Artigo: 818043 - Última revisão: domingo, 15 de Maio de 2011 - Revisão: 19.0

Actualização de L2TP/IPsec NAT-T para o Windows XP e Windows 2000

Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

A Microsoft publicou um pacote de actualização para melhorar a funcionalidade actual do protocolo de túnel de camada 2 (L2TP, Layer Two Tunneling Protocol) e da segurança do protocolo Internet (IPSec, Internet Protocol security) em computadores com o Microsoft Windows 2000 e Microsoft Windows XP sem Service Packs instalados e em computadores com o Windows XP com o Service Pack 1 (SP1). Esta funcionalidade está incluída no Windows XP Service Pack 2 (SP2). Os computadores que tenham o Windows XP com um Service Pack não têm de instalar este pacote de actualização.

Esta actualização inclui melhorias da IPsec para um melhor suporte dos clientes de rede privada virtual (VPN, Virtual Private Network) protegidos por dispositivos de conversão de endereços de rede (NAT, Network Address Translation). Se aplicar esta actualização a um computador com o Windows XP e se o serviço IPsec encontrar um erro de execução e não conseguir iniciar por algum motivo, o controlador IPsec funcionará em modo de bloqueio por não conseguir proteger o tráfego de rede.

Nota o serviço IPsec é apresentado como "Serviços IPSEC" na lista dos serviços do sistema.

Para obter mais informações sobre o Service Pack mais recente do Windows XP, clique no número de artigo seguinte para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
322389  (http://support.microsoft.com/kb/322389/ ) Como obter o Service Pack mais recente do Windows XP
Voltar ao topo

Conteúdo do artigo

Voltar ao topo

Mais Informação

Voltar ao topo

Novas funcionalidades e snap-ins de gestão e monitorização da IPsec

  • Depois de instalar esta actualização, os clientes L2TP/IPsec com o Windows 2000 e Windows XP podem criar ligações IPsec por trás de um servidor NAT. A nova funcionalidade NAT-T da IPsec é baseado no RFC 3193 da IETF e na versão 2 do Internet draft original do IPsec NAT-T da IETF. Os clientes Windows XP com o SP2 também dispõem desta opção de conectividade melhorada. O IPsec NAT-T encontra-se actualmente especificado nos RFCs 3947 e 3948.
  • O snap-in de monitorização da IPsec actualizado pode ver computadores com o Windows XP, mas apenas se o computador com o Windows XP tiver o SP2 instalado.
  • O snap-in de monitorização da IPsec actualizado pode ver computadores com o Microsoft Windows Server 2003. Do mesmo modo, o Windows Server 2003 pode monitorizar os computadores com o Windows XP que tenham o SP2 instalado.
  • Os computadores com o Windows 2000 não podem ser monitorizados com este snap-in.
  • O novo snap-in de gestão da IPsec muda para o modo só de leitura quando encontra objectos de política que contenham funcionalidades avançadas criadas no Windows Server 2003 (por exemplo, DH2048, mapeamento de certificados ou filtros dinâmicos). Este comportamento torna os objectos de snap-in (por exemplo, regras, listas de filtros ou ofertas do modo principal) não editáveis se incluírem referências a estas novas definições. O snap-in de gestão da IPsec muda para o modo só de leitura para não remover acidentalmente funcionalidades avançadas críticas.
  • Os serviços IPsec actualizados em computadores com o Windows XP podem expor a maioria das novas funcionalidades fornecidas numa política do Windows Server 2003.

    Nota o mapeamento de certificados não está disponível.
  • Se estiver instalada uma versão mais antiga da ferramenta IPseccmd num computador com o Windows XP (esta ferramenta não está disponível no Windows 2000), será instalada uma IPseccmd actualizada na pastaunidade:\Programas\Support Tools.

    A IPseccmd actualizada tem as seguintes funcionalidades:
    • Activa e desactiva o registo da troca de chaves da Internet (IKE, Internet Key Exchange) dinamicamente.
    • Apresenta informações sobre a política actualmente atribuída.
    • Permite-lhe criar uma política IPsec persistente.
    Nota a versão anterior de IPseccmd não funciona em computadores actualizados e a IPseccmd actualizada não funciona em computadores não actualizados.
Voltar ao topo

Interoperabilidade e problemas conhecidos

Regras de IPsec NAT-T e firewall

Visto que o suporte para o IPsec NAT-T foi concebido com base no RFC 3193 da IETF e na versão 2 dos Internet drafts originais do NAT-T da IETF, para estes serviços serem executados através de um firewall poderá ser necessário abrir as seguintes portas e protocolos nas regras do firewall:
  • Internet Key Exchange (IKE) - UDP 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) - Protocolo IP 50

Cenários suportados utilizando NAT-T

Os seguintes cenários irão permitir ligações IPsec NAT-T baseadas no L2TP/IPsec com êxito. Nestes cenários,Cliente é um cliente com o Windows 2000 que tenha a actualização 818043 instalada ou um computador baseado no Windows XP com o SP2 instalado. Servidor é um servidor de L2TP/IPsec com o Windows Server 2003 que utiliza o serviço Encaminhamento e acesso remoto.
Cliente----> NAT ----Internet---->Servidor

O único cenário suportado e recomendado é quando o Servidor não está localizado atrás de um dispositivo NAT.
O servidor de L2TP/IPsec pode igualmente ser um produto de gateway de outros fabricantes que suporte ligações NAT-T.

Nota: se aplicar a actualização 818043 a um servidor baseado no Windows 2000 com o serviço Encaminhamento e acesso remoto em execução, o servidor não pode funcionar como um servidor de L2TP/IPsec neste cenário. O servidor não pode suportar ligações de clientes L2TP/IPsec localizados atrás de um ou mais dispositivos NAT. Esta actualização destina-se apenas ao lado do cliente. A funcionalidade IPsec NAT-T do lado do servidor é uma nova funcionalidade apenas do serviço Encaminhamento e acesso remoto do Windows Server 2003. O suporte para IPsec NAT-T do lado do servidor não será adicionado ao serviço Encaminhamento e acesso remoto do Windows 2000.

Actualização Diffie-Hellman Group 2048

Para que os clientes L2TP/IPsec negoceiem e utilizem a actualização Diffie-Hellman Group 2048, o servidor de acesso remoto contactado também tem de suportar este grupo.

Nota para utilizar o Diffie-Hellman 2048, tem de criar uma subchave de registo se o computador estiver a utilizar o Windows Server 2003. Para o fazer, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Escreva NegotiateDH2048 e prima ENTER.
  5. Clique com o botão direito do rato em NegotiateDH2048 e clique em Modificar.
  6. Na caixa Dados do valor, escreva 1 e clique em OK.
  7. No menu Registo, clique em Sair.

Outras

  • Hardware de offload da IPSec
    As placas de rede de offload da IPsec não efectuam o offload de associações de segurança criadas com NATs.
  • As novas funcionalidades não são apresentadas correctamente
    As novas funcionalidades activadas através da utilização de uma política IPsec do Windows Server 2003 podem não ser correctamente apresentadas no monitor de IPsec. Nomeadamente, o grupo DH2048 é apresentado como 268435457 e os nomes de filtros dinâmicos (por exemplo, WINS ou DHCP) não são sequer apresentados (a coluna está em branco).
  • O componente IKE da implementação IPsec do Windows utiliza uma função expandida da API Winsock cujo apontador da função é determinado invocando WSAIoctl(). Se a passagem desta invocação da função não for permitida através de nenhum LSP, a IPsec não consegue escutar na porta IKE. A IPsec interpreta isto como uma falha do componente e reage de forma adequada (ou seja, é devolvida uma mensagem "Fail to a Secure Mode"). A incapacidade do componente IKE de passar através de um LSP pode dever-se à instalação de um programa de outros fabricantes.

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de registo ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador. Para alterar o comportamento do IPsec NAT-T num computador com o Windows XP SP2, tem de criar o valor de registo AssumeUDPEncapsulationContextOnSendRule.

Por predefinição, o Windows XP SP2 já não suporta as associações de segurança do IPsec NAT-T a servidores localizados atrás de um NAT. Consequentemente, se o servidor VPN estiver localizado atrás de um conversor de endereços de rede, por predefinição um cliente VPN com o Windows XP SP2 não poderá estabelecer uma ligação L2TP/IPsec com o servidor VPN. Este cenário inclui um servidor VPN com o Microsoft Windows Server 2003.

Este comportamento predefinido também pode impedir os computadores com o Windows XP SP2 de estabelecerem ligações de Ambiente de trabalho remoto com o L2TP/IPsec quando o computador de destino estiver localizado atrás de um conversor de endereços de rede.

Devido ao modo como os conversores de endereços de rede convertem o tráfego de rede, poderá observar resultados inesperados se colocar um servidor atrás de um NAT e, em seguida, utilizar o IPsec NAT-T. Consequentemente, se necessitar da IPsec para comunicação, recomendamos que utilize endereços IP públicos para todos os servidores aos quais consiga aceder directamente a partir da Internet.

Para criar e configurar o valor de registo AssumeUDPEncapsulationContextOnSendRule, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Na caixa Novo valor #1, escreva AssumeUDPEncapsulationContextOnSendRule e prima ENTER.
  5. Clique com o botão direito do rato em AssumeUDPEncapsulationContextOnSendRule e clique em Modificar.
  6. Na caixa Dados de valor, escreva um dos seguintes valores:
    • 0 (predefinição)
      Um valor de 0 (zero) configura o Windows de modo a que não consiga estabelecer associações de segurança com os servidores que estejam localizados atrás de conversores de endereços de rede.
    • 1
      Um valor de 1 configura o Windows de modo a que consiga estabelecer associações de segurança com os servidores que estejam localizados atrás de conversores de endereços de rede.
    • 2
      Um valor de 2 configura o Windows de modo a que consiga estabelecer associações de segurança quando o servidor e o cliente com o Windows XP SP2 estiverem atrás de conversores de endereços de rede.
  7. Clique em OK e saia do Editor de registo.
  8. Reinicie o computador.
Voltar ao topo

Informações sobre o Service Pack do Windows XP

Esta funcionalidade está disponível no Service Pack mais recente do Windows XP (SP2). Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
322389  (http://support.microsoft.com/kb/322389/ ) Como obter o Service Pack mais recente do Windows XP
Voltar ao topo

Actualização do Windows 2000

Para transferir esta actualização do Windows 2000, visite o seguinte Web site da Microsoft para utilizar o catálogo do Microsoft Windows Update:
http://v4.update.microsoft.com/catalog (http://v4.update.microsoft.com/catalog)
Procure o número de ID deste artigo utilizando a funcionalidade Opções de procura avançada do catálogo do Windows Update. Para o fazer, siga estes passos:
  1. No Web site Microsoft Windows Update, clique em Localizar actualizações para sistemas operativos Microsoft Windows.
  2. Seleccione o seu sistema operativo e idioma e clique em Procura avançada.

    Nota Tem de seleccionar o Windows 2000 Professional Service Pack 3 ou o Windows 2000 Professional Service Pack 4. Se seleccionar outro sistema operativo, a actualização não será devolvida pela procura.
  3. Na caixa Contém estas palavras, escreva 818043 e clique em Procurar.
Para obter mais informações sobre como transferir actualizações a partir do catálogo do Windows Update, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
323166  (http://support.microsoft.com/kb/323166/ ) Como transferir actualizações do Windows e de controladores a partir do catálogo do Windows Update

Pré-requisitos

Este pacote de actualização foi concebido para ser instalado em computadores com o Windows 2000 com o Service Pack 3 (SP3) ou posterior.

Necessidade de reinício

Este pacote de actualização requer o reinício do computador para activar as novas funcionalidades da IPsec.

Informações sobre a substituição de actualizações

Esta actualização não substitui quaisquer outras actualizações.

Informações sobre os ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro listados na tabela que se segue (ou atributos de ficheiro posteriores). As datas e horas destes ficheiros são indicadas no formato da hora universal coordenada (UTC, Coordinated Universal Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a hora UTC e a hora local, utilize o separador Fuso horário da ferramenta Data e hora do Painel de controlo.
   Data         Hora   Versão         Tamanho  Ficheiro
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56 bits)
Voltar ao topo

Referências

Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
314067  (http://support.microsoft.com/kb/314067/ ) Como resolver problemas de conectividade TCP/IP com o Windows XP
257225   (http://support.microsoft.com/kb/257225/ ) Basic IPsec troubleshooting in Microsoft Windows 2000 Server
816915  (http://support.microsoft.com/kb/816915/ ) New file naming schema for Microsoft Windows software update packages
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Voltar ao topo
Palavras-chave: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
Voltar ao topo