Aktualizace protokolů L2TP a IPSec a překládání adres (NAT-T) pro systém Windows XP a Windows 2000

ID článku: 818043 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Společnost Microsoft vydala balíček aktualizací, které vylepšují dosavadní fungování protokolů Layer Two Tunneling Protocol (L2TP) a Internet Protocol security (IPSec) v počítačích se systémem Microsoft Windows 2000. Toto rozšíření obsahují také počítače se systémem Microsoft Windows XP s nainstalovanou aktualizací Service Pack 2 (SP2).

Tato aktualizace zahrnuje vylepšení protokolu IPSec zajišťující lepší podporu klientů virtuálních privátních sítí (VPN) za zařízeními pro překlad síťových adres (NAT). Pokud tuto aktualizaci použijete v systému Windows XP a u služby IPSec dojde k chybě runtime a nebude ji možné z nějakého důvodu spustit, bude ovladač IPSec pracovat v režimu blokování, protože nebude moci zabezpečit provoz v síti. (Službu IPSec naleznete v seznamu síťových služeb jako položku Služby IPSEC.)

Další informace o získání nejnovější aktualizace Service Pack pro systém Windows XP najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
322389
(http://support.microsoft.com/kb/322389/ )
Jak získat nejnovější aktualizaci Service Pack pro systém Windows XP

Obsah článku

Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Nové moduly snap-in pro funkce, správu a sledování protokolu IPSec

  • Po instalaci této aktualizace budou moci klienti používající protokoly L2TP a IPSec vytvořit připojení IPSec chráněná serverem NAT. Nový kód NAT-T je navržen na základě dokumentu RFC 3193 sdružení IETF a konceptu 02 specifikace IETF NAT-T. Klienti systému Windows XP s aktualizací SP2 také mají k dispozici tuto vylepšenou možnost připojení.
  • Aktualizovaný modul snap-in pro sledování protokolu IPSec může zobrazit počítače se systémem Windows XP, ovšem pouze v případě, že je v těchto počítačích nainstalována aktualizace SP2.
  • Tento aktualizovaný modul může také zobrazit počítače se systémem Microsoft Windows Server 2003. Obdobně lze ze systému Windows Server 2003 sledovat počítače se systémem Windows XP, ve kterých je nainstalována aktualizace SP2.
  • Počítače se systémem Windows 2000 pomocí tohoto modulu snap-in sledovat nelze.
  • Nový modul snap-in pro správu protokolu IPSec se v případě, že se setká s objekty zásad obsahujícími rozšířené funkce vytvořené v systému Windows Server 2003 (například DH2048, mapování certifikátů nebo dynamické filtry), přepíná do režimu jen pro čtení. Vzhledem k tomu se objekty modulu snap-in (například pravidla, seznamy filtrů nebo nabídky hlavního režimu) obsahující odkazy na tato nová nastavení stávají needitovatelnými. Modul snap-in pro správu protokolu IPSec se přepíná do režimu jen pro čtení, aby nebylo možné nechtěné odstranění důležitých rozšířených funkcí.
  • Aktualizovaná služba IPSec v počítačích se systémem Windows XP dokáže využít většinu funkcí poskytovaných zásadami systému Windows Server 2003.

    Poznámka: Mapování certifikátů NENÍ k dispozici.
  • Pokud je v počítači se systémem Windows XP nainstalována starší verze nástroje IPSeccmd (v systému Windows 2000 není tento nástroj k dispozici), bude do složky jednotka:\Program Files\Support Tools nainstalována aktualizovaná verze tohoto nástroje.

    Aktualizovaný nástroj IPSeccmd poskytuje následující funkce:
    • Dynamicky vypíná a zapíná protokolování IKE (Internet Key Exchange).
    • Zobrazuje informace o aktuálně přiřazených zásadách.
    • Umožňuje vytvořit trvalé zásady protokolu IPSec.
    Poznámka: Starší verze nástroje IPSeccmd v aktualizovaných počítačích nefunguje. Stejně tak nefunguje jeho aktualizovaná verze v neaktualizovaných počítačích.

Práce v různých prostředích a známé problémy

Překládání adres NAT-T a pravidla brány firewall

Protože nový kód NAT-T je navržen na základě dokumentu RFC 3193 sdružení IETF a konceptu 02 specifikace IETF NAT-T, bude v případě, že chcete, aby tyto služby procházely bránou firewall, pravděpodobně nutné v pravidlech brány firewall otevřít následující porty a protokoly:
  • L2TP – User Datagram Protocol (UDP) 500, UDP 1701
  • NAT-T – UDP 4500
  • ESP – protokol Internet Protocol (IP) 50

Podporované scénáře používající překládání adres NAT-T

Připojení L2TP/IPSec s překládáním adres NAT-T lze úspěšně vytvořit v následujících scénářích. V těchto scénářích pojem Klient označuje klientský počítač se systémem Windows 2000 s nainstalovanou aktualizací 818043 nebo se systémem Windows XP s nainstalovanou aktualizací SP2. Pojem Server označuje server L2TP/IPSec se systémem Windows Server 2003 a službou Směrování a vzdálený přístup. V prvním scénáři se například Klient nachází za směrovačem NAT, připojení prochází Internetem a navazuje se připojení k Serveru. Ve druhém scénáři se Server nachází za dalším směrovačem NAT.
Klient----> NAT ----Internet---->Server
Klient---->Internet---- NAT ---->Server
Klient----> NAT ----Internet----> NAT ----> Server
V těchto scénářích, kdy se server L2TP/RRAS nachází za směrovačem NAT, musí směrovač NAT otevřít požadované porty a protokoly pro připojení L2TP/IPSec s překládáním adres NAT-T. Serverem L2TP/IPSec může být také brána třetí strany podporující připojení s překládáním adres NAT-T.

Poznámka: Jestliže použijete aktualizaci 818043 na serveru se systémem Windows 2000 a službou Směrování a vzdálený přístup, nemůže tento server v těchto scénářích fungovat jako server L2TP/IPSec. Nedokáže umožnit připojení z klientů L2TP/IPSec procházející jedním nebo více směrovači NAT. Tato aktualizace se týká pouze klientů. Překládání adres NAT-T na serveru je nová funkce, která je dostupná pouze u služby Směrování a vzdálený přístup v systému Windows Server 2003. Do služby Směrování a vzdálený přístup v systému Windows 2000 nebude podpora překládání adres NAT-T na serveru přidána.

Aktualizace 2048bitového algoritmu Diffie-Hellman

Pokud klienti L2TP/IPSec chtějí při připojení využít aktualizovaný algoritmus Diffie-Hellman s 2048bitovým klíčem, musí kontaktovaný server vzdáleného přístupu také podporovat tuto velikost klíče.

Poznámka: Chcete-li použít2048bitový algoritmus Diffie-Hellman v systému Windows Server 2003, je třeba pro něj vytvořit klíč registru. Postupujte takto:
  1. Klepněte na tlačítko Start a na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.
  3. Vyhledejte následující podklíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  4. V nabídce Úpravy přejděte na příkaz Nová a klepněte na příkaz Hodnota DWORD.
  5. Zadejte název NegotiateDH2048 a stiskněte klávesu ENTER.
  6. Klepněte na položku NegotiateDH2048 pravým tlačítkem myši a potom klepněte na příkaz Změnit.
  7. Do pole Údaj hodnoty zadejte číslo 1 a klepněte na tlačítko OK.
  8. V nabídce Registr klepněte na příkaz Konec.

Další informace

  • Hardware pro snižování zátěže protokolu IPSec
    Síťové adaptéry pro snižování zátěže protokolu IPSec nepodporují snížení zátěže u přidružení zabezpečení vytvořených pomocí překládání adres NAT.
  • Nesprávné zobrazení nových funkcí
    Nové funkce umožněné zásadami protokolu IPSec v systému Windows Server 2003 se v modulu snap-in pro sledování protokolu IPSec nemusí správně zobrazit. Nejdůležitější je to, že skupina DH2048 se zobrazí jako 268435457 a že názvy dynamických filtrů (například WINS nebo DHCP) se nezobrazí vůbec (příslušný sloupec bude prázdný).
  • Součást IKE implementace protokolu IPSec společnosti Microsoft používá rozšířenou funkci rozhraní Winsock API, jejíž ukazatel je určován voláním WSAIoctl(). Pokud tomuto volání funkce není povoleno projít přes libovolného nainstalovaného zprostředkovatele služeb vrstev (LSP), nemůže protokol IPSec naslouchat na portu IKE. Protokol IPSec to interpretuje jako selhání této součásti a podle toho také zareaguje (tj. zobrazí se zpráva o selhání a přepnutí do zabezpečeného režimu). To, že součást IKE nemůže projít přes zprostředkovatele LSP, může být způsobeno některým nainstalovaným programem třetí strany.

Informace o aktualizaci Service Pack pro systém Windows XP

Tato funkce je k dispozici v nejnovější aktualizaci Service Pack pro systém Windows XP. Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
322389
(http://support.microsoft.com/kb/322389/ )
Jak získat nejnovější aktualizaci Service Pack pro systém Windows XP

Aktualizace pro systém Windows 2000

Chcete-li stáhnout tuto aktualizaci pro systém Windows 2000, použijte katalog systému Microsoft Windows Update na následujícím webu společnosti Microsoft:
http://v4.update.microsoft.com/catalog
(http://v4.update.microsoft.com/catalog)
V katalogu systému Windows Update vyhledejte identifikační číslo tohoto článku pomocí funkce Rozšířené možnosti hledání.

Další informace o stahování aktualizací z katalogu systému Windows Update získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
323166
(http://support.microsoft.com/kb/323166/ )
Jak stahovat aktualizace a ovladače systému Windows z katalogu systému Windows Update

Požadavky

Tento balíček aktualizací je navržen pro instalaci do počítačů se systémem Windows 2000 s aktualizací Service Pack 3 (SP3) nebo novější.

Požadavek na restartování

Tento balíček aktualizací vyžaduje restartování počítače, aby bylo možné využít nové funkce protokolu IPSec.

Informace o nahrazených aktualizacích

Tato aktualizace nenahrazuje žádné jiné aktualizace.

Informace o souborech

Anglická verze této opravy má následující nebo vyšší atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.
   Datum        Čas    Verze             Velikost   Název souboru
   ----------------------------------------------------------------
   18. 9. 2000  19:01  5.0.2195.1569   33 616  Fips.sys
   21. 4. 2003  15:19  5.0.2195.6738   80 848  Ipsec.sys
   21. 4. 2003  15:19  5.0.2195.6738   29 456  Ipsecmon.exe
   21. 4. 2003  15:21  5.0.2195.6738  390 928  Netdiag.exe
   1. 5. 2003  21:39  5.0.2195.6738  417 552  Oakley.dll
   1. 5. 2003  21:39  5.0.2195.6738   96 528  Polagent.dll
   1. 5. 2003  21:39  5.0.2195.6738  137 488  Polstore.dll
   1. 5. 2003  21:39  5.0.2195.6738   58 128  Rasman.dll
   1. 5. 2003  21:39  5.0.2195.6738  153 360  Rasmans.dll
   1. 5. 2003  21:39  5.0.2195.6738   54 032  Rastapi.dll
   21. 4. 2003  15:19  5.0.2195.6738   80 848  Ipsec.sys  (56bitová verze)
Zpět nahoru | Dejte nám zpětnou vazbu

Odkazy

Další informace získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
314067
(http://support.microsoft.com/kb/314067/ )
Odstraňování potíží s připojením TCP/IP v systému Windows XP
257225
(http://support.microsoft.com/kb/257225/ )
Základy odstraňování problémů s protokolem IPSec v systému Microsoft Windows 2000 Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
816915
(http://support.microsoft.com/kb/816915/ )
Nové schéma přidělování názvů balíčkům aktualizací softwaru pro systém Microsoft Windows (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 818043 - Poslední aktualizace: 15. května 2011 - Revize: 16.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru