Identificativo articolo: 818043 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Microsoft ha rilasciato un pacchetto di aggiornamento per potenziare le attuali funzionalità del protocollo L2TP (Layer Two Tunneling Protocol) e della tecnologia di protezione dei protocolli IPsec (Internet Protocol security) nei computer con sistema operativo Microsoft Windows 2000, Microsoft Windows XP senza service pack e Windows XP con Service Pack 1 (SP1). Questa funzionalità è inclusa in Windows XP Service Pack 2 (SP2). Nei computer in cui è presente Windows XP con un service pack non è necessario installare questo pacchetto di aggiornamento.

Questo aggiornamento include modifiche che garantiscono un migliore supporto ai clienti VPN (Virtual Private Network, rete privata virtuale) protetti da un dispositivo NAT (Network Address Translation). Se questo aggiornamento si applica a un computer che esegue Windows XP, quando l'avvio del servizio IPsec non può essere eseguito a causa di un errore di runtime, viene attivata la modalità di blocco per il driver IPsec poiché non è possibile garantire la protezione del traffico di rete.

Nota Il servizio IPsec viene visualizzato come "Servizi IPSEC" nell'elenco dei servizi di sistema.

Per ulteriori informazioni sul service pack più recente per Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322389 Come ottenere il service pack più recente per Windows XP

Contenuto dell'articolo

Informazioni

Nuove funzionalità, snap-in di gestione e snap-in Monitor di protezione IPsec

  • Dopo l'installazione di questo aggiornamento i client L2TP/IPsec basati su Windows 2000 e Windows XP possono creare connessioni IPsec sfruttando la protezione di un dispositivo NAT. La nuova funzionalità NAT-T IPsec si basa sulla specifica IETF RFC (Requests for Comments) 3193 e sulla versione 2 della bozza originale Internet della specifica IETF IPsec NAT-T. Anche i client Windows XP in cui è presente il Service Pack 2 dispongono di questa opzione di connettività avanzata. La funzionalità NAT-T IPsec è attualmente precisata nelle specifiche RFC 3947 e 3948.
  • Dopo l'aggiornamento lo snap-in Monitor di protezione IPsec consente la visualizzazione dei computer che eseguono Windows XP, ma solo se è stato installato il Service Pack 2,
  • nonché di quelli che eseguono Microsoft Windows Server 2003. Analogamente, in Windows Server 2003 è possibile monitorare i computer con Windows XP su cui è stato installato il Service Pack 2.
  • I computer che eseguono Windows 2000 non possono essere monitorati con questo snap-in.
  • Il nuovo snap-in di gestione IPsec viene automaticamente impostato in modalità di sola lettura quando sono presenti oggetti criterio contenenti funzionalità avanzate create in Windows Server 2003, quali DH2048, mapping dei certificati e filtri dinamici. A causa di questo comportamento gli oggetti dello snap-in, inclusi regole, elenchi di filtri e l'offerta della modalità principale, risultano non modificabili se contengono riferimenti a queste nuove impostazioni. Lo snap-in di gestione IPsec viene automaticamente impostato sulla modalità di sola lettura per evitare la rimozione accidentale di importanti funzionalità avanzate.
  • Sui computer con sistema operativo Windows XP i servizi IPsec aggiornati consentono l'esecuzione della maggior parte delle nuove funzionalità fornite con i criteri in Windows Server 2003.

    Nota Il mapping dei certificati non è disponibile.
  • Se in un computer con Windows XP è installata una versione precedente dello strumento IPseccmd, strumento non disponibile in Windows 2000, viene installata una versione aggiornata di IPseccmd nella cartella degli strumenti di supporto nel percorso unitàdisco:\Programmi\.

    La versione aggiornata di IPseccmd presenta le seguenti caratteristiche:
    • Consente l'attivazione e la disattivazione dinamica della connessione IKE (Internet Key Exchange).
    • Consente la visualizzazione di informazioni relative ai criteri assegnati.
    • Consente di creare un criterio IPsec permanente.
    Nota La versione precedente di IPseccmd non funziona su computer aggiornati, mentre quella aggiornata non funziona su computer non aggiornati.

Problemi di interoperabilità e problemi conosciuti

Regole di IPsec NAT-T e del firewall

Poiché il supporto per la funzionalità NAT-T IPsec si basa sulla specifica IETF RFC 3193 e sulla versione 2 della bozza originale Internet della specifica IETF NAT-T, per eseguire questi servizi attraverso un firewall, potrebbe essere necessario aprire le seguenti porte e protocolli utilizzando le regole del firewall:
  • IKE (Internet Key Exchange) - UDP (User Datagram Protocol) 500
  • NAT-T IPsec - UDP 4500
  • ESP (Encapsulating Security Payload) - Protocollo IP (Internet Protocol) 50

Scenari supportati in cui viene utilizzato NAT-T IPsec

Negli scenari descritti di seguito è possibile stabilire connessioni NAT-T IPsec basata sul protocollo L2TP. In questi casi Client è un client in cui è installato Windows 2000 e l'aggiornamento 818043 o un computer basato su Windows XP con il Service Pack 2 installato. Server è un server L2TP/IPsec che esegue Windows Server 2003 e sul quale viene utilizzato Routing e Accesso remoto.
Client----> NAT ----Internet---->Server

L'unico caso supportato e consigliato è quello in cui Server non è protetto da un dispositivo NAT.
Il server L2TP/IPsec può anche essere un prodotto gateway di altri produttori dotato del supporto per le connessioni NAT-T.

Nota Se si applica l'aggiornamento 818043 a un server basato su Windows 2000 che esegue Routing e Accesso remoto, non sarà possibile utilizzarlo come server L2TP/IPsec in questo caso. Quando sono presenti uno o più dispositivi NAT, questo tipo di server non consente connessioni dai client L2TP/IPsec. Si tratta di un aggiornamento solo sul lato client. La funzionalità NAT-T IPsec sul lato server è una nuova funzionalità solo di Routing e Accesso remoto di Windows Server 2003. Il supporto per NAT-T IPsec sul lato server non verrà aggiunto a Routing e Accesso remoto di Windows 2000.

Aggiornamento del gruppo Diffie-Hellman 2048

Perché i client L2TP/IPsec possano negoziare e utilizzare l'algoritmo Diffie-Hellman 2048, anche il server di accesso remoto deve supportare questo gruppo.

Nota Per poter utilizzare l'algoritmo Diffie-Hellman 2048 in Windows Server 2003, è necessario creare una chiave del Registro di sistema. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD.
  4. Digitare NegotiateDH2048, quindi premere INVIO.
  5. Fare clic con il pulsante destro del mouse su NegotiateDH2048 e scegliere Modifica dal menu di scelta rapida.
  6. Nella casella Dati valore digitare 1, quindi scegliere OK.
  7. Scegliere Esci dal menu Registro di sistema.

Altro

  • Hardware di offload IPsec
    Gli adattatori di rete offload IPsec non consentono l'offload di associazioni di protezione create utilizzando NAT.
  • Errata visualizzazione di nuove funzionalità
    Alcune funzionalità attivate utilizzando un criterio IPsec in Windows Server 2003 potrebbero non venire visualizzate correttamente in Monitor di protezione IPsec. In particolare, il gruppo DH2048 viene visualizzato come 268435457, mentre il nome dei filtri dinamici (ad esempio WINS o DHCP) non è visualizzato e la rispettiva colonna risulta vuota.
  • Nel componente IKE dell'implementazione Windows di IPsec viene utilizzata un funzione API Winsock estesa il cui puntatore di funzione è determinato tramite una chiamata WSAIoctl(). Se non viene consentito il passaggio di questa chiamata attraverso uno o più provider LSP (Layered Service Provider) installati, non sarà consentito l'ascolto di IPsec sulla porta IKE. Questo viene interpretato da IPsec come un problema del componente e di conseguenza viene visualizzato un messaggio che indica che è impossibile passare in modalità protetta. L'impossibilità del componente IKE di passare attraverso un provider LSP potrebbe essere dovuta a un programma di terze parti installato.

Avviso L'errato utilizzo dell'editor del Registro di sistema o di un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la soluzione di eventuali problemi derivanti dall'errata modifica del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell'utente. Per modificare il comportamento NAT-T IPsec per un computer in cui è in esecuzione Windows XP SP2, è necessario creare il valore del Registro di sistema AssumeUDPEncapsulationContextOnSendRule.

In base all'impostazione predefinita, in Windows XP SP2 non sono più supportate le associazioni di protezione NAT-T IPsec ai server protetti da un dispositivo NAT. Pertanto se il server VPN (virtual private network) è protetto da un dispositivo NAT, in base all'impostazione predefinita, un client VPN basato su Windows XP SP2 non è in grado di stabilire un connessione L2TP/IPsec con il server VPN. Questo scenario include un server VPN in cui è installato Microsoft Windows Server 2003.

Questo comportamento predefinito può anche impedire ai computer in cui è installato Windows XP SP2 di effettuare connessioni Desktop remoto con L2TP/IPsec quando il computer di destinazione è protetto da un dispositivo NAT.

Per il modo in cui i dispositivi NAT traducono il traffico di rete, si potrebbero verificare risultati imprevisti quando si colloca un server dietro a un dispositivo NAT e si utilizza la funzionalità NAT-T IPsec. Per questo motivo, se è necessaria la tecnologia IPsec per la comunicazione, è consigliabile utilizzare indirizzi IP pubblici per tutti i server a cui ci si può connettere direttamente da Internet.

Per creare e configurare il valore del Registro di sistema AssumeUDPEncapsulationContextOnSendRule, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD.
  4. Nella casella Nuovo valore #1 digitare AssumeUDPEncapsulationContextOnSendRule, quindi premere INVIO.
  5. Fare clic con il pulsante destro del mouse su AssumeUDPEncapsulationContextOnSendRule e scegliere Modifica.
  6. Nella casella Dati valore digitare uno dei seguenti valori:
    • 0 (predefinito)
      Un valore 0 (zero) configura Windows per fare in modo che non vengano stabilite associazioni di protezione con server protetti da dispositivi NAT.
    • 1
      Il valore 1 configura Windows per fare in modo che vengano stabilite associazioni di protezione con server protetti da dispositivi NAT.
    • 2
      Il valore 2 configura Windows per fare in modo che vengano stabilite associazioni di protezione quando il server e il computer client basato su Windows XP SP2 sono protetti da dispositivi NAT.
  7. Scegliere OK e chiudere l'editor del Registro di sistema.
  8. Riavviare il computer.

Informazioni sul service pack per Windows XP

Questa funzionalità è disponibile nel service pack più recente per Windows XP (SP2). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322389 Come ottenere il service pack più recente per Windows XP

Aggiornamento per Windows 2000

Per scaricare questo aggiornamento per Windows 2000, visitare il seguente sito Web Microsoft e utilizzare il catalogo di Microsoft Windows Update:
http://v4.update.microsoft.com/catalog
Cercare l'ID dell'articolo utilizzando la funzionalità di ricerca avanzata nel catalogo di Windows Update. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Nel sito Web Microsoft Windows Update fare clic su Ricerca degli aggiornamenti per Microsoft Windows.
  2. Selezionare il sistema operativo e la lingua in uso e fare clic su Ricerca avanzata.

    Nota È necessario selezionare Windows 2000 Professional Service Pack 3 o Windows 2000 Professional Service Pack 4. Se si seleziona un sistema operativo diverso, l'aggiornamento non viene restituito dalla ricerca.
  3. Nella casella relativa alle parole da cercare digitare 818043, quindi scegliere Cerca.
Per ulteriori informazioni su come scaricare gli aggiornamenti dal catalogo di Windows Update, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
323166 HOW TO: Scaricare aggiornamenti e driver per Windows dal catalogo di Windows Update

Prerequisiti

Questo pacchetto di aggiornamento è stato progettato per essere installato in computer che eseguono Windows 2000 con Service Pack 3 (SP3) o versioni successive.

Richiesta di riavvio

Dopo l'installazione di questo pacchetto di aggiornamento è necessario eseguire il riavvio del computer per consentire l'attivazione delle nuove funzionalità IPsec.

Informazioni sulla sostituzione dell'aggiornamento

Questo aggiornamento non sostituisce eventuali altri aggiornamenti.

Informazioni sui file

La versione in lingua inglese di questo aggiornamento rapido (hotfix) presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data        Ora    Versione        Dimensione  Nome file
   -----------------------------------------------------------------
   18/09/2000  19.01  5.0.2195.1569   33.616      Fips.sys
   21/04/2003  15.19  5.0.2195.6738   80.848      Ipsec.sys
   21/04/2003  15.19  5.0.2195.6738   29.456      Ipsecmon.exe
   21/04/2003  15.21  5.0.2195.6738   390.928     Netdiag.exe
   01/05/2003  21.39  5.0.2195.6738   417.552     Oakley.dll
   01/05/2003  21.39  5.0.2195.6738   96.528      Polagent.dll
   01/05/2003  21.39  5.0.2195.6738   137.488     Polstore.dll
   01/05/2003  21.39  5.0.2195.6738   58.128      Rasman.dll
   01/05/2003  21.39  5.0.2195.6738   153.360     Rasmans.dll
   01/05/2003  21.39  5.0.2195.6738   54.032      Rastapi.dll
   21/04/2003  15.19  5.0.2195.6738   80.848      Ipsec.sys  (56 bit)

Riferimenti

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
314067 Risoluzione dei problemi relativi alla connettività TCP/IP in Windows XP
257225 Procedura di base per la risoluzione di problemi IPSec in Windows 2000
816915 Nuovo schema di assegnazione dei nomi per i pacchetti di soluzioni rapide di Microsoft Windows

Proprietà

Identificativo articolo: 818043 - Ultima modifica: lunedì 16 maggio 2011 - Revisione: 19.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Chiavi: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com