Конфигурация подключений L2TP/IPSec, использующих проверку подлинности на основе предварительного ключа

Переводы статьи Переводы статьи
Код статьи: 240262 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
Сведения в этой статье относятся к системе Windows 2000. Поддержка Windows 2000 завершается 13 июля 2010 г.Центр решений после прекращения поддержки для Windows 2000 — отправная точка при планировании стратегии миграции с системы Windows 2000. Подробнее можно узнать в статье Правила по срокам поддержки продуктов Майкрософт.
Развернуть все | Свернуть все

В этой статье

Введение

Windows 2000 автоматически создает политику IPSec, предназначенную для использования с подключениями L2TP/IPSec, выполняющими проверку подлинности на основе протокола IKE и требующими наличие сертификата. Корпорация Майкрософт поддерживает реализацию виртуальной частной сети (VPN) типа «шлюз-шлюз», использующей протокол L2TP/IPSec и выполняющей проверку подлинности по протоколу IKE на основе предварительного ключа. Корпорация Майкрософт не поддерживает проверку подлинности на основе предварительного ключа при удаленном доступе по протоколу L2TP/IPSec. Windows 2000 соответствует стандарту IKE RFC 2409 и позволяет реализовать проверку подлинности на основе предварительного ключа при удаленном доступе по протоколу L2TP/IPSec. Тем не менее мы рекомендуем использовать данную операцию только для тестирования.

Чтобы подключения L2TP/IPSec использовали проверку подлинности на основе предварительного ключа, выполните следующие действия.
  • На компьютерах под управлением Windows 2000, являющихся конечными точками данного подключения, добавьте в реестр параметр ProhibitIpSec.
  • Перед установкой подключения L2TP/IPSec вручную настройте политику IPSec.
В данной статье описывается, как настроить проверку подлинности на основе предварительного ключа для подключений L2TP/IPSec на компьютерах под управлением Windows 2000. В статье предполагается, что на этих компьютерах запущены службы маршрутизации и удаленного доступа и что компьютеры объединены в локальную сеть. Кроме того, в статье описывается конфигурация политики IPSec, позволяющая устанавливать подключения, используя несколько предварительных ключей или центров сертификации.

Дополнительная информация

Внимание! В данный раздел, описание метода или задачи включены сведения об изменении параметров реестра. Однако их неправильное изменение может привести к серьезным проблемам. Поэтому такие действия необходимо выполнять очень внимательно. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

Для настройки проверки подлинности на основе предварительного ключа для подключений L2TP/IPSec на компьютерах под управлением Windows 2000 (при условии, что на этих компьютерах запущены службы маршрутизации и удаленного доступа и что компьютеры объединены в локальную сеть) необходимо на всех компьютерах под управлением Windows 2000, являющихся конечными точками туннелей L2TP/IPSec, добавить в реестр параметр ProhibitIpSec.

Если данному параметру присвоено значение 1, то Windows 2000 не будет автоматически создавать фильтр, использующий проверку подлинности на основе сертификатов. Вместо этого будет использоваться политика IPSec, определенная локально или в службе каталогов Active Directory.

Чтобы добавить параметр реестра ProhibitIpSec, выполните следующие действия.
  1. В меню Пуск выберите пункт Выполнить, введите команду regedt32 и нажмите кнопку .
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. В меню Правка выберите команду Добавить параметр.
  4. В поле Параметр введите ProhibitIpSec.
  5. В поле Тип данных введите REG_DWORD и нажмите кнопку ОК.
  6. В поле Данные введите 1 и нажмите кнопку ОК.
  7. Закройте редактор реестра и перезагрузите компьютер.

Создание политики IPSec для подключений L2TP/IPSec, использующих предварительный ключ

Примечание. При описании данной процедуры предполагается, что конечными точками туннеля являются компьютеры под управлением Windows 2000, что на этих компьютерах в реестр был добавлен параметр ProhibitIpSec и что после добавления данного параметра на этих компьютерах были перезапущены службы RRAS.
  1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку .
  2. В меню Консоль выберите пункт Добавить/Удалить оснастку, нажмите кнопку Добавить, щелкните Управление политикой безопасности IP, щелкните Добавить, нажмите кнопку Готово, нажмите кнопку Закрыть и нажмите кнопку OK.
  3. Правой кнопкой мыши щелкните пункт Политики безопасности IP на "Локальный компьютер", выберите команду Создать политику безопасности IP и нажмите кнопку Далее.
  4. В окне Имя политики безопасности IP введите название политики в поле Имя и нажмите кнопку Далее.
  5. В окне Запросов безопасного соединения снимите флажок Использовать правило по умолчанию и нажмите кнопку Далее.
  6. Установите флажок Изменить свойства и нажмите кнопку Готово.
  7. В окне свойств политики безопасности IP нажмите кнопку Добавить на вкладке Правила, а затем щелкните Далее.
  8. В окне Конечная точка туннеля выберите вариант Это правило не определяет туннель и нажмите кнопку Далее.
  9. В окне Тип сети выберите вариант Все сетевые подключения и нажмите кнопку Далее.
  10. В окне Метод проверки подлинности выберите параметр Использовать данную строку для защиты обмена ключами, введите общий ключ и нажмите кнопку Далее.
  11. В окне Список фильтров IP нажмите кнопку Добавить, в поле Имя введите имя фильтра, нажмите кнопку Добавить и нажмите кнопку Далее.
  12. В окне Источник IP-трафика выберите в списке Исходный адрес значение Определенный IP-адрес, укажите IP-адрес компьютера с сервером RRAS, являющегося источником пакетов, в поле IP-адрес и нажмите кнопку Далее.

    Примечание. На компьютерах, являющихся конечными точками туннеля, должен быть указан одинаковый исходный адрес. Например, если исходный адрес – 1.1.1.1, то данное значение необходимо указать в качестве исходного адреса на обоих компьютерах, являющихся конечными точками туннеля.
  13. В окне Назначение IP-трафика выберите в списке Адрес назначения значение Определенный IP-адрес, укажите IP-адрес конечного компьютера с сервером RRAS под управлением Windows 2000 и нажмите кнопку Далее.

    Примечание. На компьютерах, являющихся конечными точками туннеля, должен быть указан одинаковый адрес назначения. Например, если адрес назначения – 2.2.2.2, то данное значение необходимо указать в качестве адреса назначения на обоих компьютерах, являющихся конечными точками туннеля.
  14. В окне Тип протокола IP в поле Выберите тип протокола выберите значение UDP и нажмите кнопку Далее.
  15. В окне Порт протокола IP выберите параметр Пакеты из этого порта, введите в поле Пакеты из этого порта значение 1701, выберите параметр Пакеты на любой порт и нажмите кнопку Далее.
  16. Установите флажок Изменить свойства, нажмите кнопку Готово, а затем установите флажок Отраженный. Это также распространяется на пакеты с полностью противоположными адресами источника и назначения в окне Свойства: Фильтр.
  17. Нажмите кнопку ОК, а затем кнопку Закрыть.
  18. В окне Список фильтров IP отметьте только что созданный фильтр IP и нажмите кнопку Далее.
  19. В окне Действие фильтра нажмите кнопку Добавить и создайте новое действие фильтра, указав методы обеспечения безопасности и целостности.

    Примечание. Для созданного действия фильтра необходимо снять флажок «Принимать небезопасную связь, но отвечать с помощью IPSEC».
  20. Последовательно нажмите кнопки Далее, Готово и Закрыть.
  21. Щелкните созданную политику правой кнопкой мыши и выберите в появившемся меню команду Назначить.
Примечание. Оба компьютера, являющиеся конечными точками туннеля, должны быть настроены одинаковым образом. Для этого необходимо создать фильтр IPSec на одном из компьютеров, являющихся конечной точкой туннеля, а затем создать его точную копию на компьютере, являющемся второй конечной точкой. Если рассматривать пример, приведенный в данной статье, и если IP-адрес компьютера, являющегося первой конечной точкой туннеля, равен 1.1.1.1, а IP-адрес компьютера, являющегося второй конечной точкой, равен 2.2.2.2, то для политики IPSec на этих компьютерах необходимо создать фильтр, в котором адрес источника равен 1.1.1.1, а адрес назначения равен 2.2.2.2. При этом любой из указанных компьютеров сможет создать подключение.

Настройка политики IPSec для организации подключений с использованием нескольких предварительных ключей или центров сертификации

После создания политики, содержащей фильтр, который использует предварительный ключ, необходимо создать в данной политике дополнительное правило, позволяющее устанавливать подключения, используя центры сертификации или другие предварительные ключи.

Дополнительные сведения об автоматическом создании фильтров, использующих центры сертификации, см. в следующих статьях базы знаний Майкрософт:
248750 Описание политики IPSec, создаваемой для подключений L2TP/IPSec
253498 Как установить сертификат для реализации IP-безопасности


Корпорация Майкрософт не поддерживает проверку подлинности на основе предварительных ключей клиентами VPN или удаленными клиентами, использующими протокол L2TP/IPSec, по следующим причинам.
  • Применение предварительного ключа повышает уязвимость при использовании ненадежных паролей. Были зафиксированы несанкционированные попытки разглашения ненадежных предварительных ключей.
  • Применение предварительного ключа не обеспечивает безопасное развертывание – поскольку пользователи, изменяющие параметры предварительного ключа, должны иметь доступ к корпоративному шлюзу, то через некоторое время данный ключ становится известен многим пользователям. Как правило, при использовании длинных паролей пользователи записывают пароли на бумаге. Чтобы запретить доступ к сети одному компьютеру, необходимо изменить предварительный ключ на остальных компьютерах, использующих этот же ключ.
  • Корпорация Майкрософт поддерживает проверку подлинности с использованием предварительного ключа в целях совместимости со стандартами RFC и рекомендует применять ее только при тестировании взаимодействия сетей или в сетях, не требующих повышенного уровня безопасности (данная информация содержится в файлах справки, в руководствах набора Resource Kit, а также в статье 248711 базы знаний Майкрософт). Предварительный ключ хранится в реестре локальных компьютеров, что дает возможность администраторам этих компьютеров просматривать и устанавливать значение данного ключа. Поэтому любой администратор локального компьютера может просмотреть или изменить значение данного ключа.
  • Использование проверки подлинности на основе предварительного ключа увеличивает стоимость поддержки системы.
  • Чтобы получить сертификат компьютера под управлением Windows 2000, достаточно обратиться на соответствующую веб-страницу или с помощью групповой политики воспользоваться средством автоматической подачи заявок (если данный компьютер входит в домен Windows 2000). Данный метод является обычным средством наиболее безопасного развертывания виртуальной частной сети, использующей протокол IPSec.
Операционные системы семейства Windows поддерживают проверку подлинности на основе предварительного ключа при настройке туннелей L2TP/IPSec, устанавливаемых между двумя шлюзами, поскольку такие туннели должны конфигурироваться на локальных шлюзах на основе статических IP-адресов. Установка туннелей IPSec возможна только при использовании статических IP-адресов и селекторов политик, использующих адреса. Установка туннелей IPSec невозможна при использовании селекторов политик, использующих порты или протоколы. Мы рекомендуем использовать протокол L2TP/IPSec только для подключений типа «шлюз-шлюз». Режим IPSec рекомендуется использовать только в тех случаях, когда невозможно использование режима L2TP/IPSec.
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 240262 - Последний отзыв: 26 марта 2014 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbenv kbhowto kbnetwork KB240262

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com