Artikel-ID: 818043 - Geändert am: Montag, 30. Mai 2005 - Version: 18.1

L2TP/IPSec-NAT-T-Update für Windows XP und Windows 2000

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
818043  (http://support.microsoft.com/kb/818043/EN-US/ ) L2TP/IPsec NAT-T update for Windows XP and Windows 2000
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

Microsoft hat ein Update-Paket freigegeben, das die gegenwärtige Funktionalität für Layer Two Tunneling Protocol (L2TP) und Internet Protocol Security (IPSec) auf Computern mit Microsoft Windows 2000, Microsoft Windows XP ohne installierte Service Packs und Windows XP mit Service Pack 1 (SP1) verbessert. Diese Funktionalität ist in Windows XP Service Pack 2 (SP2) enthalten. Auf Computern, die Windows XP mit einem Service Pack ausführen, muss dieses Update-Paket nicht installiert werden.

Dieses Update beinhaltet Verbesserungen für IPSec, die eine bessere Unterstützung von VPN-Clients ermöglichen, die sich hinter NAT-Geräten (NAT = Network Address Translation) befinden. Wenn Sie dieses Update auf einen Computer mit dem Betriebssystem Windows XP anwenden, und der IPSec-Dienst einen Laufzeitfehler entdeckt und aus irgendeinem Grund nicht gestartet werden kann, operiert der IPSec-Treiber im Sperrmodus, weil er den Netzwerkverkehr nicht sichern kann.

Hinweis: Der IPSec-Dienst wird in der Liste der Systemdienste als "IPSEC-Dienste" angezeigt.

Weitere Informationen zum neuesten Service Pack für Windows XP finden Sie in folgendem Artikel der Microsoft Knowledge Base:
322389  (http://support.microsoft.com/kb/322389/DE/ ) Wie Sie das neueste Service Pack für Windows XP erhalten
Zum Anfang

Inhalt

Zum Anfang

Weitere Informationen

Zum Anfang

Neue IPSec-Features/Snap-Ins "IPSec Management" und "IPSec Monitor"

  • Nach der Installation dieses Updates können auch L2TP/IPSec-Clients in Windows 2000 und Windows XP, die sich hinter einem NAT-Gerät befinden, IPSec-Verbindungen herstellen. Die neue IPsec NAT-T-Funktionalität basiert auf IETF RFC 3193 und Version 2 der ursprünglichen IETF IPsec NAT-T Internet Drafts. Windows XP-Clients mit SP2 verfügen ebenfalls über diese erweiterte Verbindungsoption. IPsec NAT-T wird derzeit in den RFCs 3947 und 3948 spezifiziert.
  • Das aktualisierte Snap-In "IPSec Monitor" kann Computer überwachen, auf denen Windows XP ausgeführt wird. Dies gilt allerdings nur, wenn auf dem Windows XP-Computer das Service Pack 2 (SP2) installiert ist.
  • Das aktualisierte Snap-In "IPSec Monitor" kann auch Computer überwachen, auf denen Microsoft Windows Server 2003 ausgeführt wird. Analog dazu können Windows Server 2003-Computer Windows XP-Computer überwachen, auf denen SP2 installiert ist.
  • Computer mit dem Betriebssystem Windows 2000 können mithilfe dieses Snap-Ins nicht überwacht werden.
  • Das neue Snap-In "IPSec Management" schaltet in den schreibgeschützten Modus, wenn es Richtlinienobjekte entdeckt, die erweiterte Features enthalten, die mit Windows Server 2003 eingeführt wurden (zum Beispiel DH2048, Zertifikatzuordnung oder dynamische Filter). Dieses Verhalten hat zur Folge, dass Snap-In-Objekte (zum Beispiel Regeln, Filterlisten oder Hauptmodusangebote) nicht mehr bearbeitet werden können, wenn sie Bezüge zu diesen neuen Einstellungen enthalten. Das Snap-In "IPSec Management" wechselt in den schreibgeschützten Modus, damit wichtige erweiterte Features nicht ungewollt überschrieben werden können.
  • Die aktualisierten IPSec-Dienste auf Windows XP-Computern bieten ebenfalls die meisten der neuen Features aus der Windows Server 2003-Richtlinie.

    Hinweis: Die Zertifikatzuordnung steht nicht zur Verfügung.
  • Falls eine frühere Version des Tools "IPSeccmd" auf einem Windows XP-Computer installiert ist (in Windows 2000 ist dieses Tool nicht verfügbar), wird ein aktualisiertes Tool "IPSeccmd" im Ordner "Laufwerk:\Programme\Supporttools" installiert.

    Das aktualisierte Tool "IPSeccmd" bietet die folgenden Features:
    • Es schaltet die IKE-Protokollierung (IKE = Internet Key Exchange/Internet-Schlüsselaustausch) dynamisch ein und aus.
    • Es zeigt Informationen zu aktuell zugeordneten Richtlinien an.
    • Es bietet Ihnen die Möglichkeit, eine dauerhaft gültige IPSec-Richtlinie zu erstellen.
    Hinweis: Die frühere Version von "IPSeccmd" funktioniert nicht auf durch das Update aktualisierten Computern, während das aktualisierte Tool "IPSeccmd" nicht auf Computern verwendet werden kann, die nicht aktualisiert wurden.
Zum Anfang

Interoperabilität und bekannte Probleme

IPsec NAT-T- und Firewall-Regeln

Da die Unterstützung für die IPsec NAT-T-Funktionalität auf IETF RFC 3193 und Version 2 der ursprünglichen IETF-NAT-T Internet Drafts basiert, müssen Sie in den Firewall-Regeln die folgenden Ports und Protokolle öffnen bzw. zulassen, damit diese Dienste durch eine Firewall ausgeführt werden können:
  • Internet Key Exchange (IKE) ? UDP-Port 500
  • IPsec NAT-T ? UDP-Port 4500
  • Encapsulating Security Payload (ESP) ? IP-Protokoll 50

Unterstützte Szenarios bei Verwendung von IPsec NAT-T

In den folgenden Szenarios können L2TP/IPSec-basierte IPsec NAT-T-Verbindungen erfolgreich aufgebaut werden. In den Beschreibungen dieser Szenarios bezeichnet Client einen Client mit dem Betriebssystem Windows 2000 und installiertem Update 818043 oder Windows XP mit SP2. Server steht für einen L2TP/IPSec-Server mit Windows Server 2003, auf dem Routing- und RAS verwendet wird.
Client----> NAT ----Internet---->Server

Bei dem einzigen unterstützten und empfohlenen Szenario befindet sich der Server nicht hinter einem NAT-Gerät.
Bei dem L2TP/IPSec-Server kann es sich auch um ein Gateway-Produkt von einem Fremdanbieter handeln, das NAT-T-Verbindungen unterstützt.

Hinweis: Wenn Sie das Update 818043 auf einen Windows 2000-Server anwenden, der Routing und RAS verwendet, kann der Server in dem beschriebenen Szenario nicht als L2TP/IPSec-Server fungieren. Es können keine Verbindungen von L2TP/IPsec-Clients zugelassen werden, die sich hinter einem oder mehreren NAT-Geräten befinden. Dieses Update wurde ausschließlich für die Clientseite entwickelt. Die serverseitige IPsec NAT-T-Funktionalität ist ein neues Feature, das nur in Windows Server 2003 Routing und RAS zur Verfügung steht. Die IPsec NAT-T-Unterstützung für die Serverseite wird der Routing und RAS-Funktion von Windows 2000 nicht hinzugefügt.

Diffie-Hellman-Gruppe 2048-Update

Damit L2TP/IPSec-Clients eine Verbindung aushandeln und das Diffie-Hellman-Gruppe 2048-Update verwenden können, muss der kontaktierte RAS-Server diese Gruppe ebenfalls unterstützen.

Hinweis: Sie müssen einen entsprechenden Registrierungsschlüssel erstellen, um Diffie-Hellman 2048 unter Windows Server 2003 verwenden zu können. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie auf DWORD-Wert.
  4. Geben Sie NegotiateDH2048 ein, und drücken Sie die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf NegotiateDH2048, und klicken Sie auf Ändern.
  6. Geben Sie im Feld Wert den Wert 1 ein, und klicken Sie auf OK.
  7. Klicken Sie im Menü Registrierung auf Beenden.

Sonstiges

  • IPSec-Abladehardware
    IPSec-Abladenetzwerkadapter laden mithilfe von NATs erstellte Sicherheitszuordnungen nicht ab.
  • Neue Features werden nicht korrekt angezeigt
    Neue Features, die unter Verwendung einer Windows Server 2003-IPSec-Richtlinie aktiviert wurden, werden im Snap-In "IPSec Monitor" eventuell nicht korrekt angezeigt. Beispielsweise wird die Gruppe DH2048 als 268435457 angezeigt, und Namen dynamischer Filter (wie WINS oder DHCP) werden gar nicht angezeigt (die entsprechende Spalte bleibt leer).
  • Die IKE-Komponente der Windows-Implementierung von IPSec verwendet eine erweiterte Winsock API-Funktion, deren Funktionszeiger durch das Aufrufen von WSAIoctl() bestimmt wird. Kann dieser Funktionsaufruf einen möglicherweise installierten Layered Service Provider (LSP) nicht passieren, kann IPSec den IKE-Port nicht abhören. IPSec interpretiert dies als Fehlfunktion der Komponente und reagiert entsprechend (das heißt, dass die Meldung "Fail to a Secure Mode" zurückgegeben wird). Ein installiertes Fremdanbieterprogramm kann die Ursache dafür sein, dass die IKE-Komponente einen LSP nicht passieren kann.

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht dafür garantieren, dass Probleme, die von einer falschen Verwendung des Registrierung-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung. Sie müssen den Registrierungswert AssumeUDPEncapsulationContextOnSendRule erstellen, um das IPsec NAT-T-Verhalten für einen Computer mit Windows XP SP2 zu ändern.

Windows XP SP2 unterstützt standardmäßig nicht länger IPsec NAT-T-Sicherheitszuordnungen mit Servern, die sich hinter einem NAT befinden. Daher kann ein VPN-Client unter Windows XP SP2 standardmäßig keine L2TP/IPsec-Verbindung zum VPN-Server aufbauen, wenn Ihr VPN-Server sich hinter einem NAT befindet. Dieses Szenario gilt auch für VPN-Server, die Microsoft Windows Server 2003 ausführen.

Dieses Standardverhalten kann auch verhindern, dass Computer mit Windows XP SP2 Remotedesktopverbindungen mit L2TP/IPsec herstellen, wenn der Zielcomputer sich hinter einem NAT befindet.

Aufgrund der Methode, mit der NATs Netzverkehr übersetzen, können unerwartete Ergebnisse auftreten, wenn Sie einen Server hinter einen NAT setzen und dann IPsec NAT-T verwenden. Wenn Sie IPSec für die Kommunikation benötigen, wird daher empfohlen, öffentliche IP-Adressen für alle Server zu verwenden, mit denen eine direkte Verbindung über das Internet möglich ist.

Gehen Sie folgendermaßen vor, um den Registrierungswert AssumeUDPEncapsulationContextOnSendRule zu erstellen und zu konfigurieren:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie auf DWORD-Wert.
  4. Geben Sie in das Feld Neuer Wert #1 den Namen AssumeUDPEncapsulationContextOnSendRule ein, und drücken Sie die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf AssumeUDPEncapsulationContextOnSendRule, und klicken Sie auf Ändern.
  6. Geben Sie in das Feld Wert einen der folgenden Werte ein:
    • 0 (Standard)
      Mit dem Wert 0 (Null) wird Windows so konfiguriert, dass keine Sicherheitszuordnungen mit Servern eingerichtet werden können, die sich hinter NATs befinden.
    • 1
      Mit dem Wert 1 wird Windows so konfiguriert, dass Sicherheitszuordnungen mit Servern eingerichtet werden können, die sich hinter NATs befinden.
    • 2
      Mit dem Wert 2 wird Windows so konfiguriert, dass Sicherheitszuordnungen eingerichtet werden können, wenn sich sowohl der Server als auch der Windows XP SP2-Clientcomputer hinter NATs befinden.
  7. Klicken Sie auf OK, und beenden Sie den Registrierungseditor.
  8. Starten Sie den Computer neu.
Zum Anfang

Windows XP Service Pack-Informationen

Diese Funktion ist im aktuellsten Service Pack für Windows XP (SP2) verfügbar. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
322389  (http://support.microsoft.com/kb/322389/DE/ ) Wie Sie das neueste Service Pack für Windows XP erhalten
Zum Anfang

Windows 2000-Update

Rufen Sie zum Downloaden dieses Updates für Windows 2000 die folgende Microsoft-Website auf, um den Microsoft Windows Update-Katalog verwenden zu können:
http://v4.windowsupdate.microsoft.com/catalog/de/default.asp (http://v4.windowsupdate.microsoft.com/catalog/de/default.asp)
Suchen Sie mithilfe der erweiterten Suchoptionen im Windows Update-Katalog nach der Nummer dieses Artikels. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf der Microsoft Windows Update-Website auf Microsoft Windows-Updates suchen.
  2. Wählen Sie Ihr Betriebssystem und Ihre Sprache aus, und klicken Sie auf Erweiterte Suchoptionen.

    Hinweis: Sie müssen entweder Windows 2000 Professional Service Pack 3 oder Windows 2000 Professional Service Pack 4 auswählen. Wenn Sie ein anderes Betriebssystem auswählen, wird das Update in der Suche nicht zurückgegeben.
  3. Geben Sie im Feld Enthält folgende Wörter die Ziffern 818043 ein, und klicken Sie auf Suchen.
Weitere Informationen zum Downloaden von Updates von der Windows Update-Katalog-Website finden Sie in folgendem Artikel der Microsoft Knowledge Base:
323166  (http://support.microsoft.com/kb/323166/DE/ ) Download von Windows-Updates und Treibern aus dem Windows Update-Katalog

Voraussetzungen

Dieses Update-Paket kann auf Computern installiert werden, die Microsoft Windows 2000 mit Service Pack 3 (SP3) oder höher als Betriebssystem verwenden.

Neustart

Dieses Update erfordert einen Neustart des Computers, um die neuen IPSec-Features zu aktivieren.

Ersetzte Updates

Dieses Update ersetzt keine anderen Updates.

Dateiinformationen

Die englische Version dieses Hotfixes weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.
   Date         Time   Version        Size     File name
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)
Zum Anfang

Informationsquellen

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
314067  (http://support.microsoft.com/kb/314067/DE/ ) Problembehandlung bei TCP/IP-Verbindungen in Windows XP
257225  (http://support.microsoft.com/kb/257225/DE/ ) IPsec zu Problembehandlung in Microsoft Windows 2000 Server
816915  (http://support.microsoft.com/kb/816915/DE/ ) Neues Schema für die Dateibenennung in Microsoft Windows-Softwareupdate-Paketen
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Zum Anfang
Keywords: 
kbdownload kbbug kbfix kbqfe kbenv kbwinxpsp2fix kbwinxppresp2fix kbwin2000presp5fix atdownload KB818043
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN