L2TP IPsec NAT-T pembaruan untuk Windows XP dan Windows 2000

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 818043 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

Ringkasan

Microsoft telah merilis paket pembaruan untuk meningkatkan fungsionalitas saat ini lapisan dua Tunneling Protocol (L2TP) dan Protokol Internet security (IPsec) pada komputer yang menjalankan Microsoft Windows 2000, Microsoft Windows XP tanpa Service Pack diinstal, dan Windows XP dengan Service Pack 1 (SP1).Fungsi ini sudah termasuk dalam Windows XP Service Pack 2 (SP2). Komputer yang menjalankan Windows XP dengan Service Pack tidak harus menginstal paket pembaruan ini.

Pembaruan ini mencakup perbaikan IPsec untuk lebih baik dukungan jaringan pribadi virtual (VPN) klien yang berada di belakang peranti penangkap jaringan alamat penyuratan translation (NAT). Jika Anda menerapkan pembaruan ini ke komputer yang menjalankan Windows XP, dan jika perkhidmatan IPsec pertemuan kesalahan runtime dan tidak dapat memulai karena alasan apapun, pengandar IPsec beroperasi dalam mode blok karena tidak dapat menjamin lalu lintas jaringan.

Catatan Perkhidmatan IPsec muncul sebagai "Perkhidmatan IPSEC" dalam daftar layanan sistem.

Untuk informasi lebih lanjut tentang Service Pack terbaru untuk Windows XP, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322389 Cara mendapatkan Service Pack Windows XP terbaru

Pasal isi

Informasi lebih lanjut

Fitur-fitur baru IPsec dan manajemen dan Monitor snap-in

  • Setelah Anda menginstal pembaruan ini, Windows 2000 dan Windows XP berbasis L2TP/IPsecclients dapat membuat IPsec koneksi dari belakang NAT peranti penangkap. IPsec NAT-Tfunctionality didasarkan pada IETF permintaan untuk komentar (RFC) 3193 dan versi 2 dari konsep IETF IPsec NAT-TInternet asli. Klien Windows XP SP2 yang juga memiliki connectivityoption ini ditingkatkan. IPsec NAT-T saat ini ditentukan dalam RFC 3947 dan 3948.
  • Diperbarui IPsec Monitor snap-in dapat melihat Yangyang komputer yang menjalankan Windows XP, tetapi hanya jika komputer berbasis Windows XP memiliki SP2installed.
  • Diperbarui IPsec Monitor snap-in dapat melihat komputer arerunning bahwa Microsoft Windows Server 2003. Demikian pula, Windows Server 2003 canmonitor Windows XP berbasis komputer yang memiliki SP2 yang dipasang.
  • Komputer yang menjalankan Windows 2000 tidak dapat monitoredwith ini snap-in.
  • IPsec manajemen baru snap-in switch untuk baca-saja modewhen ia menemukan objek kebijakan yang berisi fitur canggih yang werecreated pada Windows Server 2003 (misalnya, DH2048, sertifikat pemetaan, ordynamic filter). Perilaku ini menyebabkan snap-in objek (misalnya, aturan, daftar filter atau modus utama persembahan) untuk menjadi diedit jika mereka containreferences pengaturan baru ini. IPsec manajemen snap-in beralih ke baca-saja modeso bahwa mereka tidak dapat secara tidak sengaja menghapus fitur-fitur canggih yang kritis.
  • Perkhidmatan IPsec Diperbarui pada berbasis Windows XP computerscan mengekspos sebagian besar fitur-fitur baru yang disediakan di Windows Server 2003policy.

    Catatan Sertifikat pemetaan ini tidak tersedia.
  • Jika versi sebelumnya dari alat IPseccmd ona Instal Windows XP berbasis komputer (alat ini ini tidak tersedia dalam Windows 2000), anupdated IPseccmd terinstal di berkendara: \ProgramFiles\Support alat folder.

    IPseccmd diperbarui memiliki followingfeatures:
    • Dinamis ternyata penebangan Internet bukti kunci asing (IKE) on dan off.
    • Ini akan menampilkan informasi tentang kebijakan saat ini ditetapkan.
    • Ini memungkinkan Anda membuat kebijakan IPsec gigih.
    Catatan Versi IPseccmd tidak bekerja pada updatedcomputers, dan IPseccmd diperbarui tidak bekerja pada komputer yang tidak diperbarui.

Interoperabilitas dan masalah yang diketahui

IPsec NAT-T dan firewall aturan

Karena dukungan untuk fungsi IPsec NAT-T didasarkan pada IETF RFC 3193 dan versi 2 dari rancangan asli IETF NAT-T Internet, untuk layanan ini untuk menjalankan melalui firewall, Anda mungkin harus membuka port dan protokol berikut di aturan-aturan firewall:
  • Internet bukti kunci pertukaran (IKE) - User Datagram protokol (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating keamanan muatan (ESP) - Protokol Internet Protocol (IP) 50

Skenario didukung menggunakan IPsec NAT-T

Skenario berikut akan berhasil memungkinkan untuk koneksi L2TP/IPsec-based IPsec NAT-T. Dalam skenario ini, Klien adalah seorang klien yang sedang menjalankan Windows 2000 dan yang memiliki update 818043 diinstal atau komputer berbasis Windows XP yang memiliki SP2 yang dipasang. Server adalah L2TP IPsec server yang menjalankan Windows Server 2003 dan yang menggunakan Routing dan akses jauh.
Klien---> NAT---Internet--->Server

Satu-satunya didukung dan skenario yang direkomendasikan adalah ketika Server tidak terletak di belakang NAT peranti penangkap.
Server L2TP IPsec juga mungkin produk pihak ketiga gateway yang mendukung NAT-T koneksi.

Catatan Jika Anda menerapkan pembaruan 818043 ke server berbasis Windows 2000 yang menggunakan Routing dan akses jauh, server tidak bisa berfungsi sebagai server L2TP IPsec dalam skenario ini. Itu tidak memungkinkan untuk koneksi dari klien L2TP IPsec yang berada di belakang satu atau lebih peranti penangkap NAT. Pembaruan ini adalah sisi klien update hanya. Sisi server IPsec NAT-T fungsi adalah fitur baru pada Windows Server 2003 Routing dan akses jarak jauh hanya. Dukungan sisi server IPsec NAT-T akan tidak ditambahkan ke Windows 2000 Routing dan akses jauh.

Diffie-Hellman Group 2048 update

L2TP IPsec klien untuk bernegosiasi dan menggunakan Diffie-Hellman Group 2048 update, akses jarak jauh server dihubungi juga harus mendukung kelompok ini.

Catatan Untuk menggunakan 2048 Diffie-Hellman, jika komputer menjalankan Windows Server 2003, Anda harus membuat subkunci registri. Untuk melakukannya, ikuti langkah berikut:
  1. Klik mulai, klik menjalankan, jenis regedit, lalu klikOK.
  2. Temukan dan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Pada Edit menu, arahkan kebaru, dan kemudian klik Nilai DWORD.
  4. Jenis NegotiateDH2048, dan kemudian pressENTER.
  5. Klik kanan-atas NegotiateDH2048, dan thenclick Ubah.
  6. Dalam kotak data nilai , ketik1, lalu klik OK.
  7. Pada registri menu, klikkeluar.

Lainnya

  • IPsec offload hardware
    IPsec offload jaringan adaptor tidak offload securityassociations yang diciptakan dengan menggunakan NATs.
  • Fitur baru tidak ditampilkan dengan benar
    Fitur baru yang diaktifkan dengan menggunakan Windows Server 2003IPsec kebijakan mungkin tidak akan benar ditampilkan di IPsec monitor. Paling menonjol, kelompok DH2048 ditampilkan sebagai 268435457, dan dinamis-filter nama (forexample, menang atau DHCP) tidak ditampilkan di semua (kolom isblank).
  • IKE komponen Windows pelaksanaan IPsecuses API Winsock diperpanjang fungsi adalah pointer fungsi yang ditentukan bycalling WSAIoctl(). Jika panggilan fungsi ini tidak dapat melewati anyinstalled Layered penyedia layanan (LSP), IPsec tidak mendengarkan pada IKE port.IPsec menafsirkan ini sebagai kegagalan komponen dan bereaksi sesuai (yaitu "Gagal untuk mengamankan Mode" pesan kembali). IKE component'sinability melewati LSP dapat disebabkan oleh ketiga-partyprogram diinstal.

Peringatan Masalah serius mungkin muncul saat Anda memodifikasi registri secara tidak benar dengan menggunakan Peninjau suntingan registri atau metode lainnya. Masalah tersebut mengharuskan Anda untuk menginstal sistem operasi Anda. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Mengubah registri risiko Anda sendiri. Untuk mengubah perilaku IPsec NAT-T untuk komputer yang menjalankan Windows XP SP2, Anda harus membuat nilai registri AssumeUDPEncapsulationContextOnSendRule.

secara asali, Windows XP SP2 tidak lagi mendukung IPsec NAT-T himpunan keamanan ke server yang berada di belakang penterjemah alamat penyuratan jaringan. Oleh karena itu, jika server jaringan pribadi virtual (VPN) di belakang penterjemah alamat penyuratan jaringan, secara asali, seorang pelanggan VPN berbasis Windows XP SP2 tidak dapat membuat sambungan L2TP IPsec VPN server. Skenario ini mencakup sebuah VPN server yang menjalankan Microsoft Windows Server 2003.

Perilaku default ini juga dapat mencegah komputer yang menjalankan Windows XP SP2 dari membuat Remote Desktop koneksi dengan L2TP IPsec ketika komputer tujuan terletak di belakang penterjemah alamat penyuratan jaringan.

Karena cara bahwa jaringan alamat penyuratan penerjemah menerjemahkan lalu lintas jaringan, Anda mungkin mengalami hasil yang tak terduga ketika Anda menempatkan server di belakang penterjemah alamat penyuratan jaringan dan kemudian menggunakan IPsec NAT-T. Oleh karena itu, jika Anda memerlukan IPsec untuk komunikasi, kami sarankan bahwa Anda menggunakan alamat penyuratan IP publik untuk semua server yang Anda dapat terhubung ke langsung dari Internet.

Membuat dan mengkonfigurasi AssumeUDPEncapsulationContextOnSendRule nilai registri, ikuti langkah berikut:
  1. Klik mulai, klik menjalankan, jenis regedit, lalu klik OK.
  2. Temukan dan kemudian klik registrysubkey berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Pada Edit menu, arahkan ke baru, dan thenclick Nilai DWORD.
  4. Dalam kotak baru nilai #1, ketikAssumeUDPEncapsulationContextOnSendRule, kemudian tekan ENTER.
  5. Klik kanan-atas AssumeUDPEncapsulationContextOnSendRule, dan kemudian klik memodifikasi.
  6. Di kotak Data nilai , ketik salah satu nilai berikut:
    • 0 (standar)
      Nilai 0 (nol) mengkonfigurasi Windows sehingga tidak bisa membangun himpunan keamanan dengan server yang berada di belakang penterjemah alamat penyuratan jaringan.
    • 1
      Nilai 1 mengkonfigurasi Windows sehingga dapat membangun himpunan keamanan dengan server yang berada di belakang penterjemah alamat penyuratan jaringan.
    • 2
      Nilai 2 mengkonfigurasi Windows sehingga dapat membentuk asosiasi keamanan ketika server dan komputer klien berbasis Windows XP SP2 berada di belakang penterjemah alamat penyuratan jaringan.
  7. Klik OK, dan kemudian tutup Penyunting registri.
  8. Restart komputer.

Informasi Service Pack Windows XP

Fitur ini tersedia dalam Service Pack terbaru untuk Windows XP (SP2). Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Microsoft Knowledge Base:
322389 Cara mendapatkan Service Pack Windows XP terbaru

Windows 2000 Update

Untuk men-download pembaruan ini untuk Windows 2000, pergi ke situs web Microsoft berikut untuk menggunakan Microsoft Update Katalog:
Katalog Microsoft Update
Telisik nomor ID Artikel ini dengan menggunakan fitur lanjutan Pilihan pencarian di Microsoft Update Katalog. Untuk melakukannya, ikuti langkah berikut:
  1. Pada Microsoft Windows Update situs web, klikmenemukan update untuk sistem operasi Microsoft Windows.
  2. Klik untuk memilih sistem operasi dan bahasa, dan kemudian klik Advanced Search.

    Catatan Anda harus memilih Windows 2000 Professional Service Pack 4 atau Windows 2000 Professional Service Pack 3. Jika Anda memilih sistem operasi yang berbeda, update tidak dikembalikan dalam pencarian.
  3. Dalam kotak berisi kata-kata ini , ketik 818043, lalu klikPencarian.
Untuk selengkapnya tentang cara mengunduh update dari katalog Windows Update, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
323166 Cara mengunduh update yang mencakup driver dan hotfix dari katalog Windows Update

Prasyarat

Paket pembaruan ini dirancang untuk diinstal pada komputer yang menjalankan Windows 2000 dengan Service Pack 3 (SP3) atau versi yang lebih baru.

Kebutuhan restart

Paket pembaruan ini memerlukan bahwa Anda me-restart komputer Anda untuk mengaktifkan IPsec fitur baru.

Pembaruan informasi pengganti

Pembaruan ini tidak menggantikan pembaruan yang lain.

Informasi file

Versi bahasa Perserikatan Kerajaan dari perbaikan terbaru ini memiliki atribut berkas (atau atribut berkas yang lebih baru) yang didaftar di dalam Daftar Tabel berikut. Tanggal dan waktu untuk berkas-berkas ini tercantum dalam Coordinated Universal Time (UTC). Ketika Anda melihat informasi berkas, waktunya akan diubah ke waktu lokal. Untuk menemukan perbedaan waktu UTC dan waktu lokal, gunakan waktu zona tab di alat tanggal dan waktu dalam Control Panel.
   Date         Time   Version        Size     File name
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)

Referensi

Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
314067 Cara memecahkan masalah konektivitas TCP/IP dengan Windows XP
257225 IPsec masalah dasar di Microsoft Windows 2000 Server
816915 File Skema penamaan yang baru untuk paket pembaruan peranti penangkap lunak Microsoft Windows

Properti

ID Artikel: 818043 - Kajian Terakhir: 20 Juni 2014 - Revisi: 4.0
Berlaku bagi:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix kbmt KB818043 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 818043

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com