Bejelentkez�s

Select the product you need help with

L2TP/IPSec NAT-T � friss�t�s a Windows XP �s Windows 2000 rendszerhez

Cikk azonos�t�ja: 818043

Az �sszes kibont�sa | Az �sszes �sszecsuk�sa

A Microsoft kiadott egy friss�t�csomagot, amely az L2TP (Layer Two Tunneling Protocol) protokoll �s az IPSec (Internet Protocol Security) szolg�ltat�s m�k�d�s�t b�v�ti ki Microsoft Windows 2000, szervizcsomag n�lk�li Microsoft Windows XP �s Windows XP Service Pack 1 (SP1) rendszert futtat� sz�m�t�g�peken. A Windows XP rendszer szervizcsomaggal kieg�sz�tett verzi�j�t futtat� sz�m�t�g�peken nem kell telep�teni a friss�t�csomagot.

A friss�t�s az IPSec m�k�d�s�t fejleszti tov�bb oly m�don, hogy az hat�konyabban egy�ttm�k�dj�n a NAT- (Network Address Translation, h�l�zati c�mford�t�) eszk�z�k m�g�tt l�v� VPN- (virtu�lis mag�nh�l�zati) �gyf�lsz�m�t�g�pekkel. Ha a friss�t�st Windows XP rendszer� sz�m�t�g�pre telep�ti, �s az IPSec szolg�ltat�s fut�sidej� hiba fell�p�s�t k�vet�en valamilyen okb�l nem ind�that� el, akkor az IPSec-illeszt� blokk m�dban m�k�dik, mert nem tudja biztons�goss� tenni a h�l�zati adatforgalmat.

Megjegyz�s: (Az IPSec szolg�ltat�s �IPSEC szolg�ltat�sok� n�ven jelenik meg a rendszerszolg�ltat�sok list�j�n.)

Tov�bbi inform�ci�t a Windows�XP rendszer leg�jabb szervizcsomagj�r�l a Microsoft Tud�sb�zis k�vetkez� cikk�ben tal�l a cikk sz�m�ra kattintva:

322389

(http://support.microsoft.com/kb/322389/ )

A Windows XP rendszer leg�jabb szervizcsomagj�nak beszerz�se

A cikk tartalma

Az IPSec �j szolg�ltat�sai �s a kezel�sre �s figyel�sre szolg�l� be�p�l� modulok
Egy�ttm�k�d�s �s ismert probl�m�k
Inform�ci�k a Windows XP szervizcsomagj�r�l
Friss�t�s a Windows 2000 rendszerhez
Hivatkoz�sok

A lap tetej�re | Visszajelz�s k�ld�se

Tov�bbi inform�ci�

Az IPSec �j szolg�ltat�sai �s a kezel�sre �s figyel�sre szolg�l� be�p�l� modulok

E friss�t�s telep�t�s�t k�vet�en a Windows 2000 �s Windows XP alap� L2TP/IPSec �gyfelek NAT-kiszolg�l� m�g�l is k�pesek lesznek IPSec-kapcsolatok l�tes�t�s�re. Az �j IPsec NAT-T szolg�ltat�s az IETF 3193-as sz�m� RFC-dokumentum�n �s az eredeti IETF IPsec NAT-T internetes szabv�nyon alapul. Az Windows XP rendszer SP2 szervizcsomagj�t futtat� �gyfelek szint�n haszn�lhatj�k ezt a tov�bbfejlesztett kapcsolati lehet�s�get. Az IPsec NAT-T szabv�nyt jelenleg a 3947-es �s 3948-as sz�m� RFC-dokumentum hat�rozza meg.
Az IPSec figyel�modul friss�tett verzi�ja k�pes a Windows XP rendszer� sz�m�t�g�pek figyel�s�re, �m csak abban az esetben, ha telep�tve van az SP2 szervizcsomag.
A friss�tett IPSec figyel�modul a Microsoft Windows Server 2003 rendszer� sz�m�t�g�peket is k�pes figyelni. Hasonl�k�ppen a Windows Server 2003 alap� sz�m�t�g�pekkel figyelhet�k az SP2 szervizcsomaggal ell�tott, Windows XP alap� sz�m�t�g�pek.
A Windows 2000 rendszer� sz�m�t�g�pek nem figyelhet�k ezzel a be�p�l� modullal.
Az �j IPSec kezel�si be�p�l� modul �r�sv�dett �zemm�dba v�lt, ha olyan h�zirendobjektumokat tal�l, amelyek Windows Server 2003 rendszerben l�trehozott fejlett funkci�kat (p�ld�ul a DH2048, a tan�s�tv�ny-hozz�rendel�s vagy a dinamikus sz�r�k funkci�t) tartalmaznak. E m�k�d�s miatt megsz�nik azoknak a be�p�l� objektumoknak (p�ld�ul szab�lyok, sz�r�list�k vagy f��zemm�d-lehet�s�gek) a szerkeszthet�s�ge, amelyek az �j be�ll�t�sokra mutat� hivatkoz�sokat tartalmaznak. Az IPSec kezel�si be�p�l� modul a kritikus fejlettebb funkci�k v�letlen elt�vol�t�s�nak kik�sz�b�l�se �rdek�ben v�lt �t �r�sv�dett m�dra.
A Windows XP alap� sz�m�t�g�peken m�k�d� friss�tett IPSec szolg�ltat�sok k�pesek el�rhet�v� tenni azoknak az �j szolg�ltat�soknak a legnagyobb r�sz�t, amelyek a Windows Server 2003 h�zirendekben megtal�lhat�k.

Megjegyz�s: A tan�s�tv�ny-hozz�rendel�si funkci� nem haszn�lhat�.
Ha az IPSeccmd eszk�z egy kor�bbi verzi�ja van telep�tve egy Windows XP alap� sz�m�t�g�pre (ez az eszk�z a Windows 2000 rendszerben nem tal�lhat� meg), a telep�t�s sor�n az IPSeccmd friss�tett verzi�ja ker�l a meghajt�:\Program Files\Support Tools mapp�ba.

A friss�tett IPSeccmd eszk�z az al�bbi lehet�s�geket ny�jtja:
- Automatikusan be- �s kikapcsolja az IKE (Internet Key Exchange) alap� bejelentkez�st.
- Megjelen�ti egy aktu�lisan hozz�rendelt h�zirend inform�ci�it.
- Lehet�v� teszi egy �lland� IPSec h�zirend l�trehoz�s�t.
Megjegyz�s: Az IPSeccmd eszk�z kor�bbi verzi�ja friss�tett sz�m�t�g�peken nem haszn�lhat�, a friss�tett IPSeccmd pedig nem haszn�lhat� a friss�t�ssel el nem l�tott sz�m�t�g�peken.

Egy�ttm�k�d�s �s ismert probl�m�k

A NAT-T �s a t�zfalszab�lyok

Mivel az �j NAT-T k�dot az IETF RFC 3193 el��r�sra, valamint az IETF NAT-T specifik�ci� m�sodik, nem v�gleges v�ltozat�ra alapozva tervezt�k meg, ahhoz, hogy e szolg�ltat�sok t�zfalon kereszt�l futtathat�k legyenek, sz�ks�g lehet az al�bbi portok �s protokollok megnyit�s�ra a t�zfal szab�lyaiban:

Internet Key Exchange (IKE) � 500-as UDP-port
IPsec NAT-T � 4500-as UDP-port
ESP � 50-es IP-port

A NAT-T k�dot haszn�l� t�mogatott forgat�k�nyvek

Az al�bb k�vetkez� forgat�k�nyvek sikeresen enged�lyezik az L2TP/IPSec t�pus� IPsec NAT-T kapcsolatokat. Az ismertetett forgat�k�nyvekben az �gyf�l olyan �gyfelet jel�l, amely Windows 2000 rendszert futtat �s amelyre telep�tve van a 818043-as sz�m� friss�t�s, illetve amely SP2 szervizcsomaggal kieg�sz�tett Windows XP rendszert futtat. A Kiszolg�l� olyan L2TP/IPSec kiszolg�l�t jel�l, amely Windows Server 2003 rendszert futtat �s az �tv�laszt�s �s t�vel�r�s szolg�ltat�st haszn�lja.

�gyf�l----> NAT ----Internet---->Kiszolg�l�

Az egyetlen t�mogatott �s javasolt forgat�k�nyv az, amikor a Kiszolg�l� nem NAT-eszk�z m�g�tt �zemel.
Az L2TP/IPsec alap� kiszolg�l� lehet k�ls� f�l �ltal gy�rtott �tj�r�eszk�z, amely t�mogatja a h�l�zati c�mford�t�st haszn�l� kapcsolatokat.

Megjegyz�s: Ha olyan Windows 2000 alap� kiszolg�l�ra telep�ti a 818043-as friss�t�st, amely az �tv�laszt�s �s t�vel�r�s szolg�ltat�st haszn�lja, a kiszolg�l� az ismertetett forgat�k�nyvekben nem haszn�lhat� L2TP/IPSec-kiszolg�l�k�nt. Az NAT-eszk�z m�g�tt tal�lhat� L2TP/IPsec-�gyfelek kapcsolatai nem enged�lyezhet�k. Az itt le�rt friss�t�s csak �gyf�lsz�m�t�g�pekre telep�tend�. A kiszolg�l�oldali IPsec NAT-T funkci�k kiz�r�lag a Windows Server 2003 �tv�laszt�s �s t�vel�r�s szolg�ltat�s�ban el�rhet� �j lehet�s�gek. A Windows 2000 �tv�laszt�s �s t�vel�r�s szolg�ltat�sa a j�v�ben sem fogja t�mogatni az IPsec NAT-T kiszolg�l�oldali funkci�it.

A 2048 bites Diffie-Hellman algoritmus friss�t�se

Ahhoz, hogy az L2TP/IPSec alap� �gyfelek a friss�tett 2048 bites kulcsm�ret� Diffie-Hellman algoritmust haszn�lva csatlakozhassanak egy t�vel�r�s� kiszolg�l�hoz, a kiszolg�l�nak is t�mogatnia kell ezt a kulcsm�retet.

Megjegyz�s: Windows Server 2003 rendszer haszn�lata eset�n a 2048 bites Diffie-Hellman algoritmus haszn�lat�hoz l�tre kell hoznia egy kulcsot a rendszerle�r� adatb�zisban. Ehhez hajtsa v�gre a k�vetkez� l�p�seket:

Kattintson a Start gombra, majd a Futtat�s parancsra. �rja be a regedit parancsot, �s kattintson az OK gombra.
Keresse meg, �s kattint�ssal nyissa meg a rendszerle�r� adatb�zis k�vetkez� alkulcs�t:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
A Szerkeszt�s men�ben mutasson az �j pontra, majd kattintson a Duplasz� parancsra.
�rja be a NegotiateDH2048 karakterl�ncot, majd nyomja meg az ENTER billenty�t.
Jobb gombbal kattintson a NegotiateDH2048 elemre, �s v�lassza a M�dos�t�s parancsot.
Az �rt�k mez�be �rja be az 1 �rt�ket, majd kattintson az OK gombra.
A F�jl men�ben kattintson a Kil�p�s parancsra.

Egy�b

IPSec feladat�tad�si hardvereszk�z�k
Az IPSec feladat�tad�si h�l�zati adapterek nem adj�k �t a NAT-�tv�laszt�k haszn�lat�val l�trehozott biztons�gi t�rs�t�sokat.
Egyes �j funkci�k nem megfelel�en jelennek meg
El�fordulhat, hogy azok az �j funkci�k, amelyeket Windows Server 2003 IPSec h�zirenden kereszt�l enged�lyeztek, nem megfelel�en jelennek meg az IPSec figyel�modulban. A legszembet�n�bb elt�r�s a DH2048 jel� csoportn�l figyelhet� meg, amely 268435457-k�nt l�that�, a dinamikus sz�r�k (ilyen p�ld�ul a WINS vagy a DHCP) neve pedig egy�ltal�n nem jelenik meg (az oszlop �res).
Az IPSec Microsoft-f�le megval�s�t�s�nak IKE-�sszetev�je egy b�v�tett Winsock API-f�ggv�nyt haszn�l, melynek f�ggv�nymutat�ja a WSAIoctl() f�ggv�ny megh�v�s�val �llap�that� meg. Ha nincs biztos�tva e f�ggv�nyh�v�s sz�m�ra, hogy �thaladjon valamilyen telep�tett LSP- (Layered Service Provider) szolg�ltat�n, akkor az IPSec sz�m�ra nem v�lik lehet�v� az IKE-port figyel�se. Az IPSec ezt az �sszetev� meghib�sod�sak�nt �szleli �s ennek megfelel�en reag�l (azaz egy hiba�zenetet ad vissza, mely szerint biztons�gos m�dba v�lt). Az IKE �sszetev� ama hi�nyoss�g�t, melynek k�sz�nhet�en nem k�pes LSP szolg�ltat�n �thaladni, egy a sz�m�t�g�pre telep�tett, k�ls� gy�rt�t�l sz�rmaz� program is okozhatja.

Figyelmeztet�s: A rendszerle�r� adatb�zis Rendszerle�r�adatb�zis-szerkeszt�vel vagy egy�b eszk�z seg�ts�g�vel t�rt�n� nem megfelel� szerkeszt�se komoly probl�m�khoz vezethet, melyek ak�r az oper�ci�s rendszer �jratelep�t�s�t is sz�ks�gess� tehetik. A Microsoft nem garant�lja ezeknek a probl�m�knak a megoldhat�s�g�t. A rendszerle�r� adatb�zist csak saj�t felel�ss�g�re m�dos�thatja. A Windows XP SP2 rendszert futtat� sz�m�t�g�pek IPsec NAT-T szolg�ltat�s�nak m�k�d�s�t csak �gy v�ltoztathatja meg, hogy l�trehoz egy AssumeUDPEncapsulationContextOnSendRule nev� rendszerle�r� kulcsot.

A Windows XP SP2 rendszer m�r nem t�mogatja alap�rtelmez�s szerint az IPsec NAT-T biztons�gi t�rs�t�sok haszn�lat�t azon kiszolg�l�k eset�n, amelyek h�l�zati c�mford�t� m�g�l �zemelnek. Ha teh�t a VPN-kiszolg�l� h�l�zati c�mford�t� m�g�tt tal�lhat�, a Windows XP SP2 alap� �gyfelek nem tudnak L2TP/IPsec alap� kapcsolatot l�tes�teni azzal. Ez a forgat�k�nyv Microsoft Windows Server 2003 rendszert futtat� VPN-kiszolg�l�ra vonatkozik.

Az alap�rtelmezett viselked�s megakad�lyozhatja a Windows XP SP2 rendszert futtat� sz�m�t�g�peket is abban, hogy t�voli asztali kapcsolatot l�tes�tsenek az L2TP/IPsec protokoll haszn�lat�val, ha a c�lsz�m�t�g�p h�l�zati c�mford�t� m�g�tt tal�lhat�.

A h�l�zati c�mford�t�k m�k�d�si m�dj�nak k�vetkezt�ben v�ratlan eredm�nyek �llhatnak el�, ha a kiszolg�l� h�l�zati c�mford�t� m�g�tt �zemel, �s az IPsec NAT-T protokoll haszn�latos. Ebb�l kifoly�lag aj�nlott IPsec alap� kommunik�ci� eset�n nyilv�nos IP-c�met haszn�lni mindazon kiszolg�l�khoz, amelyek k�zvetlen�l el�rhet�k az internetr�l.

Az AssumeUDPEncapsulationContextOnSendRule rendszerle�r� kulcs l�trehoz�s�hoz �s be�ll�t�s�hoz v�gezze el a k�vetkez� l�p�seket:

Kattintson a Start men� Futtat�s parancs�ra, �rja be a regedit utas�t�st, majd kattintson az OK gombra.
Keresse meg a k�vetkez� rendszerle�r� kulcsot, �s kattintson r�:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
Mutasson a Szerkeszt�s men� �j pontj�ra, �s v�lassza a Duplasz� parancsot.
Az �j azonos�t� (#1) felirat hely�re �rja be az AssumeUDPEncapsulationContextOnSendRule azonos�t�nevet, �s nyomja le az ENTER billenty�t.
Kattintson jobb gombbal az AssumeUDPEncapsulationContextOnSendRule bejegyz�sre, �s v�lassza a M�dos�t�s parancsot.
A �rt�k mez�be �rja be a k�vetkez� �rt�kek egyik�t:
- 0 (alap�rtelmezett)
  A 0 (nulla) �rt�k eset�n a Windows nem tud biztons�gi t�rs�t�sokat l�trehozni azon kiszolg�l�kkal, amelyek h�l�zati c�mford�t� m�g�tt tal�lhat�k.
- 1
  Az 1 �rt�k eset�n a Windows k�pes biztons�gi t�rs�t�sokat l�trehozni azon kiszolg�l�kkal, amelyek h�l�zati c�mford�t� m�g�tt tal�lhat�k.
- 2
  A 2 �rt�k be�ll�t�sa eset�n a Windows k�pes biztons�gi t�rs�t�sokat l�trehozni akkor is, ha a kiszolg�l� �s a Windows XP SP2 alap� sz�m�t�g�p is h�l�zati c�mford�t� m�g�tt tal�lhat�.
Kattintson az OK gombra, �s l�pjen ki a Rendszerle�r�adatb�zis-szerkeszt�b�l.
Ind�tsa �jra a sz�m�t�g�pet.

Inform�ci�k a Windows XP szervizcsomagj�r�l

Ez a szolg�ltat�s a Windows XP leg�jabb szervizcsomagj�ban (SP2) �ll rendelkez�sre. Tov�bbi inform�ci�t a Microsoft Tud�sb�zis k�vetkez� cikk�ben tal�l a cikk sz�m�ra kattintva:

322389

(http://support.microsoft.com/kb/322389/ )

A Windows XP rendszer leg�jabb szervizcsomagj�nak beszerz�se

Friss�t�s a Windows 2000 rendszerhez

A friss�t�s Windows 2000 rendszerhez k�sz�tett v�ltozat�nak let�lt�s�hez l�togasson el a Microsoft k�vetkez� webhely�re, �s ott haszn�lja a Microsoft Windows Update katal�gust:

http://v4.update.microsoft.com/catalog

(http://v4.update.microsoft.com/catalog)

A friss�t�st �gy tal�lja meg, hogy a Windows Update katal�gus r�szletes keres�si lehet�s�g�vel megkeresi ennek a cikknek az azonos�t�sz�m�t. Ehhez hajtsa v�gre az al�bbi l�p�seket:

A Microsoft Windows Update webhelyen kattintson a Friss�t�sek keres�se a Microsoft Windows rendszerhez hivatkoz�sra.
Kattint�ssal jel�lje ki az �n �ltal haszn�lt oper�ci�s rendszert, �s kattintson a Speci�lis keres�si be�ll�t�sok hivatkoz�sra.

Megjegyz�s: A Windows 2000 Professional Service Pack 3 vagy a Windows 2000 Professional Service Pack 4 rendszert kell kijel�lnie, m�sk�l�nben a friss�t�st nem tal�lja meg a keres�s.
A Tartalmazott szavak mez�be �rja be a 818043 sz�mot, �s kattintson a Keres�s gombra.

Tov�bbi inform�ci�t a friss�t�sek Windows Update katal�gusb�l t�rt�n� let�lt�s�r�l a Microsoft Tud�sb�zis k�vetkez� cikk�ben tal�l a cikk sz�m�ra kattintva:

323166

(http://support.microsoft.com/kb/323166/ )

Windows-friss�t�sek �s -illeszt�programok let�lt�se a Windows Update katal�gusb�l

El�felt�telek

Ez a telep�t�csomag az SP3 (Service Pack 3) vagy �jabb szervizcsomaggal friss�tett Windows 2000 rendszert futtat� sz�m�t�g�pekre k�sz�lt.

�jraind�t�s sz�ks�gess�ge

A friss�t�csomag telep�t�s�t k�vet�en az �j IPSec-funkci�k m�k�d�sbe l�ptet�s�hez �jra kell ind�tani a sz�m�t�g�pet.

Inform�ci� a friss�t�sek lecser�l�s�r�l

A friss�t�s nem helyettes�t semmilyen m�s friss�t�st.

F�jlinform�ci�

A jav�t�s angol verzi�ja a k�vetkez� t�bl�zatban tal�lhat� tulajdons�gokkal (vagy k�s�bbiekkel) rendelkezik. A f�jlok d�tuma �s id�pontja az egyezm�nyes vil�gid� (UTC) szerint van megadva. �s a f�jlinform�ci� megtekint�se sor�n ezen adatokat helyi id�re konvert�lja a program. A helyi id� �s az egyezm�nyes vil�gid� k�z�tti k�l�nbs�gr�l a Vez�rl�pultr�l el�rhet� D�tum �s id� p�rbesz�dpanel Id�z�na lapj�n t�j�koz�dhat.

   D�tum        Id�    Verzi�          M�ret   F�jln�v
   ----------------------------------------------------------------
   2000.10.08.  19:01  5.0.2195.1569   33 616  Fips.sys
   2003.04.21.  15:19  5.0.2195.6738   80 848  Ipsec.sys
   2003.04.21.  15:19  5.0.2195.6738   29 456  Ipsecmon.exe     
   2003.04.21.  15:21  5.0.2195.6738  390 928  Netdiag.exe      
   2003.05.01.  21:39  5.0.2195.6738  417 552  Oakley.dll       
   2003.05.01.  21:39  5.0.2195.6738   96 528  Polagent.dll     
   2003.05.01.  21:39  5.0.2195.6738  137 488  Polstore.dll     
   2003.05.01.  21:39  5.0.2195.6738   58 128  Rasman.dll       
   2003.05.01.  21:39  5.0.2195.6738  153 360  Rasmans.dll      
   2003.05.01.  21:39  5.0.2195.6738   54 032  Rastapi.dll      
   2003.04.21.  15:19  5.0.2195.6738   80 848  Ipsec.sys  (56-bit)

A lap tetej�re | Visszajelz�s k�ld�se

Hivatkoz�sok

Tov�bbi inform�ci�t a Microsoft Tud�sb�zis k�vetkez� cikk�ben tal�l a cikk sz�m�ra kattintva:

314067

(http://support.microsoft.com/kb/314067/ )

TCP/IP-kapcsolatok hibaelh�r�t�sa Windows XP rendszerben

257225

(http://support.microsoft.com/kb/257225/ )

Alapvet� hibaelh�r�t�si l�p�sek az IPSec Microsoft Windows 2000 Server rendszerbeli haszn�lat�hoz (El�fordulhat, hogy a hivatkoz�s r�szben vagy teljes eg�sz�ben angol nyelv� tartalomra mutat.)

816915

(http://support.microsoft.com/kb/816915/ )

A Microsoft Windows szoftverfriss�t�-csomagok �j f�jlelnevez�si s�m�ja

A lap tetej�re | Visszajelz�s k�ld�se

Tulajdons�gok

Cikk azonos�t�ja: 818043 - Utols� ellen�rz�s: 2011. febru�r 3. - Verzi�sz�m: 18.2

kbdownload kbbug kbfix kbqfe kbenv kbwinxpsp2fix kbwinxppresp2fix kbwin2000presp5fix atdownload KB818043

A Microsoft tud�sb�zisban szolg�ltatott inform�ci�kat "az adott �llapotban", b�rminem� szavatoss�g vagy garancia n�lk�l biztos�tjuk. A Microsoft kiz�r mindennem�, ak�r kifejezett, ak�r v�lelmezett szavatoss�got vagy garanci�t, ide�rtve a forgalomk�pess�gre �s az adott c�lra val� alkalmass�gra vonatkoz� szavatoss�got is. A Microsoft Corporation �s annak besz�ll�t�i semmilyen k�r�lm�nyek k�z�tt nem felel�sek semminem� k�r�rt, �gy a k�zvetlen, a k�zvetett, az �zleti haszon elmarad�s�b�l sz�rmaz� vagy speci�lis k�rok�rt, illetve a k�r k�vetkezm�nyek�nt felmer�l� k�lts�gek megt�r�t�s��rt, m�g abban az esetben sem, ha a Microsoft Corporationt vagy besz�ll�t�it az ilyen k�rok bek�vetkezt�nek lehet�s�g�re figyelmeztett�k. Egyes �llamok joga nem teszi lehet�v� bizonyos k�rok�rt a felel�ss�g kiz�r�s�t vagy korl�toz�s�t, ez�rt a fenti korl�toz�sok az �n eset�ben esetleg nem alkalmazhat�k.

A lap tetej�re | Visszajelz�s k�ld�se