Como configurar uma ligação L2TP/IPSec utilizando a autenticação de chave pré-partilhada

Traduções de Artigos Traduções de Artigos
Artigo: 240262 - Ver produtos para os quais este artigo se aplica.
Importante
Este artigo aplica-se para o Windows 2000. Suporte para o Windows 2000 termina em 13 de Julho de 2010. O Windows 2000 End-of-Support Solution Center é um ponto de partida para planear a estratégia de migração a partir do Windows 2000. Para mais informações consulte a Microsoft Support Lifecycle Policy.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Microsoft Windows 2000 cria automaticamente uma Internet Protocol Security (IPSec) política que é utilizada com Layer 2 Tunneling Protocol (L2TP) / ligações de IPSec que necessitem de um certificado para autenticação de Internet Key Exchange (IKE). A Microsoft suporta implementações de rede privada virtual (VPN) gateway a gateway de L2TP/IPSec utilizando uma chave de preshare para autenticação de IKE. No entanto, a Microsoft não suporta a utilização de uma chave pre-share para autenticação de IKE em ligações de cliente de acesso remoto L2TP/IPSec. O Windows 2000 é compatível com IKE RFC 2409 e permite-lhe implementar uma chave pre-share para autenticação de IKE em ligações de cliente de acesso remoto L2TP/IPSec. No entanto, recomendamos que utilize esta implementação para testar apenas.

Para implementar o método de autenticação de chave pré-partilhado para utilização com uma ligação L2TP/IPSec:
  • Tem de adicionar o valor de registo ProhibitIpSec a ambos os computadores de ponto final baseado no Windows 2000.
  • Tem de configurar manualmente uma política IPSec pode ser estabelecida uma ligação L2TP/IPSec entre dois computadores baseados no Windows 2000.
Este artigo descreve como configurar dois baseado no Windows 2000 serviço de acesso remoto e encaminhamento servidores que estão ligados através de uma rede local (LAN) para utilizar uma ligação L2TP/IPSec com autenticação por chave pré-partilhada. Informações sobre como configurar uma política IPSec para aceitar ligações utilizando várias AC ou chaves de pré-partilhada está também incluída.

Mais Informação

Importante Esta secção, método ou tarefa contém passos que a saber como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows

Para configurar dois baseado no Windows 2000 serviço de acesso remoto e encaminhamento servidores que estão ligados através de uma rede local para utilizar uma ligação L2TP/IPSec com autenticação por chave pré-partilhada, tem de adicionar o valor de registo ProhibitIpSec a cada computador baseado no Windows 2000 ponto final de uma ligação L2TP/IPSec para impedir que o filtro automático para tráfego L2TP/IPSec que está a ser criada.

Quando o valor de registo ProhibitIpSec está definido para 1, o computador baseado no Windows 2000 não cria o filtro automático que utiliza a autenticação de AC. Em vez disso, verifica a existência de um local ou política de IPSec do Active Directory.

Para adicionar o valor de registo ProhibitIpSec ao computador baseado no Windows 2000, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedt32 e, em seguida, clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. No menu Editar, clique em Adicionar valor.
  4. Na caixa Nome do valor, escreva ProhibitIpSec.
  5. Na lista Tipo de dados, clique em REG_DWORD e, em seguida, clique em OK.
  6. Na caixa dados, escreva 1 e, em seguida, clique em OK.
  7. Saia do Editor de registo e, em seguida, reinicie o computador.

Como criar uma política IPSec para utilizar com ligações L2TP/IPSec utilizando uma chave pré-partilhada

Nota O procedimento seguinte assume que o valor de registo ProhibitIpSec é adicionado a ambos os baseado no Windows 2000 encaminhamento e acesso remoto ponto final servidores e que os servidores de ponto final de encaminhamento e acesso remoto baseado no Windows 2000 tem sido reiniciados.
  1. Clique em Iniciar, clique em Executar, escreva mmc e, em seguida, clique em OK.
  2. Clique em consola, clique em Adicionar/remover Snap-in, clique em Adicionar, clique em Gestão de políticas de segurança IP, clique em Adicionar, clique em Concluir, clique em Fechar e, em seguida, clique em OK.
  3. Clique com o botão direito do rato Políticas de segurança IP no computador local, clique em Criar política de segurança IP e, em seguida, clique em seguinte.
  4. Na caixa de diálogo Nome de política de segurança IP, escreva o nome para a política de segurança IP na caixa nome e, em seguida, clique em seguinte.
  5. Na caixa de diálogo pedidos para comunicações seguras, clique para desmarcar a caixa de verificação activar a regra de resposta predefinida e, em seguida, clique em seguinte.
  6. Clique para seleccionar a caixa de verificação ' Editar propriedades e, em seguida, clique em Concluir.
  7. Na caixa de diálogo Propriedades de política de segurança IP novo, clique em Adicionar no separador regras e, em seguida, clique em seguinte.
  8. Na caixa de diálogo Ponto final do túnel, clique em esta regra não especifica um túnel e, em seguida, clique em seguinte.
  9. Na caixa de diálogo Tipo de rede, clique em todas as ligações de rede e, em seguida, clique em seguinte.
  10. Na caixa de diálogo Método de autenticação, clique em utilizar esta cadeia para proteger a troca de chave (chave pré-partilhada), escreva uma chave pré-partilhada e, em seguida, clique em seguinte.
  11. Na caixa de diálogo Lista de filtros IP, clique em Adicionar, escreva um nome para a lista de filtros IP na caixa nome, clique em Adicionar e, em seguida, clique em seguinte.
  12. Na caixa de diálogo Origem do tráfego IP, clique em um endereço IP específico na caixa endereço de origem, escreva o endereço de TCP/IP (Transport Control Protocol/Internet Protocol) da origem de encaminhamento baseado no Windows 2000 e o servidor de acesso remoto na caixa Endereço IP e, em seguida, clique em seguinte.

    Nota O endereço de origem é utilizado no cada baseado no Windows 2000 encaminhamento e acesso remoto ponto final do servidor tem de corresponder ao. Por exemplo, se o endereço de origem é 1.1.1.1, tem de utilizar 1.1.1.1 como endereço de origem em servidores de ponto final baseado no Windows 2000 encaminhamento e acesso remoto.
  13. Na caixa de diálogo Destino do tráfego de IP, clique em um endereço IP específico na caixa endereço de destino, escreva o endereço de TCP/IP do destino encaminhamento baseado no Windows 2000 e o servidor de acesso remoto e, em seguida, clique em seguinte.

    Nota O endereço de destino é utilizado no cada baseado no Windows 2000 encaminhamento e acesso remoto ponto final do servidor tem de corresponder ao. Por exemplo, se o endereço de destino é 2.2.2.2, tem de utilizar 2.2.2.2 como endereço de destino em servidores de ponto final baseado no Windows 2000 encaminhamento e acesso remoto.
  14. Na caixa de diálogo Tipo de protocolo IP, clique em UDP na caixa Seleccione um tipo de protocolo e, em seguida, clique em seguinte.
  15. Na caixa de diálogo Porta de protocolo IP, clique na partir desta porta, escreva 1701 na caixa desta porta, clique em para qualquer porta e, em seguida, clique em seguinte.
  16. Clique para seleccionar a caixa de verificação Editar propriedades, clique em Concluir e, em seguida, clique para seleccionar o mirror . Também fazer corresponder pacotes com exactamente oposto endereços de origem e destino caixa de verificação na caixa de diálogo Propriedades do filtro.
  17. Clique em OK e, em seguida, clique em Fechar.
  18. Na caixa de diálogo Lista de filtros IP, clique no filtro IP que acabou de criar e, em seguida, clique em seguinte.
  19. Na caixa de diálogo Acção de filtro, clique em Adicionar e crie uma nova acção de filtro Especifica os algoritmos de integridade e encriptação serão utilizados.

    Nota Esta nova acção de filtro tem de ter a funcionalidade "Aceitar comunicações não seguras, mas responder sempre utilizando IPSec" para melhorar a segurança desactivada.
  20. Clique em seguinte, clique em Concluir e, em seguida, clique em Fechar.
  21. Clique com o botão direito do rato na política de IPSec que acabou de criar e, em seguida, clique em atribuir.
Nota Terá de configurar servidores de ponto final baseado no Windows 2000 encaminhamento e acesso remoto da mesma forma. O filtro de IPSec é visualizado de um lado da ligação quando está definida no servidor primeiro baseado no Windows 2000 encaminhamento e acesso remoto ponto final e, em seguida, uma réplica do filtro IPSec é criada no servidor de ponto final do segundo baseado no Windows 2000 encaminhamento e acesso remoto. Com base no exemplo descrito anteriormente neste artigo, se o primeiro baseado no Windows 2000 servidor de encaminhamento e acesso remoto ponto final tem um endereço TCP/IP do 1.1.1.1 e o segundo baseado no Windows 2000 ponto encaminhamento e acesso remoto final servidor tem um endereço de TCP/IP de 2.2.2.2, teria de ser criado um filtro dentro da política IPSec em servidores de ponto final baseado no Windows 2000 encaminhamento e acesso remoto com um endereço de origem de 1.1.1.1 e um endereço de destino de 2.2.2.2. Isto permite que ambos baseado no Windows 2000 servidor de encaminhamento e acesso remoto ponto final para iniciar a ligação.

Como configurar uma política IPSec para aceitar ligações utilizando múltiplas chaves pré-partilhadas ou AC

Depois de é criada uma política com um filtro utilizando uma chave pré-partilhada, terá de criar uma regra numa política IPSec para outras ligações que requerem diferentes chaves pré-partilhadas ou AC adicional.

Para obter informações adicionais sobre filtros automáticos que são criados pelo Windows 2000 que utilizem AC, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
248750Descrição do filtro automático criada para utilizar com L2TP/IPSec
253498Como instalar um certificado para utilização com a segurança IP


A Microsoft não suporta chaves pré-partilhadas para VPN L2TP/IPSec ou clientes remotos pelas seguintes razões:
  • Um protocolo seguro-assuntos a um problema conhecido utilização não seguras, seleccionando as palavras-passe. Ataques publicados tem sido mostrados para revelar fracas chaves pré-partilhadas.
  • Não é uma forma segura com versões. Uma vez que é necessário acesso para o gateway de empresa pelo utilizador que está a configurar uma chave pré-partilhada, muitos utilizadores saberá este e torna-se uma "grupo chave pré-partilhada." Uma chave pré-partilhada longo quase definitivamente teria de ser escrito para baixo. Acesso ao computador individual não pode ser revogado até todo o grupo tinha mudou para uma nova chave pré-partilhada.
  • Tal como Microsoft tem documentados na ajuda, recurso kit capítulos e pré-em número de artigo da Microsoft Knowledge Base 248711, o IPSec do Windows 2000 partilhada chave é fornecida apenas para conformidade com o RFC, para testar a interoperabilidade e interoperabilidade onde segurança não é uma preocupação. A chave pré-partilhada é armazenada no registo local que administradores locais apenas tem acesso de leitura, mas os administradores locais saber e defina-o. Por conseguinte, qualquer administrador local pode vê-lo no futuro ou alterá-la.
  • O custo de suporte de utilizar uma chave pré-partilhada para os clientes e para Microsoft seria alto.
  • Obter certificados de computador baseado no Windows 2000 pode ser tão fácil como um pedido de página Web ou ainda mais fácil utilizando a inscrição automática de política de grupo do Windows 2000 quando o cliente baseado no Windows 2000 é um membro de um domínio do Windows 2000. Normalmente, este é o método mais seguro para a implementação VPN baseada em IPSec.
Microsoft suporta túneis de VPN L2TP/IPSec gateway-a-gateway com uma chave pré-partilhada porque deve ser configurada localmente desse gateway por um administrador muito experientes gateway num regime por estático IP adddress. Os túneis IPSec só são suportados nos onde os endereços IP estáticos são utilizados e para política baseada no endereço selectores só, não porta e protocolo. Recomendamos que utilize L2TP/IPSec para o gateway a gateway. Utilize o modo de túnel IPSec para o gateway a gateway apenas se L2TP/IPSec não é uma opção.

Propriedades

Artigo: 240262 - Última revisão: 12 de outubro de 2007 - Revisão: 4.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbenv kbhowto kbnetwork KB240262 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 240262

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com