ID do artigo: 818043 - Última revisão: segunda-feira, 7 de maio de 2012 - Revisão: 19.0

Atualização do L2TP/IPsec NAT-T para o Windows XP e Windows 2000

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sumário

A Microsoft lançou um pacote de atualização para aperfeiçoar a funcionalidade atual do protocolo (L2TP) e Internet Protocol security (IPsec) em computadores que executam o Microsoft Windows 2000, Microsoft Windows XP sem service packs instalados e Windows XP com Service Pack 1 (SP1).Essa funcionalidade está incluída no Windows XP Service Pack 2 (SP2). Computadores que executam o Windows XP com o service pack é necessário instalar este pacote de atualização.

Esta atualização inclui melhorias a IPsec para oferecer melhor suporte a clientes de rede virtual privada (VPN) que são por trás de dispositivos NAT (conversão) de endereço de rede. Se você aplicar esta atualização para um computador que está executando o Windows XP, e se o serviço IPsec encontrar um Erro de tempo de execução e não pode começar por qualquer motivo, o IPsec opera driver modo de bloqueio porque ele não pode proteger o tráfego de rede.

Observação O serviço IPsec aparece como "Serviços IPSEC" na lista de serviços do sistema.

Para obter mais informações sobre as mais recentes Service pack para Windows XP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322389  (http://support.microsoft.com/kb/322389/ ) Como Para obter o service pack mais recente do Windows XP
Voltar para o início

Índice do artigo

Voltar para o início

Mais Informações

Voltar para o início

Novos recursos de IPsec e snap-ins de gerenciamento e Monitor

  • Depois de instalar esta atualização, o Windows 2000 e o L2TP/IPsec com base no Windows XP os clientes podem criar conexões IPsec atrás de um dispositivo NAT. Novo IPsec NAT-T funcionalidade é baseada na IETF solicitações para comentários (RFC) 3193 e versão 2 do original IETF NAT-T IPsec Rascunhos da Internet. Clientes do Windows XP com SP2 também têm essa conectividade avançada opção. IPsec NAT-T no momento é especificado nos RFCs 3947 e 3948.
  • O snap-in Monitor de IPsec atualizado pode exibir computadores que executando o Windows XP, mas somente se o computador baseado no Windows XP com SP2 instalado.
  • O snap-in Monitor de IPsec atualizado pode exibir computadores que são executando o Microsoft Windows Server 2003. Da mesma forma, o Windows Server 2003 pode Monitore computadores baseados no Windows XP com SP2 instalado.
  • Computadores que executam o Windows 2000 não podem ser monitorados com este snap-in.
  • O novo snap-in Gerenciamento de IPsec alterna para o modo somente leitura Quando encontra objetos que contêm recursos avançados que foram criado no Windows Server 2003 (por exemplo, DH2048, mapeamento de certificado, ou filtros dinâmicos). Esse comportamento faz com que o snap-in de objetos (por exemplo, regras, listas de filtros, ou ofertas de modo principal) para se tornar não editável se eles contiverem referências a essas novas configurações. O snap-in Gerenciamento de IPsec alterna para o modo somente leitura para que ele não é possível remover acidentalmente recursos críticos avançados.
  • Os serviços IPsec atualizados em computadores baseados no Windows XP pode expor a maior parte dos novos recursos fornecidos no Windows Server 2003 diretiva.

    Observação Mapeamento de certificado não está disponível.
  • Se uma versão anterior da ferramenta IPseccmd está instalada no um computador baseado no Windows XP (essa ferramenta não está disponível no Windows 2000), um IPseccmd atualizada estará instalada na unidade: \Arquivos de programas Pasta de programas\Support Tools.

    A IPseccmd atualizada possui os seguintes recursos:
    • Ele transforma dinamicamente Internet Key Exchange (IKE) efetuar logon e logoff.
    • Ele exibe informações sobre atribuída no momento diretiva.
    • Permite que você crie um IPsec persistente diretiva.
    Observação A versão anterior de IPseccmd não funciona em atualizado computadores e a IPseccmd atualizada não funciona em computadores que não são atualizados.
Voltar para o início

Interoperabilidade e problemas conhecidos

Regras de firewall e IPsec NAT-T

Porque o suporte para a funcionalidade NAT-T IPsec é baseado em IETF RFC 3193 e versão 2 dos rascunhos originais de Internet do IETF NAT-T, esses serviços executados através de um firewall, talvez seja necessário abrir as seguintes portas e protocolos de regras de firewall:
  • Internet Key Exchange (IKE) - protocolo de datagrama de usuário (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) - Internet Protocol (IP) protocolo 50

Situações suportadas usando NAT-T IPsec

As seguintes situações permitirão para baseadas em L2TP/IPsec NAT-T IPsec conexões. Nessas situações, Cliente é um cliente executando o Windows 2000 e que possui a atualização 818043 instalada ou é um Computador com XP Windows que tem o SP2 instalado. Servidoré um servidor L2TP/IPsec que está executando o Windows Server 2003 e que está usando Roteamento e acesso remoto.
Cliente----> NAT----Internet---->Servidor

A única suportada e cenário recomendado é quando o Servidor não está atrás de um dispositivo NAT.
O servidor L2TP/IPsec também pode ser de terceiros produto de gateway que suporta conexões NAT-T.

Observação Se você aplicar atualização 818043 para um servidor baseado no Windows 2000 usando o roteamento e acesso remoto, o servidor não pode funcionar como um Servidor L2TP/IPsec nessa situação. Não é possível permitir conexões de Clientes L2TP/IPsec que estão atrás de um ou mais dispositivos NAT. Esta atualização é um atualização do lado do cliente somente. A funcionalidade NAT-T IPsec do servidor é um novo recurso Windows Server 2003 roteamento e acesso remoto apenas. Suporte do NAT-T IPsec do servidor não será adicionado ao roteamento e acesso remoto.

Atualização Diffie-Hellman Grupo 2048

Para clientes L2TP/IPsec negociar e use a atualização do grupo Diffie-Hellman 2048, o acesso remoto servidor sendo contatado deve também oferecer suporte a esse grupo.

Observação Para usar Diffie-Hellman 2048, se o computador está executando o Windows Server 2003, você deve criar uma subchave do registro. Para fazer isso, siga estas etapas:
  1. Clique em Início, clique em Executar, tipo Regedite clique emOK.
  2. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Sobre o Editar aponte paraNovoe clique em Valor DWORD.
  4. Tipo NegotiateDH2048e pressione DIGITE.
  5. Direito NegotiateDH2048e depois Clique em Modificar.
  6. No Dados do valor caixa, digite1e clique em OK.
  7. Sobre o Registro menu, clique emSair.

Outros

  • Hardware de descarregamento de IPsec
    Adaptadores de rede de descarregamento de IPsec não descarregam segurança associações que foram criadas por meio de NATs.
  • Novos recursos não são exibidos corretamente
    Novos recursos que foram ativados usando o Windows Server 2003 Diretiva IPsec pode não ser exibida corretamente no monitor IPsec. Notavelmente, o grupo DH2048 é exibido como 268435457 e nomes de filtro dinâmico (para exemplo, WINS ou DHCP) não são exibidos em todos (a coluna é em branco).
  • O componente IKE da implementação de IPsec do Windows usa uma função de API Winsock estendida cujo ponteiro de função é determinado pelo chamando WSAIoctl (). Se essa chamada de função não pode passar por qualquer instalado o provedor de serviço em camadas (LSP), IPsec não pode escutar na porta IKE. IPsec interpreta isso como uma falha do componente e reage adequadamente (isto é, uma mensagem "Falha ao modo de segurança" é retornada). O componente IKE Incapacidade de passar por um LSP pode ser causada por um terceiro instalado programa.

Aviso Podem ocorrer sérios problemas se você modificar o registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro em seu próprio risco. Para alterar o comportamento do IPsec NAT-T para um computador que está o Windows XP SP2, você deve criar o AssumeUDPEncapsulationContextOnSendRule valor do registro.

Por padrão, o Windows XP SP2 não mais oferece suporte a associações de segurança IPsec NAT-T com servidores localizados atrás de um Conversor de endereços de rede. Portanto, se o seu virtual private network (VPN) servidor está atrás de um conversor de endereço de rede, por padrão, um Windows XP Cliente VPN SP2 não pode fazer uma conexão L2TP/IPsec para o servidor VPN. Este cenário inclui um servidor VPN que está executando o Microsoft Windows Server 2003.

Esse comportamento padrão também pode impedir que computadores que estejam executando o Windows XP SP2 façam remoto Conexões de área de trabalho com L2TP/IPsec quando o computador de destino está localizado atrás de um conversor de endereço de rede.

Devido a forma de rede Conversores de endereço de convertem o tráfego de rede, você pode enfrentar inesperados resultados quando você coloca um servidor atrás de um conversor de endereço de rede e usar IPsec NAT-t. Portanto, se você exigir IPsec para comunicação, recomendamos que você use endereços IP públicos para todos os servidores que você pode se conectar diretamente da Internet.

Para criar e configurar o AssumeUDPEncapsulationContextOnSendRule registro de valor, execute estas etapas:
  1. Clique em Início, clique em Executar, tipo Regedite clique em OK.
  2. Localize e clique no seguinte registro: subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Sobre o Editar aponte para Novoe depois Clique em Valor DWORD.
  4. Na caixa novo valor # 1, digiteAssumeUDPEncapsulationContextOnSendRule, e pressione ENTER.
  5. Direito AssumeUDPEncapsulationContextOnSendRule, e, em seguida, clique em Modificar.
  6. No Dados do valor caixa, digite um dos seguintes valores:
    • 0 (padrão)
      O valor 0 (zero) configura o Windows para que ele não é possível estabelecer associações de segurança com servidores localizados atrás de conversores de endereço de rede.
    • 1
      Um valor de 1 configura o Windows para que ele possa estabelecer associações de segurança com servidores localizados atrás de rede tradutores de endereço.
    • 2
      Um valor 2 configura o Windows para que ele possa estabelecer associações de segurança quando o servidor e o Windows XP Computador cliente com o SP2 estão atrás de conversores de endereço de rede.
  7. Clique em OKe então feche o Editor do registro.
  8. Reinicie o computador.
Voltar para o início

Informações sobre o service pack do Windows XP

Este recurso está disponível no service pack mais recente para o Windows XP (SP2). Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322389  (http://support.microsoft.com/kb/322389/ ) Como obter o service pack mais recente do Windows XP
Voltar para o início

Atualização do Windows 2000

Para baixar essa atualização para o Windows 2000, vá para o seguinte site da Microsoft para usar o catálogo do Microsoft Update:
Catálogo do Microsoft Update (http://catalog.update.microsoft.com/v7/site/Home.aspx)
Procure o número de identificação deste artigo usando as opções de pequisa avançada no catálogo do Microsoft Update. Para fazer isso, siga estas etapas:
  1. No site Microsoft Windows Update, clique emLocalizar atualizações para sistemas operacionais Microsoft Windows.
  2. Clique para selecionar seu sistema operacional e idioma e clique em Pesquisa avançada.

    Observação Você deve selecionar Windows 2000 Professional Service Pack 3 ou Windows 2000 Professional Service Pack 4. Se você selecionar um sistema operacional diferente, a atualização não é retornada na pesquisa.
  3. No Contém essas palavras caixa, digite 818043e clique em Pesquisa.
Para obter mais informações sobre como fazer o download atualizações do catálogo do Windows Update, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
323166  (http://support.microsoft.com/kb/323166/ ) Como baixar atualizações que incluem drivers e os hotfixes do Windows Update

Pré-requisitos

Este pacote de atualização é projetado para ser instalado em computadores que executando o Windows 2000 com Service Pack 3 (SP3) ou versões posteriores.

Requisito de reinicialização

Este pacote de atualização requer que você reinicie o computador Habilite novos recursos de IPsec.

Atualizar informações de substituição

Esta atualização não substitui outras atualizações.

Informações do arquivo

A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas no tempo Universal Coordenado (UTC). Quando você exibir as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a Fuso horário guia na ferramenta Data e hora no painel de controle.
   Date         Time   Version        Size     File name
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)
Voltar para o início

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
314067  (http://support.microsoft.com/kb/314067/ ) Como solucionar problemas de conectividade TCP/IP com o Windows XP
257225   (http://support.microsoft.com/kb/257225/ ) Básico IPsec para solução de problemas no Microsoft Windows 2000 Server
816915  (http://support.microsoft.com/kb/816915/ ) Novo arquivo esquema para nomeação para pacotes de atualização de software do Microsoft Windows
Voltar para o início
A informação contida neste artigo aplica-se a:
Voltar para o início
Palavras-chave: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix kbmt KB818043 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 818043  (http://support.microsoft.com/kb/818043/en-us/ )
Voltar para o início