Windows 2008 R2 & IPSec Troubleshooting

By Andrei Ungureanu - Last updated: Wednesday, April 18, 2012 - Save & Share - Leave a Comment

Cum intr-o zi nu am avut ce face si m-am apucat sa reproduc un scenariu cu un tunel IPSec intre un TMG si un pfSense, bineinteles ca am ajuns la partea in care imi trebuiau ceva loguri legate de IPSec.

Surpriza, pe W2K8 R2 e aproape imposibil sa afli ceva din ce se intampla in comunicatia IPSec. Inca nu mi-am revenit din soc. Cum oare poti lasa asa ceva fara nici un instrument de debug?

In 2000/2003 era acel Oakley.log (pentru cine isi mai aduce aminte) iar pe Windows 2008 se mai putea face via IKE Tracing asa cum e descris aici:

http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/98d5725b-f285-4b20-894b-1b159488253c/

Dar, procedura de acolo, nu mai merge pentru simplul fapt ca fisierul wfp.tmf nu mai este disponibil pe Windows 2008 R2. Fara wfp.tmf nu ai cum sa decodezi informatia din ETL. Decat daca bineinteles trimiti fisierul la MS Support. Incredibil. Incet incet nu o sa mai ai voie sa citesti nici event viewer-ul fara sa platesti.

Nota: pentru TMG exista si TMG Data Packager insa ikeext.etl tot trebuie trimis la Microsoft.

Ceva mai multe informatii am obtinut via NETSH folosind:

netsh trace start scenario=wfp-ipsec tracefile=%userprofile%\desktop\SampleTrace.cab

Descris aici: http://technet.microsoft.com/en-us/library/ff428146(v=ws.10).aspx

Iar din cab-ul generat am folosit netevents.xml.

Pana la urma tot Wireshark-ul mi-a fost mai de folos decat toate tool-urile incurcate din Windows.

Posted in Forefront, Security, Windows Server • Tags: , Top Of Page

Write a comment