文章编号: 310109 - 最后修改: 2003年11月12日 - 修订: 2.0

HOW TO:禁用自动 L2TP/IPSec 策略

查看本文应用于的产品
系统提示此文章适用于与您所使用的操作系统不同的操作系统。文章内容可能与您无关,并且已被禁用。

本页

展开全部 | 关闭全部

概要

本文逐步介绍了如何禁用自动第 2 层隧道协议 (L2TP)/Internet 协议安全 (Internet Protocol security, IPSec) 策略。

Windows 2000 的路由和远程访问服务支持 IPSec 之上的 L2TP (L2TP/IPSec) 协议。L2TP/IPSec 的 Microsoft 版本与 Request for Comments (RFC) 标准完全兼容,并为虚拟专用网络 (VPN) 连接提供最高级别的安全。目前,只有 Windows 2000、Windows XP 和很少一部分第三方操作系统支持 L2TP/IPSec VPN 客户计算机角色。

如果建立了 L2TP/IPSec VPN 链接,则 Windows 2000 自动创建 IPSec 策略。IPSec 策略要求在路由和远程访问 VPN 服务器以及 VPN 客户端上都安装计算机证书。可以从 Microsoft 证书服务器或第三方提供商获得证书。

如果您是安全管理员,当已建立的公钥结构 (PKI) 未就绪时,您可能希望禁用默认的自动 L2TP/IPSec 策略。您还可能希望禁用自动 IPSec 策略,以便进行测试。如果禁用了此策略,则可以建立纯 L2TP 隧道。但是,由于 IPSec 负责隧道安全,因此这些隧道并不安全。

可以在禁用自动 L2TP/IPSec 策略后,使用预共享密钥来创建网关到网关的 VPN 链接。Microsoft 建议仅将预共享密钥用于测试;Microsoft 不支持在生产环境中使用预共享密钥。

有关如何使用预共享密钥配置 IPSec 策略的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
240262? (http://support.microsoft.com/kb/240262/EN-US/ ) How to Configure a L2TP/IPSec Connection Using Pre-shared Key Authentication
回到顶端

如何禁用自动 L2TP/IPSec 策略

  1. 启动注册表编辑器 (Regedt32.exe)。
  2. 找到并单击下面的注册表项:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. 编辑菜单上,单击添加数值
  4. 值名称框中键入 prohibitipsec,在数据类型框中单击 REG_DWORD,然后单击确定
  5. 数据框中,键入 1,然后单击确定
  6. 关闭注册表编辑器,然后重新启动计算机。
回到顶端

疑难解答

如果将 ProhibIpSec 值设置为 1,则路由和远程访问 VPN 服务器不会创建筛选器来使用证书进行 IPSec 身份验证。路由和远程访问 VPN 服务器使用本地 IPSec 策略或 Active Directory IPSec 策略。可以在本地路由和远程访问 VPN 服务器上配置 IPSec 策略,也可以使用组策略将 IPSec 策略推到路由和远程访问 VPN 服务器上。

回到顶端
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
回到顶端
关键字:?
kbhowto kbhowtomaster KB310109
回到顶端
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。