Opdatering af L2TP/IPsec og NAT-T til Windows XP og Windows 2000

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 818043 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Microsoft har frigivet en opdateringspakke til forbedring af den aktuelle funktionalitet for L2TP (Layer Two Tunneling Protocol) og IPSec (Internet Protocol security) på computere, der kører Microsoft Windows 2000, Microsoft Windows XP uden installerede servicepakker og Windows XP med Service Pack 1 (SP1). Denne funktionalitet er inkluderet i Windows XP Service Pack 2 (SP2). Computere, der kører Windows XP med en servicepakke, behøver ikke at installere denne opdateringspakke.

Opdateringen indeholder forbedringer af IPsec til udvidet understøttelse af de virtuelle private netværksklienter, der er bag NAT-enheder (Network Address Translation). Hvis du anvender denne opdatering på en computer, der kører Windows XP, og hvis der opstår en fejl under kørslen af IPsec-tjenesten, der ikke kan starte af en eller anden årsag, fungerer IPsec-driveren i bloktilstand, fordi netværkstrafikken ikke kan sikres.

Bemærk!IPsec-tjenesten vises som "IPSEC-tjenester" på listen over systemtjenester.

Yderligere oplysninger om den nyeste servicepakke til Windows XP finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322389 Sådan får du den nyeste servicepakke til Windows XP

Artiklens indhold

Yderligere Information

Nye IPsec-funktioner og snap-in-programmer til administration og overvågning

  • Når denne opdatering er installeret, kan Windows 2000- og Windows XP-baserede L2TP/IPsec-klienter oprette IPsec-forbindelser bag om en NAT-enhed. Den nye IPsec NAT-T-funktionalitet er baseret på IETF Requests for Comments (RFC) 3193 og version 2 af de originale internetkladder i IETF IPsec NAT-T. Windows XP-klienter med SP2 indeholder også denne udvidede tilslutningsmulighed. IPsec NAT-T er aktuelt angivet i RFC 3947 og 3948.
  • Det opdaterede snap-in-program til overvågning af IPsec kan få vist computere, der kører Windows XP, men kun hvis SP2 er installeret på den Windows XP-baserede computer.
  • Det opdaterede snap-in-program til overvågning af IPsec kan få vist computere, der kører Microsoft Windows Server 2003. Windows Server 2003 kan ligeledes overvåge Windows XP-baserede computere, hvor SP2 er installeret.
  • Computere, der kører Windows 2000, kan ikke overvåges ved hjælp af dette snap-in-program.
  • Det nye snap-in-program til IPsec-administration skifter til skrivebeskyttet tilstand, når det møder politikobjekter, der indeholder avancerede funktioner, som er oprettet i Windows Server 2003 (f.eks. DH2048, tilknytning af certifikat eller dynamiske filtre). Denne funktionsmåde gør, at snap-in-programmets objekter (f.eks. tilbud om regler, filterlister eller hovedtilstand) ikke kan lade sig redigere, hvis de indeholder henvisninger til de nye indstillinger. Snap-in-programmet til IPsec-administrationen skifter til skrivebeskyttet tilstand, så det ikke uforvarende kommer til at fjerne vigtige avancerede funktioner.
  • De opdaterede IPsec-tjenester på Windows XP-baserede computere kan fremvise de fleste af de nye funktioner, der er indeholdt i en Windows Server 2003-politik.

    Bemærk! Tilknytning af certifikat er ikke tilgængeligt.
  • Hvis en tidligere version af værktøjet IPseccmd er installeret på en Windows XP-baseret computer (værktøjet findes ikke i Windows 2000), installeres en opdateret version af IPseccmd i mappendrev:\Programmer\Support Tools.

    Den opdaterede version af IPseccmd indeholder følgende funktioner:
    • Dynamisk aktivering og deaktivering af IKE-registrering (Internet Key Exchange).
    • Oplysninger om en aktuelt tilknyttet politik bliver vist.
    • Mulighed for at oprette en vedvarende IPsec-politik.
    Bemærk! Den tidligere version af IPseccmd fungerer ikke på opdaterede computere, og den opdaterede IPseccmd fungerer ikke på ikke-opdaterede computere.

Funktionskompatibilitet og kendte problemer

IPsec NAT-T og firewall-regler

Eftersom support til IPsec NAT-T-funktionaliteten er baseret på IETF RFC 3193 og version 02 af originale internetkladder i IETF NAT-T, kan du blive nødt til at åbne følgende porte og protokoller i firewall-reglerne, før disse tjenester kan udføres gennem en firewall:
  • Internet Key Exchange (IKE) - User Datagram Protocol (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) - Internet Protocol (IP) protocol 50

Understøttede situationer, hvor IPsec NAT-T anvendes

I følgende situationer kan L2TP/IPsec-baserede IPsec NAT-T-forbindelser anvendes uden problemer. Her erKlient en klient, der kører Windows 2000, og som har 818043-opdateringen installeret eller er en Windows XP-baseret computer med SP2 installeret. Server er en L2TP/IPsec-server, der kører Windows Server 2003, og som benytter Routing and Remote Access.
Klient----> NAT ----Internet---->Server

Den eneste understøttede og anbefalede situation er, når Server ikke findes bag en NAT-enhed.
L2TP/IPsec-serveren kan evt. også være et gateway-produkt fra tredjepart, der understøtter NAT-T-forbindelser.

Bemærk!Hvis du anvender 818043-opdateringen på en Windows 2000-baseret server, der kører Routing and Remote Access, kan serveren ikke fungere som en L2TP/IPsec-server i denne situation. Den kan ikke tillade forbindelser fra L2TP/IPsec-klienter, der er bag en eller flere NAT-enheder. Dette er udelukkende en opdatering af klientsiden. IPsec NAT-T-funktionalitet på serversiden er en ny funktion, der kun findes i Windows Server 2003 Routing and Remote Access. Der føjes ikke understøttelse af IPsec NAT-T-serversiden til Windows 2000 Routing and Remote Access.

Opdatering af Diffie-Hellman Group 2048

Til L2TP/IPsec-klienter forhandler og bruger opdateringen Diffie-Hellman Group 2048, skal fjernadgangsserveren, som kontaktes, også understøtte denne gruppe.

Bemærk! Du skal oprette en undernøgle i registreringsdatabasen for at bruge Diffie-Hellman 2048, hvis computeren kører Windows Server 2003. Det gør du ved at følge disse trin:
  1. Klik på Start, klik på Kør, skriv regedit, og klik derefter på OK.
  2. Find følgende undernøgle i registreringsdatabasen, og klik derefter på den:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.
  4. Skriv NegotiateDH2048, og tryk derefter på ENTER.
  5. Højreklik på NegotiateDH2048, og klik derefter på Rediger.
  6. Skriv 1 i boksen Værdidata, og klik derefter på OK.
  7. Klik på Afslut i menuen Registreringsdatabase.

Andet

  • IPsec-aflastningshardware
    Netværkskort til IPsec-aflastning aflaster ikke sikkerhedstilknytninger, der er oprettet vha. NAT-enheder.
  • Nye funktioner vises ikke korrekt
    Nye funktioner, der er blevet aktiveret ved hjælp af en IPsec-politik i Windows Server 2003, vises måske ikke korrekt på IPsec-skærmen. Navnlig vises DH2048-gruppen som 268435457, og navne med dynamisk filter (f.eks. WINS eller DHCP) vises slet ikke (kolonnen er tom).
  • IKE-komponenten i Windows-installationen af IPsec benytter en udvidet Winsock API-funktion, hvis funktionspointer afgøres ved at kalde WSAIoctl(). Hvis dette funktionskald ikke kan passere gennem en eventuelt installeret LSP-udbyder (Layered Service Provider), kan IPsec ikke lytte ved IKE-porten. IPsec fortolker dette som en komponentfejl og reagerer derefter (der vises en meddelelse om, at sikker tilstand mislykkedes). IKE-komponentens manglende evne til at passere gennem en LSP-udbyder, kan være forårsaget af et installeret program fra tredjepart.

Advarsel!Der kan opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt ved hjælp af Registreringseditor eller andre metoder. Disse problemer kan bevirke, at du skal geninstallerede operativsystemet. Microsoft kan ikke garantere, at sådanne problemer kan løses. Ændring af registreringsdatabasen sker på egen risiko. Hvis du vil ændre IPsec NAT-T-opførslen for en computer, der kører Windows XP SP2, skal du oprette AssumeUDPEncapsulationContextOnSendRule som værdi i registreringsdatabasen.

Som standard understøtter Windows XP SP2 ikke længere IPsec NAT-T-sikkerhedstilknytninger, der findes bag en NAT (network address translator). Hvis din VPN-server (virtual private network) derfor er bag en NAT, kan den Windows XP SP2-baserede VPN-klient som standard ikke oprette en L2TP/IPsec-forbindelse til VPN-serveren. Denne situation omfatter en VPN-server, der kører Microsoft Windows Server 2003.

Denne standardopførsel kan også forhindre computere, der kører Windows XP SP2, i at oprette Forbindelse til Fjernskrivebord med L2TP/IPsec, når destinationscomputeren findes bag en NAT (network address translator).

På grund af den måde hvorpå NAT-enheder oversætter netværkstrafik, kan du opleve uventede resultater, når du sætter en server bag en NAT-enhed og derefter bruger IPsec NAT-T. Hvis du derfor kræver IPsec til kommunikation, anbefales det, at du bruger offentlige IP-adresser til alle servere, som du kan oprette direkte forbindelse til fra internettet.

Følg disse trin for at oprette og konfigurere registreringsdatabaseværdien AssumeUDPEncapsulationContextOnSendRule:
  1. Klik på Start, klik på Kør, skriv regedit, og klik derefter på OK.
  2. Find følgende undernøgle i registreringsdatabasen, og klik derefter på den:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.
  4. I feltet Ny værdi 1 skal du indtaste AssumeUDPEncapsulationContextOnSendRule og derefter trykke på ENTER.
  5. Højreklik på AssumeUDPEncapsulationContextOnSendRule, og klik derefter på Rediger.
  6. Skriv en af følgende værdier i feltet Værdidata:
    • 0 (standard)
      En værdi på 0 (nul) konfigurerer Windows, så programmet ikke kan oprette sikkerhedstilknytninger til servere, der findes bag NAT-enheder.
    • 1
      En værdi på 1 konfigurerer Windows, så programmet kan oprette sikkerhedstilknytninger til servere, der findes bag NAT-enheder.
    • 2
      En værdi på 2 konfigurerer Windows, så programmet kan oprette sikkerhedstilknytninger, når både serveren og den Windows XP SP2-baserede klientcomputer findes bag NAT-enheder.
  7. Klik på OK, og afslut derefter Registreringseditor.
  8. Genstart computeren.

Oplysninger om Windows XP-servicepakke

Denne funktion er tilgængelig i den nyeste servicepakke til Windows XP (SP2). Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322389 Sådan får du den nyeste servicepakke til Windows XP (artiklen er evt. på engelsk)

Opdatering til Windows 2000

Hvis du vil hente denne opdatering til Windows 2000, skal du besøge følgende Microsoft-websted, hvor du kan finde kataloget til Microsoft Windows Update:
http://v4.windowsupdate.microsoft.com/catalog
Søg efter id-nummeret på denne artikel ved at bruge de avancerede søgemuligheder i kataloget til Windows Update. Det gør du ved at følge disse trin:
  1. Klik på Søg efter opdateringer til Microsoft Windows-operativsystemer på webstedet Microsoft Windows Update.
  2. Vælg dit operativsystem og sprog, og klik derefter på Advanced Search.

    Bemærk! Du skal vælge enten Windows 2000 Professional Service Pack 3 eller Windows 2000 Professional Service Pack 4. Hvis du vælger et andet operativsystem, vender opdateringen ikke tilbage til søgningen.
  3. I feltet Indeholder disse ord skal du indtaste 818043 og derefter klikke på Søg.
Yderligere oplysninger om, hvordan du henter opdateringer fra kataloget til Windows Update, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
323166 Sådan hentes Windows-opdateringer og -drivere fra kataloget til Windows Update

Forudsætninger

Opdateringen er udviklet til at blive installeret på computere, der kører Windows 2000 med Service Pack 3 (SP3) eller en nyere version.

Krav om genstart

Denne opdateringspakke kræver, at du genstarter computeren, så de nye IPSec-funktioner kan træde i kraft.

Oplysninger om opdateringserstatning

Denne opdatering erstatter ingen andre opdateringer.

Filoplysninger

Den engelske version af dette hotfix indeholder de filattributter, der er angivet i nedenstående tabel (eller nyere attributter). Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Brug fanen Tidszone under funktionen Dato og klokkeslæt i Kontrolpanel til at finde forskellen mellem UTC og lokal tid.
   Date         Time   Version        Size        File name
   ----------------------------------------------------------------
   18-09-2000   19:01  5.0.2195.1569   33.616  Fips.sys
   21-04-2003   15:19  5.0.2195.6738   80.848  Ipsec.sys
   21-04-2003   15:19  5.0.2195.6738   29.456  Ipsecmon.exe     
   21-04-2003   15:21  5.0.2195.6738  390.928  Netdiag.exe      
   01-05-2003   21:39  5.0.2195.6738  417.552  Oakley.dll       
   01-05-2003   21:39  5.0.2195.6738   96.528  Polagent.dll     
   01-05-2003   21:39  5.0.2195.6738  137.488  Polstore.dll     
   01-05-2003   21:39  5.0.2195.6738   58.128  Rasman.dll       
   01-05-2003   21:39  5.0.2195.6738  153.360  Rasmans.dll      
   01-05-2003   21:39  5.0.2195.6738   54.032  Rastapi.dll      
   21-04-2003   15:19  5.0.2195.6738   80.848  Ipsec.sys  (56-bit)

Referencer

Yderligere oplysninger finder du ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
314067 Sådan foretages fejlfinding af TCP/IP-forbindelse med Windows XP (artiklen er evt. på engelsk)
257225 Grundlæggende IPsec-fejlfinding i Microsoft Windows 2000 Server (artiklen er evt. på engelsk)
816915 Ny navngivningsmetode for opdateringspakker til software til Microsoft Windows (artiklen er evt. på engelsk)

Egenskaber

Artikel-id: 818043 - Seneste redigering: 14. juni 2005 - Redigering: 18.1
Oplysningerne i denne artikel gælder:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Nøgleord: 
kbdownload kbbug kbfix kbqfe kbenv kbwinxpsp2fix kbwinxppresp2fix kbwin2000presp5fix atdownload KB818043

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com