如何使用预共享密钥身份验证配置 L2TP/IPSec 连接

文章翻译 文章翻译
文章编号: 240262 - 查看本文应用于的产品
注意
本文适用于 Windows 2000。对 Windows 2000 的支持于 2010 年 7 月 13 日结束。Windows 2000 支持结束解决方案中心是规划 Windows 2000 迁移策略的起点。有关详细信息,请参阅 Microsoft 支持周期策略
展开全部 | 关闭全部

本文内容

简介

Microsoft Windows 2000 会自动创建一个与第二层隧道协议 (L2TP)/IPSec 连接(该连接需要用于 Internet 密钥交换 (IKE) 身份验证的证书)一起使用的 Internet 协议安全 (IPSec) 策略。Microsoft 支持通过使用预共享密钥进行 IKE 身份验证的 L2TP/IPSec 网关对网关虚拟专用网络 (VPN) 实现。但是,Microsoft 不支持在远程访问 L2TP/IPSec 客户端连接上使用预共享密钥进行 IKE 身份验证。Windows 2000 符合 IKE RFC 2409,允许在远程访问 L2TP/IPSec 客户端连接上实现使用预共享密钥进行 IKE 身份验证。但是,我们建议您仅将此实现用于测试。

要实现将预共享密钥身份验证方法用于 L2TP/IPSec 连接:
  • 必须向两台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值。
  • 必须手动配置一个 IPSec 策略,然后才能在两台基于 Windows 2000 的计算机之间建立 L2TP/IPSec 连接。
本文讲述如何配置两台通过局域网 (LAN) 连接的、基于 Windows 2000 的路由和远程访问服务服务器,使它们使用一个采用预共享密钥身份验证的 L2TP/IPSec 连接。本文还包括关于如何配置 IPSec 策略来接受使用多个预共享密钥或 CA 的连接的信息。

更多信息

重要说明 本部分(或称方法或任务)包含有关如何修改注册表的步骤。但是,注册表修改不当可能会出现严重问题。因此,请一定严格按照下列步骤操作。为了获得进一步保护,请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表

要配置两台通过 LAN 连接的、基于 Windows 2000 的路由和远程访问服务服务器,使它们使用一个采用预共享密钥身份验证的 L2TP/IPSec 连接,必须向 L2TP/IPSec 连接上的每台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值,以防止创建用于 L2TP/IPSec 通信的自动筛选器。

ProhibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Directory IPSec 策略。

要向基于 Windows 2000 的计算机添加 ProhibitIpSec 注册表值,请按照下列步骤操作:
  1. 单击“开始”,单击“运行”,键入 regedt32,然后单击“确定”。
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. 在“编辑”菜单上,单击“添加值”。
  4. 在“值名称”框中,键入 ProhibitIpSec
  5. 在“数据类型”列表中,单击“REG_DWORD”,然后单击“确定”。
  6. 在“数据”框中,键入 1,然后单击“确定”。
  7. 退出注册表编辑器,然后重新启动计算机。

如何通过使用预共享密钥创建用于 L2TP/IPSec 连接的 IPSec 策略

注意 以下过程假定 ProhibitIpSec 注册表值已添加到两台基于 Windows 2000 的路由和远程访问终结点服务器上,并且基于 Windows 2000 的路由和远程访问终结点服务器已经重新启动。
  1. 单击“开始”,单击“运行”,键入 mmc,然后单击“确定”。
  2. 依次单击“控制台”、“添加/删除管理单元”、“添加”、“IP 安全策略管理”、“添加”、“完成”、“关闭”,然后单击“确定”。
  3. 右键单击“本地计算机上的 IP 安全策略”,单击“创建 IP 安全策略”,然后单击“下一步”。
  4. 在“IP 安全策略名称”对话框中,在“名称”框中键入 IP 安全策略的名称,然后单击“下一步”。
  5. 在“安全通讯请求”对话框中,单击以清除“激活默认响应规则”复选框,然后单击“下一步”。
  6. 单击以选中“编辑属性”复选框,然后单击“完成”。
  7. 在“新 IP 安全策略属性”对话框中,单击“规则”选项卡上的“添加”,然后单击“下一步”。
  8. 在“隧道终结点”对话框中,单击“此规则不指定隧道”,然后单击“下一步”。
  9. 在“网络类型”对话框中,单击“所有网络连接”,然后单击“下一步”。
  10. 在“身份验证方法”对话框中,单击“此字串用来保护密钥交换(预共享密钥)”,键入一个预共享密钥,然后单击“下一步”。
  11. 在“IP 筛选器列表”对话框中,单击“添加”,在“名称”框中键入 IP 筛选器列表的名称,单击“添加”,然后单击“下一步”。
  12. 在“IP 通信源”对话框中,在“源地址”框内单击“一个特定的 IP 地址”,在“IP 地址”框中键入基于 Windows 2000 的源路由和远程访问服务器的传输控制协议/Internet 协议 (TCP/IP) 地址,然后单击“下一步”。

    注意:在各台基于 Windows 2000 的路由和远程访问终结点服务器上使用的源地址必须相匹配。例如,如果源地址是 1.1.1.1,则您必须在两台基于 Windows 2000 的路由和远程访问终结点服务器上都使用 1.1.1.1 作为源地址。
  13. 在“IP 通信目标”对话框中,在“目标地址”框内单击“一个特定的 IP 地址”,键入基于 Windows 2000 的目标路由和远程访问服务器的 TCP/IP 地址,然后单击“下一步”。

    注意:在各台基于 Windows 2000 的路由和远程访问终结点服务器上使用的目标地址必须相匹配。例如,如果目标地址是 2.2.2.2,则您必须在两台基于 Windows 2000 的路由和远程访问终结点服务器上都使用 2.2.2.2 作为目标地址。
  14. 在“IP 协议类型”对话框中,在“选择协议类型”框中单击“UDP”,然后单击“下一步”。
  15. 在“IP 协议端口”对话框中,单击“从此端口”,在“从此端口”框中键入 1701,单击“到任意端口”,然后单击“下一步”。
  16. 单击以选中“编辑属性”复选框,单击“完成”,然后单击以选中“筛选器属性”对话框中的“镜像。同时匹配具有正好相反的源和目标地址的数据包”复选框。
  17. 单击“确定”,然后单击“关闭”。
  18. 在“IP 筛选器列表”对话框中,单击您刚才创建的 IP 筛选器,然后单击“下一步”。
  19. 在“筛选器操作”对话框中,单击“添加”创建一个新的筛选器操作,指定要使用的完整性和加密算法。

    注意:此新建的筛选器操作必须禁用“接受不安全的通讯,但总是用 IPSec 响应”功能,以提高安全性。
  20. 单击“下一步”,单击“完成”,然后单击“关闭”。
  21. 右键单击您刚才创建的 IPSec 策略,然后单击分配
注意:您必须用完全相同的方式配置两台基于 Windows 2000 的路由和远程访问终结点服务器。在第一台基于 Windows 2000 的路由和远程访问终结点服务器上设置好 IPSec 筛选器后,即可在连接的一端看到它,接着会在第二台基于 Windows 2000 的路由和远程访问终结点服务器上创建它的一个副本。根据本文前面讲述的示例,如果第一台基于 Windows 2000 的路由和远程访问终结点服务器 TCP/IP 地址是 1.1.1.1,第二台基于 Windows 2000 的路由和远程访问终结点服务器 TCP/IP 地址是 2.2.2.2,则这两台基于 Windows 2000 的路由和远程访问终结点服务器上的 IPSec 策略内会创建一个源地址为 1.1.1.1、目标地址为 2.2.2.2 的筛选器。这使得每台基于 Windows 2000 的路由和远程访问终结点服务器都可以发起该连接。

如何通过使用多个预共享密钥或 CA 将 IPSec 策略配置为接受连接

通过使用与共享密钥创建一个带有筛选器的策略后,您必须在 IPSec 策略内为需要不同预共享密钥或 CA 的其他连接创建额外的规则。

有关 Windows 2000 创建的、使用 CA 的自动筛选器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248750 为 L2TP/IPSec 创建的 IPSec 策略的说明
253498 如何安装用于 IP 安全的证书


Microsoft 因以下原因不支持 L2TP/IPSec VPN 或远程客户端使用预共享密钥:
  • 这种密钥会使安全协议受到众所周知的不安全使用问题(选择密码)的影响。公布出来的攻击已经证明预共享密钥的安全性低。
  • 它不能够被安全地部署。由于配置预共享密钥的用户需要访问公司网关,因此许多用户都会知道该密钥,这样它就成了一个“组预共享密钥”。较长的预共享密钥几乎都必须写下来。整个组都换用新的预共享密钥后,才能取消各台计算机的访问。
  • 正如 Microsoft 在帮助、各 Resource Kit 章节和编号为 248711 的 Microsoft 知识库文章中所述,Windows 2000 IPSec 预共享密钥仅供用于 RFC 遵从性、互操作性测试和不涉及安全性的互操作性方面。预共享密钥存储在只有本地管理员才有读访问权的本地注册表中,但本地管理员必须知道并设置它。因此,将来任何本地管理员都可以看到或更改它。
  • 在使用预共享密钥时,客户和 Microsoft 的支持成本都很高。
  • 当基于 Windows 2000 的客户端是 Windows 2000 域的成员时,使用 Windows 2000 组策略自动注册来获取一个基于 Windows 2000 的计算机证书可以像请求网页那样容易,甚至更容易。这通常是部署基于 IPSec 的 VPN 的最安全方法。
Microsoft 确实会为使用预共享密钥的 VPN L2TP/IPSec 网关对网关隧道提供支持,因为它必须由一个知识渊博的网关管理员针对每个静态 IP 地址在该网关上进行本地配置。IPSec 隧道仅在使用静态 IP 地址时受支持,并且仅支持基于地址的策略选择器,而不支持基于端口和协议的策略选择器。建议为网关对网关使用 L2TP/IPSec。只有在不能选用 L2TP/IPSec 时,才为网关对网关使用 IPSec 隧道模式。
注意:本篇“快速发布”文章是从 Microsoft 支持组织直接创建的。 文中包含的信息按原样提供,用于响应紧急问题。 由于发布仓促,材料可能包含印刷错误,并且可能随时修订,恕不另行通知。 有关其他注意事项,请参阅使用条款

属性

文章编号: 240262 - 最后修改: 2013年7月2日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbenv kbhowto kbnetwork KB240262
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com