Makale numaras�: 259335 - Son G�zden Ge�irme: 30 Ekim 2006 Pazartesi - G�zden ge�irme: 4.4

Temel L2TP/�psec Windows 2000'de ve giderme

�ngilizce ve T�rk�e'yi yan yana g�r�nt�leme

Buraya t�klayarak �ngilizce ve T�rk�e'yi yan yana g�r�nt�leyebilirsiniz.

Otomatik terc�me makalelerin ne oldu�unu a��klayan yaz�y� okumak i�in buraya t�klay�n

Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Sistem �pucuBu makale, kulland��n�zdan farkl� bir i�letim sistemine y�neliktir. Sizinle ilgili olmayabilecek makale i�eri�i devre d�� b�rak�ld�.

Bu makalede, katman iki T�nel Protokol� (L2TP) ve Windows, �nternet Protokol� g�venli�i (�psec) ile ilgili sorun giderme yard�mc� olacak bilgileri i�erir.

L2TP, a��klama iste�i (RFC) 2661'de, "Katman iki t�nel protokol� L2TP." ba�l�� alt�nda a��kland�� gibi farkl� a�lar aras�nda noktadan noktaya (PPP) trafi�i aktar�lmas�n� sa�layan bir standard�d�r. L2TP, bir IP a��nda �nternet Protokol� (IP), a�lar aras� Paket De�i�imi (IPX) ve di�er ileti�im kural� paketleri i�in t�nel olu�turmak ve g�venlik sa�lamak �zere �psec ile birle�tirilir.

L2TP �zg�n paketleri bir PPP �er�evesi i�inde saklar ve m�mk�n oldu�unda s�k��t�rma ger�ekle�tirir. Ayr�ca, L2TP, bir Kullan�c� Datagram Protokol� (UDP) i�inde saklar-ba�lant� noktas� 1701 atand�� paket t�r�. UDP paket IP aktar�m ileti�im kural� bir par�as� oldu�undan, L2TP t�nelin g�venli�ini sa�lamak amac�yla otomatik olarak �psec kullan�r. L2TP L2TP t�nelinin kullan�c� yap�land�rmas�ndaki g�venlik ayarlar�n� g�re yapar. Varsay�lan olarak, �psec �nternet anahtar de�i�imi (IKE) protokol�, sertifika bazl� kimlik do�rulamas� kullanarak L2TP t�neli i�in g�venlik g�r��r. Bu kimlik do�rulama i�lemi, kaynak bilgisayar ve hedef bilgisayarlar�n birbirlerine g�vendi�inizi do�rulamak i�in bilgisayar sertifikalar�, kullan�c� sertifikalar� kullan�r. Ipsec aktar�m g�venli�i ba�ar�yla kuruldu, L2TP t�nelin g�r��r ve kullan�c�n�n kimli�ini tabanl� eri�im denetimini ger�ekle�tirir. L2TP, t�nelin g�r��r, ba�l� olan s�k��t�rma ve kullan�c� do�rulama se�enekleri belirler.

L2TP/�psec paket yap�s�, a�a��daki �rnektekine benzer.

Not PPP y�k� �zg�n IP datagram� i�erir. Italik metin, �psec ile �ifrelenmesini temsil eder.

L2TP e� (istemci veya sunucu) isterse Windows taraf�ndan Microsoft Noktadan Noktaya �ifreleme Protokol� (MPPE) aras�nda uzla�maya var�l�r. MPPE, Geni�letilebilir PPP y�k� g�venli hale getirmek i�in kullan�lan kimlik do�rulama Protokol� Aktar�m Katman� G�venli�i (EAP-TLS) veya Microsoft Challenge Handshake Kimlik Do�rulama Protokol� (MS-CHAP) kullan�l�r.

MPPE 40-bit, 56-bit veya 128 bit gizli anahtarlar ve Rivest-Shamir-Adleman (RSA) RC4 ak�� ifresi kullan�r. MPPE anahtarlar�, MS-CHAP ve EAP-TLS kimlik do�rulama kullan�c� i�lemleri olu�turulur. Uzaktan eri�im sunucusu, veri �ifrelemesi i�in yap�land�r�labilir. Uzaktan eri�im istemcisi, gereken �ifreleme ger�ekle�tiremiyorsan�z, ba�lant� giri�imi ret edilir ve a�a��daki hata iletisini alabilirsiniz:

Uzak bilgisayar, gerekli veri �ifreleme tipini desteklemiyor.

PPP ba�lamadan �nce �psec �zerinde anla�maya var�l�r; PPP ba�lad�ktan sonra MPPE g�r��l�r. PPP �zerinden L2TP �al��r; bunu yapmak i�in �psec kullan�r. PPP kimlik do�rulama a�amas�nda, MS-CHAP gibi yap�land�r�lm�� kimlik do�rulama ileti�im kural�'n� kullanarak bir kullan�c� ad� sanal �zel a� (VPN) sunucusunu uzaktan eri�im sunucusu bile�eni g�nderilir. Uzaktan eri�im sunucusu, kullan�c� ad� ve di�er arama �zellikleri uzaktan eri�im ilkesine sonra e�le�tirir. Her bir ilke olan bir profil ve Uzaktan eri�im sunucusu ba�lant� iste�ini kabul etmek �al��t�r�l�p �al��t�r�lmayaca��n� profili ile gelen arama ko�ullar�yla kar��la�t�r�r.

�ste

Dikkate Al�nmas� Gereken Noktalar

Microsoft Windows 2000 Professional Service Pack 2 veya �nceki tabanl� bir VPN istemcisi ile bir a� ayg�t� ger�ekle�tirme a� adresi �evirisi (NAT), L2TP oturumu �ifrelenmi� �psec Kaps�llenen G�venlik Y�k� (ESP) paketleri bozuldu�u i�in'ba�ar�s�z olur. VPN istemcisinin �nternet ba�lant� payla��m�/a� adresi �evirisi ayn� bilgisayarda istemci kendi d��m�nden paketleri kaynaklanan, NAT herhangi bir IP adresi veya ba�lant� noktas� �evirisini yapmas� i�in bir L2TP oturumu olana��na b�y�k olas�l�kla ise. �psec NAT ayg�tlar�n�n arkas�nda bulunan VPN istemcileri i�in bir ileti�im sa�layan geli�tirmeler hakk�nda ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:
818043� (http://support.microsoft.com/kb/818043/ ) Windows XP ve Windows 2000 i�in L2TP/IPsec NAT-T g�ncelle�tirmesi
Bir makine sertifikas�, bir �zel anahtarla gerekir. �zel anahtar bulunabilir yerel bilgisayar ki�isel sertifika deposunda.

Sertifika y�kleme hakk�nda ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:
253498� (http://support.microsoft.com/kb/253498/ ) Bir sertifika kullanmak i�in IP g�venli�i ile y�kleme
Bir makine sertifikas� bulunamad�, L2TP, sertifikaya sahip, ancak sertifika do�ru �ekilde y�klenmi� ve ili�kili �zel anahtar i�in varolan sertifika olup bilmez, bir uyar� verir. IKE anla�mas� s�ras�nda bu belirler. Yerel bilgisayar Sertifika ek bile�enini ba�latma, sertifikay� �ift t�klat�n ve Genel ", bu sertifikayla kar��l�k gelen �zel anahtar var." g�sterir oldu�unu do�rulay�n. Ayr�ca, sertifika yolu tamamland�ktan ve sertifikan�n ge�erli oldu�unu do�rulay�n.

Istemci, bir k�k sertifika yetkilisine sertifika �zerindeki a� ge�idini sertifika ile ayn�d�r, bir makine sertifikas� olmal�d�r. Sertifika ba�ar�s�zl�k nedeni, IKE taraf�ndan g�venlik g�nl�� giri�inde not edilir.Ek bilgi i�in, Microsoft Bilgi Bankas�'ndaki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:
257225� (http://support.microsoft.com/kb/257225/ ) Microsoft Windows 2000 Server'da temel �psec giderme
Ne t�r bir bilgisayar sertifikas� d�zg�n �al��t�� hakk�nda ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:
249125� (http://support.microsoft.com/kb/249125/ ) Windows 2000 ve Cisco IOS VPN interoperation i�in sertifika kullanma
Her iki sertifika do�rulamas� ba�ar�yla i�lemek olmas� gerekir. Sertifika kimlik do�rulamas� ba�ar�l� olursa, bir girdi g�venlik notlar� �psec ana mod g�venlik ili�kisi (SA), ba�ar�l� olan olay olu�tur (oturum a�ma/oturum kapatma) g�nl��e yaz�l�r.
IKE anla�ma hatas�: yerel y�netici izinlerine ve ne zaman bir saniyelik aral�klarla g�ncelle�tirmek i�in se�enekler ayarlan�r oldu�unda �psecmon.exe �al��t�rarak �psec izleyen olup olmad��n� do�rulayabilirsiniz. �psec SA'�n g�r�n�r g�r�rseniz, �psec ba�ar�l� oldu ve, L2TP, sorunun kayna�� olan sonu�land�rmak g�sterir. �psec ilkesi ayr�nt�lar�n� g�rmek i�in netdiag/test: IPSec /v/debug komutunu se�in.

Not Etki alan� y�neticisi, yerel bilgisayar�n�zda ilke olu�turmu�sa, t�m ilke g�remez.�psecmon.exe ve netdiag</a0> komutu hakk�nda ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:
257225� (http://support.microsoft.com/kb/257225/ ) Microsoft Windows 2000 Server'da temel �psec giderme
�unlara da dikkat edin:
- IKE zaman a��m�: IKE y�nlendiriciler VPN sunucusu �n�nde �zerinden UDP ba�lant� noktas� 500 etkinle�tirmezseniz ba�lang�� anla�mas� iste�i s�ras�nda zaman a��m�na u�rayabilir. VPN sunucusu, yap�land�r�lm�� uygun �psec ilkesine yoksa IKE de zaman a��m�na u�rad�. Bu genellikle Y�nlendirme ve Uzaktan eri�im sunucusunun etkin bir L2TP ba�lant� noktas� yok veya el ile bir �psec ilkesi ayar� yanl�� yap�land�r�lm�� anlam�na gelir. IKE zaman a��m�na u�rad� denetim izi e� de�il yan�t ve bir a� yakalama izleme ISAKMP UDP paketlerini yaln�zca istemciden ba�lat�l�yor g�sterir g�sterir. VPN istemcisinin bir L2TP i�in �zel olarak yap�land�r�l�rsa, a�a��daki hata iletisini al�rs�n�z:
  G�venlik anla�mas� zaman a��m�na u�rad�.
  VPN istemcisi ile otomatik olarak yap�land�r�l�rsa, bu g�revi yeniden sonraki ileti�im kural�, listenizde bunlar PPTP kullanarak ��z�mlemeye �al��r.
- IKE hatas�: IKE ve hatan�n nedenleri anla�ma ba�ar�s�zl�� kaydedilir g�venlik g�nl��nde g�venlik ayarlar�'n� etkinle�tirirseniz, oturum a�ma/oturum kapatma hatas� denetler. IKE sertifika kimlik �al��maz veya oldu�undan bir �psec ilkesi yap�land�rma sorunu varsa, bunlar el ile bir �psec ilkesi ayarlamak i�in ba�ar�s�z olabilir.Otomatik ilkesi hakk�nda ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:
  248750� (http://support.microsoft.com/kb/248750/ ) L2TP/�psec i�in olu�turdu�unuz �psec ilkesinin a��klamas�
  IKE anla�mas� ba�ar�l� denetim izi not edilir. Her iki ana mod SA duydu�unuz ba�ar�l� olmas� t�m �psec g�venlik anla�mas�, kurmak ve bir h�zl� mod SA's� olu�turmak i�in UDP ba�lant� noktas� 1701.
A�a��daki belirtilerden biri olu�ursa, �psec soruna neden olan de�il:
- Hesap denetimi k�lavuzu, ba�ar�l� ana mod SA olu�turmak ve ba�ar�l� h�zl� mod SA's� olu�turmak g�sterir.
- A� yakalama izleme, istemci veya sunucu kaynaklanan ESP trafi�inin g�sterir.
- Ipsecmon.exe bir �psec SA's� g�sterir.
Not Her zaman olu�turulan iki �psec SA vard�r: her biri kendi g�venlik parametre dizini (SPI ile) her y�n i�in bir tane. Ancak, yaln�zca giden SA �psecmon.exe g�sterir.
ESP engellendi: NAT �n�nde istemci oldu�unda veya y�nlendiriciler VPN �n�nde oldu�unda, sunucu protokol 50, ESP, arac�l��yla etkinle�tirme. ESP trafi�inin SPI numaras�yla giden g�r�n�r, ancak farkl� bir SPI numaras� ge�idiyle gelen ESP paketleri g�r�nm�yor.
ESP de�i�tirildi: NAT, belki hatal� bir ge�i� veya di�er a� d��m� de�i�tirme veya herhangi bir yeri yolundan paketleri bozulmas�n�, �psec s�r�c�s� taraf�ndan b�rak�lan paketler al�c� sistem sistem g�nl��ne a�a��daki olay g�r�n�r varsa ve:
Olay KIMLI�I: 4285
A��klama:
Karma de�eri kimlik do�rulamas� ba�ar�s�zl�kla sonu�land�.
Paketleri, �psec aktar�m yetenekleri olan bir a� arabirimi olarak da bozuk olabilir. Arabirim bu yetene�e sahip olup olmad��n� belirlemek i�in <a0></a0>, a�a��daki komutu kullan�n:
netsh int ip show offload
�psec yetene�i bo�altmas� bir a� ba�da�t�r�c�s� tehlikeye d��ebilece�inden ��phe duyulmas� oldu�undan, a� izleyicisi yakalamas� ba�lat�n ve �psecmon.exe her ba�lant� giri�imini ��z�mlemek ve �psecmon.exe �zerinde paket ge�ersiz kayboluyor olup olmad��n� belirlemek i�in "Gizli al�nan bayt" sayac� do�rulamak i�in al�r. DWORD de�eri s�f�r olarak a�a��daki kay�t defteri alt anahtar�n� da ayarlayabilirsiniz:
HKLM\System\CurrentControlSet\Services\IPSEC\EnableOffload
Daha sonra ba�lant� ba�ar�l� olursa, sorun ilgili bo�altmas� ' dir. Ba�ka bir sorun giderme otomatik �psec ilkesi devre d�� b�rakmak i�in se�enektir.Otomatik �psec ilkesi devre d�� b�rakma hakk�nda ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:
240262� (http://support.microsoft.com/kb/240262/ ) �nceden payla�t�r�lm�� anahtar kimlik do�rulamas�'n� kullanarak bir L2TP/�psec ba�lant�s� nas�l yap�land�r�l�r
L2TP otomatik �psec ilkesi yap�land�rma, Hizmetler ek bile�enini veya net stop policyagent</a0> komutunu kullanarak �psec ilke arac�s� durduruldu, kaybolur. VPN istemcileri i�in istemci ba�lant� yeniden ba�lat�ld��nda ilke otomatik olarak plumbed. Istemci ba�lant� ba�lamadan �nce �psec ilke arac�s� hizmeti ba�lat�ld� ve �al��yor oldu�undan emin olun. Ba�lan ' � t�klat�n sonra ba�lant� giri�imi, s�r�yor, netdiag/test: IPSec /v/debug</a0> komutu, �psec istatistiklerini ve etkin olan filtreleri g�rmek i�in kullanabilirsiniz.

Not Etki alan� y�netici izinlerine sahip, / debug anahtar�n� kullanamazs�n�z.Di�er olas� sorunlar� hakk�nda ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:
247231� (http://support.microsoft.com/kb/247231/ ) Olay KIMLI�I 20111, hata 792 veya bir L2TP/�psec ba�lant�s� kurulurken bir hata 781

�ste

Daha fazla bilgi

VPN hakk�nda daha fazla bilgi i�in a�a��daki Microsoft Web sitesini ziyaret edin:

http://technet.microsoft.com/en-us/library/bb742458.aspx (http://technet.microsoft.com/en-us/library/bb742458.aspx)

�psec sorunlar�n� giderme hakk�nda ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:

257225� (http://support.microsoft.com/kb/257225/ ) Microsoft Windows 2000 Server'da temel �psec giderme

�ste

Bu makaledeki bilginin uyguland�� durum:

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition

�ste

kbmt kbinfo kbipsec kbtshoot kbtunneling KB259335 KbMttr

�ste

Otomatik Terc�me

�NEML�: Bu makale, bir ki�i taraf�ndan �evrilmek yerine, Microsoft makine-�evirisi yaz�l�m� ile �evrilmi�tir. Microsoft size hem ki�iler taraf�ndan �evrilmi�, hem de makine-�evrisi ile �evrilmi� makaleler sunar. B�ylelikle, bilgi bankam�zdaki t�m makalelere, kendi dilinizde ula�m�� olursunuz. Bununla birlikte, makine taraf�ndan �evrilmi� makaleler m�kemmel de�ildir. Bir yabanc�n�n sizin dilinizde konu�urken yapabilece�i hatalar gibi, makale; kelime da�arc��, s�z dizim kurallar� veya dil bilgisi a��s�ndan yanl��lar i�erebilir. Microsoft, i�eri�in yanl�� evrimi veya onun m��teri taraf�ndan kullan�m�ndan do�an; kusur, hata veya zarardan sorumlu de�ildir. Microsoft ayr�ca makine �evirisi yaz�l�m�n� s�k�a g�ncellemektedir.

Makalenin �ngilizcesi a�a��daki gibidir:259335� (http://support.microsoft.com/kb/259335/en-us/ )

�ste

This site in other countries/regions:

Temel L2TP/�psec Windows 2000'de ve giderme

Bu Sayfada

�zet

Dikkate Al�nmas� Gereken Noktalar

Daha fazla bilgi

Bu makaledeki bilginin uyguland�� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Makale �evirileri

�lgili Destek Merkezleri

This site in other countries/regions:

Temel L2TP/�psec Windows 2000'de ve giderme

Bu Sayfada

�zet

Dikkate Al�nmas� Gereken Noktalar

Daha fazla bilgi

Bu makaledeki bilginin uyguland��� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Makale �evirileri

�lgili Destek Merkezleri

Bu makaledeki bilginin uyguland�� durum: