Jak konfigurovat připojení L2TP/IPSec pomocí ověření předsdíleného klíče

Překlady článku Překlady článku
ID článku: 240262 - Produkty, které se vztahují k tomuto článku.
Poznámka
Tento článek se vztahuje na systém Windows 2000. Podporu pro systém Windows 2000 končí na 13 červenci 2010. Na Systém Windows 2000-podpora Solution Center je výchozí bod pro plánování strategie migrace ze systému Windows 2000. Další informace naleznete Zásady životního cyklu odborné pomoci společnosti Microsoft.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Microsoft Windows 2000 automaticky vytvoří zásady protokolu Internet Protocol Security (IPSec), který se používá s Layer 2 Tunneling Protocol (L2TP) / IPSec připojení, která vyžadují certifikát pro ověřování Internet Key Exchange (IKE). Společnost Microsoft podporuje pomocí preshare klíč pro ověření IKE implementace protokolu L2TP/IPSec brána brána virtuální privátní sítě (VPN). Společnost Microsoft však nepodporuje ověřování IKE na připojení klienta vzdáleného přístupu L2TP/IPSec pomocí klíč před sdílení. Systém Windows 2000 je kompatibilní s IKE RFC 2409 a umožňuje implementovat před sdílené klíče pro ověřování protokolu IKE na připojení klienta vzdáleného přístupu L2TP/IPSec. Doporučujeme však použít tuto implementaci pro testování pouze.

Chcete-li implementovat ověřování předsdíleného klíče pro připojení L2TP/IPSec:
  • Je nutné přidat hodnotu registru ProhibitIpSec na obou počítačích založených na systému Windows 2000 koncového bodu.
  • Před navázáním připojení L2TP/IPSec mezi dvěma počítači se systémem Windows 2000 je nutné ručně nakonfigurovat zásady protokolu IPSec.
Tento článek popisuje, jak nakonfigurovat dva systémem Windows 2000 službu Směrování a vzdálený přístup servery, které jsou připojeny přes místní sítě (LAN) pro připojení L2TP/IPSec pomocí ověřování pomocí předsdíleného klíče. Součástí je informace o tom, jak konfigurovat zásady protokolu IPSec pro přijímání připojení pomocí více předsdílených klíčů nebo čas.

Další informace

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru však mohou nastat závažné problémy. Proto postupujte přesně podle následujících kroků. Pro zvýšení ochrany proveďte před úpravami zálohu registru. Pokud pak dojde k potížím, budete moci registr obnovit. Další informace o zálohování a obnovení registru získáte v článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows

Chcete-li konfigurovat dva systémem Windows 2000 službu Směrování a vzdálený přístup servery připojené přes LAN připojení L2TP/IPSec pomocí ověřování pomocí předsdíleného klíče, je nutné přidat hodnotu registru ProhibitIpSec do každého počítače systémem Windows 2000 koncový bod, chcete-li zabránit automatické filtrování přenosů L2TP/IPSec připojení L2TP/IPSec.

Pokud hodnota registru ProhibitIpSec je nastavena na 1, nevytvoří automatický filtr, který používá ověření certifikační Autority v počítači se systémem Windows 2000. Místo toho zkontroluje místní nebo zásady IPSec služby Active Directory.

Chcete-li přidat hodnotu registru ProhibitIpSec počítače se systémem Windows 2000, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ Regedt32a potom klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu.
  4. Do pole Název hodnoty zadejte ProhibitIpSec.
  5. V seznamu Typ dat klepněte na tlačítko REG_DWORDa potom klepněte na tlačítko OK.
  6. Zadejte do pole Data1a potom klepněte na tlačítko OK.
  7. Ukončete Editor registru a restartujte počítač.

Jak vytvořit zásady protokolu IPSec pro použití s připojeními L2TP/IPSec pomocí předsdíleného klíče

Poznámka: Následující postup předpokládá přidaná hodnota registru ProhibitIpSec obou systémem Windows 2000 směrování a vzdálený přístup koncový bod servery a že po restartování systému Windows 2000 směrování a vzdálený přístup koncový bod servery.
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ konzoly MMCa potom klepněte na tlačítko OK.
  2. Klepněte na položku konzoly, klepněte na tlačítko Přidat nebo odebrat modul Snap-in, klepněte na tlačítko Přidat, klepněte na položku Správa zásad zabezpečení protokolu IP, klepněte na tlačítko Přidat, klepněte na tlačítko Dokončit, klepněte na tlačítko Zavříta klepněte na tlačítko OK.
  3. Zásady zabezpečení protokolu IP v místním počítačiklepněte pravým tlačítkem myši, klepněte na příkaz Vytvořit zásadu zabezpečení protokolu IPa potom klepněte na tlačítko Další.
  4. V dialogovém okně Název zásady zabezpečení protokolu IP v poli název zadejte název pro zásady zabezpečení IP a pak klepněte na tlačítko Další.
  5. V dialogovém okně požadavky zabezpečené komunikace zrušte zaškrtnutí políčka Aktivovat pravidlo výchozí reakce a potom klepněte na tlačítko Další.
  6. Klepnutím zaškrtněte políčko Upravit vlastnosti a klepněte na tlačítko Dokončit.
  7. V dialogovém okně Nové vlastnosti zásad zabezpečení protokolu IP klepněte na tlačítko Přidat na kartě pravidla a potom klepněte na tlačítko Další.
  8. V dialogovém okně Koncový bod tunelového propojení klepněte na Toto pravidlo neurčuje tunelové propojenía klepněte na tlačítko Další.
  9. V dialogovém okně Typ sítě klepněte na tlačítko všechna síťová připojenía potom klepněte na tlačítko Další.
  10. V dialogovém okně Metody ověřování klepněte na přepínač použít tento řetězec k zabezpečení výměny klíčů (předsdílený klíč), zadejte předsdílený klíč a klepněte na tlačítko Další.
  11. V dialogovém okně Seznam filtrů IP klepněte na tlačítko Přidat, do pole název zadejte název seznamu filtrů IP, klepněte na tlačítko Přidata potom klepněte na tlačítko Další.
  12. V dialogovém okně Zdroj přenosu IP klepněte na Konkrétní adresu IP do pole adresa zdroje do pole IP adresa zadejte adresu Transport Control Protocol/Internet protokol (TCP/IP) ze zdrojového směrování systému Windows 2000 a serveru pro vzdálený přístup a potom klepněte na tlačítko Další.

    Poznámka: Zdrojová adresa používaná v každém systémem Windows 2000 směrování a vzdálený přístup koncový bod serveru se musí shodovat. Například pokud zdrojová adresa 1.1.1.1, je nutné použít 1.1.1.1 jako zdrojová adresa na serverech se systémem Windows 2000 směrování a vzdálený přístup koncový bod.
  13. V dialogovém okně Cíli přenosu protokolem IP klepněte na položku Určená adresa IP v poli cílové adresy IP , zadejte adresu TCP/IP určení směrování systému Windows 2000 a serveru pro vzdálený přístup a klepněte na tlačítko Další.

    Poznámka: Cílová adresa, který se používá na každý systémem Windows 2000 směrování a vzdálený přístup koncový bod serveru se musí shodovat. Například pokud cílovou adresu 2.2.2.2, je nutné použít 2.2.2.2 jako cílová adresa na serverech se systémem Windows 2000 směrování a vzdálený přístup koncový bod.
  14. V dialogovém okně Typ protokolu IP klepněte na možnost UDP v rozevíracím seznamu Vyberte typ protokolu a klepněte na tlačítko Další.
  15. Z tohoto portu, klepněte na tlačítko v dialogovém okně Portu protokolu IP typu 1701 do pole z tohoto portu klepněte na jakýkoli porta klepněte na tlačítko Další.
  16. Klepnutím zaškrtněte políčko Upravit vlastnosti a klepněte na tlačítko Dokončit, klepněte na zrcadlený . Také najít shodné pakety s přesně opačným zdrojové a cílové adresy zaškrtnutí políčka v dialogovém okně Vlastnosti filtru .
  17. Klepněte na tlačítko OKa potom klepněte na tlačítko Zavřít.
  18. V dialogovém okně Seznam filtrů IP klepněte na filtr, který jste právě vytvořili a potom klepněte na tlačítko Další.
  19. V dialogovém okně Akce filtru klepněte na tlačítko Přidata potom vytvořit novou akci filtru, který určuje, které algoritmy integrity a šifrování bude použit.

    Poznámka: Tato nová akce filtru musí mít funkci "Přijímat nezabezpečenou komunikaci, ale vždy odpovídat pomocí protokolu IPSec" zakázán z důvodu zvýšení zabezpečení.
  20. Klepněte na tlačítko Další, klepněte na tlačítko Dokončita potom klepněte na tlačítko Zavřít.
  21. Klepněte pravým tlačítkem myši zásady protokolu IPSec, který jste právě vytvořili a potom klepněte na tlačítko přiřadit.
Poznámka: Systémem Windows 2000 směrování a vzdálený přístup koncový bod servery je nutné nakonfigurovat stejným způsobem. Filtrování protokolu IPSec je zobrazeno z jedné strany připojení, když je nastavena na prvním serveru systémem Windows 2000 směrování a vzdálený přístup koncový bod a pak repliky filtru protokolu IPSec je vytvořen druhý systémem Windows 2000 směrování a vzdálený přístup koncový bod serveru. Podle příkladu je popsáno dříve v tomto článku, pokud je první systémem Windows 2000 server směrování a vzdálený přístup koncový bod adresy TCP/IP 1.1.1.1 a druhého systémem Windows 2000 směrování a vzdálený přístup koncového serveru obsahuje adresu TCP/IP 2.2.2.2, filtr by byl vytvořen v rámci zásady IPSec na serverech se systémem Windows 2000 směrování a vzdálený přístup koncový bod se zdrojovou adresou 1.1.1.1a s cílovou adresou 2.2.2.2. To umožňuje buď systémem Windows 2000 směrování a vzdálený přístup koncový bod serveru k navázání připojení.

Jak nakonfigurovat zásady protokolu IPSec pro přijímání připojení pomocí více předsdílených klíčů nebo čas

Po vytvoření zásady pomocí filtru pomocí předsdíleného klíče je nutné vytvořit dodatečné pravidlo v rámci zásady protokolu IPSec pro jiné připojení, která vyžadují různé předsdílených klíčů nebo CAs.

Další informace o automatické filtry vytvořené systémem Windows 2000, které používat certifikační autority klepněte na následující číslo článku databáze Microsoft Knowledge Base:
248750 Popis filtru automaticky vytvořen pro použití s protokolem L2TP/IPSec
253498 Postup instalace certifikátu pro použití zabezpečení IP


Společnost Microsoft nepodporuje předsdílené klíče pro virtuální privátní sítě připojení L2TP/IPSec nebo vzdálenými klienty z následujících důvodů:
  • Je zabezpečený protokol předměty na dobře známé používání nezabezpečených problém výběrem hesel. Publikované útoky ukázaly odhalit slabé předsdílené klíče.
  • Není bezpečně zavést. Vzhledem k tomu, že uživatel, který je Konfigurace předsdíleného klíče vyžaduje přístup k bráně společnosti, mnoho uživatelů to bude vědět a stává se "skupiny předsdílený klíč." Dlouho předsdílený klíč téměř zcela jistě musel být zapsat. Přístup jednotlivých počítačů nelze odvolat, dokud celé skupiny bylo přepnutí do nové předsdílený klíč.
  • Microsoft má zdokumentované v nápovědě, resource kit kapitol a v článku databáze Microsoft Knowledge Base 248711, Windows 2000 IPSec předsdílený klíč je poskytován pouze pro dodržování specifikace RFC pro zkoušky vzájemné operační součinnosti a spolupráce, kde zabezpečení se netýká. Předsdílený klíč je uložen v místním registru, který pouze místní správci mají přístup ke čtení, ale místní správci budou muset znát jej a nastavte ji. Proto každý místní správce může v tématu v budoucnu nebo jej změnit.
  • Náklady podpory použití předsdíleného klíče pro zákazníky a pro společnost Microsoft by měly být vysoké.
  • Získání certifikátů počítače se systémem Windows 2000 může být stejně snadné jako požadavek na webovou stránku nebo ještě jednodušší pomocí automatického systému Windows 2000 Zásady skupiny, pokud klient se systémem Windows 2000 je členem domény Windows 2000. Obvykle se jedná o nejbezpečnější metodu pro nasazení sítě VPN založené na protokolu IPSec.
Pomoc společnosti Microsoft VPN L2TP/IPSec tunelů brána brána s předsdíleným klíčem vzhledem k tomu, že je nutné jej nakonfigurovat místně na této brány velmi dobrá brána správce na základě za statické IP adresy. Tunelová propojení protokolu IPSec jsou podporovány pouze použití statické adresy IP a pro zásady založené na adresu voliče pouze, není port a protokol. Doporučujeme použít protokol L2TP/IPSec brány brány. Pomocí režimu tunelového propojení IPSec brány brány pouze v případě, že připojení L2TP/IPSec není možnost.

Vlastnosti

ID článku: 240262 - Poslední aktualizace: 6. února 2014 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbenv kbhowto kbnetwork kbmt KB240262 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 240262

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com