エラー処理を機能させるには、GM と KS の両方で GETVPN の復元力（GM のエラー検出の機能）を有効にする必要があります。KS は、SPI（セキュリティ パラメータ インデックス）のグループ情報をエンコードし、TEK ポリシーを介してそれを GM にダウンロードします。

GETVPN 復元力 - GM エラー検出機能によって障害が検出されると、異常なパケットの送信元 IP アドレスを示す syslog メッセージが生成されます。

 *Feb 10 21:01:56.043:
%GDOI-4-TIMEBASED_REPLAY_FAILED: An anti replay check has failed in
group GETVPN from sourceip-address
100.0.0.9.
 my_pseudotime is 600006.78 secs,
peer_pseudotime is 500033.34 secs, replay_window is 100
(second)
 *Feb 10 21:01:56.043:
%CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed
 connection id=29, sequence
number=11

エラーが発生すると、GM は次に使用可能なキー サーバ（KS）に再登録し、最新のポリシーとキーを取得し、登録が完了するまで以前にダウンロードされたすべてのグループ ポリシーとキーを維持します。

たとえば、連携キー サーバ（COOP KS）の分割が発生すると、レベルを上げられた各 KS が独自の Key Encryption Key（KEK）とトラフィック暗号化キー（TEK）を生成します。GM は、無効な SPI パケットを受信すると、それをデコードします（KS は SPI のグループ情報をエンコードし、TEK ポリシーを介してそれを GM にダウンロードします）。それが現在の GETVPN グループに属していることが判明した場合は、リカバリ登録を開始します。

無効な SPI は、次の 2 つのカテゴリのいずれかに属している可能性があります。

正の無効な SPI の場合、リスト内の次のキーサーバー（KS）へのリカバリ登録が実行されます。このリカバリ登録は、リスト内の次の KS への各クライアント リカバリ間隔で、無効なステートフル パケット インスペクション（SPI）パケットまたは TBAR エラーごとに繰り返されます。リスト内のすべての KS が回復され、無効な SPI が含まれなくなると、その SPI は誤検出としてマークされ、それ以上のリカバリ登録は実行されません。KS は TBAR エラーに対して常にリカバリ登録を実行します。ただし、無効な SPI のために GM がリストのすべての KS を回復し、SPI がある KS がなくなると、その SPI は誤検出としてマークされ、その SPI のためにさらにリカバリ登録が実行されることはなくなります。

この GM リカバリの再登録機能がトリガーされたことを通知するため、syslog メッセージが生成されます。たとえば、GM が 300 秒ごとにコントロール プレーンのエラーをモニタするように設定している場合、リカバリ登録が発生すると、次の syslog が生成されます。

*Feb 23 19:06:28.600: %GDOI-5-GM_RECOVERY_REGISTER: received invalid GDOI packets; register to KS to refresh policy, keys, and PST.