如何藉由使用預先共用金鑰驗證設定以 L2TP/IPSec 連線

文章翻譯 文章翻譯
文章編號: 240262 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
全部展開 | 全部摺疊

在此頁中

簡介

Microsoft Windows 2000 會自動建立網際網路通訊協定安全性 (IPSec) 原則與第 2 層通道通訊協定 (L2TP) 一起使用 / IPSec 連線的網際網路金鑰交換 (IKE) 驗證需要憑證。Microsoft 支援 L2TP/IPSec 閘道對閘道的虛擬私人網路 (VPN) 的實作,方法是使用 preshare 金鑰 IKE 驗證。 不過,Microsoft 不支援使用 pre-share 機碼上 L2TP/IPSec 遠端存取的用戶端連線的 IKE 驗證。 Windows 2000 是與 IKE RFC 2409 相容,並可讓您 L2TP/IPSec 遠端存取的用戶端連線上實作 pre-share IKE 驗證金鑰。但是,我們建議您對測試只使用這項實作。

若要實作使用 L2TP/IPSec 連線的預先共用的金鑰驗證方法:
  • 您必須加入兩個 Windows 2000 基礎端點電腦 ProhibitIpSec 登錄值。
  • Windows 2000 為基礎的兩部電腦之間建立了 L2TP/IPSec] 連線之前,您必須手動設定 IPSec 原則。
本文將告訴您,如何設定兩個 Windows 2000 為基礎的路由及遠端存取服務伺服器連接透過一個區域網路 (LAN) 使用預先共用金鑰驗證 L2TP/IPSec 連線的。也包含是有關如何設定 IPSec 原則,以使用多個預先共用金鑰或 CA 接受連線的資訊。

其他相關資訊

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄

若要進行兩個 Windows 2000 路由及遠端存取服務伺服器透過區域網路 (LAN) 使用預先共用金鑰驗證 L2TP/IPSec 連線連接,您必須新增 ProhibitIpSec 登錄值 L2TP/IPSec 連線若要避免 L2TP/IPSec 流量的自動篩選器所建立的每個 Windows 2000 基礎端點電腦。

當 ProhibitIpSec 登錄值設定為 1 時,Windows 2000 架構的電腦並不會建立自動篩選) 的使用 CA 驗證。而是,它會檢查本機或 Active Directory IPSec 原則。

如果要將 ProhibitIpSec 登錄值新增到 Windows 2000 電腦,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]、 輸入 regedt32,然後再按一下 [確定]]。
  2. 找出並點選下列登錄子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. 在 [編輯] 功能表上按一下 [新增值]。
  4. 在 [數值名稱] 方塊中,輸入 ProhibitIpSec
  5. 資料類型] 清單中按一下 REG_DWORD,再按 [確定]
  6. 在 [資料] 方塊中輸入 1,],然後再按一下 [確定]]。
  7. 結束 「 登錄編輯程式 」,然後重新啟動您的電腦。

如何建立具有 L2TP/IPSec 連線使用 IPSec 原則,使用預先共用的金鑰

附註 下列程序會假設 ProhibitIpSec 登錄值會加入至這兩個 Windows 2000 路由及遠端存取端點伺服器,並重新啟動 [Windows 2000 路由及遠端存取端點伺服器。
  1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
  2. 按一下 主控台,按一下 [新增/移除嵌入式管理單元、 按一下 [新增]、 按一下 [IP 安全性原則管理、 按一下 [新增]、 按一下 [完成]、 按一下 [關閉],然後再按一下 [確定]
  3. 用滑鼠右鍵按一下 [IP 安全性原則本機電腦上,按一下 [建立 IP 安全性原則,然後再按一下 [下一步]
  4. 在 [IP 安全性原則名稱] 對話方塊在 [名稱] 方塊中輸入 IP 安全性原則的名稱,然後按一下 [下一步]。
  5. 在 [安全通訊的要求] 對話方塊按一下以清除 [啟動預設回應規則] 核取方塊,然後再按一下 [下一步]
  6. 按一下以選取 [編輯內容] 核取方塊,然後按一下 [完成]
  7. 新的 IP 安全性原則內容] 對話方塊按一下 [在 [規則] 索引標籤上的 [新增],然後再按一下 [下一步]
  8. 在 [通道結束點] 對話方塊按一下 [這個規則並沒有指定 IPsec 通道],然後再按一下 [下一步]
  9. 在 [網路類型] 對話方塊按一下 [所有網路連線,然後按一下 [下一步]。
  10. 在 [驗證方法] 對話方塊按一下 [使用這個字串來保護金鑰交換 (預先共用金鑰)、 輸入預先共用的金鑰,然後按一下 [下一步]。
  11. 在 [IP 篩選器清單] 對話方塊請按一下 [新增],在 [名稱] 方塊中輸入的 IP 篩選器清單名稱]、 按一下 [新增],然後再按一下 [下一步]。
  12. 在 [IP 流量來源] 對話方塊按一下在 [來源位址] 方塊中 的特定 IP 位址IP 位址] 方塊中輸入傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 位址的來源 Windows 2000 為基礎的路由及遠端存取伺服器,然後按一下 [下一步]。

    附註會在每個 Windows 2000 路由及遠端存取端點伺服器使用來源位址必須相符。比方說如果來源位址 1.1.1.1 您必須使用 1.1.1.1 為 Windows 2000 為基礎的路由及遠端存取端點伺服器上的來源地址。
  13. 在 [IP 流量目的] 對話方塊按一下在 [目的地位址] 方塊中 的特定 IP 位址,請輸入 TCP/IP 位址的目的地 Windows 2000 為基礎的路由及遠端存取伺服器,然後再按一下 [下一步]

    附註 會在每個 Windows 2000 路由及遠端存取端點伺服器使用目的地位址必須相符。比方說如果目的地位址 2.2.2.2 您必須使用 2.2.2.2 為 Windows 2000 為基礎的路由及遠端存取端點伺服器上的目的地位址。
  14. 在 [IP 通訊協定類型] 對話方塊按一下 [選取的通訊協定類型] 方塊中,UDP,然後按一下 [下一步]
  15. 在 [IP 通訊協定連接埠] 對話方塊按一下 [從這個連接埠],在 [從這個連接埠] 方塊中輸入 1701年、 按一下 [到任意連接埠,然後再按一下 [下一步]。
  16. 按一下以選取 [編輯內容] 核取方塊,按一下 [完成],然後按一下以選取 鏡像。也符合具有完全相反的來源和目的位址的封包篩選器內容] 對話方塊中核取方塊。
  17. 按一下 [確定],然後再按一下 [關閉]
  18. 在 [IP 篩選器清單] 對話方塊請按一下您剛才建立的 IP 篩選器,然後按一下 [下一步]。
  19. 在 [篩選器動作] 對話方塊按一下 [新增],然後建立新的篩選器動作,指定將使用哪一種完整性及加密演算法。

    附註這個新的篩選器動作必須有以改善安全性停用"接受無安全性的通訊,但永遠使用 IPsec 來回應 」 功能。
  20. 按一下 [下一步],按一下 [完成],然後再按一下 [關閉]
  21. 您剛建立的 IPSec 原則上按一下滑鼠右鍵,然後按一下 [分派]。
附註 您必須設定 Windows 2000 為基礎的路由及遠端存取端點伺服器相同的方式。當它在第一個 Windows 2000 為基礎的路由及遠端存取端點] 伺服器上設定而且然後 IPSec 篩選器的複本在第二個 Windows 2000 架構的路由及遠端存取端點伺服器上所建立,是從一方的連線檢視 IPSec 篩選器。 根據本文稍早所描述的範例,如果第一個 Windows 2000 路由及遠端存取端點伺服器有 TCP/IP 位址 1.1.1.1 和第二個 Windows 2000 路由及遠端存取端點的伺服器具有 2.2.2.2 的 TCP/IP 位址時,會建立一個篩選器內來源位址為 1.1.1.1,2.2.2.2 一個目的位址的 Windows 2000 為基礎的路由及遠端存取端點伺服器上的 IPSec 原則。這可讓其中一個 Windows 2000 路由及遠端存取端點伺服器來起始連線。

如何設定 IPSec 原則,以使用多個預先共用的金鑰或 CA 接受連線

使用預先共用的金鑰來使用篩選建立一個原則之後必須建立其他規則中需要不同的預先共用的金鑰或 CA 的其他連線所 IPSec 原則。

取得更多資訊有關自動篩選器所建立的 Windows 2000 使用 CA 按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
248750為使用 L2TP/IPSec 與建立的自動篩選的描述
253498如何安裝使用的憑證具有 IP 安全性


Microsoft 不支援預先共用的金鑰 L2TP/IPSec VPN 或遠端用戶端的原因如下:
  • 它主體安全的通訊協定選取密碼是已知的非安全性使用量問題。已發行的攻擊顯示以顯示弱式的預先共用的金鑰。
  • 不安全地部署。由於存取公司閘道所需的使用者,正在設定預先共用的金鑰,許多使用者會知道這,它會變成一個 「 群組預先共用的金鑰 」。 長預先共用的金鑰就幾乎肯定也必須寫下來。個別的電腦存取不撤銷,直到整個群組必須切換到新的預先共用金鑰。
  • Microsoft 已記載於說明資源套件章節,並在微軟知識庫文件編號 248711,Windows 2000 IPSec 預先共用金鑰會提供只給 RFC 相容性測試,互通性和安全性並不是重要的考量的互通性。預先共用的金鑰儲存在只有本機系統管理員可以讀取存取,但本機系統管理員必須知道它,將它設定本機登錄中。因此,任何本機系統管理員可以在未來查看或變更它。
  • 使用預先共用的金鑰,針對客戶和 Microsoft 的支援成本會高。
  • 取得 Windows 2000 架構的電腦憑證可以藉由使用 Windows 2000 「 群組原則自動註冊,Windows 2000 架構用戶端就是 Windows 2000 網域的成員時是非常簡單的只要網頁的要求或甚至更容易。這通常是最安全的方法部署 IPSec VPN。
Microsoft 不會支援 VPN L2TP/IPSec 通道閘道對閘道以預先共用金鑰,因為它必須設定在本機上該閘道由針對每個靜態 IP adddress 上非常知識豐富的閘道管理員。只支援 IPSec 通道,使用靜態 IP 位址,以及地址原則選取器唯一、 不連接埠及通訊協定。我們建議您針對閘道至閘道使用 L2TP/IPSec。IPSec 通道模式的閘道至閘道時,才使用 L2TP/IPSec 不可行。

屬性

文章編號: 240262 - 上次校閱: 2007年10月12日 - 版次: 4.6
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbmt kbenv kbhowto kbnetwork KB240262 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:240262
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com