Cara mengkonfigurasi sambungan L2TP/IPSec dengan menggunakan otentikasi kunci Preshared

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 240262 - Melihat produk di mana artikel ini berlaku.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Perbesar semua | Perkecil semua

Pada Halaman ini

PENDAHULUAN

Microsoft Windows 2000 akan secara otomatis membuat keamanan protokol Internet (IPSec) kebijakan yang digunakan dengan Layer 2 Tunneling Protocol (L2TP) / IPSec koneksi yang memerlukan sertifikat untuk Internet Key Exchange (IKE) otentikasi. Microsoft mendukung implementasi L2TP/IPSec gerbang-gerbang jaringan privat virtual (VPN) dengan menggunakan kunci preshare untuk IKE otentikasi. Namun, Microsoft tidak mendukung menggunakan kunci pre-share untuk IKE otentikasi pada sambungan klien akses remote L2TP/IPSec. Windows 2000 kompatibel dengan IKE RFC 2409 dan memungkinkan Anda menerapkan kunci pre-share untuk IKE otentikasi pada sambungan klien akses remote L2TP/IPSec. Namun, sebaiknya Anda menggunakan pelaksanaan ini untuk pengujian hanya.

Untuk menerapkan metode otentikasi kunci preshared untuk digunakan dengan sambungan L2TP/IPSec:
  • Anda harus menambahkan nilai registri ProhibitIpSec ke komputer berbasis Windows 2000 endpoint kedua.
  • Anda harus secara manual mengkonfigurasi kebijakan IPSec sebelum sambungan L2TP/IPSec dapat terbentuk antara dua komputer berbasis Windows 2000.
Artikel ini menjelaskan cara mengkonfigurasi dua berbasis Windows 2000 Routing dan layanan Akses Remote server yang terhubung ke jaringan Area lokal (LAN) untuk menggunakan sambungan L2TP/IPSec dengan otentikasi kunci preshared. Juga termasuk adalah informasi tentang cara mengkonfigurasi kebijakan IPSec untuk menerima koneksi dengan menggunakan beberapa tombol preshared atau CAs.

INFORMASI LEBIH LANJUT

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows

Untuk mengkonfigurasi dua berbasis Windows 2000 Routing dan layanan Akses Remote server yang terhubung LAN menggunakan koneksi L2TP/IPSec dengan preshared kunci otentikasi, Anda harus menambahkan nilai registri ProhibitIpSec untuk setiap komputer berbasis Windows 2000 endpoint L2TP/IPSec koneksi untuk mencegah otomatis filter untuk L2TP/IPSec lalu lintas sedang dibuat.

Ketika nilai registri ProhibitIpSec diset ke 1, komputer berbasis Windows 2000 Anda tidak membuat filter otomatis yang menggunakan otentikasi CA. Sebaliknya, cek untuk lokal atau Active Directory IPSec kebijakan.

Untuk menambahkan nilai registri ProhibitIpSec ke komputer berbasis Windows 2000 Anda, ikuti langkah berikut:
  1. Klik Mulai, klik Menjalankan, jenis Regedt32, lalu klik Oke.
  2. Temukan, dan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Pada Mengedit menu, klik Tambahkan nilai.
  4. Dalam Nama nilai kotak, jenis ProhibitIpSec.
  5. Dalam Jenis Data Daftar, klik REG_DWORD, lalu klik Oke.
  6. Dalam Data kotak, jenis 1, lalu klik Oke.
  7. Keluar dari Peninjau Suntingan Registri, dan kemudian restart komputer Anda.

Cara membuat IPSec kebijakan untuk digunakan dengan L2TP/IPSec koneksi dengan menggunakan kunci preshared

Catatan Prosedur berikut menganggap bahwa nilai registri ProhibitIpSec ditambahkan ke kedua berbasis Windows 2000 Routing dan akses jauh endpoint server, dan bahwa berbasis Windows 2000 Routing dan akses jauh endpoint server sudah direstart.
  1. Klik Mulai, klik Menjalankan, jenis MMC, lalu klik Oke.
  2. Klik Konsol, klik Tambah/Hapus Snap-in, klik Tambahkan, klik Manajemen kebijakan keamanan IP, klik Tambahkan, klik Menyelesaikan, klik Tutup, lalu klik Oke.
  3. Klik kanan Kebijakan keamanan IP pada komputer lokal, klik Membuat kebijakan keamanan IP, lalu klik Berikutnya.
  4. Dalam Nama kebijakan keamanan IP kotak dialog, ketik nama untuk kebijakan keamanan IP di Nama kotak, dan kemudian klik Berikutnya.
  5. Dalam Permintaan untuk komunikasi aman kotak dialog, klik untuk menghapus Mengaktifkan respon default aturan Periksa kotak, dan kemudian klik Berikutnya.
  6. Klik untuk memilih Mengedit properti Periksa kotak, dan kemudian klik Menyelesaikan.
  7. Dalam Kebijakan keamanan IP baru properti kotak dialog, klik Tambahkan pada Peraturan tab, dan kemudian klik Berikutnya.
  8. Dalam Terowongan Endpoint kotak dialog, klik Aturan ini tidak menentukan sebuah terowongan, lalu klik Berikutnya.
  9. Dalam Jenis jaringan kotak dialog, klik Semua sambungan jaringan, lalu klik Berikutnya.
  10. Dalam Metode otentikasi kotak dialog, klik Menggunakan string ini untuk melindungi pertukaran kunci (preshared kunci), ketik preshared kunci, dan kemudian klik Berikutnya.
  11. Dalam IP saringan kotak dialog, klik Tambahkan, ketik nama untuk daftar penyaring IP di Nama kotak, klik Tambahkan, lalu klik Berikutnya.
  12. Dalam Sumber lalu lintas IP kotak dialog, klik Alamat IP tertentu dalam Alamat sumber Ketik jenis transportasi Control Protocol/Internet Protocol (TCP/IP) alamat sumber server berbasis Windows 2000 Routing dan akses jauh di Alamat IP kotak, dan kemudian klik Berikutnya.

    Catatan Alamat sumber yang digunakan pada setiap Windows 2000 berbasis Routing dan akses jauh endpoint server harus cocok dengan. Misalnya, jika alamat sumber 1.1.1.1, Anda harus menggunakan 1.1.1.1 sebagai sumber alamat pada berbasis Windows 2000 Routing dan akses jauh endpoint server.
  13. Dalam Trafik IP tujuan kotak dialog, klik Alamat IP tertentu dalam Alamat tujuan kotak, ketik alamat TCP/IP tujuan berbasis Windows 2000 Routing dan akses Remote server, dan kemudian klik Berikutnya.

    Catatan Alamat tujuan yang digunakan pada setiap Windows 2000 berbasis Routing dan akses jauh endpoint server harus cocok dengan. Misalnya, jika alamat tujuan 2.2.2.2, Anda harus menggunakan 2.2.2.2 sebagai alamat tujuan berbasis Windows 2000 Routing dan akses jauh endpoint server.
  14. Dalam Tipe IP protokol kotak dialog, klik UDP dalam Pilih jenis protokol kotak, dan kemudian klik Berikutnya.
  15. Dalam Port protokol IP kotak dialog, klik Dari port ini, jenis 1701 dalam Dari port ini kotak, klik Untuk setiap pelabuhan, lalu klik Berikutnya.
  16. Klik untuk memilih Mengedit properti Periksa kotak, klik Menyelesaikan, dan kemudian klik untuk memilih Cermin. Juga cocok paket dengan tepat berlawanan alamat sumber dan tujuan centang kotak di Menyaring properti kotak dialog.
  17. Klik Oke, lalu klik Tutup.
  18. Dalam IP saringan kotak dialog, klik IP filter yang Anda hanya dibuat, dan kemudian klik Berikutnya.
  19. Dalam Penyaring tindakan kotak dialog, klik Tambahkan, dan kemudian membuat penyaring baru tindakan yang menentukan mana integritas dan enkripsi algoritma akan digunakan.

    Catatan Tindakan penyaring baru ini harus memiliki fitur "Menerima komunikasi yang tidak aman, tetapi selalu menanggapi menggunakan IPSec" dinonaktifkan untuk meningkatkan keamanan.
  20. Klik Berikutnya, klik Menyelesaikan, lalu klik Tutup.
  21. Klik kanan IPSec kebijakan yang Anda baru saja dibuat, dan kemudian klik Menetapkan.
Catatan Anda harus mengkonfigurasi berbasis Windows 2000 Routing dan akses jauh endpoint server dengan cara yang sama. IPSec filter dilihat dari satu sisi koneksi ketika itu diatur pada pertama berbasis Windows 2000 Routing dan akses jauh endpoint server, dan kemudian replika IPSec filter dibuat pada server endpoint kedua berbasis Windows 2000 Routing dan akses jauh. Berdasarkan contoh yang dijelaskan sebelumnya dalam artikel ini, jika pertama berbasis Windows 2000 Routing dan akses jauh endpoint server memiliki alamat TCP/IP yang 1.1.1.1, dan kedua berbasis Windows 2000 Routing dan akses jauh akhir server memiliki alamat TCP/IP 2.2.2.2, filter akan dibuat dalam kebijakan IPSec di berbasis Windows 2000 Routing dan akses jauh endpoint server dengan alamat sumber 1.1.1.1, dan alamat tujuan dari 2.2.2.2. Ini memungkinkan baik berbasis Windows 2000 Routing dan akses jauh endpoint server untuk memulai sambungan.

Cara mengkonfigurasi kebijakan IPSec untuk menerima koneksi dengan menggunakan beberapa preshared kunci atau CAs

Setelah kebijakan yang dibuat dengan filter dengan menggunakan kunci preshared, Anda harus membuat aturan tambahan dalam kebijakan IPSec untuk koneksi lain yang memerlukan kunci preshared yang berbeda atau CAs.

Untuk informasi tambahan tentang otomatis filter yang dibuat oleh Windows 2000 yang menggunakan CAs, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
248750Deskripsi otomatis filter yang dibuat untuk digunakan dengan L2TP/IPSec
253498 Cara menginstal sertifikat untuk penggunaan dengan keamanan IP


Microsoft tidak mendukung tombol preshared untuk L2TP/IPSec VPN atau jauh klien untuk alasan berikut:
  • Subyek protokol aman untuk penggunaan nonsecure terkenal masalah, memilih sandi. Serangan diterbitkan telah terbukti untuk mengungkapkan kunci preshared lemah.
  • Hal ini tidak aman deployable. Karena akses ke gateway perusahaan diperlukan oleh pengguna yang merupakan konfigurasi kunci preshared, banyak pengguna akan mengetahui hal ini, dan itu menjadi "preshared kunci grup." Kunci lama preshared akan hampir pasti harus ditulis. Akses komputer individu tidak akan dicabut sampai seluruh kelompok telah beralih ke preshared kunci baru.
  • Microsoft telah didokumentasikan dalam bantuan, resource kit bab, dan dalam Basis Pengetahuan Microsoft artikel nomor 248711, Windows 2000 IPSec preshared tombol yang disediakan hanya untuk RFC kepatuhan, untuk interoperabilitas pengujian, dan interoperabilitas di mana keamanan ini tidak menjadi perhatian. Tombol preshared disimpan dalam registri lokal yang hanya lokal administrator memiliki akses baca untuk, tetapi administrator lokal harus tahu itu dan mengaturnya. Oleh karena itu, setiap administrator lokal dapat melihatnya di masa depan atau mengubah itu.
  • Biaya dukungan menggunakan kunci preshared baik bagi pelanggan dan untuk Microsoft akan tinggi.
  • Mendapatkan sertifikat komputer berbasis Windows 2000 dapat semudah permintaan halaman Web, atau bahkan lebih mudah dengan menggunakan kebijakan grup Windows 2000 autoenrollment ketika klien berbasis Windows 2000 adalah anggota domain Windows 2000. Umumnya ini adalah metode yang paling aman untuk menggelar berbasis IPSec VPN.
Microsoft mendukung VPN L2TP/IPSec terowongan gateway-untuk-gateway dengan kunci preshared karena itu harus dikonfigurasi secara lokal pada gerbang itu oleh administrator sangat berpengetahuan gateway per statis IP adddress hari. IPSec terowongan hanya didukung di mana alamat IP statis yang digunakan, dan untuk alamat berbasis kebijakan penyeleksi hanya, tidak port dan protokol. Kami menyarankan agar Anda menggunakan L2TP/IPSec untuk gerbang-gerbang. Menggunakan IPSec terowongan mode untuk gerbang-gerbang hanya jika L2TP/IPSec bukanlah suatu pilihan.

Properti

ID Artikel: 240262 - Kajian Terakhir: 20 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbenv kbhowto kbnetwork kbmt KB240262 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:240262

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com