Artikkelin tunnus: 818043 - Näytä tuotteet, joita tämä artikkeli koskee.
Ilmoitus
Lisätietoja yleisistä Windows 2000:een liittyvistä ongelmista löydät seuraavalta sivulta.

Windows 2000:n tuen päättymisen ratkaisukeskus.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Microsoft on julkaissut päivityspaketin, joka parantaa L2TP:n (Layer Two Tunneling Protocol) ja IPSecin (Internet Protocol Security) nykyistä toimintaa tietokoneissa, joiden käyttöjärjestelmä on Microsoft Windows 2000, Microsoft Windows XP ilman Service Pack -päivtyksiä ja Windows XP Service Pack 1 (SP1). Tämä päivitys sisältyy Windows XP Service Pack 2:een (SP2). Windows XP -tietokoneisiin, jossa on Service Pack 2 asennettuna, ei tarvitse asentaa tätä päivityspakettia.

Tämä päivitys sisältää IPSec-suojauksen parannuksia, joiden avulla voidaan tukea NAT (verkko-osoitteiden muuntaminen) -laitteiden takana olevia VPN (näennäinen yksityisverkko) -asiakkaita entistä paremmin. Jos asennat tämän päivityksen Windows XP -tietokoneeseen ja IPSec-laite kohtaa suorituksenaikaisen virheen eikä pysty käynnistymään jostain syystä, IPSec-ohjain toimii estotilassa, koska se ei pysty suojaamaan verkkoliikennettä.

Huomautus IPSec-palvelu näkyy järjestelmäpalveluiden luettelossa muodossa "IPSEC-palvelut".

Saat lisätietoja uusimman Windows XP Service Pack -paketin hankkimisesta napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322389 Uusimman Windows XP Service Packin hankkiminen

Artikkelin sisältö

Enemmän tietoa

Uudet IPSec-ominaisuudet sekä hallinnan ja tarkkailun apuohjelmat

  • Tämän päivityksen asentamisen jälkeen L2TP/IPSeciä käyttävät Windows 2000- ja Windows XP -asiakkaat voivat muodostaa IPSec-yhteyksiä NAT-laitteen takaa. Uudet IPSec NAT-T -toiminnot perustuvat IETF Requests for Comments (RFC) -asiakirjaan 3193 ja versioon 2 alkuperäisistä IETF IPSec NAT-T Internet -luonnoksista. Myös Windows XP SP2 -asiakkailla on käytössään tämä kehittynyt yhteystapa. IPSec NAT-T on tällä hetkellä määritetty RFC-asiakirjoissa 3947 ja 3948.
  • Päivitetty IPSec-valvonta-apuohjelma voi tarkastella Windows XP -tietokoneita vain, jos Windows XP -tietokoneeseen on asennettu SP2-päivitys.
  • Päivitetty IPSec-valvonta-apuohjelma voi tarkastella Microsoft Windows Server 2003 -tietokoneita. Samalla tavalla Windows Server 2003 voi valvoa Windows XP -tietokoneita, joihin on asennettu SP2-päivitys.
  • Windows 2000 -tietokoneita ei voi valvoa tällä apuohjelmalla.
  • Uusi IPSec-hallinta-apuohjelma siirtyy vain luku -tilaan kohdatessaan käytäntöobjekteja, jotka sisältävät Windows Server 2003:ssa luotuja lisäominaisuuksia (esimerkiksi DH2048, sertifikaattien yhdistämismääritys tai dynaamiset suodattimet). Tämä toiminta saa apuohjelmaobjektit (kuten säännöt, suodatinluettelot tai päätilatarjoukset) siirtymään tilaan, jossa niitä ei voi muokata, jos ne sisältävät viittauksia näihin uusiin asetuksiin. IPSec-hallinta-apuohjelma siirtyy vain luku -tilaan, jotta se ei pysty vahingossa poistamaan tärkeitä lisätoimintoja.
  • Windows XP -tietokoneiden päivitetyt IPSec-palvelut voivat näyttää useimmat uusista Windows Server 2003 -käytännön tarjoamista ominaisuuksista.

    Huomautus Sertifikaattien yhdistämismääritys ei ole käytettävissä.
  • Jos IPSeccmd-työkalun aiempi versio asennetaan Windows XP -tietokoneeseen (tämä työkalu ei ole käytettävissä Windows 2000:ssa), päivitetty IPSeccmd-työkalu asennetaan asema:\Program Files\Support Tools -kansioon.

    Päivitetyllä IPSeccmd-työkalulla on seuraavat ominaisuudet:
    • Se ottaa IKE (Internet Key Exchange) -kirjaamisen käyttöön ja poistaa sen käytöstä dynaamisesti.
    • Se näyttää tietoja määritettynä olevasta käytännöstä.
    • Sen avulla voit luoda pysyvän IPSec-käytännön.
    Huomautus IPSeccmd-työkalun aikaisempi versio ei toimi päivitetyissä tietokoneissa, ja päivitetty IPSeccmd-työkalu ei toimi tietokoneissa, joita ei ole päivitetty.

Yhteentoimivuus ja tunnetut ongelmat

IPSec NAT-T ja palomuurisäännöt

Koska IPSec NAT-T -toimintojen tuki perustuu IETF RFC -asiakirjaan 3193 ja versioon 2 alkuperäisistä IETF NAT-T Internet-vedoksista, saatat joutua avaamaan seuraavat portit ja protokollat palomuurisäännöissä, jotta nämä palvelut toimisivat palomuurin läpi:
  • Internet Key Exchange (IKE) - UDP (User Datagram Protocol) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) - IP (Internet Protocol) -protokolla 50

IPSec NAT-T:n käytön tuetut tilanteet

Seuraavat tilanteet sallivat L2TP/IPSec-pohjaiset IPSec NAT-T -yhteydet. Näissä tilanteissa Asiakas käyttää Windows 2000:ta, jossa on asennettuna päivitys 818043, tai Windows XP:tä, jossa on asennettuna SP2-päivitys. Palvelin on L2TP/IPSec-palvelin, jossa on Windows Server 2003 ja joka käyttää Reititys ja etäkäyttö -toimintoa.
Asiakas----> NAT ----Internet---->Palvelin

Ainoa tuettu ja suositeltu skenaario on sellainen, jossa Palvelin ei sijaitse NAT-laitteen takana.
L2TP/IPSec-palvelin voi myös olla kolmannen osapuolen yhdyskäytävätuote, joka tukee NAT-T-yhteyksiä.

Huomautus Jos asennat päivityksen 818043 Windows 2000 -palvelimeen, joka käyttää Reititystä ja etäkäyttöä, palvelin ei voi toimia L2TP/IPSec-palvelimena tässä tilanteessa. Se ei pysty sallimaan yhteyksiä L2TP/IPSec-asiakkaista, jotka ovat vähintään yhden NAT-laitteen takana. Tämä päivitys on vain asiakaspuolen päivitys. Palvelinpuolen IPSec NAT-T -toiminnot ovat uusi ominaisuus, joka on ainoastaan Windows Server 2003:n Reitityksessä ja etäkäytössä. Palvelinpuolen IPSec NAT-T -tukea ei lisätä Windows 2000:n Reititykseen ja etäkäyttöön.

Diffie-Hellman-ryhmän 2048 päivitys

Jotta L2TP/IPSec-asiakkaat voivat neuvotella ja käyttää Diffie-Hellman-ryhmän 2048 päivitystä, myös sen etäkäyttöpalvelimen, johon yhteys muodostetaan, on tuettava tätä ryhmää.

Huomautus Jotta Windows Server 2003:ssa voidaan käyttää Diffie-Hellman-ryhmää 2048, on luotava rekisterin aliavain. Voit tehdä tämän seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
  2. Etsi seuraava rekisterin aliavain ja napsauta sitä:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Valitse Muokkaa-valikosta Uusi ja valitse sitten DWORD-arvo.
  4. Kirjoita NegotiateDH2048 ja paina ENTER-näppäintä.
  5. Napsauta NegotiateDH2048-arvoa hiiren kakkospainikkeella ja valitse Muokkaa.
  6. Kirjoita Arvon data -ruutuun 1 ja valitse sitten OK.
  7. Valitse Rekisteri-valikosta Lopeta.

Muut

  • IPSec-purkamisen laitteisto
    IPSec-purkamisen verkkosovittimet eivät pura NAT-protokollien avulla tehtyjä suojauskytkentöjä.
  • Uusia ominaisuuksia ei näytetä oikein
    Uudet Windows Server 2003:n IPSec-käytännön avulla käyttöön otetut ominaisuudet eivät välttämättä näy oikein IPSec-valvonnassa. Erityisesti DH2048-ryhmä näkyy muodossa 268435457, ja dynaamiset suodatinnimet (kuten WINS tai DHCP) eivät näy lainkaan (sarake on tyhjä).
  • Windowsin IPSec-toteutuksen IKE-osa käyttää laajennettua Winsock API -funktiota, jonka toiminto-osoitin määritetään kutsumalla WSAIoctl()-funktiota. Jos tätä funktiokutsua ei voi välittää minkä tahansa asennetun LSP:n (Layered Service Provider) läpi, IPSec ei pysty seuraamaan IKE-porttia. IPSec tulkitsee tämän osan epäonnistumisena ja toimii sen mukaisesti (eli palauttaa sanoman, joka ilmoittaa suojattuun tilaan palauttamisesta virheen vuoksi). Asennettu kolmannen osapuolen ohjelma saattaa aiheuttaa sen, että IKE-osa ei pysty kulkemaan jonkin LSP:n läpi.

Varoitus Vakavia ongelmia saattaa ilmetä, jos muokkaat rekisteriä virheellisesti Rekisterieditorilla tai jollakin muulla tavalla. Näiden ongelmien ilmetessä saatat joutua asentamaan käyttöjärjestelmäsi uudelleen. Microsoft ei takaa, että nämä ongelmat voidaan ratkaista. Muokkaat rekisteriä omalla vastuulla. Jotta voit muuttaa IPSec NAT-T -toimintaa Windows XP SP2 -tietokoneessa, sinun on luotava AssumeUDPEncapsulationContextOnSendRule-rekisteriarvo.

Oletusarvon mukaan Windows XP SP2 ei enää tue IPSec NAT-T -suojauskytkentöjä palvelimiin, jotka sijaitsevat NAT-laitteiden takana. Tämän vuoksi, jos VPN-palvelimesi on NAT-laitteen takana, oletusarvon mukaan Windows XP SP2 -pohjainen VPN-asiakas ei pysty muodostamaan L2TP/IPSec-yhteyttä VPN-palvelimeen. Tässä skenaariossa VPN-palvelimen käyttöjärjestelmä on Microsoft Windows Server 2003.

Tämä oletustoiminta saattaa myös estää Windows XP SP2 -tietokoneita muodostamasta L2TP/IPSec-etätyöpöytäyhteyksiä, kun kohdetietokone sijaitsee NAT-laitteen takana.

NAT-laitteiden verkkotietoliikenteen kääntämistavan vuoksi saattaa ilmetä odottamattomia tuloksia, kun sijoitat palvelimen NAT-laitteen taakse ja käytät IPSec NAT-T -yhteyksiä. Jos tarvitset IPSec-tietoliikennettä, Microsoft suosittelee tämän vuoksi, että käytät julkisia IP-osoitteita kaikille palvelimille, jotta pystyt muodostamaan yhteyden suoraan Internetistä.

Voit luoda ja määrittää AssumeUDPEncapsulationContextOnSendRule-rekisteriarvon seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
  2. Etsi seuraava rekisterin aliavain ja napsauta sitä:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Valitse Muokkaa-valikosta Uusi ja valitse sitten DWORD-arvo.
  4. Kirjoita Uusi arvo #1 -ruutuun AssumeUDPEncapsulationContextOnSendRule ja paina sitten ENTER-näppäintä.
  5. Napsauta hiiren kakkospainikkeella AssumeUDPEncapsulationContextOnSendRule-arvoa ja valitse sitten Muokkaa.
  6. Kirjoita Arvon data -ruutuun jokin seuraavista arvoista:
    • 0 (oletus)
      Kun arvo on 0 (nolla), Windows ei pysty muodostamaan suojauskytkentöjä palvelimiin, jotka sijaitsevat NAT-laitteiden takana.
    • 1
      Kun arvo on 1, Windows pystyy muodostamaan suojauskytkentöjä palvelimiin, jotka sijaitsevat NAT-laitteiden takana.
    • 2
      Kun arvo on 2, Windows pystyy muodostamaan suojauskytkentöjä, kun sekä palvelin että Windows XP SP2 -asiakastietokone ovat NAT-laitteiden takana.
  7. Valitse OK ja sulje sitten Rekisterieditori.
  8. Käynnistä tietokone uudelleen.

Windows XP:n Service Pack -tiedot

Tämä ominaisuus on käytettävissä uusimmassa Windows XP:n Service Pack -päivityksessä (SP2). Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322389 Uusimman Windows XP Service Packin hankkiminen

Windows 2000 -päivitys

Jos haluat ladata tämän Windows 2000 -päivityksen, käytä Microsoft Windows Update Catalog -palvelua seuraavassa Microsoftin Web-sivustossa:
http://v4.windowsupdate.microsoft.com/catalog
Etsi tämän artikkelin numeroa Windows Update Catalog -sivuston haun lisäasetusten avulla. Voit tehdä tämän seuraavasti:
  1. Napsauta Microsoft Windows Update -Web-sivustossa Etsi päivityksiä Microsoft Windows -käyttöjärjestelmiin.
  2. Valitse käyttöjärjestelmäsi ja sen kieliversio. Valitse sitten Tarkennetun haun asetukset.

    Huomautus Sinun on valittava Windows 2000 Professional Service Pack 3 tai Windows 2000 Professional Service Pack 4. Jos valitset eri käyttöjärjestelmän, haku ei palauta päivitystä.
  3. Kirjoita Sisältää nämä sanat -ruutuun 818043 ja valitse sitten Etsi.
Saat lisätietoja päivitysten lataamisesta Windows Update Catalog -sivustosta napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
323166 Windows-päivitysten ja -ohjainten lataaminen Windows Update Catalog -sivustosta

Edellytykset

Tämä päivityspaketti on suunniteltu asennettavaksi tietokoneisiin, joissa on Windows 2000 Service Pack 3 (SP3) tai uudempi.

Uudelleenkäynnistysvaatimus

Tämä päivityspaketti edellyttää, että käynnistät tietokoneen uudelleen, jotta uudet IPSec-ominaisuudet otetaan käyttöön.

Päivityksen korvaamistiedot

Tämä päivitys ei korvaa muita päivityksiä.

Tiedoston tiedot

Tämän korjaustiedoston englanninkielisessä versiossa on seuraavassa taulukossa luetellut tiedostomääritteet (tai uudemmat). Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kun tarkastelet tiedoston tietoja, sen aika muunnetaan paikalliseksi ajaksi. Voit selvittää UTC-ajan ja paikallisen ajan välisen eron Ohjauspaneelin Päivämäärä ja aika -työkalun Aikavyöhyke-välilehdessä.
   Päiväys   Aika       Versio      Koko     Tiedostonimi
   ----------------------------------------------------------------
   18.9.2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21.4.2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21.4.2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21.4.2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   1.5.2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   1.5.2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   1.5.2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   1.5.2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   1.5.2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   1.5.2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21.4.2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bittinen)

Suositukset

Saat lisätietoja napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:
314067 Windows XP:n TCP/IP-yhteyksien vianmääritys (tämä artikkeli saattaa olla englanninkielinen)
257225 Microsoft Windows 2000 Server -palvelimen yleinen IPSec-vianmääritys (tämä artikkeli saattaa olla englanninkielinen)
816915 Microsoft Windows -ohjelmistopäivityspakettien uusi tiedostojen nimeämiskäytäntö (tämä artikkeli saattaa olla englanninkielinen)

Ominaisuudet

Artikkelin tunnus: 818043 - Viimeisin tarkistus: 9. lokakuuta 2011 - Versio: 19.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Hakusanat: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com