로그인

Select the product you need help with

Windows XP 및 Windows 2000용 L2TP/IPsec NAT-T 업데이트

Microsoft는 Microsoft Windows 2000, 서비스 팩이 설치되지 않은 Microsoft Windows XP 및 Windows XP 서비스 팩 1(SP1)을 실행하는 컴퓨터에서 L2TP(Layer Two Tunneling Protocol) 및 IPsec(인터넷 프로토콜 보안)의 현재 기능을 향상시키는 업데이트 패키지를 릴리스했습니다.이 기능은 Windows XP 서비스 팩 2(SP2)에 포함되어 있습니다. 서비스 팩이 적용된 Windows XP를 실행하는 컴퓨터에서는 이 업데이트 패키지를 설치할 필요가 없습니다.

이 업데이트에는 NAT(네트워크 주소 변환) 장치 뒤에 있는 VPN(가상 사설망) 클라이언트 지원을 향상시키는 IPsec 개선 기능이 포함되어 있습니다. Windows XP를 실행하는 컴퓨터에 이 업데이트를 적용하는 경우와 IPsec 서비스에 런타임 오류가 발생하여 시작할 수 없는 경우 IPsec 드라이버는 네트워크 트래픽을 보호할 수 없으므로 블록 모드로 작동합니다.

참고 IPsec 서비스는 시스템 서비스 목록에서 "IPSEC services"로 나타납니다.

Windows XP의 최신 서비스 팩에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

322389

(http://support.microsoft.com/kb/322389/ )

최신 Windows XP 서비스 팩을 구하는 방법

위로 가기 | 피드백 보내기

추가 정보

새로운 IPsec 기능과 관리 및 모니터 스냅인

이 업데이트를 설치하면 Windows 2000 및 Windows XP 기반 L2TP/IPsec 클라이언트가 NAT 장치 뒤에서 IPsec 연결을 만들 수 있습니다. 새 IPsec NAT-T 기능은 IETF RFC(Requests for Comments) 3193 및 원래 IETF IPsec NAT-T Internet 초안 2를 기반으로 합니다. SP2가 적용된 Windows XP 클라이언트에도 이 향상된 연결 옵션이 있습니다. IPsec NAT-T는 현재 RFC 3947 및 3948에 명시되어 있습니다.
업데이트된 IPsec 모니터 스냅인에서는 Windows XP를 실행하는 컴퓨터를 볼 수 있지만 이것은 Windows XP 기반 컴퓨터에 SP2가 설치된 경우에만 가능합니다.
업데이트된 IPsec 모니터 스냅인에서는 Microsoft Windows Server 2003을 실행하는 컴퓨터를 볼 수 있습니다. 마찬가지로 Windows Server 2003은 SP2가 설치된 Windows XP 기반 컴퓨터를 모니터링할 수 있습니다.
Windows 2000을 실행하는 컴퓨터는 이 스냅인을 사용하여 모니터링할 수 없습니다.
새 IPsec 관리 스냅인은 Windows Server 2003에서 만들어진 고급 기능(예: DH2048, 인증서 매핑 또는 동적 필터)을 포함하는 정책 개체를 사용할 때 읽기 전용 모드로 전환합니다. 이 문제로 인해 이러한 새로운 설정에 대한 참조가 포함된 스냅인 개체(예: 규칙, 필터 목록 또는 주 모드 제공)를 편집할 수 없게 됩니다. IPsec 관리 스냅인이 읽기 전용 모드로 전환되므로 중요한 고급 기능을 실수로 제거할 수 없습니다.
Windows XP 기반 컴퓨터의 업데이트된 IPsec 서비스에서는 Windows Server 2003 정책에 제공된 대부분의 새 기능을 사용할 수 있습니다.

참고 인증서 매핑은 사용할 수 없습니다.
이전 버전의 IPseccmd 도구를 Windows XP 기반 컴퓨터에 설치하면(Windows 2000에서는 이 도구를 사용할 수 없음) 업데이트된 IPseccmd가 drive:\Program Files\Support Tools 폴더에 설치됩니다.

업데이트된 IPseccmd에는 다음 기능이 포함되어 있습니다.
- IKE(인터넷 키 교환) 로깅을 동적으로 설정 및 해제합니다.
- 현재 할당된 정책에 대한 정보를 표시합니다.
- 영구적인 IPsec 정책을 만들 수 있습니다.
참고 이전 버전의 IPseccmd는 업데이트된 컴퓨터에서 작동하지 않고 업데이트된 IPseccmd는 업데이트되지 않은 컴퓨터에서 작동하지 않습니다.

상호 운용성 및 알려진 문제

IPsec NAT-T 및 방화벽 규칙

IPsec NAT-T 기능에 대한 지원은 IETF RFC 3193과 원래 IETF NAT-T Internet 초안 2를 기반으로 하기 때문에 이러한 서비스가 방화벽을 통해 실행될 수 있게 하려면 방화벽 규칙에 따라 다음 포트와 프로토콜을 열어야 할 수도 있습니다.

IKE(인터넷 키 교환) - UDP(사용자 데이터그램 프로토콜) 500
IPsec NAT-T - UDP 4500
ESP(Encapsulating Security Payload) - IP(인터넷 프로토콜) 프로토콜 50

지원되는 IPsec NAT-T 사용 시나리오

다음 시나리오에서는 L2TP/IPsec 기반 IPsec NAT-T 연결이 성공적으로 이루어질 수 있습니다. 이 시나리오에서 Client는 Windows 2000을 실행하고 818043 업데이트가 설치되었거나 SP2가 설치된 Windows XP 기반 컴퓨터입니다. Server는 Windows Server 2003을 실행 중이고 라우팅 및 원격 액세스를 사용 중인 L2TP/IPsec 서버입니다.

Client----> NAT ----인터넷---->Server

Server가 NAT 장치 뒤에 있지 않은 시나리오만 지원되고 권장됩니다.
L2TP/IPsec 서버는 NAT-T 연결을 지원하는 다른 공급업체 게이트웨이 제품일 수도 있습니다.

참고 라우팅 및 원격 액세스를 사용 중인 Windows 2000 기반 서버에 818043 업데이트를 적용하면 서버는 이 시나리오에서 L2TP/IPsec 서버로 작동할 수 없습니다. 하나 이상의 NAT 장치 뒤에 있는 L2TP/IPsec 클라이언트로부터의 연결은 허용될 수 없습니다. 이 업데이트는 클라이언트쪽 업데이트에만 해당합니다. 서버쪽 IPsec NAT-T 기능은 Windows Server 2003 라우팅 및 원격 액세스에만 해당하는 새 기능입니다. IPsec NAT-T 서버쪽 지원은 Windows 2000 라우팅 및 원격 액세스에 추가되지 않습니다.

Diffie-Hellman 그룹 2048 업데이트

L2TP/IPsec 클라이언트가 Diffie-Hellman 그룹 2048 업데이트를 협상하고 사용하기 위해서는 연결될 원격 액세스 서버에서도 이 그룹을 지원해야 합니다.

참고 Windows Server 2003을 실행하는 컴퓨터에서 Diffie-Hellman 2048을 사용하려면 레지스트리 하위 키를 만들어야 합니다. 레지스트리 하위 키를 만들려면 다음과 같이 하십시오.

시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
다음 레지스트리 하위 키를 찾아 누릅니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다.
NegotiateDH2048을 입력한 다음 Enter 키를 누릅니다.
NegotiateDH2048을 마우스 오른쪽 단추로 누른 다음 수정을 누릅니다.
값 데이터 상자에 1을 입력한 다음 확인을 누릅니다.
레지스트리 메뉴에서 끝내기를 누릅니다.

기타

IPsec 오프로드 하드웨어
IPsec 오프로드 네트워크 어댑터는 NAT를 사용하여 만든 보안 연결을 오프로드하지 않습니다.
새 기능이 제대로 표시되지 않는다
Windows Server 2003 IPsec 정책을 통해 설정했던 새 기능이 IPsec 모니터에서 잘못 표시될 수 있습니다. 특히, DH2048 그룹은 268435457로 표시되며 동적 필터 이름(예: WINS 또는 DHCP)은 거의 표시되지 않습니다. 해당 열은 비어 있습니다.
Windows에서 구현한 IPsec의 IKE 구성 요소는 WSAIoctl()을 호출하여 확인한 함수 포인터의 확장된 Winsock API 함수를 사용합니다. 이 함수 호출이 설치된 어떠한 LSP(계층화된 서비스 공급자)도 통과할 수 없는 경우 IPsec은 IKE 포트에서 수신 대기할 수 없습니다. IPsec은 이와 같은 경우를 구성 요소의 실패로 해석하고 이에 맞게 반응합니다. 즉, "보안 모드에 실패" 메시지가 반환됩니다. 설치된 다른 공급업체 프로그램으로 인해 IKE 구성 요소가 LSP를 통과하지 못할 수 있습니다.

경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하는 경우 심각한 문제가 발생할 수 있습니다. 이 문제를 해결하려면 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 문제에 대해 해결을 보증하지 않습니다. 레지스트리의 수정에 따른 모든 책임은 사용자에게 있습니다. Windows XP SP2를 실행하는 컴퓨터의 IPsec NAT-T 동작을 변경하려면 AssumeUDPEncapsulationContextOnSendRule 레지스트리 값을 만들어야 합니다.

기본적으로, Windows XP SP2에서는 더 이상 NAT(네트워크 주소 변환기) 뒤에 있는 서버에 대한 IPsec NAT-T 보안 연결을 지원하지 않습니다. 따라서, VPN(가상 사설망) 서버가 NAT 뒤에 있으면 기본적으로 Windows XP SP2 기반 VPN 클라이언트는 VPN 서버에 L2TP/IPsec 연결을 만들 수 없습니다. 이 시나리오에는 Microsoft Windows Server 2003을 실행하는 VPN 서버도 포함됩니다.

이러한 기본 동작은 또한 대상 컴퓨터가 NAT 뒤에 있을 경우 Windows XP SP2를 실행하는 컴퓨터가 L2TP/IPsec을 통해 원격 데스크톱 연결을 만들지 못하게 할 수도 있습니다.

NAT에서 네트워크 트래픽을 변환하는 방법으로 인해 서버를 NAT 뒤에 배치한 다음 IPsec NAT-T를 사용하면 예기치 않은 결과가 발생할 수 있습니다. 따라서 통신을 위해 IPsec이 필요한 경우에는 인터넷에서 직접 연결할 수 있는 모든 서버에 대해 공용 IP 주소를 사용하는 것이 좋습니다.

AssumeUDPEncapsulationContextOnSendRule 레지스트리 값을 만들고 구성하려면 다음과 같이 하십시오.

시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
다음 레지스트리 하위 키를 찾아 누릅니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다.
새 값 #1 상자에 AssumeUDPEncapsulationContextOnSendRule을 입력한 다음 Enter 키를 누릅니다.
AssumeUDPEncapsulationContextOnSendRule을 마우스 오른쪽 단추로 누른 다음 수정을 누릅니다.
값 데이터 상자에 다음 값 중 하나를 입력합니다.
- 0(기본값)
  값 0은 NAT 뒤에 있는 서버와의 보안 연결을 설정할 수 없도록 Windows를 구성합니다.
- 1
  값 1은 NAT 뒤에 있는 서버와의 보안 연결을 설정할 수 있도록 Windows를 구성합니다.
- 2
  값 2는 서버와 Windows XP SP2 기반 클라이언트 컴퓨터가 모두 NAT 뒤에 있을 때 보안 연결을 설정할 수 있도록 Windows를 구성합니다.
확인을 누른 다음 레지스트리 편집기를 종료합니다.
컴퓨터를 다시 시작합니다.

Windows XP 서비스 팩 정보

이 기능은 Windows XP용 최신 서비스 팩(SP2)에서 제공됩니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

322389

(http://support.microsoft.com/kb/322389/ )

최신 Windows XP 서비스 팩을 구하는 방법

Windows 2000 업데이트

Windows 2000 업데이트를 다운로드하려면 다음 Microsoft 웹 사이트에 방문하여 Microsoft Windows Update 카탈로그를 사용하십시오.

http://v4.update.microsoft.com/catalog

(http://v4.update.microsoft.com/catalog)

Windows Update 카탈로그에서 고급 검색 옵션 기능을 사용하여 이 문서의 ID 번호를 검색합니다. 고급 검색 옵션을 사용하여 검색하려면 다음과 같이 하십시오.

Microsoft Windows Update 웹 사이트에서 Microsoft Windows 업데이트 검색을 누릅니다.
운영 체제와 언어를 선택한 다음 고급 검색 옵션을 누릅니다.

참고 Windows 2000 Professional 서비스 팩 3이나 Windows 2000 Professional 서비스 팩 4를 선택해야 합니다. 다른 운영 체제를 선택하면 검색에서 업데이트가 반환되지 않습니다.
포함된 단어 상자에 818043을 입력한 다음 검색을 누릅니다.

Windows Update 카탈로그에서 업데이트를 다운로드하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

323166

(http://support.microsoft.com/kb/323166/ )

Windows Update 카탈로그에서 Windows 업데이트 및 드라이버를 다운로드하는 방법

전제 조건

이 업데이트 패키지는 서비스 팩 3(SP3) 이상이 설치된 Windows 2000을 실행 중인 컴퓨터에 설치하도록 설계되었습니다.

다시 시작 요구 사항

이 업데이트 패키지에서는 새 IPsec 기능을 설정하기 위해 컴퓨터를 다시 시작해야 합니다.

업데이트 대체 정보

이 업데이트는 다른 업데이트를 대체하지 않습니다.

파일 정보

이 핫픽스의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다. 이 파일의 날짜와 시간은 UTC(Coordinated Universal Time)로 나열됩니다. 파일 정보를 볼 때 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 차이를 알려면 제어판의 날짜 및 시간 도구에서 표준 시간대 탭을 사용하십시오.

표 축소표 확대

날짜	시간	버전	크기	파일 이름
2000-09-18	19:01	5.0.2195.1569	33,616	Fips.sys
2003-04-21	15:19	5.0.2195.6738	80,848	Ipsec.sys
2003-04-21	15:19	5.0.2195.6738	29,456	Ipsecmon.exe
2003-04-21	15:21	5.0.2195.6738	390,928	Netdiag.exe
2003-05-01	21:39	5.0.2195.6738	417,552	Oakley.dll
2003-05-01	21:39	5.0.2195.6738	96,528	Polagent.dll
2003-05-01	21:39	5.0.2195.6738	137,488	Polstore.dll
2003-05-01	21:39	5.0.2195.6738	58,128	Rasman.dll
2003-05-01	21:39	5.0.2195.6738	153,360	Rasmans.dll
2003-05-01	21:39	5.0.2195.6738	54,032	Rastapi.dll
2003-04-21	15:19	5.0.2195.6738	80,848	Ipsec.sys(56비트)