使用数据包嗅探器 如果上面的内容都没有帮助,且您还没有阅读“了解 IKE 协商”一节,那么现在就请阅读该节。 为进行更详细的调查,请使用数据包嗅探器(如 Microsoft 网络监视器),以捕获正在交换的数据包。记住在 IKE 协商中使用的数据包的大多数内容都是加密的,且不能由数据包嗅探器解释。另外,还应嗅探计算机上所有来来往往的通信,以确保您看到应该看到的通信。Window 2000 erver 上提供了 Microsoft 网络监视器的有限制的版本。在默认情况下它不安装,因此您必须依次到控制面板、添加/删除 Window 组件、管理和监视工具,然后选择网络监视工具,按照所要求的步骤操作。 使用 IKE 调试追踪(专家用户) 安全日志是判断 IKE 协商失败原因的最好位置。但是,对于 IKE 协议协商方面的专家来说,应使用注册表项启用 IKE 协商的调试追踪选项。日志在默认情况下是被禁用的。要启用调试日志,必须停止 I EC 策略代理程序服务,然后再启动。 启用由 IKE 进行的调试日志 1. 从 Window 桌面,单击开始,单击运行,然后在文本框中键入 regedt32。单击确定。这就启动了注册表编辑器。
2. 浏览到本地机器上的 HKEY_LOCAL_MACHINE。
3. 浏览到下列位置:System\CurrentControlSet\Services\PolicyAgent。
4. 双击 olicyAgent。
5. 如果 Oakley 项不存在,在编辑菜单上,单击添加项。
6. 输入项名称(区分大小写):Oakley。
7. 让类别保留空白,然后单击确定。
8. 选择新项 Oakley。
9. 在编辑菜单上,单击添加数值。
10. 输入值名称(区分大小写):EnableLogging
11. 选择数据类型: REG_DWORD 并单击确定。
12. 输入值 1
13. 单击十六进制作为基数。单击确定。
14. 从注册表编辑器退出。
15. 在 Window 2000 命令提示符下,键入 et to olicyagent,然后键入 et tart olicyagent 以重新启动与 I ec 相关的服务。 在默认情况下该文件将被写到 windir\debug\oakley.log,在策略代理程序服务重新启动之后,文件 oakley.log.sav 是日志的上一个版本。 日志中的项目限于 50,000,这样通常可将文件大小限制到 6 兆字节以下。 本指南的目的是只讲述本地计算机 I ec 策略,该策略使用 I ec 传输(而不是隧道)来保护源计算机和目标计算机之间的通信安全。它并不涉及在 Active Directory 中使用组策略分发 I ec 策略。I ec 策略配置是非常灵活的,也是非常强大的,尽管要想设置正确要求理解 IKE 和 I ec 协议本身。有许多安全配置问题您必须加以注意。请阅读联机帮助,并搜索 Microsoft 知识库以查找与 I ec 相关的文章。然后阅读下面的说明以帮助弄清哪些功能在策略配置中故意不受支持。