Τρόπος ρύθμισης των παραμέτρων μιας σύνδεσης L2TP/IPSec με χρήση του ελέγχου ταυτότητας Preshared κλειδιού

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 240262 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ενημέρωση
Αυτό το άρθρο ισχύει για τα Windows 2000.Υποστήριξη για τα Windows 2000 λήγει στις 13 Ιουλίου, 2010.Για ναWindows 2000 τερματισμός υποστήριξης Solution Centerείναι ένα σημείο εκκίνησης για το σχεδιασμό σας στρατηγικής μετεγκατάστασης από τα Windows 2000. Για περισσότερες πληροφορίες ανατρέξτε στοΗ πολιτική κύκλου ζωής υποστήριξης της Microsoft.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΕΙΣΑΓΩΓΗ

Τα Windows 2000 δημιουργούν αυτόματα μια πολιτική ασφαλείας πρωτοκόλλου Internet (IPSec) που χρησιμοποιείται με το πρωτόκολλο Layer 2 Tunneling Protocol (L2TP) / συνδέσεις IPSec που απαιτεί ένα πιστοποιητικό για έλεγχο ταυτότητας της ανταλλαγής κλειδιών Internet (IKE). Η Microsoft υποστηρίζει εφαρμογές πύλης προς πύλη εικονικού ιδιωτικού δικτύου (VPN) L2TP/IPSec, χρησιμοποιώντας ένα κλειδί preshare για έλεγχο ταυτότητας IKE. Ωστόσο, η Microsoft δεν υποστηρίζει χρησιμοποιώντας ένα κλειδί pre-share για τον έλεγχο ταυτότητας IKE σε συνδέσεις υπολογιστή-πελάτη απομακρυσμένης πρόσβασης L2TP/IPSec. Τα Windows 2000 είναι συμβατή με IKE RFC 2409 και σας επιτρέπει να εφαρμόσουν pre-share κλειδί ελέγχου ταυτότητας IKE σε συνδέσεις υπολογιστή-πελάτη απομακρυσμένης πρόσβασης L2TP/IPSec. Ωστόσο, συνιστούμε να χρησιμοποιήσετε αυτήν την υλοποίηση για τον έλεγχο μόνο.

Για να υλοποιήσετε το ήδη κοινόχρηστο μέθοδο ελέγχου ταυτότητας κλειδιών για χρήση με μια σύνδεση L2TP/IPSec:
  • Πρέπει να προσθέσετε την τιμή μητρώου ProhibitIpSec και οι δύο υπολογιστές απόληξης που βασίζεται στα Windows 2000.
  • Πρέπει να ρυθμίσετε με μη αυτόματο τρόπο μια πολιτική IPSec πριν να μπορεί να πραγματοποιηθεί μια σύνδεση L2TP/IPSec μεταξύ δύο υπολογιστών με Windows 2000.
Αυτό το άρθρο περιγράφει τον τρόπο ρύθμισης δύο που βασίζεται σε Windows 2000 υπηρεσία δρομολόγησης και απομακρυσμένης πρόσβασης διακομιστές οι οποίοι είναι συνδεδεμένοι μέσω τοπικού δικτύου (LAN) για να χρησιμοποιήσετε μια σύνδεση L2TP/IPSec με έλεγχο ταυτότητας ήδη κοινόχρηστου κλειδιού. Επίσης περιλαμβάνονται είναι πληροφορίες σχετικά με τον τρόπο ρύθμισης παραμέτρων μιας πολιτικής IPSec για να αποδεχτεί τις συνδέσεις χρησιμοποιώντας πολλά ήδη κοινόχρηστα κλειδιά ή αρχές έκδοσης πιστοποιητικών.

Περισσότερες πληροφορίες

ΣημαντικόΑυτή ενότητα, μέθοδο ή εργασία περιέχει βήματα που θα σας πληροφορήσει πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου προτού το τροποποιήσετε. Με αυτόν τον τρόπο, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

Για να ρυθμίσετε τις παραμέτρους δύο που βασίζεται σε Windows 2000 υπηρεσία δρομολόγησης και απομακρυσμένης πρόσβασης διακομιστές οι οποίοι είναι συνδεδεμένοι μέσω τοπικού Δικτύου για να χρησιμοποιήσετε μια σύνδεση L2TP/IPSec με έλεγχο ταυτότητας ήδη κοινόχρηστου κλειδιού, πρέπει να προσθέσετε την τιμή μητρώου ProhibitIpSec σε κάθε υπολογιστή του τελικού σημείου που βασίζεται σε Windows 2000 μιας σύνδεσης L2TP/IPSec, για να αποτρέψετε τη δημιουργία αυτόματου φίλτρου για την κυκλοφορία L2TP/IPSec.

Όταν η τιμή μητρώου ProhibitIpSec έχει οριστεί σε 1, ο υπολογιστής σας που βασίζεται στα Windows 2000 δεν δημιουργεί το αυτόματο φίλτρο που χρησιμοποιεί έλεγχο ταυτότητας Πιστοποιητικών. Αντίθετα, ελέγχει για έναν τοπικό ή πολιτική Active Directory IPSec.

Για να προσθέσετε την τιμή μητρώου ProhibitIpSec στον υπολογιστή σας που βασίζεται στα Windows 2000, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPERegedt32, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, κάντε κλικ στο κουμπίΠροσθήκη τιμής.
  4. ΣτοΌνομα τιμήςπληκτρολογήστεProhibitIpSec.
  5. ΣτοΤύπος δεδομένωνλίστα, κάντε κλικ στο κουμπίReg_DWORD, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  6. ΣτοDATAπληκτρολογήστε1, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  7. Κλείστε τον Επεξεργαστή Μητρώου (Registry Editor) και στη συνέχεια κάντε επανεκκίνηση του υπολογιστή σας.

Τρόπος δημιουργίας μιας πολιτικής IPSec για χρήση με τις συνδέσεις L2TP/IPSec, χρησιμοποιώντας ένα ήδη κοινόχρηστο κλειδί

ΣΗΜΕΙΩΣΗΗ ακόλουθη διαδικασία προϋποθέτει ότι η τιμή μητρώου ProhibitIpSec προστίθεται με τα Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης τελικού σημείου διακομιστές και ότι έχει γίνει επανεκκίνηση του με τα Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης τελικού σημείου διακομιστές.
  1. Κάντε κλικStartΚάντε κλικΕκτέλεσηTYPEMMC, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  2. Κάντε κλικΚονσόλαΚάντε κλικΠροσθήκη/Κατάργηση συμπληρωματικού προγράμματοςΚάντε κλικADDΚάντε κλικΔιαχείριση πολιτικών ασφαλείας IPΚάντε κλικADDΚάντε κλικΦινλανδικάΚάντε κλικClose (Κλείσιμο), και στη συνέχεια κάντε κλικ στο κουμπίOk.
  3. Κάντε δεξιό κλικ στο στοιχείοΠολιτικές ασφαλείας IP σε Τοπικός υπολογιστήςΚάντε κλικΔημιουργία πολιτικής ασφαλείας IP, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  4. ΣτοΌνομα πολιτικής ασφαλείας IPτο παράθυρο διαλόγου, πληκτρολογήστε το όνομα για την πολιτική ασφαλείας IP με τοNAMEπλαίσιο και στη συνέχεια κάντε κλικΕπόμενο.
  5. ΣτοΑιτήσεις για ασφαλή επικοινωνίαπαράθυρο διαλόγου, κάντε κλικ για να καταργήσετε την επιλογή τουΕνεργοποίηση του προεπιλεγμένου κανόνα απόκρισηςπλαίσιο ελέγχου και, στη συνέχεια, κάντε κλικ στο κουμπίΕπόμενο.
  6. Κάντε κλικ για να επιλέξετε τοΕπεξεργασία ιδιοτήτωνπλαίσιο ελέγχου και, στη συνέχεια, κάντε κλικ στο κουμπίΦινλανδικά.
  7. ΣτοΝέες ιδιότητες πολιτικής ασφαλείας ΙΡπαράθυρο διαλόγου, κάντε κλικ στο κουμπίADDΣτο διακομιστήΚανόνες (Rules)καρτέλα και στη συνέχεια κάντε κλικΕπόμενο.
  8. ΣτοΑπόληξη διοχέτευσηςπαράθυρο διαλόγου, κάντε κλικ στο κουμπίΑυτός ο κανόνας δεν καθορίζει σήραγγα, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  9. ΣτοΤύπος δικτύουπαράθυρο διαλόγου, κάντε κλικ στο κουμπίΌλες οι συνδέσεις δικτύου, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  10. ΣτοΗ μέθοδος ελέγχου ταυτότηταςπαράθυρο διαλόγου, κάντε κλικ στο κουμπίΧρήση αυτής της συμβολοσειράς για προστασία της ανταλλαγής κλειδιών (για ήδη κοινόχρηστο κλειδί), πληκτρολογήστε ένα ήδη κοινόχρηστο κλειδί και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  11. ΣτοΛίστα φίλτρων IPπαράθυρο διαλόγου, κάντε κλικ στο κουμπίADD, πληκτρολογήστε ένα όνομα για τη λίστα φίλτρων IP με τοNAMEπλαίσιο, κάντε κλικ στο κουμπίADD, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  12. ΣτοΠροέλευση κυκλοφορίας IPπαράθυρο διαλόγου, κάντε κλικ στο κουμπίΗ επιλογή συγκεκριμένη διεύθυνση IPΣτοΔιεύθυνση προέλευσηςΠληκτρολογήστε τη διεύθυνση στο διακομιστή που βασίζεται στα Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης προέλευσης στο μεταφοράς ελέγχου Protocol/Internet Protocol (TCP/IP) τουΔιεύθυνση IP (IP Address)πλαίσιο και στη συνέχεια κάντε κλικΕπόμενο.

    ΣΗΜΕΙΩΣΗΗ διεύθυνση προέλευσης που χρησιμοποιείται σε κάθε που βασίζεται σε Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης απολήξεων διακομιστή πρέπει να συμφωνούν. For example, if the source address is 1.1.1.1, you must use 1.1.1.1 as a source address on both Windows 2000-based Routing and Remote Access endpoint servers.
  13. ΣτοIP Traffic Destinationπαράθυρο διαλόγου, κάντε κλικ στο κουμπίA specific IP AddressΣτοDestination addressbox, type the TCP/IP address of the destination Windows 2000-based Routing and Remote Access server, and then clickΕπόμενο.

    ΣΗΜΕΙΩΣΗThe destination address that is used on each Windows 2000-based Routing and Remote Access endpoint server must match. For example, if the destination address is 2.2.2.2, you must use 2.2.2.2 as a destination address on both Windows 2000-based Routing and Remote Access endpoint servers.
  14. ΣτοIP Protocol Typeπαράθυρο διαλόγου, κάντε κλικ στο κουμπίUDPΣτοSelect a protocol typeπλαίσιο και στη συνέχεια κάντε κλικΕπόμενο.
  15. ΣτοIP Protocol Portπαράθυρο διαλόγου, κάντε κλικ στο κουμπίFrom this portTYPE1701ΣτοFrom this portπλαίσιο, κάντε κλικ στο κουμπίTo any port, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  16. Κάντε κλικ για να επιλέξετε τοEdit propertiesπλαίσιο ελέγχου, κάντε κλικ στο κουμπίΦινλανδικά, και στη συνέχεια κάντε κλικ για να επιλέξετε τοMirrored. Also match packets with the exact opposite source and destination addressesτο πλαίσιο ελέγχου με τοFilter Propertiesπαράθυρο διαλόγου.
  17. Κάντε κλικOk, και στη συνέχεια κάντε κλικ στο κουμπίClose (Κλείσιμο).
  18. ΣτοIP Filter Listdialog box, click the IP filter that you just created, and then clickΕπόμενο.
  19. ΣτοFilter Actionπαράθυρο διαλόγου, κάντε κλικ στο κουμπίADD, and then create a new filter action that specifies which integrity and encryption algorithms will be used.

    ΣΗΜΕΙΩΣΗThis new filter action must have the "Accept unsecured communication, but always respond using IPSec" feature disabled to improve security.
  20. Κάντε κλικΕπόμενοΚάντε κλικΦινλανδικά, και στη συνέχεια κάντε κλικ στο κουμπίClose (Κλείσιμο).
  21. Κάντε δεξιό κλικ στην πολιτική IPSec που μόλις δημιουργήσατε και στη συνέχεια κάντε κλικ στο κουμπίΑντιστοίχιση.
ΣΗΜΕΙΩΣΗΠρέπει να ρυθμίσετε τους διακομιστές απόληξη και που βασίζεται σε Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης με τον ίδιο τρόπο. Το φίλτρο IPSec προβάλλεται από τη μία πλευρά της σύνδεσης όταν έχει εγκατασταθεί στον πρώτο διακομιστή που βασίζεται στα Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης τελικού σημείου και, στη συνέχεια, δημιουργείται μια ρεπλίκα από το φίλτρο IPSec στο διακομιστή απόληξη δεύτερος με Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης. Με βάση το παράδειγμα που περιγράφεται παραπάνω σε αυτό το άρθρο, εάν ο πρώτος που βασίζεται σε Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης τελικού σημείου διακομιστής έχει μια διεύθυνση TCP/IP 1.1.1.1 και η δεύτερη που βασίζεται σε Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης απόληξη διακομιστής έχει μια διεύθυνση TCP/IP του 2.2.2.2, ένα φίλτρο που θα δημιουργηθούν εντός της πολιτικής IPSec σε διακομιστές απόληξη και που βασίζεται σε Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης με διεύθυνση προέλευσης του 1.1.1.1 και μια διεύθυνση προορισμού του 2.2.2.2. Αυτό επιτρέπει είτε με τα Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης απολήξεων διακομιστή για την προετοιμασία της σύνδεσης.

Τρόπος ρύθμισης των παραμέτρων μιας πολιτικής IPSec για να αποδεχτεί τις συνδέσεις χρησιμοποιώντας πολλά ήδη κοινόχρηστα κλειδιά ή τις αρχές έκδοσης πιστοποιητικών

Αφού δημιουργηθεί μια πολιτική με ένα φίλτρο, χρησιμοποιώντας ένα ήδη κοινόχρηστο κλειδί, πρέπει να δημιουργήσετε έναν κανόνα πρόσθετες εντός της πολιτικής IPSec για άλλες συνδέσεις που απαιτούν διαφορετική ήδη κοινόχρηστα κλειδιά ή τις αρχές έκδοσης πιστοποιητικών.

Για πρόσθετες πληροφορίες σχετικά με τα αυτόματα φίλτρα που δημιουργούνται από τα Windows 2000 που χρησιμοποιούν αρχές έκδοσης πιστοποιητικών, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
248750Περιγραφή του αυτόματου φίλτρου δημιουργούνται για χρήση με L2TP/IPSec
253498Πώς να εγκαταστήσετε ένα πιστοποιητικό για χρήση με ασφάλεια IP


Microsoft δεν υποστηρίζει ήδη κοινόχρηστα κλειδιά για VPN L2TP/IPSec ή απομακρυσμένα προγράμματα-πελάτες για τους εξής λόγους:
  • Θέματα ένα ασφαλές πρωτόκολλο, ενός προβλήματος γνωστών μη ασφαλή χρήση, επιλέγοντας τους κωδικούς πρόσβασης. Δημοσιευμένες επιθέσεις έχουν φαίνεται να αποκαλύψετε ασθενή ήδη κοινόχρηστα κλειδιά.
  • Δεν είναι ασφαλής και ανάπτυξης. Επειδή απαιτείται πρόσβαση στην πύλη της εταιρείας από το χρήστη ο οποίος ρυθμίζει τις παραμέτρους ενός ήδη κοινόχρηστου κλειδιού, πολλοί χρήστες θα γνωρίζουν αυτό και γίνεται μια "ομάδα ήδη κοινόχρηστο κλειδί". Μακρύ ήδη κοινόχρηστο κλειδί σχεδόν σίγουρα θα έπρεπε να εγγραφούν προς τα κάτω. Πρόσβαση σε μεμονωμένο υπολογιστή δεν μπορεί να ανακληθεί, μέχρι ολόκληρη ομάδα είχε μεταβεί σε ένα νέο, ήδη κοινόχρηστο κλειδί.
  • Ως Microsoft έχει τεκμηριωθεί στη Βοήθεια, πόρος κεφάλαια κιτ και στον αριθμό άρθρου της Γνωσιακής Βάσης της Microsoft 248711, τα Windows IPSec 2000 preshared κλειδιού παρέχεται μόνο για συμφωνία με RFC, για έλεγχο διαλειτουργικότητας και διαλειτουργικότητα όπου ασφαλείας δεν υπάρχει πρόβλημα. The preshared key is stored in the local registry which only local administrators have read access to, but local administrators have to know it and set it. Therefore, any local administrator can see it in the future or change it.
  • The support cost of using a preshared key both for customers and for Microsoft would be high.
  • Getting a Windows 2000-based computer certificates can be as easy as a Web page request, or even easier by using Windows 2000 Group Policy autoenrollment when the Windows 2000-based client is a member of a Windows 2000 domain. This is generally the most secure method for deploying IPSec-based VPN.
Microsoft does support VPN L2TP/IPSec tunnels gateway-to-gateway with a preshared key because it must be configured locally on that gateway by a very knowledgeable gateway administrator on a per-static IP adddress basis. IPSec tunnels are only supported where static IP addresses are used, and for address-based policy selectors only, not port and protocol. We recommend that you use L2TP/IPSec for gateway-to-gateway. Use IPSec tunnel mode for gateway-to-gateway only if L2TP/IPSec is not an option.

Ιδιότητες

Αναγν. άρθρου: 240262 - Τελευταία αναθεώρηση: Κυριακή, 19 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Λέξεις-κλειδιά: 
kbenv kbhowto kbnetwork kbmt KB240262 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:240262

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com