IPsec 및 그룹 정책을 통한 서버 및 도메인 격리
7장: IPsec 문제 해결
업데이트 날짜: 2005년 2월 16일
이 장에서는 서버 및 도메인 격리 시나리오에서와 같이 IPSec(인터넷 프로토콜 보안) 문제 해결에 대한 정보를 제공하며, 이 정보는 Microsoft IT(정보 기술) 팀의 경험과 프로세스에 기반합니다. 가능한 경우 기존 Microsoft 문제 해결 절차와 관련 정보를 언급합니다.
Microsoft IT 지원은 다계층 지원 모델에 기반하며 지원 센터는 계층 1 지원이라고 합니다. 문제 제기 절차를 통해 지원 센터 직원은 전문가의 지원이 필요한 문제를 제기할 수 있습니다.
이 장의 절차는 세 가지 지원 수준(계층 1, 계층 2 및 계층 3)을 의미합니다. 이 가이드가 가능한 실용적이고 간결하도록 대부분의 내용은 계층 2 수준에 맞췄습니다. 초기 계층 1 가이드는 조직이 어떠한 문제가 IPsec과 관련되어 있는지 파악한 후 IPsec 문제인 경우 계층 2 지원 엔지니어가 문제를 해결하도록 필요한 정보를 작성할 수 있게 도와 줍니다.
계층 3의 문제 해결 노력을 지원하는 데 필요한 상당히 상세하고 복잡한 정보는 이 장의 범위를 넘어선 것입니다. 이 장에 제공된 정보가 IPsec 문제를 해결하지 못하는 경우 Microsoft® 기술 지원 서비스에 문의하여 추가 지원을 받는 것이 좋습니다.
Microsoft가 사용하는 대부분의 지원 절차, 도구 및 스크립트는 이 장에서 참조용으로 제공됩니다. 이러한 권장 사항과 도구는 귀사의 특정 요구에 부합하도록 채택되어야 합니다.
IPsec을 TCP(Transmission Control Protocol)와 UDP(User Datagram Protocol) 네트워크 트래픽의 보안을 유지하는 데 사용하면 일반적인 TCP/IP 문제 해결 절차와 도구는 실효성이 없을 수 있습니다. 이러한 이유로 통신에 IPsec을 사용하거나 사용하려고 하는 컴퓨터 간에 문제가 발생한 경우 적용될 수 있는 IPsec 특정 문제 해결 방법을 계획하고 개발하는 것이 중요합니다.
이 페이지에서
지원 계층 및 문제 제기
계층 1 문제 해결
계층 2 문제 해결 준비
IPsec 문제 해결 프로세스
계층 3 문제 해결
요약
지원 계층 및 문제 제기
Microsoft 내에서 서버와 도메인 격리 지원은 표준 제공 서비스이며 표준 SLA(Service Level Agreement)에 정의되어 있습니다. 격리 지원은 다음 계층을 통해 제공됩니다.
계층 1: 지원센터. 지원 센터는 도메인 가입하거나 도메인에 가입하지 않은 클라이언트 문제에 대한 시작점입니다. 지원 센터에서는 중앙 IT 조직이 관리하는 서버를 지원하기도 합니다. 다른 서버는 업무용 응용 프로그램 팀 또는 제품 그룹에 의해 관리될 수 있습니다. 지원 센터 직원은 서버 및 도메인 격리와 관련된 문제를 분류하도록 분류법과 몇 가지 순서도의 사용 방법을 교육 받습니다.
Microsoft 격리 솔루션의 시험 단계 동안에는 클라이언트 문제가 기업 IT 보안 부서로 제기됩니다. 단, 솔루션이 프로덕션 환경에 배포된 후 클라이언트 문제는 계층 2 지원 팀에서 처리합니다.
계층 2: 데이터센터운영, 글로벌네트워크운영센터, LOB(기간현업) 응용프로그램지원및메시징/협업지원. 이러한 그룹은 IT 서비스와 관련 자산을 모니터링하고 관리하는 일상적인 운영 팀입니다. 서버 및 도메인 격리 시험 동안 이러한 팀은 서버에 대한 지원 센터 및 기업 IT 보안(관련 문제 및 문제 해결)에 대한 초기 문제 제기 경로 지점입니다. 각 그룹은 상세한 문제 해결에 대한 절차뿐 아니라 서버 및 도메인 격리에 대한 분야별 전문가를 보유하고 있습니다.
계층 3: Windows 네트워크및인프라서비스 서버 및 도메인 격리 시험 동안 이 그룹은 IPsec, TCP/IP 패킷 처리, 컴퓨터 계정 및 네트워크 로그온 권한과 같은 솔루션 관련 아키텍처 구성 요소와 기술적 문제를 해결하는 전문가로 구성된 팀이라는 것이 확인되었습니다. Microsoft 내에서 추가 문제 제기가 필요한 경우 계층 3은 문제가 해결될 때까지 Windows 개발 팀과 직접 작업합니다. Microsoft 외에서 필요한 경우 이 수준은 Microsoft 기술 지원 서비스와도 관여됩니다.
다음 섹션은 계층 1 지원 조직에서 지원 센터 직원이 사용할 수 있는 문제 해결 방법을 요약합니다.
계층 1 문제 해결
이 섹션에서는 계층 1 지원을 제공하기 위해 지원 센터 직원이 사용하는 IPsec 관련 문제 해결의 전반적인 프로세스를 소개합니다. 일반적으로, 계층 1 지원 담당자는 전화 기반 지원 센터 직원으로 원격으로 문제 진단을 시도합니다.
IPsec 문제입니까?
지원 센터에서 "IPsec을 켜기 전에는 서버 x에 연결할 수 있었어요." 또는 "어제는 아무 문제가 없었는데 오늘은 전혀 연결되지 않아요."라고 호소하는 전화를 받을 수 있습니다. Microsoft IT의 경험으로 볼 때, IPsec이 롤아웃됨에 따라 모든 유형의 네트워크 연결 문제와 "액세스 거부" 문제에 대한 통화가 급증하였고 이는 사용자들이 응용 프로그램과 네트워크 동작에 보다 많은 관심을 보였기 때문입니다. 누군가가 IPsec과 관련되었을 것이라고 판단한 경우 지원 센터에 전화를 했습니다. 서버 및 도메인 격리 구현 계획에는 지원 센터 직원이 IPsec 관련 문제의 양과 특성 대한 분명한 보고서를 제공할 수 있도록 통화 분류 시스템이 포함되어야 합니다.
적합한 관리 정보를 발신자에게 얻은 후에 지원 센터 직원은 정의된 문제 해결 과정을 따라야 합니다. IPsec 정책 설계가 통신에 미치는 영향이 다르고 롤아웃 프로세스에는 수일 또는 수주가 걸릴 수 있기 때문에 격리 변경 사항이 매번 구현될 때마다 순서도를 정의하고 업데이트해야 합니다. 지원 센터 관리 직원은 이러한 계획 프로세스에 참여해야 합니다.
지원 센터의 목표는 알려진 솔루션을 시도해 볼 수 있도록 문제를 분류하는 것입니다. 이러한 시도를 통해서도 문제를 해결하지 못하는 경우 지원 센터 직원은 적절한 정보를 수집하여 해당 문제를 계층 2 지원으로 승격할 수 있습니다. 예를 들어, 지원 센터는 다음과 같은 방법으로 다양한 유형의 문제를 식별할 수 있습니다.
네트워크연결. ping과 tracert ICMP(Internet Control Message Protocol) 메시지를 사용하여 네트워크 경로를 테스트합니다.
이름확인. ping *<대상이름>*과 nslookup을 사용합니다.
응용프로그램. 같은 대상과 통신 시 일부 응용 프로그램은 작동(예: net view)하지만 나머지 응용 프로그램은 작동하지 않습니다.
서비스. 예를 들어, 서로 충돌하는 L2TP용 자동 IPsec 정책을 만드는 라우팅 및 원격 액세스(RRAS) 서비스가 서버에서 실행 중인지 확인합니다.
호출자의컴퓨터. 지원 센터 테스팅 및 진단에 사용된 호스트 또는 트러스트된 특정 호스트 대상 컴퓨터에 액세스할 수 있는지 여부를 파악합니다.
대상컴퓨터. 호출자의 컴퓨터가 테스트에 사용된 모든 지원 센터 컴퓨터에는 액세스할 수 있지만 특정 대상 컴퓨터에는 액세스할 수 없는지 확인합니다.
조직에 따라 지원 센터에서 원격 지원 또는 원격 데스크톱을 사용하여 호출자의 컴퓨터에 연결할 수 있습니다. 원격 액세스가 지원 센터 직원이 IPsec MMC(Microsoft 관리 콘솔) 스냅인 또는 이벤트 로그 뷰어를 통해 호출자를 안내하기 위한 대안으로서 사용할 유용한 도구가 될 수 있지만 이 장에 제시된 지침에 필수적이지는 않습니다.
서버 격리가 도메인 격리 없이 사용된 시나리오에서 지원 센터 직원은 어떤 서버가 격리 그룹의 구성원인지 알아야 합니다.
범위 및 심각도 지정
계층 1 지원이 해결해야 하는 첫 번째 질문 중 하나는 "누가 이 문제로 인해 영향을 받는가"라는 것입니다. 지원 직원은 문제가 다른 사용자에 의해 공유되었는지, 만약 그렇다면 얼마나 많은 사용자가 영향을 받는지, 또 그들이 현재 어디 위치하고 있는지 이해해야 합니다. 그런 다음, 지원 직원은 문제의 심각도를 파악해야 합니다. 예를 들어, 단일 서버에 대한 연결에 영향을 끼치거나 네트워크의 대부분에 걸쳐 로그온 또는 인증 오류와 같은 더욱 광범위한 문제가 있는지 확인해야 합니다.
연결 문제는 네트워크 통신에 사용된 많은 다양한 계층과 기술과 관련될 수 있습니다. 지원 엔지니어는 솔루션과 관련된 특정 문제뿐만 아니라 Windows TCP/IP 네트워크 통신이 일반적으로 작동하는 방법을 알아야 합니다. 이 섹션에서는 계층 1 지원이 처리해야 하는 다양한 유형의 문제와 공통된 문제를 검토합니다.
컴퓨터특정문제. IPsec 보호 통신은 상호 IKE(인터넷 키 교환) 컴퓨터 인증이 필요합니다. 통신을 시작하는 컴퓨터와 통신에 응답하는 컴퓨터는 해당 도메인의 도메인 컨트롤에 대한 유효한 액세스 권한과 도메인 계정을 가지고 있어야 합니다. 또한, IPsec 정책 할당 및 네트워크 액세스 컨트롤은 올바른 도메인 그룹에 있는 컴퓨터 계정에 따라 다릅니다. IPsec 동작에 영향을 미칠 수 있는 기타 컴퓨터 특정 문제에는 다음이 포함될 수 있습니다.
운영 체제의 서비스 팩, 패치 또는 레지스트리 키 구성이 올바르지 않을 수 있습니다.
컴퓨터에는 특정 소프트웨어가 설치되어 있거나 특정 서비스가 실행되고 있습니다.
네트워크 연결에서 특정 IP 주소를 사용하거나 별도의 네트워크 경로를 사용하여 통신합니다.
이와 같은 문제로 인해 일부 컴퓨터에 연결성과 관련된 문제가 있을 수 있습니다.
참고: 이 장에서 논의된 모든 IPsec 문제 해결 도구에는 로컬 관리자 그룹 권한이 필요합니다.
네트워크위치및경로관련문제. 서버와 도메인 격리 솔루션 또는 기타 광범위한 IPsec 배포에서 모든 TCT와 UDP 트래픽이 캡슐화될 가능성이 있습니다. 따라서, 경로상에 있는 네트워크 장치에서 IKE, IPsec 및 ICMP 프로토콜만을 확인하게 됩니다. 원본과 대상간 이러한 세 가지 프로토콜의 전송에 네트워크 문제가 있는 경우 두 컴퓨터 간에 통신이 차단될 수 있습니다.
사용자관련문제. 서버 및 도메인 격리 시나리오와 같이 IPsec의 배포는 도메인 사용자의 네트워크 로그온 권한에 영향을 미칠 수 있습니다. 예를 들어, 이 문제는 승인된 네트워크 액세스 그룹에 속하지 않은 사용자에만 영향을 미치거나 승인된 사용자가 적합한 그룹 구성원 자격을 포함하고 있는 Kerberos 인증 자격 증명을 얻는 데 문제가 있을 수 있습니다. 도메인과 로컬 사용자 또는 서비스 계정 간 동작에 차이가 있을 수 있습니다.
일반적으로 기업 IPsec 배포에서도 발견되는 서버 및 도메인 격리 솔루션의 두 가지 다른 특징은 내부 네트워크에 사용되는 주소 범위 정의를 위해 서브넷 필터를 사용한다는 것과 내부 네트워크상 컴퓨터 위치에 상관없이 도메인 구성원 및 그룹 구성원에 기반하여 IPsec 정책을 적용한다는 것입니다. 따라서 컴퓨터가 다른 컴퓨터와 연결하기 위해 사용하는 서브넷 필터 또는 네트워크 경로 설계에 문제가 있는 경우, 특정 IP 주소(예: LAN 주소가 아닌 무선 주소)를 사용할 때, 특정 컴퓨터에서만, 네트워크의 일부에서만 연결 문제가 나타날 수 있습니다.
문제 해결 순서도
이 섹션의 통화 처리 순서도는 Microsoft IT가 계층 1 IPsec 지원 문제를 분류하기 위해 개발했습니다. 표준 도구뿐 아니라 두 가지 순서도는 이 장 후반의 "지원 스크립트 예제" 섹션에서 자세하게 설명하는 IPsec 정책 새로 고침 스크립트를 참조합니다.
그림 7.1은 문제의 초기 진단과 문제 유형 파악을 위해 사용됩니다.
네트워크연결문제입니까? 네트워크 문제인 경우, 네트워크 문제 해결을 시도합니다. 문제 해결에 공하지 못한 경우 계층 2 지원으로 문제를 제기합니다.
이름확인문제입니까? 이름 확인 문제인 경우, 기본 이름 확인 문제 해결을 시도합니다. 문제 해결에 공하지 못한 경우 계층 2 지원으로 문제를 제기합니다.
응용프로그램문제입니까? 로그온 권한 문제인 경우, 계층 2 지원으로 문제를 제기합니다.
호출자의컴퓨터의 IPsec 문제입니까? 호출자 컴퓨터의 IPsec 문제인 경우, 그림 7.2로 이동합니다.
호출자가연결하려고하는대상컴퓨터의 IPsec 문제입니까? 대상 컴퓨터의 IPsec 문제인 경우, 그림 7.3으로 이동합니다.
그림 7.1 대상컴퓨터와의통신실패문제해결프로세스
참고: 이 순서도는 호출자의 컴퓨터에 IPsec이 실행 중이고 DNS 역방향 조회 영역이 구성되어 ping -a 명령이 허용되는 경우를 가정합니다.
그림 7.2는 호출자 자신의 컴퓨터의 문제를 확인하기 위해 제공됩니다. 진단뿐만 아니라 이 순서도는 반드시 확인하지 않고도 문제를 해결할 수도 있는 IPsec 정책 새로 고침 스크립트(이 장 후반의 "지원 스크립트 예제 참조) 사용을 참조합니다. 그림 7.2의 단계는 호출자의 컴퓨터에 다음과 같은 잠재적인 문제를 확인하는 데 도움이 됩니다.
RRAS 문제입니까? "예"인 경우 RRAS 서비스를 중단하거나(RRAS가 필요하지 않은 경우) 해당 문제를 계층 2 지원으로 제기합니다.
정책문제입니까? IPsec 정책 문제인 경우, 그룹 정책과 IPsec 정책을 새로 고칩니다.
도메인계정문제입니까? "예"인 경우 호출자의 컴퓨터에 대한 도메인 계정을 만듭니다.
해당사항없음? IPsec 정책 새로 고침 및/또는 도메인 계정 만들기가 이 문제를 해결하지 못하는 경우 문제를 계층 2 지원으로 제기합니다.
그림 7.2 호출자컴퓨터 IPsec – 관련문제해결
그림 7.3은 특정 대상 컴퓨터의 문제를 확인하기 위해 제공됩니다. 이 순서도에서는 문제를 확인하지 않고도 해결할 수 있는 IPsec 정책 새로 고침 스크립트의 사용을 참조합니다. 그림 7.3은 다음과 같은 대상 컴퓨터(또는 경로)에 대한 잠재적인 문제를 파악하는 데 도움이 됩니다.
RRAS 문제입니까? 로그온 권한 문제인 경우, 계층 2 지원으로 문제를 제기합니다.
IPsec 정책문제입니까? IPsec 정책 문제인 경우, 그룹 정책과 IPsec 정책을 새로 고칩니다. 그런 다음 네트워크 연결을 확인합니다.
네트워크연결문제입니까? 로그온 권한 문제인 경우, 계층 2 지원으로 문제를 제기합니다.
로그온권한문제입니까? 로그온 권한 문제인 경우, 계층 2 지원으로 문제를 제기합니다.
그림 7.3 대상컴퓨터 IPsec – 관련문제해결
계층 1 지원 직원이 순서도를 통해 작업한 후 문제 상태는 다음 중 하나일 수 있습니다.
원인파악후해결. 이 상태는 해당 문제가 해결되고 문제의 원인이 파악되었음을 의미합니다.
불명확하게해결이 상태는 문제가 해결되었지만 문제의 원인이 완전하게 이해되지 않는다는 것을 의미합니다. 예를 들어, IPsec 정책을 새로 고쳐 이 문제를 해결할 수 있지만 잘못된 정책이 적용되거나 어떠한 정책도 적용되지 않은 이유를 반드시 설명하는 것은 아닙니다.
미해결. 이 상태는 문제가 여전히 남아 있고 문제로 확인된 가능성 있는 문제가 계층 2 지원으로 제기됨을 의미합니다.
사회 공학 공격의 방지
격리 솔루션에서 지원 센터 직원은 IPsec으로 보호되지 않은 제외 목록의 구성원 컴퓨터와 같은 IT 환경 내 특정 영역을 알게 됩니다. 다른 보안 솔루션에서 그러한 중요한 정보는 상위 지원 팀만 사용할 수 있기 때문에 중요한 정보를 보호하는 데는 사용되지 않습니다. 이러한 이유로 지원 센터 직원은 사회 공학 공격을 감지하고 제지하는 방법을 교육 받아야 합니다.
사회 공학 공격에서 트러스트되지 않은 다른 사람을 믿는 경향을 활용하여 보안의 구성 방법과 보안이 취약한 위치가 어디인지 정보를 얻으려 합니다. 다음 정보는 지원 센터 직원에 의해 주의 깊게 다루어져야 합니다.
제외목록의구성원. 제외 목록 필터의 IP 주소 목록은 IPsec Monitor MMC 스냅인을 사용하거나 로컬 레지스트리지의 도메인 IPsec 정책 캐시를 검토함으로써 모든 트러스트된 호스트의 로컬 관리자만 사용할 수 있습니다. 또한, 조직에 사용된 보안 설정은 비관리 사용자에게 캐시에 대한 읽기 액세스 권한을 제공할 수 있습니다. 도메인 격리가 완전하게 구현된 후에 공격자는 네트워크를 검색하여 TCP와 UDP 연결 요청에 응답할 수 있는 제외된 컴퓨터를 탐지할 수 있어야 합니다. DNS 서버, DHCP 서버 및 WINS 서버는 DHCP 구성을 통해 쉽게 확인되고, 도메인 컨트롤러는 DNS 쿼리 또는 LDAP(Lightweight Directory Access Protocol) 쿼리를 사용하여 쉽게 찾을 수 있습니다.
격리솔루션에참여하지않는조직의컴퓨터. 예를 들어, 특정 도메인 또는 서버 유형은 솔루션에 포함되지 않을 수 있습니다.
서버격리를사용하거나시스템기반액세스제어가필요한컴퓨터. 가장 중요한 정보가 포함된 서버는 일반적으로 최상의 보안 조치의 보호를 받습니다.
IT 조직의관리자또는특별한역할을맡고있는사용자. 경우에 따라 전자 우편 주소가 컴퓨터 이름 또는 컴퓨터 이름의 일부로 사용되어 로그온 이름 또는 전자 우편 주소를 노출하게 됩니다.
특정한목적이나특정조직에서사용되는서브넷. 이 정보가 알려지면 공격자는 네트워크의 가장 민감하고 중요한 부분에 공격을 집중할 수 있습니다.
사용중인기타네트워크기반보안유지조치. 예를 들어, 방화벽이 있는지, 라우터 필터가 특정 트래픽을 허용하는지 또는 네트워크 침입 탐지가 사용되고 있는지를 확인하는 일은 공격자에게 매우 유용합니다.
지원 센터 직원은 호출자가 무엇이 잘못되었는지를 확인하기 위해 자신이 컴퓨터 IP 주소로 연결할 것을 요청하는 경우 매우 신중하도록 교육 받아야 합니다. 즉, 공격자가 지원 센터의 직원에게 파일 공유, 원격 데스크톱, 텔넷 또는 기타 네트워크 프로토콜을 사용하여 컴퓨터에 연결할 것을 요청할 수 있습니다. 지원 센터 직원이 IPsec 없이 연결하는 경우 공격자의 컴퓨터는 암호에 대한 정보를 얻거나 텔넷 등을 사용하는 경우에는 암호를 훔칠 수도 있습니다. 이러한 상황은 일부 클라이언트 네트워크 프로토콜이 먼저 대상 컴퓨터를 인증하여 강력한 트러스트를 구축하지 않거나 사용자 ID 또는 암호 관련 정보를 노출하기 전에 강력한 암호 보호를 요청하지 않기 때문에 발생할 수 있습니다.
지원 스크립트 예제
대부분의 문제 해결 시나리오의 경우 적합한 정보가 확인된 후에 신속하게 솔루션을 결정할 수 있습니다. 이러한 정보는 순서도에 참조된 도구와 같이 다양한 Windows 도구를 사용하여 찾아낼 수 있습니다. Woodgrove 은행 솔루션에서는 다양한 스크립트가 계층 1 지원 직원이 도구 운영 및 구문에 대한 상세한 정보를 가지고 있지 않아도 중요한 정보를 제공할 수 있도록 개발되었습니다. 이러한 스크립트는 이 가이드를 다운로드한 후 도구 및 템플릿 폴더에 찾을 수 있습니다.
계층 1 지원에 사용할 수 있는 스크립트
사용자가 자신의 컴퓨터의 로컬 관리자인 경우 지원 센터 직원은 이 솔루션에 제공된 세 가지 스크립트 중 하나를 실행하도록 할 수 있습니다. 이러한 스크립트는 이 가이드에 상세하게 설명된 Woodgrove 은행 환경에 사용된 사용자 지정된 스크립트의 예제입니다. 이 장에 스크립트가 문제 해결 프로세스를 지원하기 위해 사용될 수 있는 방법을 예시하기 위해 설명되어 있습니다.
참고: 이러한 스크립트는 테스트된 예제이지만 Microsoft에서 지원하지는 않습니다. 조직에서 보유하고 있는 사용자 정의된 솔루션의 기초로 사용되어야 합니다.
IPsec_Debug.vbs
이 스크립트는 디버그 정보를 제공할 뿐만 아니라 일부 문제를 실제로 해결할 수도 있습니다. 이 스크립트는 IPsec 서비스를 중지한 후 다시 시작(현재 모든 IKE 및 IPsec 보안 연결을 삭제)하고 그룹 정책 새로 고침을 강제 적용하여 Active Directory® 디렉터리 서비스에서 현재 도메인 할당 IPsec 정책을 다시 로드하고 정책 캐시를 업데이트합니다. 원격 데스크톱 세션의 연결이 손실되지 않도록 하기 위해 스크립트를 호출자의 컴퓨터로 다운로드한 후 관리 권한을 가진 계정을 사용하여 로컬에서 실행하도록 해야 합니다. 다음 구문을 사용하여 명령 프롬프트에 스크립트를 실행합니다.
cscript IPsec_Debug.vbs
스크립트는 다음 기능을 수행합니다.
운영 체제 버전 검색
Detect_IPsec_Policy.vbs 호출
그룹 정책 로깅 증가
Kerberos 버전 5 인증 프로토콜 로깅 증가
현재 Kerberos 프로토콜 티켓 제거
그룹 정책 새로 고침
IPsec 로깅 활성화
PING 및 SMB(Net View) 테스트 수행
IPsec 파일 버전 검색
정책 및 네트워크 진단 테스트 실행
IPsec 547 이벤트를 텍스트 파일로 복사
IPsec 로깅 비활성화
Kerberos 프로토콜 로깅 복원
그룹 정책 로깅 복원
이 스크립트는 또한 계층 2 지원으로 문제를 해결하기 위해 모든 IPsec 관련 로그를 활성화합니다.
Detect_IPsec_Policy.vbs
이 스크립트는 도메인 IPsec 정책에 대한 정책 버전 정보에 대해 현재 로컬 레지스트리 캐시를 확인함으로써 컴퓨터에 올바른 IPsec 정책이 실행되고 있는지를 파악합니다. 다음 구문을 사용하여 명령 프롬프트에 스크립트를 실행합니다.
cscript Detect_IPsec_Policy.vbs
참고: 이 스크립트는 IPsec_Debug.vbs에서도 호출되므로 해당 스크립트와 함께 실행될 필요가 없습니다.
Refresh_IPsec_Policy.vbs
이 스크립트는 문제 해결 순서도에 참조된 IPsec 정책 새로 고침 스크립트입니다. 컴퓨터의 Kerberos 인증 프로토콜 티켓과 그룹 정책을 새로 고치고 잘못된 IPsec 정책 할당 또는 그룹 정책 다운로드 오류로 인한 경우 해당 문제를 해결할 수 있습니다. 다음 구문을 사용하여 명령 프롬프트에 스크립트를 실행합니다.
cscript Refresh_IPsec_Policy.vbs
문제 제기
지원 센터 직원이 IPsec으로 추측되는 문제를 제기해야 하는 경우 다음 정보를 계층 1에서 수집하여 다음 서비스 요청과 함께 전달해야 합니다.
IPsec_Debug.vbs 스크립트로 생성된 로그 파일.
다음 지원 계층이 스크립트로 생성된 로그 파일을 확인할 수 있는 호출자의 시스템 번호.
액세스가 거부되어 적절한 지원 그룹으로 문제가 제기될 수 있는 대상 컴퓨터.
서버 격리 시나리오에는 네트워크 액세스 그룹의 구성원을 조사할 수 있는 자체 지원 팀이 있는 경우가 있습니다.
계층 2 문제 해결 준비
계층 2 지원은 두 개의 주요 역할을 담당합니다. 첫째, 모든 계층 1 문제 제기의 수신자로서 계층 2는 문제의 유효성을 검증하고 문제 해결 단계를 하나라도 놓치지 않도록 계층 1에서 취한 단계를 확인합니다. 이와 관련하여 계층 2는 어떠한 제기된 문제가 실제로 오진단이 아니며 IPsec으로 인한 것이라는 사실을 확인해야 합니다. 둘째, 숙련된 네트워크 지원 엔지니어로서 계층 2 지원 직원은 자신의 기술과 경험(다음 섹션에 제시)으로 컴퓨터의 관리자 권한을 얻지 않고도 로그 분석을 통해 문제를 해결할 수 있어야 합니다. 그러나, 로그에는 정보만이 수집될 뿐 수정 작업을 수행하려면 관리자 액세스가 필요합니다. 계층 2 지원 직원이 도메인 관리자이거나 도메인 기반 IPsec 정책 또는 컴퓨터 그룹 구성원에 변경 사항을 적용할 수 있을 것으로 기대되지는 않습니다.
계층 2 지원 기술
계층 2 IPsec 지원을 제공하는 지원 직원은 다음과 같은 분야에 기술과 전문 지식을 가지고 있어야 합니다.
그룹정책. 어떤 정책이 어떻게 할당되는지 파악하고 다음 작업을 수행할 수 있어야 합니다.
GPO(그룹 정책 개체)의 ACL(액세스 제어 목록)을 확인합니다.
GPO 설정을 확인합니다.
컴퓨터와 사용자에 대한 그룹 구성원을 확인합니다.
조직에서사용하는타사소프트웨어사용경험이있어야합니다.
인증오류확인.
- netdiag와 nltest 유틸리티를 사용하여 도메인 컴퓨터 계정이 정상인지 확인할 수 있습니다.
IPsec 구성. 다음 작업을 수행할 수 있어야 합니다.
IPsec 필터 구성을 확인합니다.
IPsec 도메인 정책을 다시 로드합니다.
IPsec을 완전히 비활성화하거나 테스트를 위해 로컬 정책을 사용하도록 도메인 정책만을 활성화합니다.
IPsec IKE 협상 과정 및 보안 프로토콜의 문제를 해결합니다.
네트워킹. 다음 작업을 수행할 수 있어야 합니다.
호스트 시스템의 네트워크 프로토콜 스택의 문제를 해결합니다.
네트워크 추적에서 수집된 정보를 파악하고 문제를 해결합니다.
TCP 경로 MTU 검색 및 가상 사설망(VPN) 원격 액세스 솔루션을 포함하여 네트워크 경로 문제를 해결합니다.
IPsec 사용으로 인해 기본적으로 발생하는 문제
이전 섹션에서 제시한 것처럼 서버 및 도메인 격리 솔루션의 계층 2 지원 직원은 IPsec 보호 통신에 대해 자세히 알고 있어야 하지만 기타 기술 구성 요소와 관련된 문제를 분리할 수도 있어야 합니다.
두 컴퓨터 간 성공적인 IPsec 통신의 위해 두 대의 컴퓨터는 일반적으로 호환 가능한 IPsec 정책이 필요합니다. 예를 들어, IPsec 정책은 원격 컴퓨터가 적합한 IPsec 정책을 가지고 있지 않은 경우 통신을 차단할 수도 있습니다. 이러한 기능이 정책 변경 롤아웃 동안 의도되거나 수용 가능한 동작일 수 있지만, 한 대 이상 컴퓨터의 네트워크 연결을 차단하여 어떠한 응용 프로그램 경고 또는 오류를 발생시킬 수 있을지는 바로 나타나지 않을 수 있습니다. 최악의 시나리오에서는 관리자가 실수로 IPsec 정책을 모든 도메인 구성원에 할당하여 모든 트래픽을 차단할 수도 있습니다. 원래 할당 후에 신속하게 복제된 올바른 할당과 함께 이 실수를 금방 깨닫지 못하는 경우 손상된 정책의 복제는 쉽게 중지되지 않습니다. 이러한 유형의 실수는 클라이언트와 도메인 컨트롤러 간 통신에 IPsec이 필요한 경우의 상황에 발생할 수 있습니다. 이 솔루션에 사용된 인증이 Kerberos 프로토콜에 의존하기 때문에 이러한 정책을 상속하는 클라이언트는 통신의 보안을 유지하는 데 필요한 Kerberos 티켓을 얻을 수 없기 때문에 로그온 프로세스를 완료할 수 없게 됩니다. 관리자는 주의 깊게 정책의 변경 사항을 계획하고 이러한 유형의 상황을 완화하기 위한 절차적 보완책이 있는지 확인합니다.
TCP/IP 문제 해결에 대한 배경 정보가 이 장 끝 부분의 "추가 정보" 섹션에 있는 문제 해결 가이드에 제공되어 있습니다. 단, 이러한 가이드에 언급된 대부분의 절차는 IPsec이 성공적인 연결을 제공하는 경우에만 적용할 수 있습니다. IKE 또는 IPsec이 실패하는 경우 이러한 절차와 도구의 대부분은 효과가 없게 됩니다. 서버 및 도메인 격리 시나리오에서 배경 가이드에 문서화된 일부 절차는 IPsec이 성공적인 연결을 제공하는 경우에도 전혀 적용할 수 없습니다. 지원 조직은 서버와 도메인 격리 환경 내에 효과를 유지하기 위해 문제 해결 도구 및 절차를 업데이트하고 사용자 지정해야 합니다. IPsec 정책이 배포되어 트래픽을 제어하고 안전하게 유지하는 데 도움이 되는 많은 다양한 방법이 있기 때문에 조직이 기존 절차와 일반 도구 키트에만 의지해야 할 경우는 거의 없습니다.
직원 담당자가 서버 및 도메인 격리 또는 일부 다른 IPsec 배포가 제대로 작동되는 랩 환경에서 획득한 네트워크 문제 해결 도구의 예상 결과물의 예를 문서화하는 것이 중요합니다. 대부분의 경우에 네트워크 진단 도구는 변경 시 3초 지연 또는 IPsec SA(보안 연결)의 IKE 초기 협상에 지연이 있을 것으로 기대되지 않습니다. 따라서 도구는 처음에 실행될 때는 하나의 결과를 표시하지만 몇 초 후에 실행하면 다른 결과를 표시할 수 있습니다. 또한, 네트워크 액세스가 IPsec에서 고의적으로 거부된 곳에 위치에 대해 오류가 보고될 수 있습니다. 오류 유형은 도구와 IPsec 환경에 따라 달라집니다.
참고: 계층 1 섹션에서 호출자와 대상이라는 용어가 지원 직원이 공통된 문제를 해결하도록 사용됩니다. 계층 2 섹션에서는 고급 문제 해결 프로세스를 분명하게 제시하기 위해 IPsec 용어 초기자와 응답자를 사용하는 것이 좋습니다. 이 장의 이후 내용에서는 이러한 IPsec 용어를 사용합니다.
그룹 정책 및 그룹 구성원
도메인 기반 IPsec 정책은 그룹 정책과 GPO 다운로드에 따라 다릅니다. 클라이언트 그룹 정책 시스템이 GPO 변경 사항을 검색 또는 다운로드하는 데 오류가 발생한 경우 IPsec 연결이 영향을 받을 수 있습니다. 그룹 정책 할당이 조직 단위(OU) 구성원에 의해 제어되고 컴퓨터 계정이 다른 OU로 이동, 삭제 또는 잘못된 OU에서 다시 만들어진 경우 부적합한 IPsec 정책이 할당될 수 있습니다.
이 솔루션에서는 도메인 보안 그룹을 사용하여 정책 할당을 제어하고 네트워크 액세스를 제어합니다. 그룹 구성원은 수명이 긴 Kerberos 버전 5 인증 프로토콜 티켓(TGT와 서비스 티켓 포함) 내에 포함됩니다. 따라서 관리자는 컴퓨터가 그룹 구성원 업데이트가 포함된 새 Kerberos TGT와 서비스 티켓 자격 증명을 받는 데 필요한 시간을 계획해야 합니다. Kerberos 프로토콜은 컴퓨터에 대한 Kerberos 티켓에 적절한 그룹 구성원이 포함되어 있는지 여부를 파악하는 것을 매우 어렵게 합니다. 이러한 어려움은 그룹 구성원에 대한 모든 정보가 티켓 내에 암호화된 양식으로 저장되기 때문이며 "설계상의 문제"입니다. 그룹 구성원은 티켓 자체가 아닌 디렉터리 서비스 내의 정보를 사용하여 확인되어야 합니다.
Kerberos 인증
서버 및 도메인 격리 설계에서는 IKE 인증에 Kerberos 버전 5 프로토콜을 사용합니다. Kerberos 프로토콜이 DNS 및 도메인 컨트롤러에서 사용할 수 있는 서비스와 성공적인 네트워크 연결을 요청하기 때문에 연결 부족은 Kerberos 인증과 IKE 실패를 일으킬 수 있습니다. Kerberos가 실패하는 경우 IKE 도한 실패합니다. 따라서 컴퓨터 A와 컴퓨터 B 간의 연결성 문제는 도메인 컨트롤러로 인증하는 Kerberos 프로토콜의 사용 불가로 인해 유발된 컴퓨터 A와 컴퓨터 C간의 네트워크 연결 차단에 의해 야기될 수 있습니다. 이와 같은 상황에서 Windows 감사 및 보안 로그의 547 이벤트에서 제공된 정보는 문제의 원인에 대한 중요한 정보를 제공합니다.
IPsec 보호 인바운드 트래픽 필요
이 서버 및 도메인 격리 솔루션에서는 IPsec 보호 통신이 인바운드 액세스에 필요하다는 것을 명시하고 있습니다. 이러한 요구 사항으로 인해 트러스트되지 않은 컴퓨터 또는 전담 네트워크 장치에서 실행되는 원격 모니터링 도구가 원격 컴퓨터가 연결 가능하지 않다는 것을 보고하게 됩니다. 이러한 컴퓨터 또는 장치가 "트러스트된" 환경에 참여할 수 없는 경우 일부 특정 제외 항목이 설계에 추가되지 않는 경우 모니터링 역할을 수행할 수 없게 됩니다. IPsec이 트러스트된 호스트에 대한 연결을 구축하는 데 필요할 수 있다는 사실로 인해 문제 해결이 복잡해집니다. 즉, 이는 관리자가 트러스트된 호스트에 연결한 다음 연결을 잃지 않고 IPsec 서비스를 중단할 수 없다는 것을 의미합니다. 관리자의 IPsec 정책이 선택 취소를 허용하게 되면 원격 연결은 서비스가 원격 컴퓨터에서 중단된 후에 3초 또는 4초 지연을 경험하게 됩니다. 그러나, 원격 컴퓨터에서 IPsec 서비스를 중단하면 모든 다른 현재 연결된 컴퓨터에서 사용 중인 IPsec SA를 지우게 됩니다. 이러한 다른 컴퓨터가 선택 취소를 할 수 없는 경우 통신은 중단되고 TCP 연결이 시간 초과됩니다. 갑작스런 TCP 통신 중단으로 응용 프로그램의 데이터 손상이 발생하기 때문에 IPsec 서비스 중단은 문제 해결 프로세스에서 마지막 옵션으로만 사용되어야 합니다. IPsec 서비스가 중단되기 전에 컴퓨터는 모든 연결된 사용자와 응용 프로그램이 제대로 연결을 종료할 수 있도록 종료 준비를 해야 합니다.
통신 방향 문제
자주 나타나는 문제 해결 시나리오로 한 방향 통신에는 성공하지만 역 방향 통신에는 실패하는 경우가 있습니다. IKE 인증은 일반적으로 컴퓨터 간 상호 인증을 요구합니다. 한 대의 컴퓨터가 원격 컴퓨터에 대해 IKE 메인 모드를 실행시킬 때 Kerberos 티켓을 얻을 수 없다면 IKE는 실패합니다. 이러한 상황은 연결을 시작하는 컴퓨터의 Kerberos 클라이언트가 대상 컴퓨터의 도메인에 있는 도메인 컨트롤러에 액세스할 수 없는 경우 발생할 수 있습니다. 컴퓨터가 상호 트러스트(양방향 트러스트)되지 않은 도메인의 구성원인 경우 IKE 주 모드 협상은 한 대의 컴퓨터가 시작하면 성공하고 다른 컴퓨터가 시작하면 실패합니다. 이와 마찬가지로, 인바운드 네트워크 로그온 권한은 두 대의 컴퓨터에서 다를 수 있습니다. 이러한 이유로 IKE 주 모드와 빠른 모드 협상이 한 방향에서 실패할 수 있습니다. 또한, IPsec 정책이 양방향 협상과 호환되지 않기 때문일 수도 있습니다.
IPsec 계층 상위의 트래픽을 가로채는 호스트 기반 방화벽에서 연결의 방향을 강제로 적용할 수 있습니다. 일부 호스트 기반 방화벽은 IPsec 계층 하위의 트래픽을 가로챕니다. 성공적인 IPsec 통신이 구축된 후에 IPsec 보호 트래픽은 일정 기간 동안 양 방향에서 허용될 수 있습니다.
네트워크 라우터 또는 방화벽에 의한 상태 저장 필터링도 ICMP와 같은 다른 진단 프로토콜에 영향을 주지 않고 IKE 키 다시 대조 작업 또는 IPsec 트래픽 흐름을 차단할 수 있습니다. TCP와 UDP 포트는 서비스가 실행 중이 아니거나 IPsec 계층 상위에서 작동되는 장비(예: Windows 방화벽 또는 네트워크 라우터)가 액세스를 차단하기 때문에 한 대의 컴퓨터에서 액세스할 수 없을 수 있습니다.
네트워크 추적 및 고급 네트워크 경로 문제 해결
IKE 협상 오류로 인해 오류를 경험하는 컴퓨터가 IKE 협상 응답을 중지하거나 일부 경우에 다시 시도 제한이 만료될 때 까지 마지막 "양호" 메시지를 다시 전송할 수 있습니다. IKE는 Kerberos 티켓이 대상 IP 주소에 대해 PMTU(경로 최대 전송 단위)를 초과하는 경우가 있으므로 Kerberos 티켓이 포함된 조각화된 UDP 다이어그램을 전송할 수 있어야 합니다. 조각화가 제대로 지원되지 않으면 그러한 조각은 일정 경로를 따라 네트워크 장치에 의해 손실될 수 있습니다. 또한, 네트워크는 IPsec 프로토콜 패킷 또는 IPsec 패킷의 조각을 제대로 전달할 수 없게 됩니다. TCP와의 IPsec 통합을 통해 TCP는 패킷 크기를 IPsec 헤더의 오버헤드를 수용할 수 있을 만큼 줄일 수 있습니다. 단, TCP 핸드셰이크 중에 최대 조각 크기(MSS)의 TCP 협상에는 IPsec 오버헤드가 고려되지 않습니다. 따라서, 성공적인 IPsec 보호 TCP 통신을 보장하기 위해 네트워크에서 ICMP PMTU 검색에 대한 요구 사항이 증가하게 되었습니다. 즉, 연결 오류 문제를 해결하면 통신 양측으로부터 로그뿐 아니라 통신의 한 측 또는 양 측의 네트워크 트레이스가 필요할 수 있습니다.
기술 지원 엔지니어는 네트워크 트레이스를 읽는 방법을 이해해야 하며 IKE 협상도 이해해야 합니다. 서버에 Windows Network Monitor 소프트웨어가 설치되어 있어야 합니다. Windows 2000 Network Monitor는 IPsec AH 및 IKE의 구문 분석을 제공합니다. Windows Server 2003은 IPsec ESP-null 구문 분석, 암호화가 오프로드되는 경우 ESP 파싱 및 NAT 통과에 사용된 UDP-ESP 캡슐화 파싱에 대한 지원을 추가합니다.
문제 해결 도구 키트
문제 해결을 시작하기 전에 문제 해결 프로세스를 지원하기 위해 정보를 추출할 수 있는 유틸리티를 확인하는 것이 중요합니다. 이 섹션에서는 Windows 2000, Windows XP, Windows Server 2003 도움말 또는 Microsoft Windows Server™ 2003 웹 사이트의 문제 해결 도구 (영문)페이지(www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_IPSec\_tools.asp)를 통해 이용할 수 있는 정보를 반복하지는 않겠습니다.
참조된 Troubleshooting tools 페이지 또는 운영 체제 버전 간 요약 정보를 얻는 것이 유용한 곳에서 쉽게 찾을 수 없는 경우에 상세한 도구 정보만이 제공됩니다.
IP 보안 정책 관리 MMC 스냅인
IP 보안 정책 관리 MMC 스냅인이 로컬 IPsec 정책 또는 Active Directory에 저장된 IPsec 정책을 만들고 관리하는 데 사용됩니다. 또한, 원격 컴퓨터에서 IPsec 정책을 수정하는 데 사용될 수 있습니다. IP S보안 정책 관리 MMC 스냅인은 Windows Server 2003, Windows XP, Windows 2000 Server 및 Windows 2000 Professional 운영 체제에 포함되어 IPsec 정책의 세부 사항, 필터, 필터 목록 및 필터 작업을 검토하고 편집하며 IPsec 정책을 할당 및 할당 해제하는 데 사용될 수 있습니다.
IP 보안 모니터 MMC 스냅인
IP 보안 모니터 MMC 스냅인은 IPsec의 통계와 할성 SA를 보여 줍니다. 또한 다음 IPsec 구성 요소에 대한 정보를 확인하는 데 사용됩니다.
IKE 주 모드 및 빠른 모드
로컬 또는 도메인 IPsec 정책
컴퓨터에 적용되는 IPsec 필터
이 스냅인이 Windows XP 및 Windows Server 2003 운영 체제에 속하는 경우 Windows XP와 Windows Server 2003 버전 간에 기능 및 인터페이스 차이점이 있습니다. 또한, Windows Server 2003 버전에는 다음과 같은 추가 기능이 있습니다.
정책 이름, 설명, 마지막 수정 날짜, 저장, 경로, OU 및 그룹 정책 개체 이름을 포함한 활성 IPsec 정책에 대한 세부 정보를 제공합니다. Windows XP에서 동일한 정보를 얻으려면 IPseccmd 명령줄 도구를 사용해야 합니다(이 섹션 후반에 설명).
통계는 하나의 디스플레이보다는 각 모드의 폴더에서 주 모드 또는 빠른 모드에 대해 별도로 제공됩니다.
참고: Windows 2000에서 IP 보안 모니터는 자체 GUI(그래픽 사용자 인터페이스)가 있는 독립 실행형 실행 프로그램(IPsecmon.exe)입니다. 이 도구와 사용 방법은 https://support.microsoft.com/kb/257225에서 제공되는 Microsoft 기술 자료 문서 257225, "Basic IPSec troubleshooting in Microsoft Windows 2000 Server"를 참조하십시오.
XP에서 사용 가능한 이 스냅인에 대한 업데이트는 https://support.microsoft.com/?kbid=818043에서 제공되는 Microsoft 기술 자료 문서 818043, "L2TP/IPSec NAT-T update for Windows XP and Windows 2000"을 참조하십시오. 이 업데이트를 사용하면 Windows XP에서 Windows Server 2003 컴퓨터를 볼 수 있습니다. 업데이트된 IP 보안 모니터 MMC 스냅인은 Windows Server 2003에 만들어진 고급 기능(예: Diffie-Hellman 그룹 정보, 인증서 매핑 및 동적 필터)을 읽을 수는 있지만 편집할 수는 없습니다. 자세한 내용은 참조된 KB 문서를 참조하십시오.
Netsh
Netsh는 사용자가 네트워크 구성을 표시 또는 수정할 수 있는 명령줄 스크립팅 유틸리티입니다. 또한, Netsh를 로컬 또는 원격으로 사용할 수도 있습니다. Netsh는 Windows 2000, Windows XP 및 Windows Server 2003에서 사용할 수 있습니다. 단, Windows Server 2003 버전은 향상되어 IPsec 진단 및 관리 기능을 제공할 수 있습니다. IPsec에 대한 Netsh 명령은 Windows Server 2003에서만 사용할 수 있으며, Windows XP의 Ipseccmd를 대체하고 Windows 2000의 Netdiag를 대체합니다.
Ipseccmd
Ipseccmd는 IP 보안 정책 MMC 스냅인에 대한 대체 명령줄입니다. Windows XP에서만 사용할 수 있으며 Windows XP 서비스 팩 2를 사용할 경우 이 도구의 추가 기능을 활용할 수 있습니다.
Ipseccmd는 Windows XP CD의 지원 도구 폴더에서 설치해야 합니다. 업데이트된 버전은 Windows XP SP2에서만 사용할 수 있으며 Windows XP SP2 CD의 지원 도구 폴더로부터 설치해야 합니다. SP2 이전 버전은 업데이트된 컴퓨터에서 작동되지 않고 업데이트된 버전은 SP2 이전 컴퓨터에서 작동되지 않습니다.
업데이트된 Ipseccmd 유틸리티는 다음 기능을 가지고 있습니다.
IKE 로깅을 동적으로 켜고 끕니다.
현재 할당된 정책에 대한 정보를 표시합니다.
영구적인 IPsec 정책을 만들 수 있게 합니다.
현재 할당되고 활성화된 IPsec 정책을 표시할 수 있습니다.
업데이트된 Ipseccmd 유틸리티에 대한 자세한 내용은 앞서 언급한 Microsoft 기술 자료 문서 818043을 참조하십시오.
모든 IPsec 정책 설정 및 진단 통계를 표시하려면 다음 구문을 사용하십시오.
ipseccmd show all
현재 할당되고 활성화된 IPsec 정책(로컬 또는 Active Directory)을 표시하려면 다음 구문을 사용하십시오.
ipseccmd show gpo
참고: 이 명령은 SP2 버전에서만 작동됩니다.
Windows XP SP2에서 디버그 로깅을 활성화하려면 다음 구문을 사용하십시오.
ipseccmd set logike (IPsec 서비스 다시 시작 필요 없음)
디버그 로깅을 끄려면 다음 구문을 사용하십시오.
ipseccmd set dontlogike (IPsec 서비스 다시 시작 필요 없음)
참고: Ipseccmd를 사용해야 Windows XP SP2에서 Oakley 로깅을 활성화할 수 있으며 위 명령은 SP2 이전 컴퓨터에서는 작동하지 않습니다.
Netdiag
Netdiag는 명령줄 진단 도구로서 IPsec 정보를 포함하여 네트워크 연결 및 구성을 테스트하는 데 사용됩니다. Netdiag는 Windows 2000, Windows XP 및 Windows Server 2003에서 사용할 수 있지만 해당 기능은 운영 체제 버전에 따라 다릅니다. Windows Server 2003의 경우 Netdiag에는 더 이상 IPsec 기능이 포함되지 않습니다. 대신, netsh ipsec 컨텍스트를 사용할 수 있으며 기본 네트워크 테스팅도 Netsh를 통해 실행할 수 있습니다. 모든 운영 체제 버전에 대해 Microsoft 다운로드 센터를 확인하여 항상 최신 버전을 사용하는 것이 중요합니다. Netdiag는 사용하는 Windows 운영 체제 CD에 관계없이 Supprot Tools 폴더에서 설치해야 합니다.
참고: Windows XP SP2가 설치된 경우 Netdiag가 업데이트되지 않습니다.
IPsec 문제 해결에 대한 Netdiag의 관련성은 운영 체제 버전에 따라 다릅니다. 기능의 차이점은 다음 표에 설명되어 있습니다.
표 7.1: 운영체제별 Netdiag IPsec 기능차이
명령 | 설명 | Windows 2000? | Windows XP? | Windows 2003? |
---|---|---|---|---|
netdiag /test:ipsec |
할당된 IPsec 정책 확인 | 필요함 | 필요함 | 아니요** |
netdiag /test:ipsec /debug |
활성 IPsec 정책, 필터 및 빠른 모드 통계 표시 | 필요함 | 예* | 아니요** |
netdiag /test:ipsec /v |
활성 IPsec 정책, 필터 및 주 모드 통계 표시 | 필요함 | 예* | 아니요** |
도구 | 지원되는 운영 체제 | 실행 방법 | 역할 | 추가 정보 |
---|---|---|---|---|
Ipsecpol.exe | Windows 2000만 | Windows Server 2000 Resource Kit | 디렉터리 또는 레지스트리에서 IPsec 정책 구성 | Windows 2000 Resource Kit 도구 도움말 |
Gpresult | Windows 2000, Windows Server 2003, Windows XP |
Windows 2000– Resource Kit(Windows XP 및 Windows Server 2003의 경우 운영 체제의 일부임) |
그룹 정책이 최종 적용된 시기 확인 | Windows 2000 Resource Kit Tools 도움말, Windows XP 및 Windows Server 2003 도움말 |
RSoP(정책의 결과 집합) MMC 스냅인 |
Windows Server 2003, Windows XP |
운영??????? 체제의 일부 | 컴퓨터 또는 그룹 정책 컨테이너의 구성원에 대한 IPsec 정책 확인 | Windows Server 2003 도움말 |
Srvinfo | Windows 2000, Windows Server 2003, Windows XP |
Windows 2000 및 Windows Server 2003 Resource Kit |
서비스, 장치 드라이버 및 프로토콜 정보 | Windows Server 2003 Resource Kit Tools 도움말 |
PortQry | Windows 2000, Windows Server 2003, Windows XP |
Windows Server 2003 Resource Kit |
네트워크 포트 상태 리포팅 | https://support. microsoft.com/ kb/310099 |
NLTest | Windows 2000, Windows Server 2003, Windows XP |
지원 도구 | 트러스트 관계 및 Netlogon 보안 채널 테스트 | Windows Server 2003 Support Tools 도움말 |
Klist | Windows 2000, Windows Server 2003, Windows XP |
Windows 2000 및 Windows Server 2003 Resource Kit |
Kerberos 티켓 리포팅 | Windows Server 2003 Resource Kit Tools 도움말 |
Pathping | Windows 2000, Windows Server 2003, Windows XP |
운영 체제의 일부 | 네트워크 연결 및 경로 테스트 | Windows 도움말 |
LDP | Windows 2000, Windows Server 2003, Windows XP |
지원 도구 | Active Directory 테스팅용 LDAP 클라이언트 | Windows Server 2003 Support Tools 도움말 |
IPsec과 ICMP 기반 도구 사용
Windows XP 및 Windows Server 2003 Ping, Pathping과 Tracert는 IPsec을 인식하지만, 소프트 SA가 구축되기 전에는 제대로 작동하지 않습니다(선택 취소가 허용된 경우). IPsec SA가 이러한 유틸리티에서 사용된 ICMP 트래픽을 성공적으로 캡슐화하도록 협상된 경우 클라이언트와 목표 대상 간 중간 홉(라우터)을 검색할 수 없게 됩니다. Ping 패킷 손실에 대한 계산은 IKE가 성공적으로 대상과 IPsec SA 쌍을 협상하는 데 필요한 시간 동안 손실된 패킷을 보여줄 수 있습니다. 각 중간 홉에 대한 패킷 손실에 대한 계산은 ICMP 트래픽이 IPSec에 의해 캡슐화된 경우에는 사용할 수 없게 됩니다.
이러한 ICMP 유틸리티가 IPsec 드라이버가 아웃바운드 ICMP 에코 요청 패킷에 대한 IPsec 필터가 일치하고 따라서 IKE가 보안을 협상하도록 요청했는지를 검색하도록 제공됩니다. 이러한 상황이 발생하면 "IP 보안을 협상 중입니다."라는 메시지가 유틸리티에 의해 표시됩니다. Windows 2000의 알려진 버그로 인해 Ping 유틸리티는 다음 에코 요청을 다시 시도하기 전에 적절한 기간 동안 대기하지 않을 수 있습니다. 즉, 이는 소프트 SA가 구축될 때 까지 3초 동안 기다리는 대신 명령이 즉시 완료된다는 것을 의미합니다. Windows XP와 Windows Server 2003의 Ping 유틸리티는 다음 에코 요청이 전송되기 전까지 예상되신 시간(초)을 대기합니다.
다음과 같은 상황에는 "IP 보안을 협상 중입니다." 메시지가 표시되지 않습니다.
차단 필터로 인해 IPsec 드라이버가 아웃바운드 ICMP 패킷을 손실하는 경우.
허용 필터 또는 소프트 SA로 인해 IPsec 드라이버를 통해 ICMP 패킷이 보호되지 않은 채로 통과되는 경우.
IPsec 드라이버가 아웃바운드 패킷을 검색하지 못하는 경우(예를 들어, IPsec 드라이버 위치 계층에서 손실되는 경우).
참고: ICMP를 사용하는 일부 도구는 IPsec에서 보안을 협상 중임을 검색할 수 없을 수 있고 일관성이 결여된 오류 있는 결과가 발생할 수 있습니다.
IPsec 문제 해결 프로세스
계층 1 지원으로 문제가 분명하게 확인되지 않은 경우, 계층 2 지원은 다음 섹션에서 신속하게 관련 문제 해결 절차를 파악할 수 있게 됩니다. 이 모델에서 계층 1 지원은 주로 클라이언트 기반 액세스 문제를 취급합니다. 서버의 관리 담당자가 기본 네트워크 연결 진단을 수행할 수 있으며 계층 2 지원을 건너뛸 수 있을 것으로 예상됩니다. 하지만, 각 조직은 해당 지원 환경에 맞게 모델을 조정해야 합니다. 계층 2 지원은 통신 오류가 발생하는 지점을 확인한 다음 시스템 아키텍처 상에서 관련 가능성을 조사해야 합니다.
조직에서 문제 해결 프로세스의 일부로 제공된 스크립트를 사용하고 있는 경우 해당 문제를 진단하는 데 사용될 수 있는 수많은 텍스트 로그 파일에 액세스하게 됩니다. 스크립트가 생성하는 파일에 대한 설명은 다음 표에 제공됩니다.
표 7.3: IPsec_Debug.vbs 스크립트에서만든파일
파일 이름 | 설명 | |||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
이벤트 텍스트는 IPsec 서비스를 다시 시작하면 문제를 해결할 수 있지만, 대부분의 패킷 손실 문제의 원인은 IPsec 시스템이 아닐 수 있음을 나타냅니다. 서비스를 다시 시작해도 문제가 해결되지 않으며 더 많은 문제가 발생할 수 있습니다. 문제의 원인이 IPsec 관련 문제인지를 확인하기 위한 최후의 수단으로서만 IPsec 서비스를 중단해야 합니다. 이러한 오류를 확인하려면 원본 IP 주소, 시간, 어댑터 또는 오류가 발생하는 상황의 패턴을 확인하기 위해 조사해야 합니다. 패킷의 수가 적으면 이 오류를 조사할 필요는 없습니다. 로컬 시스템에서 손상의 원인을 제거한 후 시작하는 것이 중요합니다. IPsec 오프로드를 비활성화하고, 고급 속성에서 제공되는 구성을 사용하여 고급 또는 성능 기능을 비활성화하고 공급업체가 제공하는 최신 NIC 드라이버, 특히 Windows Hardware Quality Lab에서 인증하고 서명한 드라이버를 사용해 보십시오. 그런 다음, 패킷이 전송되는 네트워크 경로의 특징을 조사하십시오. TCP/IP 패킷 취소 통계와 동일한 구성을 사용하는 다른 컴퓨터에서 패킷 손상의 다른 증거를 찾으십시오. Datagrams Received Discarded의 IP 카운터는 IPsec이 패킷을 취소할 때마다 올라갑니다. 참고: TCP/IP 오프로드 기능을 비활성화하려면 Windows 2000, Windows XP 또는 Windows Server 2003이 실행되는 컴퓨터에 다음 레지스트리 키를 사용하십시오. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\ (이 키는 둘 이상의 줄로 표시될 수 있지만 레지스트리에서는 한 줄임) 이벤트 오류 4268이벤트제목: 잘못된보안매개변수색인(SPI)과함께수신된패킷 Windows 2000과 Windows XP(SP1 포함)의 IKE 구현에는 특정 상황에서 패킷이 손실되는 알려진 문제가 있습니다. 이 문제는 Windows Server 2003 및 Windows XP SP2에서 해결되었습니다. 상위 계층 프로토콜 통신의 영향은 프로토콜이 이미 다양한 이유로 일부 패킷 손실이 발생한다는 사실이 알려져 있기 때문에 일반적으로 무시할 수 있습니다. 이 문제는 다음과 같은 경우일 수 있습니다.
이벤트 텍스트에서는 문제를 해결하려면 IPsec 서비스를 다시 시작할 것을 제안하지만 이러한 유형의 패킷 손실의 원인은 IPsec 시스템의 설계가 문제입니다. 서비스를 다시 시작해도 문제가 해결되지 않으며 더 많은 문제가 발생할 수 있습니다. 앞서 언급한 것처럼 문제의 원인이 IPsec 관련 문제인지를 확인하기 위한 최후의 수단으로서만 IPsec 서비스를 중단해야 합니다. IPsec 보안 매개 변수 색인(SPI)은 보안 연결이 패킷을 처리하기 위해 사용되어야 한다는 것을 응답자에게 알려 주는 패킷의 레이블입니다. SPI가 인식되지 않은 경우 "불량 SPI"로 나타납니다. 이 오류는 수신 컴퓨터가 패킷을 처리한 IPsec SA가 없는 경우 수신된 IPsec 포맷 패킷을 수신했음을 나타냅니다. 따라서, 해당 패킷을 취소해야 합니다. 패킷이 취소될 수 있을지라도 사소한 오류 메시지입니다. 생성된 불량 SPI 이벤트의 수는 컴퓨터의 사용 정도 및 재지정 시 IPsec 보호 데이터의 전송 속도에 따라 다릅니다. 다음 상황은 이러한 이벤트를 더 많이 생성할 수 있습니다.
이로써 IPsec 보호 TCP 연결이 손실된 데이터를 다시 전송하기 위해 몇 초씩 느려질 수 있습니다. 일부 패킷이 손실되는 경우 TCP는 해당 연결을 위해 혼잡 방지 모드를 시작할 수 있습니다. 몇 초 안에 완전한 속도로 연결이 다시 이루어져야 합니다. 파일 복사, 단말기 서버 및 기타 TCP 기반 응용 프로그램은 이러한 몇 개의 손실된 패킷을 알아 채지 못합니다. 단, TCP가 고속 링크에서 패킷 버스트를 손실해서 연결을 다시 설정해야 하는 경우에 나타납니다. 연결이 다시 설정되면 소켓은 종료되고 응용 프로그램은 파일 전송을 중단시킬 수 있는 연결 중단을 통보 받습니다. 이러한 오류의 일반적인 원인은 IKE가 IPsec SA 키 입력을 동기화하는 방법과 관련된 Windows 2000의 알려진 문제입니다. IKE 빠른 모드 초기자가 응답자보다 빠른 경우 초기자는 새로운 IPsec 보안 패킷을 응답자가 수신할 준비하는 것보다 더 빠르게 전송할 수 있습니다. IETF(Internet Engineering Task Force) RFC(IPsec Requests for Comment)에 명시된 것처럼 IKE가 새 IPsec 보안 연결 쌍을 구축하는 경우 초기자는 새 아웃바운드 IPsec SA를 사용하여 데이터를 전송하고 느려진 응답자는 아직 인식되지 않은 IPsec 보호 트래픽을 수신합니다. IKE 키 재지정이 경과된 시간과 IPsec SA 보호 하에서 전송된 데이터 양 모두에 의존하기 때문에 불량 SPI 이벤트는 반드시 일정한 간격은 아닐지라도 정기적으로 나타날 수 있습니다 타사 상호 운용성 시나리오에서 불량 SPI 오류는 IPsec 피어가 삭제 오류를 수용하여 처리하지 않았거나 IKE 빠른 모드 협상의 마지막 단계를 완료하지 못하는 문제를 나타낼 수 있습니다. 이 오류는 또한 공격자가 컴퓨터에 스푸핑 또는 주입된 IPsec 패킷으로 컴퓨터를 플러딩하고 있음을 나타낼 수도 있습니다. IPsec 드라이버는 이러한 오류를 카운트하여 불량한 SPI 활동을 보관하기 위해 기록합니다. LogInterval 레지스트리 키는 이러한 이벤트를 조사하여 취소하는 데 사용될 수 있습니다. 문제 해결 시 최소 값(60초 간격)으로 설정하여 이벤트가 신속하게 등록되도록 합니다. Windows 2000의 경우 IPsec 정책 에이전트 서비스를 중지한 후 다시 시작하여 IPsec 드라이버를 다시 로드할 수 있습니다. Windows XP 및 Windows Server 2003의 경우 컴퓨터를 다시 시작해야 TCP/IP 및 IPsec 드라이버를 다시 로드할 수 있습니다. Windows 2000의 경우 이러한 이벤트는 현재 레지스트리 키 설정 또는 패치로 제거할 수 없습니다. Windows XP 및 Windows Server 2003의 기본 설정은 이러한 이벤트를 보고하지 않는 것입니다. 이러한 이벤트를 보고하려면 netsh ipsec 명령줄 옵션 또는 레지스트리 키를 통해 직접 IPsecDiagnostics 구성을 사용하여 활성화 수 있습니다. 다음 방법을 사용하여 이러한 오류를 최소화할 수 있습니다.
이러한 옵션이 작동하지 않고 Windows XP SP2 또는 Windows Server 2003 업그레이드가 가능하지 않은 경우 Microsoft 기술 지원 서비스에 현재 사용 가능한 옵션이 있는지 문의하십시오. 이벤트 오류 4284이벤트제목: 보안이유지되야할안전한패킷 이 이벤트는 IPsec 보안 연결이 패킷이 IPsec 보안 연결 내부에 있어야 하는 일반 텍스트로 수신되는 경우에 구축되었음을 나타냅니다. 이러한 패킷은 취소되어 IPsec 보안 연결에 대한 패킷 주입 공격을 방지합니다. Datagrams Received Discarded에 대한 IP 카운터가 증가해도 IPsec은 이러한 이유로 손실된 패킷을 기록하는 카운터는 가지고 있지 않습니다. 이러한 문제는 다음과 같이 나타나는 시스템 로그 오류 이벤트 4284에서만 확인할 수 있습니다. "Received packet(s) in the clear from which should have been secured. 오류가 계속되는 경우 이 시스템에서 IPsec 정책 에이전트 서비스를 중지한 다음 다시 시작하십시오. 이전 오류에 대한 이벤트 제안 사항을 따라서는 안 됩니다. IPsec 서비스를 다시 시작해도 오류가 수정될 가능성은 없습니다. 가장 가능성이 있는 오류의 원인은 정책 구성 문제일 수 있습니다. 즉, 보다 구체적인 아웃바운드 허용 필터로 인해 한쪽에서 안전한 트래픽을 전송하는 경우 문제가 발생할 수 있습니다. 예를 들어, 클라이언트에 서버와 관련한 모든 트래픽의 보안을 유지하는 필터가 있고 서버 정책에서 일반 텍스트 HTTP 응답을 허용하는 보다 구체적인 필터가 있는 경우, 서버에서는 아웃바운드 HTTP 패킷을 제외한 모든 클라이언트 트래픽에 보안을 유지합니다. 클라이언트에서는 이러한 패킷을 수신하지만 보안상의 이유로 무시합니다. 클라이언트에서는 서버로 또는 서버에서 전송되는 모든 트래픽이 IPsec SA 쌍 내부 보안이 유지될 것으로 기대하기 때문입니다. 이 이벤트는 두 컴퓨터 간 트래픽이 전송되지만 피어 하나에서 IPsec 보안 연결 또는 IPsec 드라이버의 필터를 삭제하게 되는 타사 클라이언트 상호 운영에서 발생하며 정상 운영 시에도 발생할 수 있습니다. 예를 들어, 한 측은 IPsec 정책 할당을 취소하거나 IPsec SA 및 필터를 제거하는 정책 업데이트가 발생할 수 있습니다. 한 측의 피어가 활성 상태의 상위 레벨 프로토콜 통신이 발생하는 동안 이미 필터를 제거했기 때문에 IKE 삭제 메시지는 도착하여 오류를 유발하는 일반 텍스트 패킷이 도착하기 적에 다른 피어에 의해 처리되지 않을 수 있습니다. 또한, 삭제 메시지를 처리하는 데 걸리는 시간은 피어 컴퓨터의 현재 부하에 따라 다릅니다. 이러한 오류 메시지는 IPsec 보안 연결이 전체 필터 집합이 IPsec 드라이버에 적용되기 전에 구축될 수 있기 때문에 대형 정책이 로드되는 동안 발생할 수 있습니다. 이러한 상황이 발생하면 IPsec SA는 정책 로딩이 완료된 후 제외될 트래픽에 대해 협상할 수 있습니다. 오류 메시지에는 특정 활성 인바운드 보안 연결에 대한 트래픽 선택기와 일치(고의적 또는 우연히)하는 일반 텍스트 트래픽이 전송되는 주입 공격을 나타내는 것일 수도 있습니다. 이 문제는 IPsec 정책 설계자에게 문제를 제기해야 합니다. IPsec NAT-T Timeouts When Connecting Over Wireless NetworksWindows Server 2003 또는 Windows XP 기반 클라이언트 컴퓨터가 IPsec NAT-T를 사용하는 무선 네트워크에서 서버에 연결하려고 할 때 연결 시간이 초과되는 문제가 최근에 발견되었습니다. 자세한 내용은 Microsoft 기술 자료 문서 885267( https://support.microsoft.com/?kbid=885267)를 참조하십시오. 올바른 IPsec 정책 확인이 섹션에서는 IPsec 정책 할당 및 해석과 관련된 문제를 검사하는 단계를 설명합니다. 올바르게 해석된 IPsec 정책의 필터는 IPsec이 패킷을 허용하고 차단하며 원격 IP 주소의 IPsec SA가 트래픽을 보안하도록 협상하기 위해 IKE를 실행하도록 IPsec 드라이버에 있어야 합니다. 응답자로서 IKE를 안내하기 위한 적합한 필터가 있어야 합니다. 이 솔루션에서 IPsec 정책 설계에서는 모든 트래픽(ICMP 제외)이 IPsec으로 보호되어야 합니다. 정책에는 또한 제외 목록의 각 IP 주소에 대한 필터도 포함됩니다. 참고: Windows 2000의 경우에 IPsec 서비스는 IPsec 정책 에이전트로 불려지나 Windows XP 및 Windows Server 2003의 경우에 이 서비스는 IPsec 서비스로 불려집니다. 지원 엔지니어는 IPsec에 위한 그룹 정책의 사용, IPsec 정책 우선 순위 및 IPsec 정책 해석에 대해 잘 알고 있어야 합니다. 이러한 주제에 대한 정보 참조는 이 장 후반의 "추가 정보" 섹션에서 확인할 수 있습니다. IPsec에 대한 그룹 정책의 문제 해결그룹 정책은 도메인 기반 IPsec 정책을 도메인 구성 할당에 대한 메커니즘을 제공합니다. 도메인 구성원 별로 할당된 GPO의 검색은 호스트 컴퓨터에 대한 IPsec 정책 할당을 구현하는 것입니다. 따라서, GPO 검색의 문제로 인해 컴퓨터가 적합한 IPsec 정책을 적용하지 못하게 됩니다. IPsec 정책 관리에 대한 그룹 정책에 발생하는 일반적인 문제는 다음이 포함됩니다.
복제는 IPsec 정책, GPO, GPO IPsec 정책 할당 및 IPsec 정책의 속성 변경과 보안 그룹 구성원 정보와 같은 Active Directory의 IPsec 관련 개체 수로 인해 지연될 수 있습니다. 도메인 구성원에 서서히 영향을 끼치기 때문에 IPsec 구성 변경의 영향을 평가하기 위해 주의 깊게 계획해야 합니다. 그룹 정책 문제 해결 절차에 대한 자세한 내용은 다음 백서를 참조하십시오.
도메인 기반 IPsec 정책 할당은 다음 두 가지 구성 요소로 구현됩니다.
IPsec 정책 관리 MMC 스냅인은 선택한 IPsec 정책 정보를 LDAP Distinguished Name(DN)으로 참조된 GPO의 IPsec 구성 요소에 저장함으로써 GPO에 할당합니다. CN=IPSEC,CN=Windows,CN=Microsoft,CN=Machine,CN={GPOGUID}, 할당된 IPsec 정책의 LDAP DN은 GPO 속성 ipsecOwnersReference에 저장됩니다. 그룹 정책이 컴퓨터에 적용한 GPO 목록을 검색하는 경우 IPsec 정책 할당이 포함된 GPO는 다음 위치의 IPsec 클라이언트측 확장자에 대한 GUID의 레지스트리에 저장됩니다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft IPsec CSE는 IPsec 정책 할당이 GPO에 있을 때마다 보안 정책 CSE에 의해 활성화됩니다. 보안 정책을 처리하는 문제가 있는 경우 IPsec 정책을 처리하는 데 문제가 있을 수 있습니다. 각 그룹 정책 확장자에 대한 GUID를 찾으려면 다음 레지스트리 하위를 보십시오. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 그룹 정책 CSE에 대한 IPsec 배포 관련 GUID는 다음과 같습니다.
IPsec CSE는 LDAP DN와 할당된 IPsec 정책에 대한 관련 문제를 다음 레지스트리 키에 복사합니다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ 여러 GPO에 IPsec 정책 할당이 포함된 경우 IPsec CSE는 각 GPO에 대해 호출됩니다. GPO 우선 순위 규칙은 IPsec CSE가 처리할 GPO를 수신하는 순서로 적용됩니다. 이 순서는 GPO 자체의 설정과 일부 할당된 GPO가 검색되지 못하게 하는 Read ACL에 의해 영향을 받을 수 있습니다. IPsec CSE가 호출될 때 마다 GPO의 IPsec 관련 정보(DN 포함)는 이 레지스트리 키에 덮어씁니다. 모든 GPO가 처리되면 CSE는 도메인 기반 IPsec 정책이 할당되었음을 IPsec 서비스에 신호를 보냅니다. 그런 다음, IPsec 서비스는 GPTIPsecPolicy\DSIPSECPolicyPath 값을 읽어 적합한 IPsec 정책을 검색합니다. IPsec 서비스는 계획해서 할당된 IPsec 정책 디렉터리 개체의 최종 업데이트 시간에 기반하여 할당된 IPsec 정책의 변경 사항을 폴링합니다. 서비스는 최종 도메인 정책으로서 캐시된 IPsec 정책을 유지 관리합니다. 할당된 IPsec 정책의 이름이 실제로 사용 중인(및 캐시된) IPsec 정책의 이름과 동기화되지 않도록 하는 알려진 문제가 있습니다. IPsec 서비스는 GPTIPsecPolicy 레지스트리 키(예: DSIPSECPolicyName)의 정보를 업데이트하지 않지만, IPsec 정책의 이름은 IPsec CSE가 호출되는 경우에만 변경됩니다. 단, IPsec CSE가 GPO의 IPsec 정책 할당 DN 속성의 변경 사항이 없으면 호출되지 않습니다. 이 레지스트리 값은 IPsec 모니터 MMC 스냅인과 명령줄 도구에서 사용되어 현재 할당된 IPsec 정책의 이름을 보고합니다. 따라서, IPsec 도구는 현재 사용 중이 아닌 CSE에서 마지막 처리되었던 IPsec 정책 이름을 보고할 수 있습니다. 이 버그에 대해서는 몇 가지 해결 방안이 있습니다. 자세한 내용은 이 가이드의 5장, "격리 그룹을 위한 IPsec 정책 만들기"의 "정책 버전 관리" 섹션을 참조하십시오. 참고: Microsoft는 IPsec 규칙 명명 규칙에는 이름에 버전 번호를 포함하여 현재 할당된 정책 버전을 쉽게 확인할 수 있도록 하는 것이 좋습니다. 그렇지 않으면 정책 이름이 동일하게 유지되는 경우 쉽게 버전 변경 사항을 알 수 없게 됩니다. 그룹 정책을 강제로 새로 고침한 후에도 적절한 IPsec 정책이 할당되지 않으면 소스 Userenv 또는 SceCli의 응용 프로그램 로그 오류에서는 그룹 정책 처리 문제를 나타냅니다. 더욱 자세하게 이 문제를 조사하려면 그룹 정책 로깅을 활성화해야 합니다. 그룹 정책 로그와 로깅 레벨에는 다양한 유형이 있습니다. 보안 CSE에 대한 로그는 IPsec CSE에서 보고한 오류 뿐 아니라 오류 처리 보안 정책을 확인하는 데 필요합니다. IPsec CSE에 명시적인 로그는 없습니다. 그룹 정책이 어떤 도메인 컨트롤러 IP 주소가 각 개체의 검색에 사용되고 있는지를 확인하기 위해 새로 고침할 때 트래픽을 수집하기 위해 네트워크 모니터 추적이 필요할 수 있습니다. 다음과 같은 문제가 발생할 수 있습니다.
보안 CSE에 대한 자세한 로그 파일을 만들려면 다음 레지스트리 키를 사용하십시오. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft ExtensionDebugLevel 항목을 0x2의 REG_DWORD 값으로 설정합니다. 로그 파일이 %windir%\Security\Logs\Winlogon.log에 만들어집니다. 참고: 잘못된 DNS 항목은 컴퓨터 및 사용자 로그온이 성공한다 해도 그룹 정책이 Active Directory로부터 다운로드되지 않는다는 것을 의미할 수 있습니다. DNS 문제에 대한 자세한 내용은 "이름 확인 문제" 섹션을 참조하십시오. IPsec 서비스 문제 해결IPsec 서비스는 IPsec 정책 관리 MMC 스냅인을 사용하기 위해 실행될 필요가 없습니다. 단, 관리자가 로컬 정책을 할당하는 경우 정책할당 열에 오류가 표시됩니다. 다음과 같은 공통적인 문제로 인해 IPsec 서비스가 시작 동안 실패할 수 있습니다.
Windows 2000 IPsec 구현은 IPsec 정책 저장소(polstore.dll)라는 모듈을 사용하여 IPsec 정책 에이전트와 IPsec 정책 관리 MMC 스냅인이 하나의 모듈을 사용하여 모든 세 가지 지원되는 정책 저장 위치(로컬, 원격 컴퓨터 및 Active Directory)에 액세스합니다. 이 설계는 새 IPsec 정책 유형(시작 정책 및 영구 정책) 및 SPD(Security Policy Database)가 추가로 Windows XP 및 Windows Server 2003에서 변경 및 개선되어 IPsec 모니터 쿼리 및 IKE 쿼리에 대한 실시간 IPsec 정책 상태를 유지 관리합니다. 이 구조적 변경은 Windows 2000에 기록된 IPsec 이벤트의 텍스트가 Windows XP 및Windows Server 2003에서 변경되었다는 것을 의미합니다. 또한, 원격 권리에 사용된 RPC 인터페이스에 상당한 변경 사항이 있었음을 의미합니다. Windows Server 2003의 경우 RPC 인터페이스가 다시 상당히 업데이트되었습니다. 따라서, IPsec 정책 관리 MMC 스냅인은 동일한 운영 체제 버전이 설치되지 않은 원격 컴퓨터에 연결할 수 없습니다. 또한, Windows XP SP2 및 Windows Server 2003 SP1의 보안 모델은 기본적으로 원격 RPC 연결로 제한하고 Windows 방화벽을 기본적으로 활성화되도록 변경됩니다. 자세한 내용은 Changes to Functionality in Microsoft Windows XP Service Pack 2 - Part 2: Network Protection Technologies(www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx)를 참조하십시오. 이러한 변경 사항으로 인해 IPsec 서비스의 원격 RPC 인터페이스는 안전 수단으로서 사용되지 않았습니다. 따라서 IPsec 모니터 및 IPsec 정책 관리 MMC 스냅인은 이러한 컴퓨터에서 원격 모니터링을 수행할 수 없습니다. IPsec의 원격 관리는 IPsec MMC 스냅인을 원격 프로세스로서 실행하는 원격 데스크톱(터미널 서버)을 사용하여 수행해야 합니다. Windows 2000의 경우, 기본적으로 IPsec 드라이버는 시작 프로세스 종료 후에 정책 에이전트 서비스에 의해 로드됩니다. IPsec 드라이버는 정책 에이전트가 IPsec 드라이버에게 활성 정책을 처음 알리기 전까지 IP 패킷 처리의 일부가 아닙니다. 활성 IPsec 정책이 없는 경우 IPsec 드라이버는 인바운드 및 아웃바운드 IP 트래픽 처리에 포함되지 않습니다. Windows XP 및 Windows Server 2003의 경우 이 설계는 시작 프로세스 동안 TCP/IP 드라이버에 의해 IPsec 드라이버가 로드되도록 개선되었습니다. 이 드라이버는 IPsec 서비스로 필터가 로드될 때까지 패킷을 처리하지 않습니다. Windows 2000의 경우 서비스 시작 문제에 대해 IPsec 정책 에이전트에 의해 오류가 기록될 수 있습니다. 이러한 오류에는 다음이 포함됩니다.
Windows XP와 Windows Server 2003의 경우에 다음 IPsec 서비스 오류 이벤트는 이 서비스를 시작할 수 없음을 나타냅니다.
IPsec 정책 검색 문제 해결IPsec 서비스는 인증 및 암호화된 TCP LDAP 쿼리를 사용하여 모든 플랫폼에 대해 할당된 IPsec 정책을 다운로드합니다. LDAP 서명 및 Kerberos 세션 키를 사용한 봉인 옵션이 있습니다. 따라서, 로컬 시스템으로 실행되는 IPsec 서비스는 Active Directory 서버에서 LDAP 서비스에 대한 Kerberos 서비스 티켓을 획득할 수 있어야 합니다. 할당된 적절한 IPsec 정책은 GPTIPsecPolicy 레지스트리 키의 IPsec CSE로 저장되도록 확인되고 서비스가 실행되는 경우 다음 문제로 인해 IPsec 서비스가 Active Directory에서 해당 정책을 검색할 수 없게 됩니다.
IPsec 정책 관리 MMC 스냅인에 알려진 문제는 Active Directory 또는 원격 컴퓨터에서 IPsec 정책을 관리할 때 발생합니다. MMC 스냅인이 느린 연결에서 실행되는 경우 대용량 정책에 모든 변경 사항을 저장하는 데 시간이 많이 걸릴 수 있습니다. MMC 스냅인 창이 닫혀 있는 경우 아직 저장되지 않은 IPsec 정책 개체 또는 변경 사항이 손실됩니다. 이 기능으로 IPsec 정책이 손상될 수 있습니다. IPsec 정책 관리 MMC 스냅인이 느린 링크에서 실행되는 경우 원격 데스크톱 세션을 사용하여 이 스냅인을 로컬 프로세스로 실행하십시오. 일반적으로 IPsec 정책을 만드는 명령줄 도구 스크립트는 테스트되어야 합니다. 테스트하려면 로컬 시스템에 정책을 만들고 IPsec 정책 관리 MMC 스냅인으로 검토하여 무결성을 확인하십시오. 테스트 컴퓨터는 로컬 IPsec 정책을 적용하고 IPsec 모니터 MMC 스냅인의 세부 사항을 조사하여 예정되는 필터 주문을 확인해야 합니다. IPsec 정책 읽기 오류 및 손상의 문제를 해결하기 위한 절차는 저장소 위치에 따라 다릅니다. 이 솔루션은 도메인 기반 IPsec 정책만을 사용하지만, 다른 유형의 IPsec 정책은 문제가 발생시키는 방식으로 구성되었을 수 있습니다. 각 정책 유형에 대한 문제 해결 정책은 이 섹션의 나머지 부분에서 검토됩니다. 일반적으로, 계층 2 지원은 명령줄 또는 GUI 도구를 사용하여 올바른 IPsec 정책이 검색되고 해당 정책이 올바르게 해석되고 있는지 확인해야 합니다. 각 정책 유형을 삭제하는 단계는 정책 새로 고침으로 올바른 정책이 분명하게 설치될 것이라는 예상과 함께 여기에 표시됩니다. 적절한 정책이 스크립트로부터 검색 또는 설치되지 않는 것처럼 보이는 경우 문제는 계층 3 지원으로 제기됩니다. IPsec 시작 정책Netsh 유틸리티를 통해 Windows Server 2003에서만 지원되는 부트 모드와 부트 예외 옵션을 구성할 수 있습니다. 이 구성은 아래와 같은 기본 값으로 다음 레지스트리 키에 저장됩니다.
기본 OperationMode 값은 IPsec 드라이버가 아웃바운드 트래픽의 상태 저장 필터링을 수행할 것을 요청합니다. IPsec 서비스가 실행 중인 경우
이 명령을 사용하여 시작 구성을 표시합니다. IPsec 서비스가 실행되고 있지 않은 경우(예: 안전 모드로 시작되는 경우) 레지스트리 도구를 사용하여 레지스트리 키 값을 조사하여 변경할 수 있습니다.
이 명령을 사용하여 시작 모드가 허용되도록 설정합니다. IPsec 서비스가 실행되고 있지 않은 경우 레지스트리 도구를 사용하여 OperationsMode=1를 변경합니다. 또한, IPsec 드라이버는 IPsec 서비스가 수동 시작에 대해 구성되거나 비활성화된 경우 시작 보안 모드를 적용하지 않습니다. 서비스가 수동 시작되도록 구성되어 있거나 비활성화된 경우 IPsec 드라이버가 허용 모드에서 로드하도록 컴퓨터를 다시 시작합니다. 영구 IPsec 정책영구 정책은 Windows XP와 Windows Server 2003에서 지원됩니다. 공통된 오류 상황 중 하나는 기존 영구 정책이 새 영구 정책이 정의되기 전에 삭제되지 않거나 새 정책이 이미 할당된 다른 설정과 충돌하는 경우에 발생합니다. 이 장에 설명된 솔루션은 영구 정책을 사용하지 않습니다. 단, 일부 환경의 문제 해결 지침에 사용될 수 있기 때문에 이 장에 제공됩니다. 영구 정책 레지스트리 키는 기본으로 존재하며 다음과 같이 비어 있습니다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ Windows XP의 경우 영구 정책을 검색하는 최상의 방법은 이 레지스트리 키가 비어 있지 않은지 확인하는 것입니다. ipseccmd show 명령은 IPsec 서비스에 포함된 활성 정책을 보고하지만 특정 설정이 영구 정책으로 발생했음을 보고하지 않습니다. IPsec 서비스는 정책을 활성 설정으로 해석할 때 영구 정책 규칙의 이름을 무시합니다. ipseccmd가 필터 및 필터 작업에 이름을 제공하지 않기 때문에 영구 정책으로 인해 발생된 필터와 필터 이름을 나타내기 위해 이름 명명 규칙을 사용할 수 없습니다. ipsecpol.exe 또는 ipseccmd.exe를 사용하여 만들 때마다 영구 정책의 항목이 포함될 필터에는 "text2pol{GUID}" 유형의 이름이 설정됩니다. 단, 스크립트를 사용하여 만들어진 로컬 또는 도메인 정책도 이러한 이름을 갖게 됩니다. 영구 정책이 먼저 적용되고 로컬 또는 도메인 IPsec 정책과 통합됩니다. 따라서 로컬 및 도메인 정책 모두 영구 설정만을 검토할 수 있기 전에 적용 해제되어야 합니다. 사용
하여 IPsec 서비스가 시작되면 영구 설정을 포함하여 모든 활성 정책을 표시합니다.
모든 영구 정책이 제거되었는지 확인하는 가장 쉬운 방법은 Persistent 키의 모든 하위 키를 삭제하는 것입니다. 그러나, Persistent 키 자체를 삭제하면 영구 정책을 만들려고 할 때 앞으로 ipseccmd 명령은 실패합니다. 영구 정책 및 정책 충돌의 손상을 해결하려면 영구 정책 저장소의 모든 개체를 삭제하고 ipseccmd 스크립트를 다시 한번 실행하여 만듭니다. Windows Server 2003의 경우 영구 정책은 로컬 및 도메인 IPsec 정책과 유사한 전체 관리 기능을 갖게 됩니다. 이 영구 정책은 앞서 참조된 동일한 레지스트리 위치에 저장됩니다. 다음 Netsh 명령 스크립트는 show_persistent.netsh 파일에 명령을 사용하면 구성된 영구 정책을 나타냅니다.
show_persistent.netsh 파일은 다음 줄이 포함된 텍스트 파일입니다.
다음 Netsh 명령 스크립트는 다음과 같은 모든 영구 정책을 삭제하는 데 사용될 수 있습니다.
로컬 IPsec 정책로컬 IPsec 정책은 Windows 2000, Windows XP 및 Windows Server 2003에서 지원되어 다음 레지스트리 키 아래에 저장됩니다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ 로컬 정책이 할당된 경우 할당된 정책은 다음과 같이 키에 저장됩니다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ 도메인 정책이 할당되지 않은 경우 할당된 로컬 정책은 구성된 영구 정책에 추가되어 활성 정책이 됩니다. 상당히 간편해진 문제 해결 방법으로 ipsecpol 또는 ipseccmd 스크립트로 만들어진 IPsec 정책은 IPsec 정책 관리 MMC 스냅인으로 편집되어 생산 환경에서 사용되기 전에 각 필터에 대해 필터 이름을 정의해야 합니다. 또는,
명령을 사용하여 Windows Server 2003 기반 컴퓨터에서 정책을 만든 다음 테스트 후 Windows 2000과 Windows XP 기반 컴퓨터나 도메인으로 가져올 수 있는 파일로 내보낼 수 있습니다.
명령을 사용하여 할당 및 활성 정책 세부 정보를 확인합니다. IPsec 정책 관리 MMC 스냅인 또는 레지스트리 도구를 사용하여 로컬 저장소의 IPsec 정책 개체를 삭제해야 합니다. 할당된 IPsec 정책을 강제로 다시 로드하려면 서비스를 중지하고 다시 시작해야 합니다.
명령을 사용하여 할당 및 활성 정책 세부 정보를 확인합니다. IPsec 정책 관리 MMC 스냅인, 레지스트리 도구 또는 명령을 사용하여
명명된 IPsec 정책을 삭제합니다. 간편하게 모든 로컬 정책을 제거하려면 이전에 참조된 저장소 위치에 대한 모든 하위 키를 삭제합니다.
정책을 다시 로드할 수도 있습니다. 정책이 다시 로드되면 능동적으로 IPsec SA를 사용하여 트래픽을 송수신하고 있는 컴퓨터의 연결 지연 또는 중단을 일으킬 수 있는 모든 IPsec 및 IKE SA가 삭제됩니다.
명령, IPsec 정책 관리 MMC 스냅인 도는 IPsec 모니터 활성 정책 노드를 사용하여 현재 할당된 로컬 정책을 표시합니다.
현재 활성 정책 구성을 확인합니다. 또한, IPsec 모니터를 사용하여 활성 정책의 다른 부분을 검사할 수 있습니다.
명령을 사용하여 정책의 할당을 취소, 다시 할당 및 삭제할 수 있습니다. Active Directory IPsec 정책이 정책은 Windows 2000, Windows XP 및 Windows Server 2003에서 지원됩니다. 할당된 도메인 IPsec 정책은 다음 위치의 로컬 레지스트리에 저장됩니다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ 도메인 정책의 로컬 레지스트리 캐시는 다음 위치에 저장됩니다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ 디렉터리 저장소는 IPsec 정책 관리 MMC 스냅인 또는 Active Directory에 대해 로컬 프로세스로서 실행되는 netsh ipsec 명령에 의해 관리되어야 합니다. 직접 캐시의 내용을 확인할 수 있게 지원하는 도구는 없습니다. 레지스트리 도구는 캐시가 존재하고 적절한 내용이 포함되어 있는지 확인하기 위해 사용되어야 합니다. 이와 마찬가지로 레지스트리 도구는 GPTIPsecPolicy 및 Cache 레지스트리 키를 삭제하여 도메인 정책을 삭제하는 데 사용됩니다. 그런 다음 IPsec 서비스를 다시 시작하거나 서비스 제어 명령을 사용하여 도메인 정책 없이 IPsec 정책이 다시 로드되도록 강제해야 합니다. 도메인 기반 IPsec 정책 할당을 새로 고침하고 IPsec 정책을 로드하며 캐시 콘텐츠를 업데이트하려면 gpudpate /force를 사용합니다. 일시적으로 도메인 정책이 로컬 컴퓨터에 적용되는 것을 차단하려면 GPTIPsecPolicy 및 Cache 레지스트리 키 모두의 권한이 로컬 시스템 계정에 대한 읽기 액세스를 거부하도록 구성할 수 있습니다. IPsec 보안 모니터 MMC 스냅인 및 명령줄 도구는 여전히 이러한 도구가 로컬 관리자 사용자의 컨텍스트에서 실행되는 GPTIPsecPolicy 정보를 읽기 때문에 할당된 것으로 나타날 수 있습니다. 도메인 기반 IPsec 정책의 길어진 기간의 차단의 경우 컴퓨터는 Active Directory에서 적합한 GPO을 읽지 못하도록 해야 합니다. Windows 2000의 경우 다음 오류는 정책에 문제가 있는 경우 나타날 수 있습니다.
Windows XP와 Windows Server 2003의 경우 다음 이벤트는 IPsec 서비스가 특정 정책 유형을 검색하지 못했음을 나타냅니다. 로컬 정책을 Windows Server 2003과 Windows XP SP2에서 성공적으로 확인할 수 없는 경우 정책은 무시되고 영구성 순서로 할당된 다음 정책이 확인됩니다.
IPsec 정책 해석 문제 해결IPsec 정책의 해석은 완벽한 정책이 해당 저장소 위치에서 검색된 후에 수행됩니다. 최신 네트워크 인터페이스 IP 수소를 사용하여 정책의 일반 필터를 특정 필터로 확장합니다. 그런 다음 인바운드 및 아웃바운드 특정 필터의 목록이 패킷 처리를 위해 IPsec 드라이버로 로드됩니다. 인터페이스 변경 이벤트가 IPsec 서비스로 전달되어 필요한 경우(예를 들어, 내 IP 주소 필터의 경우) IPsec 드라이버의 IPsec 필터 구성을 가능한 빨리 조정합니다. Windows 2000의 경우 다음 메시지가 정책을 적용을 위한 적합한 해석 또는 IPsec 구성 요소 구성과 관련된 문제를 나타낼 수 있습니다.
Windows Server 2003의 경우 다음 이벤트는 IPsec 정책을 해석하는 중에 오류가 발생했음을 나타냅니다. 대부분의 경우에 Windows XP는 동일한 이벤트 텍스트를 사용합니다. IPsec 정책이 제대로 작동하려면 이 문제를 해결해야 합니다.
RRAS VPN 정책 구성 문제이 장의 초반부의 계층 1 지원 섹션에서 언급한 것처럼 RRAS 서비스는 일부 조직에서 IPsec 정책 충돌의 일반적인 원인입니다. 이 섹션에서는 L2TP/IPsec VPN 서버에 대해 기본 제공된 IPsec 정책이 이 솔루션에 사용된 도메인 정책과 충돌을 일으키는 이유를 설명합니다. 이 상황은 중복 필터 문제의 한 가지 예입니다. 다음 논의에서 Woodgrove 은행 시나리오에 사용된 IPsec 정책 설계가 이 문제를 설명하기 위해 사용됩니다. 단, 이러한 원리는 대부분의 기업급 IPsec 배포에 적용됩니다. L2TP/IPsec 서버용 IPsec 정책은 RASMAN(RAS Manager) 서비스에 의해 자동 생성되며 다음 필터를 포함합니다.
따라서, 이 서버에 대한 IKE 협상 응답을 제어하는 주 모드 특정 필터는 인바운드 필터의 주소 부분입니다.
"내 IP 주소"를 사용하면 인바운드 필터는 VPN 서버의 각 IP 주소로 확장될 수 있습니다. VPN 서버에 인터넷 연결에 대해 외부 인터페이스 IP 주소가 있고 LAN 연결에 대해 내부 인터페이스가 있다는 가정으로 IKE 주 모드 특정 인바운드 필터는 다음과 같습니다.
내부 LAN 인터페이스에 대한 두 번째 필터는 서버 및 도메인 격리 IKE 주 모드 인바운드 필터보다 더욱 구체적입니다.
따라서, 관리자가 트러스트된 클라이언트를 사용하여 VPN 서버를 관리하는 경우 IKE는 VPN 서버의 내부 IP 주소로 시작됩니다. IKE 인바운드 정책 조회는 더욱 구체적인 주 모드 필터와 일치하고 L2TP에 대한 IKE 주 모드 설정으로 회신합니다. 인증서 인증은 이 솔루션에 사용된 Kerberos 인증 대신에 사용됩니다. 두 번째 충돌 케이스는 인터넷 VPN 클라이언트가 연결 관리자 클라이언트의 차단 기능을 사용하는 경우에 발생할 수 있습니다. 차단 클라이언트는 "차단 키"를 VPN 서버의 내부 LAN IP 주소로 전달하여 차단을 끝내고 네트워크에 대한 전체 VPN 액세스 권한을 얻도록 해야 합니다. 이 시나리오에서 VPN 클라이언트 도메인 IPsec 정책은 랩톱 시작 시 캐시에서 적용됩니다. VPN 차단 연결이 성공적으로 구축되면 내부 IP 주소가 VPN 클라이언트에 할당됩니다. 클라이언트 내부 IP 주소는 도메인 격리 IPsec 정책에 정의된 서비스 필터(임의 <-> 내부 서브넷)로 보호되어야 합니다. 이 필터는 VPN 클라이언트가 VPN 터널을 통해 내부 서버 및 기타 워크스테이션에 액세스할 때 종단 간 IPsec 인증 액세스를 구성하는 데 필요합니다. 단, 이 솔루션의 서브넷 필터는 클라이언트 VPN 터널 가상 인터페이스의 내부 IP 주소에서 VPN 서버의 내부 LAN 인터페이스로 IKE 협상을 시작하게 됩니다. 서버가 도메인 및 서버 격리에 사용된 정책과는 호환되지 않는 오직 인증서 인증만을 수락하도록 응답하기 때문에 IKE 주 모드가 실패합니다. 정책이 인증성 인증을 허용하지 않은 경우 클라이언트의 IKE 빠른 모드는 모든 트래픽에 대해 필터를 제안하고 VPN 서버는 제안된 필터가 너무나 일반적이기 때문에 협상에 실패하게 됩니다. VPN 서버는 L2TP(UDP 원본 1701, 대상 임의 또는 UDP 대상 1701, 대상 1701)에 고유한 빠른 모드 필터만을 수락합니다. RRAS 서버 L2TP/IPsec 정책과 격리 정책 간의 충돌을 해결하기 위해 다음 정책을 사용할 수 있습니다.
이 목록에서 가장 간단한 솔루션은 RRAS 서버의 내부 NIC가 IPsec을 사용하지 못하도록 제외하는 것입니다. IKE 문제 해결IKE와 IPsec은 가장 일반적으로 네트워크 필터링이 UDP 500 또는 IPsec 프로토콜 패킷을 허용하지 않기 때문에 처음 배포 시 실패합니다. 이러한 이유로, 사전 공유된 키를 사용하는 사전 정의된 예제 서버(요청) 정책과 같은 단순한 정책이 할당된 고정 IP 워크스테이션 또는 서버를 구축하는 것이 유용합니다. IKE 감사 이벤트를 수집하려면 감사를 사용해야 합니다. 기본 도메인 IPsec 정책이 동일한 사전 공유된 키로 인증되고 테스트 컴퓨터의 IP 주소에 대한 모든 트래픽(ICMP 포함)에 하나의 필터에 하나의 규칙이 포함된 모든 도메인 구성원에 배포됩니다. 그런 다음, 도메인 로그온 스크립트가 Ping을 수행하기 위해 배포되거나
모든 도메인 구성원의 IKE 협상을 테스트 서버로 실행합니다. IKE 주 모드 성공 감사에 IP 주소를 분석 및 요약하여 모든 컴퓨터가 정책을 수신하고 있고 모든 네트워크 영역이 IKE 및 IPsec 프로토콜을 사용하여 테스트 컴퓨터에 연결할 수 있다는 것을 확인할 수 있습니다.
–l 5000 옵션으로 Ping이 5000바이트 ICMP 패킷 페이로드를 발생시킵니다. 전체 IP 패킷은 IPsec 프로토콜로 캡슐화된 다음 온라인 전송 전에 IP 계층에서 조각화됩니다. 모든 조각이 대상에 수신되고 동일한 조각 수로 구성된 응답이 다시 전송됩니다. 경험을 통해 혼합하거나 다른 속도의 네트워크(예를 들어, 1기가비트 및 100메가비트 이더넷 간) 간 경계 역할을 하는 장치에 조각을 전달하는 문제가 있을 수 있다는 사실이 확인되었습니다. 이와 유사하게 , 다른 MTU 호스트(예: ATM(Asynchronous Transfer Mode), FDDI(Fiber Distributed Data Interface), 토큰 링)에 상주하는 호스트는 IPsec 보호 TCP 패킷에 대한 네트워크 경로를 제대로 찾기 위해 ICMP PMTU 메시지가 필요합니다. 다른 네트워크 MTU에 대한 자세한 내용은 https://support.microsoft.com/kb/314496에서 제공되는 기술 자료 문서 314496, "Default MTU Size for Different Network Topology"를 참조하십시오. IKE 협상 문제 해결IKE는 오류가 IKE 빠른 모드가 일반적으로 응답자인 컴퓨터에서만 시작되는 경우와 같이 특정 상황에서만 발생할 수 있기 때문에 문제를 해결하기 어렵습니다. 또한, 오류는 Kerberos 프로토콜 오류와 같은 인증 시스템의 오류 또는 호환되지 않은 정책 설계 또는 기존 정책이 도메인 정책과 통합되는 경우에 발생할 수 있습니다. IKE 오류로 인해 오류 상태를 경험하는 컴퓨터가 IKE 협상 참여를 중지하고 협상의 다른 컴퓨터가 재시도 한계를 모두 사용하여 시간이 초과됩니다. IKE가 실패하면 오류는 검토하고 변경 사항을 적용하지 않은 상태에서 로그를 수집하십시오. 표준 감사는 IPsec 구성 또는 서비스의 실행 상태를 변경시키지 않고 동적으로 활성화할 수 있습니다. 그러나 Windows 2000의 경우 IPsec 서비스는 Oakley.log 파일에 대한 상세한 IKE 로깅을 활성화하도록 다시 시작되어야 합니다. Windows XP SP2와 Windows Server 2003의 경우 IKE 로깅은 필요 시 명령 줄을 통해 활성화하고 비활성화할 수 있습니다. 일부 상황에서 IPsec 서비스를 중지하고 다시 시작하여 네트워크 트래픽을 검토하고 깨끗한 상태에서 Oakley.log 파일 결과를 수집해야 합니다. IPsec 서비스가 수동 또는 컴퓨터 다시 시작 또는 종료의 일환으로 중지되면 IKE는 삭제 메시지를 보내 모든 활성 연결 피어의 IPsec SA 상태를 정리하려 합니다. IKE가 모든 활성 피터에 삭제 메시지를 보내기를 완료하기 전에 운영 체제가 패킷을 보내는 기능을 비활성화하여 IPsec SA 상태가 피어에 남아 있을 수 있습니다. 이러한 상황이 발생하면 피어는 다시 시작된 컴퓨터에 안전하게 연결되어 있다고 믿게 됩니다. 다시 시작 후에 컴퓨터가 피어에 새 IKE 협상을 시작하지 않는 경우 피어는 IPsec SA가 다시 연결하려고 시도하기 위한 시간이 초과될 때까지 5분을 대기해야 합니다. SA를 다시 연결하려면 1분 동안 빠른 모드 협상을 먼저 시작한 후에 IKE 주 모드를 시작합니다. Windows 2000 이후 릴리스에는 IKE 로깅이 향상되고 있습니다. 이 섹션에 문서화된 이벤트는 Windows 2000 이벤트의 특성이 유지하지만, Windows XP와 Windows Server 2003에 해당됩니다. Windows 보안 로그는 IKE 협상 오류의 원인을 파악하려고 할 때 권장되는 시작 지점입니다. IKE 이벤트를 확인하려면 그룹 보안 정책 설정 "로그온 이벤트 감사"에서 성공 또는 오류에 대해 감사가 활성화되어야 합니다. 감사가 활성화된 후에 IKE 서비스는 감사 항목을 만들고 협상이 실패한 이슈에 대한 설명을 제공합니다. 그러나, IKE 협상 오류에 대한 설명은 항상 이벤트 547 오류로 보고되고 동일한 오류 메시지에는 예상되는 몇 가지 원인이 있습니다. 이벤트 547 오류 및 예상 원인에 대한 목록은 다음 섹션에 상세하게 설명되어 있습니다. Windows XP SP2와 Windows Server 2003에서 모든 IKE 감사는 DisableIKEAudits 레지스트리 키로 비활성화할 수 있습니다. 조사 중인 컴퓨터에서 반드시 이 값을 확인하십시오. IKE 감사는 다른 로그온/로그오프 범주 이벤트가 효율적으로 모니터링될 수 없는 너무 많은 성공 또는 실패 이벤트를 생성하는 경우에 비활성화될 수 있습니다. 오류 코드 값은 IKE 감사 이벤트와 로그 세부 내역으로 보고되는 경우가 있습니다. 이러한 오류 코드 값에 대한 자세한 설명은 Microsoft MSDN®, https://msdn.microsoft.com/library/en-us/debug/base/system\_error\_codes\_\_12000-15999\_.asp의 System Code Errors (12000-15999) 페이지를 IKE 협상 문제를 해결하려면 IPsec 정책 설계의 예상 동작, IKE 협상 프로세스 및 IKE 오류 이벤트에 대한 심도 깊은 지식이 필요합니다. 이 섹션에서는 Woodgrove 은행 도메인 격리 시나리오와 관련된 가장 공통된 이벤트만을 설명하려 합니다. 모든 IKE 감사 이벤트 또는 오류 상황은 해결하지 않습니다. IKE 협상 프로세스가 잘 이해되면 통신의 적어도 한 측의 네트워크 추적을 얻어 Oakley.log 파일을 수집하려 하기 전에 IKE 내의 문제를 확인할 수 있습니다. 서버 및 도메인 격리 시나리오의 배포된 서버는 네트워크 모니터로 추적을 수집할 수 있는 기능을 가지고 있어야 합니다. Oakley.log 파일은 가장 자세한 로깅을 제공하고 협상 양측에서 모두 필요할 수 있습니다(동기화된 경우). 그러나, 이 로그를 활성화하면 IKE 협상 속도가 느려져 타이밍 조건을 변경시키고 서비스가 레지스트리 키(Windows 2000와 Windows XP SP1에서 필요)를 다시 읽도록 다시 시작된 경우 모든 기존 상태가 손실될 수 있습니다. 현재, Oakley.log 파일 해석에 대해 게시된 가이드는 없습니다. 이 가이드의 목적에 대해 그러한 해석은 계층 2 기술 집합의 일부로 고려됩니다. 공간 상의 제약으로 몇 가지 오류에 대한 로그 세부 정보에 대한 간단한 요약을 여기에 제공합니다. Oakley.log 파일 해석에 대한 자세한 내용은 Microsoft 기술 지원 서비스에 문의하십시오. 다음 네 가지 상세 로깅 파일이 IKE에 유지 관리됩니다.
문제 해결 과정 중에 범하게 되는 가장 일반적인 실수는 로깅과 네트워크 추적이 수집된 두 대의 컴퓨터의 시간을 동기화하지 않는 것입니다. 이로써 불가능한 것은 아니지만 로그의 상호 연관성을 어렵게 합니다. 네트워크 추적의 패킷에 대한 IKE 메시지의 상호 연관성은 ISAKMP 헤더 쿠키와 IKE 빠른 모드 메시지 ID 필드를 사용하여 교차 확인되어야 합니다. 예상되는 IKE 동작IKE 주 모드 초기화가 의도된 대상 IP 주소에 연결하지 못하도록 네트워크에서 차단된 경우 IPsec 보안 통신은 협상될 수 없습니다. 초기자가 선택을 취소하도록 구성되지 않은 경우 대상 연결 오류는 다음과 같은 텍스트 항목으로 보안 로그에 감사 이벤트 547로 나타납니다.
단, 도메인 격리 클라이언트의 경우 정책에서 선택 취소를 허용한다면 오류로 나타나지 않을 수 있습니다. IKE 주 모드 성공 이벤트 541은 소프트 SA가 구축되면 만들어집니다. 541 이벤트가 소프트 SA를 나타내는 표시는 아웃바운드 SPI가 0이고 모든 알고리즘이 없음으로 표시됩니다. 다음 예는 이러한 매개 변수가 541 이벤트에 어떻게 나타나는지를 보여 줍니다.
참고: 동일한 대상 IP 주소에 대한 소프트 SA 이벤트는 다른 타임스탬프와 다른 인바운드 SPI 값을 갖게 됩니다. 활성 IKE 주 모드가 있는지와 관련하여 두 대의 컴퓨터가 동기화되어 있지 않을 때 마다 1분 연결 지연이 발생합니다. 5분 지연은 한 대의 컴퓨터가 해당 컴퓨터 간 활성 IPsec SA 쌍이 있고 다른 컴퓨터(예: 서버)가 이러한 SA를 삭제했고 빠른 모드 키 재지정을 시작하지 않은 경우에 발생할 수 있습니다. Windows 2000 IKE는 손실되는 경우가 있는 단일 삭제 메시지를 지원했습니다. Windows XP와 Windows Server 2003은 손실된 패킷의 보호 수단으로 여러 삭제 메시지 형태로 "안정적인" 삭제 기능을 지원하기 위한 지원을 추가했습니다. 가장 일반적인 시나리오는 도메인 격리 랩톱 사용자가 도킹 스테이션에서 랩톱을 꺼내 회의에 가져가는 상황입니다. 도킹 스테이션은 유선 이더넷 연결이고 네트워크 인터페이스를 제거하면 해당 인터페이스와 관련된 모든 필터도 제거되어야 합니다(내 IP 주소에서 확장된 필터인 경우). 단, 협상 기능을 가진 어떠한 필터도 도메인 격리 솔루션에서 내 IP 주소를 사용하지 않고 모드 임의 <-> 서브넷 필터를 사용합니다. 따라서, IPsec SA 및 IKE SA 상태는 이러한 필터가 각 주소 변경에 대해 삭제되지 않기 때문에 랩톱에서 활성 상태를 유지합니다. 필터가 "내 IP 주소"에서 확장된 경우 IP 주소가 사라지면 이러한 필터는 삭제됩니다. 어떠한 유형의 필터가 IPsec 드라이버에서 삭제될 때마다 드라이버는 IKE에게 해당 IP 주소를 사용하는 모든 IKE SA 및 IPsec SA도 삭제해야 합니다. IKE는 해당 SA에 삭제 메시지를 보내고 내부적으로 지우려 합니다. 이러한 삭제 메시지는 다른 원본 IP가 삭제 메시지가 전송될 때 연결된 인터페이스에 있을 수 있는 경우에도 IKE SA에 사용된 것과 동일한 소스 IP가 포함됩니다. 원본 IP 주소는 ISAKMP 헤더 쿠키 쌍이 인식되고 패킷에 대한 암호화 문제가 유효한지는 원격 컴퓨터에 중요하지 않습니다. 그러나, 삭제 메시지는 연결 끊기가 발생한(랩톱을 꺼내는) 몇 초 만에는 네트워크 연결이 없기 때문에 삭제 메시지가 전송되지 않을 수 있습니다. 이러한 임의 <-> 서브넷 필터의 특별한 경우에 필터는 절대로 삭제되지 않습니다. 이는 IKE와 IPsec SA가 즉시 삭제되지 않았음을 의미합니다. 잠시 동안 형식적으로 연결된 원격 컴퓨터에서 IPsec SA이 시간 초과되고 IKE 빠른 모드 삭제 메시지가 이전의 랩톱 주소로 전송됩니다. IKE 주 모드 SA는 이러한 원격 컴퓨터에서 기본 8시간 동안 활성화 상태를 유지하지만 IKE에 알려진 내부 이유가 발생하기 전에 언제라도 삭제될 수 있습니다. 물론, IKE SA 삭제 메시지는 이전 IP 주소로 랩톱에서 수신되지 않습니다. 마지막으로 랩톱이 도킹 스테이션에 다시 연결되면 동일한 IP 주소를 다시 받습니다. 파일 공유, 전자 우편 클라이언트 및 기타 응용 프로그램은 일반적으로 동일한 대상에 다시 연결합니다. 그러나, 랩톱과 이러한 원격 대상 간의 IKE 상태에 차이가 있을 수 있습니다. 랩톱에는 IKE 기본 상태가 유지된 경우 IKE 빠른 모드 협상을 시도하게 됩니다. 빠른 모드는 원격 피어가 삭제한 암호화 상태를 사용해서 이러한 메시지를 인식하지 못하고 응답하지도 않습니다. 랩톱에서 IKE는 1분 후에 재시도 제한을 만료한 후에 새 IKE 주 모드 협상을 시도하고 결국 성공합니다. 따라서, 랩톱 사용자는 원격 리소스 연결 시 1분 지연을 알게 됩니다. Microsoft는 IPsec을 지원하는 모든 Windows 버전의 향후 업데이트에 이 동작을 개선할 수 있을 것으로 기대합니다. IKE 협상은 다양한 이유로 인한 시간 제한을 보고할 수 있습니다. IKE가 "성립이 완료되기 전에 IKE SA를 감지했습니다." 이벤트로 협상이 시간 초과되는 경우를 제외하고 재시도 한계를 모두 사용했기 때문에 IKE 협상의 단계(선택 취소 제외)가 실패하는 경우 "협상이 시간 초과되었습니다." 이벤트가 발생합니다. 이러한 두 개의 이벤트는 본질적으로 동일합니다. 다음과 같은 이벤트가 발생하면 네트워크 연결 상태를 빈번하고 신속하게 변경하는 모바일 클라이언트에 대한 일상적인 작업 동안 예상되는 심각하지 않은 일반적 이벤트입니다.
원격 컴퓨터에서 이러한 이벤트로 마치 피어 컴퓨터가 네트워크에서 사라진 것처럼 보입니다. 원격 컴퓨터는 IKE 협상 단계가 시간 초과될 때까지 키 재지정 또는 재협상을 시도합니다. 네트워크 시간 초과 오류는 Windows Server 2003에서 향상되어 IKE 협상에서 시간 초과가 협상의 마지막 성공 단계를 확인함으로써 발생했는지 확인됩니다. 이러한 이벤트는 IKE가 NAT - T 기능 없이 협상하는 경우에 네트워크 주소 변환(NAT)가 있음으로써 발생할 수 있습니다. 단, 원격 피어에 IKE 협상 원인이 발생한 경우에도 IKE 협상이 시간 초과됩니다. 따라서, 모든 협상 시간 초과 및 "성립이 완료되기 전에 IKE SA를 감지했습니다." 이벤트의 경우에 계층 2 지원에서 IKE가 시간 초과를 로그하기 최대 1분 동안 해당 컴퓨터에서 547 오류 및 이벤트를 확인함으로써 원격 컴퓨터가 협상에 실패했는지 확인해야 합니다. IKE 협상 성공 이벤트IKE 협상이 성공한 경우 IKE 주 모드 SA는 IPsec 모니터 MMC 스냅인 및 명령줄 쿼리 도구를 통해 나타납니다. 현재 IKE 주모드 SA의목록을표시하려면
성공적인 주 모드 및 빠른 모드 SA는 감사가 활성화된 경우 보안 로그에 다음 이벤트를 생성하게 됩니다.
IKE 주 모드 정보 제공용 로그 항목주 모드 변경에 문제가 있는지를 확인하려면 컴퓨터의 이벤트 로그에서 다음 기록된 이벤트를 살펴보십시오. 표 7.5: IKE 주모드정보제공용로그메시지
추가 리소스 |