Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo Capítulo 7: Solución de problemas de IPsec

Actualizado: febrero 16, aaaa

En este capítulo se proporciona información acerca de cómo solucionar problemas de

seguridad del protocolo Internet (IPsec), como en los escenarios de aislamiento de servidor

y dominio, y se basa en la experiencia y los procesos del equipo de tecnología de la

información (TI) de Microsoft. Siempre que sea posible, en este capítulo se hace referencia

a los procedimientos de solución de problemas de Microsoft e información relacionada.

La asistencia del departamento de TI de Microsoft se basa en un modelo de varios niveles y

el servicio de asistencia se denomina asistencia de nivel 1. Los procedimientos de

transferencia de incidencias permiten al personal del servicio de asistencia transferir las

incidencias que requieran la ayuda de especialistas.

Los procedimientos de este capítulo hacen referencia a los tres niveles de asistencia: nivel

1, nivel 2 y nivel 3. Para garantizar que la guía resulta práctica y concisa en la medida de

lo posible, la mayor parte del contenido está en el nivel 2. Se proporcionan indicaciones

para el nivel 1 inicial para que una organización determine lo más rápidamente posible si

un problema está relacionado con IPsec y, en caso afirmativo, genere la información

necesaria para ayudar al personal de soporte técnico de nivel 2 a solucionar el problema.

La información más detallada y compleja necesaria para los esfuerzos de solución de

problemas del nivel 3 queda fuera del alcance de este capítulo. Si la información

proporcionada en este capítulo no soluciona el problema de IPsec, Microsoft recomienda

que se ponga en contacto con los Servicios de soporte técnico de Microsoft® para obtener

ayuda adicional.

Muchos de los procedimientos de soporte técnico, herramientas y secuencias de comandos

que utiliza Microsoft se proporcionan en este capítulo de referencia. Estas recomendaciones

y herramientas se deben adaptar según las necesidades específicas de la organización.

Cuando se utiliza IPsec para proteger el tráfico del protocolo de control de transmisión

(TCP) y del protocolo de datagrama de usuario (UDP) de la red, los procedimientos y las

herramientas de solución de problemas de red TCP/IP habituales pueden no ser eficaces.

Por este motivo, es importante planear y desarrollar técnicas de solución de problemas

específicas de IPsec que se puedan utilizar si se produce un problema entre equipos que

emplean (o intentan emplear) IPsec para sus comunicaciones.

En esta página

Niveles de soporte técnico y transferencia de incidencias En Microsoft, el soporte técnico de aislamiento de servidor y dominio es una oferta estándar y está definido en los contratos

de nivel de servicio estándar. El soporte técnico de aislamiento se proporciona en los siguientes niveles:

Descargar la solución completa

Aislamiento de servidor y

dominio mediante IPsec y

Directiva de grupo

• En esta guía

• Capítulo 0 - Información

general

• Capítulo 1 - Introducción

al aislamiento de servidor

y dominio

• Capítulo 2 - Comprensión

del aislamiento de

servidor y dominio

• Capítulo 3 - Cómo

determinar el estado

actual de su

infraestructura de TI

• Capítulo 4 - Diseño y

planificación de grupos de

aislamiento

• Capítulo 5 - Creación de

directivas IPsec para

grupos de aislamiento

• Capítulo 6 -

Administración de un

entorno de aislamiento de

servidor y dominio

• Capítulo 7 - Solución de

problemas de IPsec

• Apéndice A - Descripción

general de los conceptos

de la directiva IPsec

• Apéndice B - Resumen de

la directiva IPsec

• Apéndice C - Guía de

generación de laboratorio

• Apéndice D - Categorías

de amenaza de TI

• Agradecimientos

Niveles de soporte técnico y transferencia de incidencias

Solución de problemas de nivel 1

Preparación de la solución de problemas de nivel 2

Proceso de solución de problemas de IPsec

Solución de problemas de nivel 3

Resumen

• Nivel 1: servicio de asistencia. El servicio de asistencia es el punto de entrada de los problemas de cliente unido a un

dominio y sin dominio. El servicio de asistencia también se ocupa de los servidores que están administrados por la

organización de TI central. (Otros servidores pueden estar administrados por los equipos de aplicaciones de línea de

En la siguiente sección se resumen las técnicas de solución de problemas que puede emplear el personal del servicio de

asistencia en la organización de soporte técnico de nivel 1.

Principio de la página

Solución de problemas de nivel 1 En esta sección se presenta el proceso global para solucionar problemas relacionados con IPsec utilizado por el personal del

servicio de asistencia, que proporciona soporte técnico de nivel 1. Normalmente, el personal de soporte técnico de nivel 1

es personal del servicio de asistencia telefónico que intenta diagnosticar los problemas de forma remota.

¿El problema es IPsec? Es probable que el servicio de asistencia reciba llamadas del tipo “Me podía conectar al servidor x hasta que se activó

IPsec” o “Ayer funcionaba todo y hoy no me puedo conectar a nada”. Por la experiencia del departamento de TI de

Microsoft, la ejecución de IPsec incrementa el número de llamadas para todos los tipos de problemas de conectividad de

red e incidencias de “acceso denegado” porque los usuarios prestan más atención a los comportamientos de la aplicación y

de la red. Cuando alguien cree que puede estar relacionado con IPsec, llama al servicio de asistencia. Un plan de

implementación de aislamiento de servidor y dominio debe incluir un sistema de clasificación de llamadas para que el

personal del servicio de asistencia pueda ofrecer informes claros acerca del volumen y la naturaleza de los problemas

relacionados con IPsec.

Después de obtener la información administrativa correspondiente del llamador, el personal del servicio de asistencia debe

seguir un proceso de solución de problemas definido. Debido a que los diseños de directiva de IPsec pueden tener

consecuencias distintas en las comunicaciones y debido a que el proceso de ejecución puede durar varios días o semanas,

se debe definir y actualizar un diagrama de flujo por cada conjunto de cambios de aislamiento que se implemente. El

personal de administración del servicio de asistencia debe estar implicado en este proceso de planeamiento.

El objetivo del servicio de asistencia debe ser clasificar el problema de modo que se puedan intentar soluciones conocidas.

Si con estos intentos no se resuelve el problema, el personal del servicio de asistencia puede garantizar que se recopila la

información correcta y que se transfiere el problema al soporte técnico de nivel 2. Por ejemplo, el servicio de asistencia

debe poder identificar distintos tipos de problemas de las siguientes formas:

negocio o grupos de productos.) El personal del servicio de asistencia está preparado para utilizar una taxonomía y

varios diagramas de flujo para clasificar los problemas que se relacionan con el aislamiento de servidor y dominio.

Durante la fase piloto de la solución de aislamiento de Microsoft, los problemas de cliente se transfirieron al

departamento de seguridad de TI corporativa. No obstante, después de implementar la solución en producción, los

equipos de soporte técnico de nivel 2 se ocuparon de los problemas de cliente.

• Nivel 2: operaciones de centro de datos, centro de operaciones de red global, soporte técnico de aplicaciones de línea de negocios y soporte técnico de mensajería/colaboración. Estos grupos son los equipos de operaciones diarias que supervisan y administran los servicios de TI y los activos relacionados. Durante las pruebas

piloto de aislamiento de servidor y dominio, éstos fueron el punto de transferencia de incidencias inicial del servicio de

asistencia y del departamento de seguridad de TI corporativa para los problemas relacionados con el servidor y su

solución. Cada grupo tiene un experto en la materia para el aislamiento de servidor y dominio, así como procedimientos

detallados para la solución de problemas.

• Nivel 3: servicios de red y de infraestructura de Windows. Para las pruebas piloto de aislamiento de servidor y

dominio, este grupo designó a un grupo de personas para ser los expertos en solucionar los problemas de los

componentes y tecnologías de diseño relacionados con la solución, como IPsec, procesamiento de paquetes TCP/IP,

cuentas de equipo y derechos de inicio de sesión en la red. En Microsoft, si es necesario transferir las incidencias, el

nivel 3 trabaja directamente con los equipos de desarrollo de Windows hasta que logra el cierre. Fuera de Microsoft, este

nivel implicaría a los Servicios de soporte técnico de Microsoft cuando fuera necesario.

• Conectividad de red. Utilizar mensajes ICMP (protocolo de mensajes de control de Internet) de ping y tracert para probar las rutas de acceso de la red.

• Resolución de nombres. Utilizar ping <nombre de destino> y nslookup.

• Aplicaciones. Al establecer comunicación con el mismo destino, unas aplicaciones funcionan (por ejemplo, net view) y

otras no.

•Servicios. Por ejemplo, determinar si el servidor ejecuta el servicio Enrutamiento y acceso remoto (RRAS), que crea

Según la organización, el servicio de asistencia puede utilizar Asistencia remota o Escritorio remoto para conectarse al

equipo del llamador. Las directrices que se proporcionan en este capítulo no requieren acceso remoto, aunque pueden

constituir herramientas útiles para que el personal de servicio de asistencia las utilice como alternativa en lugar de guiar al

usuario por el complemento Monitor IPsec de Microsoft Management Console (MMC) o el visor del registro de sucesos.

En los escenarios donde se utilice aislamiento de servidor sin aislamiento de dominio, el personal del servicio de asistencia

debe conocer los servidores que son miembros del grupo de aislamiento.

Asignar alcance y gravedad Una de las primeras preguntas que debe plantear el soporte técnico de nivel 1 es: ¿A quién afecta el problema? El personal

de soporte técnico tiene que saber si otros usuarios experimentan el mismo problema y, en caso afirmativo, cuántos son y

dónde se encuentran. A continuación, el personal de soporte técnico debe examinar el alcance del problema. Por ejemplo,

¿afecta la conectividad a un solo servidor o son problemas de mayor alcance, como errores de inicio de sesión o de

autenticación en grandes partes de la red?

Los problemas con la conectividad pueden implicar numerosos niveles y tecnologías distintos que se utilizan en las

comunicaciones de red. Los ingenieros de soporte técnico deben conocer cómo funcionan las comunicaciones de red TCP/IP

de Windows en general, así como problemas específicos relacionados con la solución. En esta sección se revisan los

distintos tipos de problemas y cuestiones comunes que cada soporte técnico de nivel 1 debe afrontar.

Las otras dos características de la solución de aislamiento de servidor y dominio que también se encuentran normalmente

en las implementaciones empresariales de IPsec son el uso de filtros de subred para definir los intervalos de direcciones

empleados en la red interna y la aplicación de las directivas de IPsec que están basadas en la pertenencia a dominio y la

pertenencia a grupos, independientemente de dónde se encuentre el equipo en la red interna. Por tanto, si hay un

problema con el diseño de los filtros de subred o la ruta de acceso de red utilizada por dicho equipo para conectar con los

una directiva IPsec automática conflictiva para L2TP.

• El equipo del llamador. Determinar si puede tener acceso a cualquier host o a equipos de destino host de confianza

específicos que se utilizan para pruebas y diagnóstico del servicio de asistencia.

• El equipo de destino. Determinar si el equipo del llamador puede tener acceso a todos los equipos del servicio de

asistencia que se utilizan para pruebas pero no puede obtener acceso a un determinado equipo de destino.

• Problemas específicos de equipo. Las comunicaciones protegidas por IPsec requieren autenticación mutua de equipo

de intercambio de claves de Internet (IKE). Los equipos que inician las comunicaciones y los equipos que responden a

ellas deben tener cuentas de dominio válidas y acceso a los controladores de dominio de su dominio. Además, los

controles de asignación de directiva IPsec y de acceso a la red dependen de que las cuentas de equipo estén en los

grupos de dominio correctos. Otros problemas específicos de equipo que pueden afectar al comportamiento de IPsec son

los siguientes:

Debido a estos tipos de cuestiones, algunos equipos pueden tener problemas con la conectividad y otros no.

Nota: todas las herramientas de solución de problemas de IPsec descritas en este capítulo requieren privilegios de

grupo de administradores local.

• El sistema operativo no dispone del Service Pack, revisión o configuración de clave del Registro correctos.

• El equipo tiene un determinado software instalado o servicios concretos en ejecución.

• La conexión de red utiliza una dirección IP específica o establece comunicación mediante una ruta de acceso de red

concreta.

• Problemas de ubicación de red y específicos de ruta de acceso. En una solución de aislamiento de servidor y

dominio u otra implementación generalizada de IPsec, es probable que se encapsule todo el tráfico TCP y UDP. Por lo

tanto, los dispositivos de red a lo largo de la ruta de acceso sólo verán los protocolos IKE, IPsec e ICMP. Si existen

problemas de red en la transmisión de estos tres protocolos entre el origen y el destino, la comunicación se puede

bloquear entre los dos equipos.

• Problemas específicos del usuario. La implementación de IPsec, como en un escenario de aislamiento de servidor y

dominio, puede afectar a los derechos de inicio de sesión en la red de los usuarios del dominio. Por ejemplo, es posible

que el problema sólo afecte a los usuarios que no se encuentran en un grupo autorizado para el acceso de red, o un

usuario autorizado puede tener problemas para obtener las credenciales de autenticación de Kerberos que contienen la

pertenencia a los grupos correctos. Puede haber diferencias de comportamiento entre el usuario de dominio y local o las

cuentas de servicio.

otros equipos, es posible que sólo aparezcan problemas de conectividad en determinadas partes de la red, al utilizar

direcciones IP concretas (por ejemplo, una dirección inalámbrica y no una de LAN) o únicamente en algunos equipos.

Diagramas de flujo de solución de problemas Los diagramas de flujo de administración de llamadas de esta sección los ha desarrollado el departamento de TI de

Microsoft como ayuda para clasificar los problemas de soporte técnico de IPsec de nivel 1. Además de las herramientas

estándar, dos de los diagramas de flujo hacen referencia a una secuencia de comandos de actualización de la directiva

IPsec, cuya descripción se proporciona en la sección "Ejemplos de secuencias de comandos de soporte técnico", incluida

más adelante en este capítulo.

La figura 7.1 se utiliza para el diagnóstico inicial y para determinar el tipo de problema:

• ¿Es un problema de conectividad de red? En caso afirmativo, intentar un procedimiento de solución de problemas de

red básico. Si no se soluciona, transferir el problema al soporte técnico de nivel 2.

• ¿Es un problema de resolución de nombres? En caso afirmativo, intentar un procedimiento de solución de

problemas de resolución de nombres básico. Si no se soluciona, transferir el problema al soporte técnico de nivel 2.

• ¿Es un problema de aplicación? En caso afirmativo, transferir el problema al soporte técnico de nivel 2.

• ¿Es un problema de IPsec del equipo del llamador? En caso afirmativo, ir a la figura 7.2.

•¿Es un problema de IPsec con el equipo de destino al que intenta conectarse el llamador? En caso afirmativo,

ir a la figura 7.3.

Figura 7.1 Proceso de solución de problemas para un error de comunicación con un

Nota: en este diagrama de flujo se supone que el equipo del llamador ejecuta IPsec y que las zonas de búsqueda inversa

de DNS están configuradas para permitir el funcionamiento correcto del comando ping.

La figura 7.2 está diseñada para identificar los problemas con el equipo del llamador. Observe que, además del diagnóstico,

en este diagrama de flujo se hace referencia al uso de una secuencia de actualización de la directiva IPsec (consulte

"Ejemplos de secuencias de comandos de soporte técnico" más adelante en este capítulo) que puede solucionar el problema

sin identificarlo necesariamente. Los pasos de la figura 7.2 ayudan a determinar los siguientes problemas posibles con el

equipo del llamador:

equipo de destino Ver imagen a tamaño completo

• ¿Es un problema de RRAS? En caso afirmativo, detenga el servicio RRAS (si no se necesita RRAS) o transfiera el

problema al soporte técnico de nivel 2.

• ¿Es un problema de directiva? En caso afirmativo, intente actualizar Directiva de grupo y la directiva IPsec.

• ¿Es un problema de cuenta de dominio? En caso afirmativo, cree una cuenta de dominio para el equipo del llamador.

•

¿No es ninguno de los anteriores? Si la actualización de la directiva IPsec o la creación de una cuenta de dominio no

solucionan el problema, transfiéralo al soporte técnico de nivel 2.

La figura 7.3 está diseñada para identificar los problemas con un determinado equipo de destino. Tenga en cuenta que en

este diagrama de flujo también se hace referencia al uso de una secuencia de comandos de actualización de la directiva

IPsec que puede solucionar el problema sin identificarlo necesariamente. La figura 7.3 ayuda a determinar los siguientes

problemas posibles con el equipo de destino (o la ruta de acceso a él):

Figura 7.2 Solución de los problemas relacionados con el equipo del llamador Ver imagen a tamaño completo

• ¿Es un problema de RRAS? En caso afirmativo, transferir el problema al soporte técnico de nivel 2.

• ¿Es un problema de la directiva IPsec? En caso afirmativo, intente actualizar Directiva de grupo y la directiva IPsec.

A continuación, compruebe la conectividad de red.

• ¿Es un problema de conectividad de red? En caso afirmativo, transferir el problema al soporte técnico de nivel 2.

•¿Es un problema de derecho de inicio de sesión? En caso afirmativo, transferir el problema al soporte técnico de

nivel 2.

Después de que el personal de soporte técnico de nivel 1 haya trabajado con los diagramas de flujo, el estado del problema

será uno de los siguientes:

Prevención de ataques de ingeniería social En una solución de aislamiento, el personal del servicio de asistencia puede descubrir áreas específicas dentro del entorno

de TI que no están protegidas por IPsec, como los equipos que son miembros de la lista de exenciones. No se pueden

Figura 7.3 Solución de los problemas de IPsec relacionados con el equipo de destino Ver imagen a tamaño completo

• Solucionado y comprendido. Este estado significa que el problema se ha resuelto y se puede haber determinado su

motivo.

• Solucionado pero no claro. Este estado significa que el problema se ha resuelto, pero que la causa del mismo no se

ha comprendido por completo. Por ejemplo, una actualización de la directiva IPsec puede haber solucionado el problema

pero no explica necesariamente el motivo por el que se aplicó una directiva incorrecta o no se aplicó ninguna directiva.

• No solucionado. Este estado significa que el problema sigue pendiente pero se han identificado las causas posibles del

mismo, ya que se ha transferido al departamento de soporte técnico de nivel 2.

utilizar para proteger información confidencial porque en otras soluciones de seguridad dicha información esencial

normalmente sólo está disponible para los equipos de soporte técnico de nivel superior. Por este motivo, el personal del

servicio de asistencia debe estar formado para detectar y resistir los ataques de ingeniería social.

En un ataque de ingeniería social, una persona que no es de confianza intenta obtener información acerca de cómo está

implementada la seguridad y en qué puntos es débil, simplemente aprovechando la tendencia humana a confiar en otras

personas. El personal del servicio de asistencia debe controlar atentamente la información siguiente:

El personal del servicio de asistencia también debe desconfiar en el caso de que un llamador solicite la conexión a su

dirección IP de equipo para comprobar si hay algo incorrecto (por ejemplo, un atacante pide a alguien del servicio de

asistencia que se conecte a su equipo mediante el uso compartido de archivos, Escritorio remoto, Telnet u otro protocolo de

red). Si una persona del servicio de asistencia efectúa la conexión sin IPsec, el equipo del atacante puede obtener

información acerca de la contraseña o (en algunos casos, como con Telnet) robarla. Esta situación puede producirse porque

algunos protocolos de red de cliente no autentican en primer lugar y establecen una confianza segura con el equipo de

destino, o no requieren protecciones de contraseña segura antes de revelar la identidad del usuario o la información

relacionada con la contraseña.

Ejemplos de secuencias de comandos de soporte técnico En la mayoría de los escenarios de solución de problemas, puede determinarse una solución rápidamente tras la

identificación de la información adecuada. Esta información se puede averiguar con distintas herramientas de Windows,

como a las que se hace referencia en los diagramas de flujo. En la solución de Woodgrove Bank, se desarrollaron una serie

de secuencias de comandos para proporcionar información clave sin que fuera necesario que el personal de soporte técnico

de nivel 1 tuviera un conocimiento detallado de las operaciones y la sintaxis de las herramientas. Estas secuencias de

comandos están disponibles en la carpeta Herramientas y plantillas de la descarga de esta guía.

Secuencias de comandos disponibles para el soporte técnico de nivel 1 Si el usuario es un administrador local de su equipo, el personal del servicio de asistencia puede pedirle que ejecute una de

las tres secuencias de comandos proporcionadas con esta solución. Estas secuencias de comandos son ejemplos de las

secuencias de comandos personalizadas que se han utilizado para el entorno de Woodgrove Bank descrito en esta guía. Se

describen en este capítulo para ilustrar el modo en que se pueden utilizar las secuencias de comandos para respaldar el

proceso de solución de problemas.

Nota: estas secuencias de comandos son ejemplos probados, pero Microsoft no ofrece soporte técnico para ellas. Se deben

utilizar como base para la solución personalizada de una organización.

IPsec_Debug.vbs Además de proporcionar información de depuración, esta secuencia de comandos puede corregir algunos problemas.

• Miembros de la lista de exenciones. Es probable que la lista de las direcciones IP de los filtros de la lista de exenciones esté disponible para los administradores locales en todos los hosts de confianza mediante el complemento

Monitor IPsec de MMC o examinando la caché de la directiva IPsec del dominio en el Registro local. Además, la

configuración de seguridad empleada en la organización puede proporcionar a los usuarios no administrativos acceso de

lectura a la caché. Después de implementar el aislamiento de dominio por completo, los atacantes deben explorar la red

para detectar los equipos exentos, que podrán responder a las solicitudes de conexión TCP y UDP. Tenga en cuenta que

los servidores DNS, DHCP y WINS se identifican fácilmente a partir de la configuración DHCP, y los controladores de

dominio son fáciles de encontrar con una consulta DNS o una consulta de protocolo ligero de acceso a directorios (LDAP)

de UDP.

• Equipos de la organización que no participan en la solución de aislamiento. Por ejemplo, es posible que

determinados dominios o tipos de servidor no estén incluidos en la solución.

• Equipos que utilizan aislamiento de servidor o requieren control de acceso basado en equipo. Los servidores que contienen la información más confidencial normalmente disponen de la mayoría de las protecciones de seguridad.

• Usuarios que son administradores o tienen funciones especiales en la organización de TI. En algunos casos, las direcciones de correo electrónico se utilizan como nombres de equipo o una parte del nombre de equipo, con lo que

se revelan nombres de inicio de sesión o direcciones de correo electrónico.

• Subredes que se utilizan para finalidades específicas o por determinadas organizaciones. Si se conoce esta información, un atacante puede centrar su ataque en las partes más confidenciales y valiosas de la red.

• Otras medidas de seguridad basada en red que se estén utilizando. Por ejemplo, para un atacante resulta muy

útil saber si existen servidores de seguridad, si los filtros de enrutador permiten determinado tráfico o si se utiliza

detección de intrusos en la red.

Detiene y reinicia el servicio IPsec (lo que elimina todas las asociaciones de seguridad de IKE e IPsec actuales), obliga a

una actualización de Directiva de grupo para volver a cargar la directiva IPsec asignada al dominio actual del servicio de

directorio Active Directory® y actualiza la caché de directivas. Para evitar la pérdida de conectividad de las sesiones de

escritorio remoto, la secuencia de comandos se debe descargar en el equipo del llamador y ejecutarse localmente mediante

una cuenta que tenga privilegios administrativos. Utilice la siguiente sintaxis para ejecutar la secuencia de comandos en el

símbolo del sistema:

    cscript IPsec_Debug.vbs

La secuencia de comandos realiza las siguientes funciones:

Esta secuencia de comandos también habilita todos los registros relacionados con IPsec para la solución de problemas por

parte del departamento de soporte técnico de nivel 2.

Detect_IPsec_Policy.vbs Esta secuencia de comandos determina si el equipo está ejecutando la directiva IPsec correcta mediante la búsqueda en la

caché del Registro local actual de la información de versión de la directiva IPsec de dominio. Utilice la siguiente sintaxis

para ejecutar la secuencia de comandos en el símbolo del sistema:

    cscript Detect_IPsec_Policy.vbs

Nota: esta secuencia de comandos también se llama desde IPsec_Debug.vbs y, por lo tanto, no necesita ejecutarse además de dicha secuencia de comandos.

Refresh_IPsec_Policy.vbs Se trata de la secuencia de comandos de actualización de la directiva IPsec a la que se hace referencia en los diagramas de

flujo de solución de problemas. Actualiza los vales del protocolo de autenticación Kerberos de equipo y de Directiva de

grupo, y puede corregir el problema si éste se debe a una asignación de directiva IPsec incorrecta o a un error de descarga

de Directiva de grupo. Utilice la siguiente sintaxis para ejecutar la secuencia de comandos en el símbolo del sistema:

    cscript Refresh_IPsec_Policy.vbs

Transferencia de incidencias

• Detecta la versión del sistema operativo

• Llama a Detect_IPsec_Policy.vbs

• Aumenta el registro de Directiva de grupo

• Aumenta el registro del protocolo de autenticación Kerberos, versión 5

• Purga los vales del protocolo Kerberos actuales

• Actualiza Directiva de grupo

• Habilita el registro de IPsec

• Realice pruebas de PING y SMB (net view)

• Detecta las versiones de archivo de IPsec

• Ejecuta pruebas de diagnóstico de directiva y red

• Copia los sucesos 547 de IPsec en un archivo de texto

• Deshabilita el registro de IPsec

• Restaura el registro del protocolo Kerberos

• Restaura el registro de Directiva de grupo

Cuando el personal del servicio de asistencia tenga que transferir un posible problema de IPsec, en el nivel 1 se debe

recopilar la siguiente información y adjuntarla a la solicitud de servicio:

Los escenarios de aislamiento de servidor suelen tener su propio equipo de soporte técnico para investigar la pertenencia a

los grupos de acceso a la red.

Principio de la página

Preparación de la solución de problemas de nivel 2 El soporte técnico de nivel 2 tiene dos funciones principales. En primer lugar, al ser el destino de todas las transferencias

de nivel 1, en el nivel 2 se validan los problemas y se revisan las acciones realizadas por el nivel 1 para garantizar que no

se ha omitido ningún paso de solución de problemas. En este sentido, en el nivel 2 se debe confirmar que cualquier

problema transferido se debe realmente a IPsec y no a un diagnóstico erróneo. En segundo lugar, como ingenieros de

soporte técnico de red experimentados, el personal de soporte técnico de nivel 2 debe poder utilizar sus conocimientos y

experiencia (se indican en la sección siguiente) para resolver de forma correcta el problema mediante el análisis de los

registros sin obtener control administrativo del equipo. No obstante, los registros sólo capturan información, y las acciones

correctivas requieren acceso administrativo. No se prevé que un ingeniero de soporte técnico de nivel 2 deba ser

administrador de dominio o pueda realizar cambios en la directiva IPsec basada en dominio o en la pertenencia a grupos de

equipo.

Conocimientos de soporte técnico de nivel 2 El personal que debe proporcionar soporte técnico de nivel 2 para IPsec debe disponer de conocimientos y experiencia en

las siguientes áreas:

• Archivos de registro generados con la secuencia de comandos IPsec_Debug.vbs.

• El nombre del equipo del llamador para que el siguiente nivel de soporte técnico pueda identificar el archivo de registro

generado por la secuencia de comandos.

• El equipo de destino al que se ha denegado el acceso, para que la transferencia del problema se pueda dirigir al grupo

de soporte técnico adecuado.

• Directiva de grupo. Conocer las directivas que se deben asignar, cómo se asignan y poder realizar las tareas

siguientes:

• Comprobar las listas de control de acceso (ACL) en los objetos de Directiva de grupo (GPO).

• Comprobar la configuración de GPO.

• Comprobar la pertenencia a grupos de equipos y usuarios.

• Experiencia con el software de terceros que utiliza la organización.

• Identificación de los errores de autenticación.

• Poder comprobar que una cuenta de equipo de dominio es correcta mediante las utilidades netdiag y nltest.

• Configuración de IPsec. Poder realizar las siguientes tareas:

• Comprobar las configuraciones de filtros IPsec.

• Volver a cargar la directiva de dominio IPsec.

• Deshabilitar IPsec por completo o sólo la directiva de dominio para utilizar la directiva local con fines de prueba.

• Solucionar problemas del proceso de negociación IKE de IPsec y los protocolos de seguridad.

• Redes. Poder realizar las siguientes tareas:

• Solucionar problemas de pila de protocolo de red en un equipo host.

• Comprender y solucionar problemas de la información que se recopila en un seguimiento de red.

• Solucionar problemas de ruta de acceso a red, incluidas las soluciones de detección de MTU de ruta TCP y de acceso

remoto a red privada virtual (VPN).

Problemas inherentes al uso de IPsec Tal como se ha indicado en la sección anterior, el personal de soporte técnico de nivel 2 de una solución de aislamiento de

servidor y dominio necesita conocer los detalles de las comunicaciones protegidas por IPsec, pero también debe poder

aislar problemas relacionados con otros componentes de tecnología.

Para que se establezca una comunicación IPsec correcta entre dos equipos, ambos normalmente requieren una directiva

IPsec compatible. Por ejemplo, una directiva IPsec puede bloquear la comunicación si el equipo remoto no dispone de una

directiva IPsec adecuada. Aunque esto puede ser un comportamiento previsto o aceptable durante la ejecución de un

cambio de directiva, puede no ser tan evidente si bloquea la conectividad de red con uno o varios equipos y provoca

advertencias o errores de aplicación. En el peor de los casos, un administrador puede asignar accidentalmente una directiva

IPsec a todos los miembros del dominio que bloquee todo el tráfico. A menos que el error se corrija de inmediato con una

asignación correcta que se replique rápidamente después de la asignación original, la replicación de la directiva perjudicial

no se puede detener de forma sencilla. Este de tipo de error provoca una situación en la que las comunicaciones entre un

cliente y un controlador de dominio requerirían el uso de IPsec. Debido a que la autenticación utilizada en esta solución se

basa en el protocolo Kerberos, cualquier cliente que herede esta directiva no podría completar el proceso de inicio de

sesión, ya que no podría obtener el vale Kerberos necesario para proteger las comunicaciones. Los administradores deben

planear cuidadosamente cualquier cambio de directiva y asegurarse de que existen protecciones de procedimiento para

mitigar este tipo de situación.

En las guías enumeradas en la sección "Información adicional" al final de este capítulo se proporciona información general

acerca de la solución de problemas de TCP/IP. No obstante, muchos de los procedimientos a los que se hace referencia en

estas guías sólo funcionan mientras IPsec proporciona una conectividad correcta. Si se produce un error en IKE o IPsec, es

probable que la mayoría de estos procedimientos y herramientas dejen de ser efectivos. En un escenario de aislamiento de

servidor y dominio, es posible que algunos de los procedimientos documentados en las guías de información general no

funcionen en absoluto, aunque IPsec proporcione una conectividad correcta. Para mantener la eficacia en un entorno de

aislamiento de servidor y dominio, una organización de soporte técnico debe prever la actualización y la personalización de

las herramientas y los procedimientos de solución de problemas. Debido a que existen muchas formas distintas en que se

pueden implementar las directivas IPsec para controlar y proteger el tráfico, es improbable que las organizaciones puedan

basarse únicamente en los procedimientos existentes y en un kit de herramientas genérico.

Es importante para el personal de soporte técnico disponer de ejemplos documentados del resultado previsto de las

herramientas de solución de problemas de red obtenidos de un entorno de laboratorio donde el aislamiento de servidor y

dominio u otro tipo de implementación de IPsec funcione correctamente. En muchos casos, las herramientas de diagnóstico

de red no prevén retrasos de tres segundos para el retroceso a texto no cifrado o los pequeños retrasos necesarios para la

negociación IKE inicial de asociaciones de seguridad (SA) IPsec. Por lo tanto, las herramientas pueden mostrar un resultado

al ejecutarse inicialmente y otro distinto al ejecutarlas unos segundos después. Asimismo, donde IPsec deniegue

deliberadamente el acceso a la red, las herramientas informarán de errores. El tipo de error dependerá de la herramienta y

del entorno de IPsec.

Nota: en la sección dedicada al nivel 1, se emplearon los términos llamador y destino para ayudar al personal de soporte

técnico a solucionar problemas comunes. En la sección del nivel 2 es preferible utilizar los términos iniciador y contestador

de IPsec como ayuda para clarificar los procesos de solución de problemas más avanzados. En el resto de este capítulo se

utilizan estos términos de IPsec.

Directiva de grupo y pertenencia a grupos La directiva IPsec basada en dominio depende de Directiva de grupo y la descarga de GPO. Si el sistema de Directiva de

grupo cliente tiene errores al detectar cambios de GPO o al descargarlos, la conectividad de IPsec se puede ver afectada. Si

la asignación de Directiva de grupo está controlada por la pertenencia a unidades organizativas (OU) y las cuentas de

equipo se mueven accidentalmente a otra OU, se eliminan o se vuelven a crear en una OU errónea, podría asignarse una

directiva IPsec no adecuada.

Esta solución utiliza grupos de seguridad para controlar la asignación de directivas y el acceso a la red. La pertenencia a

grupos se incluye en los vales del protocolo de autenticación Kerberos versión 5 (los vales TGT y los de servicio) que tienen

una duración bastante prolongada. Por lo tanto, los administradores deben planear el tiempo que necesitan los equipos

para recibir credenciales de vales TGT y de servicio de Kerberos que contengan actualizaciones de pertenencia a grupos. El

protocolo Kerberos dificulta mucho la determinación de si los vales Kerberos de un equipo contienen la pertenencia a

grupos adecuada. Esta dificultad es de "diseño", ya que toda la información acerca de la pertenencia a grupos se almacena

de un modo cifrado en el vale. La pertenencia a grupos se debe determinar mediante la información del servicio de

directorio, no de los vales.

Autenticación Kerberos El diseño de aislamiento de servidor y dominio utiliza el protocolo Kerberos versión 5 para la autenticación IKE. Debido a

que el protocolo Kerberos necesita una conectividad de red correcta y servicio disponible de DNS y de controladores de

dominio, la ausencia de conectividad provoca un error en la autenticación Kerberos y en IKE (también se producirá un error

en IKE si se produce en Kerberos). Por lo tanto, los problemas de conectividad entre el equipo A y el equipo B se pueden

deber a una conectividad de red bloqueada entre el equipo A y el equipo C, que se deben a que el protocolo Kerberos no

puede autenticarse con un controlador de dominio. En situaciones como ésta, la información proporcionada en los sucesos

547 de los registros de auditoría y seguridad de Windows normalmente proporciona orientación valiosa acerca del origen

del problema.

Tráfico entrante protegido por IPsec necesario Esta solución de aislamiento de servidor y dominio especifica que se necesita comunicación protegida por IPsec para el

acceso entrante. Este requisito puede provocar que las herramientas de supervisión remota que se ejecutan en equipos que

no son de confianza o en dispositivos de supervisión de red dedicados informen de que no es posible ponerse en contacto

con un equipo remoto. Si estos equipos o dispositivos no se pueden unir al entorno de "confianza", no podrán desempeñar

su función de supervisión a menos que se agreguen algunas exenciones al diseño. La solución de problemas resulta

complicada debido al hecho de que quizás se necesite IPsec para establecer la conexión con un host de confianza, lo que

significa que es posible que el administrador no pueda conectar a un host de confianza y detener el servicio IPsec sin

perder conectividad. Si la directiva IPsec del administrador permite retroceso a texto sin cifrar, en la conexión remota se

producirá un retraso de tres o cuatro segundos después de que se detenga el servicio en el equipo remoto. No obstante, al

detener el servicio IPsec en un equipo remoto se eliminarán las asociaciones de seguridad IPsec que utilicen el resto de los

equipos conectados actualmente. Si estos equipos no pueden retroceder a texto sin cifrar, se detendrán las comunicaciones

y, finalmente, se perderán las conexiones TCP. Debido a que las interrupciones bruscas de las comunicaciones TCP pueden

provocar daños en los datos de las aplicaciones, la detención del servicio IPsec sólo se debe utilizar como la última opción

en el proceso de solución de problemas. Antes de que se detenga el servicio IPsec, el equipo debe estar preparado para

cerrarse de modo que todos los usuarios conectados y las aplicaciones puedan terminar correctamente las comunicaciones.

Problemas de dirección de comunicación Un escenario habitual de solución de problemas es la comunicación correcta en una dirección pero no en la dirección

inversa. La autenticación IKE normalmente requiere autenticación mutua entre los equipos. Si un equipo no puede obtener

un vale Kerberos cuando inicia el modo principal IKE para un equipo remoto, se producirá un error en IKE. Esta situación se

puede producir si el cliente Kerberos del equipo iniciador no puede tener acceso a un controlador de dominio del dominio

del equipo de destino. Si los equipos son miembros de dominios que no confían mutuamente entre sí (confianza

bidireccional), las negociaciones de modo principal IKE se realizarán correctamente cuando un equipo las inicie y se

producirá un error si el otro equipo las inicia. De modo similar, los derechos de inicio de sesión de red entrante pueden ser

distintos en los dos equipos. Es posible que se produzca un error en la negociación de modo rápido y modo principal IKE en

una dirección no sólo por estos motivos, sino también si los diseños de directiva IPsec no son compatibles en ambos lados.

Los servidores de seguridad basados en host que interceptan el tráfico por encima de la capa IPsec pueden exigir la

direccionalidad en las conexiones. Algunos servidores de seguridad basados en host interceptan el tráfico por debajo de la

capa IPsec. Después de establecer una comunicación IPsec correcta, es probable que se permita el tráfico protegido por

IPsec en ambas direcciones durante un cierto período de tiempo.

El filtrado activo por parte de un enrutador o servidor de seguridad también puede bloquear las acciones de regeneración

de clave IKE o el flujo de tráfico IPsec sin afectar a otros protocolos de diagnóstico, como ICMP. Es posible que no se pueda

tener acceso a los puertos TCP y UDP en un equipo debido a que no se está ejecutando un servicio o porque un dispositivo

que funciona por encima de la capa IPsec (como Windows Firewall o un enrutador de red) está bloqueando el acceso.

Solución de problemas de seguimientos de red y rutas de acceso de red avanzadas Los errores en la negociación de IKE normalmente provocan que el equipo deje de responder a la negociación IKE o, en

algunos casos, vuelva a enviar el último mensaje "válido" hasta que caduque el límite de reintentos. IKE debe poder enviar

datagramas UDP fragmentados que contengan vales Kerberos porque dichos paquetes suelen superar la unidad de

transmisión máxima de ruta (PMTU) para la dirección IP de destino. Si no se admite la fragmentación correctamente, los

dispositivos de red en una ruta determinada pueden descartar dichos fragmentos. Además, quizás la red no pase paquetes

de protocolo IPsec o fragmentos de paquetes IPsec correctamente. La integración de IPsec con TCP permite que TCP

reduzca el tamaño de paquete para aceptar la carga de los encabezados IPsec. No obstante, la negociación TCP del tamaño

de segmento máximo (MSS) durante el protocolo de enlace TCP no tiene en cuenta la carga IPsec. Por lo tanto, hay un

mayor requisito para la detección de ICMP PMTU en la red con el fin de garantizar una comunicación TCP protegida por

IPsec correcta. Así pues, la solución de problemas de conectividad puede requerir seguimientos de red de uno o los dos

lados de la comunicación, así como registros de ambos lados.

Los ingenieros de soporte técnico deben saber leer los seguimientos de red y también comprender la negociación IKE. Los

servidores deben tener instalado el software Monitor de red de Windows. Monitor de red de Windows 2000 proporciona

análisis de AH e IKE de IPsec. Windows Server 2003 agrega compatibilidad para analizar IPsec ESP nula, analizar ESP

cuando se desvía el cifrado y analizar la encapsulación UDP-EPS empleada para NAT transversal.

Kit de herramientas de solución de problemas Antes de comenzar a solucionar problemas, es importante identificar las utilidades que pueden obtener información que

sirva de ayuda para el proceso de solución de problemas. En esta sección no se intenta duplicar la información que se

encuentra en la Ayuda de Windows 2000, Windows XP o Windows Server 2003 o a la que se puede tener acceso en la

página de herramientas de solución de problemas del sitio Web de Microsoft Windows Server™ 2003 en

www.microsoft.com/resources/documentation/

WindowsServ/2003/standard/proddocs/en-us/

sag_IPSec_tools.asp.

Aquí sólo se proporciona información de herramientas detallada si no se encuentra fácilmente en la página de herramientas

de solución de problemas indicada o cuando resulte útil disponer de resúmenes por versiones de sistema operativo.

Complemento Administración de la directiva de seguridad IP de MMC El complemento Administración de la directiva de seguridad IP de MMC se utiliza para crear u administrar directivas IPsec

locales o almacenadas en Active Directory. También se puede utilizar para modificar la directiva IPsec en equipos remotos.

El complemento Administración de la directiva de seguridad IP de MMC se incluye en los sistemas operativos

Windows Server 2003, Windows XP, Windows 2000 Server y Windows 2000 Professional y se puede utilizar para ver y

editar detalles de directivas, filtros, listas de filtros y acciones de filtro de IPsec, así como para asignar y cancelar la

asignación de directivas IPsec.

Complemento Monitor de seguridad IP de MMC El complemento Monitor de seguridad IP de MMC muestra las estadísticas de IPsec y las asociaciones de seguridad activas.

También se utiliza para ver información acerca de los siguientes componentes de IPsec:

Aunque este complemento forma parte de los sistemas operativos Windows XP y Windows Server 2003, existen diferencias

de funcionalidad y de interfaz entre las versiones de Windows XP y Windows Server 2003. Además, la versión de

Windows Server 2003 tiene las siguientes características adicionales:

Hay disponible una actualización de este complemento para Windows XP como parte de la actualización que se describe en

el artículo 818043 de Microsoft Knowledge Base, "Actualización de NAT-T de L2TP/IPSec para Windows XP y

Windows 2000", que está disponible en http://support.microsoft.com/?kbid=818043. Esta actualización permite ver

equipos con Windows Server 2003 desde Windows XP. El complemento Monitor de seguridad IP de MMC actualizado

también puede leer características avanzadas creadas en Windows Server 2003 (por ejemplo, información de grupo Diffie-

Hellman 2048, asignaciones de certificado y filtros dinámicos), pero no puede editarlas. Para obtener más información,

consulte el artículo de Knowledge Base al que se hace referencia.

Netsh Netsh es una utilidad de secuencias de la línea de comandos que permite mostrar o modificar la configuración de red.

Además, puede utilizar Netsh de forma local o remota. Netsh está disponible para Windows 2000, Windows XP y

Windows Server 2003. No obstante, la versión de Windows Server 2003 se ha mejorado para proporcionar funcionalidad de

diagnóstico y administración IPsec. Los comandos de Netsh para IPsec sólo están disponibles para Windows Server 2003;

reemplazan a Ipseccmd en Windows XP y a Netdiag como se utiliza en Windows 2000.

Ipseccmd

• Modo principal y modo rápido IKE

• Directivas IPsec locales o de dominio

• Filtros IPsec que se aplican al equipo

• Proporciona detalles acerca de la directiva IPsec activa, incluido el nombre de directiva, la descripción, la fecha de última

modificación, el almacén, la ruta de acceso, la unidad organizativa y el nombre de objeto de Directiva de grupo. Para

obtener la misma información en Windows XP, debe utilizar la herramienta de la línea de comandos IPseccmd (que se

describe más adelante en esta sección).

• Se proporcionan estadísticas independientemente para el modo principal o el modo rápido en carpetas debajo de cada

modo, en vez de en una presentación única.

Nota: en Windows 2000, Monitor de seguridad IP es un programa ejecutable independiente (IPsecmon.exe) con su

propia interfaz gráfica de usuario. Esta herramienta y el modo de utilizarla se describen en el artículo 257225 de

Microsoft Knowledge Base, "Basic IPSec troubleshooting in Microsoft Windows 2000 Server", disponible en

http://support.microsoft.com/kb/257225.

Ipseccmd es una alternativa de la línea de comandos al complemento Directiva de seguridad IP de MMC. Sólo está

disponible para Windows XP, y Service Pack 2 de Windows XP proporciona funcionalidad adicional para esta herramienta.

Ipseccmd se debe instalar desde la carpeta de herramientas de soporte técnico del CD de Windows XP. Con SP2 de

Windows XP hay disponible una versión actualizada que se debe instalar desde la carpeta de herramientas de soporte

técnico del CD del SP2 de Windows XP. La versión anterior a SP2 no funciona en equipos actualizados, y la versión

actualizada no funciona en equipos anteriores a SP2.

La utilidad Ipseccmd actualizada tiene las siguientes capacidades:

Para obtener más información acerca de la utilidad Ipseccmd actualizada, consulte el artículo 818043 de Microsoft

Knowledge Base (mencionado anteriormente).

Para mostrar toda la configuración y estadísticas de la directiva IPsec para diagnóstico, utilice la sintaxis siguiente:

ipseccmd show all

Para mostrar las directivas IPsec asignadas y activas (locales o Active Directory), utilice la sintaxis siguiente.

ipseccmd show gpo

Nota: este comando sólo funciona con la versión de SP2.

Para habilitar el registro de depuración en SP2 de Windows XP, utilice la siguiente sintaxis:

ipseccmd set logike (no se requiere el reinicio del servicio IPsec)

Para desactivar el registro de depuración, utilice la sintaxis siguiente:

ipseccmd set dontlogike (de nuevo, no se requiere el reinicio del servicio IPsec)

Nota: sólo puede utilizar Ipseccmd para habilitar el registro de Oakley en SP2 de Windows XP; los comandos anteriores no

funcionan en equipos anteriores a SP2.

Netdiag Netdiag es una herramienta de diagnóstico de la línea de comandos que se utiliza para probar la conectividad y

configuración de la red, incluida la información de IPsec. Netdiag está disponible en Windows 2000, Windows XP y

Windows Server 2003, pero su funcionalidad cambia con la versión de sistema operativo. En Windows Server 2003, Netdiag

ya no incluye funcionalidad de IPsec; en su lugar, puede utilizar el contexto ipsec de netsh y las pruebas de red básicas

también se pueden obtener de Netsh. Para todas las versiones de sistema operativo, es importante asegurarse de que

utiliza la última versión; para ello, visite el Centro de descarga de Microsoft. Netdiag debe instalarse desde la carpeta de

herramientas de soporte técnico del CD del sistema operativo Windows que se utilice.

Nota: Netdiag no se actualiza al instalar SP2 de Windows XP.

La importancia de Netdiag para la solución de problemas de IPsec depende de la versión de sistema operativo. Las

diferencias de funcionalidad se describen en la tabla siguiente.

Tabla 7.1: Funcionalidad IPsec de Netdiag en los distintos sistemas operativos

• Activa y desactiva el registro de IKE dinámicamente.

• Muestra información acerca de una directiva asignada actualmente.

• Permite crear una directiva IPsec persistente.

• Puede mostrar la directiva IPsec asignada y activa.

Comando Descripción Windows2000? WindowsXP? Windows2003?

netdiag

/test:ipsec

Ver la directiva IPsec asignada Sí Sí No**

* Proporciona diagnóstico de red, pero sólo muestra el nombre de la directiva IPsec. Si se utiliza Ipseccmd, hay disponible

información de IPsec adicional.

** Proporciona diagnóstico de red, pero no muestra información de IPsec. En su lugar, utilice la siguiente sintaxis: netsh

ipsec dynamic show all.

Otras herramientas útiles de soporte técnico para IPsec Además de las herramientas específicas de IPsec mencionadas anteriormente, en la tabla siguiente se enumeran otras

herramientas que pueden resultar útiles para solucionar problemas y se deben incluir en el kit de herramientas de solución

de problemas de nivel 2.

Tabla 7.2: Otras herramientas útiles para solucionar problemas de IPsec

netdiag

/test:ipsec

/debug

Mostrar la directiva de IPsec

activa, los filtros y las

estadísticas del modo rápido

Sí Sí* No**

netdiag

/test:ipsec

/v

Mostrar la directiva de IPsec

activa, los filtros y las

estadísticas del modo principal

Sí Sí* No**

Herramienta Sistemas operativos admitidos

Cómo se obtiene

Función Información adicional

Ipsecpol.exe Sólo Windows 2000 Kit de recursos

de Windows 2000

Configura las

directivas IPsec en

el directorio o en un

Registro

Ayuda de las herramientas del Kit de

recursos de Windows 2000

Gpresult Windows 2000,

Windows Server

2003, Windows XP

Kit de recursos

de Windows

2000; para

Windows XP y

Windows Server

2003, forma

parte del sistema

operativo.

Comprobar cuándo

se aplicó Directiva

de grupo por última

vez

Ayuda de las herramientas del Kit de

recursos de Windows 2000,

Windows XP y Ayuda de

Windows Server 2003

Complemento

Conjunto

resultante de

directivas

(RSoP)

de MMC

Windows Server

2003, Windows XP

Parte del sistema

operativo

Ver la directiva

IPsec de un equipo

o de los miembros

de un contenedor

Directiva de grupo

Windows Server

Windows Server 2003

Srvinfo Windows 2000,

Windows Server

2003, Windows XP

Kits de recursos

de Windows

2000 y Windows

Server

2003

Información de

servicios,

controladores de

dispositivo y

protocolos

Ayuda de las herramientas del Kit de

recursos de

Windows Server 2003

PortQry Windows 2000,

Windows Server

2003, Windows XP

Kit de recursos

de Windows

Server

2003

Informe de estado

de puertos de red

http://support.

microsoft.com/

kb/310099

NLTest Windows 2000,

Windows Server

2003, Windows XP

Herramientas de

soporte técnico

Probar relaciones de

confianza y canales

seguros de

Netlogon

Ayuda de las herramientas de

soporte técnico de Windows Server

2003

Uso de las herramientas basadas en ICMP con IPsec Las herramientas Ping, Pathping y Tracert de Windows XP y Windows Server 2003 reconocen IPsec, pero es posible que no

funcionen correctamente hasta que no se hayan establecido asociaciones de seguridad por software (si se permite el

retroceso a texto no cifrado). Si se han negociado asociaciones de seguridad de IPsec correctamente para encapsular el

tráfico ICMP que usan estas utilidades, no podrán detectar saltos intermedios (enrutadores) entre el cliente y el destino.

Los cálculos de pérdida de paquetes de Ping pueden mostrar paquetes perdidos durante el tiempo necesario para que IKE

negocie correctamente un par de asociaciones de seguridad de IPsec con el destino. No estarán disponibles los cálculos de

pérdida de paquetes para cada salto intermedio cuando IPsec encapsule el tráfico ICMP.

Estas utilidades ICMP están diseñadas para detectar si el controlador de IPsec ha encontrado una coincidencia de un filtro

IPsec con el paquete de solicitud de eco ICMP y, por lo tanto, ha solicitado que IKE negocie la seguridad. Cuando esto

sucede, la utilidad muestra el mensaje "Negociar seguridad IP". Un error conocido de Windows 2000 provoca que la utilidad

Ping no espere el período de tiempo correcto antes de reintentar la siguiente solicitud de eco, lo que significa que el

comando puede terminar inmediatamente en lugar de esperar tres segundos hasta que se establezca la asociación de

seguridad por software. La utilidad Ping de Windows XP y Windows Server 2003 espera el número de segundos previsto

antes de que se envíe la siguiente solicitud de eco.

El mensaje "Negociar seguridad IP" no se mostrará en las situaciones siguientes:

Principio de la página

Proceso de solución de problemas de IPsec Si el equipo de soporte técnico de nivel 1 ha identificado claramente el problema, el de nivel 2 podrá encontrar

rápidamente el procedimiento de solución adecuado en las secciones siguientes. En este modelo, el equipo de soporte

técnico de nivel 1 se ocupa de los problemas de acceso relacionados con el cliente. Se espera que los propietarios

administrativos de los servidores puedan efectuar diagnósticos de conectividad de red básicos y puedan pasar por alto el

soporte técnico de nivel 1. No obstante, cada organización debe ajustar el modelo a su entorno de soporte técnico. El

equipo de soporte técnico de nivel 2 debe centrarse en la identificación del lugar donde se produce el error de comunicación

y, a continuación, investigar las posibilidades relacionadas en la arquitectura del sistema.

Si su organización utiliza las secuencias de comandos que se proporcionan como parte del proceso de solución de

problemas, dispondrá de acceso a una serie de archivos de registro de texto que puede utilizar como ayuda para

diagnosticar el problema. En la tabla siguiente se ofrecen las descripciones de los archivos que genera la secuencia de

comandos.

Tabla 7.3: Archivos creados a partir de la secuencia de comandos IPsec_Debug.vbs

Klist Windows 2000,

Windows Server

2003, Windows XP

Kits de recursos

de Windows y

Windows Server

2003

Informes de vales

Kerberos

Ayuda de las herramientas del Kit de

recursos de Windows Server

2003

Pathping Windows 2000,

Windows Server

2003, Windows XP

Parte del sistema

operativo

Pruebas de

conectividad y rutas

de red

Ayuda de Windows

LDP Windows 2000,

Windows Server

2003, Windows XP

Herramientas de

soporte técnico

Pruebas del cliente

LDAP para Active

Directory

Ayuda de las herramientas de

soporte técnico de Windows Server

2003

• Si el controlador IPsec descarta el paquete ICMP saliente debido a un bloqueo de filtro.

• Si el controlador IPsec permite que el paquete ICMP pase de forma no segura debido a un filtro de permiso o a una

asociación de seguridad por software.

• Si el controlador IPsec no detecta el paquete saliente (por ejemplo, lo han descartado las capas por encima del

controlador IPsec).

Nota: es posible que algunas herramientas que utilizan ICMP no puedan detectar que IPsec está negociando la

seguridad y pueden producir resultados incoherentes o erróneos.

Debido a que hay numerosos puntos de error posibles, en esta sección se trata cada componente de diseño en orden, a

partir de la conectividad de red. Se han definido procedimientos para ayudarle a realizar las siguientes tareas:

Tenga en cuenta el siguiente escenario de ejemplo: un cliente informa de que puede utilizar el comando ping con un

servidor, pero no puede conectarse a un recurso compartido de archivos en dicho servidor. Se trata del único servidor al

que no puede tener acceso el cliente. Un examen rápido del suceso 547 (error de negociación IKE), que contiene la

dirección IP del servidor, del registro de seguridad indica que el cliente tiene una directiva IPsec y que IKE se está

iniciando. Si el suceso 547 del cliente indica que se ha agotado el tiempo de espera de la negociación IKE del cliente, es

Nombre de archivo Descripción

<NombreOrganización>_FileVer.txt Enumera las versiones de los archivos DLL relacionados con

IPsec.

<NombreOrganización>_gpresult.txt Resultado del comando gpresult.

<NombreOrganización>_ipsec_547_events.txt Resultado de cualquier error 547 de IPsec en el registro de

sucesos de seguridad.

<NombreOrganización>_ipsec_policy_version.txt Resultado de la secuencia de comandos

Detect_IPsec_Policy.vbs. Muestra la versión de directiva actual

del equipo y si coincide con la directiva de Active Directory.

<NombreOrganización>_ipseccmd_show_all.txt Sólo en Windows XP. Este archivo captura el resultado del

comando ipseccmd.

<NombreOrganización>_kerberos_events.txt Resultado de cualquier suceso de Kerberos en el registro de

sucesos del sistema.

<NombreOrganización>_klist_purge_mt.txt Resultado de KList al purgar los vales de equipo.

<NombreOrganización>_lsass.log Copia del archivo lsass.log, si está presente.

<NombreOrganización>_netdiag.txt Resultado de ejecutar netdiag.

<NombreOrganización>_netsh_show_all.txt Sólo en plataformas de servidor. Resultado del comando show

all en netsh.

<NombreOrganización>_netsh_show_gpo.txt Sólo en plataformas de servidor. Resultado del comando show

gpo en netsh.

<NombreOrganización>_oakley.log Copia del archivo Oakley.log, si está presente.

<NombreOrganización>_OSInfo.txt Información del sistema operativo actual.

<NombreOrganización>_RegDefault.txt Valores de las claves del Registro original antes del cambio. Se

pueden utilizar para restablecer manualmente el Registro a los

valores anteriores si se produce algún error en la secuencia de

comandos.

<NombreOrganización>_userenv.log Copia del archivo userenv.log, si está presente.

<NombreOrganización>_<NombreServidor>_netview.txt Resultado del comando net view en <NombreServidor>.

<NombreOrganización>_<NombreServidor>_ping.txt Resultado del comando ping en <NombreServidor>.

<NombreOrganización>_winlogon.log Copia del archivo winlogon.log, si está presente.

• Comprobar la configuración de la red IP, la conectividad y el servicio de red con los controladores de dominio, así como

la conectividad de ruta cliente-servidor para los protocolos relacionados con IPsec.

• Comprobar la aplicación correcta de Directiva de grupo y la directiva IPsec en el cliente y en el servidor.

• Investigar los problemas con la negociación IKE y la comunicación protegida por IPsec.

• Identificar la causa de un problema para la transferencia al nivel 3, si es necesario.

posible que se haya producido un error en la negociación por parte del servidor. A continuación, el equipo de soporte

técnico de nivel 2 revisa la base de datos de sucesos MOM en busca de sucesos 547 recopilados del servidor especificado,

que contendrán la dirección IP del cliente actual.

Advertencia: inicio y detención del servidor IPsec En el documento de solución de problemas de TCP/IP de Windows Server 2003 y en otras referencias se describe cómo

determinar si IPsec provoca un problema de conectividad mediante la detención del servicio IPsec. Aunque se detendrá el

filtrado IPsec en el equipo, también deshabilitará la protección que ofrece IPsec, expondrá el equipo a un acceso de red que

no es de confianza y deshabilitará la protección de paquete. Asimismo, en un entorno de aislamiento de dominio, otros

miembros del dominio de aislamiento descartarán el tráfico TCP y UDP que no está protegido por IPsec. Si se deshabilita

IPsec en un equipo, se producirán interrupciones de conectividad con dichos equipos remotos que tienen establecidas

asociaciones de seguridad IPsec actualmente. Cuando se detiene el servicio IPsec, IKE envía notificaciones de eliminación

para todas las asociaciones de seguridad IPsec y para la asociación de seguridad IKE a todos los equipos conectados de

forma activa. Los equipos remotos con una directiva IPsec que permita retroceder a texto no cifrado volverán a establecer

la conectividad al cabo de un retraso de tres segundos. Los equipos remotos con una directiva IPsec que no permita el

retroceso a texto no cifrado no podrán establecer comunicación.

Por lo tanto, es importante que utilice las técnicas descritas en las secciones siguientes para solucionar problemas de

escenarios de aislamiento sin detener el servicio IPsec. Sólo se deshabilitará el servicio IPsec como último recurso para

descartar problemas relacionados con IPsec en las siguientes situaciones:

En Windows 2000, al detener el servicio IPsec se desenlazará el controlador IPsec de TCP/IP y se descargará de la

memoria.

En Windows XP y Windows Server 2003, al detener el servicio IPsec se eliminarán todos los filtros del controlador IPsec y el

modo del mismo se establecerá en PERMITIR. No se descarga el controlador IPsec de la memoria. Para impedir la carga del

controlador IPsec, se debe deshabilitar el servicio IPsec y reiniciar el equipo.

En Windows 2000 y SP1 de Windows XP, el registro de IKE en el archivo Oakley.log requiere el reinicio del servicio IPsec. No es necesario detener el servicio para habilitar y deshabilitar el registro de IKE en el archivo Oakley.log en SP2 de Windows XP y Windows Server 2003. La última actualización de Ipseccmd para SP2 de Windows XP proporciona la sintaxis

ipseccmd set logike e ipseccmd set dontlogike para habilitar y deshabilitar dinámicamente el registro de IKE en el archivo

Oakley.log. El registro de IKE de Windows Server 2003 se puede habilitar dinámicamente mediante los comandos de

Netsh descritos en la ayuda en línea.

Comprobación de la conectividad de red Si el equipo de soporte técnico del nivel 1 identifica posibles problemas de conectividad de red, el primer paso es

determinar si existe conectividad de red básica. Esta determinación implica comprobar que se utiliza la configuración IP

correcta, que existe una ruta de red válida entre el iniciador y el equipo contestador y que funcionan los servicios de

resolución de nombres.

Problemas de configuración de dirección IP de red Si la configuración IP dinámica no se realiza correctamente, o si las comunicaciones están bloqueadas después de reiniciar

el equipo (o incluso durante el funcionamiento normal), es posible que la causa sea IPsec. En Windows Server 2003, dichos

problemas pueden estar relacionados con el comportamiento a prueba de errores de IPsec (por ejemplo, si el equipo se

inicia en el modo a prueba de errores o en el modo de recuperación de Active Directory).

Nota: para obtener información detallada acerca del comportamiento a prueba de errores de Windows Server 2003,

consulte "Understanding IPSec Protection During Computer Startup" en "Deploying IPsec" del Windows Server 2003

Deployment Kit en www.microsoft.com/resources/

documentation/WindowsServ/2003/all/deployguide/

en-us/dnsbj_ips.asp.

Windows Server 2003 recurre al comportamiento a prueba de errores si el servicio IPsec no se puede iniciar correctamente

o no se puede aplicar la directiva asignada. La protección a prueba de errores sólo se aplica cuando se asigna una directiva

IPsec al equipo y cuando el servicio IPsec no está deshabilitado. Por lo tanto, se puede producir un error en la conectividad

a un equipo o desde él durante el funcionamiento normal porque el controlador IPsec no exige la directiva IPsec basada en

dominio. Después de determinar el tráfico que está permitido y bloqueado por las configuraciones de modo de inicio y

• Entornos de tráfico de difusión y multidifusión

• Conexiones a equipos remotos que no requieran IPsec para el acceso entrante (por ejemplo, equipos que sean

miembros de la lista de exenciones)

persistentes, un error de comunicaciones se puede explicar fácilmente. Para obtener información alternativa o adicional,

puede consultar el estado actual desde la línea de comandos con la sintaxis siguiente:

    netsh ipsec dynamic show config

Para Windows Server 2003, el controlador IPsec se carga durante el inicio del equipo con el controlador TCP/IP. Por lo

tanto, para anular el comportamiento a prueba de errores del controlador IPsec, se debe deshabilitar el servicio IPsec y

reiniciar el equipo. En el capítulo de implementación IPsec mencionado anteriormente se incluye la configuración

recomendada de las exenciones de inicio para dejar exentas las conexiones entrantes de Protocolo de escritorio remoto, lo

que garantizará que esté disponible el acceso remoto al servidor cuando esté bloqueado otro tráfico.

En una aplicación de aislamiento de servidor y dominio, el tráfico de difusión y el tráfico a los servidores DHCP están

exentos para garantizar que la configuración de IP dinámica funciona correctamente. No obstante, la lista de exenciones se

debe actualizar manualmente y puede quedar obsoleta. Si un equipo no puede obtener una configuración DHCP correcta

(por ejemplo, si utiliza una dirección IP de autoconfiguración 169.254.x.x) o tiene problemas para renovar la concesión, se

debe examinar la directiva IPsec para comprobar si están las exenciones correctas. Con el servicio IPsec en ejecución,

utilice Ipconfig para confirmar que no existen problemas para obtener una dirección:

Si los problemas de configuración de dirección sólo se producen durante el inicio del equipo para SP2 de Windows XP y

Windows Server 2003, se debe inspeccionar la configuración de las exenciones (las predeterminadas y las de inicio).

Problemas de resolución de nombres El diseño de directiva IPsec empleado en los escenarios de aislamiento de servidor y dominio no debe interferir en los

procedimientos habituales que se utilizan para determinar si funciona la resolución de nombres. Por ejemplo, en el

escenario de Woodgrove Bank, el diseño de la directiva IPsec deja exento todo el tráfico a los servidores DNS y WINS. No

obstante, es posible configurar los servidores DNS y WINS para no responder a las solicitudes de Ping. Conteste las

siguientes preguntas para confirmar que la resolución de nombres funciona correctamente mientras se ejecuta el servicio

IPsec:

Las posibles fuentes de problemas de resolución de nombres son: un archivo HOSTS activo y configurado incorrectamente,

una entrada de servidor DNS configurada incorrectamente en las propiedades de IP, anotaciones de registros DNS

incorrectas, problemas de actualización de archivos de zona, problemas de replicación de Active Directory, uso de retroceso

a texto no cifrado para los servidores DNS y problemas de autoactualización de DHCP.

Los posibles motivos de los errores de la resolución de nombres NetBIOS son: un archivo LMHOSTS activo y configurado

incorrectamente, una entrada de servidor WINS configurada incorrectamente en las propiedades de IP, falta de

disponibilidad de servidores WINS, registro WINS incorrecto, problemas de replicación WINS, errores de servidor proxy

WINS y tiempo de espera de red para conectar con el servidor WINS.

Para consutar los procedimientos para solucionar problemas de DNS integrado en Active Directory, visite la página

Troubleshooting Active Directory - Related DNS Problems de Microsoft.com en www.microsoft.com/technet/prodtechnol/

windows2000serv/technologies/activedirectory/

maintain/opsguide/part1/adogd10.mspx.

Algunos entornos de alta seguridad pueden necesitar que los servidores DNS y WINS se protejan con IPsec, lo que puede

provocar problemas de resolución de nombres. Por ejemplo, si DNS está integrado en Active Directory y existen filtros

duplicados para la misma dirección IP en la directiva IPsec, un filtro puede negociar la seguridad con el servidor DNS y otro

puede dejar exentos los controladores de dominio. Para obtener más información, consulte la sección "Solución de

problemas de la directiva IPsec", que aparece más adelante en este capítulo.

Si continúan los problemas de resolución de nombres, puede obtener la lista de filtros del iniciador y comprobar si existen

filtros duplicados. Puede utilizar las siguientes opciones de la línea de comandos para ver las listas de filtros de esta tarea:

• Para los clientes DHCP, abra una ventana de comando y ejecute ipconfig /release seguido de ipconfig /renew.

• ¿Puede el cliente utilizar el comando ping con la dirección IP del servidor DNS incluida en su configuración IP?

• ¿Puede el comando nslookup encontrar un servidor DNS?

• ¿Puede el cliente utilizar el comando ping con el nombre DNS completo del destino?

• ¿Puede el cliente utilizar el comando ping con el nombre DNS abreviado o NetBIOS del destino?

Ipseccmd show filters Netsh ipsec static show all

Si se siguen produciendo los problemas de resolución de nombres, el servicio IPsec se debe detener brevemente (si es

posible) mientras se repiten las pruebas de resolución de nombres. Si se producen errores en las pruebas de resolución de

nombres únicamente cuando el servicio IPsec está en ejecución, debe proseguir la investigación para determinar la

directiva IPsec que se aplica, según se describe más adelante en esta sección.

Comprobación de la conectividad y la autenticación con los controladores de dominio Debido a que la entrega de la directiva IPsec, la autenticación IKE y los protocolos de capa superiores dependen del acceso

a los controladores de dominio, las pruebas de la conectividad de red y del funcionamiento correcto de los servicios de

autenticación se deben llevar a cabo antes que los pasos de solución de problemas específicos de IPsec (descritos en la

sección siguiente). En un escenario como Woodgrove Bank, el diseño de la directiva IPsec deja exento todo el tráfico a los

controladores de dominio, por lo que las pruebas de conectividad de red a ellos no deberían verse afectadas por IPsec. No

obstante, la lista de las direcciones IP de controlador de dominio de la lista de exenciones se debe actualizar manualmente.

Si la negociación IKE se lleva a cabo en una dirección IP de controlador de dominio, es posible que la directiva IPsec se

haya asignado incorrectamente o no se haya actualizado.

Para solucionar problemas de acceso a los servicios de red en Active Directory

Se puede utilizar la herramienta de soporte técnico de Windows klist.exe para comprobar si el inicio de sesión y la

autenticación Kerberos se realizan correctamente. Klist se debe ejecutar en el contexto de sistema local para ver los vales

Kerberos para el equipo.

Para ver los vales del servicio Kerberos para el usuario que ha iniciado sesión en el dominio

Para ver los vales de equipo de dominio

• Compruebe que el cliente puede utilizar el comando ping con cada dirección IP de controlador de dominio. Si no puede,

consulte los pasos de conectividad de red anteriores.

• Identifique las direcciones IP que se utilizan para los controladores de dominio del miembro de dominio. Utilice nslookup

<nombre de dominio> para volver a la lista completa de direcciones IP. En un escenario de aislamiento de servidor y

dominio, debe haber un filtro específico de modo rápido con una directiva de negociación (acción de filtrado) permitir

para cada una de estas direcciones.

• Utilice la versión 2.0 o posterior de la herramienta portqry.exe o la herramienta PortQueryUI para probar el acceso a

los puertos UDP, LDAP y RPC del controlador de dominio. Los mensajes de protocolo UDP que utiliza portqry

normalmente no necesitan autenticación de protocolo de capa superior, por lo que pueden comprobar la disponibilidad

del servicio aunque no esté disponible la autenticación. Estos pasos se explican en HOW TO: Use Portqry to Troubleshoot

Active Directory Connectivity Issues, disponible en http://support.microsoft.com/?kbid=816103.

• Al conectarse a la red interna, utilice netdiag /v >archivosalida.txt para llevar a cabo numerosas pruebas de

conectividad relacionadas con DNS y con controladores de dominio. Netdiag utiliza varias conexiones y protocolos de red

para realizar las pruebas. Si alguna de estas conexiones activa las negociaciones IKE y se produce un error en la

autenticación porque IKE no puede encontrar un controlador de dominio para la autenticación Kerberos, se puede

almacenar el error del suceso 547 en el registro de seguridad.

• Abra un símbolo del sistema y escriba lo siguiente:

klist tickets

1. Compruebe que el servicio Programador de tareas está en ejecución y que el usuario que ha iniciado la sesión es

miembro del grupo Administradores local.

2. En un símbolo del sistema elija una hora que sea un minuto posterior a la hora del sistema actual (como 4:38 p.m.)

y escriba lo siguiente:

at 4:38pm /interactive cmd /k klist tickets

Observe que la barra de título de la ventana de comando contiene C:\Windows\System32\svchost.exe.

Aunque los vales Kerberos contienen información de grupo para el usuario o el equipo, esta información está cifrada y no

se pueden ver los grupos. Por lo tanto, la pertenencia a grupos se debe confirmar manualmente mediante la inspección de

la misma en Active Directory. Para garantizar que los equipos disponen de la información de pertenencia a grupos más

reciente en sus vales Kerberos, utilice klist para purgar los vales Kerberos actuales. Cuando se vuelva a intentar la

negociación IKE, se obtendrán nuevos vales Kerberos automáticamente.

Para purgar los vales Kerberos para el equipo

(Los pasos 1 a 4 se deben realizar en el contexto de sistema local.)

1. Compruebe que el servicio Programador de tareas está en ejecución y que el usuario que ha iniciado la sesión es

miembro del grupo Administradores local.

2. En un símbolo del sistema elija una hora que sea un minuto posterior a la hora del sistema actual (como 4:38 p.m.)

y escriba lo siguiente:

at 4:38pm /interactive cmd

3. Escriba klist purge y presione S por cada tipo de vale para eliminar todos los vales Kerberos.

4. Escriba klist tickets para confirmar que no existen vales.

5. Si este procedimiento forma parte de la solución de un error de negociación IKE, espere un minuto a que se agote el

tiempo de espera de la negociación IKE y, a continuación, vuelva a intentar obtener acceso al servidor de destino

con la aplicación. Las nuevas negociaciones de modo principal IKE solicitarán vales TGT y de servicio de Kerberos

nuevos para el equipo de destino, que dispondrá de la información de grupos más reciente. Procure no ejecutar la

aplicación desde la ventana de comando que se está ejecutando en el contexto de sistema local.

En las siguientes notas del producto se han publicado procedimientos detallados adicionales para la solución de problemas

de Kerberos:

Comprobación de permisos y de la integridad de la directiva IPsec en Active Directory Puede que sea necesario comprobar la información acerca del contenedor de la directiva IPsec en Active Directory. El

siguiente procedimiento utiliza la herramienta de soporte técnico ldp.exe.

Para comprobar la información acerca del contenedor de la directiva IPsec

• Troubleshooting Kerberos Errors en www.microsoft.com/downloads/details.aspx?

FamilyID=7dfeb015-6043-47db-8238-dc7af89c93f1&displaylang=en

• Troubleshooting Kerberos Delegation en www.microsoft.com/downloads/details.aspx?

FamilyID=99b0f94f-e28a-4726-bffe-2f64ae2f59a2&displaylang=en

1. Haga clic en Inicio, Ejecutar, escriba ldp.exe y presione ENTRAR.

2. Seleccione Conexión y, a continuación, Conectar. Especifique el nombre del dominio de destino.

3. Seleccione Conexión y, a continuación, Enlazar. Especifique las credenciales de inicio de sesión para el dominio de

destino.

4. Seleccione Ver y, a continuación, Árbol. No especifique ningún DN base y desplácese al contenedor de la directiva IPsec o especifique el DN LDAP del contenedor de la directiva IPsec como ubicación base.

5. Haga clic en + (signo de la suma) situado junto al nodo de contenedor en la vista de árbol. Si tiene permisos de

lectura en el contenedor, se mostrarán todos los objetos de directiva IPsec del contenedor.

Nota: es posible que algunos usuarios de dominio no tengan acceso de lectura al contenedor debido a la forma en

que están configurados los permisos. Para obtener más información, consulte el artículo 329194 de Microsoft

Knowledge Base, "IPSec Policy Permissions in Windows 2000 and Windows Server 2003", en

http://support.microsoft.com/?kbid=329194.

Para la solución avanzada de problemas de recuperación y daños de directivas, se puede utilizar ldp.exe para inspeccionar manualmente el contenido del contenedor Seguridad IP y la relación entre los objetos de directiva IPsec. Windows 2000,

Windows XP y Windows Server 2003 utilizan el mismo esquema de directorio básico para la directiva IPsec que se muestra

en el diagrama de la estructura de la directiva IPsec, incluido en la referencia técnica How IPsec Works de

www.microsoft.com/resources/documentation/

WindowsServ/2003/all/techref/en-us/w2k3tr_ipsec_how.asp.

En la tabla siguiente se muestra la relación entre los nombres de objeto de Active Directory y los nombres de componente

de la directiva IPsec que están configurados en el complemento para la administración de directivas IPsec de MMC:

Tabla 7.4: Componente de directiva IPsec para la asignación de nombres de Active Directory

Ldp.exe proporciona la capacidad de identificar la última vez que se modificaron los objetos de directiva IPsec, lo que

puede ser de ayuda para solucionar problemas de versiones y replicación de objetos. Se puede iniciar desde una ventana

de comando en el contexto del sistema local para solucionar problemas de permiso de lectura para el servicio IPsec.

Precaución: se recomienda que todos los objetos del contenedor Seguridad IP tengan los mismos permisos. Microsoft no

recomienda configurar permisos en objetos de directiva IPsec individuales. Para controlar el acceso de lectura y

modificación para la directiva IPsec, los permisos se deben administrar en el mismo contenedor Seguridad IP, según lo

explicado en el artículo 329194 de Knowledge Base, "IPSec Policy Permissions in Windows 2000 and

Windows Server 2003", en http://support.microsoft.com/?kbid=329194.

Una directiva IPsec dañada es el motivo más habitual de las situaciones en que un objeto IPsec contiene una referencia de

DN a un objeto que ya no existe. No obstante, se pueden producir daños si se incluyen caracteres de control en el nombre

de un objeto, los objetos no se pueden leer debido a problemas de permisos o nombres idénticos de objetos provocan un

diseño de directiva IPsec incorrecto (por ejemplo, dos versiones de la misma lista de filtros). Consulte la sección siguiente

de solución de problemas, "Servicio IPsec", para obtener información acerca de cómo corregir los datos de la directiva

IPsec.

Nota: los detalles de diseño de estos objetos se consideran una estructura de datos privada interna y Microsoft no los publica. Existen diferencias en el formato de estos objetos en las distintas versiones de Windows y Microsoft puede realizar

cambios en estos formatos en cualquier momento. Por lo tanto, estos objetos sólo se deben administrar mediante el

complemento Administración de directiva IPsec de MMC y las herramientas de la línea de comandos que estén disponibles

para cada plataforma. Sólo debe eliminar los objetos con LDP como última opción, cuando a consecuencia de los daños no

se puedan utilizar el complemento Administración de directiva IPsec de MMC o las herramientas de la línea de comandos.

Conectividad de rutas de red Microsoft recomienda que el protocolo ICMP esté exento en las soluciones de aislamiento de servidor y dominio. Existen

varios motivos para esta recomendación, incluida la necesidad de utilizar ICMP para las pruebas de rutas de red con

utilidades como Ping, Pathping y Tracert. Por lo tanto, estas utilidades deben funcionar correctamente y no mostrar el

mensaje "Negociar seguridad IP". Si se muestra este mensaje, es posible que se haya asignado una directiva IPsec

incorrecta.

Para determinar si el problema está relacionado con la configuración de red básica o la conectividad de ruta

Nombre de componente de directiva IPsec Nombre de objeto de Active Directory

Directiva IPsec ipsecPolicy{GUID}

Métodos de seguridad de intercambio de claves IKE ipsecISAKMPPolicy{GUID}

Regla IPsec ipsecNFA{GUID}

Lista de filtros IPsec ipsecFilter{GUID}

Acción de filtrado IPsec ipsecNegotiationPolicy{GUID}

• ¿Puede el cliente utilizar el comando ping con su propia dirección IP o la dirección de bucle de retorno local 127.0.0.1? Si

no puede, es posible que exista un problema con la configuración de TCP/IP, se puede haber instalado un servidor de

seguridad de otro fabricante, falta la utilidad Ping o la configuración IP no es válida. Utilice otros procedimientos de

solución de problemas de configuración de TCP/IP para investigar.

•¿Puede el cliente utilizar el comando ping con la puerta de enlace predeterminada que se muestra en su configuración

IP? Si no puede, es posible que haya un problema en la configuración IP del cliente, que la interfaz local no esté

conectada o tenga una conectividad limitada, que los filtros locales o de red bloqueen el tráfico o que la ruta de red a la

Las pruebas de conectividad de red se pueden realizar correctamente para ICMP, pero no cuando se utilizan los protocolos

IKE o IPsec. En concreto, la carga IPsec para los paquetes de autenticación de modo principal IKE que contienen el vale

Kerberos suele ser mayor que la PMTU para la dirección IP de destino, que requiere fragmentación. Por lo tanto, los

servidores de seguridad basados en host, filtros en enrutadores, servidores de seguridad de red y filtros en el host de

destino deben admitir fragmentación y estar abiertos en los protocolos y puertos siguientes:

No se recomienda el filtrado activo en la ruta de acceso El filtrado activo puede provocar problemas de conectividad para IKE, AH y ESP porque el estado normalmente se basa en

tiempos de espera de actividad. Los dispositivos no pueden inspeccionar el tráfico IKE para determinar cuándo se eliminan

las asociaciones de seguridad IPsec porque IKE cifra estos mensajes. Por definición, se requiere que IKE pueda regenerar

claves en cualquier dirección, lo que significa que los mensajes de eliminación se pueden enviar en cualquier dirección. Si

uno de los lados no recibe un mensaje de eliminación, puede creer que todavía existe un par de asociaciones de seguridad

IPsec cuando la otra parte ya no lo reconozca y descarte los paquetes que lo utilizan. La dirección en la que IKE regenerará

las claves se basa en la dirección del flujo de tráfico cuya duración en bytes caduque más rápidamente, los

desplazamientos menores para la regeneración de claves cuando caduque la duración basada en bytes y la dirección en que

fluyen los paquetes después de haberse eliminado las asociaciones de seguridad IPsec inactivas. Normalmente, el filtrado

activo basado en host del tráfico IKE en los clientes que inician las conexiones (y, por lo tanto, las negociaciones IKE) a

través de Windows Firewall no provoca problemas. Windows Firewall no filtra los paquetes IPsec porque el controlador

IPsec procesa los paquetes en una capa inferior a la que se realiza el filtrado del servidor de seguridad. No obstante, los

puertos IKE se deben configurar como abiertos en el servidor de seguridad del host para recibir negociaciones IKE

entrantes para las conexiones de protocolo de capa superior que se permitan a través del servidor de seguridad (por

ejemplo, para compartir archivos mediante el protocolo SMB a través del puerto TCP 445).

TCP necesita compatibilidad con ICMP PMTU La configuración predeterminada en Windows 2000 y versiones posteriores es que cada paquete TCP tenga el bit No fragmentar configurado en el encabezado IP. Esta configuración se conserva cuando se utiliza el modo de transporte IPsec

AH o ESP para proteger el paquete. Por lo tanto, un paquete que sea demasiado grande se descartará en el enrutador y

éste debe devolver un mensaje del tipo ICMP Destination Unreachable que especifica el tamaño máximo permitido. Este

comportamiento se denomina detección de MTU de ruta TCP. Tanto el equipo cliente como el de destino deben poder recibir

mensajes ICMP PMTU para los paquetes IPsec que son demasiado grandes. Resulta muy importante para el tráfico

protegido por IPsec evitar la fragmentación, porque la aceleración por hardware normalmente no procesa los paquetes

fragmentados. Los paquetes IPsec fragmentados los debe procesar el controlador IPsec por software.

Windows 2000 y Windows XP no admiten el procesamiento de detección de ICMP PMTU para los paquetes de modo de

transporte IPsec que utilicen encapsulación transversal (puerto UDP 4500). Windows Server 2003 admite este

procesamiento de detección. Vea la página "Troubleshooting Translational Bridging" de la sección "TCP/IP Troubleshooting",

incluida en la documentación en línea de Windows Server 2003 en www.microsoft.com/resources/documentation/Windows/

2000/server/reskit/en-us/cnet/cnbd_trb_gdhe.asp para consultar las opciones y las herramientas para trabajar sin la

detección de PMTU.

puerta de enlace predeterminada esté interrumpida. Utilice otros procedimientos de solución de problemas de TCP/IP

para investigar.

• ¿Puede el cliente utilizar el comando ping con los servidores DNS que se muestran en su configuración IP? Si no puede,

es posible que los servidores DNS no permitan la recepción de mensajes de solicitud de eco ICMP, que la directiva IPsec

no tenga exentas las direcciones IP de servidor DNS adecuadas o que exista alguno de los problemas mencionados

anteriormente. Utilice otros procedimientos de solución de problemas de TCP/IP para investigar.

• ¿Puede el cliente utilizar el comando ping con una dirección IP de la lista de exenciones, como un DC? Si no puede,

IPsec no es la causa del problema o no tiene un filtro para dicha dirección IP exenta. Esto último se puede confirmar si

se inspecciona la configuración de filtro. Consulte la sección acerca de la directiva IPsec más adelante en este capítulo.

• ¿Puede el cliente utilizar el comando ping con la dirección IP del destino? En caso afirmativo, existe conectividad de red

básica entre el cliente y el destino sin IPsec. Si no puede, intente utilizar el comando tracert con el destino y otras

direcciones IP de destino para determinar hasta dónde es válida la ruta de red. Utilice otros procedimientos de solución

de problemas de TCP/IP y red principal para investigar.

• IKE. Puerto UDP de origen 500, puerto de destino 500 y fragmentos

• IKE/IPsec NAT-T. Puerto UDP de origen 4500, puerto de destino 4500

• IPsec ESP. Protocolo IP 50 y fragmentos

• IPsec AH. Protocolo IP 51 y fragmentos

Nota: existe un problema conocido que requiere que se habilite la detección de PMTU de TCP para que IPsec proteja el

tráfico en un escenario de NAT Traversal, donde las conexiones UDP-ESP de IPsec se inician desde un host externo a la NAT

a un host detrás de una NAT. Si se precisa este escenario, confirme que la detección de PMTU de TCP está habilitada. Para

ello, compruebe que la siguiente clave del Registro no está definida ni configurada en 1 en ambos lados:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\ Parameters\EnablePMTUDiscovery=1 (Esta clave se puede mostrar en varias líneas; en el Registro está en una sola.)

La plantilla de directiva de seguridad de línea de base para los servidores miembros de Microsoft Windows Server 2003 y

otras configuraciones de otros fabricantes pueden configurar esta clave del Registro con el fin de deshabilitar la PMTU de

TCP.

Compatibilidad necesaria para la fragmentación Las rutas y los filtros de red deben admitir la transmisión de fragmentos para los protocolos IKE, IPsec, AH y ESP. IKE

utiliza paquetes UDP y permite que se fragmenten según sea necesario. La implementación de NAT Traversal de IPsec ha

agregado compatibilidad para evitar la fragmentación IKE, sólo cuando IKE autentique con certificados (por ejemplo, en

escenarios VPN de L2TP/IPsec). La autenticación IKE que utiliza Kerberos no admite evitar la fragmentación y debe poder

enviar y recibir paquetes UDP fragmentados que contengan el vale Kerberos.

La ruta de red debe admitir la transmisión de fragmentos para AH y ESP porque IPsec protege todo el paquete IP original

antes de la fragmentación de salida en la capa IP. IPsec está integrado con TCP de modo que, cuando los paquetes TCP

tienen establecido el indicador DF (no fragmentar), la configuración predeterminada, TCP reducirá su tamaño de paquete

para dar cabida a los bytes adicionales que se han agregado mediante la encapsulación IPsec.

IPsec no está integrado con UDP, y las aplicaciones UDP no disponen de un método para detectar si IPsec protege su

tráfico. Por lo tanto, cuando se aplica IPsec AH o ESP, el host fragmentará los paquetes UDP que utilizan el tamaño de MTU

completo durante la transmisión. De forma parecida, si ICMP no está exento en los filtros de directiva IPsec, el uso de la

utilidad Ping puede producir paquetes ICMP que parezcan paquetes IPsec AH o ESP fragmentados al transmitirlos.

Para obtener más información, consulte el artículo 233256 de Microsoft Knowledge Base, “How to Enable IPSec Traffic

Through a Firewall”, en http://support.microsoft.com/?kbid=233256.

Compatibilidad necesaria para el tráfico de difusión o multidifusión El diseño de la directiva IPsec para el aislamiento de servidor y dominio utiliza filtros de Cualquiera <-> Subred. Por lo

tanto, el filtro saliente Subred -> Cualquiera buscará coincidencias del tráfico de difusión y multidifusión saliente enviado

desde hosts utilizando una dirección IP de subred interna. No obstante, debido a que IPsec no puede proteger el tráfico de

multidifusión o difusión saliente, debe descartar dicho tráfico si coincide con el filtro. La multidifusión entrante y la mayoría

de los tipos de difusión no coinciden con el filtro de entrada Cualquiera -> Subred correspondiente. Si se necesita tráfico de

multidifusión o difusión, puede configurar la clave del Registro en NoDefaultExempt=1, lo que permite que el tráfico de

multidifusión y difusión pase por alto el filtrado IPsec en Windows XP y Windows Server 2003. Esta configuración evita

problemas conocidos con clientes RTC (comunicaciones en tiempo real) y Windows Media Server, que utilizan tráfico de

multidifusión. Para obtener información detallada acerca del uso y las implicaciones de seguridad de la clave del Registro

NoDefaultExempt, consulte los siguientes artículos de Knowledge Base:

La clave del Registro se puede configurar para controlar las exenciones predeterminadas según sea necesario para todas

las plataformas. El filtrado IPsec no admite la configuración de las direcciones de destino para direcciones de difusión o

multidifusión específicas.

Los diagnósticos en los dispositivos de red pueden no ser útiles Una de las consecuencias de utilizar la encapsulación IPsec es que las aplicaciones que suponen que el tráfico TCP/IP está

en texto sin cifrar ya no pueden inspeccionar el tráfico dentro de la red. Es muy probable que las herramientas de

diagnóstico de red que inspeccionan o proporcionan informes a partir de puertos TCP y UDP no puedan interpretar los

paquetes encapsulados por IPsec, aunque no se utilice el cifrado AH o ESP. Es posible que se necesiten actualizaciones de

los proveedores para dichas herramientas para inspeccionar los paquetes IPsec AH o ESP nula.

Problemas de controlador y tarjeta de interfaz de red En ocasiones, la pérdida de paquetes IPsec se puede deber a las tarjetas de interfaz de red (NIC) que desempeñan

funciones especiales. Se debe probar la compatibilidad con IPsec de las tarjetas que realizan operaciones de clúster o

• 810207: IPSec default exemptions are removed in Windows Server 2003 en http://support.microsoft.com/?

kbid=810207

• 811832: IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios en

http://support.microsoft.com/?kbid=811832

Nota: SP2 de Windows XP utiliza las mismas exenciones predeterminadas que Windows Server 2003.

"trabajo en equipo". Los controladores de NIC que aceleran las funciones ajenas a IPsec pueden tener problemas con el

tráfico protegido por IPsec. Las tarjetas de interfaz de red que aceleran las funciones TCP pueden ser las que admitan el

cálculo y la validación de suma de comprobación de TCP (descarga), así como la capacidad para enviar de forma eficaz un

búfer de datos TCP grande (descarga de envío grande). Windows 2000 y versiones posteriores deshabilitan

automáticamente estas funciones de descarga de TCP en la pila de TCP/IP cuando el controlador IPsec tiene filtros, aunque

IPsec sólo realice las funciones de permisos y bloqueos. Los controladores de tarjeta de red que no están certificados y

firmados por el laboratorio de calidad de hardware de Windows (WHQL) pueden provocar problemas cuando se utilice IPsec

para proteger el tráfico. WHQL utiliza un exhaustivo conjunto de pruebas para certificar que los controladores de NIC están

diseñados para admitir la descarga de IPsec. Como ayuda para la solución de problemas, la pila de TCP/IP de

Windows 2000, Windows XP y Windows Server 2003 TCP/IP admite una opción de clave del Registro para deshabilitar todas

las formas de descarga de TCP/IP. Algunos controladores de NIC también tienen la capacidad de deshabilitar la descarga

mediante las propiedades avanzadas de la conexión de red. Es posible que se tenga que reiniciar el equipo para que surtan

efecto los cambios de configuración al nivel de controlador.

Solución de problemas de pérdida de paquetes en los protocolos IPsec Los paquetes se pueden descartar o perder, lo que afecta a la conectividad de la aplicación. En esta sección se examinan

casos habituales en los que IPsec descarta paquetes. Tal como se ha mencionado anteriormente, es posible que

determinados dispositivos de red no permitan el paso de los tipos 50 o 51 de protocolo IP o los puertos UDP 500 o 4500.

De forma similar, los paquetes encapsulados por IPsec pueden provocar que algunos paquetes se fragmenten y no pasen

por la red. En tales casos, normalmente se necesita un seguimiento de monitor de red desde ambas partes de la

comunicación para identificar y correlacionar los paquetes que se están enviando y recibiendo. Busque las retransmisiones

indicadas por la aparición repetida del mismo tamaño de paquete. Es posible que sea necesario capturar un seguimiento del

comportamiento de protocolo típico sin IPsec y, a continuación, compararlo con el comportamiento de protocolo del tráfico

protegido por IPsec.

Error de suceso 4285 Título de suceso: error de autenticación de hash

IKE e IPsec proporcionan protección contra la modificación de paquetes mientras están en tránsito por la red. Si un

dispositivo modifica una parte del paquete que está protegido mediante un hash de integridad, el controlador IKE o IPsec

receptor descartará este paquete y provocará el error de autenticación de hash, que se guarda en el registro del sistema

como el suceso 4285. La experiencia ha demostrado que algunos dispositivos, controladores de red y procesadores de

paquetes de terceros en ocasiones dañan los paquetes de un determinado tamaño, con un determinado número de

fragmentos, de determinados tipos de protocolo o en situaciones concretas (por ejemplo, cuando el dispositivo está

congestionado, supervisa el tráfico o se reinicia). Este error también puede representar un ataque en el paquete por parte

de una aplicación malintencionada o de una aplicación que no ha detectado que estaba protegido. Este error también puede

ser un indicador de un ataque de denegación de servicio.

Para diferenciar los paquetes IPsec descartados de los dañados, se pueden emplear las técnicas siguientes. No obstante,

también es importante correlacionar estas observaciones con un seguimiento de monitor de red para poder encontrar el

origen de los daños.

Aunque el texto del suceso sugiere que un reinicio del servicio IPsec puede solucionar el problema, el origen de la mayoría

de los problemas de pérdida de paquetes no es el sistema IPsec. Reiniciar el servicio no solucionará el problema y puede

provocar más. El servicio IPsec sólo se debe detener como último recurso para identificar si un problema está relacionado

con IPsec o no lo está.

La resolución de este error requiere investigación para identificar un patrón de las direcciones IP de origen, las horas del

día, adaptadores o situaciones en las que se produce el error. Si el número de paquetes es pequeño, este error no puede

• Examine el contador Paquetes IPsec sin autenticar. En Windows Server 2003, este contador se puede comprobar

mediante el contador IPsec en Monitor del sistema con el comando netsh ipsec dynamic show stats o examinando

las estadísticas en el complemento Monitor de seguridad IPsec de MMC. En Windows XP, este contador se puede

comprobar mediante el comando ipseccmd show stats o examinando las estadísticas en el complemento Monitor de

seguridad IPsec de MMC. Windows 2000 muestra este contador en la presentación gráfica de ipsecmon.exe o mediante

el comando

netdiag /test:ipsec /v .

• Habilite el registro del controlador IPsec y busque el suceso 4285 en el registro del sistema de IPsec de origen. Consulte

la sección "Kit de herramientas" de este capítulo para obtener información detallada acerca de cómo habilitar el registro

del controlador IPsec. El texto del suceso será similar al siguiente:

No se puede autenticar el algoritmo hash para los 5 paquetes recibidos de 192.168.0.10. Puede tratarse de un problema

temporal; si persiste, detenga y reinicie el servicio del Agente de directivas IPsec en este equipo.

avalar la investigación. Es importante comenzar por intentar excluir orígenes de daños en el sistema local. Deshabilite la

descarga de IPsec, intente deshabilitar las características avanzadas o de rendimiento del controlador mediante la

configuración que ofrecen las propiedades avanzadas y utilice los controladores de NIC más recientes de los que disponga

el proveedor, preferiblemente los certificados y firmados por el laboratorio de calidad de hardware de Windows. A

continuación, investigue las características de las rutas de red por las que se transmitiría el paquete. Busque otras pruebas

de daños de paquetes en las estadísticas de paquetes TCP/IP descartados y en otros equipos que utilicen la misma

configuración. El contador IP de Datagramas recibidos descartados aumentará cada vez que IPsec descarte un paquete.

Nota: para deshabilitar la funcionalidad de descarga de TCP/IP, utilice la siguiente clave del Registro para equipos con Windows 2000, Windows XP o Windows Server 2003:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\ Valor del Registro DWORD EnableOffload en 0 (Esta clave se puede mostrar en varias líneas; en el Registro está en una sola.)

A continuación, reinicie el equipo.

Error de suceso 4268 Título de suceso: paquetes recibidos con índice de parámetros de seguridad incorrecto (SPI)

La implementación de IKE de Windows 2000 y Windows XP (incluido SP1) tiene un problema conocido que provoca la

pérdida de paquetes en situaciones concretas. Este problema se ha solucionado en Windows Server 2003 y SP2 de

Windows XP. Las consecuencias en las comunicaciones de protocolo de capa superior son prácticamente nulas porque los

protocolos ya prevén pérdida de paquetes por otros motivos distintos. Este problema se puede identificar por las siguientes

cuestiones:

Aunque el texto del suceso sugiere que un reinicio del servicio IPsec puede solucionar el problema, el origen de este tipo de

pérdida de paquetes es parte del diseño del sistema IPsec. Reiniciar el servicio no solucionará el problema y puede

provocar más. Tal como se ha indicado anteriormente, el servicio IPsec sólo se debe detener como último recurso para

identificar si un problema está relacionado con IPsec o no lo está.

Un índice de parámetros de seguridad (SPI) de IPsec es una etiqueta en el paquete que indica al contestador la asociación

de seguridad que se debe utilizar para procesar el paquete. Si no se reconoce un SPI, se denomina "SPI dañado". Este

error indica que el equipo receptor ha recibido paquetes con formato de IPsec sin disponer de una asociación de seguridad

IPsec con la que procesarlos. Por lo tanto, debe descartar los paquetes.

Son mensajes de error benignos, aunque los paquetes se descartan. La cantidad de sucesos de SPI dañado que se generen

depende de lo ocupados que estén los equipos en ese momento y la velocidad a la que estén transmitiendo los datos

protegidos por IPsec en el momento de la regeneración de claves. Es probable que las siguientes situaciones generen más

sucesos de este tipo:

La consecuencia es que una conexión TCP protegida por IPsec se ralentizará durante unos segundos para retransmitir los

datos perdidos. Si se pierden varios paquetes, es posible que TCP pase al modo de prevención de congestión para dicha

conexión. En pocos segundos la conexión se debe reanudar a velocidad completa. La copia de archivos, Telnet, Terminal

Server y otras aplicaciones basadas en TCP no deberían advertir la pérdida de estos pocos paquetes. No obstante, ha

habido algunos casos en los que TCP pierde una ráfaga de paquetes en un vínculo rápido y debe restablecer la conexión.

Cuando se restablece la conexión, el socket se cierra y se notifica a las aplicaciones de una interrupción de la conexión, lo

que puede interrumpir las transferencias de archivos.

• Aumento lento, pero constante, de los valores de contador de SPI dañados.

• Mensajes de suceso 4268 del registro del sistema (si se ha habilitado). De forma predeterminada, Windows 2000 guarda

estos mensajes en el registro del sistema como suceso 4268. Windows XP no registra este suceso de forma

predeterminada; se debe habilitar el registro de controlador. El texto del suceso es similar al siguiente:

"Se han recibido <número> paquetes con el índice de parámetros de seguridad de <dirección ip>. Puede tratarse de un

problema temporal; si persiste, detenga y reinicie el servicio del Agente de directivas IPsec en este equipo."

• Transferencia de grandes volúmenes de tráfico IPsec sobre conexiones de 1 gigabit o superiores.

• Cuando hay servidores excesivamente cargados (lentos) y clientes rápidos.

• Cuando hay clientes lentos que establecen comunicación con un servidor rápido.

• Cuando hay muchos clientes activos para un servidor, lo que provoca que IKE regenere claves constantemente con

numerosos clientes a la vez.

La causa más habitual de este error es un problema conocido de Windows 2000 en el que interviene el modo en que IKE

sincroniza la generación de claves de asociaciones de seguridad IPsec. Cuando un iniciador de modo rápido IKE es más

rápido que el contestador, el primero puede enviar nuevos paquetes protegidos por asociación de seguridad IPsec antes de

que el contestador esté preparado para recibirlos. Según lo especificado en las solicitudes de comentario (RFC) de IPsec del

grupo Internet Engineering Task Force (IETF), cuando IKE establece un par nuevo de asociaciones de seguridad IPsec, el

iniciador debe utilizar la nueva asociación de seguridad IPsec saliente para transmitir datos, y el contestador más lento

recibe el tráfico protegido por IPsec que todavía no reconoce. Debido a que la regeneración de claves IKE depende del

tiempo transcurrido y de la cantidad de datos enviados bajo la protección de una asociación de seguridad IPsec, se pueden

producir sucesos de SPI dañados periódicamente (aunque no necesariamente a intervalos específicos).

En escenarios de interoperabilidad de clientes de terceros, un error de SPI dañado puede indicar que un principal IPsec no

ha aceptado y procesado un mensaje de eliminación o ha tenido problemas en realizar el último paso de la negociación de

modo rápido IKE. El error también puede indicar que un atacante está inundando un equipo con paquetes IPsec

suplantados o insertados. El controlador IPsec cuenta estos sucesos y los guarda para realizar un registro de la actividad de

SPI dañados.

Se puede utilizar la clave del Registro LogInterval para investigar y minimizar estos sucesos. Cuando solucione

problemas, configúrela en el valor mínimo (cada 60 segundos) para que los sucesos se registren rápidamente. En

Windows 2000, puede detener y reiniciar el servicio del Agente de directivas IPsec para recargar el controlador IPsec. En

Windows XP y Windows Server 2003, se debe reiniciar el equipo para recargar los controladores TCP/IP e IPsec.

En Windows 2000, estos sucesos no se pueden eliminar mediante valores de clave del registro o revisiones actuales. La

configuración predeterminada en Windows XP y Windows Server 2003 es no informar de estos sucesos. Se puede habilitar

el informe de estos sucesos con la configuración IPsecDiagnostics mediante la opción de la línea de comandos ipsec de

netsh o mediante la clave del Registro directamente.

Las técnicas siguientes pueden minimizar estos errores:

Si estas opciones no funcionan y no es posible la actualización a SP2 de Windows XP o Windows Server 2003, póngase en

contacto con el servicio de soporte técnico de Microsoft para consultar si existen otras opciones disponibles actualmente.

Error de suceso 4284 Título de suceso: paquetes en texto sin cifrar que se deben proteger

Este suceso indica que se ha establecido una asociación de seguridad IPsec en el momento de recibir los paquetes en texto

sin cifrar que deberían haber estado dentro de la asociación de seguridad IPsec. Estos paquetes se descartan para evitar

ataques de inserción de paquetes en las conexiones protegidas por IPsec. Aunque se incrementará el contador IP de

Datagramas recibidos descartados, IPsec no dispone de un contador de valor que registre los paquetes descartados por este motivo. Este problema sólo se puede identificar en el suceso de error 4284 del registro del sistema, que indica lo

siguiente:

• Ajuste la configuración de la directiva IPsec. Aumente las vigencias de modo rápido (si los requisitos de seguridad lo

permiten) a 21 o 24 horas (las asociaciones de seguridad IPsec inactivas se eliminarán en 5 minutos si no se utilizan).

Para evitar los posibles puntos débiles de seguridad provocados por el uso de la misma clave para cifrar demasiados

datos, no establezca una vigencia mayor de 100 MB cuando se utilice cifrado ESP.

• Utilice la confidencialidad directa perfecta (PFS) de modo principal o modo rápido, que no provocará este problema para

la asociación de seguridad IPsec concreta que se esté negociando. No obstante, cualquier configuración incrementará

considerablemente la carga en el equipo que sirva a muchos clientes y, por lo tanto, puede provocar retrasos en la

respuesta a otras negociaciones.

• Agregue CPU u otro hardware para aumentar el rendimiento o reducir las cargas de aplicación.

• Instale una NIC de aceleración por hardware para IPsec si no hay instalada una. Estas tarjetas reducen

considerablemente el uso de CPU que emplea IPsec para la transferencia de datos de alto rendimiento.

• Si el uso de CPU permanece alto, considere el uso de un producto acelerador por hardware para acelerar los cálculos

Diffie-Hellman. Puede tratarse de una tarjeta PCI con capacidad de descarga de exponenciación Diffie-Hellman que

aceleran los cálculos Diffie-Hellman. Esta aceleración también beneficia a las operaciones de claves públicas y privadas

para los certificados que utilizan el protocolo SSL (Secure Sockets Layer). Consulte al proveedor si su tarjeta admite

específicamente la "interfaz ModExpoOffload en CAPI para cálculos Diffie-Hellman".

• Si es posible, cree un filtro que permita determinado tráfico de alta velocidad que no necesite protección IPsec (por

ejemplo, el tráfico de copia de seguridad en una LAN dedicada).

"Se han recibido <número> paquetes vacíos de <dirección IP> cuya seguridad debía haberse establecido.

Puede tratarse de un problema temporal; si persiste, detenga y reinicie el servicio del Agente de directivas IPsec en este

equipo."

Al igual que con los errores anteriores, no se debe seguir la sugerencia del suceso. Es poco probable que reiniciar el servicio

IPsec corrija el error.

La causa más probable del error es que haya un problema de configuración de directiva que provoca que un lado envíe

tráfico en texto sin cifrar debido a un filtro de permiso saliente más específico. Por ejemplo, si un cliente tiene un filtro para

proteger todo el tráfico con un servidor y la directiva del servidor tiene un filtro más específico para permitir respuestas

HTTP en texto sin cifrar, el servidor protegerá todo el tráfico al cliente excepto los paquetes HTTP salientes. El cliente recibe

estos paquetes y los descarta por motivos de seguridad, debido a que espera que todo el tráfico al servidor y desde él esté

protegido en el par de asociaciones de seguridad IPsec.

Este suceso también puede producirse durante las operaciones normales y durante los casos de interoperabilidad de cliente

de terceros en los que un principal elimina una asociación de seguridad IPsec o un filtro del controlador IPsec mientras el

tráfico fluye entre los equipos. Por ejemplo, un lado puede anular la asignación de la directiva IPsec o puede tener una

actualización de directiva que elimine asociaciones de seguridad y filtros IPsec. Debido a que un equipo ya ha eliminado el

filtro mientras se estaba realizando una comunicación de protocolo de nivel superior activo, es posible que el mensaje de

eliminación IKE no llegue y se procese por el otro equipo antes de que lleguen los paquetes de texto sin cifrar, lo que

provoca el error. Además, el período de tiempo que se tarda en procesar el mensaje de eliminación depende de la carga

actual en el otro equipo.

El mensaje de error también se puede producir mientras se carga una directiva grande, debido a que las asociaciones de

seguridad IPsec pueden haberse establecido antes de la aplicación del conjunto de filtros completo al controlador IPsec. Si

se produce esta situación, es posible que las asociaciones de seguridad IPsec se hayan negociado para tráfico que estará

exento una vez terminada la carga de la directiva.

El mensaje de error también puede ser una indicación de un ataque de inserción donde se envía tráfico en texto sin cifrar

que coincide (deliberada o casualmente) con los selectores de tráfico de una determinada asociación de seguridad entrante

activa.

Este problema debe transferirse al diseñador de la directiva IPsec.

Tiempos de espera de IPsec NAT-T al conectar sobre redes inalámbricas Se ha encontrado un problema reciente que provoca que se agote el tiempo de espera de las conexiones cuando los

equipos cliente basados en Windows Server 2003 o Windows XP intentan conectarse un servidor en una red inalámbrica

que utiliza IPsec NAT-T. Para obtener más información, consulte el artículo 885267 de Microsoft Knowledge Base en

http://support.microsoft.com/?kbid=885267.

Comprobación de la directiva IPsec correcta En esta sección se describen los pasos para detectar los problemas con la asignación y la interpretación de directivas IPsec.

Los filtros de una directiva IPsec interpretada correctamente deben estar en el controlador IPsec para que IPsec permita y

bloquee paquetes, así como para activar IKE de modo que negocie asociaciones de seguridad IPsec con direcciones IP

remotas para proteger el tráfico. También deben existir los filtros apropiados para guiar a IKE como contestador. En esta

solución, el diseño de directiva IPsec requiere que todo el tráfico (excepto ICMP) esté protegido por IPsec. La directiva

también contiene filtros por cada dirección IP de la lista de exenciones.

Nota: en Windows 2000, el servicio IPsec se denomina Agente de directivas IPsec; en Windows XP y Windows Server 2003

este servicio se denomina Servicio IPsec.

Los ingenieros de soporte técnico deben estar familiarizados con el uso de Directiva de grupo por parte de IPsec, prioridad

de directiva IPsec e interpretación de directiva IPsec. En la sección "Información adicional", al final de este capítulo, se

pueden encontrar referencias a información acerca de estos temas.

Solución de problemas de Directiva de grupo para IPsec Directiva de grupo proporciona el mecanismo para asignar una directiva IPsec basada en dominio a un miembro de

dominio. La recuperación de los GPO asignados por el miembro de dominio es lo que entrega la asignación de directiva

IPsec a un equipo host. Por lo tanto, los problemas de recuperación de GPO provocarán que los equipos no apliquen la

directiva IPsec correcta. Los problemas habituales de Directiva de grupo para la administración de directivas IPsec son los

siguientes:

•

Pueden producirse retrasos en la replicación debido a la cantidad de objetos relacionados con IPsec en Active Directory,

como directivas IPsec, GPO, cambios de atributos en las asignaciones de directivas IPsec de GPO y en la directiva IPsec e

información de pertenencia a grupos de seguridad. Debe llevarse a cabo una planificación cuidadosa para evaluar las

consecuencias de un cambio de configuración IPsec según afecte gradualmente a los miembros del dominio.

Consulte los procedimientos para solucionar problemas de Directiva de grupo en las siguientes notas del producto:

La asignación de directivas IPsec basada en dominio está implementada mediante dos componentes:

El complemento Administración de directivas IPsec de MMC asigna la directiva a un GPO almacenando la información de la

directiva IPsec seleccionada en el componente IPsec del GPO, al que se hace referencia como el nombre distintivo (DN)

LDAP:

CN=IPSEC,CN=Windows,CN=Microsoft,CN=Machine,CN={GPOGUID}, CN=Policies,CN=System,DC=domain,DC=Woodgrove,DC=com

El DN LDAP de la directiva IPsec asignada se almacena en el atributo ipsecOwnersReference de GPO.

Cuando Directiva de grupo recupera la lista de los GPO que se aplican al equipo, los que contienen asignaciones de

directiva IPsec se almacenan en el Registro con el GUID de la extensión de lado del cliente de IPsec en la ubicación

siguiente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Group Policy \History\{e437bc1c-aa7d-11d2-a382-00c04f991e27}

La extensión de lado del cliente de IPsec se activa mediante la extensión de lado del cliente de la directiva de seguridad

siempre que existe una asignación de directiva IPsec en un GPO. Si se producen problemas al procesar la directiva de

seguridad, también puede haberlos al procesar la directiva IPsec. Para encontrar el GUID de cada extensión de Directiva de

grupo, busque en la siguiente ubicación del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \WindowsNT\CurrentVersion\WinLogon\GPExtensions

Los GUID relacionados con la implementación de IPsec para las extensiones de lado del cliente de Directiva de grupo son

los siguientes:

La extensión de lado del cliente de IPsec copia el DN LDAP y la información relacionada acerca de la directiva IPsec

Retrasos de replicación de varios componentes de configuración en Active Directory.

• Problemas con el proceso de sondeo y descarga de Directiva de grupo.

• Confusión acerca de la versión de la directiva IPsec asignada.

• El servicio IPsec no se ejecuta.

• La directiva IPsec en Active Directory no se puede recuperar, por lo que se utiliza una copia en caché en su lugar.

• Retrasos debido al sondeo de directiva IPsec para la recuperación de la directiva IPsec asignada actualmente.

• Troubleshooting Group Policy in Windows 2000 en http://support.microsoft.com/?kbid=810739.

• Troubleshooting Group Policy in Microsoft Windows Server en www.microsoft.com/downloads/details.aspx?

FamilyId=B24BF2D5-0D7A-4FC5-A14D-E91D211C21B2&displaylang=en.

• El complemento Administración de directivas IPsec de MMC (una extensión del complemento Directiva de seguridad de

MMC) para la asignación de una directiva IPsec en el GPO.

• La extensión de lado del cliente (CSE) de Directiva de grupo para IPsec (implementada en gptext.dll) que procesa la información relacionada con IPsec en el GPO.

• Seguridad. {827D319E-6EAC-11D2-A4EA-00C04F79F83A}

• Seguridad IP. {E437BC1C-AA7D-11D2-A382-00C04F991E27}

• Secuencias de comandos. {42B5FAAE-6536-11D2-AE5A-0000F87571E3}

asignada en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ IPSec\GPTIPSECPolicy

Si varios GPO contienen asignaciones de directiva IPsec, se llama a la extensión de lado del cliente de IPsec por cada GPO.

Las reglas de prioridad de GPO se aplican en el orden en que la extensión de lado del cliente recibe los GPO para

procesarlos. El orden también se puede ver afectado por la configuración de los propios GPO y por las listas ACL de lectura

que impiden que se recuperen algunos GPO asignados. Cada vez que se llama a la extensión de lado del cliente de IPsec,

se sobrescribe la información relacionada con IPsec del GPO (incluido el DN) en esta clave del Registro. Cuando se han

procesado todos los GPO, la extensión de lado del cliente indica al servicio IPsec que se ha asignado una directiva IPsec

basada en dominio. A continuación, el servicio IPsec lee el valor GPTIPsecPolicy\DSIPSECPolicyPath para recuperar la directiva IPsec correcta.

El servicio IPsec continúa el sondeo para detectar cambios en la directiva IPsec asignada basándose en la hora de la última

actualización de cualquier objeto de directorio de directiva IPsec asignado. El servicio conserva la directiva IPsec en caché

como la directiva de dominio más reciente.

Existe un problema conocido que permite que el nombre de la directiva IPsec asignada deje de estar sincronizado con el

nombre de la directiva IPsec que se utiliza realmente (y que está en caché). El servicio IPsec no actualiza la información de

la clave del Registro GPTIPsecPolicy, como DSIPSECPolicyName, y el nombre de la directiva IPsec sólo cambia cuando

se llama a la extensión del lado de cliente de IPsec. No obstante, no se llama a la extensión de lado del cliente de IPsec a

menos que haya cambiado el atributo DN de la asignación de directiva IPsec en el GPO. El complemento Monitor IPsec de

MMC y las herramientas de la línea de comandos utilizan este valor del Registro para informar del nombre de la directiva

IPsec asignada actualmente. Por lo tanto, las herramientas IPsec pueden informar del último nombre de directiva IPsec que

ha procesado la extensión de lado de cliente, no del que está en uso en estos momentos. Existen varias soluciones para

este error; para obtener más información, consulte la sección "Control de versiones de directiva" del capítulo 5, "Creación

de directivas IPsec para grupos de aislamiento", en esta guía.

Nota: Microsoft recomienda que las convenciones de nomenclatura de directivas IPsec incluyan un número de versión en

el nombre para poder encontrar fácilmente la versión aplicada actualmente de la directiva. Si el nombre de directiva es el

mismo, no es posible detectar fácilmente cambios de versión.

Si no se asigna la directiva IPsec correcta, incluso después de una actualización forzada de Directiva de grupo, los errores

del registro de aplicación de los orígenes Userenv o SceCli indicarán problemas de procesamiento de Directiva de grupo.

Se debe habilitar el registro de Directiva de grupo para investigar este problema con más detalle. Existen muchos tipos

distintos de registros y niveles de registro de Directiva de grupo. En los registros de la extensión de lado del cliente de

seguridad se tienen que buscar errores de procesamiento de la directiva de seguridad, así como los errores de los que ha

informado la extensión de lado del cliente de IPsec. No existe un registro específico para la extensión de lado del cliente de

IPsec. Los seguimientos de monitor de red pueden ser necesarios para capturar el tráfico en el momento de la actualización

de Directiva de grupo para confirmar la dirección IP de controlador de dominio que se está utilizando en la recuperación de

cada objeto. Entre los problemas se pueden incluir:

Para crear un archivo de registro detallado de la extensión de lado del cliente de seguridad, utilice la siguiente clave del

Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \WindowsNT\CurrentVersion\CurrentVersion\Winlogon \GpExtensions\{827d319e-6eac-11d2-a4ea-00c04f79f83a}\

Establezca la entrada ExtensionDebugLevel en un valor REG_DWORD de 0x2.

El archivo de registro se creará en %windir%\Security\Logs\Winlogon.log.

Nota: una entrada DNS no válida puede significar que las directivas de grupo no se descargan de Active Directory, aunque el inicio de sesión de equipo y usuario sean correctos. Para obtener más información acerca de los problemas de DNS,

consulte la sección "Problemas de resolución de nombres" anterior.

Solución de problemas del servicio IPsec

• Problemas o retrasos de replicación que impiden encontrar los objetos.

• La lógica de equilibrio de la carga del localizador de controlador de dominio puede provocar que se recupere un GPO de

un controlador de dominio, mientras que la consulta LDAP para la directiva IPsec asignada se recupera de otro

controlador de dominio del mismo sitio.

No es necesario que el servicio IPsec esté en ejecución para utilizar el complemento Administración de directivas IPsec de

MMC. No obstante, si un administrador asigna posteriormente una directiva local, en la columna Directiva asignada se mostrará un error.

Los siguientes problemas habituales pueden provocar que se produzca un error del servicio IPsec durante el inicio:

La implementación IPsec de Windows 2000 utiliza un módulo denominado almacén de directivas IPsec (polstore.dll), por lo que el Agente de directivas IPsec y el complemento Administración de directivas IPsec de MMC pueden utilizar un módulo

para tener acceso a las tres ubicaciones de almacenamiento de directivas admitidas: local, equipo remoto y Active

Directory. Este diseño se ha cambiado y mejorado en Windows XP y Windows Server 2003 con la incorporación de nuevos

tipos de directiva IPsec (directiva de inicio y directiva persistente) y el componente SPD (base de datos de directivas de

seguridad), que mantiene el estado en tiempo de ejecución de la directiva IPsec para las consultas del monitor IPsec y de

IKE. Este cambio de diseño implica que el texto de los sucesos IPsec registrados en Windows 2000 ha cambiado en

Windows XP y Windows Server 2003. Este cambio de diseño también implica que se han tenido que efectuar cambios

importantes en las interfaces RPC que se utilizan para la administración remota. Para Windows Server 2003, las interfaces

RPC se han vuelto a actualizar considerablemente. Por lo tanto, el complemento Administración de directivas IPsec de MMC

no puede conectarse a los equipos remotos que no tienen instalada la misma versión de sistema operativo. Además, el

modelo de seguridad para SP2 de Windows XP y SP1 de Windows Server 2003 han cambiado fundamentalmente para

limitar las conexiones RPC remotas y para activar Windows Firewall de forma predeterminada. Para obtener más

información, consulte Changes to Functionality in Microsoft Windows XP Service Pack 2 - Part 2: Network Protection

Technologies en www.microsoft.com/technet/prodtechnol/winxppro/

maintain/sp2netwk.mspx.

Debido a estos cambios, las interfaces RPC remotas del servicio IPsec se han deshabilitado como medida de seguridad. Por

lo tanto, los complementos Monitor IPsec y Administración de directivas IPsec de MMC no pueden realizar la supervisión

remota en estos equipos. La administración remota de IPsec se debe realizar con conexiones de Escritorio remoto (Terminal

Server), que ejecuta los complementos IPsec de MMC como procesos locales.

En Windows 2000, el controlador IPsec se carga de forma predeterminada al final del proceso de inicio por parte del

servicio del Agente de directivas. El controlador IPsec no forma parte del procesamiento de paquetes IP hasta que el

Agente de directivas informa por primera vez de una directiva activa a dicho controlador. Si no existe una directiva IPsec

activa, el controlador IPsec no se incluye en el procesamiento del tráfico IP entrante y saliente. En Windows XP y

Windows Server 2003, este diseño se ha mejorado de modo que el controlador TCP/IP carga el controlador IPsec durante el

proceso de inicio. El controlador no procesa los paquetes hasta que tiene filtros cargados por el servicio IPsec.

En Windows 2000, el Agente de directivas IPsec puede registrar errores para los problemas con el inicio del servicio. Entre

estos errores se incluyen los siguientes:

• El equipo se ha iniciado en modo a prueba de errores o en modo de recuperación de Active Directory. En estos casos, el controlador IPsec proporcionará información de salida activa de forma predeterminada si existe una

directiva IPsec asignada. La conectividad entrante se bloqueará a menos que se configure una exención de inicio.

• IKE no puede obtener control exclusivo de los puertos UDP 500 y 4500. Utilice netstat –bov para mostrar los

procesos y módulos de código de cada puerto. El comando portqry –local –v proporciona mayor detalle. Puede haber

instalados algunos proveedores de servicios por niveles (LSP) de Winsock que provocan interferencias con IPsec. Para

obtener más información acerca de los LSP e IPsec, consulte la sección "Solución de problemas relacionados con

aplicaciones" más adelante en este capítulo.

• Directiva IPsec dañada. La directiva IPsec asignada no se puede leer o aplicar por completo, lo que provoca que el

servicio IPsec informe de varios errores. Estos errores no provocan un error del propio servicio, sino que pueden impedir

las comunicaciones de varias formas, como impedir que Directiva de grupo y el servicio IPsec recuperen las directivas

corregidas. En Windows XP y Windows Server 2003, se debe prestar atención al diseño de la directiva persistente o local

como una directiva "segura" que se aplicará si se producen errores al aplicar la directiva basada en dominio. Tanto la

directiva persistente como la de inicio de equipo (exenciones de modo de inicio) deben formar parte de la investigación

para solucionar problemas. Estas directivas deben permitir el acceso remoto al equipo por otros medios si son las únicas

directivas aplicadas debido a otras situaciones de error.

• No se puede iniciar el Agente de directivas de seguridad IP. No se aplicará ninguna de estas directivas. Este error probablemente se debe a los problemas que se han producido en el Agente de directivas IPsec al registrarse con el

subsistema RPC. También se puede deber a que IKE no se ha inicializado a causa de LSP de Winsock de terceros.

• El servidor RPC del Agente de directivas no pudo...

•

En Windows XP y Windows Server 2003, los siguientes sucesos de error de servicio IPsec indican que el servicio no se

puede iniciar:

Cualquiera de estos errores puede deberse a cambios en la configuración de seguridad avanzada o a problemas en el

servicio RPC que provocan que el servicio del Agente de directivas IPsec no se inicialice correctamente durante el inicio

del servicio. Por lo tanto, el Agente de directivas IPsec no funcionará correctamente, se puede bloquear o se puede

cerrar.

registrar la secuencia de protocolos.

• registrar la interfaz.

• registrar los enlaces de interfaz.

• registrar los puntos terminales.

• registrar los mecanismos de autenticación.

• escuchar.

• El Agente de directivas no pudo iniciarse. No pudo conectar con la base de datos SCM. Error: <número>. El servicio IPsec no puede abrir la base de datos del administrador de control del servicio, lo que se puede producir porque

el servicio IPsec se ha configurado para ejecutarse como una cuenta de servicio sin privilegios. Se debe ejecutar como

sistema local. De lo contrario, investigue los problemas del administrador de control del servicio.

• El Agente de directivas no se pudo conectar con el controlador IPsec. El controlador IPsec no se ha podido cargar correctamente ni establecer una interfaz con la pila TCP/IP. Windows 2000 se ha diseñado para realizar esta operación

cuando se inicie el servicio IPsec. Es posible que haya software de terceros que inhiba la conexión o que falten módulos

de código del sistema operativo que sean necesarios para esta funcionalidad.

• El Agente de directivas no pudo cargar las directivas IPsec. Se ha producido un error mientras el Agente de

directivas IPsec estaba cargando todos los filtros en el controlador IPsec. La causa de este error puede ser que no haya

suficiente memoria de núcleo o una inicialización incorrecta del controlador IPsec. Si el problema continúa, póngase en

contacto con el servicio de soporte técnico de Microsoft.

• El Agente de directivas no pudo iniciar el servicio ISAKMP. Este error normalmente se produce porque IKE no

puede obtener control exclusivo sobre los puertos UDP 500 o 4500 debido a que otro servicio ya los está utilizando.

También se puede deber a software de seguridad de terceros que impida la asignación de puertos de red o que el

servicio IPsec no se ejecute en el contexto de sistema local.

• No se puede determinar el nombre principal SSPI del servicio ISAKMP/Oakley. Windows 2000 registra este

mensaje cuando no se puede realizar la llamada de función QueryCredentialsAttributes de la interfaz del proveedor de

compatibilidad de seguridad (SSPI). Este error puede indicar que el equipo no puede iniciar la sesión correctamente en

el dominio.

• Error al obtener credenciales del servidor Kerberos para el servicio ISAKMP/Oakley. Este mensaje de error de

Windows 2000 se produce habitualmente cuando se inicia el servicio IPsec (quizás en el momento de iniciarse el equipo)

en una red remota donde hay asignada una directiva IPsec (tal vez de la caché del Registro de la directiva de dominio)

que requiere autenticación Kerberos y no está disponible un controlador de dominio. Por lo tanto, la autenticación

Kerberos no funcionará. En la red interna, este suceso se debe registrar en un equipo que no sea miembro del dominio o

que no pueda tener acceso a los controladores de dominio mediante el protocolo Kerberos durante la inicialización del

servicio IPsec.

• No se puede aplicar una directiva de comunicaciones porque el controlador de seguridad IP no puede iniciar. Póngase en contacto con el administrador de su sistema inmediatamente. Este error se produce por un problema con la carga del controlador IPsec, el enlace a la pila TCP/IP o la inicialización antes de intentar agregarle una

directiva. Un archivo dañado o los permisos pueden ser la causa. Examine la configuración de seguridad o del software

de seguridad de terceros que pueda inhibir la carga del controlador. Si las firmas internas de FIPS.sys no se pueden comprobar durante la inicialización, no se realizará la carga y tampoco se cargará el controlador IPsec. El error de firmas

de FIPS.sys requiere que se reemplace el archivo binario firmado original o se obtenga un nuevo archivo binario de

Microsoft. Reinicie el equipo. Si el problema continúa, póngase en contacto con el servicio de soporte técnico de

Microsoft.

• Error de los servicios IPsec al iniciar el controlador IPsec con código de error: <número>. Los servicios IPsec no han podido comenzar. El controlador IPsec no ha podido cargarse por algún motivo. Si el problema

Solución de los problemas de recuperación de la directiva IPsec El servicio IPsec utiliza una consulta TCP LDAP autenticada y cifrada para descargar la directiva IPsec asignada para todas

las plataformas. Existen opciones para la firma y el sellado LDAP mediante la clave de sesión de Kerberos. Por lo tanto, el

servicio IPsec que se ejecute como sistema local debe poder obtener un vale de servicio Kerberos para el servicio LDAP en

el servidor Active Directory. Si se confirma que la extensión de lado del cliente de IPsec ha almacenado la directiva IPsec

correcta asignada en la clave del Registro GPTIPsecPolicy y el servicio está en ejecución, los siguientes problemas pueden

provocar que el servicio IPsec no pueda recuperar la directiva desde Active Directory:

En el complemento Administración de directivas IPsec de MMC se produce un problema conocido cuando se administra la

directiva IPsec en Active Directory o en un equipo remoto. Si el complemento MMC se ejecuta en un vínculo lento, es

posible que tarde en guardar todos los cambios en una directiva grande. Si se cierra la ventana del complemento MMC, se

perderá cualquier objeto o cambio de directiva que no se haya guardado. Esta funcionalidad puede provocar que se dañe

una directiva IPsec. Si el complemento Administración de directivas IPsec de MMC se ejecuta en un vínculo lento, utilice

una sesión de Escritorio remoto para ejecutar el complemento como un proceso local.

Por lo general, se debe probar cualquier secuencia de comandos de herramienta de la línea de comandos que cree la

continúa, póngase en contacto con el servicio de soporte técnico de Microsoft.

• Error de los servicios IPsec al iniciar el módulo IKE con código de error: <número>. Los servicios IPsec no han podido comenzar. Las causas habituales de este problema son LSP de Winsock de terceros, que impiden que IKE

utilice determinadas opciones de socket. También se informa de este error cuando IKE no puede obtener control

exclusivo de los puertos UDP 50 y 4500.

• Error cuando los servicios IPsec iniciaban el servidor RPC con código de error: <número>. Los servicios IPsec no han podido comenzar. El servicio IPsec depende del subsistema RPC para la comunicación entre procesos

entre IKE, la SPD y el Agente de directivas. Utilice las técnicas de solución de problemas de RPC para confirmar que RPC

funciona correctamente. Si el problema continúa después de reiniciar el equipo, póngase en contacto con el servicio de

soporte técnico de Microsoft.

• Los servicios IPsec se han cerrado por un error grave con código: <número>. La detención de los servicios IPsec puede constituir un riesgo para la seguridad de su equipo. Póngase en contacto con su administrador de equipo para volver a iniciar el servicio. El servicio IPsec ha experimentado el error indicado por <número> en el

texto del suceso y ya no está en ejecución. El controlador IPsec todavía sigue cargado y puede estar en modo normal

(aplicando filtros de directiva IPsec) o en modo de bloqueo. Un suceso independiente indicaría si el controlador IPsec ha

pasado al modo de bloqueo. Si el controlador está en modo normal, las acciones de filtrado de permitir y bloquear

siguen funcionando del modo previsto. Los filtros con una acción de negociar simplemente descartan el tráfico porque

IKE no está disponible.

• Los servicios IPsec han activado el modo de bloqueo del controlador de IPsec a causa de códigos de error anteriores <número>. Este mensaje es una notificación de que el controlador IPsec está en modo de bloqueo como

comportamiento a prueba de errores a causa de los problemas que se han producido al procesar la directiva IPsec. Este

comportamiento sólo está disponible en Windows Server 2003. El modo de bloqueo sigue permitiendo las exenciones

entrantes que se han configurado con el comando netsh ipsec.

• Problemas en las comunicaciones con los controladores de dominio.

• Problemas con el inicio de sesión de cuenta de equipo en un controlador de dominio.

• Problemas con la emisión de vales Kerberos.

• Problemas con la disponibilidad del servicio LDAP.

• Problemas para encontrar la directiva IPsec concreta o los objetos de componente solicitados en la consulta LDAP.

• Problemas con los permisos de lectura para cualquiera de los objetos de directiva IPsec solicitados.

• Directiva dañada debido a los problemas al guardar objetos en el almacén o por la eliminación accidental o intencionada

de los objetos del almacén.

Nota: una directiva IPsec creada en Windows XP o Windows Server 2003 que usa nuevas características disponibles en

dichas versiones puede perderlas silenciosamente si posteriormente se edita y guarda con el complemento

Administración de directivas de IPsec de MMC de Windows 2000. No obstante, si un sistema Windows 2000 recupera

una directiva IPsec con características adicionales, las omitirá, lo que podría cambiar el comportamiento de la directiva

IPsec cuando se aplique en el sistema Windows 2000.

directiva IPsec. Para ello, cree la directiva en el almacén local y examínela con el complemento Administración de directivas

IPsec de MMC para comprobar su integridad. Los equipos de prueba también deben aplicar la directiva IPsec local y

examinar los detalles en el complemento Monitor IPsec de MMC para confirmar el orden de filtros previsto.

Los procedimientos para solucionar y corregir errores de lectura y daños de la directiva IPsec dependen de la ubicación de

almacenamiento. Esta solución utiliza únicamente la directiva IPsec basada en dominio, pero otros tipos de directiva IPsec

se pueden haber configurado de un modo que provoquen problemas.

En el resto de esta sección se revisan los procedimientos de solución de problemas de cada tipo de directiva. Por lo general,

el departamento de soporte técnico de nivel 2 debe poder utilizar las herramientas de la línea de comandos o de la interfaz

gráfica de usuario para confirmar que se está recuperando la directiva IPsec correcta y que se está interpretando de forma

adecuada. Se muestran los pasos para eliminar cada tipo de directiva con la expectativa de que una actualización de

directivas instale una directiva correcta. Si no se recupera o instala una directiva correcta de las secuencias de comandos,

el problema se transfiere al departamento de soporte técnico de nivel 3.

Directiva IPsec de inicio La utilidad Netsh permite la configuración del modo de inicio de las opciones de exención de inicio admitidas únicamente

por Windows Server 2003. La configuración se almacena en las siguientes claves del Registro con los valores

predeterminados que se indican:

El valor OperationMode predeterminado requiere que el controlador IPsec realice un filtrado activo del tráfico saliente. Si

el servicio IPsec está en ejecución, utilice el comando

Netsh ipsec dynamic show configNetsh ipsec dynamic show configNetsh ipsec dynamic show configNetsh ipsec dynamic show config para mostrar la configuración de inicio. Si el servicio IPsec no está en ejecución (por

ejemplo, cuando se inicia en modo a prueba de errores), se pueden utilizar las herramientas del Registro para examinar y

cambiar el valor de la clave del Registro.

Para solucionar los problemas de tráfico que pueden producirse por el filtrado activo de IPsec durante el inicio, configure el

controlador IPsec para permitir el tráfico al inicio en lugar de efectuar un filtrado activo. Si el servicio IPsec está en

ejecución, utilice

netsh ipsec dynamic set config bootmode value=permitnetsh ipsec dynamic set config bootmode value=permitnetsh ipsec dynamic set config bootmode value=permitnetsh ipsec dynamic set config bootmode value=permit para configurar el modo de inicio en permitir. Si el servicio

IPsec no está en ejecución, utilice una herramienta del Registro para cambiar OperationsMode=1 para permiso.

Asimismo, el controlador IPsec no aplica el modo de seguridad de inicio si el servicio IPsec está configurado para el inicio

manual o si está deshabilitado. Después de que configure el servicio para el inicio manual o lo deshabilite, reinicie el equipo

para que el controlador IPsec se cargue en el modo de permiso.

Directiva IPsec persistente Windows XP y Windows Server 2003 admiten directivas persistentes. Una situación de error habitual se produce cuando no

se elimina una directiva persistente existente antes de definir una nueva y ésta entra en conflicto con la configuración que

ya está asignada. La solución descrita en esta guía no utiliza directivas persistentes. No obstante, puede utilizarse en

algunos entornos, por lo que en este capítulo se proporcionan instrucciones de solución de problemas.

La clave del Registro para directivas persistentes existe de forma predeterminada y está vacía:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ IPSec\Policy\Persistent

En Windows XP, la mejor forma de detectar una directiva persistente es comprobar que esta clave del Registro no está

vacía. El comando ipseccmd show informa de la directiva activa que se encuentra en el servicio IPsec pero no informa de

una determinada configuración procedente de una directiva persistente. El servicio IPsec descarta los nombres de las reglas

de directiva persistente al interpretar la directiva en la configuración actual. Debido a que ipseccmd no proporciona

nombres para filtros y acciones de filtrado, no se pueden utilizar las convenciones de nomenclatura para indicar filtros y

acciones de filtrado que proceden de una directiva persistente. Los filtros que tengan nombres del tipo "text2pol{GUID}",

tanto si se han creado con ipsecpol.exe como con ipseccmd.exe, incluirán entradas procedentes de una directiva persistente. No obstante, las directivas locales o de dominio que se han creado con las secuencias de comandos también

tendrán estos nombres.

La directiva persistente se aplica en primer lugar y se combina con la directiva IPsec local o de dominio. Por lo tanto, se

tiene que anular la aplicación de la directiva local y de dominio para poder ver sólo la configuración persistente. utilice

ipseccmd show all para mostrar todas las directivas activas, incluida la configuración persistente, cuando se inicie el

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\ OperationMode=3 (Activo)

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\ BootExemptList = (exención para DHCP entrante, consulte a continuación)

servicio IPsec.

Para eliminar todos los objetos (reglas, listas de filtros y acciones de filtrado) que están asociados a una determinada

directiva persistente, especifique el nombre de ésta en el comando siguiente:

ipseccmd.exe -w PERS -p "policy name" –o

La forma más sencilla de asegurarse de que se elimina toda la directiva persistente consiste en eliminar todas las subclaves

debajo de la clave Persistent. No obstante, si elimina la clave Persistent, se producirá un error en los comandos

ipseccmd futuros al intentar crear una directiva persistente. Para solucionar los daños en una directiva persistente y los

conflictos de directivas, elimine todos los objetos del almacén de directivas persistentes y vuelva a ejecutar la secuencia de

comandos ipseccmd para crearla.

En Windows Server 2003, la directiva persistente tiene capacidades de administración completas que son similares a las de

la directiva IPsec local y de dominio. La directiva persistente se almacena en la misma ubicación del Registro mencionada

anteriormente. La siguiente secuencia de comandos del comando Netsh mostrará la directiva persistente configurada

mediante los comandos del archivo show_persistent.netsh:

    Netsh –f show_persistent.netsh

El archivo show_persistent.netsh es un archivo de texto que contiene las siguientes líneas:

Pushd ipsec static Set store persistent show all exit

Se puede utilizar la siguiente secuencia de comandos del comando Netsh para eliminar toda la directiva persistente:

pushd ipsec static set store persistent delete all exit

Directiva IPsec local La directiva IPsec local se admite en Windows 2000, Windows XP y Windows Server 2003 y se almacena en la siguiente

clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ IPSec\Policy\Local

Si se asigna una directiva local, ésta se almacenará en la clave del siguiente modo:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ IPSec\Policy\Local\ActivePolicy

Si no está asignada una directiva de dominio, la directiva local asignada se agregará a cualquier directiva persistente

configurada para convertirse en la directiva activa. Para facilitar considerablemente la solución de problemas, las directivas

IPsec que crean las secuencias de comandos ipsecpol o ipseccmd se deben editar con el complemento Administración de

directivas IPsec de MMC para definir nombres de filtro para cada filtro antes de utilizarlas en entornos de producción.

También se puede utilizar el comando netsh ipsec para crear la directiva en un equipo con Windows Server 2003 y, a

continuación, exportarla a un archivo que se puede importar en equipos con Windows 2000 y Windows XP o en un dominio

después de haberla probado.

En Windows 2000, utilice el comando netdiag /test:ipsec /debug para ver los detalles de asignación y de directiva

activa. Se debe utilizar el complemento Administración de directivas IPsec de MMC o las herramientas del Registro para

eliminar objetos de directiva IPsec del almacén local. Para forzar una recarga de la directiva IPsec asignada, detenga y

reinicie el servicio.

En Windows XP, utilice los comandos ipseccmd show gpo o netdiag /test:ipsec para ver los detalles de asignación y

directiva activa. Utilice el complemento Administración de directivas IPsec de MMC, las herramientas del Registro o el

comando

ipseccmd.exe -w REG -p "<policy_name>" –o para eliminar la directiva IPsec designada. Para quitar fácilmente toda la

directiva local, elimine todas las subclaves de la ubicación de almacenamiento mencionada anteriormente.

Para forzar que el servicio IPsec vuelva a cargar la directiva, detenga y reinicie el servicio IPsec o anule la asignación de la

directiva IPsec y vuelva a asignarla mediante el complemento Administración de directivas IPsec de MMC. También es

posible utilizar el comando sc policyagent control 130 para volver a cargar la directiva. Cuando la directiva se vuelve a

cargar, se eliminan todas las asociaciones de seguridad IPsec e IKE, lo que puede provocar retrasos de conectividad o

interrupciones con los equipos que estaban utilizando activamente asociaciones de seguridad IPsec para transmitir y recibir

tráfico.

En Windows Server 2003, utilice el comando

netsh ipsec static show gpoassignedpolicy , el complemento Administración de directivas IPsec de MMC o el nodo

Directiva activa de Monitor IPsec para mostrar la directiva local asignada.

Utilice el comando netsh ipsec dynamic show all para ver la configuración de directiva activa actual. También puede

utilizar Monitor IPsec para inspeccionar distintas partes de la directiva activa.

Para eliminar y volver a cargar la directiva local en Windows Server 2003, utilice los mismos comandos que los enumerados

para Windows XP. El elemento netsh ipsec se puede utilizar para cancelar la asignación, volver a asignar y eliminar la

directiva.

Directiva IPsec de Active Directory Esta directiva es compatible con Windows 2000, Windows XP y Windows Server 2003. La directiva IPsec de dominio

asignada se almacena en el Registro local en la siguiente ubicación:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ IPSec\GPTIPSECPolicy

La caché del Registro local de la directiva de dominio se almacena en:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ IPSec\Policy\Cache

El almacén del directorio se debe administrar mediante el complemento Administración de directivas IPsec de MMC o el

comando netsh ipsec ejecutándose como procesos locales en Active Directory. No hay disponibles herramientas que

permitan ver directamente el contenido de la caché. Se debe utilizar una herramienta del Registro para determinar si existe

la caché y si incluye el contenido adecuado. De forma similar, se utilizan herramientas del Registro para eliminar la

directiva de dominio mediante la eliminación de las claves del Registro GPTIPsecPolicy y Cache. Se debe reiniciar el servicio IPsec o se debe utilizar el comando de control de servicio para forzar que se vuelva a cargar la directiva IPsec sin la

directiva de dominio.

Para actualizar la asignación de directiva IPsec basada en dominio y volver a cargar la directiva IPsec y actualizar el

contenido de la caché, utilice gpudpate /force.

Para impedir temporalmente que la directiva de dominio se aplique en el equipo local, puede configurar los permisos en las

claves del Registro GPTIPsecPolicy y Cache para denegar el acceso de lectura a la cuenta de sistema local. El

complemento Monitor de seguridad IPsec de MMC y las herramientas de la línea de comandos mostrarán la directiva de

dominio como asignada porque leen la información de GPTIPsecPolicy que se ejecuta en el contexto del usuario

administrador local. Para un bloqueo más duradero de la directiva IPsec basada en dominio, se debe impedir que el equipo

lea el GPO adecuado en Active Directory.

En Windows 2000, pueden aparecer los siguientes errores cuando hay problemas con la directiva:

• No se puede enlazar con el esquema de directorio. El servicio Agente de directivas IPsec no ha podido establecer un enlace LDAP autenticado con el contenedor Directivas de seguridad IP de Active Directory. Este error se debe

probablemente a que la cuenta de equipo no puede iniciar la sesión correctamente ni recibir las credenciales Kerberos.

También se puede deber a un error del protocolo Kerberos para emitir el vale de servicio LDAP al servicio Agente de

directivas IPsec.

•No se puede enlazar con el objeto de directivas de almacenamiento IPsec. Se ha definido un objeto en la

En Windows XP y Windows Server 2003, los siguientes sucesos indican que el servicio IPsec no pudo recuperar un

determinado tipo de directiva. Si una directiva local no se puede leer correctamente en Windows Server 2003 y SP2 de

Windows XP, la directiva se omite y se lee la siguiente directiva asignada en el orden de persistencia.

directiva IPsec (como una regla o una lista de filtros) que no existe. Es posible que se haya dañado la directiva IPsec,

que se haya dañado la directiva de almacenamiento de Active Directory o que se haya eliminado el objeto (aunque las

directivas IPsec existentes siguen haciendo referencia al mismo). Examine la directiva IPsec mediante el complemento

Administración de directivas IPsec de MMC para comprobar si todas las reglas de directiva están intactas y si las

propiedades de Intercambio de claves (en la ficha General) se pueden ver correctamente.

• Error al buscar controlador de dominio. Asegúrese de que el equipo es un miembro del dominio y compruebe la conectividad de red. El módulo de almacenamiento de directivas IPsec no ha encontrado un directorio LDAP del cual

recuperar la directiva IPsec basada en dominio.

• Error de comunicación con el servicio de directorio en el controlador de dominio. Póngase en contacto con el administrador de su sistema. El módulo de almacenamiento IPsec no ha podido utilizar correctamente la firma y el

sellado LDAP para descargar la directiva IPsec asignada.

• No se puede encontrar el objeto en el almacenamiento. Este error normalmente es grave porque la directiva IPsec

no se puede recuperar por completo y, por lo tanto, no funcionará correctamente. El módulo Almacenamiento de

directivas IPsec no ha podido encontrar el GUID del objeto (regla, lista de filtros, acción de filtrado o configuración

ISAKMP) que se incluye en la directiva IPsec o en una de las reglas, mediante una llamada LDAP o una llamada de

Registro remoto. La causa de este error puede ser una de las siguientes:

• Retrasos de replicación en que el objeto que hace referencia llega antes que el objeto al que se hace referencia o si

las consultas se dirigen a dos controladores de dominio distintos.

• El objeto se puede haber eliminado mientras se estaba utilizando en la directiva IPsec.

• El objeto puede tener permisos que deniegan la capacidad de enumerarlo o leerlo, o bien el almacenamiento de

directivas IPsec se ha restaurado a un momento anterior en que no existía el objeto.

• Una directiva IPsec dañada puede provocar un GUID no válido en la consulta.

• Es posible que la conectividad de red no esté disponible en la dirección IP de destino.

• Es posible que el servicio de LDAP o de Registro remoto no esté disponible.

• No se puede completar la operación solicitada. El almacenamiento de directivas no está abierto. El almacenamiento de Active Directory, del equipo remoto o del equipo local no se puede abrir. Este error normalmente lo

provoca un problema de permisos o de autenticación.

• Usando la directiva de registro local activo, porque (i) no hay directiva de almacenamiento Active Directory o (ii) la directiva de almacenamiento Active Directory no pudo aplicarse correctamente y no hay directiva en caché. Este suceso indica que la directiva IPsec está definida localmente en el equipo y que la directiva basada en

dominio no se ha podido aplicar para reemplazarla.

• No usar ninguna directiva IPsec, porque (i) no hay directiva de almacenamiento Active Directory o directiva de registro local activa o (ii) no se pudo aplicar la directiva de almacenamiento Active Directory correctamente y no hay directiva en caché o directiva de registro local activa. Este suceso indica el estado predeterminado, en el que no hay directivas asignadas al equipo.

• Error del motor PAStore al cargar en el equipo la directiva IPsec de almacenamiento persistente para "<nombre de directiva>", con el código de error <número>. El servicio IPsec ha detectado que la directiva

persistente se ha asignado y almacenado en el Registro local, pero no se ha podido leer el contenido de uno de los

objetos de directiva persistente como mínimo. Compruebe los permisos en todas las claves del Registro. Es posible que

la directiva se haya dañado. Intente eliminar la directiva persistente entera y, a continuación, vuelva a crearla.

• Error del motor PAStore al cargar en el equipo la directiva IPsec de almacenamiento local para "<nombre de

directiva>", con el código de error <número>. El servicio IPsec ha detectado que se ha asignado una directiva local

y que se ha intentado leerla, pero se ha producido un error al leer al menos uno de los objetos asociados a la directiva

asociada. Compruebe los permisos en todas las claves del Registro. Es posible que la directiva se haya dañado y se debe

eliminar y volver a crear.

• Error del motor PAStore al cargar en el equipo la directiva IPsec de almacenamiento en directorio para "<nombre de directiva>", con el código de error <número>. Se ha producido, como mínimo, un error en el

Solución de los problemas de interpretación de la directiva IPsec La interpretación de la directiva IPsec se realiza después de haber recuperado correctamente la directiva de la ubicación de

almacenamiento adecuada. Las direcciones IP de la interfaz de red actual se utilizan para expandir los filtros genéricos de la

directiva en filtros específicos. A continuación, la lista de los filtros específicos de entrada y salida se carga en el controlador

IPsec para el procesamiento de paquetes. Los sucesos de cambio de interfaz se señalizan al servicio IPsec, que ajusta la

configuración del filtro IPsec en el controlador IPsec tan rápido como sea posible, si es necesario (por ejemplo, para filtros

de Mi dirección IP).

En Windows 2000, los mensajes siguientes pueden indicar un problema con la interpretación o configuración correcta de los

componentes IPsec para aplicar la directiva:

servicio IPsec al leer la directiva IPsec asignada de Active Directory. Este error se puede deber a un lapso en la

conectividad de red antes de recuperar todos los objetos de directiva o se puede deber a que faltan objetos de directiva

IPsec u objetos para los que no se ha concedido permiso de lectura.

• El motor PAStore realizó un sondeo de cambios en la directiva IPsec de Active Directory, detectó que Active Directory no es accesible y migró usando la copia en caché de la directiva IPsec de Active Directory. No se pudo aplicar ninguno de los cambios realizados en la directiva IPsec de Active Directory desde el último sondeo. Este mensaje simplemente indica que, a un intervalo de sondeo periódico, el servicio IPsec no ha podido

establecer contacto correctamente con Active Directory (por ejemplo, debido a la pérdida del servicio DNS) y que no se

han efectuado cambios en la directiva IPsec activa actual. La conectividad a Active Directory estaba disponible

originalmente cuando se aplicó la directiva activa y el servicio IPsec habría recuperado y almacenado la versión más

reciente en caché. Por lo tanto, el servicio IPsec ahora considera que la caché del Registro de la directiva de dominio

IPsec es el origen principal de la directiva. El sondeo continuará hasta tener acceso al directorio.

• El atributo de tipo de datos especifica un tipo de datos desconocido. Parte de la directiva IPsec contiene un formato de datos que no reconoce el motor de almacenamiento de directivas. Este error es una indicación de una

directiva dañada o puede indicar un problema de versión de directiva en algún momento posterior. Las características de

la directiva IPsec en Windows XP y Windows Server 2003 están diseñadas para ser transparentes para el Agente de

directivas IPsec de Windows 2000.

• No se pueden leer los datos de blob. El formato de datos del atributo IPsecData en un objeto de directiva IPsec no es

el esperado. Este error casi siempre indica una directiva dañada o un problema de versión de directiva. Se debe corregir

para que la configuración de directiva IPsec se aplique correctamente del modo previsto.

• El Agente de directivas no tiene lista de interfaces. El Agente de directivas IPsec no ha encontrado ninguna interfaz de red IP para filtrar. Observe que el error del texto de este mensaje procede del código fuente de Windows

directamente y aparecerá tal como se muestra aquí.

• Error de API de ayuda pública de IP al obtener la tabla de interfaz. Los filtros basados en interfaces no se expandirán e instalarán en el controlador IPsec. Se ha producido un error cuando el Agente de directivas IPsec intentaba enumerar la lista de interfaces en el equipo. Es posible que no haya interfaces de red o que exista un error

interno en el administrador de interfaz de red. Los dispositivos que no sean totalmente compatibles con PnP, archivos

dañados o problemas con el controlador de tarjeta de interfaz de red o con otros componentes de red de Windows

relacionados pueden ser la causa. Los filtros IPsec basados en tipo de interfaz, como los configurados en una regla para

un determinado tipo de conexión (por ejemplo, acceso remoto) en vez de para todas las conexiones. Si el problema

continúa después de reiniciar, póngase en contacto con el servicio de soporte técnico de Microsoft.

• Error de API de ayuda pública al obtener la tabla de direcciones IP. Los filtros basados en interfaces no se expandirán e instalarán en el controlador IPsec. Se ha producido un error cuando el Agente de directivas IPsec intentaba enumerar todas las direcciones IP del equipo mediante el uso de una llamada de función en la API de ayuda de

IP. Es posible que no haya direcciones IP configuradas o puede haber problemas similares a los anteriores.

• No se encontró el índice de entrada de dirección IP en la tabla de interfaz. Descartando la dirección IP. El Agente de directivas IPsec confirma que todas las direcciones IP aparecen en la lista de interfaces de red. Las

condiciones temporales al agregar una interfaz de red nueva, o al eliminarla, pueden ser la causa de este problema. El

mensaje indica que el servicio IPsec no creará filtros específicos para esta dirección IP descartada para los filtros de Mi

dirección IP genéricos de la directiva, lo que a su vez puede parecer un comportamiento de conectividad inesperada

temporal al utilizar esta dirección IP. De lo contrario, este error indica un problema en el estado interno de la

configuración de la interfaz IP, que el servicio de soporte técnico de Microsoft debe investigar detenidamente. Debido a

que el Agente de directivas IPsec descarta la dirección IP (no la pila TCP/IP), no se crearán filtros IPsec para dicha

dirección IP. Por lo tanto, no se llevará a cabo ninguna acción de seguridad (como permitir o bloquear) ni ninguna

negociación de asociaciones de seguridad IPsec para el tráfico que utiliza esta dirección IP.

En Windows Server 2003, los sucesos siguientes indican que se puede haber producido un problema al interpretar la

directiva IPsec. En la mayoría de los casos, Windows XP utiliza el mismo texto de suceso. Se deben resolver estos

problemas para que la directiva IPsec funcione correctamente.

• Existe un espejo de filtro coincidente en la lista de filtros. Este error indica una situación de filtro duplicado en la directiva IPsec. Se debe analizar el diseño de la directiva IPsec para garantizar que no están duplicados los filtros

específicos del modo rápido para las direcciones de entrada y salida.

• No se agregó ningún filtro a la lista principal de filtros. El Agente de directivas IPsec no ha encontrado ningún filtro en la directiva IPsec que se recuperó del almacenamiento. La directiva IPsec sólo puede contener la regla de

respuesta predeterminada o los errores que se han producido al leer las reglas o las listas de filtros.

• Cero ofertas de fase 1. Descartando la directiva ISAKMP. Es probable que la directiva IPsec esté dañada si no se han encontrado métodos de seguridad de modo principal IKE (objetos de directiva ISAKMP).

• Cero ofertas de fase 2. Descartando la directiva de negociación. Sin métodos de seguridad de acción de filtrado

(ofertas de fase 2 de modo rápido IKE), IKE no podrá realizar negociaciones de modo rápido para el tráfico que coincida

con los filtros correspondientes. Es probable que la directiva IPsec esté dañada.

• La directiva contiene ofertas no válidas. La directiva IPsec contiene métodos de seguridad no válidos en la acción de

filtrado de una regla o no contiene valores para el modo principal IKE (opciones de intercambio de claves configuradas

en la ficha General).

• El Agente de directivas intentó insertar un filtro existente en IPsec. El controlador IPsec detecta que hay un filtro duplicado y lo rechaza. Esta situación puede ser benigna si el filtro duplicado tiene la misma acción que el que ya se ha

procesado en el controlador IPsec. No obstante, si las acciones de filtrado son distintas, se trata de un diseño de

directiva IPsec no compatible. Los resultados después de un período de tiempo transcurrido pueden ser distintos y

dependen del orden en que se procesa el cambio de directiva. La directiva IPsec debe estar diseñada para evitar filtros

duplicados.

• No se pudo agregar una entrada en la tabla de directivas IPsec. El Agente de directivas IPsec no ha podido agregar un filtro nuevo al controlador IPsec. Este error significa que cualquier tráfico que coincida con dicho filtro no

estará protegido. Una situación de poca memoria de núcleo puede ser la causa de este error. Si el error continúa,

póngase en contacto con el servicio de soporte técnico de Microsoft.

• El Agente de directivas no pudo insertar o actualizar un filtro en IPsec. Al igual que el mensaje anterior acerca

de la inserción de un filtro, la lista de filtros del controlador IPsec no es lo que necesita la directiva IPsec asignada. Por lo

tanto, no se está proporcionando la seguridad del modo previsto.

• Usando la directiva en caché, debido a que no se pudo aplicar la directiva Active Directory Storage correctamente (no se puede tener acceso a la red, integridad de la directiva no válida, etc.). Cuando se asigna una directiva IPsec basada en dominio, el Agente de directivas IPsec primero intenta leer la directiva más reciente de

Active Directory. Este mensaje informa de que no se ha podido recuperar la directiva IPsec del directorio y se está

aplicando la última directiva de dominio, que se encuentra en caché en el Registro.

• Error del motor PAStore al aplicar en el equipo la directiva IPsec de almacenamiento persistente para "<nombre de directiva>", con el código de error <número>. El servicio IPsec ha encontrado una directiva

persistente configurada en el Registro, pero no la ha podido aplicar por entero correctamente. Se elimina cualquier

directiva persistente que ya se haya aplicado y el controlador IPsec se establecerá por programa en el modo de bloqueo

(con exenciones de tiempo de inicio), según lo indicado por un mensaje aparte.

• Error del motor PAStore al aplicar en el equipo la directiva IPsec de almacenamiento de registro local para "<nombre de directiva>", con el código de error <número>. Este mensaje indica que en el servicio se ha

producido un error como mínimo al aplicar la directiva IPsec local del Registro local. Este mensaje podría indicar que la

directiva está dañada o que los permisos son incorrectos.

• Error del motor PAStore al aplicar en el equipo la directiva IPsec de almacenamiento de Active Directory para DN "<CN=ipsecPolicy{GUID}", con el código de error: <número>. El servicio IPsec ha encontrado la

directiva de dominio especificada por el DN en la clave del Registro GPTIPsecPolicy pero no ha podido aplicarla. Este mensaje es informativo y suele ser una notificación de que el controlador de dominio no está accesible para los clientes

móviles; este mensaje debe ir seguido de una aplicación correcta de la directiva en caché (si existe). No obstante, puede

indicar que un GPO está entregando una directiva IPsec que no existe, no se puede leer o está dañada.

• Error del motor PAStore al aplicar en el equipo la copia en caché local de la directiva IPsec de almacenamiento de Active Directory para "<nombre de directiva>", con el código de error: <número>. Este

Problemas de configuración de directiva con VPN de RRAS Tal como se ha indicado en la sección de soporte técnico de nivel 1 anteriormente en este capítulo, el servicio RRAS es una

fuente habitual de conflictos en la directiva IPsec en algunas organizaciones. En esta sección se explica el motivo por el que

la directiva IPsec integrada para los servidores VPN de L2TP/IPsec crea conflictos con la directiva de dominio empleada en

esta solución. Esta situación constituye un ejemplo de un problema de filtro duplicado.

En la siguiente explicación, el diseño de directiva IPsec empleado en el escenario de Woodgrove Bank se utiliza para ilustrar

los problemas. Sin embargo, los principios se aplican a numerosas implementaciones IPsec en toda la organización.

El servicio Administrador RAS (RASMAN) genera automáticamente la directiva IPsec para los servidores L2TP/IPsec e

incluye los siguientes filtros:

Por lo tanto, el filtro específico de modo principal que controla la respuesta de la negociación IKE a este servidor es la parte

de dirección del filtro de entrada:

Observe que el uso de "Mi dirección IP" provoca que el filtro de entrada se expanda por cada dirección IP del servidor VPN.

Si se supone que el servidor VPN tiene una dirección IP de interfaz externa para la conectividad de Internet y una interfaz

interna para la conectividad de LAN, los filtros de entrada específicos del modo principal IKE son:

El segundo filtro, para la interfaz de LAN interna, es más específico que el filtro de entrada del modo principal IKE de

aislamiento de servidor y dominio, que es:

Por lo tanto, cuando un administrador utiliza un cliente de confianza para administrar el servidor VPN, inicia IKE en la

dirección IP interna del servidor VPN. La búsqueda de directiva de entrada IKE coincidirá con el filtro de modo principal más

específica y responderá con la configuración de modo principal IKE para L2TP. Se utilizará la autenticación de certificados

en vez de la autenticación Kerberos, que es la empleada para esta solución.

Un segundo caso de conflicto se puede producir si el cliente VPN de Internet utiliza las capacidades de cuarentena del

cliente de Administrador de conexiones. El cliente de cuarentena debe pasar una "clave de cuarentena" a la dirección IP de

la LAN interna del servidor VPN al final de la cuarentena y obtener acceso VPN completo a la red. En este escenario, se

mensaje indica que el servicio IPsec sabe que la directiva de dominio se debe asignar y que no ha podido aplicar la

directiva que se ha recuperado de Active Directory. Ahora se ha producido como mínimo un error al aplicar la copia en

caché de la directiva de dominio asignada del Registro local. Este error puede indicar que la caché está dañada o que los

permisos son incorrectos. Esta situación es grave porque no se ha podido aplicar ninguna directiva basada en dominio,

lo que probablemente afectará a la conectividad con los otros miembros del dominio de aislamiento. La directiva local (si

está definida) será la siguiente en el orden de prioridad.

• Error del motor PAStore al aplicar en el equipo algunas reglas de la directiva IPsec "<nombre de directiva>" activa con código de error: <número>. Ejecute el complemento de monitor IPsec para obtener diagnóstico sobre el problema. Este problema normalmente se produce junto con otros problemas tratados aquí, como el de la

ausencia de métodos de seguridad de modo rápido (ofertas).

• Error cuando los servicios IPsec obtenían la lista completa de interfaces de red en este equipo. Esto puede constituir un riesgo para la seguridad del equipo, ya que algunas de las interfaces de red pueden no obtener la protección deseada por los filtros IPsec aplicados. Ejecute el complemento de monitor IPsec para obtener diagnóstico sobre el problema. Este mensaje reemplaza varios mensajes de la API de ayuda de IP utilizados en

Windows 2000. Se trata de un error benigno si se produce cuando las interfaces se agregan y eliminan, o al cambiar los

estados de conexión, por ejemplo cuando una red inalámbrica ya no está en el alcance. También es benigno si se

produce durante la reanudación desde los modos en espera o de hibernación y existe una configuración de interfaz red

distinta que se está detectando durante dicha reanudación.

• De Cualquier dirección IP a Mi dirección IP, UDP, origen 1701, destino Cualquiera (entrante)

• De Mi dirección IP a Cualquier dirección IP, UDP, origen Cualquiera, destino 1701 (saliente)

Nota: para obtener más información acerca de esta directiva, consulte el artículo 248750 de Knowledge

Base, "Description of the IPSec policy created for L2TP/IPsec", en http://support.microsoft.com/?kbid=248750.

• De Cualquier dirección IP a Mi dirección IP -> Autenticación de certificados

• De Cualquier dirección IP a <dirección IP de interfaz externa> -> Autenticación de certificados

• De Cualquier dirección IP a <dirección IP de interfaz de LAN interna> -> Autenticación de certificados

• De Cualquier IP a subred -> Autenticación Kerberos

aplica la directiva IPsec de dominio del cliente VPN de la caché cuando se inicia el equipo portátil. Cuando la conexión de

cuarentena VPN se establece correctamente, se asigna una dirección IP interna al cliente VPN. La dirección IP interna de

cliente puede estar cubierta por uno de los filtros de subred (Cualquiera <-> Subred interna) definidos en la directiva IPsec

de aislamiento de dominio. Este filtro es necesario para que los clientes dispongan de acceso autenticado por IPsec

completo a través del túnel VPN a los servidores internos y cualquier otra estación de trabajo que pueda tener acceso.

No obstante, los filtros de subred de esta solución iniciarán una negociación IKE desde la dirección IP interna de la interfaz

virtual de túnel VPN de cliente a la interfaz de LAN interna del servidor VPN. Se producirá un error en el modo principal IKE

porque el servidor responderá para aceptar únicamente autenticación de certificados, lo que no es compatible con la

directiva empleada para el aislamiento de dominio y servidor. Aunque la directiva permitiera autenticación de certificados,

el modo rápido IKE del cliente propondría el filtro para todo el tráfico y el servidor VPN no podría realizar la negociación

porque el filtro propuesto es demasiado general. El servidor VPN sólo aceptará filtros de modo rápido que sean específicos

de L2TP: UDP origen 1701, destino Cualquiera o UDP origen 1701, destino 1701.

Se pueden utilizar las siguientes opciones para resolver el conflicto entre la directiva L2TP/IPsec de servidor RRAS y la

directiva de aislamiento:

La solución más simple de esta lista es la primera, que hace que la NIC interna del servidor RRAS esté exenta de utilizar

IPsec.

Solución de problemas de IKE Normalmente se producen errores en IKE e IPsec cuando se implementan por primera vez porque el filtrado de red no

permite el puerto UDP 500 o los paquetes de protocolo IPsec. Por este motivo, resulta útil establecer una estación de

trabajo o servidor con una dirección IP estática para pruebas que tendrá asignada una directiva simple, como la directiva

Servidor (solicitud) de ejemplo predefinida que utiliza una clave previamente compartida. Se debe habilitar la auditoría

para capturar los sucesos de auditoría de IKE. Se implementa una directiva IPsec de dominio predeterminada para todos

los miembros de dominio que autentica con la misma clave previamente compartida y contiene una regla con un filtro para

todo el tráfico (incluido ICMP) a la dirección IP del equipo de prueba.

A continuación se implementa una secuencia de comandos de inicio de sesión de dominio para utilizar el comando ping

<testserver> o bien

nbtstat –n <testserver>, que desencadenará la negociación IKE desde todos los miembros del dominio al servidor de

prueba. Si analiza y resume las direcciones IP de las auditorías correctas de modo principal IKE, puede determinar si todos

los equipos reciben la directiva y comprobar que todas las áreas de la red pueden tener acceso al equipo de prueba

mediante los protocolos IKE e IPsec.

Una prueba más avanzada consistiría en confirmar que la encapsulación IPsec funciona con la fragmentación en cada área

de la red mediante el uso de ping –l 5000 <IP address> desde el servidor de prueba a los equipos que se encuentran en

cada área. La opción –l 5000 provoca que Ping cree una carga de paquete ICMP de 5000 bytes. El protocolo IPsec

encapsulará este paquete IP completo y, a continuación, la capa IP lo fragmentará antes de transmitirlo. Todos los

fragmentos se deben recibir en el destino y se devuelve una respuesta que consta de un número igual de fragmentos. La

experiencia ha demostrado que los dispositivos congestionados o que sirven de límites entre redes de distinta velocidad

(por ejemplo, entre Ethernet de 1 gigabit y de 100 megabits) pueden tener problemas al transferir fragmentos. De forma

similar, los hosts que se encuentran en vínculos de MTU distinta (como ATM, modo de transferencia asincrónico, FDDI,

interfaz de datos distribuidos por fibra, y Token Ring) requieren mensajes ICMP PMTU para detectar correctamente la MTU

de ruta de red para los paquetes TCP protegidos por IPsec. Consulte el artículo 314496 de Knowledge Base, "Tamaño de

MTU predeterminado para otra topología de red diferente", en http://support.microsoft.com/kb/314496 para obtener

información acerca de los distintos valores predeterminados de MTU de red.

Solución de problemas de negociación IKE

• Incluir las direcciones IP de la LAN interna del servidor RRAS en la lista de exenciones.

• Deshabilitar los puertos L2TP en los servidores VPN. Utilizar sólo PPTP.

• Deshabilitar la directiva IPsec automática para L2TP mediante la clave del Registro ProhibitIPsec para RASMAN. Personalizar manualmente la configuración de directiva IPsec con el fin de que L2TP utilice sólo la dirección IP externa

para la autenticación de certificados en el tráfico de UDP 1701 y sólo la autenticación Kerberos en todo el tráfico para el

aislamiento de dominio mediante la dirección IP interna.

Nota: para obtener más información acerca de esta configuración, consulte el artículo 240262 de Knowledge Base, "How

to Configure a L2TP/IPSec Connection Using Pre-shared Key Authentication", en

http://support.microsoft.com/kb/240262.

Los problemas de IKE pueden resultar difíciles de solucionar porque los errores puede que se produzcan sólo en

determinadas situaciones, por ejemplo, cuando se inicia el modo rápido IKE únicamente desde un equipo que normalmente

es el contestador. Los problemas también se pueden deber a errores en el sistema de autenticación, como los errores del

protocolo Kerberos, o cuando se combinan diseños de directiva incompatibles o una directiva existente con la directiva de

dominio. Los errores de IKE provocan que el equipo con la condición de error deje de participar en la negociación IKE, y

que el otro equipo de la negociación normalmente agote su límite de reintentos y el tiempo de espera. Si se produce un

error en IKE, intente estudiar el error y capturar los registros sin efectuar cambios. La auditoría estándar se puede habilitar

dinámicamente sin cambiar la configuración IPsec o el estado de funcionamiento del servicio. No obstante, en

Windows 2000 se debe reiniciar el servicio IPsec para habilitar el registro IKE detallado en el archivo Oakley.log. En SP2 de Windows XP y Windows Server 2003, el registro IKE se puede habilitar y deshabilitar mediante la línea de comandos

siempre que sea necesario.

En algunas situaciones, puede ser necesario detener y reiniciar el servicio IPsec para estudiar el tráfico de red y capturar

los resultados del archivo Oakley.log de un estado correcto. Cuando el servicio IPsec se detiene manualmente o como

parte del reinicio o cierre del equipo, IKE intenta enviar mensajes de eliminación para limpiar el estado de asociación de

seguridad IPsec en todos los principales conectados de forma activa. En ocasiones, el sistema operativo deshabilita la

capacidad de enviar paquetes antes de que IKE termine de enviar mensajes de eliminación a todos los principales activos,

lo que provoca que el estado de asociación de seguridad IPsec permanezca en el principal. Cuando esto sucede, el principal

puede creer que está conectado de forma segura al equipo que se está reiniciando. Después del reinicio, si el equipo no

inicia una nueva negociación IKE con su principal, éste tendrá que esperar cinco minutos para que se agote el tiempo de

espera de las asociaciones de seguridad IPsec antes de intentar restablecerlas. Para restablecer las asociaciones de

seguridad, primero se intenta una negociación de modo rápido durante un minuto y, a continuación, un inicio de modo

principal IKE.

Desde Windows 2000, el registro IKE se ha mejorado en cada versión. Los sucesos documentados en esta sección se

aplican a Windows XP y Windows Server 2003, aunque los sucesos de Windows 2000 tienen una naturaleza similar.

El registro de seguridad de Windows es el punto de partida recomendado para intentar determinar el motivo de un error de

negociación IKE. Para ver los sucesos IKE, se debe habilitar la auditoría de correcto o error en la configuración "Auditar

sucesos de inicio de sesión" de la directiva de seguridad de grupo. Tras habilitar la auditoría, el servicio IKE creará las

entradas de auditoría y ofrecerá una explicación del motivo del error en la negociación. No obstante, la explicación de los

errores en la negociación IKE casi siempre se proporciona como un error de suceso 547 y puede haber varias causas

posibles para el mismo mensaje de error. La lista de los errores de suceso 547 y las causas posibles se describen en detalle

en las siguientes secciones.

En Windows XP SP2 y Windows Server 2003, todas las auditorías de IKE se pueden deshabilitar con la clave del Registro

DisableIKEAudits. Asegúrese de comprobar este valor en los equipos que se estén investigando. Las auditorías de IKE se

pueden deshabilitar cuando la auditoría genera tantos sucesos correctos o de error que otros sucesos de la categoría de

inicio o cierre de sesión no se pueden supervisar de forma eficaz.

Los valores de código de error se suelen indicar en los sucesos de auditoría de IKE y en los detalles de registro. Las

descripciones de estos valores de código de error están disponibles en Microsoft MSDN®, en la página System Code Errors

(12000-15999) en http://msdn.microsoft.com/library/en-us/debug/base/

system_error_codes__12000-15999_.asp.

La solución de los problemas de negociación IKE requiere un conocimiento exhaustivo del comportamiento previsto del

diseño de la directiva IPsec, el proceso de negociación IKE y los sucesos de error de IKE. En esta sección se intentan

explicar únicamente los sucesos más habituales relacionados con el escenario de aislamiento de dominio de Woodgrove

Bank. No trata todos los sucesos de auditoría ni las condiciones de error de IKE.

Después de haber comprendido bien el proceso de negociación IKE, se debe obtener, si es posible, un seguimiento de red

de un lado de la comunicación como mínimo para identificar los problemas en IKE antes de intentar recopilar un archivo

Oakley.log. Los servidores implementados en escenarios de aislamiento de servidor y dominio deben disponer de la

capacidad de capturar un seguimiento con Monitor de red.

El archivo Oakley.log proporciona el registro más detallado disponible y se puede requerir de ambos lados de la

negociación (con tiempos sincronizados). No obstante, si habilita este registro, se puede ralentizar la negociación IKE, lo

que cambiará las condiciones de temporización y provocará que se pierda el estado existente si el servicio se reinicia para

volver a leer la clave del Registro (necesario en Windows 2000 y SP1 de Windows XP). Actualmente no existe ninguna guía

publicada para interpretar el archivo Oakley.log. A efectos de esta guía, dicha interpretación se considera parte del conjunto de conocimientos del nivel 3. Debido a restricciones de espacio, aquí se ofrecen breves extractos de los detalles

de registro para unos pocos errores. Para obtener ayuda con el fin de interpretar el archivo Oakley.log, póngase en

contacto con el servicio de soporte técnico de Microsoft.

Se mantienen los siguientes cuatro archivos de registro detallado para IKE:

Un error habitual que se suele cometer durante la solución de problemas consiste en no sincronizar la hora en los dos

equipos de los que se capturan el registro y los seguimientos de red. De este modo resulta difícil la correlación de registros,

aunque no imposible. La correlación de los mensajes IKE con los paquetes de un seguimiento de red se debe comprobar

con las cookies de encabezado ISAKMP y los campos identificadores de mensajes de modo rápido IKE.

Comportamientos de IKE esperados Si la red impide que la iniciación de modo principal IKE tenga acceso a la dirección IP de destino prevista, no se podrá

negociar la comunicación protegida por IPsec. Si el iniciador no está configurado para retroceder a texto no cifrado, la

imposibilidad de ponerse en contacto con el destino aparecerá como un suceso de auditoría 547 en el registro de seguridad

con una de las siguientes entradas de texto:

No obstante, para los clientes de aislamiento de dominio, esta condición puede no aparecer como un error si su directiva

permite el retroceso a texto no cifrado. Cuando se establece una asociación de seguridad por software, se crea un suceso

correcto 541 de modo principal IKE. La indicación de que un suceso 541 muestra una asociación de seguridad por software

es que el SPI de salida es cero y todos los algoritmos se muestran como Ninguno. En el siguiente ejemplo se muestran

estos parámetros en el suceso 541:

ESP Algorithm None HMAC Algorithm None AH Algorithm None Encapsulation None InboundSpi 31311481 (0x1ddc679) OutBoundSpi 0 (0x0) Lifetime (sec) <whatever is configured for QM lifetime> Lifetime (kb) 0

Nota: los eventos de asociación de seguridad por software a la misma dirección IP de destino tendrán marcas de hora

distintas y valores de SPI de entrada diferentes.

Se producen retrasos de conectividad de un minuto siempre que dos equipos dejan de estar sincronizados en relación con

la existencia potencial de un modo principal IKE activo entre ellos. Se pueden producir retrasos de cinco minutos si un

equipo cree que hay un par de asociaciones de seguridad IPsec activo entre ellos y el otro equipo (por ejemplo, un

servidor) ha eliminado estas asociaciones de seguridad y no está iniciando una regeneración de claves de modo rápido. IKE

de Windows 2000 admitía mensajes de eliminación simple, que se perdían en ocasiones. Windows XP y

Windows Server 2003 han agregado compatibilidad para la funcionalidad de eliminación "fiable" en forma de mensajes de

eliminación múltiple como protección frente a los paquetes descartados.

El escenario más común para esta situación es aquel en que un usuario de portátil de aislamiento de dominio extrae el

portátil de la estación de acoplamiento para asistir a una reunión. La estación de acoplamiento tiene una conexión Ethernet

por cable y el acto de quitar dicha interfaz de red requiere que se eliminen todos los filtros asociados a la misma (si se trata

de filtros expandidos de Mi dirección IP).

No obstante, ninguno de los filtros con un acción de negociación utiliza Mi dirección IP en la solución de aislamiento de

dominio, todos son filtros Cualquiera <-> subred. Por lo tanto, los estados de asociación de seguridad IPsec e IKE

permanecen activos en el equipo portátil porque estos filtros no se eliminan en cada cambio de dirección. Si los filtros se

• Oakley.log. Registro actual de IKE, limitado a 50.000 líneas.

• Oakley.log.bak. Después de acumular 50.000 líneas en Oakley.log, se crea este archivo y se inicia un nuevo archivo Oakley.log vacío. Este archivo se sobrescribe según sea necesario con el nuevo archivo Oakley.log siempre que el

servicio IPsec esté en ejecución.

• Oakley.log.sav. El archivo Oakley.log anterior se guarda con este nombre cuando se inicia el servicio IPsec.

• Oakley.log.bak.sav. El archivo Oakley.log.bak anterior se guarda con este nombre cuando se inicia el servicio IPsec.

• No hay respuesta del principal

• Tiempo de espera de negociación caducado

• Asociación de seguridad IKE eliminada antes de completarse el establecimiento

han expandido de "Mi dirección IP", se eliminarán cuando desaparezca la dirección IP.

Cada vez que un filtro de cualquier tipo se elimina del controlador IPsec, éste informa a IKE de que también se tienen que

eliminar todas las asociaciones de seguridad IKE e IPsec que utilizan dicha dirección IP. IKE intentará enviar mensajes de

eliminación para estas asociaciones de seguridad y las eliminará internamente. Estos mensajes de eliminación tendrán la

misma IP de origen que se utilizó para la asociación de seguridad IKE, aunque puede estar presente otra IP de origen en la

interfaz conectada en el momento que se envía la eliminación. El equipo remoto no tiene en cuenta la dirección IP de origen

si se reconoce el par de cookies de encabezado ISAKMP y las comprobaciones de cifrado en el paquete son válidas. No

obstante, estos mensajes de eliminación no se suelen enviar porque no hay conectividad de red segundos después de que

se produzca la desconexión (el equipo portátil se ha extraído).

En este caso concreto de filtros Cualquiera <-> subred, los filtros nunca se eliminan, lo que significa que las asociaciones

de seguridad IKE e IPsec no se eliminan automáticamente. Mientras tanto, las asociaciones de seguridad IPsec en los

equipos remotos que anteriormente estaban conectadas y las eliminaciones de modo rápido IKE se envían a la dirección

anterior del equipo portátil. Las asociaciones de seguridad de modo principal IKE permanecen activas durante un tiempo

predeterminado de 8 horas en estos equipos remotos, pero se pueden haber eliminado anteriormente por motivos internos

que conoce IKE. Como es evidente, el equipo portátil no recibe los mensajes de eliminación de asociación de seguridad IKE

en su dirección IP anterior. Cuando el equipo portátil finalmente se vuelve a conectar a la estación de acoplamiento, vuelve

a recibir la misma dirección IP. Los recursos compartidos de archivos, los clientes de correo electrónico y otras aplicaciones

normalmente se vuelven a conectar a los mismos destinos. No obstante, puede haber diferencias en el estado IKE entre el

equipo portátil y estos destinos remotos. Si el equipo portátil todavía tiene un modo principal IKE, intentará una

negociación de modo rápido IKE. El modo rápido utiliza un estado de cifrado que el principal remoto ha eliminado, por lo

que no reconoce estos mensajes y no responde. En el equipo portátil, IKE hace caducar el límite de reintentos al cabo de

un minuto e intenta una nueva negociación de modo principal IKE, que ahora se realiza correctamente. En consecuencia, el

usuario del equipo puede advertir un retraso de un minuto al volver a establecer la conexión con los recursos remotos.

Microsoft espera poder mejorar este comportamiento en actualizaciones futuras de todas las versiones de Windows que

admiten IPsec.

La negociación IKE puede informar de que se ha agotado el tiempo de espera por varios motivos. El suceso "Tiempo de

espera de negociación caducado" tiene lugar cuando se produce un error en algún paso de la negociación IKE (excepto el

retroceso a texto no cifrado) porque se ha agotado el límite de reintentos, excepto cuando IKE termina la negociación con

el suceso "Asociación de seguridad IKE eliminada antes de completarse el establecimiento". Estos dos sucesos son

esencialmente los mismos. Suelen ser habituales, benignos y previsibles durante las operaciones normales para los clientes

móviles, que cambian con frecuencia y rápidamente los estados de conectividad de red cuando se producen los siguientes

sucesos:

Un equipo remoto toma estos sucesos como indicación de que el otro equipo se ha desconectado de la red. El equipo

remoto intentará regenerar las claves o volver a negociar hasta que se agote el tiempo de espera del paso de la

negociación IKE.

Los errores de tiempo de espera de negociación se han mejorado en Windows Server 2003 para determinar dónde se ha

agotado el tiempo de espera en la negociación IKE mediante la identificación del último paso correcto en la negociación.

Estos sucesos también se pueden deber a la presencia de traducción de direcciones de red (NAT) cuando IKE está

negociando sin capacidades NAT-T. Sin embargo, también se agotará el tiempo de espera de la negociación IKE si el

principal remoto encuentra algún motivo para no establecer la negociación IKE.

Por lo tanto, en todos los casos de tiempo de espera de negociación caducado y sucesos "Asociación de seguridad IKE

eliminada antes de completarse el establecimiento", el departamento de soporte técnico de nivel 2 debe identificar si el

equipo realmente no ha podido realizar la negociación. Para ello, debe consultar los sucesos de auditoría de error 547 en

dicho equipo de hasta un minuto antes de que se agotara el tiempo de espera.

Sucesos correctos de la negociación IKE Si la negociación IKE es correcta, las asociaciones de seguridad de modo principal IKE se mostrarán en el complemento

• Los usuarios insertan y extraen equipos portátiles de las estaciones de acoplamiento.

• Los usuarios desconectan una conexión con cables

• Los equipos portátiles hibernan o pasan al modo de espera.

• Los equipos quedan fuera del alcance de una conexión inalámbrica.

• Se desconecta una conexión VPN.

• Se expulsa una tarjeta de red PCMCIA mientras está conectada.

Monitor IPSec de MMC y mediante las herramientas de consulta de la línea de comandos.

Para mostrar una lista de las asociaciones de seguridad de modo principal IKE actuales

Las asociaciones de seguridad de modo principal y de modo rápido generarán los siguientes sucesos en el registro de

seguridad si está habilitada la auditoría.

Entradas de registro informativas del modo principal IKE Para determinar si hay un problema con el intercambio del modo principal, busque los siguientes sucesos registrados en los

registros de sucesos del equipo:

Tabla 7.5: Mensajes de registro informativos del modo principal IKE

La existencia de estas entradas no indica un error en las comunicaciones. Estas entradas son informativas y se pueden

• Para Windows 2000:

ipsecmon.exe, netdiag /test:ipsec /v

Nota: este comando sólo muestra las asociaciones de seguridad IPsec, no las de modo principal IKE.

• Para Windows XP:

IPsec monitor snapin, ipseccmd show sas

• Para Windows Server 2003:

Nota: la línea se ha dividido en varias para facilitar la legibilidad. No obstante, al probarla en un sistema debe

introducirla como una sola, sin saltos.

IPsec monitor snapin, netsh ipsec dynamic show [mmsas | qmsas]

• 541. Se ha establecido el modo principal o rápido IKE.

• 542. Se ha eliminado el modo rápido IKE.

• 543. Se ha eliminado el modo principal IKE.

Texto del registro Descripción

La nueva directiva ha invalidado las SA

formadas con la directiva anterior.

Un mensaje de Windows 2000 que indica que un cambio de directiva IPsec ha

provocado la eliminación de las asociaciones de seguridad IKE o IPsec. Este

error es benigno. Se formarán nuevas asociaciones de seguridad IPsec basadas

en el flujo de tráfico actual que utilice la nueva directiva IPsec.

IKE tiene pendientes un gran número

de peticiones de establecimiento de

asociación de seguridad y está iniciando

el modo de prevención de denegación

de servicio.

Esto puede ser normal, causado por una carga alta del equipo o por un gran

número de intentos de conexión de clientes. También puede ser el resultado de

un ataque de denegación de servicio contra IKE. Si este es el caso,

normalmente habrá varias auditorías para negociaciones IKE erróneas a

direcciones IP de copia. Si no, el equipo está demasiado cargado.

Indica que IKE cree que ha sido inundado con solicitudes de establecimiento de

asociación de seguridad de modo principal IKE, por lo que va a descartar

muchas de ellas como parte de una estrategia de respuesta a un ataque de

denegación de servicio.

IKE se ha recuperado de la denegación

del modo de prevención de servicio y

ha reanudado una operación normal.

IKE se ha recuperado de lo que creía una situación de ataque de denegación de

servicio y ha reanudado el funcionamiento normal.

utilizar para ofrecer información adicional con el fin de determinar la causa real de un problema.

Sucesos de error 547 de la negociación de modo principal IKE Pueden producirse los siguientes sucesos de error 547 cuando falla la negociación de modo principal IKE:

Se puede esperar cualquiera de los siguientes mensajes "Tiempo de espera de negociación caducado" por los motivos

descritos anteriormente. También pueden indicar que el equipo remoto no ha podido realizar la negociación IKE.

Normalmente, el departamento de soporte técnico de nivel 2 se centra en la investigación del error de IKE en el equipo

remoto en vez de hacerlo en los tiempos de espera de negociación caducados, que son muy habituales para los equipos

desconectados, y en la incompatibilidad de diseño de directiva, en que el contestador a una negociación de modo principal

IKE o modo rápido IKE no encuentra un filtro específico que coincida con la solicitud entrante.

Errores de auditoría de modo rápido IKE (547) Se pueden producir los siguientes sucesos de error 547 cuando hay un error en la negociación de modo rápido IKE:

No se deben producir errores en el modo rápido IKE para directivas IPsec diseñadas correctamente y bajo cargas

operativas típicas. Si aparece alguno de estos errores, primeramente, el departamento de soporte técnico de nivel 2 debe

seguir los pasos de la sección "Comprobación de la directiva IPsec correcta". A continuación, debe intentar correlacionar

estos sucesos con las condiciones de rendimiento no habituales, como un uso de CPU del 100% o unas condiciones de muy

poca memoria de núcleo.

Tenga en cuenta que se prevén errores de modo rápido IKE con el tiempo de espera de negociación agotado si el equipo ya

no utiliza su dirección IP anterior o por alguno de los motivos explicados anteriormente.

Solución de problemas de IKE provocados por la autenticación Los siguientes mensajes están relacionados con los errores de autenticación de IKE:

• No hay respuesta del principal. Este suceso se prevé para las conexiones salientes a equipos que no utilizan IPsec y que no son miembros de la lista de exenciones. No obstante, el departamento de soporte técnico de nivel 2 debe estar

atento a los problemas de conectividad que bloqueen la negociación IKE, que también producirá este suceso.

• No hay ninguna directiva configurada. Este suceso indica un problema si la dirección IP de origen es una dirección

dentro de las subredes internas o puede indicar un conjunto de filtros sin correspondencia. De lo contrario, se puede

prever que los equipos no dispongan de una regla para negociar con determinados intervalos de direcciones o subredes.

Los equipos de dichas subredes pueden intentar el inicio IKE, pero no obtendrán respuesta porque no hay ninguna

directiva configurada.

• Los atributos de seguridad IKE son inaceptables. Este suceso no se debe producir en sistemas configurados

correctamente. Realice los pasos de la sección "Comprobación de la directiva IPsec correcta" para investigar.

• Tiempo de espera de negociación caducado

• Tiempo de espera de negociación caducado: primera carga (SA) procesada. Contestador. Diferencia de tiempo 63

• Tiempo de espera de negociación caducado: segunda carga (KE) procesada. Iniciador. Diferencia de tiempo 63

• Tiempo de espera de negociación caducado: segunda carga (KE) procesada. Contestador.

• No hay ninguna directiva configurada: tercera carga (ID) procesada. Iniciador.

• No se puede negociar la asociación de seguridad porque el atributo no coincide.

• Error de procesamiento general

• Error al obtener el nuevo SPI para el SA de entrada del controlador IPsec

• El controlador IPsec no pudo realizar la negociación Oakley; no existe ningún filtro.

• Error al agregar la asociación de seguridad al controlador IPsec

• Tiempo de espera de negociación caducado

• El destino especificado es desconocido / No se puede establecer conexión con ninguna autoridad para autenticación.

• El destino especificado no es accesible o es desconocido: primera carga (SA) procesada. Iniciador. Diferencia de tiempo

0

•

Los dos primeros mensajes indican que la identidad Kerberos del equipo remoto no se puede utilizar para obtener un vale

de servicio para el equipo remoto. Esta situación se puede producir porque no hay confianza de dominio o porque no está

disponible el acceso a los controladores de dominio.

Si no se puede realizar una negociación IKE entrante debido a la configuración de "Tener acceso a este equipo desde la

red", la negociación IKE en el lado que aplica los derechos de acceso informará de un suceso 547 "Error al autenticar

usando Kerberos", tal como se ha descrito anteriormente. Dicho suceso no indica específicamente que el problema sea el

error al activar los derechos "Tener acceso a este equipo desde la red" y, por lo tanto, se debe obtener un archivo

Oakley.log del servidor para ver el error específico que se ha generado. Debe investigarse la pertenencia a grupos del iniciador IKE para comprobar si se trata de hecho de un miembro de un grupo autorizado. Si el equipo es miembro de un

grupo que tiene acceso autorizado, es posible que no tenga vales Kerberos que refleje la nueva pertenencia a grupos.

Asimismo, es posible que el equipo no pueda obtener vales Kerberos correctos. Realice los procedimientos descritos en la

sección "Comprobación de la conectividad y la autenticación con los controladores de dominio", incluida anteriormente en

este capítulo.

Solución de problemas relacionados con las aplicaciones En esta sección se describe el modo en que el diseño de las aplicaciones puede interactuar con el uso de IPsec en Microsoft

Windows. El diseñador de la directiva IPsec debe comprender estas consecuencias. Asimismo, el personal de soporte

técnico debe conocerlas para poder clasificar e identificar los problemas rápidamente. La aplicación de la directiva IPsec

debe ser muy transparente para las aplicaciones. No obstante, existen circunstancias en las que asignar una directiva IPsec

o proteger el tráfico pueden provocar que la aplicación se comporte de modo distinto. En las siguientes secciones se

destacan estas cuestiones en el contexto de la solución de aislamiento de dominio de Woodgrove Bank.

ICMP permitido, pero TCP y UDP requieren IPsec Algunas aplicaciones utilizan un mensaje de solicitud de eco ICMP (Ping) para determinar si está accesible una dirección de

destino. Por ejemplo, IPsec no protege el tráfico ICMP en esta solución, por lo que una aplicación puede recibir una

respuesta ICMP de un destino. Sin embargo, es posible que la aplicación no pueda conectarse al destino mediante tráfico

TCP y UDP protegido por IPsec cuando falle la negociación IKE.

Retrasos de conexión iniciales La negociación IKE conlleva considerablemente más procesamiento y tiempo en completarse que un protocolo de enlace de

tres vías TCP o una consulta y respuesta de paquete único Nbtstat autenticado. Las aplicaciones que prevén una respuesta

de conexión TCP o UDP rápida de un destino pueden determinar que el destino no responde y adoptar otra medida, como

informar de un error o intentar conectarse a un destino alternativo. Las negociaciones IKE que utilizan autenticación

Kerberos normalmente terminan correctamente en 1-2 segundos. No obstante, este tiempo depende de muchos factores,

en concreto, el uso de CPU de ambos equipos y la pérdida de paquetes de red. El retroceso a texto no cifrado siempre

requiere tres segundos antes de permitir que el primer paquete del protocolo de enlace TCP se envíe desprotegido.

Bloqueos de aplicación al esperar respuesta de la red Algunas aplicaciones están escritas para suponer que el tiempo para conectarse o recibir un mensaje de error es muy

breve. Estas aplicaciones esperarán a que la conexión se establezca (que termine la operación de enlace de socket) antes

de mostrar cambios en la interfaz de usuario. Cuando el tráfico de esta aplicación está protegido mediante IPsec, puede

parecer que la aplicación se bloquea brevemente durante las conexiones correctas. La aplicación se puede bloquear hasta

que termine o se produzcan otros errores no habituales si la conexión no se establece correctamente debido a un error de

negociación IKE o a un filtro de bloqueo IPsec. La capa de sockets de red no tiene en cuenta los filtros IPsec o que IKE está

negociando la seguridad del tráfico. Normalmente, la aplicación interpreta que estas situaciones se deben a que el host

remoto está inactivo o a un error de red. No obstante, las aplicaciones también pueden interpretar los errores de acceso a

controladores de dominio como provocados porque el equipo de destino no está disponible o que la conexión se ha

rechazado.

Procesamiento de paquetes de red en modo núcleo afectado Las aplicaciones que tienen que ver con controladores de red u otro procesamiento de paquetes en el nivel de núcleo

pueden no funcionar correctamente cuando IPsec protege el tráfico. Estas aplicaciones pueden efectuar modificaciones en

el paquete, lo que provocará que IPsec lo descarte. Además, las modificaciones IPsec pueden confundir a la aplicación, con

un posible resultado de error del sistema (pantalla azul).

Las credenciales de autenticación IKE son inaceptables.

• No se puede iniciar sesión.

• Error al autenticar usando Kerberos

• IKE no encuentra un certificado de equipo válido.

Exploración de la red desde hosts en dominio de aislamiento afectada Las herramientas basadas en host que sondean rápidamente las direcciones IP remotas o los puertos abiertos en la red

pueden ejecutarse más lentamente si IPsec intenta proteger su tráfico de sondeo. El tráfico de sondeo puede provocar una

denegación de servicio en el host local al provocar que IKE se inicie en centenares de direcciones IP en pocos segundos o

minutos. Algunas herramientas basadas en SNMP dependen de que se envíen sucesos de captura SNMP a hosts que no son

de confianza y que actúan como recolectores de sucesos. Aunque a IPsec se le permita el retroceso a texto no cifrado, es

posible que el controlador IPsec descarte los paquetes de captura SNMP salientes antes de que se establezca la asociación

de seguridad por software. De modo similar, algunas aplicaciones basadas en UDP (como NTP y el localizador de

controlador de dominio de Windows) sólo esperan tres segundos para recibir una respuesta, lo que provoca un error en la

aplicación o informes falsos de que un destino es inaccesible.

Problemas de proveedores de servicios por niveles de Winsock Algunas aplicaciones legítimas (como los servidores de seguridad personales) y algunas aplicaciones malintencionadas

(como el software espía) pueden provocar problemas si insertan sus propias funciones de inspección de tráfico de red, que

se denominan proveedores de servicios por niveles (LSP) de Winsock. El componente IKE de la implementación de

Microsoft de IPsec utiliza una función de la API de Winsock ampliada cuyo puntero de función se determina mediante una

llamada a WSAIoctl(). Si no se permite que esta llamada de función pase por los LSP instalados, IKE no podrá supervisar

los puertos UDP requeridos. En Windows Server 2003, IPsec interpreta esto como un error del componente al aplicar la

directiva de seguridad requerida y reacciona a la defensiva. Cuando se invoca el "modo seguro" y el controlador IPsec pasa

al modo de bloqueo. Un administrador debe iniciar sesión mediante un inicio de sesión de escritorio para detener el servicio

IPsec y restaurar la conectividad. Si el servicio IPsec no responde a la solicitud de detención, se debe configurar como

deshabilitado y reiniciar el equipo.

Aunque parezca que IKE no tiene una inicialización correcta, el LSP u otro programa de terceros instalado puede bloquear

la capacidad del equipo para enviar y recibir protocolos IKE e IPsec.

Para el soporte técnico de nivel 2, la solución de problemas de LSP de Winsock consiste en la identificación de que existen

LSP. El soporte técnico de nivel 3 debe realizar una investigación exhaustiva para identificar la aplicación que ha instalado

los LSP y reordenarlos o quitarlos para comprobar si el servicio IPsec o IKE ya no tienen problemas. Entre las herramientas

para detectar los LSP de Winsock se incluyen:

Clientes VPN IPsec de terceros Puede darse una serie de problemas cuando una implementación IPsec de terceros se instala como parte de un cliente VPN

de acceso remoto. Normalmente, estos clientes deshabilitan el servicio IPsec y no están en conflicto con IPsec de Windows

nativo. No obstante, se requiere el servicio IPsec nativo para los miembros del dominio de confianza de esta solución. Por

lo tanto, las implementaciones de IPsec de terceros pueden entrar en conflicto por los siguientes motivos:

Los proveedores de VPN pueden constituir la mejor fuente de información acerca de si admiten que el servicio IPsec de

Windows nativo esté habilitado y si el tráfico en modo de transporte protegido por IPsec se admite por completo a través

de su conexión de acceso remoto. En algunos casos, la puerta de enlace del proveedor de VPN admite clientes VPN PPTP y

L2TP/IPsec de Windows 2000 y Windows XP. Los clientes VPN de Windows nativos son compatibles con el modo de

transporte IPsec completo a través del túnel VPN.

Principio de la página

Solución de problemas de nivel 3 Si con los procedimientos de solución de problemas de nivel 2 no se resuelve el problema, se necesitará experiencia

adicional para analizarlo y encontrar una solución. Esta experiencia se considera soporte técnico de nivel 3. En muchos

• Sporder.exe. Subprograma que está disponible para ver LSP en la parte de Winsock 2.0 del kit de desarrollo de

software (SDK) de la plataforma Windows.

• Netdiag /debug.

• Ambas implementaciones de IKE pueden necesitar el puerto UDP 500.

• El procesamiento de paquetes de núcleo IPsec para ambas puede requerir el protocolo ESP.

• Funciones de LSP de Winsock que están instaladas como parte del cliente.

• Funcionalidad de servidor de seguridad proporcionada por el cliente VPN.

• Sistema de niveles que impide que los paquetes encapsulados por IKE e IPsec nativos pasen por el túnel IPsec de

terceros.

casos, este soporte técnico lo proporcionan especialistas de IPsec contratados u organizaciones de soporte técnico, como el

servicio de soporte técnico de Microsoft.

El soporte técnico de IPsec de nivel 3 requiere un conocimiento exhaustivo del funcionamiento de IPsec y la pila TCP/IP de

Microsoft. El personal de soporte técnico de nivel 3 necesita una formación importante en IPsec y el uso de IPsec en

escenarios de aislamiento de servidor y dominio. Los conocimientos que adquiera el personal de nivel 3 pueden permitirles

ser responsables de la formación de personal de niveles inferiores y desarrollar documentación de soporte técnico, como

resúmenes técnicos, notas de productos, guías de soporte técnico, preguntas más frecuentes e información acerca de la

arquitectura y taxonomía de IPsec. El departamento de soporte técnico de nivel 3 también puede ser responsable de

desarrollar y documentar los planes de recuperación de desastres.

Participación del servicio de soporte técnico de Microsoft Si los procedimientos de solución de problemas descritos en este capítulo no le ayudan a resolver el problema o si su

organización no dispone de suficiente experiencia para utilizar técnicas avanzadas para la solución de problemas, es posible

que tenga que transferir el problema al servicio de soporte técnico de Microsoft. Es importante recopilar la máxima

información de diagnóstico que sea posible, como la obtenida de los registros y la supervisión de red, antes de ponerse en

contacto con el servicio de soporte técnico. Utilice esta lista para recopilar información que el departamento de soporte

técnico de nivel 3 o el servicio de soporte técnico de Microsoft necesitarán para analizar el problema:

Para crear un archivo de texto con formato de estos filtros

• Requisitos de seguridad para la autenticación entrante y saliente, así como la autorización para cada equipo. Debe

existir una breve descripción de cómo la configuración de Directiva de grupo e IPsec en el equipo cumplen estos

requisitos.

• Un diagrama representativo del escenario, que muestre los nombres de los equipos de origen y de destino, sus

direcciones IP en el momento de recopilar los archivos de registro y las versiones de sistema operativo (incluida la

información de Service Pack). Indique también las direcciones IP de los servidores DNS, servidores WINS y

controladores de dominio.

• Seguimientos de monitor de red de las comunicaciones tomados en cada lado mientras la directiva IPsec está activa,

preferiblemente de forma simultánea, para que los paquetes se puedan correlacionar fácilmente en los dos archivos de

seguimiento. Los seguimientos de red deben incluir todo el tráfico entrante y saliente en cada equipo (si es posible) para

que se puedan identificar fácilmente las solicitudes de autenticación, las búsquedas de DNS y otro tráfico relacionado.

Además, si se produce un error en las comunicaciones mientras la directiva IPsec está activa y se establecen

correctamente con la directiva IPsec deshabilitada o el servicio detenido, también debe estar disponible un seguimiento

de red del tráfico mientras IPsec no está activo. Es muy importante que la hora del sistema esté sincronizada entre

estos sistemas para que se puedan correlacionar los registros y los archivos de seguimiento.

• Para Windows 2000, Windows XP y Windows Server 2003, ejecute

netdiag /debug >netdiag-debug-computername.txt para registrar el resultado de ejecución justo antes o después de

capturar el seguimiento de red. (Netdiag genera mucho tráfico de red que no necesita formar parte del seguimiento de

red.) Para Windows XP y Windows Server 2003, ejecute también

portqry -v -local >portqry-v-computername.txt.

• los archivos Oakley.log de IKE de cada lado recopilados en el momento que se produce el problema y el momento en

que se registran los seguimientos de monitor de red. Los nombres de estos archivos deben indicar el nombre de equipo.

Si participa un cliente RAS o VPN de Windows, se debe utilizar la herramienta RASDIAG para recopilar información.

• Los registros del sistema, de seguridad y de aplicación completos de cada equipo en el momento en que se recopilan los

archivos Oakley.log y los seguimientos de red.

• Cualquier archivo de registro específico de Directiva de grupo creado al mismo tiempo que se capturan Oakley.log y los seguimientos de red.

• Los detalles de la directiva IPsec de cada equipo. Si las directivas IPsec que se aplican a cada equipo se pueden guardar

fácilmente, se deben incluir. No obstante, la directiva IPsec activa del equipo suele ser la combinación de varios tipos de

configuración de directiva IPsec, no sólo la directiva de dominio o local. La mejor forma de analizar la directiva activa en

un equipo es confeccionar una lista de los filtros específicos de modo principal IKE y de los filtros específicos de modo

rápido IKE desde el complemento Monitor IPsec de MMC.

1. Haga clic con el botón secundario en el nodo Filtros específicos de modo rápido IKE en el panel izquierdo del árbol.

2. Seleccione Exportar lista.

3. Guarde el archivo de texto delimitado por tabulaciones como IKE-qm-<nombre de equipo específico>.txt o con una convención de nomenclatura similar que incluya el nombre del equipo.

Un archivo de texto delimitado por tabulaciones con todos los detalles de los filtros se puede importar en una hoja de

cálculo o en un documento de procesador de textos.

Principio de la página

Resumen En este capítulo se ha proporcionado información detallada acerca de los procesos que ayudarán a los departamentos de

soporte técnico de nivel 1 (personal de servicio de asistencia) y de nivel 2 (personal de soporte técnico de red profesional

de TI) a comprender el modo de solucionar problemas de comunicación IPsec habituales. No es posible proporcionar

información acerca de todos los errores posibles; IPsec y la seguridad de red son cuestiones tan complejas que no se

podrían enumerar todas las variaciones. En la medida de lo posible, los desarrolladores de este capítulo han simplificado las

posibles opciones para centrarse en la orientación de las áreas donde es más probable que se produzcan problemas en el

tipo de entorno de aislamiento de servidor y dominio que se detalla en esta guía.

Las secuencias de comandos proporcionadas con esta guía se han probado en la implementación de laboratorio de pruebas

del escenario de Woodgrove Bank para probar su eficacia. No obstante, estas secuencias de comandos están diseñadas

para que se personalicen según las necesidades de una organización y, por lo tanto, Microsoft no ofrece soporte técnico.

Debe resultar evidente para el lector que la solución de problemas de IPsec es técnicamente compleja y requiere

conocimientos especiales en numerosas áreas de tecnología aparte de IPsec, incluidas las funciones de red, Active Directory

y Directiva de grupo. Sin embargo, la información proporcionada en este capítulo debería permitir al lector solucionar todos

los problemas (excepto los más complejos) que pueden afectar a una solución de aislamiento de servidor y dominio.

Para los lectores que deseen ampliar sus conocimientos en los páramos del soporte técnico de nivel 3, en la siguiente

sección se hace referencia a suficiente material de lectura adicional como para mantenerlos ocupados durante años.

Información adicional

• Para obtener información detallada acerca de IPsec, consulte la referencia How IPsec Works de Windows Server 2003 en

www.microsoft.com/resources/documentation/

WindowsServ/2003/all/techref/en-us/w2k3tr_IPsec_how.asp

• Para obtener información detallada acerca de la solución de problemas de TCP/IP, consulte las referencias técnicas

siguientes:

• TCP/IP in Windows 2000 Professional en www.microsoft.com/resources/documentation/Windows/

2000/server/reskit/en-us/prork/prcc_tcp_slnb.asp

• El capítulo TCP/IP Troubleshooting del Kit de recursos de Windows XP en

www.microsoft.com/resources/documentation/Windows/

XP/all/reskit/en-us/prcc_tcp_gfhp.asp

• "Cómo solucionar problemas de conectividad TCP/IP con Windows XP" en http://support.microsoft.com/?

kbid=314067

• Windows Server 2003 TCP/IP Troubleshooting en www.microsoft.com/technet/prodtechnol/windowsserver2003/

operations/system/tcpiptrb.mspx

• Para la ayuda en línea y la documentación de kit de recursos que tratan específicamente la solución de problemas de

IPsec en Windows 2000, Windows XP y Windows Server 2003, consulte las referencias siguientes:

• "Basic IPsec troubleshooting in Microsoft Windows 2000 Server" en

http://support.microsoft.com/?kbid=257225

• Microsoft Windows 2000 Advanced Documentation en

www.microsoft.com/windows2000/en/advanced/help/

sag_ipsectrouble.htm?id=3352

• "Basic L2TP/IPSec Troubleshooting in Windows XP" en

http://support.microsoft.com/?kbid=314831

• Ayuda de Windows Server 2003: Herramientas de solución de problemas de IPsec en

www.microsoft.com/technet//prodtechnol/

windowsserver2003/proddocs/standard/

sag_ipsec_tools.asp?frame=true#iketrace_enable

• El diagrama de la descripción general de la arquitectura de las notas del producto "Windows 2000 TCP/IP

Implementation Details" en

www.microsoft.com/windows2000/

techinfo/howitworks/communications/networkbasics/

tcpip_implement.asp

• Windows 2000 Network Architecture, figura B.1 en

www.microsoft.com/resources/documentation/windows/

2000/server/reskit/en-us/cnet/cnad_arc_jypf.asp

• How TCP/IP Works en www.microsoft.com/resources/documentation/

WindowsServ/2003/all/techref/en-us/w2k3tr_tcpip_how.asp

• How IPSec Works en www.microsoft.com/resources/documentation/

WindowsServ/2003/all/techref/en-us/w2k3tr_ipsec_how.asp

Principio de la página

Administre su perfil

©2009 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros | Aviso Legal | Marcas registradas | Privacidad