Làm th? nào đ? ch?n các giao th?c m?ng c? th? và các c?ng b?ng cách s? d?ng IPSec

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 813878 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

B?o m?t Internet Protocol (IPSec) l?c quy t?c có th? đư?c s? d?ng đ? giúp b?o v? máy tính d?a trên Windows 2000, d?a trên Windows XP và Windows Server 2003 d?a trên t? m?ng d?a trên các cu?c t?n công t? m?i đe d?a như vi-rút và sâu. Bài vi?t này mô t? cách l?c m?t giao th?c c? th? và c?ng k?t h?p cho c? hai trong nư?c và ngoài nư?c m?ng lưu lư?ng truy c?p. Nó bao g?m các bư?c sau đ? cho dù có b?t k? chính sách IPSec hi?n đang đư?c gán cho máy tính d?a trên Windows 2000, d?a trên Windows XP ho?c Windows Server 2003 d?a, bư?c đ? t?o và gán cho m?t chính sách IPSec m?i, và các bư?c đ? unassign và xóa m?t IPSec chính sách.

THÔNG TIN THÊM

Các chính sách IPSec có th? đư?c áp d?ng ? đ?a phương ho?c đư?c áp d?ng cho m?t thành viên c?a m?t tên mi?n là m?t ph?n c?a chính sách nhóm mi?n đó. Đ?a phương IPSec chính sách này có th? t?nh (liên t?c sau khi kh?i đ?ng l?i) ho?c năng đ?ng (?n đ?nh). Các chính sách IPSec t?nh đư?c vi?t đ? các đ?a phương đăng k? và v?n t?n t?i sau khi h? đi?u hành kh?i đ?ng l?i. Năng đ?ng IPSec các chính sách không v?nh vi?n ghi đư?c vào s? đăng k? và đư?c lo?i b? n?u các h? đi?u hành ho?c các d?ch v? đ?i l? chính sách IPSec đư?c kh?i đ?ng l?i.

Quan tr?ng Bài vi?t này ch?a thông tin v? ch?nh s?a registry b?i b?ng cách s? d?ng Ipsecpol.exe. Trư?c khi ch?nh s?a registry, h?y ch?c ch?n r?ng b?n hi?u như th? nào đ? khôi ph?c l?i nó n?u m?t v?n đ? x?y ra. Thông tin v? làm th? nào đ? sao lưu, Khôi ph?c, và ch?nh s?a registry, h?y nh?p vào s? bài vi?t sau đây đ? xem các bài vi?t trong cơ s? ki?n th?c Microsoft:
256986 Mô t? c?a Microsoft Windows Registry
Chú ý Quy t?c l?c IPSec có th? gây ra các chương tr?nh m?ng m?t d? li?u và đ?n d?ng đáp ?ng yêu c?u m?ng, bao g?m c? th?t b?i đ? xác th?c ngư?i dùng. S? d?ng quy t?c l?c IPSec như là m?t bi?n pháp ph?ng th? cu?i cùng và ch? sau khi b?n có m?t s? hi?u bi?t r? ràng c?a các tác đ?ng ch?n c?ng c? th? s? có trong môi trư?ng c?a b?n. N?u m?t chính sách IPSec b?n t?o b?ng cách s? d?ng các bư?c mà đư?c li?t kê ? đây bài vi?t đ? không mong mu?n tác d?ng trên các chương tr?nh m?ng c?a b?n, xem ph?n "Unassign và xóa an IPSec Policy" sau này trong bài vi?t này cho hư?ng d?n v? làm th? nào đ? ngay l?p t?c vô hi?u hóa và xóa các chính sách.

Xác đ?nh cho dù m?t chính sách IPSec đư?c gán

Windows Server 2003 d?a trên máy tính

Trư?c khi b?n t?o ho?c ch? đ?nh b?t k? chính sách IPSec m?i cho m?t Windows Server 2003 d?a trên máy tính, xác đ?nh cho dù b?t k? chính sách IPSec đang áp d?ng t? s? đăng k? đ?a phương ho?c thông qua m?t Group Policy object (GPO). Để thực hiện việc này, hãy làm theo những bước sau:
 1. Cài đ?t Netdiag.exe t? Windows Server 2003 CD b?ng cách ch?y Suptools.MSI t? thư m?c Support\Tools.
 2. M? m?t d?u nh?c l?nh, và sau đó đ?t thư m?c làm vi?c C: Program Files Files\Support công c?.
 3. Ch?y l?nh sau đ? xác minh r?ng có không ph?i là m?t chính sách IPSec hi?n có đ? đư?c đ?t cho máy tính:
  netdiag /Test:IPSec
  N?u không có chính sách đư?c ch? đ?nh, b?n nh?n đư?c dư?i đây thông báo:
  IP Security th? nghi?m........ . : Thông qua D?ch v? chính sách IPSec là ho?t đ?ng, nhưng không có chính sách đư?c phân công.

Windows XP máy vi tính

Trư?c khi b?n t?o ho?c ch? đ?nh b?t k? chính sách IPSec m?i cho m?t Windows XP trên máy tính, xác đ?nh cho dù b?t k? chính sách IPSec đang áp d?ng t? s? đăng k? đ?a phương ho?c thông qua m?t GPO. Đ? làm Đi?u này, h?y làm theo các bư?c sau:
 1. Cài đ?t Netdiag.exe t? CD Windows XP b?ng cách ch?y Setup.exe t? thư m?c Support\Tools.
 2. M? m?t d?u nh?c l?nh, và sau đó đ?t thư m?c làm vi?c C: Program Files Files\Support công c?.
 3. Ch?y l?nh sau đ? xác minh r?ng có không ph?i là m?t chính sách IPSec hi?n có đ? đư?c đ?t cho máy tính:
  netdiag /Test:IPSec
  N?u không có chính sách đư?c ch? đ?nh, b?n nh?n đư?c dư?i đây thông báo:
  IP Security th? nghi?m........ . : Thông qua D?ch v? chính sách IPSec là ho?t đ?ng, nhưng không có chính sách đư?c phân công.

Windows 2000 d?a trên máy tính

Trư?c khi b?n t?o ho?c ch? đ?nh b?t k? chính sách IPSec m?i cho m?t Windows 2000 d?a trên máy tính, xác đ?nh cho dù b?t k? chính sách IPSec đang áp d?ng t? s? đăng k? đ?a phương ho?c thông qua m?t GPO. Để thực hiện việc này, hãy làm theo những bước sau:
 1. Cài đ?t Netdiag.exe t? Windows 2000 CD b?ng cách ch?y Setup.exe t? thư m?c Support\Tools.
 2. M? m?t d?u nh?c l?nh, và sau đó đ?t thư m?c làm vi?c C: Program Files Files\Support công c?.
 3. Ch?y l?nh sau đ? xác minh r?ng có không ph?i là m?t chính sách IPSec hi?n có đ? đư?c đ?t cho máy tính:
  netdiag /Test:IPSec
  N?u không có chính sách đư?c ch? đ?nh, b?n nh?n đư?c dư?i đây thông báo:
  IP Security th? nghi?m........ . : Thông qua D?ch v? chính sách IPSec là ho?t đ?ng, nhưng không có chính sách đư?c phân công.

T?o ra m?t chính sách t?nh kh?i lư?ng truy c?p

Windows d?a trên Server 2003 và Windows XP trên máy tính

Đ?i v?i h? th?ng mà không có m?t chính sách IPSec t?i đ?a phương đư?c đ?nh ngh?a đư?c kích ho?t, t?o ra m?t chính sách m?i t?nh đ?a phương đ? lưu thông kh?i là hư?ng t?i m?t giao th?c c? th? và m?t c?ng c? th? trên d?a trên Windows Server 2003 và Windows XP d?a trên máy tính. Để thực hiện việc này, hãy làm theo những bước sau:
 1. Xác minh r?ng các d?ch v? đ?i l? chính sách IPSec đư?c kích ho?t và b?t đ?u trong d?ch v? MMC snap-in.
 2. Cài đ?t IPSeccmd.exe. IPSeccmd.exe là m?t ph?n c?a các công c? h? tr? Windows XP Service Pack 2 (SP2).

  Chú ý IPSeccmd.exe s? ch?y trên Windows XP và h? đi?u hành Windows Server 2003, nhưng công c? này ch? có s?n t? các gói ph?n m?m công c? h? tr? Windows XP SP2.

  Đ? bi?t thêm chi ti?t v? cách t?i v? và cài đ?t Windows XP Service Pack 2 h? tr? công c?, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
  838079Công c? h? tr? Windows XP Service Pack 2
 3. M? m?t d?u nh?c l?nh, và sau đó thi?t l?p các thư m?c làm vi?c đ? các thư m?c mà b?n đ? cài đ?t Windows XP Service Pack 2 h? tr? c?.

  Chú ý Thư m?c m?c đ?nh đ?i v?i công c? h? tr? Windows XP SP2 là c: Program Files Files\Support công c?.
 4. Đ? t?o ra m?t chính sách IPSec m?i đ?a phương và l?c cai tr? mà áp d?ng cho m?ng lư?i giao thông t? b?t k? đ?a ch? IP cho đ?a ch? IP c?a d?a trên Windows Server 2003 ho?c Windows XP d?a trên các máy tính b?n đang c?u h?nh, s? d?ng l?nh sau đây.

  Chú ý Trong l?nh sau, Giao thứcPortNumber đang các bi?n.
  IPSeccmd.exe -w REG kh?i -p" Giao thứcPortNumber L?c"- r "Kh?i trong nư?c Giao thứcPortNumber Cai tr?"-f * = 0:PortNumber:Giao thức -n CH?N –x
  Ví d?, đ? ngăn ch?n m?ng lư?i giao thông t? b?t k? IP Đ?a ch? và b?t k? ngu?n c?ng đ?n đích c?ng UDP 1434 trên m?t máy tính d?a trên Windows Server 2003 ho?c Windows XP-based, g? như sau. Chính sách này là đ? đ? b?o v? máy tính ch?y Microsoft SQL Server 2000 t? sâu "Slammer".
  IPSeccmd.exe -w REG -p "ch?n UDP 1434 L?c"- r"Ch?n trong nư?c UDP 1434 Rule"-f * = 0:1434:UDP - n kh?i -x
  Truy c?p sau ví d? kh?i trong nư?c vào TCP c?ng 80 nhưng v?n cho phép truy c?p TCP 80 ra bên ngoài. Chính sách này là đ? đ? giúp b?o v? máy tính ch?y Microsoft Internet Information Services (IIS) 5.0 t? sâu "Code đ?" và "Nimda" sâu.
  IPSeccmd.exe -w REG -p "Block TCP 80 l?c" - r "ch?n trong nư?c TCP Quy lu?t 80"-f * = 0:80:TCP - n BLOCK - x
  Chú ý Các -x chuy?n đ?i ch? đ?nh các chính sách ngay l?p t?c. N?u b?n nh?p l?nh này, chính sách "Ch?n UDP 1434 l?c" là unassigned và "Kh?i TCP 80 l?c" đư?c gán. Đ? thêm các chính sách, nhưng không ?n đ?nh chính sách, g? l?nh mà không có các -x chuy?n vào cu?i.
 5. Đ? thêm m?t quy t?c l?c b? sung đ? hi?n có kh?i" Chính sách UDP 1434 l?c"kh?i lưu thông m?ng có ngu?n g?c t? máy tính c?a b?n d?a trên Windows Server 2003 ho?c Windows XP d?a trên đ?n b?t k? đ?a ch? IP, s? d?ng các l?nh sau.

  Chú ý Trong l?nh này, Giao thứcPortNumber là các bi?n:
  IPSeccmd.exe -w REG kh?i -p" Giao thứcPortNumberL?c"- r"kh?i ra bên ngoài Giao thứcPortNumber Quy t?c"-f * 0 =:PortNumber:Giao thức -n kh?i
  Ví d?, đ? ngăn ch?n b?t k? m?ng traffic mà có ngu?n g?c t? c?a b?n d?a trên Windows Server 2003 ho?c Windows XP d?a trên máy tính là hư?ng đ?n UDP 1434 trên b?t k? máy ch? lưu tr? khác, g? như sau. Chính sách này là đ? đ? ngăn ch?n máy tính ch?y SQL Server 2000 Lan r?ng sâu "Slammer".
  IPSeccmd.exe -w REG -p "ch?n UDP 1434 L?c"- r"Kh?i ra bên ngoài UDP 1434 Rule"-f 0 = *:1434:UDP - n BLOCK
  Chú ý B?n có th? thêm như nhi?u l?c quy chính sách như b?n mu?n b?ng cách b?ng cách s? d?ng l?nh này. Ví d?, b?n có th? s? d?ng l?nh này đ? ch?n nhi?u c?ng b?ng cách s? d?ng cùng m?t chính sách.
 6. Chính sách ? bư?c 5 bây gi? s? có hi?u l?c và s? v?n t?n t?i m?i khi máy tính kh?i đ?ng l?i. Tuy nhiên, n?u m?t tên mi?n d?a trên chính sách IPSec đư?c gán cho máy tính sau này, chính sách đ?a phương này s? đư?c ghi đè và s? không c?n áp d?ng.

  Đ? xác nh?n vi?c phân công c?a quy t?c l?c c?a b?n, thi?t l?p các thư m?c làm vi?c đ? công c? Files\Support c: Program Files d?u nh?c l?nh, và sau đó g? l?nh sau đây:
  netdiag /test:ipsec /debug
  N?u các chính sách cho c? hai trong nư?c và đi ra lưu lư?ng truy c?p đư?c như trong nh?ng ví d? này, b?n s? nh?n đư?c thông báo sau:
  IP Security th? nghi?m........ . :
  Thông qua đ?a phương Chính sách IPSec ho?t đ?ng: Đư?ng d?n chính sách b?o m?t IP 'Ch?n UDP 1434 l?c': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

  Không có b? l?c 2
  Không tên
  L?c Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
  Chính sách Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
  Src đc: 0.0.0.0 Src Mask: 0.0.0.0
  Dest đc: 192.168.1.1 Dest Mask: 255.255.255.255
  Đư?ng h?m Đ?a ch?: 0.0.0.0 Src Port: 0 Dest Port: 1434
  Giao th?c: 17 TunnelFilter: Không
  C?: Trong nư?c kh?i
  Không tên
  L?c Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
  Chính sách Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
  Src đc: 192.168.1.1 Src Mask: 255.255.255.255
  Dest đc: 0.0.0.0 Dest Mask: 0.0.0.0
  Đư?ng h?m Addr : 0.0.0.0 Src Port: 0 Dest Port: 1434
  Giao th?c: 17 TunnelFilter: không có
  C?: Ra bên ngoài kh?i
  Chú ý Đ?a ch? IP và ngư?i dùng đ? h?a giao di?n (GUID) s? đi?n tho?i s? th? khác nhau d?a trên máy tính c?a b?n d?a trên Windows Server 2003 ho?c d?a trên Windows XP.

Windows 2000 d?a trên máy tính

Đ?i v?i h? th?ng mà không có m?t chính sách IPSec đư?c xác đ?nh t?i đ?a phương đang có, làm theo các bư?c sau đ? t?o ra m?t chính sách m?i t?nh đ?a phương đ? lưu thông kh?i là chuy?n tr?c ti?p t?i m?t giao th?c c? th? và m?t c?ng trên m?t máy tính d?a trên Windows 2000 N?u không có m?t chính sách IPSec hi?n có ch? đ?nh:
 1. Xác minh r?ng các d?ch v? đ?i l? chính sách IPSec đư?c kích ho?t và b?t đ?u trong d?ch v? MMC snap-in.
 2. Ghé thăm trang Web Microsoft sau đây đ? t?i v? và cài đ?t Ipsecpol.exe:
  http://www.Microsoft.com/downloads/details.aspx?displaylang=en & FamilyID = 7D40460C-A069-412E-A015-A2AB904B7361
 3. M? m?t d?u nh?c l?nh và thi?t l?p các thư m?c làm vi?c đ? các thư m?c nơi b?n cài đ?t Ipsecpol.exe.

  Chú ý Thư m?c m?c đ?nh cho Ipsecpol.exe là c: Program Files Files\Resource Kit.
 4. Đ? t?o ra m?t chính sách IPSec m?i đ?a phương và l?c cai tr? mà áp d?ng cho lưu lư?ng m?ng t? b?t k? đ?a ch? IP cho các đ?a ch? IP c?a các c?a s? 2000-d?a máy tính b?n đang c?u h?nh, s? d?ng l?nh sau, nơiGiao thứcPortNumber đang bi?n:
  ipsecpol -w REG kh?i -p" Giao thứcPortNumber L?c"- r "Kh?i trong nư?c Giao thứcPortNumber Cai tr?"-f * = 0:PortNumber:Giao thức -n CH?N –x
  Ví d?, đ? ngăn ch?n m?ng lư?i giao thông t? b?t k? IP Đ?a ch? và b?t k? ngu?n c?ng đ?n đích c?ng UDP 1434 trên m?t c?a s? 2000 d?a trên máy tính, g? như sau. Chính sách này là đ? đ? b?o v? máy tính ch?y Microsoft SQL Server 2000 t? sâu "Slammer".
  ipsecpol -w REG -p "ch?n UDP 1434 L?c"- r"Ch?n trong nư?c UDP 1434 Rule"-f * = 0:1434:UDP - n kh?i -x
  Truy c?p sau ví d? kh?i trong nư?c vào TCP c?ng 80 nhưng v?n cho phép truy c?p TCP 80 ra bên ngoài. Chính sách này là đ? đ? giúp b?o v? máy tính ch?y Microsoft Internet Information Services (IIS) 5.0 t? "Code đ?" và "Nimda" sâu.
  ipsecpol -w REG -p "Block TCP 80 l?c" - r "Block Inbound TCP Quy lu?t 80"-f * = 0:80:TCP - n BLOCK - x
  Chú ý Các -x chuy?n đ?i ch? đ?nh các chính sách ngay l?p t?c. N?u b?n nh?p l?nh này, chính sách "Ch?n UDP 1434 l?c" là unassigned, và "Kh?i TCP 80 l?c" đư?c gán. Đ? thêm, nhưng không ?n đ?nh chính sách, g? l?nh mà không có các -x chuy?n vào cu?i.
 5. Đ? thêm m?t quy t?c l?c b? sung đ? hi?n có kh?i" Chính sách UDP 1434 l?c"kh?i lưu thông m?ng có ngu?n g?c t? Windows 2000 d?a trên máy tính c?a b?n đ?n b?t k? đ?a ch? IP, s? d?ng các sau l?nh, nơi Giao thứcPortNumber là các bi?n:
  ipsecpol -w REG kh?i -p" Giao thứcPortNumberL?c"- r"kh?i ra bên ngoài Giao thứcPortNumber Quy t?c"-f * 0 =:PortNumber:Giao thức -n kh?i
  Ví d?, đ? ngăn ch?n b?t k? m?ng traffic mà có ngu?n g?c t? c?a b?n máy tính d?a trên Windows 2000 là hư?ng đ?n UDP 1434 trên b?t k? máy ch? lưu tr? khác, g? như sau. Chính sách này là đ? đ? ngăn ch?n máy tính ch?y SQL Server 2000 Lan r?ng sâu "Slammer".
  ipsecpol -w REG -p "ch?n UDP 1434 L?c"- r"Kh?i ra bên ngoài UDP 1434 Rule"-f 0 = *:1434:UDP - n BLOCK
  Chú ý B?n có th? thêm như nhi?u l?c quy chính sách như b?n mu?n b?ng cách b?ng cách s? d?ng l?nh này (ví d?, đ? ch?n nhi?u c?ng b?ng cách s? d?ng cùng m?t chính sách).
 6. Chính sách ? bư?c 5 bây gi? s? có hi?u l?c và s? v?n t?n t?i m?i khi máy tính kh?i đ?ng l?i. Tuy nhiên, n?u m?t tên mi?n d?a trên chính sách IPSec đư?c gán cho máy tính sau này, chính sách đ?a phương này s? đư?c ghi đè và s? không c?n áp d?ng. Đ? xác nh?n vi?c phân công c?a quy t?c l?c c?a b?n, lúc d?u nh?c l?nh, thi?t l?p các thư m?c làm vi?c đ? c: Program Files Files\Support công c?, và sau đó g? l?nh sau đây:
  netdiag /test:ipsec /debug
  N?u, như trong các ví d? này, các chính sách cho c? hai trong nư?c và đi ra lưu lư?ng truy c?p đư?c, b?n s? nh?n đư?c thông báo sau:
  IP Security th? nghi?m........ . :
  Thông qua đ?a phương Chính sách IPSec ho?t đ?ng: Đư?ng d?n chính sách b?o m?t IP 'Ch?n UDP 1434 l?c': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

  Không có b? l?c 2
  Không tên
  L?c Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
  Chính sách Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
  Src đc: 0.0.0.0 Src Mask: 0.0.0.0
  Dest đc: 192.168.1.1 Dest Mask: 255.255.255.255
  Đư?ng h?m Đ?a ch?: 0.0.0.0 Src Port: 0 Dest Port: 1434
  Giao th?c: 17 TunnelFilter: Không
  C?: Trong nư?c kh?i
  Không tên
  L?c Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
  Chính sách Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
  Src đc: 192.168.1.1 Src Mask: 255.255.255.255
  Dest đc: 0.0.0.0 Dest Mask: 0.0.0.0
  Đư?ng h?m Addr : 0.0.0.0 Src Port: 0 Dest Port: 1434
  Giao th?c: 17 TunnelFilter: không có
  C?: Ra bên ngoài kh?i
  Chú ý Đ?a ch? IP và ngư?i dùng đ? h?a giao di?n (GUID) s? đi?n tho?i s? th? khác nhau. H? s? ph?n ánh nh?ng ngư?i Windows 2000 d?a trên máy tính c?a b?n.

Thêm m?t quy t?c ch?n cho m?t giao th?c c? th? và c?ng

Windows d?a trên Server 2003 và Windows XP trên máy tính

Đ? thêm m?t quy t?c ch?n cho m?t giao th?c c? th? và c?ng trên m?t c?a s? D?a trên Server 2003 ho?c Windows XP trên máy tính có m?t hi?n có t?i đ?a phương ch? đ?nh t?nh chính IPSec sách, th?c hi?n theo các bư?c sau:
 1. Cài đ?t IPSeccmd.exe. IPSeccmd.exe là m?t ph?n c?a công c? h? tr? Windows XP SP2.

  Đ? bi?t thêm chi ti?t v? cách t?i v? và cài đ?t Windows XP Service Pack 2 h? tr? công c?, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
  838079Công c? h? tr? Windows XP Service Pack 2
 2. Xác đ?nh tên c?a chính sách IPSec hi?n đang đư?c gán. Đ? th?c hi?n vi?c này, lo?i sau t?i d?u nh?c l?nh:
  netdiag /test:ipsec
  N?u m?t chính sách đư?c phân công, b?n s? nh?n đư?c m?t tin nh?n đó là tương t? như sau:
  IP Security th? nghi?m....... . . : Thông qua
  Đ?a phương chính sách IPSec ho?t đ?ng: ' ch?n UDP 1434 B? l?c '
 3. N?u có m?t chính sách IPSec đ? đư?c ch? đ?nh cho các máy tính (đ?a phương hay tên mi?n), s? d?ng l?nh sau đ? thêm m?t b? sung CH?N l?c Rule chính sách IPSec hi?n có.

  Chú ýTrong l?nh này, Existing_IPSec_Policy_Name,Giao thức, và PortNumber đang các bi?n.
  IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w REG - r"BlockGiao thứcPortNumber Cai tr?"-f * = 0:PortNumber:Giao thức -n BLOCK
  Ví d?, đ? thêm m?t quy t?c l?c đ? ch?n trong nư?c truy c?p vào TCP c?ng 80 đ? ch?n UDP 1434 l?c hi?n có, g? như sau l?nh:
  IPSeccmd.exe -p "Ch?n UDP 1434 l?c" -w REG - r "ch?n trong nư?c TCP 80 Rule" -f * = 0:80:TCP - n BLOCK

Windows 2000 d?a trên máy tính

Đ? thêm m?t quy t?c ch?n cho m?t giao th?c c? th? và c?ng trên m?t c?a s? 2000-d?a máy tính v?i m?t hi?n có t?i đ?a phương ch? đ?nh t?nh chính IPSec sách, th?c hi?n theo các bư?c sau:
 1. Ghé thăm trang Web Microsoft sau đây đ? t?i v? và cài đ?t Ipsecpol.exe:
  http://support.Microsoft.com/kB/927229
 2. Xác đ?nh tên c?a chính sách IPSec hi?n đang đư?c gán. Đ? th?c hi?n vi?c này, lo?i sau t?i d?u nh?c l?nh:
  netdiag /test:ipsec
  N?u m?t chính sách đư?c phân công, b?n s? nh?n đư?c m?t tin nh?n đó là tương t? như sau:
  IP Security th? nghi?m....... . . : Thông qua
  Đ?a phương chính sách IPSec ho?t đ?ng: ' ch?n UDP 1434 B? l?c '
 3. N?u có m?t chính sách IPSec đ? đư?c ch? đ?nh cho các máy tính (đ?a phương hay tên mi?n), s? d?ng l?nh sau đ? thêm m?t b? sung kh?i l?c quy t?c chính sách IPSec hi?n có, nơiExisting_IPSec_Policy_Name,Giao thức, và PortNumber đang bi?n:
  ipsecpol -p "Existing_IPSec_Policy_Name"-w REG - r"BlockGiao thứcPortNumber Cai tr?"-f * = 0:PortNumber:Giao thức -n BLOCK
  Ví d?, đ? thêm m?t quy t?c l?c đ? ch?n trong nư?c truy c?p vào TCP c?ng 80 đ? ch?n UDP 1434 l?c hi?n có, g? như sau l?nh:
  ipsecpol -p "Ch?n UDP 1434 l?c" -w REG - r "ch?n trong nư?c TCP 80 Rule" -f * = 0:80:TCP - n BLOCK

Thêm m?t chính sách năng đ?ng kh?i cho m?t giao th?c c? th? và c?ng

Windows Server 2003 và Windows XP máy vi tính

B?n có th? t?m th?i ch?n truy c?p vào m?t c?ng c? th?. Ví d?, b?n có th? mu?n ch?n m?t c?ng c? th? cho đ?n khi b?n có th? cài đ?t m?t hotfix, ho?c n?u m?t tên mi?n d?a trên Chính sách IPSec đ? đư?c gán cho máy tính. Đ? t?m th?i ch?n truy c?p m?t c?ng trên m?t máy tính d?a trên Windows Server 2003 ho?c Windows XP d?a trên b?ng cách s? d?ng chính sách IPSec, làm theo các bư?c sau:
 1. Cài đ?t IPSeccmd.exe. IPSeccmd.exe là m?t ph?n c?a Windows XP Service Pack 2 h? tr? công c?.

  Chú ý IPSeccmd.exe s? ch?y trên Windows XP và h? đi?u hành Windows Server 2003, nhưng công c? này ch? có s?n t? các gói ph?n m?m công c? h? tr? Windows XP SP2.

  Đ? bi?t thêm chi ti?t v? làm th? nào đ? download và cài đ?t Windows XP Service Pack 2 h? tr? công c?, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
  838079Công c? h? tr? Windows XP Service Pack 2
 2. Đ? thêm m?t b? l?c kh?i năng đ?ng ch?n t?t c? các gói d? li?u t? b?t k? đ?a ch? IP c?a h? th?ng đ?a ch? IP và nh?m m?c tiêu c?ng, lo?i các sau m?t d?u nh?c l?nh.

  Chú ý Trong l?nh sau, Giao thứcPortNumber là các bi?n.
  IPSeccmd.exe -f [*=0:PortNumber:Giao thức]
  Chú ý L?nh này t?o ra các b? l?c kh?i năng đ?ng. Chính sách v?n c?n đư?c giao khi d?ch v? đ?i l? chính sách IPSec ch?y. N?u các d?ch v? đ?i l? chính sách IPSec đư?c kh?i đ?ng l?i ho?c máy tính đư?c kh?i đ?ng l?i, chính sách này s? b? m?t. N?u b?n mu?n t? đ?ng gán quy t?c l?c IPSec m?i th?i gian h? th?ng đư?c kh?i đ?ng l?i, t?o ra m?t t?p l?nh kh?i đ?ng đ? n?p đơn xin l?i các b? l?c Quy t?c. N?u b?n mu?n v?nh vi?n áp d?ng b? l?c này, c?u h?nh các b? l?c như là m?t chính sách IPSec t?nh. IPSec chính sách qu?n l? MMC snap-in cung c?p m?t giao di?n ngư?i dùng đ? h?a đ? qu?n l? các c?u h?nh chính sách IPSec. N?u m?t tên mi?n d?a trên chính sách IPSec đ? đư?c áp d?ng, các netdiag /test:ipsec /debug l?nh ch? có th? hi?n th? chi ti?t b? l?c n?u l?nh là th?c hi?n b?i m?t ngư?i dùng có ?y nhi?m qu?n tr? viên tên mi?n.

Windows 2000 d?a trên máy tính

B?n có th? ch?n m?t c?ng c? th? t?m th?i (ví d?, cho đ?n khi m?t hotfix có th? đư?c cài đ?t, ho?c n?u m?t tên mi?n d?a trên Chính sách IPSec đ? đư?c đ?t vào máy tính). Đ? t?m th?i ch?n truy c?p m?t c?ng trên m?t máy tính Windows 2000 d?a trên b?ng cách s? d?ng chính sách IPSec, làm theo các bư?c sau:
 1. Ghé thăm trang Web Microsoft sau đây đ? t?i v? và cài đ?t Ipsecpol.exe:
  http://support.Microsoft.com/kB/927229
 2. Đ? thêm m?t b? l?c kh?i năng đ?ng ch?n t?t c? các gói d? li?u t? b?t k? đ?a ch? IP c?a h? th?ng đ?a ch? IP và nh?m m?c tiêu c?ng, lo?i các sau m?t d?u nh?c l?nh, nơi Giao thứcPortNumber là các bi?n:
  ipsecpol -f [*=0:PortNumber:Giao thức]
  Chú ý L?nh này t?o ra các b? l?c kh?i năng đ?ng, và các chính sách s? v?n đư?c giao khi d?ch v? đ?i l? chính sách IPSec ch?y. N?u d?ch v? IPSec đư?c kh?i đ?ng l?i ho?c máy tính đư?c kh?i đ?ng l?i, thi?t đ?t này s? b? m?t. N?u b?n mu?n t? đ?ng gán quy t?c l?c IPSec m?i th?i gian kh?i đ?ng l?i h? th?ng, t?o m?t t?p l?nh kh?i đ?ng đ? n?p đơn xin l?i các b? l?c Quy t?c. N?u b?n mu?n v?nh vi?n áp d?ng b? l?c này, c?u h?nh các b? l?c như là m?t chính sách IPSec t?nh. IPSec chính sách qu?n l? MMC snap-in cung c?p m?t giao di?n ngư?i dùng đ? h?a đ? qu?n l? các c?u h?nh chính sách IPSec. N?u m?t tên mi?n d?a trên chính sách IPSec đ? đư?c áp d?ng, các netdiag /test:ipsec /debug l?nh ch? có th? hi?n th? chi ti?t b? l?c n?u l?nh là th?c hi?n b?i m?t ngư?i s? d?ng ?y nhi?m qu?n tr? viên tên mi?n. M?t phiên b?n Netdiag.exe s? có s?n trong Windows 2000 Service Pack 4 cho phép qu?n tr? viên đ?a phương đ? xem tên mi?n d?a trên chính sách IPSec.

Quy t?c l?c IPSec và chính sách nhóm

Đ?i v?i môi trư?ng nơi mà các chính sách IPSec đư?c ch? đ?nh b?i m?t nhóm Chính sách thi?t l?p, b?n ph?i C?p Nh?t chính sách tên mi?n toàn b? đ? ch?n các giao th?c c? th? và c?ng. Sau khi thành công c?u h?nh chính sách nhóm Thi?t đ?t IPSec, b?n ph?i thi hành làm m?i m?t thi?t đ?t chính sách nhóm trên t?t c? các máy d?a trên Windows Server 2003, d?a trên Windows XP và Windows 2000 d?a trên tính trong tên mi?n. Đ? th?c hi?n vi?c này, s? d?ng các l?nh sau đây:
secedit /refreshpolicy machine_policy
Thay đ?i chính sách IPSec s? đư?c phát hi?n trong v?ng m?t c?a hai kho?ng th?i gian b? phi?u khác nhau. Đ?i đang chính sách IPSec m?i đư?c ch? đ?nh áp d?ng cho m?t GPO, chính sách IPSec s? đư?c áp d?ng cho các khách hàng trong các th?i gian thi?t l?p cho kho?ng Group Policy polling ho?c khi các secedit /refreshpolicy machine_policy l?nh này đư?c ch?y trên máy tính khách. N?u chính sách IPSec đ? đư?c ch? đ?nh đ? m?t GPO và m?i IPSec b? l?c ho?c quy t?c đang đư?c b? sung vào m?t chính sách hi?n có, các secedit l?nh s? không làm cho IPSec nh?n ra nh?ng thay đ?i. Trong trư?ng h?p này, S?a đ?i đ?i v?i m?t chính sách GPO d?a trên IPSec hi?n có s? đư?c phát hi?n trong chính IPSec sách đó c?a riêng phi?u kho?ng th?i gian. Kho?ng th?i gian này đư?c ch? đ?nh trên các T?ng quát tab cho r?ng chính sách IPSec. B?n c?ng có th? ép bu?c làm m?i m?t c?a các Thi?t đ?t chính sách IPSec b?i kh?i đ?ng l?i d?ch v? đ?i l? chính sách IPSec. Nếu IPSec d?ch v? b? d?ng hay kh?i đ?ng l?i, b?o m?t IPSec truy?n thông s? b? gián đo?n và s? m?t m?t vài giây đ? ti?p t?c. Có th? làm chương tr?nh các k?t n?i đ? ng?t k?t n?i, đ?c bi?t là cho các k?t n?i tích c?c là chuy?n giao lư?ng l?n d? li?u. Trong các t?nh hu?ng nơi chính sách IPSec áp d?ng ch? trên máy tính đ?a phương, b?n không ph?i kh?i đ?ng l?i d?ch v?.

Unassign và xóa m?t chính sách IPSec

Windows d?a trên Server 2003 và Windows XP trên máy tính

 • Máy tính có m?t chính sách xác đ?nh t?i đ?a phương t?nh
  1. M? m?t d?u nh?c l?nh, và sau đó đ?t thư m?c làm vi?c thư m?c nơi b?n cài đ?t Ipsecpol.exe.
  2. Đ? unassign các b? l?c mà b?n t?o ra trư?c đó, h?y s? d?ng l?nh sau:
   IPSeccmd.exe -w REG kh?i -p" Giao thứcPortNumber L?c"–y
   Ví d?, đ? unassign ch?n UDP 1434 l?c mà b?n t?o ra trư?c đó, s? d?ng l?nh sau đây:
   IPSeccmd.exe -w REG -p "ch?n UDP 1434 L?c"-y
  3. Đ? xoá b? l?c mà b?n t?o ra, s? d?ng các l?nh sau đây:
   IPSeccmd.exe -w REG kh?i -p" Giao thứcPortNumberL?c"- r"Block Giao thứcPortNumber Quy t?c"–o
   Ví d?, đ? xóa "Ch?n UDP 1434 l?c" b? l?c và c? hai quy t?c mà b?n đ? t?o, s? d?ng l?nh sau đây:
   IPSeccmd.exe -w REG -p "Ch?n UDP 1434 l?c" - r "Block Trong nư?c UDP 1434 Rule"- r"Kh?i ra bên ngoài UDP 1434 Rule"-o
 • Máy tính có m?t chính sách năng đ?ng đ?nh ngh?a ? đ?a phương
  Năng đ?ng chính sách IPSec là unapplied n?u IPSec Chính sách đ?i l? d?ch v? d?ng l?i b?ng cách s? d?ng các net stop policyagent b? ch? huy. Đ? xóa các l?nh c? th? đ? đư?c s? d?ng mà không d?ng d?ch v? đ?i l? chính sách IPSec, theo các bư?c sau:
  1. M? m?t d?u nh?c l?nh, và sau đó đ?t thư m?c làm vi?c thư m?c mà b?n đ? cài đ?t Windows XP Service Pack 2 h? tr? công c?.
  2. G? l?nh sau đây:
   IPSeccmd.exe –u
   Chú ý B?n c?ng có th? kh?i đ?ng l?i d?ch v? đ?i l? chính sách IPSec đ? xóa t?t c? t? đ?ng gán các chính sách.

Windows 2000 d?a trên máy tính

 • Máy tính v?i t?i đ?a phương đ?nh ngh?a chính sách t?nh
  1. M? m?t d?u nh?c l?nh, và sau đó đ?t thư m?c làm vi?c thư m?c nơi b?n cài đ?t Ipsecpol.exe.
  2. Đ? unassign các b? l?c mà b?n t?o ra trư?c đó, h?y s? d?ng l?nh sau:
   ipsecpol -w REG kh?i -p" Giao thứcPortNumber L?c"–y
   Ví d?, đ? unassign ch?n UDP 1434 l?c mà b?n t?o ra trư?c đó, s? d?ng l?nh sau đây:
   ipsecpol -w REG -p "ch?n UDP 1434 L?c"-y
  3. Đ? xoá b? l?c mà b?n t?o ra, s? d?ng các l?nh sau đây:
   ipsecpol -w REG kh?i -p" Giao thứcPortNumberL?c"- r"Block Giao thứcPortNumber Quy t?c"–o
   Ví d?, đ? xóa "Ch?n UDP 1434 l?c" b? l?c và c? hai quy t?c mà b?n t?o ra trư?c đó, s? d?ng l?nh sau đây:
   ipsecpol -w REG -p "Ch?n UDP 1434 l?c" - r "Block Trong nư?c UDP 1434 Rule"- r"Kh?i ra bên ngoài UDP 1434 Rule"-o
 • Máy tính v?i t?i đ?a phương đ?nh ngh?a chính sách năng đ?ng

  Chính sách IPSec năng đ?ng s? đư?c unapplied n?u IPSec Chính sách đ?i l? d?ch v? d?ng (b?ng cách s? d?ng các net stop policyagent b? ch? huy). Tuy nhiên, đ? xóa các l?nh c? th? đ? đư?c s? d?ng trư?c đó mà không d?ng d?ch v? đ?i l? chính sách IPSec, theo các bư?c sau:
  1. M? m?t d?u nh?c l?nh, và sau đó đ?t thư m?c làm vi?c thư m?c nơi b?n cài đ?t Ipsecpol.exe.
  2. G? l?nh sau đây:
   Ipsecpol –u
   Chú ý B?n c?ng có th? kh?i đ?ng l?i d?ch v? đ?i l? chính sách IPSec đ? xóa t?t c? t? đ?ng gán các chính sách.

Áp d?ng quy t?c l?c m?i c?a b?n cho t?t c? các giao th?c và các c?ng

Theo m?c đ?nh trong Microsoft Windows 2000 và Microsoft Windows XP, IPSec exempts phát sóng, phát đa hư?ng, RSVP, IKE và Kerberos lưu lư?ng truy c?p t? t?t c? H?n ch? l?c và xác th?c. Đ? thêm thông tin v? nh?ng mi?n gi?m, nh?p vào s? bài vi?t sau đây đ? xem các bài vi?t trong các Cơ s? ki?n th?c Microsoft:
253169 Lưu lư?ng truy c?p đi?u đó có th? - và không th?--đư?c b?o v? b?i IPSec
Nơi IPSec đư?c s? d?ng ch? đ? cho phép và ch?n lưu lư?ng truy c?p, lo?i b? nh?ng mi?n tr? này cho giao th?c Kerberos và RSVP b?ng cách thay đ?i m?t giá tr? đăng k?. Đ? hoàn thành hư?ng d?n v? làm th? nào đ? làm đi?u này, b?m vào các s? bài vi?t sau đ? xem bài vi?t trong các ki?n th?c Microsoft Cơ s?:
254728 IPSec không an toàn Kerberos giao thông gi?a đi?u khi?n vùng
B?ng cách làm theo nh?ng hư?ng d?n này, b?n có th? giúp b?o v? UDP 1434 ngay c? trong trư?ng h?p mà k? t?n công có th? thi?t l?p c?ng ngu?n c?a h? đ? các Kerberos c?ng TCP/UDP 88. B?ng cách lo?i b? mi?n gi?m Kerberos, các gói Kerberos s? bây gi? đư?c k?t h?p v?i t?t c? các b? l?c trong chính sách IPSec. V? v?y, có th? Kerberos đư?c b?o m?t bên trong IPSec, b? ch?n ho?c cho phép. V? v?y, n?u các b? l?c IPSec phù h?p v?i lưu thông Kerberos là có đ?a ch? IP b? đi?u khi?n c?a tên mi?n, b?n có th? ph?i thay đ?i thi?t k? chính sách IPSec đ? thêm các b? l?c m?i cho phép Kerberos lưu lư?ng truy c?p cho m?i tên mi?n đi?u khi?n ch? IP (n?u b?n không s? d?ng IPSec đ? giúp an toàn t?t c? các giao thông gi?a đi?u khi?n vùng là ki?n th?c Cơ s? bài 254728 mô t?).

Áp d?ng các quy t?c l?c IPSec khi máy tính kh?i đ?ng l?i

T?t c? các chính sách IPSec d?a vào các d?ch v? đ?i l? chính sách IPSec là đư?c ch? đ?nh. Khi m?t máy tính d?a trên Windows 2000 là trong quá tr?nh b?t đ?u lên, các d?ch v? đ?i l? chính sách IPSec là không nh?t thi?t ph?i là d?ch v? đ?u tiên đ? b?t đ?u. V? v?y, có th? có m?t chút th?i gian ng?n khi k?t n?i m?ng c?a máy tính là d? b? vi-rút ho?c sâu t?n công. T?nh tr?ng này ch? áp d?ng trong trư?ng h?p nơi m?t d?ch v? có kh? năng d? b? t?n thương đ? thành công b?t đ?u và là vi?c ch?p nh?n k?t n?i trư?c khi các đ?i l? chính sách IPSec d?ch v? đ? hoàn toàn b?t đ?u và đư?c ch? đ?nh t?t c? các chính sách.

Thu?c tính

ID c?a bài: 813878 - L?n xem xét sau cùng: 11 Tháng Chín 2011 - Xem xét l?i: 3.0
Áp d?ng
 • Microsoft Windows 2000 Professional Edition
 • Microsoft Windows 2000 Server
 • Microsoft Windows 2000 Advanced Server
 • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
 • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
 • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
 • Microsoft Windows Server 2003, Web Edition
 • Microsoft Windows XP Home Edition
 • Microsoft Windows XP Professional
T? khóa: 
kbhowto kbmt KB813878 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:813878

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com