délais de connectivité d'une minute sont observés chaque fois que deux ordinateurs ne sont plus synchronisés parce qu'un mode principal IKE actif existe peut-être entre eux. Des délais de cinq minutes peuvent être observés si l'un des ordinateurs considère qu'il existe une paire d'associations de sécurité IPSec active entre eux et que l'autre ordinateur (un serveur, par exemple) a supprimé ces associations de sécurité et n'est pas en train d'initier une recomposition en mode rapide. Windows 2000 IKE prenait en charge des messages de suppression uniques qui étaient parfois perdus. Windows XP et Windows Server 2003 disposent d'une prise en charge fiable de la fonction de suppression sous la forme de messages de suppression multiples qui agissent comme une mesure de protection contre les paquets abandonnés.
Cette situation type se produit lorsque l'utilisateur d'un portable d'isolation de domaine retire l'ordinateur de la station d'accueil pour se rendre à une réunion. La station d'accueil possède une connexion Ethernet filaire, et le fait de retirer cette interface réseau nécessite le retrait de tous les filtres qui lui sont associés (s'il s'agit de filtres développés à partir de Mon adresse IP).
Toutefois, aucun filtre ayant une action de négociation n'utilise Mon adresse IP dans la solution d'isolation de domaines ; il s'agit de filtres de type N'importe lequel <-> Sous-réseau. Par conséquent, les états de l'association de sécurité IPSec et de l'association de sécurité IKE restent actifs sur le portable car ces filtres ne sont pas supprimés lors des changements d'adresse. Si les filtres avaient été développés depuis Mon adresse IP, ils auraient été supprimés au moment de la disparition de l'adresse IP.
Chaque fois qu'un filtre de type N'importe lequel est supprimé du pilote IPSec, ce dernier informe IKE que toutes les associations de sécurité IKE et IPSec utilisant cette adresse IP doivent également être effacées. IKE tentera d'envoyer des messages de suppression pour ces SA, puis les supprimera de façon interne. Ces messages de suppression auront la même adresse IP source que celle utilisée pour les SA IKE, même s'il est possible qu'une autre adresse IP source soit présente sur l'interface connectée au moment de l'envoi du message de suppression. L'adresse IP source n'est pas importante pour l'ordinateur distant si la paire de cookies d'en-tête ISAKMP est reconnue et que les vérifications cryptographiques du paquet sont valides. Cependant, il arrive fréquemment que les messages de suppression ne soient pas envoyés car il n'y a pas de connectivité réseau dans les secondes suivant la déconnexion (retrait du portable).
Dans le cas particulier de filtres N'importe lequel <-> Sous-réseau, les filtres ne sont jamais supprimés, ce qui signifie que les associations de sécurité IKE et IPSec ne sont pas immédiatement supprimées. Pendant ce temps, les SA IPSec expirent sur les ordinateurs distants auparavant connectés, et les messages de suppression en mode rapide IKE sont envoyés à l'adresse précédente du portable. Les SA en mode rapide IKE continuent à exister pendant 8 heures (par défaut) sur ces ordinateurs distants, mais peuvent être effacées à tout moment avant l'expiration de ce délai pour des raisons IKE internes. Bien entendu, les messages IKE de suppression des SA ne parviennent plus à l'ancienne adresse IP du portable. Lorsque le portable est finalement reconnecté à la station d'accueil, il reçoit de nouveau la même adresse IP. Les applications de partage de fichiers, clients de messagerie et autres se reconnectent généralement aux mêmes destinations. Cependant, il est maintenant possible qu'il existe une différence d'état IKE entre le portable et ces destinations distantes. Si le portable dispose toujours d'un mode principal IKE, il tentera de négocier en mode rapide IKE. Le mode rapide utilise un état cryptographique que le pair distant a supprimé, c'est pourquoi il ne reconnaît pas ces messages et n'y répond pas. Sur le portable, le nombre maximal de tentatives arrive à expiration au bout d'une minute ; IKE tente alors une nouvelle négociation en mode principal qui cette fois réussit. Par conséquent, l'utilisateur du portable peut remarquer un délai d'une minute lorsqu'il se reconnecte aux ressources distantes. Microsoft s'attache à améliorer ce comportement dans les futures mises à jour de toutes les versions de Windows prenant en charge IPSec.
La négociation IKE peut signaler l'expiration d'un délai pour diverses raisons. L'événement « Le délai d'attente a expiré pour la négociation » survient lors de l'échec des étapes de la négociation IKE (excepté l'étape de communication en clair) en raison de l'expiration du nombre limite de tentatives, sauf lorsque IKE termine la négociation par un événement « SA IKE supprimée avant que l'établissement ait été terminé ». Ces deux événements sont pratiquement identiques. Ils sont souvent courants, bénins et attendus au cours du fonctionnement normal des clients mobiles, qui modifient fréquemment et rapidement les états de la connectivité réseau lorsque les événements suivants se produisent :
Les utilisateurs insèrent et retirent les ordinateurs portables des stations d'accueil.
Les utilisateurs débranchent une connexion filaire.
Les ordinateurs portables sont en mode de veille ou de veille prolongée.
La plage attribuée à la connexion sans fil est dépassée.
Une connexion VPN est déconnectée.
Une carte réseau PCMCIA est éjectée alors qu'elle est connectée.
Pour un ordinateur distant, ces événements donnent l'impression que le pair vient de se déconnecter du réseau. L'ordinateur distant va tenter de recomposer ou de renégocier jusqu'à ce que le délai de négociation IKE expire.
Les échecs dus à l'expiration de la durée de négociation ont été améliorés dans Windows Server 2003 dans le but d'identifier le moment de la négociation IKE où le délai d'expiration a lieu par l'identification de la dernière étape réussie de la négociation. Ces événements peuvent également être provoqués par la traduction des adresses réseau (Network address translation, NAT) lorsque IKE négocie sans les fonctions NAT-T. Cependant, le délai de négociation IKE expire aussi si le pair distant rencontre un problème qui entraîne l'échec de la négociation IKE.
Ainsi, dans tous les cas d'expiration des délais de négociation et d'apparition d'événements « SA IKE supprimée avant que l'établissement ait été terminé », le support de niveau 2 doit identifier si l'ordinateur distant est responsable de l'échec en vérifiant les événements 547 d'audit des échecs sur cet ordinateur jusqu'à la minute précédant l'enregistrement de l'expiration du délai par IKE.
Événements de succès de la négociation IKE
Si la négociation IKE réussit, les SA en mode principal IKE s'affichent dans le composant logiciel enfichable Moniteur IPSec et via les outils d'interrogation de la ligne de commande.
Pour afficher la liste des associations de sécurité actives en mode principal IKE
- Sous Windows 2000 :
ipsecmon.exe, netdiag /test:ipsec /v
Remarque: cette commande affiche uniquement les associations de sécurité IPSec, et non les associations de sécurité en mode principal IKE.
- Sous Windows XP :
IPSec monitor snapin, ipseccmd show sas
Sous Windows Server 2003 :
Remarque : la ligne a été divisée en plusieurs lignes pour des raisons de lisibilité. Cependant, lorsque vous entrez cette commande dans un système, veillez à l'entrer sur une seule ligne.
IPSec monitor snapin, netsh ipsec dynamic
show [mmsas | qmsas]
Les SA réussies en mode principal et en mode rapide génèrent les événements suivants dans le journal de sécurité si l'audit est activé.
541. Mode principal IKE ou mode rapide IKE établi
542. Mode rapide IKE supprimé
543. Mode principal IKE supprimé
Messages d'information du journal en mode principal IKE
Pour déterminer s'il existe un problème d'échange du mode principal, recherchez les événements consignés suivants dans les journaux des événements des ordinateurs :
Tableau 7.5 : Messages d'information du journal en mode principal IKE
| Texte du journal | Description |
|---|---|
| La nouvelle stratégie a invalidé les SA formés avec l'ancienne stratégie | Message de Windows 2000 indiquant que la modification d'une stratégie IPSec a entraîné la suppression des associations de sécurité IKE ou IPSec actuelles. Cette erreur est sans conséquence. Les nouvelles associations de sécurité IPSec seront formées selon le flux de trafic actuel qui utilise la nouvelle stratégie IPSec. |
| IKE a un grand nombre de requêtes d'établissement d'association de sécurité en attente, et démarre le mode de prévention de refus de service. | Cette condition peut être normale, causée par une surcharge de l'ordinateur, et/ou un grand nombre de tentatives de connexions client. Cela pourrait également être le résultat d'une attaque de refus de service contre IKE. Si tel est le cas, il y aura plusieurs audits de négociations IKE ayant échoué vers des adresses IP factices. Dans le cas contraire, cela signifie simplement que l'ordinateur est extrêmement surchargé. Ce message indique que IKE pense avoir été submergé de requêtes d'établissement de SA en mode principal IKE. La stratégie de réponse à l'attaque de refus de service va consister pour IKE à rejeter la plupart de ces requêtes. |
| IKE ne subit plus le mode de prévention de refus de service et a repris un fonctionnement normal. | IKE a récupéré après ce qu'il considérait comme une condition d'attaque de refus de service, et a repris un fonctionnement normal. |