Jak skonfigurować połączenie L2TP/IPSec przy użyciu uwierzytelniania opartego na kluczu wstępnym

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 240262 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL240262
Ważne Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed edycją rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące tworzenia kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

System Microsoft Windows 2000 automatycznie tworzy zasady zabezpieczeń protokołu internetowego (IPSec) do używania z połączeniami Layer 2 Tunneling Protocol (L2TP)/IPSec, wymagającymi certyfikatu dla uwierzytelniania IKE (Internet Key Exchange). Firma Microsoft obsługuje implementacje połączeń VPN L2TP/IPSec brama-brama z wykorzystaniem klucza wstępnego do uwierzytelniania IKE. Ale firma Microsoft nie obsługuje używania klucza wstępnego do uwierzytelniania IKE w przypadku klienckich połączeń L2TP/IPSec dostępu zdalnego. System Windows 2000 jest zgodny ze specyfikacją RFC 2409 uwierzytelniania IKE i umożliwia jej implementację w przypadku klienckich połączeń L2TP/IPSec dostępu zdalnego. Zaleca się jednak używanie tej implementacji jedynie do testowania.

Aby zaimplementować metodę uwierzytelniania opartego na kluczu wstępnym do używania z połączeniami L2TP/IPSec:
  • Należy dodać wartość rejestru ProhibitIpSec do obu komputerów z systemem Windows 2000 będących punktami końcowymi.
  • Należy ręcznie skonfigurować zasady IPSec, zanim będzie mogło zostać ustanowione połączenie L2TP/IPSec między dwoma komputerami z systemem Windows 2000.
W tym artykule opisano, jak skonfigurować dwa serwery z systemem Windows 2000 i usługą Routing i dostęp zdalny (RRAS), które są połączone przez sieć lokalną (LAN), do używania połączeń L2TP/IPSec z uwierzytelnianiem opartym na kluczu wstępnym. Ponadto podano informacje, jak skonfigurować zasady IPSec, aby były akceptowane połączenia korzystające z wielu kluczy wstępnych lub urzędów certyfikacji.

Więcej informacji

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Możesz używać Edytora rejestru na własną odpowiedzialność.
Aby skonfigurować dwa serwery RRAS systemem Windows 2000 połączone przez sieć LAN tak, aby korzystały z połączenia L2TP/IPSec z uwierzytelnianiem opartym na kluczu wstępnym, do każdego komputera z systemem Windows 2000 będącego punktem końcowym połączenia L2TP/IPSec należy dodać wartość rejestru ProhibitIpSec, aby zapobiec utworzeniu automatycznego filtru dla ruchu L2TP/IPSec.

Jeśli wartość rejestru ProhibitIpSec jest ustawiona na wartość 1, komputer z systemem Windows 2000 nie tworzy automatycznego filtru używającego uwierzytelniania przy użyciu urzędów certyfikacji. Zamiast tego sprawdzane są zasady IPSec na komputerze lokalnym lub w usłudze Active Directory.

Aby dodać wartość rejestru ProhibitIpSec na komputerze z systemem Windows 2000, należy wykonać następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedt32, a następnie kliknij przycisk OK.
  2. Znajdź i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. W menu Edycja kliknij polecenie Dodaj wartość.
  4. W polu Nazwa wartości wpisz ProhibitIpSec.
  5. Na liście Typ danych kliknij pozycję REG_DWORD, a następnie kliknij przycisk OK.
  6. W polu Dane wpisz 1, a następnie kliknij przycisk OK.
  7. Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.

Jak utworzyć zasady IPSec do używania z połączeniami L2TP/IPSec korzystającymi z klucza wstępnego

Uwaga W następującej procedurze założono, że wartość rejestru ProhibitIpSec, opisana wcześniej w tym artykule, została już dodana do obu serwerów RRAS z systemem Windows 2000 będących punktami końcowymi i że serwery te zostały ponownie uruchomione.
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie mmc, a następnie kliknij przycisk OK.
  2. Kliknij menu Konsola, kliknij polecenie Dodaj/Usuń przystawkę, kliknij przycisk Dodaj, kliknij przystawkę Zarządzanie zasadami zabezpieczeń IP, kliknij przycisk Dodaj, kliknij przycisk Zakończ, kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  3. Kliknij prawym przyciskiem myszy węzeł Zasady zabezpieczeń IP na komputerze lokalnym, kliknij polecenie Utwórz zasady zabezpieczeń IP, a następnie kliknij przycisk Dalej.
  4. W oknie dialogowym Nazwa zasad zabezpieczeń IP wpisz nazwę zasad zabezpieczeń IP w polu Nazwa, a następnie kliknij przycisk Dalej.
  5. W oknie dialogowym Żądania komunikacji zabezpieczonej wyczyść pole wyboru Włącz regułę odpowiedzi domyślnej, a następnie kliknij przycisk Dalej.
  6. Zaznacz pole wyboru Edytowanie właściwości, a następnie kliknij przycisk Zakończ.
  7. W oknie dialogowym Właściwości nowych zasad zabezpieczeń IP na karcie Reguły kliknij przycisk Dodaj, a następnie kliknij przycisk Dalej.
  8. W oknie dialogowym Koniec tunelu kliknij opcję Ta reguła nie określa żadnego tunelu, a następnie kliknij przycisk Dalej.
  9. W oknie dialogowym Typ sieci kliknij opcję Wszystkie połączenia sieciowe, a następnie kliknij przycisk Dalej.
  10. W oknie dialogowym Metoda uwierzytelniania kliknij opcję Użyj tego ciągu do ochrony wymiany kluczy (klucz wstępny), wpisz klucz wstępny, a następnie kliknij przycisk Dalej.
  11. W oknie dialogowym Lista filtrów IP kliknij przycisk Dodaj, wpisz nazwę dla listy filtrów IP w polu Nazwa, kliknij przycisk Dodaj, a następnie kliknij przycisk Dalej.
  12. W oknie dialogowym Źródło komunikacji IP kliknij opcję Określony adres IP w polu Adres źródłowy, wpisz adres Transport Control Protocol/Internet Protocol (TCP/IP) źródłowego serwera RRAS z systemem Windows 2000 w polu Adres IP, a następnie kliknij przycisk Dalej.

    Uwaga Adres źródłowy używany na każdym serwerze RRAS z systemem Windows 2000, który jest punktem końcowym, musi być taki sam. Jeśli na przykład adresem źródłowym jest 1.1.1.1, trzeba użyć adresu 1.1.1.1 jako adresu źródłowego na obu serwerach RRAS z systemem Windows 2000 będących punktami końcowymi.
  13. W oknie dialogowym Miejsce docelowe komunikacji IP kliknij opcję Określony adres IP w polu Adres docelowy, wpisz adres TCP/IP docelowego serwera RRAS z systemem Windows 2000, a następnie kliknij przycisk Dalej.

    Uwaga Adres docelowy używany na każdym serwerze RRAS z systemem Windows 2000, który jest punktem końcowym, musi być taki sam. Jeśli na przykład adresem docelowym jest 2.2.2.2, trzeba użyć adresu 2.2.2.2 jako adresu docelowego na obu serwerach RRAS z systemem Windows 2000 będących punktami końcowymi.
  14. W oknie dialogowym Typ protokołu IP kliknij pozycję UDP w polu Wybierz typ protokołu, a następnie kliknij przycisk Dalej.
  15. W oknie dialogowym Port protokołu IP kliknij opcję Z tego portu, wpisz numer 1701 w polu Z tego portu, kliknij opcję Do dowolnego portu, a następnie kliknij przycisk Dalej.
  16. Zaznacz pole wyboru Edytowanie właściwości, kliknij przycisk Zakończ, a następnie zaznacz pole wyboru Dublowane. Dopasuj również pakiety z dokładnie odwrotnymi adresami źródłowymi i docelowymi w oknie dialogowym Właściwości filtru.
  17. Kliknij przycisk OK, a następnie kliknij przycisk Zamknij.
  18. W oknie dialogowym Lista filtrów IP kliknij nowo utworzony filtr IP, a następnie kliknij przycisk Dalej.
  19. W oknie dialogowym Akcja filtru kliknij przycisk Dodaj i utwórz nową akcję filtru, określając, jakie mają być używane algorytmy integralności i szyfrowania.

    Uwaga Aby ta nowa akcja filtru była bezpieczna, musi mieć wyłączoną opcję Akceptuj komunikację nie zabezpieczoną, ale zawsze odpowiadaj używając protokołu IPSec.
  20. Kliknij przycisk Dalej, kliknij przycisk Zakończ, a następnie kliknij przycisk Zamknij.
  21. Kliknij prawym przyciskiem myszy nowo utworzone zasady IPSec, a następnie kliknij polecenie Przypisz.
Uwaga Oba serwery RRAS z systemem Windows 2000 będące punktami końcowymi trzeba skonfigurować dokładnie tak samo. Filtr IPSec staje się widoczny z jednej strony połączenia, jeśli zostanie skonfigurowany na pierwszym serwerze RRAS z systemem Windows 2000, a następnie replika tego filtru IPSec zostanie utworzona na drugim serwerze RRAS z systemem Windows 2000 w drugim punkcie końcowym. Posłużmy się przykładem opisanym wcześniej w tym artykule: jeśli pierwszy serwer RRAS z systemem Windows 2000 ma adres TCP/IP 1.1.1.1, a drugi adres TCP/IP 2.2.2.2, w zasadach IPSec na obu serwerach RRAS z systemem Windows 2000 będących punktami końcowymi zostałby utworzony filtr z adresem źródłowym 1.1.1.1 i adresem docelowym 2.2.2.2. . Pozwala to na inicjowanie połączenia dowolnemu z tych serwerów.

Jak skonfigurować zasady IPSec, aby były akceptowane połączenia korzystające z wielu kluczy wstępnych lub urzędów certyfikacji

Po utworzeniu zasad IPSec z filtrem korzystającym z klucza wstępnego konieczne jest utworzenie w tych zasadach dodatkowej reguły dla innych połączeń wymagających innych kluczy wstępnych lub urzędów certyfikacji.

Aby uzyskać dodatkowe informacje dotyczące automatycznych filtrów tworzonych przez system Windows 2000 korzystający z urzędów certyfikacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
248750 Description of the automatic filter created for use with L2TP/IPSec
253498 How to install a certificate for use with IP Security
Aby uzyskać dodatkowe informacje, odwiedź witryny sieci Web Step-by-Step Guide to Internet Protocol Security (Ipsec) (Przewodnik krok po kroku po zabezpieczeniach protokołu Ipsec):
http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp


Przyczyny, dla których firma Microsoft nie obsługuje kluczy wstępnych w przypadku sieci VPN z protokołem L2TP/IPSec i klientów zdalnych:
  • Narażają one protokół zabezpieczeń na dobrze znany problem niebezpiecznego użycia (wybieranie haseł) — znane są ataki, które ujawniają słabe klucze wstępne.
  • Nie da się ich bezpiecznie wdrożyć. Ponieważ użytkownik konfigurujący klucz wstępny wymaga dostępu do bramy firmy, wielu użytkowników będzie znało ten klucz i staje się on „grupowym kluczem wstępnym”. Długi, trudny do zapamiętania klucz wstępny prawie na pewno zostanie gdzieś zapisany. Możliwości dostępu do pojedynczych systemów nie można cofnąć, dopóki cała grupa nie przejdzie na korzystanie z nowego klucza wstępnego.
  • Zgodnie z tym, co firma Microsoft udokumentowała w Pomocy online, zestawie Resource Kit i artykule 248711 z bazy wiedzy Microsoft Knowledge Base, używanie klucza wstępnego protokołu IPSec w systemie Windows 2000 jest możliwe jedynie ze względu na zgodność ze specyfikacją RFC, testowanie współdziałania i współdziałanie w przypadkach, gdy zabezpieczenie nie jest istotne. Klucz wstępny jest przechowywany w lokalnym rejestrze, do którego prawa odczytu mają jedynie administratorzy lokalni, ale administratorzy lokalni muszą znać i ustawiać ten klucz, więc w przyszłości każdy administrator lokalny będzie mógł go zobaczyć lub zmienić.
  • Koszty obsługi używania klucza wstępnego, zarówno w przypadku klientów, jak i firmy Microsoft, byłyby wysokie.
  • Certyfikat dla komputera z systemem Windows 2000 można łatwo uzyskać, wypełniając żądanie na stronie sieci Web lub, jeszcze łatwiej, używając funkcji automatycznego rejestrowania Zasad grupy systemu Windows 2000, jeśli klient z systemem Windows 2000 jest członkiem domeny systemu Windows 2000 (zwykle jest to najbezpieczniejsza metoda wdrażania sieci VPN opartej na protokole IPSec).
Firma Microsoft nie obsługuje tuneli L2TP/IPSec sieci VPN brama-brama z kluczem wstępnym, ponieważ musi on być skonfigurowany lokalnie na bramie przez bardzo doświadczonego administratora bramy, przy czym muszą być używane statyczne adresy IP. Tunele IPSec są obsługiwane jedynie wtedy, gdy są używane statyczne adresy IP, i tylko dla zasad opartych na adresie, a nie na numerze portu lub protokole. Dla tuneli brama-brama firma Microsoft zaleca używanie protokołów L2TP/IPSec. Trybu tunelowania IPSec dla tuneli brama-brama należy używać tylko w przypadku, gdy opcja L2TP/IPSec jest niedostępna.

Właściwości

Numer ID artykułu: 240262 - Ostatnia weryfikacja: 21 listopada 2005 - Weryfikacja: 4.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Słowa kluczowe: 
kbenv kbhowto kbnetwork KB240262

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com