Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Sichern von End-to-End-IPsec-Verbindungen mithilfe von IKEv2 unter WindowsServer 2012

 

Betrifft: Windows Server 2012

In Windows Server 2012, Internet Key Exchange Version 2 (IKEv2)-Unterstützung wird von früheren Windows-Versionen ausgewertet.

Wenn beispielsweise in Windows Server 2012, IKEv2 bewirkt Folgendes:

  • Unterstützt zusätzliche Szenarien, einschließlich IPSec-End-to-End-transportmodusverbindungen

  • Bietet Interoperabilität für Windows mit anderen Betriebssystemen, die IKEv2 für End-to-End-Sicherheit verwenden

  • Anforderungen von Suite B (RFC 4869) unterstützt

  • Wird gleichzeitig mit dem vorhandene Richtlinien, die AuthIP/IKEv1 bereitstellen

  • Verwendet die Windows PowerShell Schnittstelle ausschließlich für die Konfiguration. Sie können nicht über die Benutzeroberfläche IKEv2 konfigurieren.

  • Verwendet Zertifikate für den Authentifizierungsmechanismus

In Windows Server 2008 R2, IKEv2 steht als ein virtuelles privates Netzwerk (VPN)-Tunneling-Protokoll, das automatische erneute von VPN-Verbindung unterstützt. IKEv2 ermöglicht, dass die Sicherheitszuordnungen trotz Änderungen in der zugrunde liegenden Verbindung unverändert bleiben.

System_CAPS_noteHinweis

Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets. Weitere Informationen finden Sie unter ein Windows PowerShell-Cmdlet ausführen.

Vorbereitungsmaßnahmen

Diese Prozeduren wird davon ausgegangen, dass Sie bereits eine public Key-Infrastruktur (PKI) für die Authentifizierung eingerichtet.

Die folgenden Windows PowerShell Skript richtet eine Verbindungssicherheitsregel, die IKEv2 für die Kommunikation zwischen zwei Computern ("CLIENT1" und "SERVER1"), die mit der Domäne corp.contoso.com verknüpft sind verwendet, wie in Abbildung 1 dargestellt.

The Contoso corporate network

Abbildung 1 Contoso-Unternehmensnetzwerk

Dieses Skript führt Folgendes aus:

  • Erstellt eine Sicherheitsgruppe namens IPsec-Client und Server CLIENT1 und SERVER1 als Mitglieder hinzugefügt.

  • Erstellt ein Objekt (GPO) namens IPsecRequireInRequestOut und verknüpft es mit der Domäne "corp.contoso.com".

  • Legt die Berechtigungen für das Gruppenrichtlinienobjekt fest, sodass nur für Computer in gelten IPsec-Client und Server und nicht auf Authentifizierte Benutzer.

  • Gibt das Zertifikat zur Authentifizierung verwendet.

    System_CAPS_importantWichtig

    Die Zertifikatparameter, die Sie für das Zertifikat angeben, Groß-/Kleinschreibung unterschieden, achten Sie darauf, sie genau so wie im Zertifikat angegeben geben, und fügen Sie die Parameter in der Reihenfolge, die im folgenden Beispiel angezeigt. Andernfalls führt zu Verbindungsfehlern.

  • Erstellt die IKEv2-Verbindungssicherheitsregel namens Meine IKEv2-Regel.

PowerShell-LogoWindows PowerShell-Befehle

Geben Sie jedes Cmdlet in einer einzigen Zeile, obwohl sie möglicherweise über mehrere Zeilen umbrochen, aufgrund von formatierungseinschränkungen.

# Create a Security Group for the computers that will get the policy
$pathname = (Get-ADDomain).distinguishedname
New-ADGroup -name "IPsec client and servers" -SamAccountName "IPsec client and servers" `
-GroupCategory security -GroupScope Global -path $pathname

# Add test computers to the Security Group
$computer = Get-ADComputer -LDAPFilter "(name=client1)"
Add-ADGroupMember -Identity "IPsec client and servers" -Members $computer
$computer = Get-ADComputer -LDAPFilter "(name=server1)"
Add-ADGroupMember -Identity "IPsec client and servers" -Members $computer

# Create and link the GPO to the domain 
$gpo = New-gpo IPsecRequireInRequestOut
$gpo | new-gplink -target "dc=corp,dc=contoso,dc=com" -LinkEnabled Yes

# Set permissions to security group for the GPO
$gpo | Set-GPPermissions -TargetName "IPsec client and servers" -TargetType Group -PermissionLevel GpoApply -Replace
$gpo | Set-GPPermissions -TargetName "Authenticated Users" -TargetType Group -PermissionLevel None -Replace

#Set up the certificate for authentication
$gponame = "corp.contoso.com\IPsecRequireInRequestOut" 
$certprop = New-NetIPsecAuthProposal -machine -cert -Authority "DC=com, DC=contoso, DC=corp, CN=corp-APP1-CA"
$myauth = New-NetIPsecPhase1AuthSet -DisplayName "IKEv2TestPhase1AuthSet" -proposal $certprop –PolicyStore GPO:$gponame

#Create the IKEv2 Connection Security rule
New-NetIPsecRule  -DisplayName "My IKEv2 Rule" -RemoteAddress any -Phase1AuthSet $myauth.InstanceID `
-InboundSecurity Require -OutboundSecurity Request -KeyModule IKEv2 -PolicyStore GPO:$gponame

Verwenden einer Windows PowerShell Skript, das ungefähr Folgendes, um eine lokale IPsec-Richtlinie auf den Computern zu erstellen, die Sie in die sichere Verbindung aufnehmen möchten.

System_CAPS_importantWichtig

Die Zertifikatparameter, die Sie für das Zertifikat angeben, Groß-/Kleinschreibung unterschieden, achten Sie darauf, sie genau so wie im Zertifikat angegeben geben, und fügen Sie die Parameter in der Reihenfolge, die im folgenden Beispiel angezeigt. Andernfalls führt zu Verbindungsfehlern.

PowerShell-LogoWindows PowerShell-Befehle

Geben Sie jedes Cmdlet in einer einzigen Zeile, obwohl sie möglicherweise über mehrere Zeilen umbrochen, aufgrund von formatierungseinschränkungen.

#Set up the certificate
$certprop = New-NetIPsecAuthProposal -machine -cert -Authority "DC=com, DC=contoso, DC=corp, CN=corp-APP1-CA"
$myauth = New-NetIPsecPhase1AuthSet -DisplayName "IKEv2TestPhase1AuthSet" -proposal $certprop

#Create the IKEv2 Connection Security rule
New-NetIPsecRule  -DisplayName "My IKEv2 Rule" -RemoteAddress any -Phase1AuthSet $myauth.InstanceID `
-InboundSecurity Require -OutboundSecurity Request -KeyModule IKEv2

Stellen Sie sicher, dass Sie die erforderlichen Zertifikate auf den beteiligten Computern installieren.

System_CAPS_noteHinweis
  • Für lokale Computer können Sie die Zertifikate manuell importieren, wenn Sie über Administratorzugriff auf den Computer verfügen. Weitere Informationen finden Sie unter Importieren oder Exportieren von Zertifikaten und privaten Schlüsseln.

  • Sie benötigen ein Stammzertifikat und ein Computerzertifikat auf allen Computern, die die sichere Verbindung beteiligt. Speichern Sie das Zertifikat in der Persönlich/Zertifikate Ordner.

  • Für remote-Computer können Sie eine sichere Website zur Vereinfachung des Zugriffs auf das Skript und die Zertifikate erstellen.

Um zu überprüfen und Ihre IKEv2-IPsec-Verbindungen zu beheben, gehen Sie wie folgt vor:

Verwenden Sie die Windows-Firewall mit erweitertem Sicherheits-Snap-in, um sicherzustellen, dass eine Verbindungssicherheitsregel aktiviert ist.

  1. Geben Sie auf dem Startbildschirm Folgendes ein:wf.msc, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie im linken Bereich des Windows-Firewall mit erweitertem Sicherheits-Snap-in auf Verbindungssicherheitsregeln, und stellen Sie sicher, dass eine aktivierte Verbindungssicherheitsregel vorhanden ist.

  3. Erweitern Sie Überwachung, und klicken Sie dann auf Verbindungssicherheitsregeln zu überprüfen, ob die IKEv2-Regel für das derzeit aktive Profil aktiv ist.

Verwendung Windows PowerShell Cmdlets, um die sicherheitszuordnungen anzuzeigen.

  1. Öffnen Sie eine Windows PowerShell Eingabeaufforderungsfenster.

  2. Typ get-NetIPsecQuickModeSA die Schnellmodus-sicherheitszuordnungen angezeigt.

  3. Typ get-NetIPsecMainModeSA der Hauptmodus-sicherheitszuordnungen angezeigt.

Mithilfe von Netsh um IPSec-Ereignisse zu erfassen.

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.

  2. Geben Sie an der Befehlszeile netsh wfp capture start.

  3. Reproduzieren Sie das Error-Ereignis, damit es aufgezeichnet werden kann.

  4. Geben Sie an der Befehlszeile netsh wfp capture stop.

    Eine wfpdiag.cab-Datei wird im aktuellen Ordner erstellt.

  5. Öffnen Sie die Cab-Datei, und extrahieren Sie die Datei wfpdiag.xml.

  6. Öffnen Sie die Datei wfpdiag.xml sind eine XML-Viewer-Programm oder den Editor und untersuchen Sie den Inhalt. Es werden große Datenmengen in dieser Datei. Eine Möglichkeit, wo beginnen Sie Ihre Suche eingrenzen wird die letzte "ErrorFrequencyTable" am Ende der Datei gesucht. Möglicherweise gibt es viele Instanzen dieser Tabelle, so stellen Sie sicher, dass, die Sie in der Datei die letzte Tabelle betrachten. Z. B. Wenn Sie ein Zertifikatsproblem haben, können Sie den folgenden Eintrag in die letzte Tabelle am Ende der Datei finden Sie unter:

    <item><error>ERROR_IPSEC_IKE_NO_CERT</error>
    <frequency>32</frequency>
    </item>
    

    In diesem Beispiel stehen die folgenden 32 Instanzen der ERROR_IPSEC_IKE_NO_CERT Fehler. Also, Sie suchen können ERROR_IPSEC_IKE_NO_CERT um weitere Details zu diesem Fehler erhalten.

Möglicherweise nicht die genaue Antwort für Problem, aber Sie gute Hinweise finden. Zum Beispiel möglicherweise scheint es ein Problem mit den Zertifikaten, damit Ihre Zertifikate und die zugehörigen Cmdlets für mögliche Probleme angezeigt werden können.

Anzeigen: