(0) exportieren Drucken
Alle erweitern

Überwachen von IPSec

Betrifft: Windows 7, Windows Server 2008 R2

Mit dem IP-Sicherheitsmonitor-Snap-In können Sie IPsec-bezogene Statistiken sowie die auf diesen Computer und andere Computer angewendete IPsec-Richtlinie anzeigen und überwachen. Die Informationen helfen Ihnen bei der Problembehandlung von IPSec sowie beim Testen der von Ihnen erstellten Richtlinien. Verwenden Sie zum Ändern der IPSec-Richtlinien das IP-Sicherheitsrichtlinien-Snap-In.

Wenn Sie mit dem Windows-Firewall mit erweiterten Sicherheitseinstellungen-Snap-In eine Richtlinie erstellen, können Sie diese Regeln nicht im IP-Sicherheitsmonitor-Snap-In anzeigen. Sie müssen das Element Überwachen des Windows-Firewall mit erweiterten Sicherheitseinstellungen-Snap-Ins verwenden.

noteHinweis
Mit dem IP-Sicherheitsmonitor-Snap-In kann IPSec nur auf Computern unter Windows XP und höher überwacht werden. Verwenden Sie den Befehl ipsecmon, wenn Sie IPsec auf einem Computer unter Windows 2000 überwachen möchten.

Mithilfe des IP-Sicherheitsrichtlinien-Snap-Ins können IPsec-Richtlinien erstellt werden, die auf Computer unter Windows Vista®, Windows Server® 2008 und neueren Versionen von Windows angewendet werden können. Dieses Snap-In unterstützt jedoch nicht die Verwendung neuer Sicherheitsalgorithmen und anderer neuer Features, die in diesen neueren Versionen von Windows verfügbar sind. Verwenden Sie das Windows-Firewall mit erweiterten Sicherheitseinstellungen-Snap-In, um IPsec-Richtlinien mithilfe dieser neuen Algorithmen zu erstellen. Mit dem Windows-Firewall mit erweiterten Sicherheitseinstellungen-Snap-In können keine Richtlinien erstellt werden, die auf frühere Versionen von Windows angewendet werden können.

Überwachen von Aufgaben

Nachfolgend finden Sie eine kurze Liste der häufigsten Aufgaben, die Sie mithilfe des IP-Sicherheitsmonitor-Snap-Ins durchführen können:

Hinzufügen eines Computers

Bevor Sie IPSec auf einem Remotecomputer überwachen können, müssen Sie zunächst den Computer zum Snap-In hinzufügen. Sie benötigen Administratorzugriff auf den Remotecomputer, um diesen hinzufügen und IPSec überwachen zu können.

So fügen Sie dem IP-Sicherheitsmonitor-Snap-In einen Computer hinzu
  1. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf IP-Sicherheitsmonitor, und klicken Sie dann auf Computer hinzufügen.

  2. Klicken Sie im Dialogfeld Computer hinzufügen auf Folgenden Computer, und geben Sie dann den Namen des Remotecomputers ein. Sie können auch auf die Schaltfläche Durchsuchen klicken, um den Computer im Netzwerk auszuwählen.

noteHinweis
Wenn die IPSec-Dienste nicht auf dem überwachten Computer gestartet wurden, wird das Serversymbol als beendeter Dienst angezeigt. Zum Aktualisieren des IP-Sicherheitsmonitors nach dem Neustart der IPSec-Dienste auf dem Computer klicken Sie mit der rechten Maustaste auf den Computer, und klicken Sie dann auf Verbindung wiederherstellen.

Auf Computern unter Windows Server 2003 und höher müssen Sie den Registrierungsschlüssel EnableRemoteMgmt auf dem Remotecomputer auf 1 festlegen und den IPsec-Dienst neu starten. Andernfalls wird eine Fehlermeldung angezeigt, die besagt, dass der IPsec-Dienst nicht ausgeführt wird. Der Registrierungsschlüssel befindet sich unter HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\Services\PolicyAgent.

Suchen eines spezifischen Filters

Es gibt zwei Möglichkeiten, um Informationen zu einem spezifischen Filter zu erhalten. Diese können sich beispielsweise bei der Problembehandlung als nützlich erweisen: Sie können die Ansicht Spezialfilter sortieren, um den Filter zu finden, oder Sie können im Ordner Spezialfilter des Ordners Hauptmodus oder Schnellmodus nach dem Filter suchen.

So finden Sie einen Filter in der Filterliste durch Durchsuchen
  1. Klicken Sie im Ordner Spezialfilter des Ordners Hauptmodus oder Schnellmodus auf die Spaltenüberschrift für die Eigenschaft, nach der Sie suchen wollen. Wenn Sie erneut auf die Spaltenüberschrift klicken, wird die Liste in umgekehrter Reihenfolge sortiert.

  2. Durchsuchen Sie die Liste nach dem Filter.

So finden Sie einen spezifischen Filter durch Suchen
  1. Klicken Sie unter dem Ordner Hauptmodus oder Schnellmodus mit der rechten Maustaste auf den Ordner Spezialfilter, und klicken Sie dann auf Übereinstimmende Filter suchen.

  2. Wählen Sie im Dialogfeld Übereinstimmende Filter suchen die Kriterien aus, nach denen Sie suchen wollen, und klicken Sie dann auf Suchen.

    noteHinweis
    Mit der Option Nur nach den genausten Treffern suchen wird nur eine Übereinstimmung gefunden, und zwar die, die den Kriterien am besten entspricht. Wenn Sie den gesuchten Filter nicht finden können, wiederholen Sie die Suche mithilfe der Option Nach allen Treffern suchen. Mit der Quell- und Zielauswahl Beliebig wird nicht nach allen Quellen oder Zielen gesucht. Stattdessen dient die Auswahl der Suche nach der Quelle bzw. dem Ziel "Beliebig", wie in der Listenansicht Spezialfilter aufgeführt.

Suchen nach Anzeichen für mögliche Angriffe

Die vom IP-Sicherheitsmonitor-Snap-In gesammelten und angezeigten Statistiken können sich als hilfreich erweisen bei der Suche nach möglichen Angriffen gegen diesen oder andere Computer, die Sie dem Snap-In hinzugefügt haben. Die betreffenden Informationen befinden sich im Ordner Statistik des Ordners Hauptmodus bzw. Schnellmodus. Weitere Informationen zu verfügbaren Statistiken finden Sie unter Überwachen des Hauptmodus oder Überwachen des Schnellmodus.

Anzeigen von Sicherheitszuordnungen

Eine Sicherheitszuordnung (Security Association, SA) ist die Kombination aus einem ausgehandelten Schlüssel, einem Sicherheitsprotokoll und einem Sicherheitsparameterindex (Security Parameters Index, SPI). Damit wird der Sicherheitsgrad bestimmt, mit dem die Kommunikation zwischen Absender und Empfänger geschützt ist. Durch einen Blick auf die Sicherheitszuordnungen für den Computer können Sie demnach feststellen, welche Computer eine Verbindung zu diesem Computer haben, welcher Datenintegritäts- und -verschlüsselungstyp für die jeweilige Verbindung verwendet wird usw.

Diese Informationen können sich beim Testen von IP-Sicherheitsrichtlinien oder der Behandlung von Zugriffsproblemen als nützlich erweisen.

Ändern anderer Einstellungen

Sie können konfigurieren, ob die vom Snap-In bereitgestellten Informationen automatisch aktualisiert werden sollen. Zudem können Sie konfigurieren, wie häufig die Informationen aktualisiert werden und ob in den Ansichten IP-Adressen oder DNS-Namen angezeigt werden.

So konfigurieren Sie die automatische Aktualisierung
  1. Klicken Sie im Ordner IP-Sicherheitsmonitor mit der rechten Maustaste auf den Knoten des Computers, und klicken Sie dann auf Eigenschaften.

  2. Aktivieren Sie im Dialogfeld Eigenschaften des Computers das Kontrollkästchen Automatische Aktualisierung aktivieren.

  3. Zum Ändern der Häufigkeit, mit der die Informationen vom Snap-In aktualisiert werden, geben Sie das gewünschte Intervall ein.

    noteHinweis
    Standardmäßig wird die automatische Aktualisierung für Intervalle von 45 Sekunden aktiviert. Wenn für die automatische Aktualisierung ein zu kurzes Intervall gewählt wird, können Leistungsprobleme auftreten, insbesondere wenn Sie mehrere Computer mit dem Snap-In überwachen und die DNS-Namensauflösung aktiviert haben.

So zeigen Sie IP-Adressen als DNS-Namen an
  1. Klicken Sie im IP-Sicherheitsmonitor-Snap-In mit der rechten Maustaste auf den Knoten des Computers, und klicken Sie dann auf Eigenschaften.

  2. Aktivieren Sie im Dialogfeld Eigenschaften des Computers das Kontrollkästchen DNS-Namensauflösung aktivieren, und klicken Sie dann auf OK.

    noteHinweis
    Die DNS-Namensauflösung ist nicht standardmäßig aktiviert. Sie funktioniert nur in der Ansicht Spezialfilter des Schnellmodus sowie in der Ansicht Sicherheitszuordnungen von Hauptmodus und Schnellmodus.

    Die DNS-Namensauflösung kann sich auf die Leistung auswirken, wenn in dieser Sicht viele Elemente aufgelöst werden müssen.

    Um den DNS-Namen aus der IP-Adresse aufzulösen, müssen die entsprechenden Reverse-Domänen und PTR-Ressourcendatensätze in der DNS-Infrastruktur konfiguriert sein. PTR-Ressourcendatensätze können entweder manuell oder durch Verwendung des dynamischen DNS-Updates konfiguriert werden. Um den NetBIOS-Computernamen eines Computers anhand der IP-Adresse aufzulösen, muss NetBIOS über TCP/IP auf dem Computer aktiviert sein.

Weitere Verweise

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft