Numer ID artykułu: 818043 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Firma Microsoft wydała pakiet aktualizacji zwiększający bieżącą funkcjonalność zabezpieczenia protokołu internetowego (IPsec), komputery z systemem Microsoft Windows 2000, Microsoft Windows XP bez zainstalowanych dodatków service pack i Windows XP z dodatkiem Service Pack 1 (SP1) i Layer Two Tunneling Protocol (L2TP).Ta funkcja znajduje się w dodatku Service Pack 2 (SP2) dla systemu Windows XP. Komputery z systemem Windows XP z dodatkiem service pack nie trzeba instalować tego pakietu aktualizacji.

Ta aktualizacja zawiera udoskonalenia protokołu IPsec lepiej obsługę klientów wirtualnej sieci prywatnej (VPN) znajdujących się za urządzeniami (NAT) translacji adresów sieciowych. Po zastosowaniu tej aktualizacji do komputera na którym jest uruchomiony system Windows XP, a jeśli usługi IPsec napotka błąd w czasie wykonywania i nie można uruchomić z jakiegokolwiek powodu, sterownik IPsec działa w trybie blokowym, ponieważ nie można zabezpieczać ruch w sieci.

Uwaga Usługi IPsec pojawia się jako "Usługi zabezpieczeń IPSEC" na liście usług systemowych.

Aby uzyskać więcej informacji dotyczących najnowszego dodatku service pack dla systemu Windows XP kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322389 Jak uzyskać najnowszy dodatek service pack dla systemu Windows XP

Spis treści artykułu

Więcej informacji

Nowe funkcje usługi IPsec i przystawki zarządzania i monitorowania

  • Po zainstalowaniu tej aktualizacji systemów Windows 2000 i systemem Windows XP L2TP/IPsecclients mogą tworzyć połączenia IPsec zza urządzenie NAT. Nowy protokół IPsec NAT-Tfunctionality jest oparte na wnioskach IETF Comments (RFC) 3193 i wersji 2 oryginalnej wersji roboczych IETF IPsec NAT-TInternet. Klientów systemu Windows XP, które mają SP2 mają również ten rozszerzony connectivityoption. Protokół IPsec NAT-T aktualnie określony w specyfikacjach RFC 3947 i 3948.
  • Zaktualizowane przystawki Monitor zabezpieczeń IPsec można wyświetlić które są komputerach z systemem Windows XP, ale tylko wtedy, jeśli na komputerze z systemem Windows XP SP2installed.
  • Zaktualizowane przystawki Monitor zabezpieczeń IPsec umożliwia wyświetlanie listy komputerów tej arerunning Microsoft Windows Server 2003. Podobnie, Windows Server 2003 canmonitor systemu Windows XP na komputerach mieć zainstalowany dodatek SP2.
  • Komputery z systemem Windows 2000 nie może być monitoredwith tej przystawki.
  • Nowe zarządzania usługi IPsec przystawki przełącza do modewhen tylko do odczytu napotkaniu obiektów zasad, które zawierają zaawansowane funkcje tej werecreated w systemie Windows Server 2003 (na przykład DH2048, mapowanie certyfikatów, ordynamic filtry). To zachowanie powoduje przystawki obiektów (na przykład zasady, listy filtrów lub tryb główny) stają się nieedytowalne Jeśli oni containreferences do nowych ustawień. Przystawki zarządzania usługi IPsec przełącza się do modeso tylko do odczytu, aby uniemożliwić przypadkowe usunięcie zaawansowanych funkcji o krytycznym znaczeniu.
  • Zaktualizowane usługi IPsec na computerscan z systemem Windows XP korzystanie z większości nowych funkcji, które są dostarczane w 2003policy Windows Server.

    Uwaga Mapowanie certyfikatów nie jest dostępna.
  • Jeśli starszą wersję narzędzia IPseccmd, jest ona zainstalowana systemem Windows XP (to narzędzie nie jest dostępne w systemie Windows 2000), polecenie IPseccmd jest zainstalowany w anupdated dysk: Folder Narzędzia \ProgramFiles\Support.

    Zaktualizowana wersja narzędzia IPseccmd ma followingfeatures:
    • Rejestrowanie usługi Internet Key Exchange (IKE) to dynamicznie włącza i wyłącza.
    • Wyświetla on informacje o aktualnie przydzielonych zasadach.
    • Umożliwia to tworzenie trwałych zasad IPsec.
    Uwaga Wcześniejsza wersja polecenia IPseccmd nie działa na updatedcomputers, a zaktualizowana wersja narzędzia IPseccmd nie działa na komputerach, które nie zostały zaktualizowane.

Współdziałanie i znane problemy

NAT-T protokołu IPsec i reguł zapory

Ponieważ obsługa funkcji NAT-T protokołu IPsec jest oparty na IETF RFC 3193 i wersji 2 oryginalnej wersji roboczych IETF NAT-T Internet tych usług za zaporą, mogą mieć do otwarcia następujących portów i protokołów w regułach zapory:
  • Internet Key Exchange (IKE) - User Datagram Protocol (UDP) 500
  • Protokół IPsec NAT-T - UDP 4500
  • Protokół Encapsulating Security Payload (ESP) - protokół Internet Protocol (IP) 50

Scenariusze obsługiwane przez usługę NAT-T protokołu IPsec

Następujące scenariusze zostaną pomyślnie pozwalają na połączenia opartego na protokole L2TP/IPsec NAT-T protokołu IPsec. W tych scenariuszach Klient oznacza klienta z systemem Windows 2000 i które aktualizacją 818043 zainstalowany lub jest komputerem z systemem Windows XP który ma zainstalowany dodatek SP2. Serwer korzystający z usługi Routing i dostęp zdalny jest serwerem L2TP/IPsec z systemem Windows Server 2003.
Klient---> NAT---Internet--->Serwer

Jedyny obsługiwany i jest zalecanym scenariusz, gdy Serwer nie znajduje się za urządzeniem NAT.
Serwer L2TP/IPsec mogą być również produkt innej firmy gateway, który obsługuje połączenia NAT-T.

Uwaga Jeśli aktualizacja 818043 stosuje się do systemu Windows 2000 server, który używa usługi Routing i dostęp zdalny, serwer nie może działać jako serwer L2TP/IPsec, w tym scenariuszu. Nie pozwalają na połączenia z klientów L2TP/IPsec, które są za jedno lub więcej urządzeń NAT. Ta aktualizacja jest tylko aktualizacja po stronie klienta. Funkcja protokołu IPsec NAT-T po stronie serwera jest nowością w systemie Windows Server 2003 Routing i dostęp zdalny tylko. Obsługa po stronie serwera NAT-T protokołu IPsec nie zostanie dodana do usługi Windows 2000 Routing i dostęp zdalny.

Grupa Diffie-Hellmana 2048 aktualizacji

Skontaktowanie się z serwera dostępu zdalnego dla klientów protokołu L2TP/IPsec do negocjowania i korzystanie z aktualizacji Grupa Diffie-Hellmana 2048, musi obsługiwać tej grupy.

Uwaga Aby użyć Diffie-Hellmana 2048, jeśli na komputerze jest uruchomiony system Windows Server 2003, należy utworzyć podklucz rejestru. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz regedit, a następnie kliknij przyciskOK.
  2. Zlokalizuj i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. W menu Edycja wskaż polecenieNowy, a następnie kliknij polecenie Wartość DWORD.
  4. Typ NegotiateDH2048, a następnie naciśnij przycisk ENTER..
  5. Kliknij prawym przyciskiem myszy NegotiateDH2048, a następnie kliknij przycisk Modyfikuj.
  6. W polu Dane wartości wpisz1, a następnie kliknij przycisk OK.
  7. W menu Rejestr kliknij polecenieZakończ.

Inne

  • Sprzęt odciążający usługę IPsec
    Karty sieciowe odciążające usługę IPsec nie usuwają securityassociations, które zostały utworzone przy użyciu translatory adresów sieciowych.
  • Nowe funkcje są wyświetlane niepoprawnie
    Nowe funkcje, które włączono przy użyciu zasad 2003IPsec systemu Windows Server nie mogą być poprawnie wyświetlane w monitorze IPsec. W szczególności grupy DH2048 jest wyświetlany jako 268435457 i nazw filtrów dynamicznych (forexample, WINS lub DHCP) nie są wyświetlane na wszystkie (kolumna isblank).
  • Składnik IKE usługi wdrażania systemu Windows IPsecuses rozszerzony interfejs Winsock API funkcji, której wskaźnik jest ustalony bycalling metody WSAIoctl(). Jeśli wywołanie tej funkcji nie może przechodzić przez anyinstalled warstwy usługodawcy (LSP), protokół IPsec nie może nasłuchiwać na porcie usługi IKE.Protokół IPsec interpretuje to jako błąd składnika i odpowiednio reaguje (to znaczy, zwracany jest komunikat "Fail a Secure Mode"). Component'sinability IKE przez usługodawcę LSP może być spowodowane przez zainstalowane trzeciego partyprogram.

Ostrzeżenie Nieprawidłowa modyfikacja rejestru za pomocą Edytora rejestru lub inną metodą może spowodować poważne problemy. Problemy takie mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje, że możliwe będzie rozwiązanie tych problemów. Modyfikowanie rejestru na własne ryzyko. Aby zmienić zachowanie NAT-T protokołu IPsec na komputerze, na którym jest uruchomiony system Windows XP z dodatkiem SP2, należy utworzyć wartość rejestru AssumeUDPEncapsulationContextOnSendRule.

Domyślnie system Windows XP z dodatkiem SP2 nie obsługuje już skojarzenia zabezpieczeń IPsec NAT-T do serwerów, które znajdują się za translatora adresów sieciowych. Dlatego jeśli serwer wirtualnej sieci prywatnej (VPN) jest za translatora adresów sieciowych, domyślnie, klient sieci VPN z systemem Windows XP z dodatkiem SP2 nie może połączenie L2TP/IPsec na serwerze sieci VPN. Ten scenariusz obejmuje serwer sieci VPN z systemem Microsoft Windows Server 2003.

To domyślne zachowanie można również zapobiec komputerów z systemem Windows XP z dodatkiem SP2 z ustanawianiem połączeń pulpitu zdalnego protokołu L2TP/IPsec przy komputerze docelowym znajduje się za translatora adresów sieciowych.

Ze względu na sposób, że translatory adresów sieciowych translacji ruchu w sieci mogą wystąpić nieoczekiwane wyniki podczas umieścić serwer za translatora adresów sieciowych, a następnie użyć protokołu IPsec NAT-T. Jeśli wymagają protokołu IPsec dla komunikacji, zaleca się używanie publicznych adresów IP dla wszystkich serwerów, które można połączyć się bezpośrednio z Internetu.

Aby utworzyć i skonfigurować wartość rejestru AssumeUDPEncapsulationContextOnSendRule, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz regedit, a następnie kliknij przycisk OK.
  2. Zlokalizuj i kliknij następujący registrysubkey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij Wartość DWORD.
  4. Wpisz w polu Nowa wartość #1AssumeUDPEncapsulationContextOnSendRule, a następnie naciśnij klawisz ENTER.
  5. Kliknij prawym przyciskiem myszy AssumeUDPEncapsulationContextOnSendRule, a następnie kliknij polecenie Modyfikuj.
  6. W polu Dane wartości wpisz jedno z następujących wartości:
    • 0 (domyślnie)
      Wartość 0 (zero), skonfigurowanie systemu Windows tak, aby nie może ustanowić skojarzeń zabezpieczeń na serwerach znajdujących się za translatorami adresów sieciowych.
    • 1
      Wartość 1 skonfigurowanie systemu Windows tak, aby jego ustanowienia skojarzeń zabezpieczeń na serwerach znajdujących się za translatorami adresów sieciowych.
    • 2
      Wartość 2 skonfigurowanie systemu Windows tak, aby skojarzeń zabezpieczeń może ustalić, kiedy zarówno serwer, jak i na komputerze klienta systemu Windows XP z dodatkiem SP2 są za translatorami adresów sieciowych.
  7. Kliknij przycisk OK, a następnie zamknij Edytor rejestru.
  8. Uruchom ponownie komputer.

Informacje dotyczące systemu Windows XP service pack

Ta funkcja jest dostępna w najnowszy dodatek service pack dla systemu Windows XP (SP2). Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia go w bazie wiedzy Microsoft Knowledge Base:
322389 Jak uzyskać najnowszy dodatek service pack dla systemu Windows XP

Aktualizacja systemu Windows 2000

Aby pobrać tę aktualizację dla systemu Windows 2000, odwiedź następujące witryny firmy Microsoft w celu skorzystania z katalogu Microsoft Update znajdują się:
Wykazu usługi Microsoft Update
Wyszukaj identyfikator tego artykułu przy użyciu zaawansowanych opcji wyszukiwania w wykazu usługi Microsoft Update. Aby to zrobić, wykonaj następujące kroki:
  1. W witrynie sieci Web Microsoft Windows Update kliknij przyciskZnajdź aktualizacje dla systemów operacyjnych Microsoft Windows.
  2. Kliknij, aby zaznaczyć swój system operacyjny i język, a następnie kliknij przycisk Wyszukiwanie zaawansowane.

    Uwaga Musisz wybrać dodatku Service Pack 3 dla systemu Windows 2000 Professional lub Windows 2000 Professional z dodatkiem Service Pack 4. Wybranie innego systemu operacyjnego, aktualizacja nie jest zwracana w wyszukiwaniu.
  3. Wpisz w polu zawiera te słowa818043, a następnie kliknij przycisk Wyszukaj.
Aby uzyskać więcej informacji dotyczących sposobu pobierania aktualizacji z wykazu rozszerzenia Windows Update kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
323166 Jak pobierać aktualizacje i sterowniki z wykazu rozszerzenia Windows Update

Wymagania wstępne

Ten pakiet aktualizacji jest powinien być instalowany na komputerach z systemem Windows 2000 z dodatkiem Service Pack 3 (SP3) lub nowszym.

Wymaganie dotyczące ponownego uruchomienia

Ten pakiet aktualizacji wymaga ponownego uruchomienia komputera w celu włączenia nowych funkcji protokołu IPsec.

Informacje dotyczące zastępowania aktualizacji

Ta aktualizacja nie zastępuje żadnych innych aktualizacji.

Informacje dotyczące plików poprawki

Wersja anglojęzyczna tej poprawki ma atrybuty pliku (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć z karty Strefa czasowa w narzędziu Data i godzina w Panelu sterowania.
   Date         Time   Version        Size     File name
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)

Materiały referencyjne

Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
314067 Jak rozwiązywać problemy z łącznością TCP/IP w systemie Windows XP
257225 Podstawowe IPsec rozwiązywania problemów w systemie Microsoft Windows 2000 Server
816915 Nowy schemat nazewnictwa plików dla pakietów aktualizacji oprogramowania Microsoft Windows

Właściwości

Numer ID artykułu: 818043 - Ostatnia weryfikacja: 20 czerwca 2014 - Weryfikacja: 2.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix kbmt KB818043 KbMtpl
Przetłumaczone maszynowo
WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.
Anglojęzyczna wersja tego artykułu to: 818043

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com