Beschreibung der für L2TP/IPSec erstellten IPSec-Richtlinie

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 248750 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D42802
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
248750 Description of the IPSec Policy Created for L2TP/IPSec
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Windows 2000 erstellt automatisch eine IP Security Protocol-Richtlinie (IPSec-Richtlinie) für die Verwendung bei Verbindungen zwischen Layer 2 Tunneling Protocol (L2TP) und IPSec. Diese IPSec-Richtlinie verwendet lokale Computerzertifikate für die gegenseitige Authentifizierung.

Weitere Informationen

Erstellung der L2TP-Serverrichtlinie:

Die IPSec-Richtlinie wird automatisch durch den RRAS-Server erstellt, der diese Richtlinie beim Start in den IPSec-Richtlinien-Agenten aufnimmt. Wenn der Richtlinien-Agent gestoppt oder neu gestartet wird, geht die L2TP/IPSec-Richtlinie verloren. Wird der RRAS-Server gestartet, während der Richtlinien-Agent gestoppt ist, schlägt das Erstellen der Richtlinie fehl. Aus diesem Grund müssen Sie den Richtlinien-Agenten stoppen und neu starten und dann den RRAS-Server für die Richtlinie stoppen und neu starten (wenn der Richtlinien-Agent neu gestartet werden muss oder bereits gestoppt ist), damit die Richtlinie ordnungsgemäß erstellt werden kann.

Die erstellten L2TP-Serverfilter weisen die folgende Form auf: "Ich an Alle", "Quellport: Alle" und "Zielport: UDP 1701", wobei "Ich" für die IP-Adresse(n) steht, die an den Servercomputer gebunden sind.

Erstellung der L2TP-Clientrichtlinie:

Auf dem Client werden die Filter in den Richtlinien-Agenten aufgenommen, wenn unter Verwendung einer Verbindung aus "Netzwerk- und DFÜ-Verbindungen" oder mit Hilfe einer Dial-on-Demand-Schnittstelle (DOD-Schnittstelle) in der RRAS Management Console versucht wird, eine L2TP-Verbindung aufzubauen. Diese Filter werden in dem folgenden Format erstellt: "Ich an Server", "Quellport: UDP 1701" und "Zielport: Alle", wobei "Server" die IP-Adresse repräsentiert, die für die Herstellung einer Verbindung durch den Client konfiguriert wurde. Diese Filter bleiben für die gesamte Dauer der L2TP-Verbindung erhalten und werden gelöscht, wenn die Verbindung getrennt wird.

Einsehen der automatisch erstellten Richtlinie:

Die Richtlinie kann nicht im Snap-In für IP-Sicherheitsrichtlinien eingesehen werden und ist nicht konfigurierbar. Sie können sich diese Richtlinie jedoch ansehen, indem Sie nach dem Start des Richtlinien-Agenten und des RRAS-Servers das Hilfsprogramm "Netdiag" einsetzen; außerdem können Sie sich nach dem Aufbau einer Verbindung mit "Ipsecmon" die Richtlinien-/Sicherheitsassoziationen ansehen, auf die sich die beiden Computer geeinigt haben.

Ipsecmon:

Nachdem eine Verbindung aufgebaut worden ist, können Sie das Dienstprogramm "Ipsecmon" einsetzen, um sich die in Kraft befindlichen Richtlinien anzusehen. Dabei sehen Sie eventuell Elemente, die denen aus der nachstehenden Beispielausgabe für eine standardmäßige L2TP/IPSec-Verbindung (Client-to-Server oder Server-to-Server) ähneln:
Richtlinienname: L2TP Rule
Sicherheit: ESP DES/CBC HMAC MD5
Filtername: Kein Name - Spiegel
Quelladresse: IP-Adresse oder Name des Computers
Zieladresse: IP-Adresse oder Name des Computers
Protokoll: UPD
Quellport: 1701
Zielport: 0
Tunnelendpunkt: <keiner>

Netdiag:

Um die Richtlinie ohne eine aktive Verbindung einsehen zu können, sehen Sie sich die IPSec-Richtlinie mit dem Hilfsprogramm "Netdiag" an, während sie in Kraft ist. Der Befehl zum Einsehen der aktuell aktiven IPSec-Richtlinie lautet:
netdiag /test:ipsec /debug
Das Hilfsprogramm "Netdiag" steht Ihnen zur Verfügung, nachdem Sie das Paket "Windows 2000-Supporttools" installiert haben. Dieses Paket finden Sie im Ordner "Support\Tools" auf der Windows 2000-CD-ROM. Nachdem Sie dieses Paket installiert haben, befindet sich "Netdiag" im Ordner "Programme\Supporttools".

Vorinstallierte Schlüssel:

Wenn Sie vorinstallierte Schlüssel verwenden müssen, lesen Sie bitte den folgenden Artikel in der Microsoft Knowledge Base:
240262 Konfiguration: L2TP/IPSec-Verbindungen mit vorinstall. Schlüssel

Eigenschaften

Artikel-ID: 248750 - Geändert am: Dienstag, 9. November 2004 - Version: 2.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbhowto KB248750
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com