Önceden paylaşılan anahtar doğrulaması kullanarak L2TP/ıpsec bağlantısı yapılandırmak için

Makale çevirileri Makale çevirileri
Makale numarası: 240262 - Bu makalenin geçerli olduğu ürünleri görün.
Duyuru
Bu makalede, Windows 2000 için geçerlidir. 13 Temmuz 2010 üzerinde Windows 2000 Destek sonlandırıyor.Windows 2000 End-of-Support Solution Center, Windows 2000'den geçiş stratejisini planlama bir başlangıç noktasıdır. Daha fazla bilgi için Microsoft Support Lifecycle Policy "konusuna bakın.
Hepsini aç | Hepsini kapa

Bu Sayfada

Giriş

Microsoft Windows 2000, bir ınternet Protokolü güvenliği otomatik olarak oluşturur Katman 2 tünel iletişim kuralı ile (L2TP) kullanılan (ıpsec) ilkesi / ıpsec bağlantıları, ınternet anahtar değişimi (IKE) kimlik doğrulaması için sertifika gerektirir. Microsoft, IKE kimlik doğrulaması için preshare bir anahtarı kullanarak, L2TP/ıpsec ağ geçidi ağ geçidine sanal özel ağ (VPN) uygulamalarını destekler. Ancak, Microsoft IKE kimlik doğrulaması uzaktan erişim, L2TP/ıpsec istemci bağlantıları için bir pre-share anahtarının kullanılmasını desteklemez. Windows 2000, IKE RFC 2409'ile uyumludur ve Uzaktan erişim L2TP/ıpsec istemcisi bağlantılarda pre-share anahtar IKE kimlik doğrulaması uygulamak sağlar. Ancak, bu uygulama yalnızca sınama için kullanmanız önerilir.

Bir L2TP/ıpsec bağlantısı ile kullanılacak önceden paylaşılan anahtar kimlik doğrulama yöntemi uygulamak için <a0></a0>:
  • Her iki bitiş noktası, Windows 2000 tabanlı bilgisayarlara ProhibitIpSec kayıt defteri değeri eklemeniz gerekir.
  • Iki Windows 2000 tabanlı bilgisayar arasında bir L2TP/ıpsec bağlantısı kuruldu önce bir ıpsec ilkesi el ile yapılandırmanız gerekir.
Bu makalede, üzerinden bir yerel ağ (önceden paylaşılan anahtar kimlik doğrulaması ile bir L2TP/ıpsec bağlantısı kullanılacak LAN) bağlı olan iki Windows 2000 Yönlendirme ve Uzaktan Erişim hizmeti sunucuları yapılandırma. Ayrıca birden çok önceden paylaşılmış anahtarlar veya CA'yı kullanarak, bağlantıları kabul etmek üzere bir ıpsec ilkesi yapılandırma hakkında bilgi içerir.

Daha fazla bilgi

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme

Önceden paylaşılan anahtar kimlik doğrulaması ile bir L2TP/ıpsec bağlantısı kullanmak üzere bir yerel Ağ üzerinden bağlı olan iki Windows 2000 Yönlendirme ve Uzaktan Erişim hizmeti sunucuları yapılandırmak için <a0></a0>, bir L2TP/ıpsec bağlantısı, otomatik filtre için L2TP/ıpsec trafiğine oluşturulmasını önlemek için her bitiş noktası, Windows 2000 tabanlı bilgisayara ProhibitIpSec kayıt defteri değeri eklemeniz gerekir.

ProhibitIpSec kayıt defteri değerini 1 olarak ayarlandığında, Windows 2000 tabanlı bilgisayarınız CA kimlik doğrulamasını kullanan bir otomatik filtre oluşturmaz. Bunun yerine, bir yerel ya da Active Directory ıpsec ilkesindeki denetler.

Windows 2000 tabanlı bilgisayarınız ProhibitIpSec kayıt defteri değeri eklemek için aşağıdaki adımları izleyin:
  1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, regedt32 yazın ve Tamam ' ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Düzen menüsünde, Değer Ekle'yi tıklatın.
  4. Değer adı</a0> kutusunda, ProhibitIpSec yazın.
  5. Veri türü listesinde, REG_DWORD ' ı tıklatın ve sonra Tamam ' ı tıklatın.
  6. Veri kutusunda 1 yazın ve Tamam ' ı tıklatın.
  7. Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarınızı yeniden başlatın.

Önceden paylaşılan anahtar kullanarak, L2TP/ıpsec bağlantıları ile kullanmak için bir ıpsec ilkesi oluşturma hakkında

Not Aşağıdaki yordam, ProhibitIpSec kayıt defteri değeri, her iki Windows 2000 Yönlendirme ve Uzaktan erişim noktası sunucuya eklenir ve Windows 2000 Yönlendirme ve Uzaktan erişim noktası sunucuları başlatıldıktan varsayar.
  1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, mmc yazın ve Tamam ' ı tıklatın.
  2. Konsolu ' nu tıklatın, Ek Bileşen Ekle/Kaldır'ı tıklatın, Ekle ' yi tıklatın, IP güvenlik ilkeleri yönetimi ' ni tıklatın, Ekle ' yi tıklatın, son ' u tıklatın, Kapat ' ı tıklatın ve sonra Tamam ' ı tıklatın.
  3. Yerel makine üzerindeki IP güvenlik ilkeleri sağ tıklatın, IP güvenlik ilkesi oluştur'u tıklatın ve sonra ileri ' yi tıklatın.
  4. IP güvenlik ilkesi adı iletişim kutusunda, IP güvenlik ilkesi için ad <a2>ad</a2> kutusuna yazın ve sonra ileri ' yi tıklatın.
  5. Istekleri için güvenli bir iletişim kutusu <a0>Varsayılan yanıt kuralını etkinleştir</a0> onay kutusunu temizleyin ve sonra ileri ' yi tıklatın.
  6. Özellikleri Düzenle onay kutusunu tıklatıp seçin ve sonra da <a2>son</a2>'u tıklatın.
  7. Yeni IP güvenlik ilkesi özellikleri iletişim kutusunda, kuralları sekmesinde Ekle ' yi tıklatın ve sonra ileri ' yi tıklatın.
  8. Tünel bitiş noktası iletişim kutusunda, Bu kural değil belirttiğiniz bir tünel'ı tıklatın ve sonra ileri ' yi tıklatın.
  9. Ağ türü iletişim kutusunda, tüm ağ bağlantıları ' nı tıklatın ve sonra ileri ' yi tıklatın.
  10. Kimlik doğrulama yöntemi iletişim kutusundan, anahtar değişimini (önceden paylaşılan anahtar) korumak için bu dizeyi kullan ' ı tıklatın, sonra da bir önceden paylaşılmış anahtarı yazın ve sonra ileri ' yi tıklatın.
  11. IP süzgeç listesi) iletişim kutusunda, Ekle ' yi tıklatın <a2>ad</a2> kutusuna IP süzgeç listesi için bir ad yazın, Ekle ' yi tıklatın ve sonra ileri ' yi tıklatın.
  12. IP trafiği kaynağı iletişim kutusunu <a0>kaynak adres</a0> kutusunda belirli bir IP adresi'ni tıklatın, Aktarım Denetimi Protokolü/ınternet iletişim kuralı (TCP/IP) adresi kaynak Windows 2000 Yönlendirme ve Uzaktan erişim sunucusu IP adresi kutusuna yazın ve sonra ileri ' yi tıklatın.

    Not Her Windows 2000 Yönlendirme ve Uzaktan erişim son nokta sunucusunda kullandığı kaynak adresi eşleşmesi gerekir. Örneğin, kaynak adresi 1.1.1.1 ise, Windows 2000 Yönlendirme ve Uzaktan erişim hem de bitiş noktası sunucularda kaynak adres olarak 1.1.1.1 kullanmalısınız.
  13. IP trafiği hedefi iletişim kutusunda, belirli bir IP adresi <a0>hedef adres</a0> kutusunda tıklatın, TCP/IP adresi ve hedef Windows 2000 Yönlendirme ve Uzaktan erişim sunucusu yazın ve sonra ileri ' yi tıklatın.

    Not Her Windows 2000 Yönlendirme ve Uzaktan erişim son nokta sunucusunda kullanılan hedef adresin aynı olmalıdır. Örneğin, hedef adresi 2.2.2.2 ise, Windows 2000 Yönlendirme ve Uzaktan erişim hem de bitiş noktası sunucularda hedef adresi olarak 2.2.2.2 kullanmalısınız.
  14. IP iletişim kuralı türü iletişim kutusunda, UDPiletişim kuralı türü seçin) kutusunda tıklatın ve sonra ileri ' yi tıklatın.
  15. IP iletişim kuralı bağlantı noktası iletişim kutusunda, Bu bağlantı noktasından ' ı tıklatın, 1701Aşağıdaki bağlantı noktasından iletişim kutusuna yazın, herhangi bir bağlantı'yı tıklatın ve sonra ileri ' yi tıklatın.
  16. Özellikleri Düzenle onay kutusunu seçin, son ' u tıklatın ve sonra Yansımalı seçmek için tıklatın, bu seçeneği tıklatın. Paketleri tam karşılık gelen kaynak ve hedef adresleriyle ile de eşleşenSüzgeç özellikleri</a0> iletişim kutusundaki onay kutusu.
  17. Tamam ' ı tıklatın ve sonra Kapat ' ı tıklatın.
  18. IP süzgeç listesi) iletişim kutusunda, oluşturduğunuz IP süzgeci tıklatın ve sonra ileri ' yi tıklatın.
  19. Süzme eylemi iletişim kutusundaki Ekle ' yi tıklatın ve sonra da hangi bütünlük ve şifreleme algoritmaları kullanılacak belirten yeni bir süzme eylemi oluşturun.

    Not Bu yeni bir süzgeç eylemi, güvenliği artırmak için devre dışı "Güvenli olmayan iletişimi kabul et ancak her zaman ıpsec'i kullanarak yanıt ver" özelliğini olması gerekir.
  20. Ileri ' yi tıklatın, sonra son ' u tıklatın ve sonra Kapat ' ı tıklatın.
  21. Yeni oluşturduğunuz ıpsec ilkesinin'ı sağ tıklatın ve sonra da <a2>Ata</a2>'ı tıklatın.
Not Windows 2000 Yönlendirme ve Uzaktan erişim hem de bitiş noktası sunucular aynı şekilde yapılandırmanız gerekir. Ipsec süzgeç bağlantının bir tarafını, ilk Windows 2000 Yönlendirme ve Uzaktan erişim son nokta sunucusunda ayarlanmış, ve sonra bir ıpsec süzgeç kopyasını ikinci Windows 2000 tabanlı bir Yönlendirme ve Uzaktan erişim son nokta sunucusunda oluşturulur görüntülenir. Bu makalenin önceki bölümlerinde açıklanan örnek göre ilk Windows 2000 Yönlendirme ve Uzaktan erişim uç sunucunun bir TCP/IP adresi varsa 1.1.1.1 ve bitiş ikinci Windows 2000 Yönlendirme ve Uzaktan erişim noktası, sunucu bir TCP/IP adresi 2.2.2.2 sahiptir, bu süzgeç ıpsec ilkesinde, hem Windows 2000 Yönlendirme ve Uzaktan erişim uç sunucularda 1.1.1.1 kaynak adresi ve hedef adresi 2.2.2.2 oluşturulması. Bu bağlantıyı başlatmak için ya da Windows 2000 Yönlendirme ve Uzaktan erişim son nokta sunucusu izin verir.

Birden çok önceden paylaşılmış anahtarlar veya CA'yı kullanarak, bağlantıları kabul etmek üzere bir ıpsec ilkesi yapılandırma

Önceden paylaşılmış bir anahtarı kullanarak bir ilke olan bir süzgeç oluşturulduktan sonra farklı bir önceden paylaşılmış anahtarlar veya CA'lar gerektiren diğer bağlantılar için ıpsec ilkesinde, ek bir kural oluşturmanız gerekir.

CA'ları kullanan Windows 2000 tarafından oluşturulan otomatik filtreler hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
248750L2TP/ıpsec için oluşturulmuş bir otomatik filtre açıklaması
253498Bir sertifika kullanmak için IP güvenliği ile yükleme


Microsoft önceden paylaşılmış anahtarlar L2TP/ıpsec VPN veya uzak istemciler için aşağıdaki nedenlerle desteklemez:
  • Bu güvenli bir iletişim kuralı Parolaları'nı seçerek bir iyi bilinen güvenli olmayan kullanım sorunu geçerlidir. Yayımlanmış saldırılara zayıf bir önceden paylaşılmış anahtarlar göstermek için göstermiştir.
  • Güvenli biçimde dağıtılabilir değil. Önceden paylaşılan anahtar yapılandırma kullanıcı tarafından erişim şirket ağ geçidine gerekir, çünkü birçok kullanıcı bu bilirsiniz ve şeklini "grubu önceden paylaşılan anahtardır." Uzun önceden paylaşılan anahtar yazılacak neredeyse kesinlikle yoktur. Tüm grup için yeni bir önceden paylaşılan anahtar anahtarlamalı kadar bağımsız bir bilgisayar erişimini iptal değil.
  • Microsoft Yardım, Kaynak Seti bölümlerde belgelenen ve Microsoft Knowledge Base makale numarası 248711, Windows 2000 ıpsec önceden paylaşılan anahtar, yalnızca RFC uyumluluğu için güvenliğin önemli olmadığı bir birlikte çalışabilirlik ve birlikte çalışabilirlik sınaması için sağlanır. Önceden paylaşılan anahtar, yalnızca yerel Yöneticiler, okuma erişimi sahibi olur, ancak yerel Yöneticiler biliyorsanız ve onu ayarlamak zorunda yerel kayıt defterinde depolanır. Bu nedenle, herhangi bir yerel yönetici Bkz: gelecekte veya değiştirebilirsiniz.
  • Müşteriler ve Microsoft önceden paylaşılan anahtar kullanarak destek maliyeti yüksek olabilir.
  • Bir Windows 2000 tabanlı bir bilgisayar sertifikaları alma Windows 2000 tabanlı istemci Windows 2000 etki alanı üyesi olduğunda, Windows 2000 Grup ilkesi otomatik kayıt kullanarak bir Web sayfası isteği kadar kolay ve daha da kolay olabilir. Genel ıpsec tabanlı VPN dağıtımı için en güvenli yöntem budur.
Microsoft, yerel olarak bu üzerindeki ağ geçidini başına statik IP adddress temelinde çok bilgili bir ağ geçidi yönetici tarafından yapılandırılmak zorunda olduğundan, L2TP/ıpsec VPN tünelleri ağ geçidini geçidine bir önceden paylaşılan anahtarla destekler. Ipsec tünelleri, yalnızca statik IP adresleri kullanılır ve yalnızca, değil, bağlantı noktası adresi tabanlı ilke seçiciler ve iletişim kuralı için desteklenir. Ağ geçidi geçidine için L2TP/ıpsec kullanmanızı öneririz. ıpsec tünel modu, yalnızca L2TP/ıpsec bir seçenek değilse, ağ geçidi geçidine için kullanın.

Özellikler

Makale numarası: 240262 - Last Review: 12 Ekim 2007 Cuma - Gözden geçirme: 4.6
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Anahtar Kelimeler: 
kbmt kbenv kbhowto kbnetwork KB240262 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:240262

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com