Mise à jour L2TP/IPsec NAT-T pour Windows XP et Windows 2000

Numéro d'article: 818043 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Microsoft a publié un package de mise à jour qui améliore la fonctionnalité actuelle du protocole L2TP (Layer Two Tunneling Protocol) et de la sécurité IP (IPsec, Internet Protocol Security) sur les ordinateurs Microsoft Windows 2000, Microsoft Windows XP sans Service Pack et Windows XP Service Pack 1 (SP1). Cette fonctionnalité est incluse dans Windows XP Service Pack 2 (SP2). Les ordinateurs qui exécutent Windows XP avec un service pack n'ont pas à installer ce package de mise à jour.

Cette mise à jour améliore notamment la sécurité IP pour mieux prendre en charge les clients réseau privé virtuel qui se trouvent derrière des périphériques de traduction d'adresses réseau (NAT, Network Address Translation). Si vous appliquez cette mise à jour à un ordinateur Windows XP et que le service IPsec rencontre une erreur d'exécution et ne peut pas démarrer pour une raison quelconque, le pilote IPsec fonctionne en mode blocage car il ne peut pas sécuriser le trafic réseau.

Remarque Le service IPsec est répertorié sous le nom « Services IPsec » dans la liste des services système.

Pour plus d'informations sur le dernier Service Pack Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322389
(http://support.microsoft.com/kb/322389/ )
Comment faire pour obtenir le dernier service pack Windows XP

Sommaire de l'article

Retour au début | Envoyer des commentaires

Plus d'informations

Nouvelles fonctionnalités IPsec et composants logiciels enfichables Gestion et Moniteur

  • Une fois cette mise à jour installée, les clients L2TP/IPsec Windows 2000 et Windows XP peuvent créer des connexions IPsec derrière un périphérique NAT. La nouvelle fonctionnalité IPsec NAT-T repose sur les RFC (Requests for Comments) 3193 et version 2 des documents « drafts » IPsec NAT-T de l'IETF. Les clients Windows XP équipés du SP2 disposent également de cette option de connectivité améliorée. IPsec NAT-T est actuellement spécifié dans les RFC 3947 et 3948.
  • Le composant logiciel enfichable Moniteur IPsec mis à jour peut analyser les ordinateurs Windows XP, à condition toutefois que le SP2 soit installé sur ceux-ci.
  • Le composant logiciel enfichable Moniteur IPsec mis à jour peut analyser les ordinateurs Microsoft Windows Server 2003. De même, Windows Server 2003 peut analyser les ordinateurs Windows XP sur lesquels le SP2 est installé.
  • Ce composant logiciel enfichable ne permet pas toutefois d'analyser les ordinateurs Windows 2000.
  • Le nouveau composant logiciel enfichable Gestion IPsec passe en mode lecture seule lorsqu'il rencontre des objets de stratégie qui contiennent des fonctionnalités avancées créées dans Windows Server 2003 (par exemple, DH2048, mappage de certificat ou filtres dynamiques). Il est alors impossible de modifier des objets enfichables (tels que des règles, des listes de filtres ou des offres de mode principal) qui contiennent des références à ces nouveaux paramètres. Le composant logiciel enfichable Gestion IPsec passe en mode lecture seule pour empêcher toute suppression accidentelle de fonctionnalités avancées critiques.
  • Les services IPsec mis à jour sur les ordinateurs Windows XP peuvent exposer la plupart des nouvelles fonctionnalités qui sont fournies dans une stratégie Windows Server 2003.

    Remarque Le mappage de certificat n'est pas disponible.
  • Si une version précédente de l'outil IPseccmd est installée sur un ordinateur Windows XP (cet outil n'est pas disponible dans Windows 2000), une version mise à jour de l'outil IPseccmd est installée dans le dossier lecteur:\Program Files\Support Tools.

    L'outil IPseccmd mis à jour offre les fonctionnalités suivantes :
    • activation et désactivation dynamique de l'enregistrement dans le journal IKE (Internet Key Exchange) ;
    • affichage des informations sur une stratégie actuellement assignée ;
    • il vous permet de créer une stratégie IPsec permanente.
    Remarque La version précédente de l'outil IPseccmd ne fonctionne pas sur les ordinateurs mis à jour et l'outil IPSeccmd mis à jour ne fonctionne pas sur les ordinateurs qui n'ont pas été mis à jour.

Interopérabilité et problèmes connus

IPsec NAT-T et règles de pare-feu

Puisque la nouvelle fonctionnalité IPsec NAT-T est basée sur les documents RFC 3193 et version 2 des documents « drafts » Ipsec NAT-T de l'IETF, vous devez ouvrir les ports et protocoles suivants dans les règles de pare-feu pour que ces services puissent s'exécuter via un pare-feu :
  • IKE (Internet Key Exchange) - UDP (User Datagram Protocol) 500
  • IPsec NAT-T - UDP 4500
  • ESP (Encapsulating Security Payload) - Protocole IP (Internet Protocol) 50

Scénarios pris en charge utilisant IPsec NAT-T

Les scénarios ci-dessous permettent le bon fonctionnement des connexions IPsec NAT-T basées sur L2TP/IPsec. Dans ces scénarios, Client est un client qui exécute Windows 2000 et dont la mise à jour 818043 est installée ou est un ordinateur qui exécute Windows XP SP2. Serveur est un serveur L2TP/IPsec qui exécute Windows Server 2003 et qui utilise le service Routage et accès distant.
Client----> NAT ----Internet---->Serveur

Le seul scénario pris en charge et recommandé est lorsque le Serveur ne se situe pas derrière un périphérique NAT.
Le serveur L2TP/IPsec doit également constituer une passerelle tierce prenant en charge les connexions NAT-T.

Remarque Si vous appliquez la mise à jour 818043 à un serveur Windows 2000 qui utilise le service Routage et accès distant, le serveur ne peut pas fonctionner en tant que serveur L2TP/IPsec dans ce scénario. Il ne permet pas les connexions à partir de clients L2TP/IPsec qui se trouvent derrière un ou plusieurs périphériques NAT. Il s'agit d'une mise à jour côté client uniquement. La fonctionnalité IPsec NAT-T côté serveur est une nouvelle fonctionnalité du service Routage et accès distant de Windows Server 2003 uniquement. La prise en charge IPsec NAT-T côté serveur ne sera pas ajoutée au service Routage et accès distant de Windows 2000.

Mise à jour du groupe Diffie-Hellman 2048

Pour que les clients L2TP/IPsec puissent négocier et utiliser la mise à jour du groupe Diffie-Hellman 2048, le serveur d'accès distant contacté doit également prendre en charge ce groupe.

Remarque Pour utiliser le groupe Diffie-Hellman 2048 si votre ordinateur exécute Windows Server 2003, vous devez créer une sous-clé de Registre. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez NegotiateDH2048, puis appuyez sur ENTRÉE.
  5. Cliquez avec le bouton droit sur NegotiateDH2048, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
  7. Dans le menu Registre, cliquez sur Quitter.

Autres

  • Matériel de déchargement IPsec
    Les cartes réseau de déchargement IPsec ne déchargent pas les associations de sécurité créées à l'aide de traducteurs NAT.
  • Les nouvelles fonctionnalités ne s'affichent pas correctement
    Les nouvelles fonctionnalités qui ont été activées par le biais d'une stratégie IPsec Windows Server 2003 peuvent ne pas s'afficher correctement dans le Moniteur IPsec. Le groupe DH2048 s'affiche notamment sous la forme 268435457 et les noms des filtres dynamiques (tels que WINS ou DHCP) ne s'affichent pas du tout (la colonne est vide).
  • Le composant IKE de l'implémentation Windows d'IPsec utilise une fonction de l'API Winsock étendue dont le pointeur de fonction est déterminé en appelant WSAIoctl(). Si cet appel de fonction ne peut pas franchir un fournisseur de services superposés (LSP, Layered Service Provider) installé, IPsec ne peut pas être à l'écoute sur le port IKE. IPsec interprète cela comme une défaillance du composant et agit en conséquence (le message « Échec du mode sécurisé » est renvoyé). L'incapacité du composant IKE à franchir un fournisseur de services superposés peut être causée par un programme tiers installé.

Avertissement Des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou toute autre méthode. Ces problèmes peuvent vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre. Pour modifier le comportement IPsec NAT-T d'un ordinateur Windows XP SP2, vous devez créer la valeur de Registre AssumeUDPEncapsulationContextOnSendRule.

Par défaut, Windows XP SP2 ne prend plus en charge les associations de sécurité IPsec NAT-T sur des serveurs qui se situent derrière un traducteur d'adresses réseau. Par conséquent, si le serveur de votre réseau privé virtuel se trouve derrière un traducteur d'adresses réseau, par défaut, un client VPN Windows XP SP2 ne peut pas établir une connexion L2TP/IPsec sur le serveur VPN. Ce scénario inclut un serveur VPN qui exécute Microsoft Windows Server 2003.

Ce comportement par défaut peut également empêcher les ordinateurs Windows XP SP2 d'établir des connexions Bureau à distance avec L2TP/IPsec lorsque l'ordinateur de destination se situe derrière un traducteur d'adresses réseau.

Étant donné la façon dont les traducteurs d'adresses réseau traduisent le trafic réseau, vous pouvez constater des résultats inattendus lorsque vous placez un serveur derrière un traducteur d'adresses réseau et que vous utilisez ensuite IPsec NAT-T. Par conséquent, si vous avez besoin de la sécurité IP pour une communication, nous vous recommandons d'utiliser des adresses IP publiques pour tous les serveurs auxquels vous pouvez vous connecter directement à partir d'Internet.

Pour créer et configurer la valeur de Registre AssumeUDPEncapsulationContextOnSendRule, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Dans la zone Nouvelle valeur n°1, tapez AssumeUDPEncapsulationContextOnSendRule, puis appuyez sur ENTRÉE.
  5. Cliquez avec le bouton droit sur AssumeUDPEncapsulationContextOnSendRule, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez l'une des valeurs suivantes :
    • 0 (par défaut)
      Une valeur de 0 (zéro) configure Windows de sorte qu'il ne puisse pas établir d'associations de sécurité avec des serveurs qui se situent derrière des traducteurs d'adresses réseau.
    • 1
      Une valeur de 1 configure Windows de sorte qu'il puisse établir des associations de sécurité avec des serveurs qui se situent derrière des traducteurs d'adresses réseau.
    • 2
      Une valeur de 2 configure Windows de sorte qu'il puisse établir des associations de sécurité lorsque le serveur et l'ordinateur client Windows XP SP2 se situent derrière des traducteurs d'adresses réseau.
  7. Cliquez sur OK, puis quittez l'Éditeur du Registre.
  8. Redémarrez l'ordinateur.

Informations sur le service pack Windows XP

Cette fonctionnalité est disponible dans le dernier service pack pour Windows XP (SP2). Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322389
(http://support.microsoft.com/kb/322389/ )
Comment faire pour obtenir le dernier Service Pack Windows XP

Mise à jour de Windows 2000

Pour télécharger cette mise à jour de Windows 2000 et utiliser le Catalogue Microsoft Windows Update, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://v4.update.microsoft.com/catalog
(http://v4.update.microsoft.com/catalog)
Recherchez le numéro d'identification de cet article à l'aide des Options de recherche avancée dans le Catalogue Windows Update. Pour cela, procédez comme suit :
  1. Sur le site Web Microsoft Windows Update, cliquez sur Rechercher des mises à jour pour les systèmes d'exploitation Microsoft Windows.
  2. Sélectionnez votre système d'exploitation et votre langue, puis cliquez sur Recherche avancée.

    Remarque Vous devez sélectionner Windows 2000 Professionnel Service Pack 3 ou Windows 2000 Professionnel Service Pack 4. Si vous sélectionnez un autre système d'exploitation, la mise à jour n'apparaît pas dans les résultats de la recherche.
  3. Dans la zone Contient ces termes, tapez 818043, puis cliquez sur Rechercher.
Pour plus d'informations sur la façon de télécharger des mises à jour à partir du Catalogue Windows Update, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
323166
(http://support.microsoft.com/kb/323166/ )
Comment faire pour télécharger des mises à jour Windows et des pilotes à partir du Catalogue Windows Update

Conditions préalables

Ce package de mise à jour est conçu pour être installé sur des ordinateurs Windows 2000 Service Pack 3 (SP3) ou versions ultérieures.

Nécessité d'un redémarrage

Vous devez redémarrer votre ordinateur pour activer les nouvelles fonctionnalités IPsec.

Informations sur le remplacement de mise à jour

Cette mise à jour n'en remplace pas d'autre.

Informations sur les fichiers

La version anglaise de ce correctif logiciel possède les attributs de fichier indiqués dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, elles sont converties en date et heure locales. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'outil Date et heure du Panneau de configuration.
   Date        Heure  Version        Taille   Nom de fichier
   ----------------------------------------------------------------
   18/09/00  19:01  5.0.2195.1569   33 616  Fips.sys
   21/04/03  15:19  5.0.2195.6738   80 848  Ipsec.sys
   21/04/03  15:19  5.0.2195.6738   29 456  Ipsecmon.exe     
   21/04/03  15:21  5.0.2195.6738  390 928  Netdiag.exe      
   01/05/03  21:39  5.0.2195.6738  417 552  Oakley.dll       
   01/05/03  21:39  5.0.2195.6738   96 528  Polagent.dll     
   01/05/03  21:39  5.0.2195.6738  137 488  Polstore.dll     
   01/05/03  21:39  5.0.2195.6738   58 128  Rasman.dll       
   01/05/03  21:39  5.0.2195.6738  153 360  Rasmans.dll      
   01/05/03  21:39  5.0.2195.6738   54 032  Rastapi.dll      
   21/04/03  15:19  5.0.2195.6738   80 848  Ipsec.sys  (56 bits)
Retour au début | Envoyer des commentaires

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
314067
(http://support.microsoft.com/kb/314067/ )
Comment faire pour résoudre les problèmes de connectivité TCP/IP dans Windows XP
257225
(http://support.microsoft.com/kb/257225/ )
Résolution élémentaire des problèmes liés à IPSec sous Windows 2000 Server
816915
(http://support.microsoft.com/kb/816915/ )
Nouveau modèle d'affectation de noms pour les packages de correctifs logiciels Microsoft Windows
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 818043 - Dernière mise à jour: mercredi 18 mai 2011 - Version: 19.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows 2000 Professionnel
Mots-clés : 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début