Konfiguration: L2TP/IPSec-Verbindungen mit vorinstall. Schlüssel

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 240262 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D41896
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
240262 How to configure an L2TP/IPSec connection by using Preshared Key Authentication
Wichtig Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen kann, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Windows 2000 erstellt automatisch eine Internet Protocol Security-Richtlinie (IPSec-Richtlinie) für die Verwendung in Verbindung mit Layer 2 Tunneling Protocol (L2TP)/IPSec-Verbindungen, die ein Zertifikat für die Internet Key Exchange (IKE)-Authentifizierung erfordern. Microsoft unterstützt Gateway-zu-Gateway-VPN-Implementierungen (Virtual Private Network, VPN) mit dem L2TP/IPSec-Protokoll durch die Verwendung eines vorinstallierten Schlüssels für die IKE-Authentifizierung. Microsoft unterstützt die Verwendung von vorinstallierten Schlüsseln für die IKE-Authentifizierung jedoch nicht für L2TP/IPSec-Clientremoteverbindungen. Windows 2000 erfüllt die Anforderungen des RFC-Dokuments 2409 und ermöglicht die Implementierung eines vorinstallierten Schlüssels für die IKE-Authentifizierung bei L2TP/IPSec-Clientremoteverbindungen. Es wird jedoch empfohlen, diese Implementierung nur zu Testzwecken zu verwenden.

Gehen Sie folgendermaßen vor, um die Authentifizierungsmethode mit vorinstalliertem Schlüssel für L2TP/IPSec-Verbindungen zu implementieren:
  • Sie müssen den Registrierungswert "ProhibitIpSec" in die Registrierung beider Windows 2000-Endpunktcomputer einfügen.
  • Sie müssen manuell eine IPSec-Richtlinie konfigurieren, bevor eine L2TP/IPSec-Verbindung zwischen zwei Windows 2000-Computern aufgebaut werden kann.
In diesem Artikel wird beschrieben, wie Sie zwei RRAS-Server auf Windows 2000-Basis einrichten können, die über ein lokales Netzwerk (LAN) miteinander verbunden sind und eine L2TP/IPSec-Verbindung mit Authentifizierung über einen vorinstallierten Schlüssel verwenden. Außerdem erhalten Sie in diesem Artikel Informationen dazu, wie Sie eine IPSec-Richtlinie so konfigurieren können, dass Verbindungen mit mehreren vorinstallierten Schlüsseln oder Zertifizierungsstellen akzeptiert werden.

Weitere Informationen

Achtung Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
Um zwei Windows 2000-basierte RRAS-Server, die über ein LAN verbunden sind, für die Verwendung einer L2TP/IPSec-Verbindung mit Authentifizierung durch einen vorinstallierten Schlüssel zu konfigurieren, müssen Sie den Registrierungswert "ProhibitIpSec" in die Registrierung beider Windows 2000-basierten Endpunktcomputer einer L2TP/IPSec-Verbindung einfügen. Damit verhindern Sie, dass der automatische Filter für L2TP/IPSec-Verkehr erstellt wird.

Ist der Registrierungswert "ProhibitIpSec" auf 1 gesetzt, erstellt Ihr Computer auf Windows 2000-Basis den automatischen Filter für die Authentifizierung über eine Zertifizierungsstelle nicht. Stattdessen sucht er nach einer lokalen oder in Active Directory definierten IPSec-Richtlinie.

Gehen Sie folgendermaßen vor, um den Registrierungswert "ProhibitIpSec" auf einem Computer mit Windows 2000 festzulegen:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedt32 ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen.
  4. Im Feld Name geben Sie ProhibitIpSec ein.
  5. Klicken Sie im Feld Typ auf REG_DWORD und dann auf OK.
  6. Im Feld Wert geben Sie 1 ein. Klicken Sie dann auf OK.
  7. Beenden Sie den Registrierungseditor, und starten Sie den Computer neu.

Erstellen einer IPSec-Richtlinie für die Anwendung auf L2TP/IPSec-Verbindungen, die mit einem vorinstallierten Schlüssel arbeiten

Hinweis Bei dem folgenden Verfahren wird davon ausgegangen, dass der Registrierungswert "ProhibitIpSec" bereits in die Registrierung beider RRAS-Endpunktserver auf Windows 2000-Basis eingefügt wurde, und dass diese RRAS-Endpunktserver danach neu gestartet wurden.
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf Konsole, auf Snap-In hinzufügen/entfernen, auf Hinzufügen, auf IP-Sicherheitsrichtlinienverwaltung, auf Hinzufügen, auf Fertig stellen, auf Schließen und dann auf OK.
  3. Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinien auf lokalem Computer. Klicken Sie auf IP-Sicherheitsrichtlinie erstellen und dann auf Weiter.
  4. Im Dialogfeld IP-Sicherheitsrichtlinienname geben Sie den Namen der IP-Sicherheitsrichtlinie im Feld Name ein, und klicken Sie dann auf Weiter.
  5. Deaktivieren Sie im Dialogfeld Anforderungen für sichere Kommunikation das Kontrollkästchen Die Standardantwortregel aktivieren, und klicken Sie dann auf Weiter.
  6. Aktivieren Sie das Kontrollkästchen Eigenschaften bearbeiten, und klicken Sie dann auf Fertig stellen.
  7. Klicken Sie auf der Registerkarte Regeln des Dialogfeldes Neue IP-Sicherheitsrichtlinie auf Hinzufügen und dann auf Weiter.
  8. Klicken Sie im Dialogfeld Tunnelendpunkt auf Diese Regel spezifiziert keinen Tunnel und dann auf Weiter.
  9. Klicken Sie im Dialogfeld Netzwerktyp auf Alle Netzwerkverbindungen und dann auf Weiter.
  10. Klicken Sie im Dialogfeld Authentifizierungsmethode auf Diese Zeichenkette zum Schutz des Schlüsselaustauschs verwenden, geben Sie einen vorinstallierten Schlüssel ein, und klicken Sie dann auf Weiter.
  11. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen, geben Sie einen Namen für die IP-Filterliste in das Feld Name ein, klicken Sie auf Hinzufügen und dann auf Weiter.
  12. Klicken Sie im Feld Quelladresse des Dialogfeldes Quelle des IP-Verkehrs auf Spezielle IP-Adresse, geben Sie die TCP/IP-Adresse des als Quelle dienenden Windows 2000-RRAS-Servers im Feld IP-Adresse ein, und klicken Sie dann auf Weiter.

    Hinweis Die Quelladressen auf beiden Windows 2000-RRAS-Endpunktservern müssen identisch sein. Lautet die Quelladresse beispielsweise 1.1.1.1, müssen Sie auf beiden Windows 2000-RRAS-Endpunktservern die Quelladresse 1.1.1.1 verwenden.
  13. Klicken Sie im Dialogfeld Ziel des IP-Verkehrs im Feld Zieladresse auf Spezielle IP-Adresse, geben Sie die TCP/IP-Adresse des als Ziel dienenden Windows 2000-RRAS-Servers ein, und klicken Sie dann auf Weiter.

    Hinweis Die Zieladressen auf beiden Windows 2000-RRAS-Endpunktservern müssen identisch sein. Lautet die Zieladresse beispielsweise 2.2.2.2, müssen Sie auf beiden Windows 2000-RRAS-Endpunktservern die Zieladresse 2.2.2.2 verwenden.
  14. Klicken Sie im Feld Legen Sie den IP-Protokolltyp fest des Dialogfeldes IP-Protokolltyp auf UDP. Klicken Sie dann auf Weiter.
  15. Klicken Sie im Dialogfeld Port des IP-Protokolls auf Von diesem Port, geben Sie 1701 im Feld Von diesem Port ein. Klicken Sie jetzt auf Zu jedem Port und dann auf Weiter.
  16. Aktivieren Sie das Kontrollkästchen Eigenschaften bearbeiten, klicken Sie auf Fertig stellen, und aktivieren Sie anschließend das Kontrollkästchen Diese Filterangabe wird auch auf Pakete mit gegenteiliger Quelle und IP-Zieladressen angewendet im Dialogfeld Filtereigenschaften.
  17. Klicken Sie auf OK und anschließend auf Schließen.
  18. Klicken Sie im Dialogfeld IP-Filterliste auf gerade erstellten IP-Filter, und klicken Sie dann auf Weiter.
  19. Klicken Sie im Dialogfeld Filteraktion auf Hinzufügen, und erstellen Sie eine neue Filteraktion, um die zu verwendenden Integritäts- und Verschlüsselungsalgorithmen anzugeben.

    Hinweis Deaktivieren Sie die Funktion "Unsichere Kommunikation annehmen, aber immer mit IPSec antworten" für die neue Filteraktion, um die Sicherheit zu erhöhen.
  20. Klicken Sie auf Weiter, auf Fertig stellen und auf Schließen.
  21. Klicken Sie mit der rechten Maustaste auf die gerade erstellte IPSec-Richtlinie, und klicken Sie dann auf Zuweisen.
Hinweis Sie müssen beide Windows 2000-RRAS-Endpunktserver auf exakt die gleiche Art und Weise konfigurieren. Der IPSec-Filter wird von einer Seite der Verbindung eingesehen, wenn er auf dem ersten Windows 2000-RRAS-Endpunktserver eingerichtet wird, und dann wird ein Replikat des IPSec-Filters auf dem zweiten Windows 2000-RRAS-Endpunktserver erstellt. Hat der erste Windows 2000-RRAS-Endpunktserver gemäß dem Beispiel aus diesem Artikel die TCP/IP-Adresse 1.1.1.1 und hat der zweite Windows 2000-RRAS-Endpunktserver die TCP/IP-Adresse 2.2.2.2, wird auf beiden Servern in der IPSec-Richtlinie ein Filter mit der Quelladresse 1.1.1.1 und der Zieladresse 2.2.2.2 erstellt. Dadurch ist gewährleistet, dass beide Windows 2000-RRAS-Endpunktserver die Verbindung initiieren können.

Wie Sie eine IPSec-Richtlinie so konfigurieren können, dass Verbindungen mit mehreren vorinstallierten Schlüsseln oder Zertifizierungsstellen akzeptiert werden

Nachdem eine Richtlinie mit einem Filter erstellt wurde, der einen vorinstallierten Schlüssel verwendet, müssen Sie eine weitere Regel innerhalb der IPSec-Richtlinie erstellen, die für weitere Verbindungen gilt, für die andere vorinstallierte Schlüssel oder Zertifizierungsstellen erforderlich sind.

Weitere Informationen zu automatischen Filtern, die von Windows 2000-Computern erstellt werden, die Zertifizierungsstellen verwenden, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
248750 Beschreibung der für L2TP/IPSec erstellten IPSec-Richtlinie
253498 Installation eines Zertifikats für die IP-Sicherheit
Weitere Informationen finden Sie in der Anleitung zu IPSec-Websites auf der folgenden Website von Microsoft:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/ispstep.mspx


Microsoft unterstützt aus den folgenden Gründen keine vorinstallierten Schlüssel für L2TP/IPSec-VPN-Verbindungen oder Remoteclients:
  • Sie setzen ein sicheres Protokoll einem bekannten Problem aus, nämlich der Auswahl und Verwendung von unsicheren Kennwörtern. Schwache Kennwörter sind das Ziel einer breiten Palette von Angriffen.
  • Sie lassen sich nicht sicher bereitstellen. Da der Benutzer für die Konfiguration eines vorinstallierten Schlüssels Zugriff auf das Firmengateway benötigt, erhalten viele Benutzer Kenntnis davon, und der Schlüssel wird zu einem "vorinstallierten Schlüssel der Gruppe". Ein langer vordefinierter Schlüssel müsste wahrscheinlich notiert werden. Die Zugriffsberechtigung für die einzelnen Computer kann erst dann entzogen werden, wenn die ganze Gruppe einen neuen vorinstallierten Schlüssel verwendet.
  • Wie in der Hilfe, in den Hilfethemen des Resource Kit und im Microsoft Knowledge Base-Artikel 248711 angegeben, stellt Microsoft den vorinstallierten Schlüssel für IPSec-Verbindungen unter Windows 2000 nur aus Gründen der RFC-Konformität, für die Interoperabilitätsprüfung und aus Interoperabilitätsgründen bereit. Der vorinstallierte Schlüssel wird in der lokalen Registrierung gespeichert, auf die nur lokale Administratoren Lesezugriff haben. Diese müssen den Schlüssel jedoch kennen und einstellen können. Daher kann zukünftig jeder lokale Administrator den Schlüssel anzeigen oder ändern.
  • Die Supportkosten für die Verwendung eines vorinstallierten Schlüssels wären für die Kunden und für Microsoft sehr hoch.
  • Das Beschaffen der Zertifikate eines Windows 2000-Computers ist einfach mit einer Webanforderung möglich oder sogar noch einfacher durch Verwendung der automatischen Registrierung in der Windows 2000-Gruppenrichtlinie, wenn der Windows 2000-Client Mitglied einer Windows 2000-Domäne ist. Dies ist im Allgemeinen das sicherste Verfahren für die Bereitstellung eines IPSec-basierten VPN.
Microsoft unterstützt jedoch L2TP/IPSec-VPN-Tunnel von Gateway zu Gateway mit einem vorinstallierten Schlüssel, da der Schlüssel in diesem Fall lokal von einem erfahrenen Gateway-Administrator auf der Basis statischer IP-Adressen konfiguriert werden muss. IPSec-Tunnel werden nur dort unterstützt, wo statische IP-Adressen verwendet werden. Außerdem werden sie nur für die adressbasierte Richtlinienauswahl (nicht für Ports und Protokolle) unterstützt. Microsoft empfiehlt, L2TP/IPSec auf Gateway-zu-Gateway-Basis zu verwenden. Verwenden Sie den IPSec-Tunnelmodus nur auf Gateway-zu-Gateway-Basis, wenn L2TP/IPSec nicht eingesetzt werden kann.

Eigenschaften

Artikel-ID: 240262 - Geändert am: Freitag, 17. Februar 2006 - Version: 4.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Keywords: 
kbenv kbhowto kbnetwork KB240262
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com