ID Artikel: 818043 - Kajian Terakhir: 07 Mei 2012 - Revisi: 3.0

L2TP/IPsec NAT-T pembaruan untuk Windows XP dan Windows 2000

Tampil berdampinganKlik disini untuk menampilkan sumber Inggris dan terjemahan oleh mesin secara berdampingan
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Melihat produk di mana artikel ini berlaku.
Tips SistemThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.

Pada Halaman ini

Perbesar semua | Perkecil semua

RINGKASAN

Microsoft telah merilis paket pembaruan untuk meningkatkan saat ini fungsi protokol Penerobosan lapis dua (L2TP) dan Internet protokol keamanan (IPsec) pada komputer yang menjalankan Microsoft Windows 2000, Microsoft Windows XP tanpa paket layanan diinstal, dan Microsoft Windows XP dengan paket layanan 1 (SP1).Fungsi ini termasuk dalam Windows XP paket layanan 2 (SP2). Komputer yang menjalankan Windows XP dengan paket layanan tidak harus menginstal paket pembaruan ini.

Pembaruan ini mencakup perbaikan IPsec untuk lebih mendukung klien jaringan privat virtual (VPN) yang di belakang network address translation (NAT) peranti penangkap. Jika Anda menerapkan pembaruan ini untuk komputer yang menjalankan Windows XP, dan jika layanan IPsec pertemuan runtime error dan tidak dapat mulai menjalankan karena alasan apapun, IPsec sopir beroperasi di blok modus karena itu tidak aman lalu lintas jaringan.

Catatan Layanan IPsec muncul sebagai "IPSEC layanan" dalam daftar layanan sistem.

Untuk informasi lebih lanjut tentang terbaru paket layanan untuk Windows XP, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322389  (http://support.microsoft.com/kb/322389/ ) Bagaimana untuk mendapatkan paket layanan Windows XP terbaru
Kembali ke atas

Isi artikel

Kembali ke atas

INFORMASI LEBIH LANJUT

Kembali ke atas

Fitur IPsec baru dan manajemen dan Monitor snap-in

  • Setelah Anda menginstal pembaruan ini, Windows 2000 dan Windows XP berbasis L2TP/IPsec klien dapat membuat IPsec koneksi dari belakang NAT peranti penangkap. Baru IPsec NAT-T fungsi didasarkan pada IETF permintaan untuk komentar (RFC) 3193 dan versi 2 dari asli IETF IPsec NAT-T Internet konsep. Klien Windows XP SP2 yang juga memiliki konektivitas ini ditingkatkan pilihan. IPsec NAT-T saat ini ditentukan dalam RFC 3947 dan 3948.
  • Diperbarui pada IPsec Monitor snap-in dapat melihat komputer yang menjalankan Windows XP, tetapi hanya jika komputer berbasis Windows XP SP2 diinstal.
  • Diperbarui pada IPsec Monitor snap-in dapat melihat komputer yang menjalankan Microsoft Windows Server 2003. Demikian pula, Windows Server 2003 dapat memantau komputer berbasis Windows XP yang sudah menginstal SP2.
  • Komputer yang menjalankan Windows 2000 tidak dapat dipantau dengan snap-in ini.
  • Baru IPsec snap-in Manajemen beralih ke mode baca-saja Ketika pertemuan objek kebijakan yang berisi fitur-fitur canggih yang dibuat pada Windows Server 2003 (misalnya, DH2048, sertifikat pemetaan, atau dinamis filter). Perilaku ini menyebabkan snap-in objek (misalnya, aturan, Daftar penyaring atau modus utama persembahan) menjadi diedit jika mereka mengandung referensi pengaturan baru ini. snap-in Manajemen IPsec beralih ke mode baca-saja Jadi itu tidak dapat secara tidak sengaja menghapus fitur-fitur canggih yang kritis.
  • Diperbarui pada IPsec layanan pada komputer berbasis Windows XP dapat mengekspos sebagian besar fitur-fitur baru yang disediakan pada Windows Server 2003 kebijakan.

    Catatan Pemetaan sertifikat ini tidak tersedia.
  • Jika versi sebelumnya alat IPseccmd diinstal pada Windows XP komputer berbasis (alat ini ini tidak tersedia pada Windows 2000), Diperbarui IPseccmd terinstal di drive: \Program Alat-alat Files\Support folder.

    IPseccmd diperbarui memiliki berikut Fitur:
    • Ternyata secara dinamis Pertukaran bukti kunci Internet (IKE) penebangan dan mematikan.
    • Ini akan menampilkan informasi tentang saat ini ditetapkan kebijakan.
    • Hal ini memungkinkan Anda membuat IPsec gigih kebijakan.
    Catatan Versi IPseccmd tidak bekerja pada diperbarui komputer, dan diperbarui IPseccmd tidak bekerja pada komputer yang tidak diperbarui.
Kembali ke atas

Interoperability dan masalah yang diketahui

IPsec NAT-T dan firewall aturan

Karena dukungan untuk fungsi IPsec NAT-T didasarkan pada IETF RFC 3193 dan versi 2 dari konsep IETF NAT-T Internet yang asli, untuk layanan ini untuk menjalankan melalui firewall, Anda mungkin perlu membuka port dan protokol di berikut aturan-aturan firewall:
  • Pertukaran bukti kunci Internet (IKE) - User Datagram Protocol (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating keamanan muatan (ESP) - Internet Protocol (IP) protokol 50

Skenario didukung menggunakan IPsec NAT-T

Skenario berikut akan berhasil memungkinkan untuk L2TP/IPsec-based IPsec NAT-T sambungan. Dalam skenario ini, Klien adalah klien yang menjalankan Windows 2000 dan yang memiliki update 818043 diinstal atau Windows XP berbasis komputer yang telah menginstal SP2. Serveradalah L2TP/IPsec server yang menjalankan Windows Server 2003 dan yang menggunakan Routing dan Remote akses.
Klien----> NAT----Internet---->Server

Satu-satunya didukung dan skenario yang dianjurkan adalah ketika Server tidak terletak di belakang NAT peranti penangkap.
Server L2TP/IPsec juga mungkin pihak ketiga produk gateway yang mendukung NAT-T koneksi.

Catatan Jika Anda menerapkan memperbarui 818043 ke server berbasis Windows 2000 yang menggunakan Routing dan akses jauh, server tidak bisa berfungsi sebagai L2TP/IPsec server dalam skenario ini. Itu tidak memungkinkan untuk koneksi dari L2TP/IPsec klien yang berada di belakang NAT satu atau lebih peranti penangkap. Pembaruan ini sisi klien pembaruan hanya. Server-side IPsec NAT-T fungsi merupakan fitur baru di Windows Server 2003 Routing dan akses jauh hanya. Dukungan sisi server IPsec NAT-T akan tidak ditambahkan ke Windows 2000 Routing dan akses jauh.

Diffie-Hellman kelompok 2048 update

Untuk L2TP/IPsec klien untuk bernegosiasi dan menggunakan update Diffie-Hellman kelompok 2048, remote akses server sedang menghubungi harus juga mendukung kelompok ini.

Catatan Untuk menggunakan Diffie-Hellman 2048, jika komputer menjalankan Windows Server 2003, Anda harus membuat subkunci registri. Untuk melakukannya, ikuti langkah berikut:
  1. Klik Mulai, klik Menjalankan, jenis Regedit, lalu klikOke.
  2. Temukan dan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Pada Mengedit menu, titikBaru, lalu klik Nilai DWORD.
  4. Jenis NegotiateDH2048, kemudian tekan MASUKKAN.
  5. Klik kanan-atas NegotiateDH2048, dan kemudian Klik Memodifikasi.
  6. Dalam Data nilai kotak, jenis1, lalu klik Oke.
  7. Pada Registri menu, klikkeluar.

Lain

  • IPsec offload peranti penangkap keras
    IPsec offload adaptor jaringan tidak offload keamanan Asosiasi yang dibuat dengan menggunakan NATs.
  • Fitur baru tidak ditampilkan dengan benar
    Fitur baru yang diaktifkan dengan menggunakan Windows Server 2003 IPsec kebijakan mungkin tidak dapat ditampilkan di IPsec monitor. Terutama, kelompok DH2048 ditampilkan sebagai 268435457, dan dinamis-filter nama (untuk misalnya, menang atau DHCP) tidak ditampilkan di semua (kolom kosong).
  • IKE komponen Windows pelaksanaan IPsec menggunakan fungsi Winsock API diperpanjang pointer fungsi yang ditentukan oleh memanggil WSAIoctl(). Jika panggilan fungsi ini tidak lulus melalui salah satu diinstal berlapis Service Provider (LSP) digunakan, IPsec tidak dapat mendengarkan pada IKE port. IPsec menafsirkan ini sebagai kegagalan komponen dan bereaksi sesuai (yaitu pesan "Gagal untuk mengamankan Mode" dikembalikan). Komponen IKE ketidakmampuan untuk melewati LSP dapat disebabkan oleh pihak ketiga yang diinstal program.

Peringatan Masalah serius mungkin muncul jika Anda memodifikasi registri secara tidak benar dengan menggunakan Peninjau Suntingan Registri atau metode lainnya. Masalah tersebut mengharuskan Anda untuk menginstal sistem operasi Anda. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Mengubah registri risiko Anda sendiri. Untuk mengubah perilaku IPsec NAT-T untuk komputer yang menjalankan Windows XP SP2, Anda harus membuat AssumeUDPEncapsulationContextOnSendRule nilai registri.

secara asali, Windows XP SP2 tidak lagi mendukung IPsec NAT-T himpunan keamanan ke server yang berada di belakang jaringan alamat penyuratan penerjemah. Oleh karena itu, jika Anda Jaringan Privat Maya (VPN) Server adalah di belakang penterjemah alamat penyuratan jaringan, secara asali, Windows XP Berbasis SP2 VPN klien tidak dapat membuat sambungan L2TP/IPsec ke VPN server. Skenario ini termasuk VPN server yang menjalankan Microsoft Windows Server 2003.

Perilaku default ini juga dapat mencegah komputer yang menjalankan Windows XP SP2 dari membuat Remote Koneksi desktop dengan L2TP/IPsec ketika komputer tujuan terletak di belakang penerjemah alamat penyuratan jaringan.

Karena itu jaringan alamat penyuratan penerjemah translate lalu lintas jaringan, Anda mungkin mengalami tak terduga hasil ketika Anda menempatkan sebuah server di belakang penerjemah alamat penyuratan jaringan dan kemudian menggunakan IPsec NAT-T. Oleh karena itu, jika Anda memerlukan IPsec untuk komunikasi, sebaiknya bahwa Anda menggunakan alamat penyuratan IP publik untuk semua server yang dapat tersambung ke langsung dari Internet.

Untuk membuat dan mengkonfigurasi AssumeUDPEncapsulationContextOnSendRule registri nilai, ikuti langkah berikut:
  1. Klik Mulai, klik Menjalankan, jenis Regedit, lalu klik Oke.
  2. Temukan dan kemudian klik registri berikut subkunci:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Pada Mengedit menu, titik Baru, dan kemudian Klik Nilai DWORD.
  4. Dalam kotak baru nilai # 1, ketikAssumeUDPEncapsulationContextOnSendRule, kemudian tekan ENTER.
  5. Klik kanan-atas AssumeUDPEncapsulationContextOnSendRule, kemudian klik Memodifikasi.
  6. Dalam Nilai Data kotak, ketik salah satu nilai berikut:
    • 0 (default)
      Nilai 0 (nol) mengkonfigurasi Windows Jadi itu tidak dapat membuat himpunan keamanan dengan server yang terletak di balik jaringan alamat penyuratan penerjemah.
    • 1
      Nilai 1 mengkonfigurasi Windows sehingga dapat mendirikan asosiasi keamanan dengan server yang berada di balik jaringan alamat penyuratan penerjemah.
    • 2
      Nilai 2 mengkonfigurasi Windows sehingga dapat mendirikan asosiasi keamanan ketika server dan Windows XP komputer klien berbasis SP2 berada di belakang penterjemah alamat penyuratan jaringan.
  7. Klik Oke, dan kemudian keluar dari Editor registri.
  8. Restart komputer.
Kembali ke atas

Windows XP paket layanan informasi

Fitur ini tersedia dalam paket layanan terbaru untuk Windows XP (SP2). Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322389  (http://support.microsoft.com/kb/322389/ ) Cara mendapatkan paket layanan Windows XP terbaru
Kembali ke atas

Pemutakhiran Windows 2000

Untuk men-download pembaruan untuk Windows 2000, pergilah ke situs Microsoft berikut untuk menggunakan Katalog Pembaruan Microsoft:
Katalog Microsoft Update (http://catalog.update.microsoft.com/v7/site/Home.aspx)
Telisik nomor ID artikel dengan menggunakan fitur opsi pencarian lanjut pada Katalog Microsoft Update. Untuk melakukannya, ikuti langkah berikut:
  1. Pada website Microsoft Update Windows, klikMenemukan pembaruan untuk sistem operasi Microsoft Windows.
  2. Klik untuk memilih sistem operasi dan bahasa, dan kemudian klik Pencarian lanjutan.

    Catatan Anda harus memilih baik Windows 2000 Professional paket layanan 3 atau Windows 2000 Professional paket layanan 4. Jika Anda memilih sistem operasi yang berbeda, update tidak kembali dalam pencarian.
  3. Dalam Berisi kata-kata ini kotak, jenis 818043, lalu klik Pencarian.
Untuk informasi lebih lanjut tentang cara men-download Pembaruan dari Katalog Pemutakhiran Windows, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
323166  (http://support.microsoft.com/kb/323166/ ) Cara men-download pembaruan yang mencakup driver dan perbaikan terbaru dari Katalog Pemutakhiran Windows

Prasyarat

Paket pembaruan ini dirancang untuk diinstal pada komputer yang menjalankan Windows 2000 dengan paket layanan 3 (SP3) atau versi yang lebih baru.

Kebutuhan restart

Paket pembaruan ini memerlukan Anda me-restart komputer Anda untuk mengaktifkan fitur IPsec baru.

Informasi penggantian pembaruan

Pembaruan ini tidak menggantikan pembaruan lainnya.

Informasi file

Versi bahasa Perserikatan Kerajaan dari perbaikan terbaru ini memiliki atribut berkas (atau atribut berkas yang lebih baru) yang didaftar di dalam Daftar Tabel berikut. Tanggal dan waktu untuk berkas-berkas ini tercantum dalam Coordinated Universal Time (UTC). Ketika Anda melihat informasi berkas, waktunya akan diubah ke waktu lokal. Untuk menemukan perbedaan waktu UTC dan waktu lokal, gunakan zona waktu tab pada alat tanggal dan waktu dalam Panel Kontrol.
   Date         Time   Version        Size     File name
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)
Kembali ke atas

REFERENSI

Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
314067  (http://support.microsoft.com/kb/314067/ ) Bagaimana memecahkan masalah konektivitas TCP/IP dengan Windows XP
257225   (http://support.microsoft.com/kb/257225/ ) Dasar IPsec pemecahan masalah pada Microsoft Windows 2000 Server
816915  (http://support.microsoft.com/kb/816915/ ) File baru Skema penamaan untuk paket pembaruan peranti penangkap lunak Microsoft Windows
Kembali ke atas
Berlaku bagi:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Kembali ke atas
Kata kunci: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix kbmt KB818043 KbMtid
Kembali ke atas
Penerjemahan MesinPenerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:818043  (http://support.microsoft.com/kb/818043/en-us/ )
Kembali ke atas