L2TP/IPSec NAT-T-oppdatering for Windows XP og Windows 2000

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 818043 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Microsoft har gitt ut en oppdateringspakke som skal forbedre funksjonaliteten i L2TP (Layer Two Tunneling Protocol) og IPSec (Internet Protocol Security) på datamaskiner som kjører Microsoft Windows 2000, Microsoft Windows XP uten installerte oppdateringspakker, og Windows XP med Service Pack 1 (SP1). Denne funksjonaliteten er inkludert i Windows XP Service Pack 2 (SP2). Datamaskiner som kjører Windows XP med en oppdateringspakke, trenger ikke installere denne oppdateringspakken.

Denne oppdateringen inneholder forbedringer av IPSec som skal gi bedre støtte til VPN-klienter (virtuelt privat nettverk) som er bak NAT-enheter (Network Address Translation). Hvis du bruker denne oppdateringen på en datamaskin som kjører Windows XP, og det oppstår en kjøretidsfeil på IPSec-tjenesten slik at den ikke kan starte, fungerer IPSec-driveren i blokkmodus fordi den ikke kan sikre nettverkstrafikk.

Obs!  IPSec-tjenesten vises som "IPSEC-tjenester" i listen over systemtjenester.

Hvis du vil ha mer informasjon om siste oppdateringspakke for Microsoft XP, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
322389 Slik får du tak i den seneste oppdateringspakken for Windows XP

Artikkelinnhold

Mer informasjon

Nye IPSec-funksjoner og snapin-moduler for administrasjon og overvåking

  • Når du har installert denne oppdateringen, kan Windows 2000- og Windows XP-baserte L2TP/IPSec-klienter opprette IPSec-tilkoblinger bak en NAT-enhet. Den nye IPSec NAT-T-funksjonaliteten er basert på IETF Requests for Comments (RFC) 3193 og versjon 2 av de opprinnelige Internett-utkastene for IETF IPSec NAT-T. Windows XP-klienter som har SP2, har også dette bedrede tilkoblingsalternativet. IPSec NAT-T er spesifisert i RFC 3947 og 3948.
  • Den oppdaterte snapin-modulen for IPSec-overvåking kan vise datamaskiner som kjører Windows XP, men bare hvis SP2 er installert på den Windows XP-baserte datamaskinen.
  • Den oppdaterte snapin-modulen for IPSec-overvåking kan vise datamaskiner som kjører Microsoft Windows Server 2003. På samme måte kan Windows Server 2003 overvåke Windows XP-baserte datamaskiner der SP2 er installert.
  • Datamaskiner som kjører Windows 2000, kan ikke overvåkes med denne snapin-modulen.
  • Den nye snapin-modulen for IPSec-administrasjon bytter til skrivebeskyttet modus når den støter på policyobjekter som inneholder avanserte funksjoner opprettet i Windows Server 2003 (for eksempel DH2048, tilordning av sertifikat eller dynamiske filtre). Dette problemet fører til at det blir umulig å redigere snapin-modulobjektene (for eksempel regler, filterlister eller hovedmodustilbud) hvis de inneholder referanser til disse nye innstillingene. Snapin-modulen for IPSec-administrasjon bytter til skrivebeskyttet modus, slik at kritiske, avanserte funksjoner ikke fjernes utilsiktet.
  • De oppdaterte IPSec-tjenestene på Windows XP-baserte datamaskiner kan oppdage de fleste nye funksjonene i en Windows Server 2003-policy.

    Obs!  Tilordning av sertifikat er ikke tilgjengelig.
  • Hvis en tidligere versjon av IPSeccmd-verktøyet installeres på en Windows XP-basert datamaskin (dette verktøyet er ikke tilgjengelig i Windows 2000), installeres en oppdatert IPSeccmd i mappen stasjon:\Programfiler\Support Tools.

    Det oppdaterte IPSeccmd-verktøyet har følgende funksjoner:
    • Det slår logging av Internet Key Exchange (IKE) av og på dynamisk.
    • Det viser informasjon om en gjeldende tilordnet policy.
    • Det gjør det mulig å opprette en fast IPSec-policy.
    Obs!  Den tidligere versjonen av IPSeccmd fungerer ikke på oppdaterte datamaskiner, og det oppdaterte IPSeccmd-verktøyet fungerer ikke på datamaskiner som ikke er oppdatert.

Interoperabilitet og kjente problemer

Regler for IPSec NAT-T og brannmur

Ettersom støtten for IPSec NAT-T-funksjonaliteten er basert på IETF RFC 3193 og versjon 2 av Internett-utkastet for IETF NAT-T, må du kanskje åpne følgende porter og protokoller i brannmurreglene for at disse tjenestene skal kunne kjøres gjennom en brannmur:
  • Internet Key Exchange (IKE) - User Datagram Protocol (UDP) 500
  • IPSec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) - IP-protokoll (Internet Protocol) 50

Scenarier som støttes ved bruk av IPSec NAT-T

Følgende scenarier tillater L2TP/IPSec-baserte IPSec NAT-T-tilkoblinger. I disse scenariene er Klient en klient som kjører Windows 2000, og som har oppdatering 818043 installert, eller en Windows XP-basert datamaskin som har SP2 installert. Server en L2TP/IPSec-server som kjører Windows Server 2003, og som bruker ruting og ekstern tilkobling.
Klient----> NAT ----Internett---->Server

Det eneste scenariet som støttes og anbefales, er når Server ikke befinner seg bak en NAT-enhet.
L2TP/IPSec-serveren kan også være et gateway-produkt fra en tredjepart som støtter NAT-T-tilkoblinger.

Obs!  Hvis du bruker 818043-oppdateringen på en Windows 2000-basert server som kjører ruting og ekstern pålogging, kan ikke serveren fungere som en L2TP/IPSec-server i dette scenariet. Den kan ikke tillate tilkoblinger fra L2TP/IPSec-klienter som befinner seg bak én eller flere NAT-enheter. Denne oppdateringen er bare på klientsiden. IPSec NAT-T-funksjonalitet på serversiden er en ny funksjon bare i Ruting og ekstern pålogging for Windows Server 2003. Støtte for IPSec NAT-T på serversiden vil ikke bli lagt til i Ruting og ekstern pålogging for Windows 2000.

Diffie-Hellman Group 2048-oppdatering

For at L2TP/IPSec-klienter skal kunne forhandle med og bruke Diffie-Hellman Group 2048-oppdateringen, må serveren for ekstern pålogging som kontaktes, også støtte denne gruppen.

Obs!  Hvis du skal kunne bruke Diffie-Hellman 2048 når datamaskinen kjører Windows Server 2003, må du opprette en registerundernøkkel. Dette gjøres på følgende måte:
  1. Klikk Start, klikk Kjør, skriv inn regedit, og klikk deretter OK.
  2. Finn og klikk følgende registerundernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Klikk NyRediger-menyen, og klikk deretter DWORD-verdi.
  4. Skriv inn NegotiateDH2048, og trykk deretter ENTER.
  5. Høyreklikk NegotiateDH2048, og klikk deretter Endre.
  6. I Verdidata-boksen skriver du 1, og deretter klikker du OK.
  7. Klikk AvsluttRegister-menyen.

Annet

  • Maskinvare for IPSec-avlasting
    Nettverkskort for IPSec-avlasting påvirker ikke sikkerhetstilordninger som er opprettet ved hjelp av NATer.
  • Nye funksjoner vises ikke korrekt
    Nye funksjoner som er aktivert ved hjelp av en Windows Server 2003 IPSec-policy, vil kanskje ikke vises korrekt i IPSec-overvåking. DH2048-gruppen vises for eksempel som 268435457, og navn på dynamiske filtre (for eksempel WINS eller DHCP) vises ikke i det hele tatt (kolonnen er tom).
  • IKE-komponenten for Windows-implementeringen av IPSec bruker en utvidet Winsock API-funksjon med en funksjonspeker som bestemmes ved å kalle opp WSAIoctl(). Hvis dette funksjonskallet ikke kan passere gjennom en installert LSP (Layered Service Provider), kan ikke IPSec lytte på IKE-porten. IPSec tolker dette som en feil i komponenten og reagerer deretter (returnerer en melding om at sikkermodus ble aktivert på grunn av en feil). Det at IKE-komponenten ikke kan passere gjennom en LSP, kan skyldes at et tredjepartsprogram er installert.

Advarsel!  Det kan oppstå alvorlige problemer hvis du endrer registret på feil måte ved hjelp av Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft garanterer ikke at disse problemene kan løses. Endre registret på eget ansvar. Hvis du vil endre virkemåten for IPSec NAT-T på en datamaskin som kjører Windows XP SP2, må du opprette registerverdien AssumeUDPEncapsulationContextOnSendRule.

Som standard støtter ikke Windows XP SP2 lenger IPSec NAT-T-sikkerhetstilordninger til servere som befinner seg bak en nettverksadresseoversetter (NAT). Hvis serveren for det private virtuelle nettverket (VPN) befinner seg bak en NAT, kan en Windows XP SP2-basert VPN-klient derfor som standard ikke bruke en L2TP/IPSec-tilkobling til VPN-serveren. Dette scenariet inkluderer en VPN-server som kjører Microsoft Windows Server 2003.

Denne standardvirkemåten kan også hindre datamaskiner som kjører Windows XP SP2, i å bruke tilkoblinger til eksternt skrivebord med L2TP/IPSec når måldatamaskinen befinner seg bak en NAT.

På grunn av måten NATen oversetter nettverkstrafikk på, kan du oppleve uventede resultater når du plasserer en server bak en NAT og deretter bruker IPSec NAT-T. Derfor anbefaler vi, hvis du trenger IPSec til kommunikasjon, at du bruker offentlige IP-adresser for alle serverne du kan koble til direkte fra Internett.

Følg denne fremgangsmåten for å opprette og konfigurere registerverdien AssumeUDPEncapsulationContextOnSendRule:
  1. Klikk Start, klikk Kjør, skriv inn regedit, og klikk deretter OK.
  2. Finn og klikk følgende registerundernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Klikk NyRediger-menyen, og klikk deretter DWORD-verdi.
  4. I boksen Ny verdi nr. 1 skriver du inn AssumeUDPEncapsulationContextOnSendRule, og deretter trykker du ENTER.
  5. Høyreklikk AssumeUDPEncapsulationContextOnSendRule, og klikk deretter Endre.
  6. I boksen Verdidata skriver du inn en av følgende verdier:
    • 0 (standard)
      Verdien 0 (null) konfigurerer Windows slik at det ikke kan opprette sikkerhetstilordninger med servere som befinner seg bak NATer.
    • 1
      Verdien 1 konfigurerer Windows slik at det kan opprette sikkerhetstilordninger med servere som befinner seg bak NATer.
    • 2
      Verdien 2 konfigurerer Windows slik at det kan opprette sikkerhetstilordninger når både serveren og den Windows XP SP2-baserte klientdatamaskinen befinner seg bak NATer.
  7. Klikk OK, og avslutt deretter Registerredigering.
  8. Start datamaskinen på nytt.

Informasjon om oppdateringspakke for Windows XP

Denne funksjonen er tilgjengelig i den nyeste oppdateringspakken for Windows XP (SP2). Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322389 Slik får du tak i den seneste oppdateringspakken for Windows XP

Windows 2000-oppdatering

Hvis du vil laste ned denne oppdateringen for Windows 2000, kan du gå til følgende Microsoft-webområde og bruke Microsoft Windows Update-katalogen:
http://v4.update.microsoft.com/catalog
Søk etter ID-nummeret til denne artikkelen ved å bruke de avanserte søkealternativene i Windows Update-katalogen. Dette gjøres på følgende måte:
  1. På Microsoft-webområdet Windows Update klikker du Søk etter oppdateringer for Microsoft Windows-operativsystemer.
  2. Klikk for å velge operativsystem og språk, og klikk deretter Avanserte søkealternativer.

    Obs!  Du må velge Windows 2000 Professional Service Pack 3 eller Windows 2000 Professional Service Pack 4. Hvis du velger et annet operativsystem, returneres ikke oppdateringen i søket.
  3. I boksen Inneholder disse ordene skriver du inn 818043, og deretter klikker du Søk.
Hvis du vil ha mer informasjon om hvordan du laster ned oppdateringer fra Windows Update-katalogen, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
323166 Slik laster du ned Windows-oppdateringer og drivere fra Windows Update-katalogen

Forutsetninger

Denne oppdateringspakken er utviklet for å installeres på datamaskiner som kjører Windows 2000 med Service Pack 3 (SP3) eller senere.

Omstartskrav

Denne oppdateringspakken krever at du starter datamaskinen på nytt for å aktivere de nye IPSec-funksjonene.

Informasjon om erstatning av oppdatering

Denne oppdateringen erstatter ingen andre oppdateringer.

Filinformasjon

Den engelskspråklige versjonen av denne hurtigreparasjonen har filattributtene som står oppført i tabellen nedenfor (eller senere attributter). Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du kategorien Tidssone i verktøyet Dato og klokkeslett i Kontrollpanel.
   Dato         Tid    Versjon       Størrelse  Filnavn
   ----------------------------------------------------------------
   18.09.2000   19:01  5.0.2195.1569    33 616  Fips.sys
   21.04.2003   15:19  5.0.2195.6738    80 848  Ipsec.sys
   21.04.2003   15:19  5.0.2195.6738    29 456  Ipsecmon.exe
   21.04.2003   15:21  5.0.2195.6738   390 928  Netdiag.exe
   01.05.2003   21:39  5.0.2195.6738   417 552  Oakley.dll
   01.05.2003   21:39  5.0.2195.6738    96 528  Polagent.dll 
   01.05.2003   21:39  5.0.2195.6738   137 488  Polstore.dll
   01.05.2003   21:39  5.0.2195.6738    58 128  Rasman.dll
   01.05.2003   21:39  5.0.2195.6738   153 360  Rasmans.dll
   01.05.2003   21:39  5.0.2195.6738    54 032  Rastapi.dll
   21.05.2003   15:19  5.0.2195.6738    80 848  Ipsec.sys  (56-biters)

Referanser

Hvis du vil ha mer informasjon, klikker du følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base (Disse artiklene kan være på engelsk.):
314067 Slik feilsøker du TCP/IP-tilkobling med Windows XP
257225 Grunnleggende feilsøking av IPSec i Microsoft Windows 2000 Server
816915 Ny navngivingspraksis for filer i programvareoppdateringspakker for Microsoft Windows

Egenskaper

Artikkel-ID: 818043 - Forrige gjennomgang: 17. mai 2011 - Gjennomgang: 19.0
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Nøkkelord: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com