IPsec 및 그룹 정책을 통한 서버 및 도메인 격리

```  
    netdiag /test:ipsec /v  
``` 

명령을 사용하면 나타납니다.

• IPsec 드라이버 로깅을 활성화하여 원본 IPsec에서 시스템 로그의 이벤트 4285를 확인합니다. IPsec 드라이버 로깅 활성화 방법에 대한 자세한 내용은 이 장의 "도구 키트" 섹션을 참조하십시오. 이벤트 텍스트는 다음과 같이 나타납니다.

  Failed to authenticate the hash for 5 packet(s) received from 192.168.0.10. 일시적인 오류일 수 있으나, 지속되는 경우 이 시스템에서 IPsec 정책 에이전트 서비스를 중지한 다음 다시 시작하십시오.

이벤트 텍스트는 IPsec 서비스를 다시 시작하면 문제를 해결할 수 있지만, 대부분의 패킷 손실 문제의 원인은 IPsec 시스템이 아닐 수 있음을 나타냅니다. 서비스를 다시 시작해도 문제가 해결되지 않으며 더 많은 문제가 발생할 수 있습니다. 문제의 원인이 IPsec 관련 문제인지를 확인하기 위한 최후의 수단으로서만 IPsec 서비스를 중단해야 합니다.

이러한 오류를 확인하려면 원본 IP 주소, 시간, 어댑터 또는 오류가 발생하는 상황의 패턴을 확인하기 위해 조사해야 합니다. 패킷의 수가 적으면 이 오류를 조사할 필요는 없습니다. 로컬 시스템에서 손상의 원인을 제거한 후 시작하는 것이 중요합니다. IPsec 오프로드를 비활성화하고, 고급 속성에서 제공되는 구성을 사용하여 고급 또는 성능 기능을 비활성화하고 공급업체가 제공하는 최신 NIC 드라이버, 특히 Windows Hardware Quality Lab에서 인증하고 서명한 드라이버를 사용해 보십시오. 그런 다음, 패킷이 전송되는 네트워크 경로의 특징을 조사하십시오. TCP/IP 패킷 취소 통계와 동일한 구성을 사용하는 다른 컴퓨터에서 패킷 손상의 다른 증거를 찾으십시오. Datagrams Received Discarded의 IP 카운터는 IPsec이 패킷을 취소할 때마다 올라갑니다.

참고: TCP/IP 오프로드 기능을 비활성화하려면 Windows 2000, Windows XP 또는 Windows Server 2003이 실행되는 컴퓨터에 다음 레지스트리 키를 사용하십시오.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\
EnableOffload DWORD 레지스트리값을 0으로

(이 키는 둘 이상의 줄로 표시될 수 있지만 레지스트리에서는 한 줄임)
그런 다음 컴퓨터를 다시 시작합니다.

이벤트 오류 4268

이벤트제목: 잘못된보안매개변수색인(SPI)과함께수신된패킷

Windows 2000과 Windows XP(SP1 포함)의 IKE 구현에는 특정 상황에서 패킷이 손실되는 알려진 문제가 있습니다. 이 문제는 Windows Server 2003 및 Windows XP SP2에서 해결되었습니다. 상위 계층 프로토콜 통신의 영향은 프로토콜이 이미 다양한 이유로 일부 패킷 손실이 발생한다는 사실이 알려져 있기 때문에 일반적으로 무시할 수 있습니다. 이 문제는 다음과 같은 경우일 수 있습니다.

• 느리지만 일관된 불량 SPI 카운터 값 증가

• 시스템 로그 이벤트 4268 메시지(활성화된 경우) 기본적으로 Windows 2000는 이러한 메시지를 시스템 로그에 이벤트 4268로 기록합니다. Windows XP는 기본적으로 이 이벤트를 기록하지 않지만 드라이버 로깅은 활성화되어 있어야 합니다. 이벤트 텍스트는 다음과 유사합니다.

  "Received packet(s) with a bad Security Parameters Index from . 오류가 계속되면 이 시스템에서 IPsec 정책 에이전트 서비스를 중지한 다음 다시 시작하십시오.

이벤트 텍스트에서는 문제를 해결하려면 IPsec 서비스를 다시 시작할 것을 제안하지만 이러한 유형의 패킷 손실의 원인은 IPsec 시스템의 설계가 문제입니다. 서비스를 다시 시작해도 문제가 해결되지 않으며 더 많은 문제가 발생할 수 있습니다. 앞서 언급한 것처럼 문제의 원인이 IPsec 관련 문제인지를 확인하기 위한 최후의 수단으로서만 IPsec 서비스를 중단해야 합니다.

IPsec 보안 매개 변수 색인(SPI)은 보안 연결이 패킷을 처리하기 위해 사용되어야 한다는 것을 응답자에게 알려 주는 패킷의 레이블입니다. SPI가 인식되지 않은 경우 "불량 SPI"로 나타납니다. 이 오류는 수신 컴퓨터가 패킷을 처리한 IPsec SA가 없는 경우 수신된 IPsec 포맷 패킷을 수신했음을 나타냅니다. 따라서, 해당 패킷을 취소해야 합니다.

패킷이 취소될 수 있을지라도 사소한 오류 메시지입니다. 생성된 불량 SPI 이벤트의 수는 컴퓨터의 사용 정도 및 재지정 시 IPsec 보호 데이터의 전송 속도에 따라 다릅니다. 다음 상황은 이러한 이벤트를 더 많이 생성할 수 있습니다.

• 1기가비트 이상의 연결에서 IPsec 트래픽을 대량 전송하는 경우.

• 부하가 높은(느린) 서버와 빠른 클라이언트가 있는 경우

• 빠는 서버와 통신하는 느린 클라이언트가 있는 경우

• IKE가 많은 클라이언트와 동시에 재지정하게 하는 서버에 대해 많은 활성 클라이언트가 있는 경우

이로써 IPsec 보호 TCP 연결이 손실된 데이터를 다시 전송하기 위해 몇 초씩 느려질 수 있습니다. 일부 패킷이 손실되는 경우 TCP는 해당 연결을 위해 혼잡 방지 모드를 시작할 수 있습니다. 몇 초 안에 완전한 속도로 연결이 다시 이루어져야 합니다. 파일 복사, 단말기 서버 및 기타 TCP 기반 응용 프로그램은 이러한 몇 개의 손실된 패킷을 알아 채지 못합니다. 단, TCP가 고속 링크에서 패킷 버스트를 손실해서 연결을 다시 설정해야 하는 경우에 나타납니다. 연결이 다시 설정되면 소켓은 종료되고 응용 프로그램은 파일 전송을 중단시킬 수 있는 연결 중단을 통보 받습니다.

이러한 오류의 일반적인 원인은 IKE가 IPsec SA 키 입력을 동기화하는 방법과 관련된 Windows 2000의 알려진 문제입니다. IKE 빠른 모드 초기자가 응답자보다 빠른 경우 초기자는 새로운 IPsec 보안 패킷을 응답자가 수신할 준비하는 것보다 더 빠르게 전송할 수 있습니다. IETF(Internet Engineering Task Force) RFC(IPsec Requests for Comment)에 명시된 것처럼 IKE가 새 IPsec 보안 연결 쌍을 구축하는 경우 초기자는 새 아웃바운드 IPsec SA를 사용하여 데이터를 전송하고 느려진 응답자는 아직 인식되지 않은 IPsec 보호 트래픽을 수신합니다. IKE 키 재지정이 경과된 시간과 IPsec SA 보호 하에서 전송된 데이터 양 모두에 의존하기 때문에 불량 SPI 이벤트는 반드시 일정한 간격은 아닐지라도 정기적으로 나타날 수 있습니다

타사 상호 운용성 시나리오에서 불량 SPI 오류는 IPsec 피어가 삭제 오류를 수용하여 처리하지 않았거나 IKE 빠른 모드 협상의 마지막 단계를 완료하지 못하는 문제를 나타낼 수 있습니다. 이 오류는 또한 공격자가 컴퓨터에 스푸핑 또는 주입된 IPsec 패킷으로 컴퓨터를 플러딩하고 있음을 나타낼 수도 있습니다. IPsec 드라이버는 이러한 오류를 카운트하여 불량한 SPI 활동을 보관하기 위해 기록합니다.

LogInterval 레지스트리 키는 이러한 이벤트를 조사하여 취소하는 데 사용될 수 있습니다. 문제 해결 시 최소 값(60초 간격)으로 설정하여 이벤트가 신속하게 등록되도록 합니다. Windows 2000의 경우 IPsec 정책 에이전트 서비스를 중지한 후 다시 시작하여 IPsec 드라이버를 다시 로드할 수 있습니다. Windows XP 및 Windows Server 2003의 경우 컴퓨터를 다시 시작해야 TCP/IP 및 IPsec 드라이버를 다시 로드할 수 있습니다.

Windows 2000의 경우 이러한 이벤트는 현재 레지스트리 키 설정 또는 패치로 제거할 수 없습니다. Windows XP 및 Windows Server 2003의 기본 설정은 이러한 이벤트를 보고하지 않는 것입니다. 이러한 이벤트를 보고하려면 netsh ipsec 명령줄 옵션 또는 레지스트리 키를 통해 직접 IPsecDiagnostics 구성을 사용하여 활성화 수 있습니다.

다음 방법을 사용하여 이러한 오류를 최소화할 수 있습니다.

• IPsec 정책 설정을 조정합니다. 빠른 모드 주기를 21시간 또는 24시간(유휴 IPsec SA가 사용되지 않는 경우 5분 단위로 삭제)으로 늘립니다(보안 요구 사항이 허용하는 경우). 동일한 키를 사용하여 너무 많은 데이터를 암호화함으로써 발생할 수 있는 보안 취약점을 방지하기 위해 ESP 암호화를 사용하는 경우에는 100MB 이상의 주기를 설정해서는 안 됩니다.

• 기본 또는 빠른 모드 전달 완전 보안(PFS)을 사용하여 이 문제가 협상되지 않은 특정 IPsec SA에 대해 발생하지 않도록 합니다. 단, 설정으로 인해 많은 클라이언트를 서비스하는 컴퓨터에 대한 부하가 상당히 증가하게 되어 다른 협상에 대한 응답을 지연시킬 수 있습니다.

• CPU 또는 기타 하드웨어를 추가하여 성능을 높이거나 응용 프로그램 부하를 줄입니다.

• 이미 설치되지 않은 경우 IP 하드웨어 가속 NIC를 설치합니다. 이러한 카드는 IPsec이 높은 처리량 데이터 전송에 사용한 CPU 사용률을 상당히 줄여줍니다.

• CPU 사용률이 높게 유지되는 경½½우 Diffie-Hellman 계산 속도를 높이기 위한 하드웨어 가속기 제품의 사용을 검토하십시오. 이러한 제품은 일반적으로 Diffie-Hellman 계산 속도를 가속화하는 Diffie-Hellman 지수화 오프로드 기능이 있는 PCI 카드입니다. 가속화가 되면 SSL(Secure Sockets Layer) 프로토콜을 사용하는 인증서의 공개 및 개인 키 작업에도 이점을 제공합니다. 제공업체에 "ModExpoOffload interface in CAPI for Diffie-Hellman calculations"를 지원하는 카드가 있는지 확인하십시오.

• 가능한 경우, IPsec 보호(예: 전용 LAN 상의 서버 백업 트래픽)가 필요하지 않은 고속 트래픽을 허용하는 필터를 만드십시오.

이러한 옵션이 작동하지 않고 Windows XP SP2 또는 Windows Server 2003 업그레이드가 가능하지 않은 경우 Microsoft 기술 지원 서비스에 현재 사용 가능한 옵션이 있는지 문의하십시오.

이벤트 오류 4284

이벤트제목: 보안이유지되야할안전한패킷

이 이벤트는 IPsec 보안 연결이 패킷이 IPsec 보안 연결 내부에 있어야 하는 일반 텍스트로 수신되는 경우에 구축되었음을 나타냅니다. 이러한 패킷은 취소되어 IPsec 보안 연결에 대한 패킷 주입 공격을 방지합니다. Datagrams Received Discarded에 대한 IP 카운터가 증가해도 IPsec은 이러한 이유로 손실된 패킷을 기록하는 카운터는 가지고 있지 않습니다. 이러한 문제는 다음과 같이 나타나는 시스템 로그 오류 이벤트 4284에서만 확인할 수 있습니다.

"Received packet(s) in the clear from which should have been secured.

오류가 계속되는 경우 이 시스템에서 IPsec 정책 에이전트 서비스를 중지한 다음 다시 시작하십시오.

이전 오류에 대한 이벤트 제안 사항을 따라서는 안 됩니다. IPsec 서비스를 다시 시작해도 오류가 수정될 가능성은 없습니다.

가장 가능성이 있는 오류의 원인은 정책 구성 문제일 수 있습니다. 즉, 보다 구체적인 아웃바운드 허용 필터로 인해 한쪽에서 안전한 트래픽을 전송하는 경우 문제가 발생할 수 있습니다. 예를 들어, 클라이언트에 서버와 관련한 모든 트래픽의 보안을 유지하는 필터가 있고 서버 정책에서 일반 텍스트 HTTP 응답을 허용하는 보다 구체적인 필터가 있는 경우, 서버에서는 아웃바운드 HTTP 패킷을 제외한 모든 클라이언트 트래픽에 보안을 유지합니다. 클라이언트에서는 이러한 패킷을 수신하지만 보안상의 이유로 무시합니다. 클라이언트에서는 서버로 또는 서버에서 전송되는 모든 트래픽이 IPsec SA 쌍 내부 보안이 유지될 것으로 기대하기 때문입니다.

이 이벤트는 두 컴퓨터 간 트래픽이 전송되지만 피어 하나에서 IPsec 보안 연결 또는 IPsec 드라이버의 필터를 삭제하게 되는 타사 클라이언트 상호 운영에서 발생하며 정상 운영 시에도 발생할 수 있습니다. 예를 들어, 한 측은 IPsec 정책 할당을 취소하거나 IPsec SA 및 필터를 제거하는 정책 업데이트가 발생할 수 있습니다. 한 측의 피어가 활성 상태의 상위 레벨 프로토콜 통신이 발생하는 동안 이미 필터를 제거했기 때문에 IKE 삭제 메시지는 도착하여 오류를 유발하는 일반 텍스트 패킷이 도착하기 적에 다른 피어에 의해 처리되지 않을 수 있습니다. 또한, 삭제 메시지를 처리하는 데 걸리는 시간은 피어 컴퓨터의 현재 부하에 따라 다릅니다.

이러한 오류 메시지는 IPsec 보안 연결이 전체 필터 집합이 IPsec 드라이버에 적용되기 전에 구축될 수 있기 때문에 대형 정책이 로드되는 동안 발생할 수 있습니다. 이러한 상황이 발생하면 IPsec SA는 정책 로딩이 완료된 후 제외될 트래픽에 대해 협상할 수 있습니다.

오류 메시지에는 특정 활성 인바운드 보안 연결에 대한 트래픽 선택기와 일치(고의적 또는 우연히)하는 일반 텍스트 트래픽이 전송되는 주입 공격을 나타내는 것일 수도 있습니다.

이 문제는 IPsec 정책 설계자에게 문제를 제기해야 합니다.

IPsec NAT-T Timeouts When Connecting Over Wireless Networks

Windows Server 2003 또는 Windows XP 기반 클라이언트 컴퓨터가 IPsec NAT-T를 사용하는 무선 네트워크에서 서버에 연결하려고 할 때 연결 시간이 초과되는 문제가 최근에 발견되었습니다. 자세한 내용은 Microsoft 기술 자료 문서 885267( https://support.microsoft.com/?kbid=885267)를 참조하십시오.

올바른 IPsec 정책 확인

이 섹션에서는 IPsec 정책 할당 및 해석과 관련된 문제를 검사하는 단계를 설명합니다. 올바르게 해석된 IPsec 정책의 필터는 IPsec이 패킷을 허용하고 차단하며 원격 IP 주소의 IPsec SA가 트래픽을 보안하도록 협상하기 위해 IKE를 실행하도록 IPsec 드라이버에 있어야 합니다. 응답자로서 IKE를 안내하기 위한 적합한 필터가 있어야 합니다. 이 솔루션에서 IPsec 정책 설계에서는 모든 트래픽(ICMP 제외)이 IPsec으로 보호되어야 합니다. 정책에는 또한 제외 목록의 각 IP 주소에 대한 필터도 포함됩니다.

참고: Windows 2000의 경우에 IPsec 서비스는 IPsec 정책 에이전트로 불려지나 Windows XP 및 Windows Server 2003의 경우에 이 서비스는 IPsec 서비스로 불려집니다.

지원 엔지니어는 IPsec에 위한 그룹 정책의 사용, IPsec 정책 우선 순위 및 IPsec 정책 해석에 대해 잘 알고 있어야 합니다. 이러한 주제에 대한 정보 참조는 이 장 후반의 "추가 정보" 섹션에서 확인할 수 있습니다.

IPsec에 대한 그룹 정책의 문제 해결

그룹 정책은 도메인 기반 IPsec 정책을 도메인 구성 할당에 대한 메커니즘을 제공합니다. 도메인 구성원 별로 할당된 GPO의 검색은 호스트 컴퓨터에 대한 IPsec 정책 할당을 구현하는 것입니다. 따라서, GPO 검색의 문제로 인해 컴퓨터가 적합한 IPsec 정책을 적용하지 못하게 됩니다. IPsec 정책 관리에 대한 그룹 정책에 발생하는 일반적인 문제는 다음이 포함됩니다.

• Active Directory의 다양한 구성 요소의 복제 지연

• 그룹 정책 폴링 및 다운로드 프로세스의 문제

• IPsec 정책 버전 할당에 대한 혼동

• IPsec 서비스가 실행되지 않음

• Active Directory의 IPsec 정책은 검색할 수 없어서 캐시된 사본을 대신 사용함

• 현재 할당된 IPsec 정책 검색에 대한 IPsec 정책 폴링으로 인한 지연

복제는 IPsec 정책, GPO, GPO IPsec 정책 할당 및 IPsec 정책의 속성 변경과 보안 그룹 구성원 정보와 같은 Active Directory의 IPsec 관련 개체 수로 인해 지연될 수 있습니다. 도메인 구성원에 서서히 영향을 끼치기 때문에 IPsec 구성 변경의 영향을 평가하기 위해 주의 깊게 계획해야 합니다.

그룹 정책 문제 해결 절차에 대한 자세한 내용은 다음 백서를 참조하십시오.

• Troubleshooting Group Policy in Windows 2000( https://support.microsoft.com/?kbid=810739

• Troubleshooting Group Policy in Microsoft Windows Server)(www.microsoft.com/downloads/details.aspx?FamilyId=B24BF2D5-0D7A-4FC5-A14D-E91D211C21B2&displaylang=en.

도메인 기반 IPsec 정책 할당은 다음 두 가지 구성 요소로 구현됩니다.

• GPO에서 IPsec 정책의 할당에 대한 IPsec 정책 관리 MMC 스냅인(보안 정책 MMC 스냅인의 확장 형태)

• GPO에서 IPsec 관련 정보를 처리하는 IPSec용 그룹 정책 클라이언트 측 확장자(CSE)(gptext.dll으로 구현됨)

IPsec 정책 관리 MMC 스냅인은 선택한 IPsec 정책 정보를 LDAP Distinguished Name(DN)으로 참조된 GPO의 IPsec 구성 요소에 저장함으로써 GPO에 할당합니다.

CN=IPSEC,CN=Windows,CN=Microsoft,CN=Machine,CN={GPOGUID},
CN=Policies,CN=System,DC=domain,DC=Woodgrove,DC=com

할당된 IPsec 정책의 LDAP DN은 GPO 속성 ipsecOwnersReference에 저장됩니다.

그룹 정책이 컴퓨터에 적용한 GPO 목록을 검색하는 경우 IPsec 정책 할당이 포함된 GPO는 다음 위치의 IPsec 클라이언트측 확장자에 대한 GUID의 레지스트리에 저장됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Group Policy
\History\{e437bc1c-aa7d-11d2-a382-00c04f991e27}

IPsec CSE는 IPsec 정책 할당이 GPO에 있을 때마다 보안 정책 CSE에 의해 활성화됩니다. 보안 정책을 처리하는 문제가 있는 경우 IPsec 정책을 처리하는 데 문제가 있을 수 있습니다. 각 그룹 정책 확장자에 대한 GUID를 찾으려면 다음 레지스트리 하위를 보십시오.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\WinLogon\GPExtensions

그룹 정책 CSE에 대한 IPsec 배포 관련 GUID는 다음과 같습니다.

• 보안. {827D319E-6EAC-11D2-A4EA-00C04F79F83A}

• IP 보안.{E437BC1C-AA7D-11D2-A382-00C04F991E27}

• 스크립트. {42B5FAAE-6536-11D2-AE5A-0000F87571E3}

IPsec CSE는 LDAP DN와 할당된 IPsec 정책에 대한 관련 문제를 다음 레지스트리 키에 복사합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\GPTIPSECPolicy

여러 GPO에 IPsec 정책 할당이 포함된 경우 IPsec CSE는 각 GPO에 대해 호출됩니다. GPO 우선 순위 규칙은 IPsec CSE가 처리할 GPO를 수신하는 순서로 적용됩니다. 이 순서는 GPO 자체의 설정과 일부 할당된 GPO가 검색되지 못하게 하는 Read ACL에 의해 영향을 받을 수 있습니다. IPsec CSE가 호출될 때 마다 GPO의 IPsec 관련 정보(DN 포함)는 이 레지스트리 키에 덮어씁니다. 모든 GPO가 처리되면 CSE는 도메인 기반 IPsec 정책이 할당되었음을 IPsec 서비스에 신호를 보냅니다. 그런 다음, IPsec 서비스는 GPTIPsecPolicy\DSIPSECPolicyPath 값을 읽어 적합한 IPsec 정책을 검색합니다.

IPsec 서비스는 계획해서 할당된 IPsec 정책 디렉터리 개체의 최종 업데이트 시간에 기반하여 할당된 IPsec 정책의 변경 사항을 폴링합니다. 서비스는 최종 도메인 정책으로서 캐시된 IPsec 정책을 유지 관리합니다.

할당된 IPsec 정책의 이름이 실제로 사용 중인(및 캐시된) IPsec 정책의 이름과 동기화되지 않도록 하는 알려진 문제가 있습니다. IPsec 서비스는 GPTIPsecPolicy 레지스트리 키(예: DSIPSECPolicyName)의 정보를 업데이트하지 않지만, IPsec 정책의 이름은 IPsec CSE가 호출되는 경우에만 변경됩니다. 단, IPsec CSE가 GPO의 IPsec 정책 할당 DN 속성의 변경 사항이 없으면 호출되지 않습니다. 이 레지스트리 값은 IPsec 모니터 MMC 스냅인과 명령줄 도구에서 사용되어 현재 할당된 IPsec 정책의 이름을 보고합니다. 따라서, IPsec 도구는 현재 사용 중이 아닌 CSE에서 마지막 처리되었던 IPsec 정책 이름을 보고할 수 있습니다. 이 버그에 대해서는 몇 가지 해결 방안이 있습니다. 자세한 내용은 이 가이드의 5장, "격리 그룹을 위한 IPsec 정책 만들기"의 "정책 버전 관리" 섹션을 참조하십시오.

참고: Microsoft는 IPsec 규칙 명명 규칙에는 이름에 버전 번호를 포함하여 현재 할당된 정책 버전을 쉽게 확인할 수 있도록 하는 것이 좋습니다. 그렇지 않으면 정책 이름이 동일하게 유지되는 경우 쉽게 버전 변경 사항을 알 수 없게 됩니다.

그룹 정책을 강제로 새로 고침한 후에도 적절한 IPsec 정책이 할당되지 않으면 소스 Userenv 또는 SceCli의 응용 프로그램 로그 오류에서는 그룹 정책 처리 문제를 나타냅니다. 더욱 자세하게 이 문제를 조사하려면 그룹 정책 로깅을 활성화해야 합니다. 그룹 정책 로그와 로깅 레벨에는 다양한 유형이 있습니다. 보안 CSE에 대한 로그는 IPsec CSE에서 보고한 오류 뿐 아니라 오류 처리 보안 정책을 확인하는 데 필요합니다. IPsec CSE에 명시적인 로그는 없습니다. 그룹 정책이 어떤 도메인 컨트롤러 IP 주소가 각 개체의 검색에 사용되고 있는지를 확인하기 위해 새로 고침할 때 트래픽을 수집하기 위해 네트워크 모니터 추적이 필요할 수 있습니다. 다음과 같은 문제가 발생할 수 있습니다.

• 개체 찾을 수 없음을 유발하는 복제 문제 또는 지연

• 도메인 컨트롤러 로케이터의 로드 균형 조정은 할당된 IPsec 정책에 대한 LDAP 쿼리가 동일한 사이트의 다른 도메인 컨트롤러에서 검색되는 동안 하나의 도메인 컨트롤러에서 GPO가 검색될 수 있게 합니다.

보안 CSE에 대한 자세한 로그 파일을 만들려면 다음 레지스트리 키를 사용하십시오.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\CurrentVersion\Winlogon
\GpExtensions\{827d319e-6eac-11d2-a4ea-00c04f79f83a}\

ExtensionDebugLevel 항목을 0x2의 REG_DWORD 값으로 설정합니다.

로그 파일이 %windir%\Security\Logs\Winlogon.log에 만들어집니다.

참고: 잘못된 DNS 항목은 컴퓨터 및 사용자 로그온이 성공한다 해도 그룹 정책이 Active Directory로부터 다운로드되지 않는다는 것을 의미할 수 있습니다. DNS 문제에 대한 자세한 내용은 "이름 확인 문제" 섹션을 참조하십시오.

IPsec 서비스 문제 해결

IPsec 서비스는 IPsec 정책 관리 MMC 스냅인을 사용하기 위해 실행될 필요가 없습니다. 단, 관리자가 로컬 정책을 할당하는 경우 정책할당 열에 오류가 표시됩니다.

다음과 같은 공통적인 문제로 인해 IPsec 서비스가 시작 동안 실패할 수 있습니다.

• 컴퓨터가안전모드또는 Active Directory 복구모드로시작되었습니다. 이러한 경우에 IPsec 드라이버는 IPsec 정책이 할당된 경우 기본적으로 상태 저장 아웃바운드 통신을 제공하게 됩니다. 부팅 예외가 설정되어 있지 않으면 인바운드 연결이 차단됩니다.

• IKE는 UDP 포트 500 및포트 4500을독점적으로제어할수없습니다. netstat –bov를 사용하여 각 포트에 대한 프로세스와 코드 모듈을 사용합니다. portqry –local –v 명령은 더욱 자세한 정보를 제공합니다. 일부 Winsock 계층화된 서비스 공급자(LSP)가 설치되어 IPsec을 방해할 수 있습니다. LSP와 IPsec에 대한 자세한 내용은 이 장 후반의 "응용 프로그램 관련 문제 해결" 섹션을 참조하십시오.

• IPsec 정책손상. 할당된 IPsec 정책을 완전히 읽거나 적용할 수 없어 IPsec 서비스가 많은 오류를 보고하게 됩니다. 이러한 오류로 서비스 자체가 실패하지는 않지만 그룹 정책 및 IPsec 서비스가 수정된 정책을 검색하지 못하도록 차단하는 등 통신을 실패하게 할 수 있습니다. Windows XP와 Windows Server 2003에서 도메인 기반 정책이 적용될 때 발생하는 오류에 대비하여 안전한 정책으로 적용될 영구 정책 또는 로컬 정책의 설계에 보다 주의를 기울여야 합니다. 영구 정책과 컴퓨터 시작 정책(bootmode 제외) 모두 문제 해결 조사에 포함되어야 합니다. 이러한 정책은 다른 오류 상황으로 인해 적용되는 유일한 정책인 경우에 다른 수단으로 컴퓨터에 대한 원격 액세스를 허용해야 합니다.

Windows 2000 IPsec 구현은 IPsec 정책 저장소(polstore.dll)라는 모듈을 사용하여 IPsec 정책 에이전트와 IPsec 정책 관리 MMC 스냅인이 하나의 모듈을 사용하여 모든 세 가지 지원되는 정책 저장 위치(로컬, 원격 컴퓨터 및 Active Directory)에 액세스합니다. 이 설계는 새 IPsec 정책 유형(시작 정책 및 영구 정책) 및 SPD(Security Policy Database)가 추가로 Windows XP 및 Windows Server 2003에서 변경 및 개선되어 IPsec 모니터 쿼리 및 IKE 쿼리에 대한 실시간 IPsec 정책 상태를 유지 관리합니다. 이 구조적 변경은 Windows 2000에 기록된 IPsec 이벤트의 텍스트가 Windows XP 및Windows Server 2003에서 변경되었다는 것을 의미합니다. 또한, 원격 권리에 사용된 RPC 인터페이스에 상당한 변경 사항이 있었음을 의미합니다. Windows Server 2003의 경우 RPC 인터페이스가 다시 상당히 업데이트되었습니다. 따라서, IPsec 정책 관리 MMC 스냅인은 동일한 운영 체제 버전이 설치되지 않은 원격 컴퓨터에 연결할 수 없습니다. 또한, Windows XP SP2 및 Windows Server 2003 SP1의 보안 모델은 기본적으로 원격 RPC 연결로 제한하고 Windows 방화벽을 기본적으로 활성화되도록 변경됩니다. 자세한 내용은 Changes to Functionality in Microsoft Windows XP Service Pack 2 - Part 2: Network Protection Technologies(www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx)를 참조하십시오.

이러한 변경 사항으로 인해 IPsec 서비스의 원격 RPC 인터페이스는 안전 수단으로서 사용되지 않았습니다. 따라서 IPsec 모니터 및 IPsec 정책 관리 MMC 스냅인은 이러한 컴퓨터에서 원격 모니터링을 수행할 수 없습니다. IPsec의 원격 관리는 IPsec MMC 스냅인을 원격 프로세스로서 실행하는 원격 데스크톱(터미널 서버)을 사용하여 수행해야 합니다.

Windows 2000의 경우, 기본적으로 IPsec 드라이버는 시작 프로세스 종료 후에 정책 에이전트 서비스에 의해 로드됩니다. IPsec 드라이버는 정책 에이전트가 IPsec 드라이버에게 활성 정책을 처음 알리기 전까지 IP 패킷 처리의 일부가 아닙니다. 활성 IPsec 정책이 없는 경우 IPsec 드라이버는 인바운드 및 아웃바운드 IP 트래픽 처리에 포함되지 않습니다. Windows XP 및 Windows Server 2003의 경우 이 설계는 시작 프로세스 동안 TCP/IP 드라이버에 의해 IPsec 드라이버가 로드되도록 개선되었습니다. 이 드라이버는 IPsec 서비스로 필터가 로드될 때까지 패킷을 처리하지 않습니다.

Windows 2000의 경우 서비스 시작 문제에 대해 IPsec 정책 에이전트에 의해 오류가 기록될 수 있습니다. 이러한 오류에는 다음이 포함됩니다.

• IP 보안정책에이전트가시작하지못했습니다. IP 보안정책을강제할수없습니다. 이 오류는 RPC 하위 시스템에 등록되는 경우 IPsec 정책 에이전트에 발생하는 문제로 인해 발생된 것일 수 있습니다. 타사 Winsock LSP로 인해 IKE의 초기화가 실패할 수 있습니다.

• 정책에이전트 RPC 서버실패항목

  • 프로토콜시퀀스등록

  • 인터페이스등록

  • 인터페이스바인딩등록

  • 인터페이스끝점등록

  • 인증메커니즘등록

  • 수신

  이러한 오류는 IPsec 정책 에이전트 서비스가 서비스 시작 동안 제대로 초기화되지 않도록 하는 RPC 서비스 내에 고급 보안 설정 또는 문제에 대한 변경 사항으로 인해 발생할 수 있습니다. 따라서, IPsec 정책 에이전트가 기능하지 않거나 중단되고 종료될 수 있습니다.

• 정책에이전트가시작하지못했습니다. SCM 데이터베이스에연결하지못했습니다. 오류: <번호>. IPsec 서비스는 IPsec 서비스가 권한 없는 서비스 계정으로 실행되도록 구성되었기 때문에 발생할 수 있는 서비스 제어 관리자 데이터베이스를 열 수 없습니다. 로컬 시스템으로 실행되어야 합니다. 그렇지 않으면, 서비스 제어 관리자와 문제를 상의하십시오.

• 정책에이전트가 IPSEC 드라이버에연결하지못했습니다. IPsec 드라이버가 성공적으로 로드되어 TCP/IP 스택과 연결되지 못했습니다. IPsec 서비스가 시작될 때 Windows 2000에서 이 작업을 수행하도록 제작되었습니다. 연결을 방해하는 타사 소프트웨어가 있을 수 있거나 운영 체제에 이 기능에 필요한 코드 모듈이 없을 수 있습니다.

• 정책에이전트가 PSEC 정책을로드하지못했습니다. IPsec 정책 에이전트가 모든 필터를 IPsec 드라이버로 로드하는 동안 오류가 발생했습니다. 이 오류는 커널 메모리가 부족하거나 IPsec 드라이버가 부적합하게 초기화되어 발생되었을 수 있습니다. 문제가 지속되면 Microsoft 기술 지원 서비스에 문의하십시오.

• 정책에이전트가 ISAKMP 서비스를시작하지못했습니다. 이 오류는 다른 서비스가 이미 사용하고 있기 때문에 IKE가 UDP 포트 500 또는 포트 4500을 독점적으로 제어할 수 없어 발생합니다. 네트워크 포트 할당을 방해하는 타사 보안 소프트웨어 또는 로컬 시스템 컨텍스트에서 실행되지 않는 IPsec 서비스로 인해 발생할 수도 있습니다.

• ISAKMP/Oakley 서비스에대한 SSPI 원래이름을결정할수없습니다. Windows 2000은 SSPI(보안 지원 공급자 인터페이스) 함수 호출 QueryCredentialsAttributes가 실패하는 경우 이 메시지를 기록합니다. 이 오류는 컴퓨터가 도메인에 성공적으로 로그인할 수 없다는 것을 나타냅니다.

• SAKMP/Oakley 서비스에대한 Kerberos 서버인증을얻을수없습니다. Windows 2000 오류 메시지는 일반적으로 IPsec 서비스가 Kerberos 인증을 필요로 하고 도메인 컨트롤러를 사용할 수 없는 IPsec 정책이 할당된(도메인 정책의 레지스트리 캐시에서) 원격 네트워크에서 IPsec 서비스가 시작되는 경우에 발생합니다. 따라서, Kerberos 인증은 제대로 작동하지 않습니다. 내부 네트워크에서 이 이벤트는 도메인의 구성원이 아니거나 IPsec 서비스 초기화 동안 Kerberos 프로토콜을 사용하여 도메인 컨트롤러에 연결할 수 없는 컴퓨터에 기록될 수 있습니다.

• IP 보안드라이버가시작되지못했기때문에보안통신정책을강요할수없습니다. 시스템관리자에게즉시문의하십시오. 이 오류는 IPsec 드라이버 로딩, TCP/IP 스택 바인딩 또는 정책을 추가하기 전에 초기화 등에 문제로 인해 발생됩니다. 파일 손상 또는 사용 권한이 원인일 수 있습니다. 드라이버 로딩을 금지하는 보안 설정 또는 타사 보안 소프트웨어를 찾으십시오. FIPS.sys 내부 서명이 초기화 동안 인증될 수 없는 경우 로드되지 못하고 IPsec 드라이버도 로드에 실패할 수 있습니다. FIPS.sys 서명 오류가 발생하면 Microsoft로부터 제공되는 서명된 이진 파일 원본 또는 새 이진 파일로 교체해야 합니다. 컴퓨터를 다시 시작합니다. 문제가 지속되면 Microsoft 기술 지원 서비스에 문의하십시오.

Windows XP와 Windows Server 2003의 경우에 다음 IPsec 서비스 오류 이벤트는 이 서비스를 시작할 수 없음을 나타냅니다.

• IPSec 서비스가 IPsec 드라이버를초기화하지못했습니다. 오류코드는 <번호>입니다. IPSec 서비스를시작할수없습니다. IPsec 드라이버를 일부 이유로 로드할 수 없습니다. 문제가 지속되면 Microsoft 기술 지원 서비스에 문의하십시오.

• IPSec 서비스가 IKE 모듈을초기화하지못했습니다. 오류코드는 <번호>입니다. IPSec 서비스를시작할수없습니다. 이 문제의 일반적인 원인은 IKE가 일정한 소켓 옵션을 사용하지 못하게 하는 타사 Winsock LSP입니다. 이 오류는 IKE가 UDP 포트 500 및 4500을 독점적으로 제어할 수 없는 경우에도 보고됩니다.

• IPSec 서비스가 RPC 서버를초기화하지못했습니다. 오류코드는 <번호>입니다. IPSec 서비스를시작할수없습니다. IPsec 서비스는 IKE, SPD 및 정책 에이전트 사이에 프로세스 간 통신을 위해 RPC 하위 시스템에 의존합니다. RPC 문제 해결 방법을 사용하여 RPC가 제대로 작동되고 있는지 확인하십시오. 컴퓨터를 다시 시작한 후에도 문제가 지속되면 Microsoft 기술 지원 서비스에 문의하십시오.

• IPSec 서비스에중대한오류가발생하여종료했습니다. 오류코드는 <번호>입니다중지된 IPSec 서비스로인해컴퓨터에잠재적인보안위험이있을수있습니다. 시스템관리자에게문의하여서비스를다시시작하십시오. IPsec 서비스에 이벤트 텍스트에 <번호>로 표시되고 더 이상 실행되지 않는 오류가 발생했습니다. IPsec 드라이버가 로드되고 정상 모드(IPsec 정책 필터를 강제 적용하는) 또는 차단 모드 상태입니다. 각 이벤트는 IPsec 드라이브가 차단 모드 상태였는지 나타나게 됩니다. 드라이버가 정상 모드 상태가 아닌 경우 허용 및 차단 필터 작업은 예상한 대로 작동합니다. 협상 작업의 필터는 IKE을 사용할 수 없기 때문에 트래픽을 손실합니다.

• 이전실패오류코드 <번호>때문에 IPSec 서비스가 IPSec 드라이버를차단모드로설정했습니다. 이 메시지는 IPsec 드라이버가 IPsec 정책 처리 중 발생한 오류로 인해 오류 복구 동작으로 차단 모드 상태가 되었다는 알림입니다. 이 동작은 Windows Server 2003에서만 사용 가능합니다. 차단 모드로 인해 netsh insec 명령을 사용하여 구성되었던 인바운드 제외를 허용합니다.

IPsec 정책 검색 문제 해결

IPsec 서비스는 인증 및 암호화된 TCP LDAP 쿼리를 사용하여 모든 플랫폼에 대해 할당된 IPsec 정책을 다운로드합니다. LDAP 서명 및 Kerberos 세션 키를 사용한 봉인 옵션이 있습니다. 따라서, 로컬 시스템으로 실행되는 IPsec 서비스는 Active Directory 서버에서 LDAP 서비스에 대한 Kerberos 서비스 티켓을 획득할 수 있어야 합니다. 할당된 적절한 IPsec 정책은 GPTIPsecPolicy 레지스트리 키의 IPsec CSE로 저장되도록 확인되고 서비스가 실행되는 경우 다음 문제로 인해 IPsec 서비스가 Active Directory에서 해당 정책을 검색할 수 없게 됩니다.

• 도메인 컨트롤에 대한 통신 문제

• 도메인 컨트롤러의 컴퓨터 계정 로그온 문제

• Kerberos 티켓 발행 문제

• LDAP 서비스 사용 가능성 문제

• LDAP 쿼리로 요청된 특정 IPsec 정책 또는 구성 요소 개체 발견 문제

• 요청된 IPsec 정책 개체에 대한 읽기 권한 문제

• 저장소로 개체 저장 시 문제 또는 저장소 개체의 우연 또는 고의적인 삭제로 인한 정책 손상

  참고: Windows XP 또는 Windows Server 2003에 만들어지고 이러한 릴리스에서 사용 가능해진 새 기능을 사용하는 IPsec 정책에는 이후 정책이고 Windows 2000 IPsec 정책 관리 MMC 스냅인에 의해 저장된 경우 이러한 기능이 약간 제거되었을 수 있습니다. 단, Windows 2000 시스템이 추가 기능이 있는 IPsec 정책을 검색한 경우 단순히 무시하여 Windows 2000 시스템에서 가장 적용되는 경우 IPsec 정책의 동작을 변경 또는 변경하지 않을 수 있습니다.

IPsec 정책 관리 MMC 스냅인에 알려진 문제는 Active Directory 또는 원격 컴퓨터에서 IPsec 정책을 관리할 때 발생합니다. MMC 스냅인이 느린 연결에서 실행되는 경우 대용량 정책에 모든 변경 사항을 저장하는 데 시간이 많이 걸릴 수 있습니다. MMC 스냅인 창이 닫혀 있는 경우 아직 저장되지 않은 IPsec 정책 개체 또는 변경 사항이 손실됩니다. 이 기능으로 IPsec 정책이 손상될 수 있습니다. IPsec 정책 관리 MMC 스냅인이 느린 링크에서 실행되는 경우 원격 데스크톱 세션을 사용하여 이 스냅인을 로컬 프로세스로 실행하십시오.

일반적으로 IPsec 정책을 만드는 명령줄 도구 스크립트는 테스트되어야 합니다. 테스트하려면 로컬 시스템에 정책을 만들고 IPsec 정책 관리 MMC 스냅인으로 검토하여 무결성을 확인하십시오. 테스트 컴퓨터는 로컬 IPsec 정책을 적용하고 IPsec 모니터 MMC 스냅인의 세부 사항을 조사하여 예정되는 필터 주문을 확인해야 합니다.

IPsec 정책 읽기 오류 및 손상의 문제를 해결하기 위한 절차는 저장소 위치에 따라 다릅니다. 이 솔루션은 도메인 기반 IPsec 정책만을 사용하지만, 다른 유형의 IPsec 정책은 문제가 발생시키는 방식으로 구성되었을 수 있습니다.

각 정책 유형에 대한 문제 해결 정책은 이 섹션의 나머지 부분에서 검토됩니다. 일반적으로, 계층 2 지원은 명령줄 또는 GUI 도구를 사용하여 올바른 IPsec 정책이 검색되고 해당 정책이 올바르게 해석되고 있는지 확인해야 합니다. 각 정책 유형을 삭제하는 단계는 정책 새로 고침으로 올바른 정책이 분명하게 설치될 것이라는 예상과 함께 여기에 표시됩니다. 적절한 정책이 스크립트로부터 검색 또는 설치되지 않는 것처럼 보이는 경우 문제는 계층 3 지원으로 제기됩니다.

IPsec 시작 정책

Netsh 유틸리티를 통해 Windows Server 2003에서만 지원되는 부트 모드와 부트 예외 옵션을 구성할 수 있습니다. 이 구성은 아래와 같은 기본 값으로 다음 레지스트리 키에 저장됩니다.

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\
  OperationMode=3 (Stateful)

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\
  BootExemptList = (exemption for inbound DHCP, see below)

기본 OperationMode 값은 IPsec 드라이버가 아웃바운드 트래픽의 상태 저장 필터링을 수행할 것을 요청합니다. IPsec 서비스가 실행 중인 경우

    Netsh ipsec dynamic show config  

이 명령을 사용하여 시작 구성을 표시합니다. IPsec 서비스가 실행되고 있지 않은 경우(예: 안전 모드로 시작되는 경우) 레지스트리 도구를 사용하여 레지스트리 키 값을 조사하여 변경할 수 있습니다.
시작 중에 IPsec 상태 저장 필터링으로 인해 발생한 트래픽 문제를 해결하기 위해 IPsec 드라이버를 상태 저장 필터를 수행하는 대신 시작 시 트래픽을 허용하도록 설정합니다. IPsec 서비스가 실행 중인 경우

    netsh ipsec dynamic set config bootmode value=permit  

이 명령을 사용하여 시작 모드가 허용되도록 설정합니다. IPsec 서비스가 실행되고 있지 않은 경우 레지스트리 도구를 사용하여 OperationsMode=1를 변경합니다. 또한, IPsec 드라이버는 IPsec 서비스가 수동 시작에 대해 구성되거나 비활성화된 경우 시작 보안 모드를 적용하지 않습니다. 서비스가 수동 시작되도록 구성되어 있거나 비활성화된 경우 IPsec 드라이버가 허용 모드에서 로드하도록 컴퓨터를 다시 시작합니다.

영구 IPsec 정책

영구 정책은 Windows XP와 Windows Server 2003에서 지원됩니다. 공통된 오류 상황 중 하나는 기존 영구 정책이 새 영구 정책이 정의되기 전에 삭제되지 않거나 새 정책이 이미 할당된 다른 설정과 충돌하는 경우에 발생합니다. 이 장에 설명된 솔루션은 영구 정책을 사용하지 않습니다. 단, 일부 환경의 문제 해결 지침에 사용될 수 있기 때문에 이 장에 제공됩니다.

영구 정책 레지스트리 키는 기본으로 존재하며 다음과 같이 비어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\Policy\Persistent

Windows XP의 경우 영구 정책을 검색하는 최상의 방법은 이 레지스트리 키가 비어 있지 않은지 확인하는 것입니다. ipseccmd show 명령은 IPsec 서비스에 포함된 활성 정책을 보고하지만 특정 설정이 영구 정책으로 발생했음을 보고하지 않습니다. IPsec 서비스는 정책을 활성 설정으로 해석할 때 영구 정책 규칙의 이름을 무시합니다. ipseccmd가 필터 및 필터 작업에 이름을 제공하지 않기 때문에 영구 정책으로 인해 발생된 필터와 필터 이름을 나타내기 위해 이름 명명 규칙을 사용할 수 없습니다. ipsecpol.exe 또는 ipseccmd.exe를 사용하여 만들 때마다 영구 정책의 항목이 포함될 필터에는 "text2pol{GUID}" 유형의 이름이 설정됩니다. 단, 스크립트를 사용하여 만들어진 로컬 또는 도메인 정책도 이러한 이름을 갖게 됩니다.

영구 정책이 먼저 적용되고 로컬 또는 도메인 IPsec 정책과 통합됩니다. 따라서 로컬 및 도메인 정책 모두 영구 설정만을 검토할 수 있기 전에 적용 해제되어야 합니다. 사용

ipseccmd show all  

하여 IPsec 서비스가 시작되면 영구 설정을 포함하여 모든 활성 정책을 표시합니다.
특정 영구 정책과 관련된 개체(규칙, 필터 목록 및 필터 작업)를 모두 삭제하려면 다음 명령으로 영구 정책 이름을 지정합니다.

 ipseccmd.exe -w PERS -p "policy name" –o   

모든 영구 정책이 제거되었는지 확인하는 가장 쉬운 방법은 Persistent 키의 모든 하위 키를 삭제하는 것입니다. 그러나, Persistent 키 자체를 삭제하면 영구 정책을 만들려고 할 때 앞으로 ipseccmd 명령은 실패합니다. 영구 정책 및 정책 충돌의 손상을 해결하려면 영구 정책 저장소의 모든 개체를 삭제하고 ipseccmd 스크립트를 다시 한번 실행하여 만듭니다.

Windows Server 2003의 경우 영구 정책은 로컬 및 도메인 IPsec 정책과 유사한 전체 관리 기능을 갖게 됩니다. 이 영구 정책은 앞서 참조된 동일한 레지스트리 위치에 저장됩니다. 다음 Netsh 명령 스크립트는 show_persistent.netsh 파일에 명령을 사용하면 구성된 영구 정책을 나타냅니다.

 Netsh –f show\_persistent.netsh   

show_persistent.netsh 파일은 다음 줄이 포함된 텍스트 파일입니다.

 Pushd ipsec static  
 Set store persistent  
 show all  
 exit   

다음 Netsh 명령 스크립트는 다음과 같은 모든 영구 정책을 삭제하는 데 사용될 수 있습니다.

 pushd ipsec static  
 set store persistent  
 delete all exit  

로컬 IPsec 정책

로컬 IPsec 정책은 Windows 2000, Windows XP 및 Windows Server 2003에서 지원되어 다음 레지스트리 키 아래에 저장됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\Policy\Local

로컬 정책이 할당된 경우 할당된 정책은 다음과 같이 키에 저장됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\Policy\Local\ActivePolicy

도메인 정책이 할당되지 않은 경우 할당된 로컬 정책은 구성된 영구 정책에 추가되어 활성 정책이 됩니다. 상당히 간편해진 문제 해결 방법으로 ipsecpol 또는 ipseccmd 스크립트로 만들어진 IPsec 정책은 IPsec 정책 관리 MMC 스냅인으로 편집되어 생산 환경에서 사용되기 전에 각 필터에 대해 필터 이름을 정의해야 합니다. 또는,

netsh ipsec  

명령을 사용하여 Windows Server 2003 기반 컴퓨터에서 정책을 만든 다음 테스트 후 Windows 2000과 Windows XP 기반 컴퓨터나 도메인으로 가져올 수 있는 파일로 내보낼 수 있습니다.
Windows 2000의 경우

netdiag /test:ipsec /debug   

명령을 사용하여 할당 및 활성 정책 세부 정보를 확인합니다. IPsec 정책 관리 MMC 스냅인 또는 레지스트리 도구를 사용하여 로컬 저장소의 IPsec 정책 개체를 삭제해야 합니다. 할당된 IPsec 정책을 강제로 다시 로드하려면 서비스를 중지하고 다시 시작해야 합니다.
Windows XP의 경우

ipseccmd show gpo  

netdiag /test:ipsec   

명령을 사용하여 할당 및 활성 정책 세부 정보를 확인합니다. IPsec 정책 관리 MMC 스냅인, 레지스트리 도구 또는 명령을 사용하여

ipseccmd.exe -w REG -p " <policy\_name>" –o   

명명된 IPsec 정책을 삭제합니다. 간편하게 모든 로컬 정책을 제거하려면 이전에 참조된 저장소 위치에 대한 모든 하위 키를 삭제합니다.
IPsec 서비스를 해당 정책을 다시 로드하도록 적용하려면 IPsec 서비스를 중지하고 다시 시작하거나 IPsec 정책 관리 MMC 스냅인을 사용하여 IPsec 정책의 할당을 취소하거나 다시 할당합니다. 명령을 사용하여

sc policyagent control 130   

정책을 다시 로드할 수도 있습니다. 정책이 다시 로드되면 능동적으로 IPsec SA를 사용하여 트래픽을 송수신하고 있는 컴퓨터의 연결 지연 또는 중단을 일으킬 수 있는 모든 IPsec 및 IKE SA가 삭제됩니다.
Windows Server 2003의 경우

netsh ipsec static show gpoassignedpolicy   

명령, IPsec 정책 관리 MMC 스냅인 도는 IPsec 모니터 활성 정책 노드를 사용하여 현재 할당된 로컬 정책을 표시합니다.
명령을 사용하여

netsh ipsec dynamic show all   

현재 활성 정책 구성을 확인합니다. 또한, IPsec 모니터를 사용하여 활성 정책의 다른 부분을 검사할 수 있습니다.
Windows Server 2003에서 로컬 정책을 삭제하고 다시 로드하려면 Windows XP에 있는 것과 동일한 명령을 사용합니다.

netsh ipsec   

명령을 사용하여 정책의 할당을 취소, 다시 할당 및 삭제할 수 있습니다.

Active Directory IPsec 정책

이 정책은 Windows 2000, Windows XP 및 Windows Server 2003에서 지원됩니다. 할당된 도메인 IPsec 정책은 다음 위치의 로컬 레지스트리에 저장됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\GPTIPSECPolicy

도메인 정책의 로컬 레지스트리 캐시는 다음 위치에 저장됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
IPSec\Policy\Cache

디렉터리 저장소는 IPsec 정책 관리 MMC 스냅인 또는 Active Directory에 대해 로컬 프로세스로서 실행되는 netsh ipsec 명령에 의해 관리되어야 합니다. 직접 캐시의 내용을 확인할 수 있게 지원하는 도구는 없습니다. 레지스트리 도구는 캐시가 존재하고 적절한 내용이 포함되어 있는지 확인하기 위해 사용되어야 합니다. 이와 마찬가지로 레지스트리 도구는 GPTIPsecPolicy 및 Cache 레지스트리 키를 삭제하여 도메인 정책을 삭제하는 데 사용됩니다. 그런 다음 IPsec 서비스를 다시 시작하거나 서비스 제어 명령을 사용하여 도메인 정책 없이 IPsec 정책이 다시 로드되도록 강제해야 합니다.

도메인 기반 IPsec 정책 할당을 새로 고침하고 IPsec 정책을 로드하며 캐시 콘텐츠를 업데이트하려면 gpudpate /force를 사용합니다.

일시적으로 도메인 정책이 로컬 컴퓨터에 적용되는 것을 차단하려면 GPTIPsecPolicy 및 Cache 레지스트리 키 모두의 권한이 로컬 시스템 계정에 대한 읽기 액세스를 거부하도록 구성할 수 있습니다. IPsec 보안 모니터 MMC 스냅인 및 명령줄 도구는 여전히 이러한 도구가 로컬 관리자 사용자의 컨텍스트에서 실행되는 GPTIPsecPolicy 정보를 읽기 때문에 할당된 것으로 나타날 수 있습니다. 도메인 기반 IPsec 정책의 길어진 기간의 차단의 경우 컴퓨터는 Active Directory에서 적합한 GPO을 읽지 못하도록 해야 합니다.

Windows 2000의 경우 다음 오류는 정책에 문제가 있는 경우 나타날 수 있습니다.

• 디렉터리체계에바인딩하지못했습니다. IPsec 정책 에이전트 서비스는 Active Directory IP 보안 정책 컨테이너에 대한 인증된 LDAP 바인딩을 수행하지 못했습니다. 이 오류는 성공적으로 로그인하여 Kerberos 인증을 받지 못하는 컴퓨터 계정으로 인해 발생했습니다. Keberos가 LDAP 서비스 티켓을 IPsec 정책 에이전트 서비스로 발행하지 못하여 발생할 수도 있습니다.

• IPSEC 정책저장소개체에바인딩하지못했습니다. 개체가 현재 존재하지 않는 IPsec 개체(예: 규칙 또는 필터 목록)에 정의되어 있습니다. IPsec 정책 또는 Active Directory 저장소 정책이 손상되었거나 기존 IPsec 정책이 개체를 참조하고 있지만 객체가 삭제되었습니다. 모든 정책 규칙이 손상되지 않고 키교환 속성(일반 탭)이 제대로 보이는지 확인하려면 IPsec 정책 관리 MMC 스냅인을 사용하여 IPsec 정책을 검토합니다.

• 도메인컨트롤러를찾지못했습니다. 컴퓨터가도메인에소속되어있는지와네트워크연결상태를확인하십시오. IPsec 정책 저장소 모듈은 도메인 기반 IPsec 정책을 검색할 LDAP 디렉터리를 찾지 못했습니다.

• 도메인컨트롤러의디렉터리서비스와통신하지못했습니다. 시스템관리자에게문의하십시오. IPsec 저장소 모듈이 LDAP 서명 및 봉합을 사용하여 할당된 IPsec 정책을 다운로드하지 못했습니다.

• 저장된개체를찾지못했습니다. IPsec 정책을 완전하게 검색할 수 없어 제대로 작동하지 않기 때문에 이 오류는 일반적으로 심각합니다. IPsec 정책 저장소 모듈은 IPsec 정책 또는 규칙 중에 포함된 개체(규칙, 필터 목록, 필터 작업 또는 ISAKMP 설정)를 LDAP 호출 또는 원격 레지스트리 호출을 사용하여 GUID를 찾지 못했습니다. 이 오류는 다음 중 하나가 원인일 수 있습니다.

  • 참조하는 개체가 참조된 개체 앞에 도착하거나 쿼리가 서로 다른 두 개의 도메인 컨트롤러를 대상으로 하는 경우에 복제가 지연됩니다.

  • IPsec 정책에서 사용되고 있는 동안에 개체가 삭제되었을 수 있습니다.

  • 개체에 열거 또는 읽기 기능을 거부하는 권한이 있거나 개체가 있지 않았던 이전으로 IPsec 정책 저장소가 복구되었습니다.

  • IPsec 정책 손상으로 인해 쿼리에 잘못된 GUID가 발생했습니다.

  • 대상 IP 주소로 네트워크 연결을 수행할 수 없습니다.

  • LDAP 또는 원격 레지스트리 서비스를 사용할 수 없습니다.

• 요청된작업을완료할수없습니다. 정책저장소가열려있지않습니다. Active Directory, 원격 컴퓨터 또는 로컬 컴퓨터 저장소를 열 수 없습니다. 이 오류는 사용 권한 또는 인증 오류로 인해 발생합니다.

• (i) Active Directory 저장소정책이없거나 (ii) Active Directory 저장소정책을적용하지못하고캐시된정책이없으므로활성로컬레지스트리정책을사용합니다. 이 이벤트는 IPsec 정책이 컴퓨터에서 로컬로 정의되고 도메인 기반 정책이 이를 덮어 쓰도록 적용될 수 없음을 확인합니다.

• (i) Active Directory 저장소나활성로컬레지스트리정책또는 (ii) Active Directory 저장소정책을적용하지못했고캐시된정책이나활성로컬레지스트리정책이없으므로 IPSEC 정책을사용하지않습니다. 이 이벤트는 어떤 정책도 컴퓨터에 할당되어 있지 않은 기본 상태를 확인합니다.

Windows XP와 Windows Server 2003의 경우 다음 이벤트는 IPsec 서비스가 특정 정책 유형을 검색하지 못했음을 나타냅니다. 로컬 정책을 Windows Server 2003과 Windows XP SP2에서 성공적으로 확인할 수 없는 경우 정책은 무시되고 영구성 순서로 할당된 다음 정책이 확인됩니다.

• PAStore 엔진이 "< 정책 이름 >" 에 대해 컴퓨터에 영구 저장소 IPSec 정책을 로드하지 못했습니다. 오류 코드는 < 번호 > 입니다. IPsec 서비스는 영구 정책이 로컬 레지스트리에 할당되어 저장되어 있음을 검색했지만 영구 정책 개체 중 적어도 하나의 콘텐츠를 확인하지 못했습니다. 모든 레지스트리 키에 대한 권한을 확인합니다. 정책이 손상되었을 수 있습니다. 모든 영구 정책을 삭제한 후 다시 만듭니다.

• PAStore 엔진이 "< 정책 이름 >" 에 대해 컴퓨터에 로컬 저장소 IPSec 정책을 로드하지 못했습니다. 오류 코드는 < 번호 > 입니다. IPsec 서비스는 로컬 정책이 로컬 레지스트리에 할당되어 저장되어 있음을 검색했지만 영구 정책 개체 중 적어도 하나의 콘텐츠를 확인하지 못했습니다. 모든 레지스트리 키에 대한 권한을 확인합니다. 정책이 손상되어 삭제한 후 다시 만들어야 합니다.

• PAStore 엔진이 "< 정책 이름 >" 에 대해 컴퓨터에 디렉터리 저장소 IPSec 정책을 로드하지 못했습니다. 오류 코드는 < 번호 > 입니다. IPsec 서비스 중 Active Directory에서 할당된 IPsec 정책을 확인할 때 하나 이상의 오류가 발생했습니다. 이 오류는 모든 정책 개체가 검색되기 전에 네트워크 연결의 오류이거나 IPsec 정책 또는 읽기 권한이 허용된 개체가 없어 발생했을 수 있습니다.

• PAStore 엔진이 Active Directory IPSec 정책의 변경 여부를 폴링하여 Active Directory 에 연결할 수 없으며 Active Directory IPSec 정책의 캐시 사본을 사용하여 마이그레이션했음을 감지했습니다 . 마지막 폴링 이후에 Active Directory IPSec 정책에 대해 변경한 사항은 적용할 수 없습니다 . 이 메시지는 일정한 폴링 간격으로 IPsec 서비스가 성공적으로 Active Directory에 연결하지 못했고(예: DNS 서비스 손실로 인해) 현재 활성 IPsec 정책에 어떤 변경 사항도 없다는 것을 나타냅니다. 본래 활성 정책이 적용된 경우에만 Active Directory 연결이 사용 가능하고 IPsec 서비스는 캐시에서 최신 버전을 검색하고 저장하게 됩니다. 따라서, IPsec 서비스는 이제 IPsec 도메인 정책의 레지스트리 캐시가 정책의 기본 소스일 것이라고 추측합니다. 디렉터리에 도달하기 위해 폴링이 계속됩니다.

IPsec 정책 해석 문제 해결

IPsec 정책의 해석은 완벽한 정책이 해당 저장소 위치에서 검색된 후에 수행됩니다. 최신 네트워크 인터페이스 IP 수소를 사용하여 정책의 일반 필터를 특정 필터로 확장합니다. 그런 다음 인바운드 및 아웃바운드 특정 필터의 목록이 패킷 처리를 위해 IPsec 드라이버로 로드됩니다. 인터페이스 변경 이벤트가 IPsec 서비스로 전달되어 필요한 경우(예를 들어, 내 IP 주소 필터의 경우) IPsec 드라이버의 IPsec 필터 구성을 가능한 빨리 조정합니다.

Windows 2000의 경우 다음 메시지가 정책을 적용을 위한 적합한 해석 또는 IPsec 구성 요소 구성과 관련된 문제를 나타낼 수 있습니다.

• 데이터종류특성에알수없는데이터형식이지정되어있습니다. IPsec 정책 일부에 정책 저장소 엔진이 인식하지 못하는 데이터 형식이 포함되어 있습니다. 이 오류는 정책 손상을 나타내거나 앞으로 일부 지점에서의 정책 버전 문제를 나타낼 수 있습니다. Windows XP 및 Windows Server 2003의 IPsec 정책 기능은 Windows 2000 IPsec 정책 에이전트에 투명하도록 제작되었습니다.

• 데이터를 BLOB에서읽지못했습니다. IPsec 정책 개체에서 IPsecData 특성의 데이터 형식이 예상한 것이 아닙니다. 이 오류는 항상 정책 손상 또는 버전 문제를 나타냅니다. 수정되어야 모든 IPsec 설정이 의도된 대로 성공적으로 적용됩니다.

• 정책에이전트에인터페이스목록이없습니다. IPsec 정책 에이전트가 필터링할 IP 네트워크 인터페이스를 찾지 못했습니다. 이 메시지의 텍스트의 오류는 Windows 소스 코드에서 직접 발생하거나 여기 나타난 것처럼 나타날 수 있습니다.

• Ip Public Help Api에서인터페이스테이블을가져오지못했습니다. 인터페이스에기반한필터가확장되지않으며 IPSEC 드라이버에연결되지않습니다. IPsec 정책 에이전트가 컴퓨터의 인터페이스 목록을 나열하려고 했을 때 오류가 발생했습니다. 네트워크 인터페이스가 없거나 네트워크 인터페이스 관리자 내에 내부 오류가 있을 수 있습니다. 완전한 PnP 호환 장치, 파일 손상 또는 NIC 드라이버 내부 또는 기타 관련 Windows 네트워킹 구성 요소 문제가 원인일 수 있습니다. IPsec은 모든 연결보다는 특정 연결 유형(예: 원격 액세스)에 대한 규칙으로 구성된 인터페이스 유형에 기반하여 필터링합니다. 다시 시작한 후에도 문제가 지속되면 Microsoft 기술 지원 서비스에 문의하십시오.

• IP Public Help API에서 IP 주소테이블을가져오지못했습니다. 인터페이스에기반한필터가확장되지않으며 IPSEC 드라이버에연결되지않습니다. IPsec 정책 에이전트가 IP 도우미 API의 함수 호출을 사용하여 컴퓨터의 모든 IP 주소를 나열하려고 했을 때 오류가 발생했습니다. 구성된 IP 주소가 없거나 위와 유사한 문제가 원인일 수 있습니다.

• IP 주소항목인덱스를인터페이스테이블에서찾지못했습니다. IP 주소를무시합니다. IPsec 정책 에이전트는 모든 IP 주소가 네트워크 인터페이스 목록에 나타나는지 확인합니다. 새 네트워크 인터페이스가 추가 또는 제거되는 과도기적 상태로 인해 이 문제가 발생합니다. 이 메시지는 IPsec 서비스가 정책의 일반 내 IP 주소 필터에 대해 이 무시된 IP 주소에 대해 특정 필터를 만들지 않습니다. 이로서 이 IP 주소를 사용하면 일시적인 예상하지 못했던 연결 동작으로 나타날 수 있습니다. 그렇지 않으면, 이 오류는 IP 인터페이스 구성의 내부 상태의 문제를 나타낼 수 있으며 이 문제의 경우 Microsoft 기술 지원 서비스에서 추가로 진행을 조사해야 합니다. IP 주소가 IPsec 정책 에이전트(TCP/IP 스택이 아님)에 의해 무시되었기 때문에 어떠한 IPsec 필터도 해당 IP 주소에 대해 만들어지지 않습니다. 따라서 어떠한 보안 조치(예: 허용 또는 차단) 및 IPsec SA 협상 조치도 이 IP 주소를 사용한 트래픽에 대해 수행되지 않습니다.

• 필터목록에일치하는필터미러가존재합니다. 이 오류는 IPsec 정책에서 중복 필터 상태를 나타냅니다. IPsec 정책 설계는 인바운드 및 아웃바운드 방향에 대한 빠른 모드 특정 필터가 중복되지 않도록 분석되어야 합니다.

• 주필터목록에추가된필터가없었습니다. IPsec 정책 에이전트는 저장소에서 검색된 IPsec 정책에 필터가 없음을 발견했습니다. IPsec 정책은 기본 응답 규칙만을 포함하거나 규칙 또는 필터 목록을 확인하는 동안 오류가 발생했습니다.

• 1 단계요청이없습니다. ISAKMP 정책을무시합니다. IKE 주 모드 보안 방법(SAKMP 정책 개체)을 찾을 수 없는 경우에 IPsec 정책이 손상됩니다.

• 2 ‹¨걀„ 요청이없습니다. 협상정책을무시합니다. 필터 작업 보안 방법(IKE 빠른 모드 2 단계 요청)이 없는 상태에서 IKE는 해당 필터와 일치하는 트래픽에 대한 빠른 모드 협상에 실패합니다. IPsec 정책이 손상되었을 가능성이 있습니다.

• 정책에유효한요청이없습니다. IPsec 정책에 규칙의 필터 작업에 유효한 작업 방법이 없거나 IKE 주 모드에 대한 설정(일반 탭에서 구성한 키 교환 설정)이 포함되어 있지 않습니다.

• 정책에이전트가기존필터를 IPSEC에삽입하려고시도했습니다. IPsec 드라이버가 중복 필터가 있는지 검색하고 중복 필터를 거부합니다. 다른 필터가 IPsec 드라이버로 이미 처리된 것과 같이 중복 필터에 같은 조치가 있는 경우에도 심각하지는 않습니다. 그러나, 필터 작업이 다른 경우, 이는 지원되지 않는 IPsec 정책 설계입니다. 일정 시간 후의 결과가 다를 수 있고 정책 변경 사항이 처리된 순서에 따라 다릅니다. IPsec 정책은 중복을 피하도록 제작되어야 합니다.

• 항목을 IPSEC 정책표에추가할수없습니다. IPsec 정책 에이전트로 IPsec 드라이버에 새 필터를 추가하지 못했습니다. 이 오류는 해당 필터와 일치하는 트래픽의 보안이 유지되지 않음을 의미합니다. 낮은 커널 메모리 조건 하에서 이 오류가 발생할 수 있습니다. 오류가 지속되면 Microsoft 기술 지원 서비스에 문의하십시오.

• 정책에이전트가 IPSEC에서필터를삽입하거나업데이트하지못했습니다. 필터 삽입에 대한 이전 메시지와 같이 IPsec 드라이버의 필터 목록은 할당된 IPsec 정책이 요청한 것이 아닙니다. 따라서, 보안이 의도된 대로 제공되지 않습니다.

• Active Directory 저장소정책을적용하지못하여(네트워크가연결되지않거나정책무결성이올바르지않는이유로) 캐시된정책을사용합니다. 도메인 기반 IPsec 정책이 할당되면 IPsec 정책 에이전트는 먼저 Active Directory에서 최신 정책을 확인하려고 합니다. 이 메시지는 해당 디렉터리에서 IPsec 정책을 검색할 수 없고 레지스트리에 캐시된 마지막 도메인 정책에서 정책을 적용하고 있다는 것을 보고합니다.

Windows Server 2003의 경우 다음 이벤트는 IPsec 정책을 해석하는 중에 오류가 발생했음을 나타냅니다. 대부분의 경우에 Windows XP는 동일한 이벤트 텍스트를 사용합니다. IPsec 정책이 제대로 작동하려면 이 문제를 해결해야 합니다.

• PAStore 엔진이 "< 정책 이름 >" 에 대해 컴퓨터에 영구 저장소 IPSec 정책을 로드하지 못했습니다. 오류 코드는 <번호 > 입니다. IPsec 서비스는 영구 정책이 레지스트리에 구성되어 있음을 확인했지만 모두 성공적으로 적용하지 못했습니다. 이미 적용된 영구 정책은 제거되고 IPsec 드라이버는 프로그래밍적으로 각 메시지에 따라 모드(부트 시간 제외)를 차단합니다.

• PAStore 엔진이 "< 정책 이름 >" 에 대해 컴퓨터에 로컬 레지스트리 IPSec 정책을 로드하지 못했습니다. 오류 코드는 < 번호 > 입니다. 이 메시지는 로컬 레지스트리에서 로컬 IPsec 정책을 적용하는 과정에서 적어도 한 개 이상의 오류가 발생했음을 나타냅니다. 이 메시지는 해당 정책이 손상되었거나 해당 권한이 잘못되었음을 나타냅니다.

• PAStore 엔진이 DN " <CN=ipsecPolicy{GUID}" 에 대해 컴퓨터에 있는 Active Directory 저장소 IPSec 정책을 적용하지 못했습니다. 오류 코드는 <번호> 입니다. IPsec 서비스에서 GPTIPsecPolicy 레지스트리 키에 DN으로 지정된 도메인 정책을 발견했으나 적용하지 못했습니다. 이 메시지는 정보 제공용이며 도메인 컨트롤러가 모바일 클라이언트에 연결할 수 없다는 알림이기도 하지만 이 메시지 이후에는 캐시된 정책(있는 경우)을 성공적으로 응용해야 합니다. 그러나, GPO가 존재하지 않고, 읽을 수 없는 IPsec 정책을 구현하고 있거나 해당 정책이 손상되었음을 나타낼 수 있습니다.

• PAStore 엔진이 " <정책 이름 >" 에 대해 컴퓨터에 있는 Active Directory 저장소 IPSec 정책의 로컬 캐시 사본을 적용하지 못했습니다. 오류 코드는 < 번호 > 입니다. 이 메시지는 IPsec 서비스가 도메인 정책이 할당되어야 함을 알고 있고 Active Directory에서 검색된 정책을 적용하지 못했음을 나타냅니다. 이제 로컬 레지스트리에서 할당된 도메인 정책의 캐시된 사본을 적용할 때 적어도 한 개 이상의 오류가 발생했습니다. 이 오류는 해당 캐시가 손상되었거나 해당 권한이 잘못되었음을 나타냅니다. 어떠한 도메인 정책도 적용되지 않아 다른 격리 도메인 구성원과의 연결에 영향을 끼칠 수 있으므로 매우 심각한 상황입니다. 로컬 정책(정의된 경우)이 우선 순위 순서에서 다음에 옵니다.

• PAStore 엔진이 컴퓨터에 있는 활성 IPSec 정책 "< 정책 이름 >" 의 일부 규칙을 적용하지 못했습니다. 오류 코드는 < 이름 > 입니다. IPSec 모니터 스냅인을 실행하여 자세하게 문제를 진단하십시오.이 문제는 일반적으로 빠른 모든 보안 방법(요청)이 없는 경우와 마찬가지로 여기에서 논의된 다른 문제와 관련되어 발생합니다.

• IPSec 서비스가 컴퓨터의 완전한 네트워크 인터페이스 목록을 얻지 못했습니다 . 이로 인해 일부 네트워크 인터페이스는 IPSec 필터를 적용하여 적절한 보호를 받지 못하기 때문에 컴퓨터에 잠재적인 보안 위험이 있을 수 있습니다 . IPSec 모니터 스냅인을 실행하여 문제를 더 자세히 진단해 보십시오. 이 메시지는 Windows 2000에 사용된 몇 가지 IP 도우미 API 메지를 대체합니다. 무선 네트워크를 더 이상 사용하지 않는 경우처럼 인터페이스가 추가되고 제거되거나 연결 상태가 변하는 경우에 발생한다면 심각하지 않은 오류입니다. 동작 대기 또는 최대 절전 모드에서 다시 시작하는 동안에 발생하고 다시 시작 동안 검색되는 다른 네트워크 인터페이스 구성이 있는 경우에도 심각하지 않습니다.

RRAS VPN 정책 구성 문제

이 장의 초반부의 계층 1 지원 섹션에서 언급한 것처럼 RRAS 서비스는 일부 조직에서 IPsec 정책 충돌의 일반적인 원인입니다. 이 섹션에서는 L2TP/IPsec VPN 서버에 대해 기본 제공된 IPsec 정책이 이 솔루션에 사용된 도메인 정책과 충돌을 일으키는 이유를 설명합니다. 이 상황은 중복 필터 문제의 한 가지 예입니다.

다음 논의에서 Woodgrove 은행 시나리오에 사용된 IPsec 정책 설계가 이 문제를 설명하기 위해 사용됩니다. 단, 이러한 원리는 대부분의 기업급 IPsec 배포에 적용됩니다.

L2TP/IPsec 서버용 IPsec 정책은 RASMAN(RAS Manager) 서비스에 의해 자동 생성되며 다음 필터를 포함합니다.

• 임의 IP 주소에서 내 IP 주소로, UDP, 원본 1701, 대상 임의(인바운드)

• 내 IP 주소에서 임의 IP 주소로, UDP, 원본 임의, 대상 1701(아웃바운드)

  참고: 이 정책에 대한 자세한 내용은 https://support.microsoft.com/?kbid=248750에서 제공되는 기술 자료 문서 248750, "Description of the IPSec policy created for L2TP/IPsec"을 참조하십시오.

따라서, 이 서버에 대한 IKE 협상 응답을 제어하는 주 모드 특정 필터는 인바운드 필터의 주소 부분입니다.

• 임의 IP 주소에서 내 IP 주소 -> 인증서 인증

"내 IP 주소"를 사용하면 인바운드 필터는 VPN 서버의 각 IP 주소로 확장될 수 있습니다. VPN 서버에 인터넷 연결에 대해 외부 인터페이스 IP 주소가 있고 LAN 연결에 대해 내부 인터페이스가 있다는 가정으로 IKE 주 모드 특정 인바운드 필터는 다음과 같습니다.

• 임의 IP 주소에서 <외부 인터페이스 IP 주소> -> 인증서 인증

• 임의 IP 주소에서 <내부 LAN 인터페이스 IP 주소> -> 인증서 인증

내부 LAN 인터페이스에 대한 두 번째 필터는 서버 및 도메인 격리 IKE 주 모드 인바운드 필터보다 더욱 구체적입니다.

• 임의 IP에서 서브넷 -> Kerberos 인증

따라서, 관리자가 트러스트된 클라이언트를 사용하여 VPN 서버를 관리하는 경우 IKE는 VPN 서버의 내부 IP 주소로 시작됩니다. IKE 인바운드 정책 조회는 더욱 구체적인 주 모드 필터와 일치하고 L2TP에 대한 IKE 주 모드 설정으로 회신합니다. 인증서 인증은 이 솔루션에 사용된 Kerberos 인증 대신에 사용됩니다.

두 번째 충돌 케이스는 인터넷 VPN 클라이언트가 연결 관리자 클라이언트의 차단 기능을 사용하는 경우에 발생할 수 있습니다. 차단 클라이언트는 "차단 키"를 VPN 서버의 내부 LAN IP 주소로 전달하여 차단을 끝내고 네트워크에 대한 전체 VPN 액세스 권한을 얻도록 해야 합니다. 이 시나리오에서 VPN 클라이언트 도메인 IPsec 정책은 랩톱 시작 시 캐시에서 적용됩니다. VPN 차단 연결이 성공적으로 구축되면 내부 IP 주소가 VPN 클라이언트에 할당됩니다. 클라이언트 내부 IP 주소는 도메인 격리 IPsec 정책에 정의된 서비스 필터(임의 <-> 내부 서브넷)로 보호되어야 합니다. 이 필터는 VPN 클라이언트가 VPN 터널을 통해 내부 서버 및 기타 워크스테이션에 액세스할 때 종단 간 IPsec 인증 액세스를 구성하는 데 필요합니다.

단, 이 솔루션의 서브넷 필터는 클라이언트 VPN 터널 가상 인터페이스의 내부 IP 주소에서 VPN 서버의 내부 LAN 인터페이스로 IKE 협상을 시작하게 됩니다. 서버가 도메인 및 서버 격리에 사용된 정책과는 호환되지 않는 오직 인증서 인증만을 수락하도록 응답하기 때문에 IKE 주 모드가 실패합니다. 정책이 인증성 인증을 허용하지 않은 경우 클라이언트의 IKE 빠른 모드는 모든 트래픽에 대해 필터를 제안하고 VPN 서버는 제안된 필터가 너무나 일반적이기 때문에 협상에 실패하게 됩니다. VPN 서버는 L2TP(UDP 원본 1701, 대상 임의 또는 UDP 대상 1701, 대상 1701)에 고유한 빠른 모드 필터만을 수락합니다.

RRAS 서버 L2TP/IPsec 정책과 격리 정책 간의 충돌을 해결하기 위해 다음 정책을 사용할 수 있습니다.

• 제외 목록에 RRAS 서버 내부 LAN IP 주소를 포함합니다.

• VPN 서버에서 L2PT 포트를 사용 안 합니다. PPTP만을 사용합니다.

• RASMAN에 ProhibitIPsec 레지스트리 키를 사용하여 L2PT에 대한 자동 IPsec 정책을 사용 안 합니다. 수동으로 UDP 1701 트래픽에 대한 인증서 인증에는 외부 IP 주소만을 내부 IP 주소를 사용하는 도메인 격리를 위한 모든 트래픽에 대해서는 Kerberos 인증만을 사용하도록 IPsec 정책 구성을 사용자 지정합니다.

  참고: 이 구성에 대한 자세한 내용은 https://support.microsoft.com/kb/240262에서 제공되는 기술 자료 문서 240262, "How to Configure a L2TP/IPSec Connection Using Pre-shared Key Authentication"을 참조하십시오.

이 목록에서 가장 간단한 솔루션은 RRAS 서버의 내부 NIC가 IPsec을 사용하지 못하도록 제외하는 것입니다.

IKE 문제 해결

IKE와 IPsec은 가장 일반적으로 네트워크 필터링이 UDP 500 또는 IPsec 프로토콜 패킷을 허용하지 않기 때문에 처음 배포 시 실패합니다. 이러한 이유로, 사전 공유된 키를 사용하는 사전 정의된 예제 서버(요청) 정책과 같은 단순한 정책이 할당된 고정 IP 워크스테이션 또는 서버를 구축하는 것이 유용합니다. IKE 감사 이벤트를 수집하려면 감사를 사용해야 합니다. 기본 도메인 IPsec 정책이 동일한 사전 공유된 키로 인증되고 테스트 컴퓨터의 IP 주소에 대한 모든 트래픽(ICMP 포함)에 하나의 필터에 하나의 규칙이 포함된 모든 도메인 구성원에 배포됩니다.

그런 다음, 도메인 로그온 스크립트가 Ping을 수행하기 위해 배포되거나

 <testserver>  

nbtstat –n  <testserver>  

모든 도메인 구성원의 IKE 협상을 테스트 서버로 실행합니다. IKE 주 모드 성공 감사에 IP 주소를 분석 및 요약하여 모든 컴퓨터가 정책을 수신하고 있고 모든 네트워크 영역이 IKE 및 IPsec 프로토콜을 사용하여 테스트 컴퓨터에 연결할 수 있다는 것을 확인할 수 있습니다.
다음에서 제공되는 URL을 사용하여 테스트 서버에서 각 지역에 위치한 컴퓨터로, 네트워크의 모든 영역에서 IPsec와 조각화가 작동하는 방법을 확인할 수 있습니다.

ping –l 5000  <IP address>  

–l 5000 옵션으로 Ping이 5000바이트 ICMP 패킷 페이로드를 발생시킵니다. 전체 IP 패킷은 IPsec 프로토콜로 캡슐화된 다음 온라인 전송 전에 IP 계층에서 조각화됩니다. 모든 조각이 대상에 수신되고 동일한 조각 수로 구성된 응답이 다시 전송됩니다. 경험을 통해 혼합하거나 다른 속도의 네트워크(예를 들어, 1기가비트 및 100메가비트 이더넷 간) 간 경계 역할을 하는 장치에 조각을 전달하는 문제가 있을 수 있다는 사실이 확인되었습니다. 이와 유사하게 , 다른 MTU 호스트(예: ATM(Asynchronous Transfer Mode), FDDI(Fiber Distributed Data Interface), 토큰 링)에 상주하는 호스트는 IPsec 보호 TCP 패킷에 대한 네트워크 경로를 제대로 찾기 위해 ICMP PMTU 메시지가 필요합니다. 다른 네트워크 MTU에 대한 자세한 내용은 https://support.microsoft.com/kb/314496에서 제공되는 기술 자료 문서 314496, "Default MTU Size for Different Network Topology"를 참조하십시오.

IKE 협상 문제 해결

IKE는 오류가 IKE 빠른 모드가 일반적으로 응답자인 컴퓨터에서만 시작되는 경우와 같이 특정 상황에서만 발생할 수 있기 때문에 문제를 해결하기 어렵습니다. 또한, 오류는 Kerberos 프로토콜 오류와 같은 인증 시스템의 오류 또는 호환되지 않은 정책 설계 또는 기존 정책이 도메인 정책과 통합되는 경우에 발생할 수 있습니다. IKE 오류로 인해 오류 상태를 경험하는 컴퓨터가 IKE 협상 참여를 중지하고 협상의 다른 컴퓨터가 재시도 한계를 모두 사용하여 시간이 초과됩니다. IKE가 실패하면 오류는 검토하고 변경 사항을 적용하지 않은 상태에서 로그를 수집하십시오. 표준 감사는 IPsec 구성 또는 서비스의 실행 상태를 변경시키지 않고 동적으로 활성화할 수 있습니다. 그러나 Windows 2000의 경우 IPsec 서비스는 Oakley.log 파일에 대한 상세한 IKE 로깅을 활성화하도록 다시 시작되어야 합니다. Windows XP SP2와 Windows Server 2003의 경우 IKE 로깅은 필요 시 명령 줄을 통해 활성화하고 비활성화할 수 있습니다.

일부 상황에서 IPsec 서비스를 중지하고 다시 시작하여 네트워크 트래픽을 검토하고 깨끗한 상태에서 Oakley.log 파일 결과를 수집해야 합니다. IPsec 서비스가 수동 또는 컴퓨터 다시 시작 또는 종료의 일환으로 중지되면 IKE는 삭제 메시지를 보내 모든 활성 연결 피어의 IPsec SA 상태를 정리하려 합니다. IKE가 모든 활성 피터에 삭제 메시지를 보내기를 완료하기 전에 운영 체제가 패킷을 보내는 기능을 비활성화하여 IPsec SA 상태가 피어에 남아 있을 수 있습니다. 이러한 상황이 발생하면 피어는 다시 시작된 컴퓨터에 안전하게 연결되어 있다고 믿게 됩니다. 다시 시작 후에 컴퓨터가 피어에 새 IKE 협상을 시작하지 않는 경우 피어는 IPsec SA가 다시 연결하려고 시도하기 위한 시간이 초과될 때까지 5분을 대기해야 합니다. SA를 다시 연결하려면 1분 동안 빠른 모드 협상을 먼저 시작한 후에 IKE 주 모드를 시작합니다.

Windows 2000 이후 릴리스에는 IKE 로깅이 향상되고 있습니다. 이 섹션에 문서화된 이벤트는 Windows 2000 이벤트의 특성이 유지하지만, Windows XP와 Windows Server 2003에 해당됩니다.

Windows 보안 로그는 IKE 협상 오류의 원인을 파악하려고 할 때 권장되는 시작 지점입니다. IKE 이벤트를 확인하려면 그룹 보안 정책 설정 "로그온 이벤트 감사"에서 성공 또는 오류에 대해 감사가 활성화되어야 합니다. 감사가 활성화된 후에 IKE 서비스는 감사 항목을 만들고 협상이 실패한 이슈에 대한 설명을 제공합니다. 그러나, IKE 협상 오류에 대한 설명은 항상 이벤트 547 오류로 보고되고 동일한 오류 메시지에는 예상되는 몇 가지 원인이 있습니다. 이벤트 547 오류 및 예상 원인에 대한 목록은 다음 섹션에 상세하게 설명되어 있습니다.

Windows XP SP2와 Windows Server 2003에서 모든 IKE 감사는 DisableIKEAudits 레지스트리 키로 비활성화할 수 있습니다. 조사 중인 컴퓨터에서 반드시 이 값을 확인하십시오. IKE 감사는 다른 로그온/로그오프 범주 이벤트가 효율적으로 모니터링될 수 없는 너무 많은 성공 또는 실패 이벤트를 생성하는 경우에 비활성화될 수 있습니다.

오류 코드 값은 IKE 감사 이벤트와 로그 세부 내역으로 보고되는 경우가 있습니다. 이러한 오류 코드 값에 대한 자세한 설명은 Microsoft MSDN®, https://msdn.microsoft.com/library/en-us/debug/base/system\_error\_codes\_\_12000-15999\_.asp의 System Code Errors (12000-15999) 페이지를
참조하십시오.

IKE 협상 문제를 해결하려면 IPsec 정책 설계의 예상 동작, IKE 협상 프로세스 및 IKE 오류 이벤트에 대한 심도 깊은 지식이 필요합니다. 이 섹션에서는 Woodgrove 은행 도메인 격리 시나리오와 관련된 가장 공통된 이벤트만을 설명하려 합니다. 모든 IKE 감사 이벤트 또는 오류 상황은 해결하지 않습니다.

IKE 협상 프로세스가 잘 이해되면 통신의 적어도 한 측의 네트워크 추적을 얻어 Oakley.log 파일을 수집하려 하기 전에 IKE 내의 문제를 확인할 수 있습니다. 서버 및 도메인 격리 시나리오의 배포된 서버는 네트워크 모니터로 추적을 수집할 수 있는 기능을 가지고 있어야 합니다.

Oakley.log 파일은 가장 자세한 로깅을 제공하고 협상 양측에서 모두 필요할 수 있습니다(동기화된 경우). 그러나, 이 로그를 활성화하면 IKE 협상 속도가 느려져 타이밍 조건을 변경시키고 서비스가 레지스트리 키(Windows 2000와 Windows XP SP1에서 필요)를 다시 읽도록 다시 시작된 경우 모든 기존 상태가 손실될 수 있습니다. 현재, Oakley.log 파일 해석에 대해 게시된 가이드는 없습니다. 이 가이드의 목적에 대해 그러한 해석은 계층 2 기술 집합의 일부로 고려됩니다. 공간 상의 제약으로 몇 가지 오류에 대한 로그 세부 정보에 대한 간단한 요약을 여기에 제공합니다. Oakley.log 파일 해석에 대한 자세한 내용은 Microsoft 기술 지원 서비스에 문의하십시오.

다음 네 가지 상세 로깅 파일이 IKE에 유지 관리됩니다.

• Oakley.log. IKE에 대한 현재 로그(50,000줄로 제한)

• Oakley.log.bak. 50,000줄이 Oakley.log에 쌓이면 이 파일이 만들어지고 새 빈 Oakley.log 파일이 시작됩니다. IPsec 서비스가 실행 중인 동안 필요한 경우 새 Oakley.log 파일이 이 파일을 덮어쓰게 됩니다.

• Oakley.log.sav. 이전 Oakley.log 파일은 IPsec 서비스가 시작하면 이 이름으로 저장됩니다.

• Oakley.log.bak.sav. 이전 Oakley.log.bak 파일은 IPsec 서비스가 시작하면 이 이름으로 저장됩니다.

문제 해결 과정 중에 범하게 되는 가장 일반적인 실수는 로깅과 네트워크 추적이 수집된 두 대의 컴퓨터의 시간을 동기화하지 않는 것입니다. 이로써 불가능한 것은 아니지만 로그의 상호 연관성을 어렵게 합니다. 네트워크 추적의 패킷에 대한 IKE 메시지의 상호 연관성은 ISAKMP 헤더 쿠키와 IKE 빠른 모드 메시지 ID 필드를 사용하여 교차 확인되어야 합니다.

예상되는 IKE 동작

IKE 주 모드 초기화가 의도된 대상 IP 주소에 연결하지 못하도록 네트워크에서 차단된 경우 IPsec 보안 통신은 협상될 수 없습니다. 초기자가 선택을 취소하도록 구성되지 않은 경우 대상 연결 오류는 다음과 같은 텍스트 항목으로 보안 로그에 감사 이벤트 547로 나타납니다.

• 피어로부터 응답이 없습니다.

• 협상이 시간 초과되었습니다.

• 성립이 완료되기 전에 IKE SA를 감지했습니다.

단, 도메인 격리 클라이언트의 경우 정책에서 선택 취소를 허용한다면 오류로 나타나지 않을 수 있습니다. IKE 주 모드 성공 이벤트 541은 소프트 SA가 구축되면 만들어집니다. 541 이벤트가 소프트 SA를 나타내는 표시는 아웃바운드 SPI가 0이고 모든 알고리즘이 없음으로 표시됩니다. 다음 예는 이러한 매개 변수가 541 이벤트에 어떻게 나타나는지를 보여 줍니다.

ESP Algorithm None  
HMAC Algorithm None  
AH Algorithm None  
Encapsulation None  
InboundSpi 31311481 (0x1ddc679)  
OutBoundSpi 0 (0x0)  
Lifetime (sec) <whatever is configured for QM lifetime>  
Lifetime (kb) 0  

참고: 동일한 대상 IP 주소에 대한 소프트 SA 이벤트는 다른 타임스탬프와 다른 인바운드 SPI 값을 갖게 됩니다.

활성 IKE 주 모드가 있는지와 관련하여 두 대의 컴퓨터가 동기화되어 있지 않을 때 마다 1분 연결 지연이 발생합니다. 5분 지연은 한 대의 컴퓨터가 해당 컴퓨터 간 활성 IPsec SA 쌍이 있고 다른 컴퓨터(예: 서버)가 이러한 SA를 삭제했고 빠른 모드 키 재지정을 시작하지 않은 경우에 발생할 수 있습니다. Windows 2000 IKE는 손실되는 경우가 있는 단일 삭제 메시지를 지원했습니다. Windows XP와 Windows Server 2003은 손실된 패킷의 보호 수단으로 여러 삭제 메시지 형태로 "안정적인" 삭제 기능을 지원하기 위한 지원을 추가했습니다.

가장 일반적인 시나리오는 도메인 격리 랩톱 사용자가 도킹 스테이션에서 랩톱을 꺼내 회의에 가져가는 상황입니다. 도킹 스테이션은 유선 이더넷 연결이고 네트워크 인터페이스를 제거하면 해당 인터페이스와 관련된 모든 필터도 제거되어야 합니다(내 IP 주소에서 확장된 필터인 경우).

단, 협상 기능을 가진 어떠한 필터도 도메인 격리 솔루션에서 내 IP 주소를 사용하지 않고 모드 임의 <-> 서브넷 필터를 사용합니다. 따라서, IPsec SA 및 IKE SA 상태는 이러한 필터가 각 주소 변경에 대해 삭제되지 않기 때문에 랩톱에서 활성 상태를 유지합니다. 필터가 "내 IP 주소"에서 확장된 경우 IP 주소가 사라지면 이러한 필터는 삭제됩니다.

어떠한 유형의 필터가 IPsec 드라이버에서 삭제될 때마다 드라이버는 IKE에게 해당 IP 주소를 사용하는 모든 IKE SA 및 IPsec SA도 삭제해야 합니다. IKE는 해당 SA에 삭제 메시지를 보내고 내부적으로 지우려 합니다. 이러한 삭제 메시지는 다른 원본 IP가 삭제 메시지가 전송될 때 연결된 인터페이스에 있을 수 있는 경우에도 IKE SA에 사용된 것과 동일한 소스 IP가 포함됩니다. 원본 IP 주소는 ISAKMP 헤더 쿠키 쌍이 인식되고 패킷에 대한 암호화 문제가 유효한지는 원격 컴퓨터에 중요하지 않습니다. 그러나, 삭제 메시지는 연결 끊기가 발생한(랩톱을 꺼내는) 몇 초 만에는 네트워크 연결이 없기 때문에 삭제 메시지가 전송되지 않을 수 있습니다.

이러한 임의 <-> 서브넷 필터의 특별한 경우에 필터는 절대로 삭제되지 않습니다. 이는 IKE와 IPsec SA가 즉시 삭제되지 않았음을 의미합니다. 잠시 동안 형식적으로 연결된 원격 컴퓨터에서 IPsec SA이 시간 초과되고 IKE 빠른 모드 삭제 메시지가 이전의 랩톱 주소로 전송됩니다. IKE 주 모드 SA는 이러한 원격 컴퓨터에서 기본 8시간 동안 활성화 상태를 유지하지만 IKE에 알려진 내부 이유가 발생하기 전에 언제라도 삭제될 수 있습니다. 물론, IKE SA 삭제 메시지는 이전 IP 주소로 랩톱에서 수신되지 않습니다. 마지막으로 랩톱이 도킹 스테이션에 다시 연결되면 동일한 IP 주소를 다시 받습니다. 파일 공유, 전자 우편 클라이언트 및 기타 응용 프로그램은 일반적으로 동일한 대상에 다시 연결합니다. 그러나, 랩톱과 이러한 원격 대상 간의 IKE 상태에 차이가 있을 수 있습니다. 랩톱에는 IKE 기본 상태가 유지된 경우 IKE 빠른 모드 협상을 시도하게 됩니다. 빠른 모드는 원격 피어가 삭제한 암호화 상태를 사용해서 이러한 메시지를 인식하지 못하고 응답하지도 않습니다. 랩톱에서 IKE는 1분 후에 재시도 제한을 만료한 후에 새 IKE 주 모드 협상을 시도하고 결국 성공합니다. 따라서, 랩톱 사용자는 원격 리소스 연결 시 1분 지연을 알게 됩니다. Microsoft는 IPsec을 지원하는 모든 Windows 버전의 향후 업데이트에 이 동작을 개선할 수 있을 것으로 기대합니다.

IKE 협상은 다양한 이유로 인한 시간 제한을 보고할 수 있습니다. IKE가 "성립이 완료되기 전에 IKE SA를 감지했습니다." 이벤트로 협상이 시간 초과되는 경우를 제외하고 재시도 한계를 모두 사용했기 때문에 IKE 협상의 단계(선택 취소 제외)가 실패하는 경우 "협상이 시간 초과되었습니다." 이벤트가 발생합니다. 이러한 두 개의 이벤트는 본질적으로 동일합니다. 다음과 같은 이벤트가 발생하면 네트워크 연결 상태를 빈번하고 신속하게 변경하는 모바일 클라이언트에 대한 일상적인 작업 동안 예상되는 심각하지 않은 일반적 이벤트입니다.

• 사용자가 도킹 스테이션에 랩톱 장착 또는 제거

• 사용자가 연결선 분리

• 랩톱 컴퓨터 최대 절전 모드 또는 대기 모드로 전환

• 연결선 범위 외부로 컴퓨터 이동

• VPN 연결 해제

• 연결된 상태에서 PCMCIA 네트워크 카드 꺼내기

원격 컴퓨터에서 이러한 이벤트로 마치 피어 컴퓨터가 네트워크에서 사라진 것처럼 보입니다. 원격 컴퓨터는 IKE 협상 단계가 시간 초과될 때까지 키 재지정 또는 재협상을 시도합니다.

네트워크 시간 초과 오류는 Windows Server 2003에서 향상되어 IKE 협상에서 시간 초과가 협상의 마지막 성공 단계를 확인함으로써 발생했는지 확인됩니다. 이러한 이벤트는 IKE가 NAT - T 기능 없이 협상하는 경우에 네트워크 주소 변환(NAT)가 있음으로써 발생할 수 있습니다. 단, 원격 피어에 IKE 협상 원인이 발생한 경우에도 IKE 협상이 시간 초과됩니다.

따라서, 모든 협상 시간 초과 및 "성립이 완료되기 전에 IKE SA를 감지했습니다." 이벤트의 경우에 계층 2 지원에서 IKE가 시간 초과를 로그하기 최대 1분 동안 해당 컴퓨터에서 547 오류 및 이벤트를 확인함으로써 원격 컴퓨터가 협상에 실패했는지 확인해야 합니다.

IKE 협상 성공 이벤트

IKE 협상이 성공한 경우 IKE 주 모드 SA는 IPsec 모니터 MMC 스냅인 및 명령줄 쿼리 도구를 통해 나타납니다.

현재 IKE 주모드 SA의목록을표시하려면

• Windows 2000의 경우:

      ipsecmon.exe, netdiag /test:ipsec /v   
  

  참고: 이 명령은 IKE 주 모드 SA가 아닌 IPsec SA만을 보여 줍니다.

• Windows XP의 경우:

      IPsec monitor snapin, ipseccmd show sas   
  

• Windows Server 2003의 경우**:**

  참고: 이 줄은 편의를 위해 여러 줄로 나눌 수 있습니다. 단, 시스템에서는 분리 표시 없이 한 줄로 입력해야 합니다.

      IPsec monitor snapin, netsh ipsec dynamic  
      show \[mmsas | qmsas\]   
  

성공적인 주 모드 및 빠른 모드 SA는 감사가 활성화된 경우 보안 로그에 다음 이벤트를 생성하게 됩니다.

• 541. IKE 주 모드 또는 퀵 모드 설정

• 542. IKE 퀵 모드 삭제

• 543. IKE 주 모드 삭제

IKE 주 모드 정보 제공용 로그 항목

주 모드 변경에 문제가 있는지를 확인하려면 컴퓨터의 이벤트 로그에서 다음 기록된 이벤트를 살펴보십시오.

표 7.5: IKE 주모드정보제공용로그메시지