L2TP/IPSec NAT-T – frissítés a Windows XP és Windows 2000 rendszerhez

A cikk fordítása A cikk fordítása
Cikk azonosítója: 818043
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A Microsoft kiadott egy frissítőcsomagot, amely az L2TP (Layer Two Tunneling Protocol) protokoll és az IPSec (Internet Protocol Security) szolgáltatás működését bővíti ki Microsoft Windows 2000, szervizcsomag nélküli Microsoft Windows XP és Windows XP Service Pack 1 (SP1) rendszert futtató számítógépeken. A Windows XP rendszer szervizcsomaggal kiegészített verzióját futtató számítógépeken nem kell telepíteni a frissítőcsomagot.

A frissítés az IPSec működését fejleszti tovább oly módon, hogy az hatékonyabban együttműködjön a NAT- (Network Address Translation, hálózati címfordító) eszközök mögött lévő VPN- (virtuális magánhálózati) ügyfélszámítógépekkel. Ha a frissítést Windows XP rendszerű számítógépre telepíti, és az IPSec szolgáltatás futásidejű hiba fellépését követően valamilyen okból nem indítható el, akkor az IPSec-illesztő blokk módban működik, mert nem tudja biztonságossá tenni a hálózati adatforgalmat.

Megjegyzés: (Az IPSec szolgáltatás „IPSEC szolgáltatások” néven jelenik meg a rendszerszolgáltatások listáján.)

További információt a Windows XP rendszer legújabb szervizcsomagjáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
322389 A Windows XP rendszer legújabb szervizcsomagjának beszerzése

A cikk tartalma

További információ

Az IPSec új szolgáltatásai és a kezelésre és figyelésre szolgáló beépülő modulok

  • E frissítés telepítését követően a Windows 2000 és Windows XP alapú L2TP/IPSec ügyfelek NAT-kiszolgáló mögül is képesek lesznek IPSec-kapcsolatok létesítésére. Az új IPsec NAT-T szolgáltatás az IETF 3193-as számú RFC-dokumentumán és az eredeti IETF IPsec NAT-T internetes szabványon alapul. Az Windows XP rendszer SP2 szervizcsomagját futtató ügyfelek szintén használhatják ezt a továbbfejlesztett kapcsolati lehetőséget. Az IPsec NAT-T szabványt jelenleg a 3947-es és 3948-as számú RFC-dokumentum határozza meg.
  • Az IPSec figyelőmodul frissített verziója képes a Windows XP rendszerű számítógépek figyelésére, ám csak abban az esetben, ha telepítve van az SP2 szervizcsomag.
  • A frissített IPSec figyelőmodul a Microsoft Windows Server 2003 rendszerű számítógépeket is képes figyelni. Hasonlóképpen a Windows Server 2003 alapú számítógépekkel figyelhetők az SP2 szervizcsomaggal ellátott, Windows XP alapú számítógépek.
  • A Windows 2000 rendszerű számítógépek nem figyelhetők ezzel a beépülő modullal.
  • Az új IPSec kezelési beépülő modul írásvédett üzemmódba vált, ha olyan házirendobjektumokat talál, amelyek Windows Server 2003 rendszerben létrehozott fejlett funkciókat (például a DH2048, a tanúsítvány-hozzárendelés vagy a dinamikus szűrők funkciót) tartalmaznak. E működés miatt megszűnik azoknak a beépülő objektumoknak (például szabályok, szűrőlisták vagy főüzemmód-lehetőségek) a szerkeszthetősége, amelyek az új beállításokra mutató hivatkozásokat tartalmaznak. Az IPSec kezelési beépülő modul a kritikus fejlettebb funkciók véletlen eltávolításának kiküszöbölése érdekében vált át írásvédett módra.
  • A Windows XP alapú számítógépeken működő frissített IPSec szolgáltatások képesek elérhetővé tenni azoknak az új szolgáltatásoknak a legnagyobb részét, amelyek a Windows Server 2003 házirendekben megtalálhatók.

    Megjegyzés: A tanúsítvány-hozzárendelési funkció nem használható.
  • Ha az IPSeccmd eszköz egy korábbi verziója van telepítve egy Windows XP alapú számítógépre (ez az eszköz a Windows 2000 rendszerben nem található meg), a telepítés során az IPSeccmd frissített verziója kerül a meghajtó:\Program Files\Support Tools mappába.

    A frissített IPSeccmd eszköz az alábbi lehetőségeket nyújtja:
    • Automatikusan be- és kikapcsolja az IKE (Internet Key Exchange) alapú bejelentkezést.
    • Megjeleníti egy aktuálisan hozzárendelt házirend információit.
    • Lehetővé teszi egy állandó IPSec házirend létrehozását.
    Megjegyzés: Az IPSeccmd eszköz korábbi verziója frissített számítógépeken nem használható, a frissített IPSeccmd pedig nem használható a frissítéssel el nem látott számítógépeken.

Együttműködés és ismert problémák

A NAT-T és a tűzfalszabályok

Mivel az új NAT-T kódot az IETF RFC 3193 előírásra, valamint az IETF NAT-T specifikáció második, nem végleges változatára alapozva tervezték meg, ahhoz, hogy e szolgáltatások tűzfalon keresztül futtathatók legyenek, szükség lehet az alábbi portok és protokollok megnyitására a tűzfal szabályaiban:
  • Internet Key Exchange (IKE) – 500-as UDP-port
  • IPsec NAT-T – 4500-as UDP-port
  • ESP – 50-es IP-port

A NAT-T kódot használó támogatott forgatókönyvek

Az alább következő forgatókönyvek sikeresen engedélyezik az L2TP/IPSec típusú IPsec NAT-T kapcsolatokat. Az ismertetett forgatókönyvekben az Ügyfél olyan ügyfelet jelöl, amely Windows 2000 rendszert futtat és amelyre telepítve van a 818043-as számú frissítés, illetve amely SP2 szervizcsomaggal kiegészített Windows XP rendszert futtat. A Kiszolgáló olyan L2TP/IPSec kiszolgálót jelöl, amely Windows Server 2003 rendszert futtat és az Útválasztás és távelérés szolgáltatást használja.
Ügyfél----> NAT ----Internet---->Kiszolgáló

Az egyetlen támogatott és javasolt forgatókönyv az, amikor a Kiszolgáló nem NAT-eszköz mögött üzemel.
Az L2TP/IPsec alapú kiszolgáló lehet külső fél által gyártott átjáróeszköz, amely támogatja a hálózati címfordítást használó kapcsolatokat.

Megjegyzés: Ha olyan Windows 2000 alapú kiszolgálóra telepíti a 818043-as frissítést, amely az Útválasztás és távelérés szolgáltatást használja, a kiszolgáló az ismertetett forgatókönyvekben nem használható L2TP/IPSec-kiszolgálóként. Az NAT-eszköz mögött található L2TP/IPsec-ügyfelek kapcsolatai nem engedélyezhetők. Az itt leírt frissítés csak ügyfélszámítógépekre telepítendő. A kiszolgálóoldali IPsec NAT-T funkciók kizárólag a Windows Server 2003 Útválasztás és távelérés szolgáltatásában elérhető új lehetőségek. A Windows 2000 Útválasztás és távelérés szolgáltatása a jövőben sem fogja támogatni az IPsec NAT-T kiszolgálóoldali funkcióit.

A 2048 bites Diffie-Hellman algoritmus frissítése

Ahhoz, hogy az L2TP/IPSec alapú ügyfelek a frissített 2048 bites kulcsméretű Diffie-Hellman algoritmust használva csatlakozhassanak egy távelérésű kiszolgálóhoz, a kiszolgálónak is támogatnia kell ezt a kulcsméretet.

Megjegyzés: Windows Server 2003 rendszer használata esetén a 2048 bites Diffie-Hellman algoritmus használatához létre kell hoznia egy kulcsot a rendszerleíró adatbázisban. Ehhez hajtsa végre a következő lépéseket:
  1. Kattintson a Start gombra, majd a Futtatás parancsra. Írja be a regedit parancsot, és kattintson az OK gombra.
  2. Keresse meg, és kattintással nyissa meg a rendszerleíró adatbázis következő alkulcsát:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. A Szerkesztés menüben mutasson az Új pontra, majd kattintson a Duplaszó parancsra.
  4. Írja be a NegotiateDH2048 karakterláncot, majd nyomja meg az ENTER billentyűt.
  5. Jobb gombbal kattintson a NegotiateDH2048 elemre, és válassza a Módosítás parancsot.
  6. Az Érték mezőbe írja be az 1 értéket, majd kattintson az OK gombra.
  7. A Fájl menüben kattintson a Kilépés parancsra.

Egyéb

  • IPSec feladatátadási hardvereszközök
    Az IPSec feladatátadási hálózati adapterek nem adják át a NAT-útválasztók használatával létrehozott biztonsági társításokat.
  • Egyes új funkciók nem megfelelően jelennek meg
    Előfordulhat, hogy azok az új funkciók, amelyeket Windows Server 2003 IPSec házirenden keresztül engedélyeztek, nem megfelelően jelennek meg az IPSec figyelőmodulban. A legszembetűnőbb eltérés a DH2048 jelű csoportnál figyelhető meg, amely 268435457-ként látható, a dinamikus szűrők (ilyen például a WINS vagy a DHCP) neve pedig egyáltalán nem jelenik meg (az oszlop üres).
  • Az IPSec Microsoft-féle megvalósításának IKE-összetevője egy bővített Winsock API-függvényt használ, melynek függvénymutatója a WSAIoctl() függvény meghívásával állapítható meg. Ha nincs biztosítva e függvényhívás számára, hogy áthaladjon valamilyen telepített LSP- (Layered Service Provider) szolgáltatón, akkor az IPSec számára nem válik lehetővé az IKE-port figyelése. Az IPSec ezt az összetevő meghibásodásaként észleli és ennek megfelelően reagál (azaz egy hibaüzenetet ad vissza, mely szerint biztonságos módba vált). Az IKE összetevő ama hiányosságát, melynek köszönhetően nem képes LSP szolgáltatón áthaladni, egy a számítógépre telepített, külső gyártótól származó program is okozhatja.

Figyelmeztetés: A rendszerleíró adatbázis Rendszerleíróadatbázis-szerkesztővel vagy egyéb eszköz segítségével történő nem megfelelő szerkesztése komoly problémákhoz vezethet, melyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja ezeknek a problémáknak a megoldhatóságát. A rendszerleíró adatbázist csak saját felelősségére módosíthatja. A Windows XP SP2 rendszert futtató számítógépek IPsec NAT-T szolgáltatásának működését csak úgy változtathatja meg, hogy létrehoz egy AssumeUDPEncapsulationContextOnSendRule nevű rendszerleíró kulcsot.

A Windows XP SP2 rendszer már nem támogatja alapértelmezés szerint az IPsec NAT-T biztonsági társítások használatát azon kiszolgálók esetén, amelyek hálózati címfordító mögül üzemelnek. Ha tehát a VPN-kiszolgáló hálózati címfordító mögött található, a Windows XP SP2 alapú ügyfelek nem tudnak L2TP/IPsec alapú kapcsolatot létesíteni azzal. Ez a forgatókönyv Microsoft Windows Server 2003 rendszert futtató VPN-kiszolgálóra vonatkozik.

Az alapértelmezett viselkedés megakadályozhatja a Windows XP SP2 rendszert futtató számítógépeket is abban, hogy távoli asztali kapcsolatot létesítsenek az L2TP/IPsec protokoll használatával, ha a célszámítógép hálózati címfordító mögött található.

A hálózati címfordítók működési módjának következtében váratlan eredmények állhatnak elő, ha a kiszolgáló hálózati címfordító mögött üzemel, és az IPsec NAT-T protokoll használatos. Ebből kifolyólag ajánlott IPsec alapú kommunikáció esetén nyilvános IP-címet használni mindazon kiszolgálókhoz, amelyek közvetlenül elérhetők az internetről.

Az AssumeUDPEncapsulationContextOnSendRule rendszerleíró kulcs létrehozásához és beállításához végezze el a következő lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit utasítást, majd kattintson az OK gombra.
  2. Keresse meg a következő rendszerleíró kulcsot, és kattintson rá:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Mutasson a Szerkesztés menü Új pontjára, és válassza a Duplaszó parancsot.
  4. Az Új azonosító (#1) felirat helyére írja be az AssumeUDPEncapsulationContextOnSendRule azonosítónevet, és nyomja le az ENTER billentyűt.
  5. Kattintson jobb gombbal az AssumeUDPEncapsulationContextOnSendRule bejegyzésre, és válassza a Módosítás parancsot.
  6. A Érték mezőbe írja be a következő értékek egyikét:
    • 0 (alapértelmezett)
      A 0 (nulla) érték esetén a Windows nem tud biztonsági társításokat létrehozni azon kiszolgálókkal, amelyek hálózati címfordító mögött találhatók.
    • 1
      Az 1 érték esetén a Windows képes biztonsági társításokat létrehozni azon kiszolgálókkal, amelyek hálózati címfordító mögött találhatók.
    • 2
      A 2 érték beállítása esetén a Windows képes biztonsági társításokat létrehozni akkor is, ha a kiszolgáló és a Windows XP SP2 alapú számítógép is hálózati címfordító mögött található.
  7. Kattintson az OK gombra, és lépjen ki a Rendszerleíróadatbázis-szerkesztőből.
  8. Indítsa újra a számítógépet.

Információk a Windows XP szervizcsomagjáról

Ez a szolgáltatás a Windows XP legújabb szervizcsomagjában (SP2) áll rendelkezésre. További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
322389 A Windows XP rendszer legújabb szervizcsomagjának beszerzése

Frissítés a Windows 2000 rendszerhez

A frissítés Windows 2000 rendszerhez készített változatának letöltéséhez látogasson el a Microsoft következő webhelyére, és ott használja a Microsoft Windows Update katalógust:
http://v4.update.microsoft.com/catalog
A frissítést úgy találja meg, hogy a Windows Update katalógus részletes keresési lehetőségével megkeresi ennek a cikknek az azonosítószámát. Ehhez hajtsa végre az alábbi lépéseket:
  1. A Microsoft Windows Update webhelyen kattintson a Frissítések keresése a Microsoft Windows rendszerhez hivatkozásra.
  2. Kattintással jelölje ki az Ön által használt operációs rendszert, és kattintson a Speciális keresési beállítások hivatkozásra.

    Megjegyzés: A Windows 2000 Professional Service Pack 3 vagy a Windows 2000 Professional Service Pack 4 rendszert kell kijelölnie, máskülönben a frissítést nem találja meg a keresés.
  3. A Tartalmazott szavak mezőbe írja be a 818043 számot, és kattintson a Keresés gombra.
További információt a frissítések Windows Update katalógusból történő letöltéséről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
323166 Windows-frissítések és -illesztőprogramok letöltése a Windows Update katalógusból

Előfeltételek

Ez a telepítőcsomag az SP3 (Service Pack 3) vagy újabb szervizcsomaggal frissített Windows 2000 rendszert futtató számítógépekre készült.

Újraindítás szükségessége

A frissítőcsomag telepítését követően az új IPSec-funkciók működésbe léptetéséhez újra kell indítani a számítógépet.

Információ a frissítések lecseréléséről

A frissítés nem helyettesít semmilyen más frissítést.

Fájlinformáció

A javítás angol verziója a következő táblázatban található tulajdonságokkal (vagy későbbiekkel) rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Idő    Verzió          Méret   Fájlnév
   ----------------------------------------------------------------
   2000.10.08.  19:01  5.0.2195.1569   33 616  Fips.sys
   2003.04.21.  15:19  5.0.2195.6738   80 848  Ipsec.sys
   2003.04.21.  15:19  5.0.2195.6738   29 456  Ipsecmon.exe     
   2003.04.21.  15:21  5.0.2195.6738  390 928  Netdiag.exe      
   2003.05.01.  21:39  5.0.2195.6738  417 552  Oakley.dll       
   2003.05.01.  21:39  5.0.2195.6738   96 528  Polagent.dll     
   2003.05.01.  21:39  5.0.2195.6738  137 488  Polstore.dll     
   2003.05.01.  21:39  5.0.2195.6738   58 128  Rasman.dll       
   2003.05.01.  21:39  5.0.2195.6738  153 360  Rasmans.dll      
   2003.05.01.  21:39  5.0.2195.6738   54 032  Rastapi.dll      
   2003.04.21.  15:19  5.0.2195.6738   80 848  Ipsec.sys  (56-bit)

Hivatkozások

További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
314067 TCP/IP-kapcsolatok hibaelhárítása Windows XP rendszerben
257225 Alapvető hibaelhárítási lépések az IPSec Microsoft Windows 2000 Server rendszerbeli használatához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
816915 A Microsoft Windows szoftverfrissítő-csomagok új fájlelnevezési sémája

Tulajdonságok

Cikk azonosítója: 818043 - Utolsó ellenőrzés: 2011. február 3. - Verziószám: 18.2
Kulcsszavak: 
kbdownload kbbug kbfix kbqfe kbenv kbwinxpsp2fix kbwinxppresp2fix kbwin2000presp5fix atdownload KB818043
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com