Update van L2TP/IPSec NAT-T voor Windows XP en Windows 2000

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 818043 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Microsoft heeft een updatepakket uitgebracht om de huidige functionaliteit te verbeteren van Layer Two Tunneling Protocol (L2TP) en Internet Protocol security (IPsec) op computers met Microsoft Windows 2000, Microsoft Windows XP zonder service packs en Windows XP met Service Pack 1 (SP1). Deze functionaliteit is opgenomen in Windows XP Service Pack 2 (SP2). Op computers met Windows XP met een service pack hoeft dit updatepakket niet te worden geïnstalleerd.

Deze update omvat verbeteringen van IPsec voor een uitgebreidere ondersteuning van VPN-clients (Virtual Private Network) die zich achter NAT-apparaten (Network Address Translation) bevinden. Als u deze update toepast op een computer waarop Windows XP wordt uitgevoerd en de IPsec-service een runtime-fout ondervindt waardoor deze niet kan worden gestart, werkt het IPsec-stuurprogramma in geblokkeerde modus omdat het netwerkverkeer niet kan worden beveiligd.

Opmerking De IPSec-service wordt als 'IPSEC-services' vermeld in de lijst met systeemservices.

Als u meer informatie wilt over het nieuwste service pack voor Windows XP, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
322389 Het meest recente service pack voor Windows XP ophalen

In dit artikel

Meer informatie

Nieuwe IPsec-functies en beheer- en controlemodules

  • Na installatie van deze update kunnen L2TP/IPsec-clients in Windows 2000 en Windows XP een IPsec-verbinding tot stand brengen achter een NAT-apparaat. De nieuwe IPsec NAT-T-functionaliteit is gebaseerd op de IETF Requests for Comments (RFC) 3193 en versie 2 van de originele IETF IPsec NAT-T-internetconcepten. Windows XP-clients met SP2 hebben ook deze uitgebreide verbindingsoptie. IPsec NAT-T is momenteel ingesteld in RFC 3947 en 3948.
  • De bijgewerkte IPsec-controlemodule kan computers waarnemen waarop Windows XP wordt uitgevoerd, maar uitsluitend als op deze Windows XP-computers SP2 is geïnstalleerd.
  • De bijgewerkte IPsec-controlemodule kan computers waarnemen waarop Microsoft Windows Server 2003 wordt uitgevoerd. Ook hier geldt echter dat Windows Server 2003 uitsluitend Windows XP-computers kan controleren waarop SP2 is geïnstalleerd.
  • Computers waarop Windows 2000 wordt uitgevoerd, kunnen niet worden gecontroleerd met deze module.
  • De nieuwe IPsec-beheermodule schakelt over naar de alleen-lezen-modus wanneer een beleidsobject wordt waargenomen dat geavanceerde functies bevat die gemaakt zijn in Windows Server 2003 (bijvoorbeeld DH2048, certificaattoewijzing of dynamische filters). Dit probleem zorgt ervoor dat de moduleobjecten (bijvoorbeeld regels, filterlijsten of gegevens in de hoofdmodus) niet kunnen worden bewerkt als ze verwijzingen naar deze nieuwe instellingen bevatten. De IPsec-beheermodule schakelt over naar de alleen-lezen-modus zodat essentiële geavanceerde functies niet per ongeluk kunnen worden verwijderd.
  • De bijgewerkte IPsec-services op Windows XP-computers kunnen de meeste nieuwe functies in een Windows Server 2003-beleid zichtbaar maken.

    Opmerking Certificaattoewijzing is niet beschikbaar.
  • Als er een eerdere versie van het hulpprogramma IPseccmd op een Windows XP-computer is geïnstalleerd (dit hulpprogramma is niet beschikbaar in Windows 2000), wordt een bijgewerkte versie van IPseccmd geïnstalleerd in de map Station:\Program Files\Support Tools.

    De bijgewerkte versie van IPseccmd heeft de volgende functies:
    • IKE-aanmelding (Internet Key Exchange) dynamisch in- en uitschakelen.
    • Informatie over het momenteel toegewezen beleid weergegeven.
    • U kunt hiermee een permanent IPSec-beleid creëren.
    Opmerking De eerdere versie van IPseccmd werkt niet op bijgewerkte computers en de bijgewerkte versie van IPseccmd werkt niet op computers die niet zijn bijgewerkt.

Interoperabiliteit en bekende problemen

IPsec NAT-T en firewall-regels

Aangezien de ondersteuning voor Ipsec NAT-T-functionaliteit is gebaseerd op IETF RFC 3193 en versie 2 van de originele IETF NAT-T-internetconcepten, moet u wellicht de volgende poorten en protocollen openen in de firewall-regels als u deze services via een firewall wilt uitvoeren:
  • Internet Key Exchange (IKE) - User Datagram Protocol (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) ? IP-protocol 50 (Internet Protocol)

Ondersteunde scenario's met Ipsec NAT-T

In de volgende scenario's kunnen L2TP/IPsec-gebaseerde IPsec NAT-T-verbindingen met succes worden gebruikt. In deze scenario's wordt met Client een client aangeduid waarop Windows 2000 wordt uitgevoerd en waarop update 818043 is geïnstalleerd, of een Windows XP-computer waarop SP2 is geïnstalleerd. Met Server wordt een L2TP/IPsec-server aangeduid waarop zowel Windows Server 2003 als Routering en RAS wordt uitgevoerd.
Client----> NAT ----internet---->Server

Het enige ondersteunde en aanbevolen scenario is wanneer de Server zich niet achter een NAT-apparaat bevindt.
De L2TP/IPsec-server kan ook een gateway-product van een andere fabrikant zijn dat NAT-T-verbindingen ondersteunt.

Opmerking Als u update 818043 toepast op een Windows 2000-server die gebruikmaakt van Routering en RAS, kan de server in dit scenario niet als L2TP/IPsec-server fungeren. Verbindingen vanuit L2TP/IPsec-clients die zich achter een of meer NAT-apparaten bevinden, zijn niet toegestaan. Deze update dient alleen op een client te worden toegepast. IPsec NAT-T-functionaliteit op de server is alleen een nieuwe functie in Routering en RAS voor Windows Server 2003. Ondersteuning van IPsec NAT-T op de server wordt niet toegevoegd aan Routering en RAS voor Windows 2000.

Diffie-Hellman Group 2048-update

L2TP/IPsec-clients kunnen pas onderhandelen en de Diffie-Hellman Group 2048-update gebruiken als de RAS-server waarmee contact wordt gemaakt, deze groep ook ondersteunt.

Opmerking Als u Diffie-Hellman 2048 wilt gebruiken onder Windows Server 2003, moet u een registersubsleutel maken. Ga hiervoor als volgt te werk:
  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ NegotiateDH2048 en druk op ENTER.
  5. Klik met de rechtermuisknop op NegotiateDH2048 en klik op Wijzigen.
  6. Typ 1 in het vak Waardegegevens en klik op OK.
  7. Klik op Afsluitenin het menu Bestand.

Overige

  • Hardware voor IPsec-offload
    De netwerkadapters voor IPsec-offload zorgen niet voor de offload van beveiligingskoppelingen die werden gemaakt met behulp van NAT-apparaten.
  • Nieuwe functies worden niet correct weergegeven
    Nieuwe functies die via een IPsec-beleid in Windows Server 2003 werden ingeschakeld, worden niet juist weergegeven in de IPsec-monitor. Zo wordt de DH2048-groep weergegeven als 268435457 en worden namen van dynamische filters (bijvoorbeeld WINS of DHCP) helemaal niet weergegeven (de kolom is leeg).
  • De IKE-component van de Windows-implementatie van IPsec gebruikt een uitgebreide Winsock API-functie waarvan de functiepointer wordt bepaald door het aanroepen van WSAIoctl(). Als deze functieaanroep geen geïnstalleerde LSP (Layered Service Provider) mag doorgeven, kan IPsec de IKE-poort niet afluisteren. Dit wordt door IPsec als een fout van de component geïnterpreteerd, waarop de bijbehorende reactie volgt (namelijk het verschijnen van het bericht 'Fail to a Secure Mode'). Het feit dat de IKE-component geen LSP kan doorgeven, wordt mogelijk veroorzaakt door een geïnstalleerd programma van een andere fabrikant.

Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen opgelost kunnen worden. Het wijzigen van het register is dan ook voor uw eigen risico. Als u de IPsec NAT-T-gedrag voor een computer met Windows XP SP2 wilt wijzigen, moet u de registerwaarde AssumeUDPEncapsulationContextOnSendRule maken.

IPsec NAT-T-beveiligingskoppelingen naar servers die zich bevinden achter een NAT (Network Address Translator), worden standaard niet meer ondersteund door Windows XP SP2. Als uw VPN-server (Virtual Private Network) zich dus achter een NAT bevindt, kan een Windows XP SP2-gebaseerde VPN-client standaard geen L2TP/IPsec-verbinding maken met de VPN-server. Dit geldt ook voor VPN-servers met Microsoft Windows Server 2003.

Dit standaardgedrag voorkomt ook dat computers met Windows XP SP2 via het externe bureaublad verbinding maken met L2TP/IPsec wanneer de doelcomputer zich achter een NAT bevindt.

Door de manier waarop NAT's netwerkverkeer omzetten, kunt u onverwachte resultaten krijgen wanneer u een server achter een NAT plaatst en vervolgens IPsec NAT-T gebruikt. Als u IPsec nodig hebt voor communicatie is het daarom aan te raden openbare IP-adressen te gebruiken voor alle servers waarmee u rechtstreeks vanaf internet verbinding kunt maken.

Als u de registerwaarde AssumeUDPEncapsulationContextOnSendRule wilt maken en configureren, gaat u als volgt te werk:
  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ AssumeUDPEncapsulationContextOnSendRule in het vak Nieuwe waarde nr. 1 en drukt u op ENTER.
  5. Klik met de rechtermuisknop op AssumeUDPEncapsulationContextOnSendRule en klik op Wijzigen.
  6. Typ een van de volgende waarden in het vak Waardegegevens:
    • 0 (standaard)
      Met de waarde 0 (nul) configureert u Windows zodanig dat er geen beveiligingskoppelingen kunnen worden gemaakt met servers die zich achter een NAT bevinden.
    • 1
      Met de waarde 1 configureert u Windows zodanig dat er wel beveiligingskoppelingen kunnen worden gemaakt met servers die zich achter een NAT bevinden.
    • 2
      Met de waarde 2 configureert u Windows zodanig dat er beveiligingskoppelingen kunnen worden gemaakt wanneer zowel de server als de Windows XP SP2-clientcomputer zich achter een NAT bevinden.
  7. Klik op OK en sluit de Register-editor.
  8. Start de computer opnieuw op.

Informatie over service packs voor Windows XP

Deze functie is beschikbaar in het meest recente service pack voor Windows XP (SP2). Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
322389 Het meest recente service pack voor Windows XP ophalen

Windows 2000-update

Ga naar de volgende Microsoft-website om deze update voor Windows 2000 te downloaden via de Microsoft Windows Update-catalogus:
http://v4.update.microsoft.com/catalog/nl/default.asp
Zoek dit artikelnummer op met behulp van de geavanceerde zoekopties in de Windows Update-catalogus. Ga hiervoor als volgt te werk:
  1. Klik op de website Microsoft Windows Update op Updates voor Microsoft Windows zoeken.
  2. Selecteer uw besturingssysteem en taal en klik op Geavanceerde zoekopties.

    Opmerking Selecteer Windows 2000 Professional Service Pack 3 of Windows 2000 Professional Service Pack 4. Als u een ander besturingssysteem selecteert, wordt de update niet geretourneerd als zoekresultaat.
  3. Typ 818043 in het vak Bevat deze woorden en klik op Zoeken.
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het downloaden van updates via de Windows Update-catalogus:
323166 Windows-updates en -stuurprogramma's downloaden van de Windows Update-catalogus

Voorwaarden

Dit pakket is bedoeld voor installatie op computers waarop Windows 2000 met Service Pack 3 (SP1) of later wordt uitgevoerd.

Computer opnieuw opstarten

Na installatie van dit updatepakket moet de computer opnieuw worden opgestart om de nieuwe IPsec-functies te activeren.

Informatie over vervanging van updates

Door deze update worden geen andere updates vervangen.

Bestandsgegevens

De Engelse versie van deze hotfix heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere bestandskenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van het onderdeel Datum en tijd in het Configuratiescherm.
   Datum        Tijd   Versie         Grootte  Bestandsnaam
   ----------------------------------------------------------------
   18-sep-2000  19:01  5.0.2195.1569   33.616  Fips.sys
   21-apr-2003  15:19  5.0.2195.6738   80.848  Ipsec.sys
   21-apr-2003  15:19  5.0.2195.6738   29.456  Ipsecmon.exe
   21-apr-2003  15:21  5.0.2195.6738  390.928  Netdiag.exe
   01-mei-2003  21:39  5.0.2195.6738  417.552  Oakley.dll
   01-mei-2003  21:39  5.0.2195.6738   96.528  Polagent.dll
   01-mei-2003  21:39  5.0.2195.6738  137.488  Polstore.dll
   01-mei-2003  21:39  5.0.2195.6738   58.128  Rasman.dll
   01-mei-2003  21:39  5.0.2195.6738  153.360  Rasmans.dll
   01-mei-2003  21:39  5.0.2195.6738   54.032  Rastapi.dll
   21-apr-2003  15:19  5.0.2195.6738   80.848  Ipsec.sys  (56-bits)

Referenties

Voor meer informatie klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
314067 Problemen met TCP/IP-verbindingen in Windows XP oplossen
257225 Basisproblemen met IPSec oplossen in Microsoft Windows 2000 Server
816915 Nieuw bestandsnaamgevingsschema voor software-updatepakketten voor Microsoft Windows

Eigenschappen

Artikel ID: 818043 - Laatste beoordeling: zaterdag 14 mei 2011 - Wijziging: 19.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Trefwoorden: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com