Ako nakonfigurovať pripojenie L2TP/IPSec použitím vopred zdieľaných Key Authentication

Preklady článku Preklady článku
ID článku: 240262 - Zobraziť produkty, ktorých sa tento článok týka.
Pozn mka
Tento článok sa uplatňuje na systém Windows 2000. Podpora pre Windows 2000 končí 13. júla 2010. V Windows 2000 podpora riešenie Center je východiskovým bodom pre plánovanie vašej stratégie migrácie zo systému Windows 2000. Ďalšie informácie nájdete Microsoft Support Lifecycle politiky.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

ÚVOD

Microsoft Windows 2000 automaticky vytvorí Internet Protocol Security (IPSec) politiku, ktorá sa používa s Layer 2 Tunneling Protocol (L2TP) / pripojenia IPSec, ktoré vyžadujú osvedčenie pre overovanie Internet Key Exchange (IKE). Microsoft podporuje implementácií protokolu L2TP/IPSec brána-brána virtuálnej súkromnej siete (VPN) pomocou preshare kľúča na protokolu IKE overovanie. Avšak, spoločnosť Microsoft nepodporuje, pomocou pre-share kľúča na protokolu IKE overovanie na pripojenia klienta vzdialeného prístupu L2TP/IPSec. Windows 2000 je kompatibilný so IKE RFC 2409 a umožňuje vykonávať pre-share kľúč na protokolu IKE overovanie o klienta pripojenia vzdialeného prístupu L2TP/IPSec. Však odporúčame použiť táto implementácia len na testovacie účely.

Implementovať predzdieľaný kľúč overovacia metóda pre použitie s pripojenie L2TP/IPSec:
  • Musíte pridať hodnotu databázy registry ProhibitIpSec na oboch počítačoch so systémom Windows 2000 koncový bod.
  • Musíte ručne konfigurovať politiky protokolu IPSec pred L2TP/IPSec spojenie medzi dvoma počítačmi so systémom Windows 2000.
Tento článok popisuje konfiguráciu dvoch so systémom Windows 2000 služba Smerovanie a vzdialený prístup serverov, ktoré sú pripojené cez lokálnej siete (LAN) použiť pripojenie L2TP/IPSec s overovanie predbežne zdieľaného kľúča. Tiež súčasťou je informácie o tom, ako konfigurovať politiky protokolu IPSec prijímať pripojenia pomocou viacerých predbežne zdieľané kľúče alebo CAs.

DALSIE INFORMACIE

Dôležité upozornenie Tento oddiel, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je vhodné pred úpravou databázu Registry zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledujúcom článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows

Chcete nakonfigurovať dve so systémom Windows 2000 služba Smerovanie a vzdialený prístup serverov, ktoré pripojení cez LAN použiť pripojenie L2TP/IPSec s overovanie predbežne zdieľaného kľúča, musíte pridať hodnotu databázy registry ProhibitIpSec na každý počítač so systémom Windows 2000 koncový bod pripojenie L2TP/IPSec zabrániť Automatický filter pre prenos protokolom L2TP/IPSec je vytvorené.

Keď je hodnota databázy registry ProhibitIpSec 1, počítač so systémom Windows 2000 nevytvára Automatický filter, ktorý používa overenie CA. Namiesto toho kontroly pre miestne alebo politiky protokolu IPSec pre službu Active Directory.

Ak chcete pridať hodnotu databázy registry ProhibitIpSec do počítača so systémom Windows 2000, postupujte nasledovne:
  1. Kliknite na položku Štart, kliknite na tlačidlo Spustiť, typu Regedt32, a potom kliknite na tlačidlo ok.
  2. Vyhľadajte a kliknite na nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Na Upraviť ponuky, kliknite na tlačidlo Pridanie hodnoty.
  4. V Názov hodnoty zadajte ProhibitIpSec.
  5. V Typ údajov kliknite na, REG_DWORD, a potom kliknite na tlačidlo ok.
  6. V Údaje zadajte 1, a potom kliknite na tlačidlo ok.
  7. Ukončite Editor databázy Registry a potom reštartujte počítač.

Ako vytvoriť politiky protokolu IPSec pre použitie s pripojenia L2TP/IPSec pomocou predbežne zdieľaného kľúča

Poznámka: Nasledujúci postup predpokladá, že hodnotu databázy registry ProhibitIpSec sa pridá na oboch so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu servery a že nebol reštartovaný so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu serverov.
  1. Kliknite na položku Štart, kliknite na tlačidlo Spustiť, typu MMC, a potom kliknite na tlačidlo ok.
  2. Kliknite na položku Konzoly, kliknite na tlačidlo Pridať alebo odstrániť modul Snap-in, kliknite na tlačidlo Pridať, kliknite na tlačidlo Spravovanie politiky zabezpečenia protokolu IP, kliknite na tlačidlo Pridať, kliknite na tlačidlo Dokončiť, kliknite na tlačidlo Zatvorte, a potom kliknite na tlačidlo ok.
  3. Kliknite pravým tlačidlom myši Politiky zabezpečenia protokolu IP v lokálnom počítači, kliknite na tlačidlo Vytvoriť politiku zabezpečenia protokolu IP, a potom kliknite na tlačidlo Next.
  4. V Názov politiky zabezpečenia protokolu IP dialógové okno, zadajte názov pre politiku zabezpečenia protokolu IP v programu a potom kliknite na Next.
  5. V Požiadavkám na zabezpečenú komunikáciu dialógové okno, kliknutím zrušte začiarknutie políčka Aktivovať predvolené pravidlo odpovedania políčko a potom kliknite na tlačidlo Next.
  6. Kliknutím vyberte možnosť Upraviť vlastnosti políčko a potom kliknite na tlačidlo Dokončiť.
  7. V Nové vlastnosti politiky zabezpečenia IP dialógové okno, kliknite na tlačidlo Pridať na Pravidlá kartu a potom kliknite na Next.
  8. V Koncový bod tunelového prepojenia dialógové okno, kliknite na tlačidlo Toto pravidlo neurčuje tunelové prepojenie, a potom kliknite na tlačidlo Next.
  9. V Typ siete dialógové okno, kliknite na tlačidlo Všetky sieťové pripojenia, a potom kliknite na tlačidlo Next.
  10. V Metóda overovania dialógové okno, kliknite na tlačidlo Použiť tento reťazec na ochranu výmeny kľúčov (vopred zdieľaný kľúč), zadajte predzdieľaný kľúč, a potom kliknite na tlačidlo Next.
  11. V Zoznam filtrov protokolu IP dialógové okno, kliknite na tlačidlo Pridať, zadajte názov pre zoznam filtrov protokolu IP v programu kliknite na tlačidlo Pridať, a potom kliknite na tlačidlo Next.
  12. V Prenosy protokolu IP Zdroj dialógové okno, kliknite na tlačidlo Určená adresa IP v Zdrojová adresa Zadajte adresu Transport Control Protocol/Internet Protocol (TCP/IP) zdroj so systémom Windows 2000 smerovanie a vzdialený prístup servera v Adresa IP a potom kliknite na Next.

    Poznámka: Zdrojová adresa, ktorý sa používa na každý so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu servera sa musí zhodovať. Napríklad, ak je zdrojová adresa 1.1.1.1, musíte použiť 1.1.1.1 ako zdrojové adresy serveroch so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu.
  13. V Prenosy protokolu IP určenia dialógové okno, kliknite na tlačidlo Určená adresa IP v Cieľová adresa rámček, zadajte adresy TCP/IP určenia so systémom Windows 2000 smerovanie a server pre vzdialený prístup a potom kliknite na tlačidlo Next.

    Poznámka: Cieľová adresa, ktorý sa používa na každý so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu servera sa musí zhodovať. Napríklad, ak cieľová adresa je 2.2.2.2, musíte použiť 2.2.2.2 ako cieľová adresa serveroch so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu.
  14. V Typ protokolu IP dialógové okno, kliknite na tlačidlo UDP v Vyberte typ protokolu a potom kliknite na Next.
  15. V Port protokolu IP dialógové okno, kliknite na tlačidlo Z tohto portu, typu 1701 v Z tohto portu kliknite na tlačidlo Do akéhokoľvek prístavu, a potom kliknite na tlačidlo Next.
  16. Kliknutím vyberte možnosť Upraviť vlastnosti začiarkavacie políčko, kliknite na tlačidlo Dokončiť, a potom kliknite na tlačidlo Vybrať Zrkadlené. Tiež zápas pakety s presne opačné zdrojové a cieľové adresy políčko Vlastnosti filtra dialógové okno.
  17. Kliknite na položku ok, a potom kliknite na tlačidlo Zatvorte.
  18. V Zoznam filtrov protokolu IP dialógové okno, kliknite na položku filtrov protokolu IP, ktoré ste práve vytvorili a kliknite Next.
  19. V Akcia filtra dialógové okno, kliknite na tlačidlo Pridať, a potom vytvorte novú akciu filtra, ktorý určuje, ktoré integrity a šifrovací algoritmus bude používať.

    Poznámka: Táto nová akcia filtra musí mať funkciu "Prijímať nezabezpečenú komunikáciu, ale pri odpovedi vždy použiť protokol IPSec" vypnuté na zlepšenie bezpečnosti.
  20. Kliknite na položku Next, kliknite na tlačidlo Dokončiť, a potom kliknite na tlačidlo Zatvorte.
  21. Kliknite pravým tlačidlom na politiku protokolu IPSec, ktoré ste práve vytvorili, a potom kliknite na Priradiť.
Poznámka: Musíte nakonfigurovať koncový bod servery so systémom Windows 2000 smerovanie a vzdialený prístup rovnakým spôsobom. Filter protokolu IPSec je zobrazené na jednej strane pripojenia keď je nastavený na prvého koncového bodu servera so systémom Windows 2000 smerovanie a vzdialený prístup, a potom repliku filtrov protokolu IPSec sa vytvorí na serveri bez druhý so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu. Založené na príklad, ktorá je popísaná vyššie v tomto článku, ak prvého so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu servera adresu protokolu TCP/IP 1.1.1.1 a druhý so systémom Windows 2000 smerovanie a vzdialený prístup stavu server má adresu TCP/IP 2.2.2.2, filter by vytvorili v rámci politiky protokolu IPSec na servery so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu so zdrojovou adresou 1.1.1.1, a cieľovú adresu 2.2.2.2. Toto umožňuje buď so systémom Windows 2000 smerovanie a vzdialený prístup koncového bodu servera iniciovať pripojenie.

Konfigurovanie politiky protokolu IPSec prijímať pripojenia pomocou viacerých predbežne zdieľané kľúče alebo CAs

Po politika je vytvorená pomocou filtra pomocou predbežne zdieľaného kľúča, musíte vytvoriť ďalšie pravidla v rámci politiky protokolu IPSec pre ostatné pripojenia, ktoré si vyžadujú rôzne predbežne zdieľané kľúče alebo CAs.

Ďalšie informácie o automatických filtrov, ktoré sú vytvorené Windows 2000 používajúce CAs, po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
248750Popis Automatický filter vytvorený pre použitie s protokolom L2TP/IPSec
253498 Ako nainštalovať certifikát pre použitie s zabezpečenia protokolu IP


Spoločnosť Microsoft nepodporuje zdie?aný na VPN protokolom L2TP/IPSec alebo vzdialených klientov z nasledujúcich dôvodov:
  • Predmety zabezpečeného protokolu, dobre-známy nezabezpečenú využitie problém, výber heslá. Publikované útoky sa ukázali ako odhaliť slabé predbežne zdieľané kľúče.
  • Nie je bezpečne nasaditeľné. Pretože prístup k spoločnosti bránou vyžaduje používateľa, ktorý je konfigurácia predzdieľaný kľúč, mnoho užívateľov to vie, a to sa stáva "skupina predzdieľaný kľúč." Dlho predzdieľaný kľúč by takmer určite musieť byť napísané. Samostatný počítač prístup neboli zrušené, kým celej skupiny bol prepnutý na nový predzdieľaný kľúč.
  • Microsoft má zdokumentované v Pomocníkovi, resource kit kapitol, a v článku databázy Microsoft Knowledge Base číslo 248711, Windows 2000 IPSec vopred zdieľaných kľúča sa poskytuje iba pre RFC zhody pre interoperabilitu testovanie a interoperabilitu kde zabezpečenia nie je dôvodom na obavy. Vopred zdieľaný kľúč je uložená v lokálnej databáze registry, ktoré iba lokálni správcovia prístup na čítanie ku, ale lokálnych správcov musieť vedieť a nastavte ho. Preto akékoľvek lokálneho správcu môžete vidieť, že v budúcnosti alebo zmeniť.
  • Podpora náklady na používanie predzdieľaný kľúč pre zákazníkov aj pre Microsoft by bola vysoká.
  • Získanie so systémom Windows 2000 počítačové certifikáty môže byť rovnako jednoduché ako požiadavka webovej stránky, alebo ešte jednoduchšie pomocou Windows 2000 skupinovej politiky automatickej registrácie, keď so systémom Windows 2000 klienta je člen domény systému Windows 2000. Vo všeobecnosti je najbezpečnejšia metóda pre nasadenie založené na protokolu IPSec VPN.
Microsoft podporu VPN protokolom L2TP/IPSec tunely brána-brána s predzdieľaný kľúč, pretože musí byť nakonfigurovaná lokálne na túto bránu správcom veľmi znalý brány na základe za-statické IP zúčastnenej. Tunely protokolu IPSec sú podporované len ak sa používajú statické adresy IP, a pre politiku založenú na adresu selektory len, nie prístavu a protokolu. Odporúčame použiť protokol L2TP/IPSec pre brána-brána. Použiť režim tunelového prepojenia protokolu IPSec pre brána-brána, iba ak L2TP/IPSec nie je možnosť.

Vlastnosti

ID článku: 240262 - Posledná kontrola: 23. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kľúčové slová: 
kbenv kbhowto kbnetwork kbmt KB240262 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:240262

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com