Arquivo da categoria ‘Parte 12’

Pagina 506 – 550

Publicado: 14 de outubro de 2009 por tshingo em Parte 12

add mmpolicy

Cria uma diretiva de modo principal do IPSec com o nome especificado e a adiciona ao banco de dados de diretivas de segurança (SPD).

Sintaxe

add mmpolicyname= [qmpermm=] [mmlifetime=][softsaexpirationtime=][mmsecmethods=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da diretiva IPSec a ser criada.

[ qmpermm=Inteiro]

Especifica quantas vezes o material de chave mestre poderá ser usado para originar a chave da sessão. O valor padrão é 0, indicando que um número ilimitado de associações de segurança de modo rápido pode ser derivado da associação de segurança de modo principal.

[ mmlifetime=Inteiro]

Especifica depois de quantos minutos será gerada uma nova chave mestre. O valor padrão é 480 minutos.

[ softsaexpirationtime=Inteiro]

Especifica depois de quantos minutos uma associação de segurança não protegida expirará. O valor padrão é 480 minutos.

[ mmsecmethods=”SecMeth1SecMeth2“]

Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços e definidos pelo seguinte formato: ConfAlgHashAlgGroupNumb, onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfAlg pode ser DES ou 3DES.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 ou SHA1.

GroupNum

Especifica o grupo Diffie-Hellman a ser usado para o material de chave básico GroupNumb pode ser: 1 (baixo, protege com 768 bits de material de chave), 2 (médio, protege com 1.024 bits) e 3 (alto, protege como 2.048 bits).

Comentários

  • Não crie uma diretiva de modo principal com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as diretivas IPSec de modo principal (por exemplo, delete mmpolicy all).
  • Se o número de negociações de modo rápido exceder o valor definido para o número de negociações de modo rápido por negociação de modo principal durante a vida útil do modo principal, um novo modo de negociação principal ocorre.
  • Se você não especificar mmsecmethods= (métodos de segurança de troca de chaves), serão usados os seguintes valores padrão:
  • 3DES-SHA1-2
  • 3DES-MD5-2
  • 3DES-SHA1-3
  • Os computadores IPSec deverão ter, pelo menos, um método de segurança de troca de chaves em comum (um método que utilize as mesmas configurações), caso contrário as negociações não terão êxito.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add qmpolicy

Cria uma diretiva de modo rápido IPSec com o nome especificado e a adiciona ao SPD.

Sintaxe

add qmpolicyname= [soft=][pfsgroup=][qmsecmethods=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da diretiva IPSec de modo rápido a ser criada.

[ soft={yes | no}]

Especifica se deverão ser usadas comunicações sem segurança em outros computadores que não ofereçam suporte a IPSec ou quando ocorrerem falhas nas negociações de IPSec com um computador com suporte a IPSec. O valor padrão é no.

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]

Especifica o grupo Diffie-Hellman a ser usado para o sigilo total na transferência de chave de sessão. Se for especificado grp1, será usado Grupo 1 (baixo). Se for especificado grp2 , será usado Grupo 2 (médio). Se for especificado grp3, será usado Grupo 2048 (alto). Se for especificado grpmm, o valor do grupo será retirado das configurações de modo principal atuais. O valor padrão é nopfs, indicando que o sigilo total na transferência de chave de sessão está desabilitado.

[ qmsecmethods=”Neg1Neg2“]

Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato: {ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] Onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg

Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

k

Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s

Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

Comentários

  • Não crie uma diretiva de modo rápido com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as diretivas IPSec de modo rápido (por exemplo, delete qmpolicy all).
  • Se você não especificar qmsecmethods= (métodos de segurança de modo rápido), os seguintes valores padrão serão usados:
  • ESP [3DES, SHA1]100000k/3600s
  • ESP [3DES, MD5]100000k/3600s
  • ConfAlg e AuthAlg não podem ser definidos como none.
  • Os pontos IPSec devem ter o mesmo pfsgroup habilitado (isto é, os dois pontos devem usar o mesmo grupo Diffie-Hellman para PFS de chave de sessão) ou a comunicação falhará.
  • Para uma melhor segurança, não use o Grupo Diffie-Hellman 1. Para obter a segurança máxima, use o Grupo 2048 sempre que possível. Use o grupo 2 quando necessário para fins de interoperabilidade com o Windows 2000 e o Windows XP.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add rule

Cria uma regra IPSec com a diretiva de modo principal e a diretiva de modo rápido especificadas e a adiciona ao SPD.

Sintaxe

add rulesrcaddr=dstaddr=mmpolicy=[qmpolicy=][protocol=][srcport=][dstport=][mirrored=][conntype=][actioninbound=][actionoutbound=][srcmask=][dstmask=][tunneldstaddress=][kerberos=][psk=][rootca=]

Parâmetros

srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

mmpolicy=Seqüência

Necessário. Especifica o nome da diretiva de modo principal.

[ qmpolicy=]Seqüência

Especifica o nome da diretiva de modo rápido. Necessário se actioninbound=negotiate ou actionoutbound=negotiate for especificado.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]

Especifica o protocolo IP se, além das informações sobre endereçamento, você desejar filtrar um protocolo IP específico. O valor padrão é ANY, indicando que todos os protocolos serão usados para o filtro.

[ srcport=Porta]

Especifica o número da porta de origem dos pacotes a serem filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados de qualquer porta. O padrão é any.

[ dstport=Porta]

Especifica o número da porta de destino dos pacotes a serem filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados para qualquer porta. O padrão é any.

[ mirrored={yes | no}]

Especifica se um filtro espelhado deve ou não ser criado. Use yes para criar dois filtros com base nas configurações de filtro — um para o tráfego para o destino e outro para o tráfego proveniente do destino O valor padrão é yes.

[ conntype={lan | dialup | all}]

Especifica se a regra se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões. O valor padrão é all.

[ actioninbound={permit | block | negotiate}]

Especifica a ação que o IPSec deve tomar para o tráfego de entrada. Se for especificado permit , o tráfego será recebido sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança nas diretivas de modo principal de modo rápido. O valor padrão é negotiate.

[ actionoutbound={permit | block | negotiate}]

Especifica a ação que o IPSec deve tomar para o tráfego de saída. Se for especificado permit , o tráfego será enviado sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança nas diretivas de modo principal de modo rápido. O valor padrão é negotiate.

[ srcmask={Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes a serem filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes a serem filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ tunneldstaddress={Endereço_IP | Nome_DNS}]

Especifica se o tráfego será encapsulado e, em caso positivo, o endereço IP ou o nome DNS do destino do encapsulamento (o computador ou o gateway no outro lado do encapsulamento).

[ kerberos={yes | no}]

Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]

Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca=”Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} “]

Especifica as opções de autenticação de certificado, onde:

Seqüência

Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes|no}

Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes| no}

Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários

  • Não crie uma regra com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as regras IPSec (por exemplo, delete rule all).
  • Se a ação de filtro para o tráfego de entrada e de saída (actioninbound e actionoutbound) for definida como Permit ou Block, não será necessário um filtro de modo rápido.
  • Se for especificada uma regra de encapsulamento, mirror deverá ser definido como no (por padrão, mirror é definido como yes). Em encapsulamentos IPSec, você deve criar duas regras — uma regra descreve o tráfego a ser enviado pelo encapsulamento (tráfego de saída) e a outra descreve o tráfego a ser recebido pelo encapsulamento (de entrada). Depois, crie duas regras que usem as listas de filtros de entrada e de saída em sua diretiva.
  • Para filtrar quaisquer pacotes enviados de ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.
  • Para filtrar os pacotes enviados de ou para qualquer computador, você poderá usar srcaddr=Any ou dstaddr=Any.
  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.
  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.
  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\’).
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.
  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.
  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.
  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.
  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.

delete all

Exclui todas as diretivas IPSec, os filtros e os métodos de autenticação, se possível, do SPD.

Sintaxe

delete all

Parâmetros

Nenhum.

delete mmpolicy

Exclui a diretiva IPSec de modo principal especificada, ou todas as diretivas IPSec de modo principal, do SPD.

Sintaxe

delete mmpolicyname= | all

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome da diretiva IPSec de modo principal a ser excluída. Se all for especificado, todas as diretivas IPSec de modo principal são excluídas.

Comentários

  • Se uma regra for associada à diretiva de modo principal, você deve excluí-la antes de excluir a diretiva.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete qmpolicy

Exclui a diretiva IPSec de modo rápido especificada, ou todas as diretivas IPSec de modo rápido, do SPD.

Sintaxe

delete qmpolicy [name=] | [all]

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome da diretiva IPSec de modo rápido a ser excluída. Se all for especificado, todas as diretivas IPSec de modo rápido são excluídas.

Comentários

  • Se uma regra for associada à diretiva de modo rápido, você deve excluí-la antes de excluir a diretiva.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete rule

Exclui uma regra IPSec do SPD.

Sintaxe

delete rulesrcaddr=dstaddr=protocol=srcport=dstport=mirrored=conntype=[srcmask=][dstmask=][tunneldstaddress=]

Parâmetros

srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }

Necessário. Especifica o protocolo IP usado para o filtro.

srcport=Porta

Necessário. Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde aos filtros definidos como uma porta de origem 0 ou any.

dstport=Porta

Necessário. Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde filtros definidos como uma porta de destino 0 ou any.

mirrored={yes | no}

Necessário. Especifica se a regra foi criada com filtros espelhados.

conntype={lan | dialup | all}

Necessário. Especifica se a regra a ser excluída se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões.

[ srcmask={Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ tunneldstaddress={Endereço_IP | Nome_DNS}]

Especifica se o tráfego será encapsulado e, em caso positivo, o endereço IP ou o nome DNS do destino do encapsulamento (o computador ou o gateway no outro lado do encapsulamento).

Comentários

  • Para filtrar quaisquer pacotes enviados de ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.
  • Para filtrar os pacotes enviados de ou para qualquer computador, você poderá usar srcaddr=Any ou dstaddr=Any.

set config

Cria ou modifica as seguintes configurações de IPSec: Diagnósticos de IPSec, isolamentos de tráfego padrão, verificação em alto grau da lista de certificados revogados (CRL), log de IKE (Oakley), intervalos de log, segurança de inicialização de computador e isolamentos de tráfego de inicialização de computador.

Sintaxe

set config [property=] [value=]

Parâmetros

[ property=]{ipsecdiagnostics value= | ipsecexempt value= | ipsecloginterval value= | ikelogging value= | strongcrlcheck value= | bootmode value= | bootexemptions value=}

Necessário. Especifica o nome da configuração IPSec a ser criada ou modificada e um valor para a configuração, onde:

ipsecdiagnostics value={0 | 1 | 2 | 3 | 4 | 5 | 6 | 7}

Especifica se deseja habilitar o log de diagnóstico IPSec e, nesse caso, o nível de log a ser fornecido. O valor padrão é 0, indicando que o log está desabilitado. Se alterar o valor dessa configuração, você deverá reiniciar o computador para que o novo valor seja aplicado. Você pode especificar outros valores como a seguir para habilitar diferentes níveis de log:

  • Quando 1 é especificado, os pacotes SPI inválidos (o número total de pacotes para os quais o SPI estava incorreto), as falhas de negociação IKE, as falhas no processamento de IPSec, os pacotes recebidos com sintaxe de pacote inválida e outros erros são registrados no log do sistema. Hashes não autenticados (com a exceção do evento “Limpar texto recebido quando devia estar protegido”) também são registrados.
  • Quando 2 é especificado, os eventos de pacote de entrada ignorados são registrados no log do sistema.
  • Quando for especificado 3, o log de nível 1 e o de nível 2 serão executados. Além disso, eventos de texto limpos não esperados (eventos enviados ou recebidos em texto simples) também são registrados.
  • Quando 4 é especificado, os eventos de pacote de saída ignorados são registrados no log do sistema.
  • Quando for especificado 5, o log de nível 1 e o de nível 4 serão executados.
  • Quando for especificado 6, o log de nível 2 e o de nível 4 serão executados.
  • Quando 7 for especificado, todos os níveis do registro são executados.

ipsecexempt value={ 0 | 1 | 2 | 3}

Especifica se deseja modificar a isenção de tráfego de IPSec padrão (tráfego que não corresponde aos filtros IPSec, mas que é permitido). O valor padrão é 3, indicando que somente o tráfego de IKE é isento da filtragem de IPSec. Se alterar o valor dessa configuração, você deverá reiniciar o computador para que o novo valor seja aplicado. Você pode especificar outros valores como a seguir:

  • Se 0 for especificado, o tráfego de multicast, de difusão, de RSVP, de Kerberos e de IKE são isentos da filtragem IPSec.
  • Se 1 for especificado, o tráfego de Kerberos e de RSVP não são isentos da filtragem IPSec (o tráfego de multicast, difusão e de IKE são isentos).
  • Se 2 for especificado, o tráfego de multicast e de difusão não são isentos da filtragem IPSec (o tráfego de RSVP, de Kerberos e de IKE são isentos).

ipsecloginterval value={Inteiro}

Especifica o intervalo, em segundos, depois do qual os logs de evento do IPSec são enviados para o log do sistema. Para Inteiro, os valores válidos variam de 60 a 86400. O valor padrão é 3600. Se alterar o valor dessa configuração, você deverá reiniciar o computador para que o novo valor seja aplicado.

ikelogging value={0 | 1}

Especifica se o log de IKE (Oakley) será habilitado para gerar detalhes sobre o processo de estabelecimento da autoridade de segurança. O valor padrão é 0, indicando que o log de IKE está desabilitado.

strongcrlcheck value={ 0 | 1 | 2}

Especifica o nível de verificação de CRL a ser usado. Se 0 for especificado, a verificação de CRL será desabilitada. Se 1 for especificado, a verificação de CRL padrão será usada, e a validação do certificado falhará somente se o certificado tiver que ser revogado. Se 2 for especificado, a verificação de CRL forte será usada, e a validação do certificado falhará se ocorrer algum erro na verificação de CRL. O valor padrão é 1.

bootmode value={stateful | block | permit}

Especifica a ação que o IPSec deve tomar quando o computador é iniciado. Se stateful for especificado, somente este tráfego é permitido durante a inicialização do computador: o tráfego de saída iniciado pelo computador durante a inicialização, o tráfego de entrada enviado em resposta ao tráfego de saída e o tráfego DHCP. Se block for especificado, todo o tráfego de entrada e de saída será bloqueado até que uma diretiva IPSec local ou uma diretiva IPSec baseada em domínio seja aplicada. Se permit for especificado, todo o tráfego é transmitido e recebido. O valor padrão é stateful. Se usa a filtragem monitorada ou se especificar que o tráfego deve ser bloqueado durante a reinicialização do computador, você também pode usar o parâmetro bootexemptions para especificar os tipos de tráfego que deseja desconsiderar da filtragem IPSec durante a inicialização do computador. Se alterar o valor dessa configuração, você deverá reiniciar o computador para que o novo valor seja aplicado.

bootexemptions value=Isenção_1Isenção_2

Especifica uma ou mais isenções de tráfego de IPSec da segurança da inicialização, separadas por espaços e definidas pelo seguinte formato para o tráfego TCP e UDP: protocol:srcport:dstport:direction e o seguinte formato para tráfego não TCP/UDP: protocol:direction, onde:

protocolo={ ICMP| TCP| UDP| RAW| Inteiro }

Especifica o tipo de protocolo IP a ser desconsiderado da filtragem de IPSec durante a inicialização do computador.

srcport=Porta

Especifica o número da porta de origem dos pacotes a serem desconsiderados da filtragem de IPSec durante a inicialização do computador. Um valor 0 indica que qualquer porta de origem é desconsiderada.

dstport=Porta

Especifica o número da porta de destino dos pacotes a serem desconsiderados da filtragem de IPSec durante a inicialização do computador. Um valor 0 indica que qualquer porta de destino é desconsiderada.

direction={ inbound | outbound}

Especifica a direção do tráfego a ser desconsiderado da filtragem de IPSec durante a inicialização do computador.

Comentários

  • Use a verificação de CRL forte (definida property=strongcrlcheck value=2) se o ponto de distribuição do CRL tiver que ser alcançado na rede e os certificados só puderem ser validados se nenhum erro de verificação de CRL ocorrer.
  • A segurança IPSec pode negociar associações de segurança somente para o tráfego Kerberos se a diretiva IPSec não usar o Kerberos como o método de autenticação. Se o Kerberos for necessário para autenticação, você deve desconsiderar o tráfego de Kerberos usando o parâmetro ipsecexempt.
  • No Windows 2000 e no Windows XP, por padrão, todo o tráfego de difusão, multicast, troca de chaves na Internet (IKE), do protocolo Kerberos e do protocolo RSVP foi desconsiderado da filtragem IPSec. Na família Windows Server™ 2003, somente o tráfego de IKE é desconsiderado da filtragem de IPSec por padrão. Todos os outros tipos de tráfego serão agora comparados aos filtros IPSec e você poderá configurar ações de filtro de bloqueio ou de permissão especificamente para o tráfego de difusão e o de multicast (a IPSec não negocia associações de segurança para o tráfego de difusão e o de multicast).
    Como resultado da alteração no comportamento padrão do IPSec, você deve verificar o comportamento das diretivas IPSec criadas para o Windows 2000 ou para o Windows XP e determinar se deseja configurar filtros de permissão explícita para permitir tipos de tráfego específicos. Para restaurar o comportamento padrão do Windows 2000 and Windows XP para diretivas IPSec, edite a seguinte chave do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec. Adicione o novo valor DWORD chamado NoDefaultExempt e atribua a ele o valor 0. Para obter mais informações sobre como adicionar valores às chaves do Registro, consulte Adicionar um valor a uma entrada da chave do Registro.

Cuidado

  • A edição incorreta do Registro pode causar danos graves ao sistema. Antes de alterar o Registro, faça backup de todos os dados importantes do computador.
  • Modificar isolamentos de tráfego IPSec a partir da segurança de inicialização (isto é, modificando o parâmetro bootexemptions=) substituirá todos os isolamentos anteriores da segurança de inicialização.

set mmpolicy

Modifica uma diretiva IPSec de modo principal e grava as alterações no SPD.

Sintaxe

set mmpolicyname= [qmperm=][mmlifetime=][softsaexpirationtime=][mmsecmethods=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da diretiva IPSec de modo principal a ser modificada.

[ qmpermm=Inteiro]

Especifica quantas vezes o material de chave mestre poderá ser usado para originar a chave da sessão. Um valor 0 indica que um número ilimitado de associações de segurança de modo rápido pode ser derivado da associação de segurança de modo principal.

[ mmlifetime=Inteiro]

Especifica depois de quantos minutos será gerada uma nova chave mestre.

[ softsaexpirationtime=Inteiro]

Especifica depois de quantos minutos uma associação de segurança não protegida expirará.

[ mmsecmethods=”SecMeth1SecMeth2“]

Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços e definidos pelo seguinte formato AlgConfAlgHashNúmGrupo, onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfAlg pode ser DES ou 3DES.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 ou SHA1.

GroupNum

Especifica o grupo Diffie-Hellman a ser usado para o material de chave básico GroupNumb pode ser: 1 (baixo, protege com 768 bits de material de chave), 2 (médio, protege com 1.024 bits) e 3 (alto, protege como 2.048 bits).

Comentários

  • Os computadores IPSec deverão ter, pelo menos, um método de segurança de troca de chaves em comum (um método que utilize as mesmas configurações), caso contrário as negociações não terão êxito.
  • Se o número de negociações de modo rápido exceder o valor definido para o número de negociações de modo rápido por negociação de modo principal durante a vida útil do modo principal, um novo modo de negociação principal ocorre.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set qmpolicy

Modifica uma diretiva IPSec de modo rápido e grava as alterações no SPD.

Sintaxe

set qmpolicyname= [soft=][pfsgroup=][qmsecmethods=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da diretiva IPSec de modo rápido a ser modificada.

[ soft={yes | no}]

Especifica se deverão ser usadas comunicações sem segurança em outros computadores que não ofereçam suporte a IPSec ou quando ocorrerem falhas nas negociações de IPSec com um computador com suporte a IPSec.

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]

Especifica o grupo Diffie-Hellman a ser usado para o sigilo total na transferência de chave de sessão. Se for especificado grp1, será usado Grupo 1 (baixo). Se for especificado grp2 , será usado Grupo 2 (médio). Se for especificado grp3, será usado Grupo 2048 (alto). Se for especificado grpmm, o valor do grupo será retirado das configurações de modo principal atuais. Um valor nopfs indica que o sigilo total na transferência de chave de sessão está desabilitado.

[ qmsecmethods=”Neg1Neg2“]

Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato:{ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] Onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg

Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 ou SHA1.

k

Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s

Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

Comentários

  • A ordem de preferência de cada método de segurança de modo rápido é determinada pela ordem na qual foi especificado no comando.
  • Os pontos IPSec devem ter o mesmo pfsgroup habilitado (isto é, os dois pontos devem usar o mesmo grupo Diffie-Hellman para PFS de chave de sessão) ou a comunicação falhará.
  • Para uma melhor segurança, não use o Grupo Diffie-Hellman 1. Para obter a segurança máxima, use o Grupo 2048 sempre que possível. Use o grupo 2 quando necessário para fins de interoperabilidade com o Windows 2000 e Windows XP.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set rule

Modifica uma regra IPSec que define um conjunto de filtros e grava as alterações no SPD.

Sintaxe

set rulesrcaddr=dstaddr=protocol=srcport=dstport=mirrored=conntype= [srcmask=][dstmask=][tunneldstaddress=][mmpolicy=][qmpolicy=][actioninbound=][actionoutbound=][kerberos=][psk=][rootca=]

Parâmetros

srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }

Necessário. Especifica o protocolo IP usado para o filtro.

srcport=Porta

Necessário. Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde aos filtros definidos como uma porta de origem 0 ou any.

dstport=Porta

Necessário. Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde filtros definidos como uma porta de destino 0 ou any.

mirrored={yes | no}

Necessário. Especifica se a regra foi criada com filtros espelhados.

conntype={lan | dialup | all}

Necessário. Especifica se a regra se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões.

[ srcmask={Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ tunneldstaddress={Endereço_IP | Nome_DNS}]

Especifica se o tráfego será encapsulado e, em caso positivo, o endereço IP ou o nome DNS do destino do encapsulamento (o computador ou o gateway no outro lado do encapsulamento).

[ mmpolicy=Seqüência]

Especifica o nome da diretiva de modo principal.

[ qmpolicy=Seqüência]

Especifica o nome da diretiva de modo rápido.

[ actioninbound={permit | block | negotiate}]

Especifica a ação que o IPSec deve tomar para o tráfego de entrada. Se for especificado permit , o tráfego será recebido sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança nas diretivas de modo principal de modo rápido.

[ actionoutbound={permit | block | negotiate}]

Especifica a ação que o IPSec deve tomar para o tráfego de saída. Se for especificado permit , o tráfego será enviado sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança nas diretivas de modo principal de modo rápido.

[ kerberos={yes | no}]

Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]

Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca=”Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} “]

Especifica as opções de autenticação de certificado, onde:

Seqüência

Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes| no}

Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes| no}

Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários

  • Você pode modificar os seguintes parâmetros. mmpolicy=, qmpolicy=, actioninbound= e actionoutbound=. Todos os outros parâmetros são usados para identificar a regra que deseja modificar e, portanto, não podem ser modificados.
  • Se a ação de filtro para o tráfego de entrada e de saída (actioninbound e actionoutbound) for definida como Permit ou Block, não será necessário um filtro de modo rápido.
  • Se for especificada uma regra de encapsulamento, mirror deverá ser definido como no (por padrão, mirror é definido como yes). Para encapsulamentos IPSec, você deverá criar duas regras: uma regra descreve o tráfego a ser enviado pelo encapsulamento (tráfego de saída) e a outra descreve o tráfego a ser recebido pelo encapsulamento (de entrada). Depois, crie duas regras que usem as listas de filtros de entrada e de saída em sua diretiva.
  • Para filtrar quaisquer pacotes enviados de ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.
  • Para filtrar os pacotes enviados de ou para qualquer computador, você poderá usar srcaddr=Any ou dstaddr=Any.
  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.
  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.
  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\’).
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.
  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.
  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.
  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.
  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.
  • A modificação dos métodos de autenticação substituirá todos os métodos de autenticação anteriores, mesmo se esse métodos forem diferentes. Por exemplo, se kerberos=yes e psk=yes tiverem sido especificados anteriormente e você especificar kerberos=no, o parâmetro psk=yes também será substituído e a autenticação de chave pré-compartilhada não será mais usada.

show all

Exibe informações sobre configuração para todas as diretivas, filtros, estatísticas e associações de segurança de IPSec no SPD.

Sintaxe

show all [resolvedns=]

Parâmetros

[ resolvedns={yes | no}]

Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos.

Comentários

  • Como o comando show all poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show all, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show all
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec dynamic show all >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show config

Exibe valores para as seguintes configurações de IPSec: Diagnósticos de IPSec, isolamentos de tráfego padrão, verificação em alto grau da lista de certificados revogados (CRL), log de IKE (Oakley), intervalos de log, segurança de inicialização de computador e isolamentos de tráfego de inicialização de computador.

Sintaxe

show config

Parâmetros

Nenhum.

Comentários

  • Para salvar a saída em um arquivo de texto referente ao comando show config, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show config
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec dynamic show config >Nome_do_Arquivo.txt

show mmfilter

Exibe informações sobre a configuração do filtro IPSec de modo principal especificado, ou para todos os filtros IPSec de modo principal, no SPD.

Sintaxe

show mmfiltername= | all [type=] srcaddr=dstadd= [srcmask=][dstmask=] [resolvedns=]

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome do filtro IPSec de modo principal a ser exibido. Se all for especificado, todas os filtros IPSec de modo principal são exibidos.

type={generic | specific}

Especifica se os filtros de modo principal genéricos ou específicos serão exibidos. O valor padrão é generic.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ srcmask={Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ resolvedns={yes | no}]

Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show mmfilter poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show mmfilter, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show mmfilterNome | all
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    ipsec dynamic show mmfilterNome | all >=Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show mmpolicy

Exibe informações sobre a configuração da diretiva IPSec de modo principal especificada, ou de todas as diretivas IPSec de modo principal, no SPD.

Sintaxe

show mmpolicyname= | all

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome da diretiva IPSec de modo principal a ser exibida. Se all for especificado, todas as diretivas IPSec de modo principal são exibidas.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show mmpolicy poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show mmpolicy, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show mmpolicyNome | all
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    ipsec dynamic show mmpolicyNome | all >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show mmsas

Exibe as associações de segurança IPSec de modo principal para os endereços de origem e de destino especificados, ou para todas as associações de segurança IPSec de modo principal, no SPD.

Sintaxe

show mmsas [all] [srcaddr=][dstaddr=][format=] [resolvedns=]

Parâmetros

[ all]

Especifica que todas as associações de segurança de modo principal serão exibidas.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ format={list | table}]

Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ resolvedns={yes | no}]

Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários

  • Se nenhum parâmetro for especificado, todas as associações de segurança de modo principal serão exibidas.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show mmsas poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show mmsas, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show mmsas
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec dynamic show mmsas >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show qmfilter

Exibe informações sobre configuração para o filtro de modo rápido especificado, ou para todos os filtros de modo rápido, no SPD.

Sintaxe

show qmfiltername= | all [type=] [srcaddr=][dstaddr=][srcmask=][dstmask=][protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome do filtro IPSec de modo rápido a ser exibido ou, se all for especificado, que todos os filtros IPSec de modo rápido são exibidos.

[ type={generic | specific}]

Especifica se os filtros de modo rápido genéricos ou específicos serão exibidos. O valor padrão é generic.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ srcmask={Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]

Especifica o protocolo IP se, além de serem abordadas informações, um protocolo IP específico for filtrado. O valor padrão é ANY, indicando que todos os protocolos serão usados para o filtro.

[ srcport=Porta]

Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados de qualquer porta. O padrão é any.

[ dstport=Porta]

Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados para qualquer porta. O padrão é any.

[ actioninbound={permit | block | negotiate}]

Especifica a ação que o IPSec deve tomar para o tráfego de entrada. O valor padrão é negotiate.

[ actionoutbound={permit | block | negotiate}]

Especifica a ação que o IPSec deve tomar para o tráfego de saída. O valor padrão é negotiate.

[ resolvedns={yes | no}]

Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show qmfilter poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show qmfilter, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show qmfilter Nome | all
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec dynamic show qmfilter Nome | all >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show qmpolicy

Exibe informações sobre a configuração da diretiva IPSec de modo rápido especificada, ou de todas as diretivas IPSec de modo rápido, no SPD.

Sintaxe

show qmpolicyname= | all

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome da diretiva IPSec de modo rápido a ser exibida. Se all for especificado, todas as diretivas IPSec de modo rápido são exibidas.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show qmpolicy poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show qmpolicy, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show qmpolicyNome | all
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec dynamic show qmpolicyNome | all >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show qmsas

Exibe as associações de segurança IPSec de modo rápido para os endereços de origem e de destino especificados, ou para todas as associações de segurança IPSec de modo rápido, no SPD.

Sintaxe

show qmsas [all][srcaddr=][dstaddr=][protocol=][format=][resolvedns=]

Parâmetros

[ all]

Especifica que todas as associações de segurança IPSec de modo rápido serão exibidas.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor]

Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]

Especifica o protocolo IP se, além das informações sobre endereçamento, um protocolo IP específico estiver sendo usado para a asspciação de segurança. O valor padrão é ANY, indicando que todos os protocolos serão usados para a associação de segurança.

[ format={list | table}]

Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ resolvedns={yes | no}]

Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários

  • Como o comando show qmsas poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show qmsas, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show qmsas all
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec dynamic show qmsas all >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show rule

Exibe informações sobre a configuração de uma ou mais regras IPSec no SPD.

Sintaxe

show rule [type=][srcaddr=] [dstaddr=][srcmask=][dstmask=] [protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

Parâmetros

[ type={transport | tunnel}]

Especifica se todas as regras de transporte ou todas as regras de encapsulamento serão exibidas. O valor padrão é exibir todas as regras.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}]

Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ srcmask={Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]

Especifica o protocolo IP se, além de serem abordadas informações, um protocolo IP específico for usado para a regra. O valor padrão é ANY, indicando que todos os protocolos serão usados para a regra.

[ srcport=Porta]

Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados de qualquer porta. O padrão é any.

[ dstport=Porta]

Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados para qualquer porta. O padrão é any.

[ actioninbound={permit | block | negotiate}]

Especifica a ação que o IPSec deve tomar para o tráfego de entrada. O valor padrão é negotiate.

[ actionoutbound={permit | block | negotiate}]

Especifica a ação que o IPSec deve tomar para o tráfego de saída. O valor padrão é negotiate.

[ resolvedns={yes | no}]

Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show rule poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show rule, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show rule
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec dynamic show rule >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show stats

Exibe as estatísticas IPSec de modo principal e modo rápido.

Sintaxe

show stats [type=]

Parâmetros

[| ike| ipsec]

Especifica as estatísticas IPSec a serem exibidas. Se all for especificado, as estatísticas IPSec de modo principal e de modo rápido são exibidas. Se ike for especificado, as estatísticas IPSec de modo principal são exibidas. Se ipsec for especificado, as estatísticas IPSec de modo rápido são exibidas.

Comentários

  • Como o comando show stats poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show stats, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec dynamic show stats
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec dynamic show stats >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

***

Comandos netsh para ponte de rede

Para adaptadores que fazem parte da ponte de rede, é possível usar comandos no contexto netsh bridge para habilitar ou desabilitar o modo de compatibilidade de camada 3 e mostrar informações sobre a configuração desses adaptadores.

Você pode executar esses comandos no prompt de comando da família Windows Server 2003 ou no do contexto netsh bridge. Para que esses comandos sejam executados com êxito no prompt de comando da família Windows Server 2003, digite netsh bridge antes de digitar os comandos e parâmetros como são exibidos neste tópico.

Para obter mais informações sobre o netsh, consulte Visão geral sobre o netsh e Inserir um contexto netsh.

Para exibir a sintaxe do comando, clique em um comando:

Observação

  • O Compartilhamento de Conexão com a Internet e a Ponte de Rede não estão incluídos no Windows Server 2003, Web Edition, no Windows Server 2003, Datacenter Edition e nas versões baseadas em Itanium da versão original dos sistemas operacionais Windows Server 2003.

show adapter

Exibe a identificação, os nomes e o estado do modo de compatibilidade de camada 3 dos adaptadores que fazem parte da ponte de rede.

Sintaxe

show adapter [[id=]IDAdaptador]

Parâmetros

[[ id=]IDAdaptador]

Opcional. Especifica as informações que serão exibidas para um determinado adaptador.

/?

Exibe ajuda no prompt de comando.

Exemplos

No primeiro exemplo, o comando lista todos os adaptadores que fazem parte da ponte de rede, além de fornecer os números de identificação, os nomes amigáveis e o estado do modo de compatibilidade de camada 3 correspondente a cada adaptador.

No segundo exemplo, o comando lista a identificação do adaptador, o nome amigável e as informações sobre o estado do modo de compatibilidade de camada 3 do adaptador 2.

show adapter

show adapter 2

set adapter

Este comando modifica a configuração de um determinado adaptador que faz parte da ponte de rede definindo o estado do adaptador para habilitar ou desabilitar o modo de compatibilidade de camada de rede (camada 3).

Sintaxe

set adapter [id=]IDAdaptador [forcecompatmode=]{enable | disable}

Parâmetros

[ id=]IDAdaptador

Obrigatório. Especifica qual adaptador integrante da ponte de rede será configurado.

[ forcecompatmode=]{enable | disable}

Obrigatório. Especifica se a compatibilidade do modo de camada 3 será habilitada ou desabilitada para o adaptador especificado.

/?

Exibe ajuda no prompt de comando.

Comentários

  • Este comando só deverá ser executado se uma ponte de rede habilitada não encaminhar o tráfego de rede para todos os segmentos da rede. Essa condição poderá existir se um ou mais adaptadores de rede (geralmente, sem fio) incluídos na ponte não oferecerem suporte para o modo promíscuo.
  • Para obter mais informações sobre como determinar os valores de identificação dos adaptadores, consulte show adapter.

Exemplos

Neste exemplo, o comando é usado para forçar o adaptador 2 a ser executado no modo de compatibilidade de camada 3.

set adapter 2 forcecompatmode=enable

Observações

  • Não há suporte para os comandos install e uninstall no contexto netsh bridge. A ponte de rede só pode ser configurada ou removida em Conexões de rede. Para obter mais informações, consulte Configurar a Ponte de Rede ou Remover a ponte de rede.
  • Não há suporte para o comando dump no contexto netsh bridge.

***

Comandos netsh para acesso remoto (ras)

É possível administrar servidores de acesso remoto digitando comandos no prompt de comando do contexto Netsh ras. Usando o prompt de comando Netsh ras, você pode administrar servidores rapidamente através de conexões de rede lentas e pode criar scripts que automatizam a administração de vários servidores.

Para obter mais informações sobre o Netsh, consulte Visão geral sobre o netsh e Inserir um contexto netsh.

Para exibir a sintaxe do comando, clique em um comando:

ajuda

Exibe ajuda na linha de comando para os comandos que podem ser usados no contexto Netsh ras.

Sintaxe

ajuda

Parâmetros

nenhum

Comentários

  • Também é possível exibir ajuda na linha de comando digitando o seguinte no prompt de comando para o contexto Netsh ras: ?, /? ou -?

show_activeservers

Exibe uma lista de anúncios de servidores de acesso remoto.

Sintaxe

show activeservers

Parâmetros

nenhum

show_client

Lista os clientes de acesso remoto conectados a este servidor.

Sintaxe

show client

Parâmetros

nenhum

dump

Exibe a configuração do servidor de acesso remoto na forma de script.

Sintaxe

dump

Parâmetros

nenhum

show_tracing

Mostra se há rastreamento ativado para o componente especificado. Quando usado sem parâmetros, show tracing lista todos os componentes instalados e se há rastreamento ativado para cada um deles.

Sintaxe

show tracing [componente]

Parâmetros

Componente

Especifica o componente cujas informações devem ser exibidas.

set_tracing

Ativa/desativa o rastreamento para o componente especificado.

Sintaxe

set tracingcomponente {enabled | disabled}

Parâmetros

Componente

Obrigatório. Especifica o componente para o qual você deseja ativar ou desativar o rastreamento. Use * para especificar todos os componentes.

{ enabled| disabled}

Obrigatório. Especifica a ativação ou desativação do rastreamento para o componente especificado.

Comentários

  • Para exibir uma lista de todos os componentes instalados, use o comando show tracing sem parâmetros.

Exemplos

Para definir o rastreamento do componente PPP, digite:

set tracing ppp enabled

show_authmode

Mostra se clientes dial-up usando certos tipos de dispositivos devem ser autenticados.

Sintaxe

show authmode

Parâmetros

nenhum

set_authmode

Especifica se clientes dial-up usando certos tipos de dispositivos devem ser autenticados.

Sintaxe

set authmode {standard | nodcc | bypass}

Parâmetros

{ standard| nodcc| bypass}

Obrigatório. Especifica se clientes dial-up usando certos tipos de dispositivos devem ser autenticados. O parâmetro standard especifica que clientes usando qualquer tipo de dispositivo devem ser autenticados. O parâmetro nodcc especifica que clientes usando qualquer tipo de dispositivo que não seja de conexão direta devem ser autenticados. O parâmetro bypass especifica que nenhum cliente deve ser autenticado.

add_authtype

Adiciona um tipo de autenticação à lista de tipos com os quais o servidor de acesso remoto deve tentar negociar a autenticação.

Sintaxe

add authtype {pap | spap | md5chap | mschap | mschapv2 | eap}

Parâmetros

{ pap| spap| md5chap| mschap| mschapv2| eap}

Obrigatório. Especifica o tipo de autenticação a ser adicionado à lista de tipos com os quais o servidor de acesso remoto deve tentar negociar a autenticação. O parâmetro pap especifica que o servidor de acesso remoto deve usar o protocolo de autenticação de senha, PAP, (texto sem formatação). O parâmetro spap especifica que o servidor de acesso remoto deve usar o Protocolo SPAP (Shiva Password Authentication Protocol). O parâmetro md5chap especifica que o servidor de acesso remoto deve usar o Protocolo CHAP (Challenge Handshake Authentication Protocol), usando o esquema hash Síntese da mensagem 5 (MD5) para criptografar a resposta. O parâmetro mschap especifica que o servidor de acesso remoto deve usar o protocolo MSCHAP (Microsoft Challenge-Handshake Authentication Protocol). O parâmetro mschapv2 especifica que o servidor de acesso remoto deve usar a versão 2 do MSCHAP. O parâmetro eap especifica que o servidor de acesso remoto deve usar o protocolo EAP (Extensible Authentication Protocol).

Comentários

  • O servidor de acesso remoto tentará negociar a autenticação usando os protocolos na ordem do mais seguro para o menos seguro. Quando o cliente e o servidor tiverem acordado um tipo de autenticação, a negociação PPP continuará de acordo com as RFCs adequadas.

delete_authtype

Exclui um tipo de autenticação da lista de tipos com os quais o servidor de acesso remoto deve tentar negociar a autenticação.

Sintaxe

delete authtype{pap | spap | md5chap | mschap | mschapv2 | eap}

Parâmetros

{ pap| spap| md5chap| mschap| mschapv2| eap}

Obrigatório. Especifica o tipo de autenticação a ser excluído da lista de tipos com os quais o servidor de acesso remoto deve tentar negociar a autenticação. O parâmetro pap especifica que o servidor de acesso remoto não deve usar o protocolo PAP (Password Authentication Protocol) (texto sem formatação). O parâmetro spap especifica que o servidor de acesso remoto não deve usar o protocolo SPAP (Shiva Password Authentication Protocol). O parâmetro md5chap especifica que o servidor de acesso remoto não deve usar o protocolo CHAP (Challenge Handshake Authentication Protocol), usando o esquema hash Síntese da mensagem 5 (MD5) para criptografar a resposta. O parâmetro mschap especifica que o servidor de acesso remoto não deve usar o protocolo MSCHAP (Microsoft Challenge-Handshake Authentication Protocol). O parâmetro mschapv2 especifica que o servidor de acesso remoto não deve usar a versão 2 do MSCHAP. O parâmetro eap especifica que o servidor de acesso remoto não deve usar o protocolo EAP (Extensible Authentication Protocol).

show_authtype

Lista os tipos de autenticação usados pelo servidor de acesso remoto para negociar a autenticação.

Sintaxe

show authtype

Parâmetros

nenhum

add_link

Adiciona uma propriedade de vínculo à lista de propriedades de vínculos que o PPP deve negociar.

Sintaxe

add link {swc | lcp}

Parâmetros

{ swc | lcp}

Obrigatório. Especifica a propriedade de vínculo a ser adicionada à lista de propriedades de vínculos que o PPP deve negociar. O parâmetro swc especifica que a compactação de software (MPPC) deve ser adicionada. O parâmetro lcp especifica que as Extensões LCP (Link Control Protocol) do conjunto de protocolos PPP devem ser adicionadas.

delete_link

Exclui uma propriedade de vínculo de uma lista de propriedades de vínculos que o PPP deve negociar.

Sintaxe

delete link {swc | lcp}

Parâmetros

{ swc | lcp}

Obrigatório. Especifica a propriedade de vínculo a ser excluída da lista de propriedades de vínculos que o PPP deve negociar. O parâmetro swc especifica que a compactação de software (MPPC) deve ser excluída. O parâmetro lcp especifica que as extensões LCP (Link Control Protocol) do conjunto de protocolos PPP devem ser excluídas.

show link

Exibe as propriedades de vínculos que o PPP deve negociar.

Sintaxe

show link

Parâmetros

nenhum

add multilink

Adiciona um tipo de conexões múltiplas à lista de conexões múltiplas que o PPP deve negociar.

Sintaxe

add multilink {multi | bacp}

Parâmetros

{ multi | bacp}

Obrigatório. Especifica o tipo de conexões múltiplas a ser adicionado à lista de conexões múltiplas que o PPP deve negociar. O parâmetro multi especifica que as sessões do PPP de conexões múltiplas devem ser adicionadas. O parâmetro bacp especifica que o protocolo BAC (Bandwidth Allocation Control) deve ser adicionado.

delete multilink

Exclui um tipo de conexões múltiplas da lista de tipos de conexões múltiplas que o PPP deve negociar.

Sintaxe

delete multilink {multi | bacp}

Parâmetros

{ multi | bacp}

Obrigatório. Especifica o tipo de conexões múltiplas a ser excluído da lista de tipos de conexões múltiplas que o PPP deve negociar. O parâmetro multi especifica que as sessões do PPP de conexões múltiplas devem ser excluídas. O parâmetro bacp especifica que o protocolo BAC (Bandwidth Allocation Control) deve ser excluído.

show multilink

Exibe os tipos de conexões múltiplas que o PPP deve negociar.

Sintaxe

show multilink

Parâmetros

nenhum

add registeredserver

Registra o servidor especificado como um servidor de acesso remoto no domínio do Active Directory. Quando usado sem parâmetros, add registeredserver registra o computador em cujo domínio primário você digitou o comando.

Sintaxe

add registeredserver [[domain=]Nome_do_domínio] [[server=]Nome_do_servidor]

Parâmetros

[ domain=]Nome_do_domínio

Especifica, pelo nome, o domínio em que o servidor será registrado. Se você não especificar um domínio, o servidor será registrado no seu domínio primário.

[ server=]Nome_do_servidor

Especifica, pelo nome DNS ou endereço IP, o servidor a ser registrado. Se você não especificar um servidor, o computador onde você digitar o comando será registrado.

delete registeredserver

Exclui o registro do servidor especificado como servidor de acesso remoto do domínio Active Directory especificado. Quando usado sem parâmetros, delete registeredserver exclui o registro do computador onde você digitou o comando do seu domínio primário.

Sintaxe

delete registeredserver [[domain=]Nome_do_domínio] [[server=]Nome_do_servidor]

Parâmetros

[ domain=]Nome_do_domínio

Especifica, pelo nome, o domínio cujo registro será removido. Se você não especificar um domínio, o registro do domínio primário do computador em que foi digitado o comando será removido.

[ server=]Nome_do_servidor

Especifica, pelo nome DNS ou endereço IP, o servidor cujo registro você deseja remover. Se você não especificar um servidor, o registro do computador em que foi digitado o comando será removido.

show registeredserver

Exibe informações de status sobre o servidor especificado como servidor de acesso remoto no domínio do Active Directory especificado. Quando usado sem parâmetros, show registeredserver exibe informações sobre o computador em cujo domínio primário você digitou o comando.

Sintaxe

show registeredserver [[domain=]Nome_do_domínio] [[server=]Nome_do_servidor]

Parâmetros

[ domain=]Nome_do_domínio

Especifica, pelo nome, o domínio em que está registrado o servidor cujas informações você deseja exibir. Se você não especificar um domínio, serão exibidas as informações sobre o servidor conforme estão registradas no domínio primário do computador em que o comando foi digitado.

[ server=]Nome_do_servidor

Especifica, pelo nome DNS ou endereço IP, o servidor cujas informações você deseja exibir. Se você não especificar um servidor, serão exibidas as informações sobre o computador em que o comando foi digitado.

show user

Exibe as propriedades dos usuários de acesso remoto especificados. Quando usado sem parâmetros, show user exibe as propriedades de todos os usuários de acesso remoto.

Sintaxe

show user [name=Nome_do_usuário] [[mode=] {permit | report}]

Parâmetros

name=Nome_do_usuário

Especifica, pelo nome de logon, o usuário cujas propriedades você deseja exibir. Se você não especificar um usuário, as propriedades de todos os usuários serão exibidas.

mode= {permit | report}

Especifica a exibição das propriedades de todos os usuários ou apenas daqueles cujas permissões dial-up estiverem definidas para permitir. O parâmetro permit especifica que devem ser exibidas apenas as propriedades dos usuários cuja permissão dial-up seja permitir. O parâmetro report especifica que devem ser exibidas as propriedades de todos os usuários.

setuser

Define as propriedades do usuário de acesso remoto especificado.

Sintaxe

set user [name=]Nome_do_usuário [dialin] {permit | deny | policy} [cbpolicy] {none | caller | admin [cbnumber=]Número_para_retorno_de_chamada}

Parâmetros

name=Nome_do_usuário

Obrigatório. Especifica, pelo nome de logon, o usuário cujas propriedades você deseja definir.

[ dialin] {permit | deny | policy}

Obrigatório. Especifica sob que circunstâncias o usuário terá permissão para conectar. O parâmetro permit especifica que o usuário terá sempre permissão para conectar. O parâmetro deny especifica que ele nunca terá permissão para conectar. O parâmetro policy especifica que as diretivas de acesso remoto devem determinar se o usuário terá permissão para conectar.

[ cbpolicy] {none | caller | admin [cbnumber=]número_para_retorno_de_chamada}

Obrigatório. Especifica a diretiva de retorno de chamada para o usuário. Com o recurso de retorno de chamada, o usuário economiza o custo de uma chamada telefônica usada para conectar-se a um servidor de acesso remoto. O parâmetro none especifica que não deve haver um retorno de chamada para o usuário. O parâmetro caller especifica que deve haver um retorno de chamada para o usuário através do número especificado por ele no momento da conexão. O parâmetro admin especifica que a chamada do usuário deve ser retornada através do número especificado pelo parâmetro número_para_retorno_de_chamada.

Comentários

  • Para usuários em um domínio de modo misto, os parâmetros policy e deny são equivalentes.

Exemplos

Para permitir que o UsuárioVisitante se conecte e sua chamada seja retornada através do número 4255550110, digite:

set user usuáriovisitante permit admin 4255550110

Comandos do contexto ras diagnostics do netsh

Os comandos a seguir são específicos ao contexto ras diagnostics no ambiente Netsh.

Para exibir a sintaxe do comando, clique em um comando:

dump

Exibe a configuração do Diagnósticos de acesso remoto na forma de script.

Sintaxe

dump

Parâmetros

nenhum

show installation

Cria um relatório do Diagnóstico de acesso remoto que inclui somente os resultados de diagnósticos dos arquivos de informação, da verificação de instalação, dos componentes de rede instalados e da verificação do Registro e o envia para um local especificado.

Sintaxe

show installation [type=] {file | email} [destination=] {Local_do_arquivo | Endereço_de_email} [[compression=] {enabled | disabled}] [[hours=] Número_de_horas] [[verbose=] {enabled | disabled}]

Parâmetros

[ type=] {file | email}

Obrigatório. Especifica se você deseja salvar o relatório em um arquivo ou se deseja enviá-lo para um endereço de email.

[ destination=] {Local_do_arquivo | Endereço_de_email}

Obrigatório. Especifica o caminho completo e o nome de arquivo no qual o relatório deve ser salvo ou o endereço de email completo para o qual o relatório deve ser enviado.

[[ compression=] {enabled | disabled}]

Especifica se o relatório deve ser compactado em um arquivo .cab. Se você não especificar este parâmetro, o relatório será compactado se você enviá-lo para um endereço de email, mas não será compactado se você salvá-lo em um arquivo.

[[ hours=] Número_de_horas]

Especifica o número de horas passadas cuja atividade deve ser mostrada no relatório. Este parâmetro deve ser um número inteiro entre 1 e 24. Se você não especificá-lo, todas as informações passadas serão incluídas.

[[ verbose=] {enabled | disabled}]

Especifica a quantidade de dados a ser incluída no relatório. Se você não especificar este parâmetro, será incluída somente uma quantidade mínima de dados.

Comentários

  • O relatório do Diagnóstico de acesso remoto é salvo como um arquivo HTML (.htm).

show logs

Cria um relatório de Diagnóstico de acesso remoto que contém somente resultados de diagnósticos para logs de rastreamento, logs de modem, logs do Gerenciador de conexões, log de segurança IP, logs de evento do acesso remoto e logs do evento de segurança e o envia para um local especificado.

Sintaxe

show logs [type=] {file | email} [destination=] {Local_do_arquivo | Endereço_de_email} [[compression=] {enabled | disabled}] [[hours=] Número_de_horas] [[verbose=] {enabled | disabled}]

Parâmetros

[ type=] {file | email}

Obrigatório. Especifica se deseja salvar o relatório em um arquivo ou se deseja enviá-lo para um endereço de email.

[ destination=] {Local_do_arquivo | Endereço_de_email}

Obrigatório. Especifica o caminho completo e o nome de arquivo no qual o relatório deve ser salvo ou o endereço de email completo para o qual o relatório deve ser enviado.

[[ compression=] {enabled | disabled}]

Especifica se o relatório deve ser compactado em um arquivo .cab. Se você não especificar este parâmetro, o relatório será compactado se você enviá-lo para um endereço de email, mas não será compactado se você salvá-lo em um arquivo.

[[ hours=] Número_de_horas]

Especifica o número de horas passadas cuja atividade deve ser mostrada no relatório. Este parâmetro deve ser um número inteiro entre 1 e 24. Se você não especificá-lo, todas as informações passadas serão incluídas no relatório.

[[ verbose=] {enabled | disabled}]

Especifica a quantidade de dados a ser incluída no relatório. Se você não especificar este parâmetro, será incluída uma quantidade mínima de dados.

Comentários

  • O relatório do Diagnóstico de acesso remoto é salvo como um arquivo HTML (.htm).

show configuration

Cria um relatório do Diagnóstico de acesso remoto que inclui somente os resultados de diagnósticos dos dispositivos instalados, das informações de processo, dos utilitários da linha de comando e dos arquivos de catálogo telefônico e o envia para um local especificado.

Sintaxe

show configuration [type=] {file | email} [destination=] {Local_do_arquivo | Endereço_de_email} [[compression=] {enabled | disabled}] [[hours=] Número_de_horas] [[verbose=] {enabled | disabled}]

Parâmetros

[ tipo=] {file | email}

Obrigatório. Especifica se o relatório deve ser salvo em um arquivo ou enviado para um endereço de email.

[ destination=] {Local_do_arquivo | Endereço_de_email}

Obrigatório. Especifica o caminho completo e o nome de arquivo no qual o relatório deve ser salvo ou o endereço de email completo para o qual o relatório deve ser enviado.

[[ compression=] {enabled | disabled}]

Especifica se o relatório deve ser compactado em um arquivo .cab. Se você não especificar este parâmetro, o relatório será compactado se você enviá-lo para um endereço de email, mas não será compactado se você salvá-lo em um arquivo.

[[ hours=] Número_de_horas]

Especifica o número de horas passadas cuja atividade deve ser mostrada no relatório. Este parâmetro deve ser um número inteiro entre 1 e 24. Se você não especificá-lo, todas as informações passadas serão incluídas.

[[ verbose=] {enabled | disabled}]

Especifica a quantidade de dados a ser incluída no relatório. Se você não especificar este parâmetro, será incluída uma quantidade mínima de dados.

Comentários

  • O relatório do Diagnóstico de acesso remoto é salvo como um arquivo HTML (.htm).

show all

Cria um relatório de diagnóstico de acesso remoto para todos os logs de acesso remoto e o envia para um local especificado.

Sintaxe

show all [type=] {file | email} [destination=] {Local_do_arquivo | Endereço_de_email} [[compression=] {enabled | disabled}] [[hours=] Número_de_horas] [[verbose=] {enabled | disabled}]

Parâmetros

[ tipo=] {file | email}

Obrigatório. Especifica se deseja salvar o relatório em um arquivo ou se deseja enviá-lo para um endereço de email.

[ destination=] {Local_do_arquivo | Endereço_de_email}

Obrigatório. Especifica o caminho completo e o nome de arquivo no qual o relatório deve ser salvo ou o endereço de email completo para o qual o relatório deve ser enviado.

[[ compression=] {enabled | disabled}]

Especifica se o relatório deve ser compactado em um arquivo .cab. Se você não especificar este parâmetro, o relatório será compactado se você enviá-lo para um endereço de email, mas não será compactado se você salvá-lo em um arquivo.

[[ hours=] Número_de_horas]

Especifica o número de horas passadas cuja atividade deve ser mostrada no relatório. Este parâmetro deve ser um número inteiro entre 1 e 24. Se você não especificá-lo, todas as informações passadas serão incluídas.

[[ verbose=] {enabled | disabled}]

Especifica a quantidade de dados a ser incluída no relatório. Se você não especificar este parâmetro, será incluída uma quantidade mínima de dados.

Comentários

  • O relatório do Diagnóstico de acesso remoto é salvo como um arquivo HTML (.htm).
  • O relatório de Diagnóstico de acesso remoto que você criar usando o comando show all contém todas as informações de diagnóstico disponíveis. Você pode usar outros comandos, como show configuration, para criar relatórios que contenham um escopo mais limitado de informações.

show cmtracing

Mostra se as informações sobre as conexões do <b>Gerenciador de conexões</b> estão sendo registradas.

Sintaxe

show cmtracing

Parâmetros

nenhum

set cmtracing

Habilita ou desabilita o log de informações sobre as conexões do <b>Gerenciador de conexões</b>.

Sintaxe

set cmtracing {enabled | disabled}

Parâmetros

{ enabled| disabled}

Necessário. Especifica se as informações sobre as conexões do <b>Gerenciador de conexões</b> estão sendo registradas. O parâmetro enabled especifica que as informações devem ser registradas. O parâmetro enabled especifica que as informações não devem ser registradas.

Comentários

  • Cada arquivo de log de uma conexão do <b>Gerenciador de conexões</b> contém informações específicas ao histórico da conexão. Cada conexão do <b>Gerenciador de conexões</b> gera um arquivo de log exclusivo. Dependendo da configuração da conexão, o arquivo de log pode ser salvo em vários locais. Para obter mais informações, consulte o Kit de administração do Gerenciador de conexões e Solucionando problemas do processo.
  • Este comando será substituído por uma conexão particular se o usuário habilitar ou desabilitar o log para a conexão ou se o usuário instalar e usar um perfil do <b>Gerenciador de conexões</b> para o qual um administrador habilitou ou desabilitou o registro.

show modemtracing

Mostra se o rastreamento do modem está habilitado ou desabilitado.

Sintaxe

show modemtracing

Parâmetros

nenhum

set modemtracing

Habilita ou desabilita o rastreamento de modem para todos os modems instalados no computador local.

Sintaxe

set modemtracing {enabled | disabled}

Parâmetros

{ enabled| disabled}

Necessário. Especifica se a atividade do modem de cada modem deve ser registrada. O parâmetro enabled especifica que a atividade deve ser registrada. O parâmetro disabled especifica que a atividade não deve ser registrada.

Comentários

  • Este comando habilita ou desabilita o registro da atividade do modem para todos os modems. Se desejar habilitar ou desabilitar o registro de modem para um modem específico, você deve configurar o modem no <b>Gerenciador de dispositivos</b>.

show rastracing

Mostra se toda a atividade dos componentes de acesso remoto são rastreadas.

Sintaxe

show rastracing

Parâmetros

nenhum

set rastracing

Habilita ou desabilita o rastreamento e o registro de toda a atividade de todos os componentes de acesso remoto ou de um componente de acesso remoto específico.

Sintaxe

set rastracing [component=] {Componente | *} {enabled | disabled}

Parâmetros

[ component=] {Componente | *}

Necessário. Especifica se você deseja habilitar ou desabilitar o rastreamento e o registro de um componente especificado ou para todos os componentes. O parâmetro Componente especifica o componente para o qual você deseja habilitar ou desabilitar o rastreamento e o registro.

{ enabled| disabled}

Necessário. Especifica se a atividade deve ser rastreada e registrada. O parâmetro enabled especifica que a atividade deve ser rastreada e registrada. O parâmetro disabled especifica que a atividade não deve ser rastreada e registrada.

Comentários

  • Se você habilitar o rastreamento e o registro, um arquivo de log chamado Componente.txt é criado no diretório %windir%\tracing de cada componente que está sendo rastreado.

show securityeventlog

Mostra se os eventos de segurança estão sendo registrados.

Sintaxe

show securityeventlog

Parâmetros

nenhum

set securityeventlog

Habilita ou desabilita o registro de todos os eventos de segurança.

Sintaxe

set securityeventlog {enabled | disabled}

Parâmetros

{ enabled| disabled}

Necessário. Especifica se os eventos de segurança devem ser registrados. O parâmetro enabled especifica que os eventos de segurança devem ser registrados. O parâmetro disabled especifica que os eventos de segurança não devem ser registrados.

show tracefacilities

Mostra se toda a atividade de todos os componentes de acesso remoto ou de um componente de acesso remoto especificado está sendo rastreado e registrado.

Sintaxe

show tracefacilities

Parâmetros

nenhum

set tracefacilities

Habilita ou desabilita o rastreamento e o registro de toda a atividade de todos os componentes de acesso remoto que estão configurados no computador local.

Sintaxe

set tracefacilities [state=] {enabled | disabled | clear}

Parâmetros

[ state=] {enabled | disabled | clear}

Necessário. Especifica se você deseja habilitar o rastreamento de todos os componentes de acesso remoto, desabilitar o rastreamento ou limpar todos os logs gerados por tracefacilities. O parâmetro enabled especifica que rastreamento está habilitado. O parâmetro disabled especifica que rastreamento está desabilitado. O parâmetro clear especifica que você deseja limpar todos os logs.

Comandos de contexto RAS IP do Netsh

Os comandos a seguir são específicos ao contexto ras IP dentro do ambiente Netsh.

Para exibir a sintaxe do comando, clique em um comando:

dump

Cria um script contendo a configuração IP de um servidor de acesso remoto. Caso você salve esse script em um arquivo, poderá usá-lo para restaurar as definições da configuração IP.

Sintaxe

dump

Parâmetros

nenhum

show config

Exibe a configuração IP atual do servidor de acesso remoto.

Sintaxe

show config

Parâmetros

nenhum

set negotiation

Especifica se o servidor de acesso remoto permitirá que o IP seja configurado para qualquer conexão cliente aceita pelo servidor.

Sintaxe

set negotiation {allow | deny}

Parâmetros

{ allow | deny}

Obrigatório. Especifica se permite o IP em conexões de cliente. O parâmetro allow permite o IP em conexões de cliente. O parâmetro deny impede o IP em conexões de cliente.

set access

Especifica se o tráfego de rede IP de clientes deve ser encaminhado para as redes com que o servidor de acesso remoto está conectado.

Sintaxe

set access {all | serveronly}

Parâmetros

{ all| serveronly}

Obrigatório. Especifica se os clientes poderão acessar o servidor de acesso remoto e as outras redes com que ele esteja conectado. O parâmetro all permite que os clientes acessem as redes através do servidor. O parâmetro serveronly permite que os clientes acessem apenas o servidor.

set addrassign

Define o método pelo qual o servidor de acesso remoto deve atribuir endereços IP a seus clientes.

Sintaxe

set addrassign {auto | pool}

Parâmetros

{ auto| pool}

Obrigatório. Especifica se os endereços IP devem ser atribuídos pelo DHCP ou por um pool de endereços guardado pelo servidor de acesso remoto. O parâmetro auto especifica que os endereços devem ser atribuídos pelo DHCP. Se não houver um servidor DHCP disponível, um endereço aleatório e particular será atribuído. O parâmetro pool especifica que os endereços devem ser atribuídos por um pool.

set addrreq

Especifica se os clientes dial-up podem solicitar seu próprio endereço IP.

Sintaxe

set addrreq {allow | deny}

Parâmetros

{ allow | deny}

Obrigatório. Especifica se os clientes podem solicitar ser próprio endereço IP. O parâmetro allow permite que os clientes solicitem endereços. O parâmetro deny impede que os clientes solicitem endereços.

set broadcastnameresolution

Ativa ou desativa a resolução de nomes de difusão usando NetBIOS através do TCP/IP.

Sintaxe

set broadcastnameresolution {enabled | disabled}

Parâmetros

{ enabled| disabled}

Obrigatório. Especifica a ativação ou desativação da resolução de nomes de difusão usando NetBIOS através do TCP/IP.

show broadcastnameresolution

Exibe se a resolução de nomes de difusão usando o NetBIOS sobre TCP/IP foi habilitada ou desabilitada para o servidor de acesso remoto.

Sintaxe

show broadcastnameresolution

Parâmetros

nenhum

add range

Adiciona um intervalo de endereços ao pool de endereços IP estáticos que o servidor de acesso remoto pode atribuir a clientes.

Sintaxe

add range [from=]endereço_IP_inicial [to=]endereço_IP_final

Parâmetros

[ from=]endereço_IP_inicial [to=]endereço_IP_final

Obrigatório. Especifica o intervalo de endereços IP a ser adicionado. O parâmetro endereço_IP_inicial especifica o primeiro endereço IP do intervalo. O parâmetro endereço_IP_final especifica o último endereço IP do intervalo.

Exemplos

Para adicionar o intervalo de endereços IP de 10.2.2.10 a 10.2.2.20 ao pool de endereços IP estáticos que o servidor de acesso remoto pode atribuir, digite:

add range from=10.2.2.10 to=10.2.2.20

delete range

Exclui um intervalo de endereços de um pool de endereços IP estáticos que um servidor de acesso remoto pode atribuir a clientes.

Sintaxe

delete range [from=]endereço_IP_inicial [to=]endereço_IP_final

Parâmetros

[ from=]endereço_IP_inicial [to=]endereço_IP_final

Obrigatório. Especifica o intervalo de endereços IP a ser excluído. O parâmetro endereço_IP_inicial especifica o primeiro endereço IP do primeiro intervalo. O parâmetro endereço_IP_final especifica o último endereço IP do intervalo.

Exemplos

Para excluir o intervalo de endereços IP de 10.2.2.10 a 10.2.2.20 do pool de endereços estáticos que um servidor de acesso remoto pode atribuir, digite:

delete range from=10.2.2.10 to=10.2.2.20

delete pool

Exclui todos os endereços do pool de endereços estáticos que o servidor de acesso remoto pode atribuir a clientes.

Sintaxe

delete pool

Parâmetros

nenhum

Comandos do contexto ras AppleTalk do netsh

Os comandos a seguir são específicos ao contexto ras AppleTalk no ambiente Netsh.

Esse recurso não está disponível em versões baseadas em Itanium dos sistemas operacionais Windows. Este conteúdo não está disponível neste lançamento preliminar.

Para exibir a sintaxe do comando, clique em um comando:

dump

Cria um script contendo a configuração AppleTalk do servidor de acesso remoto. Caso você salve esse script em um arquivo, poderá usá-lo para restaurar as definições da configuração AppleTalk.

Sintaxe

dump

Parâmetros

nenhum

show config

Exibe a configuração AppleTalk atual do servidor de acesso remoto.

Sintaxe

show config

Parâmetros

nenhum

set negotiation

Especifica se o servidor de acesso remoto deve permitir que o AppleTalk seja configurado para conexões de cliente aceitas pelo servidor.

Sintaxe

set negotiation {allow | deny}

Parâmetros

{ allow | deny}

Obrigatório. Especifica se há permissão para a configuração AppleTalk. O parâmetro allow permite a configuração. O parâmetro deny impede a configuração.

Comandos do contexto ras AAAA do netsh

Os comandos a seguir são específicos ao contexto ras AAAA dentro do ambiente Netsh.

Para exibir a sintaxe do comando, clique em um comando:

dump

Exibe a configuração AAAA de um servidor de acesso remoto na forma de script.

Sintaxe

dump

Parâmetros

nenhum

add acctserv

Especifica o endereço IP ou o nome DNS de um servidor RADIUS a ser usado para estatísticas; especifica também as opções de estatísticas.

Sintaxe

add acctserv [nome=]ID_do_servidor[[secret=]segredo_compartilhado] [[init-score=]prioridade_do_servidor] [[port=]porta] [[timeout=]segundos] [[messages] {enabled | disabled}]

Parâmetros

[ name=] ID_servidor

Obrigatório. Especifica, pelo nome DNS ou endereço IP, o servidor RADIUS.

[ secret=]segredo_compartilhado

Especifica o segredo compartilhado.

[ init-score=]prioridade_do_servidor

Especifica o resultado inicial (prioridade do servidor).

[ port=]porta

Especifica o caminho para o qual a pasta deve ser redirecionada.

[ timeout=]segundos

Especifica o tempo limite, em segundos, de ociosidade do servidor RADIUS antes de ser marcado como não disponível.

[ messages] {enabled | disabled}

Ativa ou desativa o envio de mensagens de estatísticas. O parâmetro enabled especifica que as mensagens devem ser enviadas. O parâmetro disabled especifica que as mensagens não devem ser enviadas.

delete acctserv

Exclui um servidor de estatísticas RADIUS.

Sintaxe

delete acctserv [name=]ID_servidor

Parâmetros

[ name=]ID_servidor

Obrigatório. Especifica, pelo nome DNS ou endereço IP, o servidor a ser excluído.

set acctserv

Fornece o endereço IP ou nome DNS de um servidor RADIUS a ser usado para estatísticas.

Sintaxe

add acctserv [name=]ID_servidor [[secret=]segredo_compartilhado] [[init-score=]prioridade_do_servidor] [[port=]porta] [[timeout=]Segundos] [[messages] {enabled | disabled}]

Parâmetros

[ name=] ID_servidor

Obrigatório. Especifica, pelo nome DNS ou endereço IP, o servidor RADIUS.

[ secret=]segredo_compartilhado

Especifica o segredo compartilhado.

[ init-score=]prioridade_do_servidor

Especifica o resultado inicial (prioridade do servidor).

[ port=]porta

Especifica a porta pela qual devem ser enviadas as solicitações de autenticação.

[ timeout=]segundos

Especifica, em segundos, o tempo decorrido até que o servidor RADIUS seja marcado como não disponível.

[ messages=] {enabled | disabled}

Ativa ou desativa o envio de mensagens de estatísticas.

show acctserv

Exibe informações detalhadas sobre um servidor de estatísticas. Quando usado sem parâmetros, show acctserv exibe informações sobre todos os servidores de estatísticas configurados.

Sintaxe

show acctserv [[name=]ID_servidor]

Parâmetros

[ name=]ID_servidor

Especifica, pelo nome DNS ou endereço IP, o servidor RADIUS cujas informações devem ser exibidas.

add authserv

Fornece o endereço IP ou o nome DNS de um servidor RADIUS para o qual as solicitações de autenticação devem ser passadas.

Sintaxe

add authserv [name=]ID_servidor[[secret=]segredo_compartilhado] [[init-score=]prioridade_do_servidor] [[port=]Porta] [[timeout=]Segundos] [[signature] {enabled | disabled}]

Parâmetros

[ name=] ID_servidor

Obrigatório. Especifica, pelo nome DNS ou endereço IP, o servidor RADIUS.

[ secret=]segredo_compartilhado

Especifica o segredo compartilhado.

[ init-score=]prioridade_do_servidor

Especifica o resultado inicial (prioridade do servidor).

[ port=]porta

Especifica a porta pela qual devem ser enviadas as solicitações de autenticação.

[ timeout=]segundos

Especifica o tempo limite, em segundos, de ociosidade do servidor RADIUS antes de ser marcado como não disponível.

[ signature] {enabled | disabled}

Especifica se serão usadas assinaturas digitais. O parâmetro enabled especifica que as assinaturas digitais devem ser usadas. O parâmetro disabled especifica que as assinaturas digitais não devem ser usadas.

delete authserv

Exclui um servidor de autenticação RADIUS.

Sintaxe

delete authserv [name=]ID_servidor

Parâmetros

[ name=]ID_servidor

Obrigatório. Especifica, pelo nome DNS ou endereço IP, o servidor a ser excluído.

set authserv

Fornece o endereço IP ou o nome DNS de um servidor RADIUS para o qual as solicitações de autenticação devem ser passadas.

Sintaxe

set authserv [name=]ID_servidor [[secret=]SharedSecret] [[init-score=]prioridade_do_servidor] [[port=]Porta] [[timeout=]Segundos] [[signature] {enabled | disabled}]

Parâmetros

[ name=] ID_servidor

Necessário. Especifica, pelo nome DNS ou endereço IP, o servidor RADIUS.

[ secret=]segredo_compartilhado

Especifica o segredo compartilhado.

[ init-score=]prioridade_do_servidor

Especifica o resultado inicial (prioridade do servidor).

[ port=]porta

Especifica a porta pela qual devem ser enviadas as solicitações de autenticação.

[ timeout=]segundos

Especifica, em segundos, o tempo decorrido até que o servidor RADIUS seja marcado como não disponível.

[ signature=] {enabled | disabled}

Especifica se as assinaturas digitais devem ser usadas.

show authserv

Exibe informações detalhadas sobre um servidor de autenticação. Quando usado sem parâmetros, show authserv exibe informações sobre todos os servidores de autenticação configurados.

Sintaxe

show authserv [[name=]ID_servidor]

Parâmetros

[ name=] ID_servidor

Especifica, pelo nome DNS ou endereço IP, o servidor RADIUS cujas informações devem ser exibidas.

set acco

Especifica o provedor de estatísticas.

Sintaxe

set acco {windows | radius | none}

Parâmetros

{ windows| radius| none}

Obrigatório. Especifica se devem ser realizadas estatísticas e por qual servidor. O parâmetro windows especifica que a segurança do Windows deve realizar as estatísticas. O parâmetro radius especifica que um servidor RADIUS deve realizar as estatísticas. O parâmetro none especifica que nenhuma estatística deve ser realizada.