Atualização do L2TP/IPsec NAT-T para o Windows XP e Windows 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 818043 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

A Microsoft lançou um pacote de atualização para aperfeiçoar a funcionalidade atual do protocolo de encapsulamento de camada 2 (L2TP) e Internet Protocol security (IPsec) em computadores que executam o Microsoft Windows 2000, o Microsoft Windows XP sem service packs instalados e o Windows XP com Service Pack 1 (SP1).Essa funcionalidade está incluída no Windows XP Service Pack 2 (SP2). Não é necessário instalar este pacote de atualização de computadores que executam o Windows XP com o service pack.

Esta atualização inclui melhorias ao IPsec suporte melhor os clientes rede virtual privada (VPN) que estejam usando dispositivos NAT (conversão) de endereço de rede. Se você aplicar essa atualização em um computador que está executando o Windows XP e se o serviço IPsec apresentar um erro de tempo de execução e não iniciar por algum motivo, o driver IPsec opera no modo de bloqueio pois não poderá proteger o tráfego de rede.

Observação O serviço IPsec aparece como "Serviços IPSEC" na lista de serviços do sistema.

Para obter mais informações sobre o service pack mais recente para o Windows XP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
322389 Como obter o service pack mais recente do Windows XP

Índice do artigo

Mais Informações

Novos recursos de IPsec e snap-ins de gerenciamento e monitoramento

  • Depois que você instala essa atualização, o Windows 2000 e com Windows XP L2TP/IPsecclients podem criar conexões IPsec usando um dispositivo NAT. O IPsec NAT-Tfunctionality novo baseia-se na IETF solicitações para comentários (RFC) 3193 e na versão 2 dos rascunhos originais do IETF IPsec NAT-TInternet. Clientes do Windows XP com o SP2 também têm essa connectivityoption aprimorada. NAT-T de IPsec está especificado atualmente nos RFCs 3947 e 3948.
  • O snap-in do Monitor de IPsec atualizado pode exibir que são computadores executando o Windows XP, mas somente se o computador baseado no Windows XP tem SP2installed.
  • O snap-in do Monitor de IPsec atualizado pode exibir computadores que arerunning Microsoft Windows Server 2003. Da mesma forma, computadores Windows Server 2003 canmonitor com base em Windows XP com o SP2 instalado.
  • Computadores que executam o Windows 2000 não podem ser monitoredwith este snap-in.
  • O novo gerenciamento de IPsec snap-in alterna para somente leitura normalAo encontra objetos que apresentem recursos avançados que werecreated no Windows Server 2003 (por exemplo, DH2048, mapeamento de certificado, ordynamic filtros). Esse comportamento faz com que o snap-in de objetos (por exemplo, regras, listas de filtro ou ofertas do modo principal) possam ser editados se eles containreferences a essas configurações. O snap-in Gerenciamento de IPsec alterna modeso de somente leitura que não é possível remover acidentalmente recursos avançados críticos.
  • Os Serviços IPsec atualizados em computerscan com base em Windows XP expõem a maior parte dos novos recursos que são fornecidos em um 2003policy do Windows Server.

    Observação Mapeamento de certificado não está disponível.
  • Se uma versão anterior da ferramenta IPseccmd for emuma instalado com o Windows XP (essa ferramenta não está disponível no Windows 2000), anupdated IPseccmd está instalado no unidade: Pasta de ferramentas de \ProgramFiles\Support.

    A IPseccmd atualizada possui os followingfeatures:
    • Registro de Internet Key Exchange (IKE) na verdade dinamicamente e desativar.
    • Ele exibe informações sobre uma diretiva atribuída no momento.
    • Ele permite que você crie uma diretiva IPsec persistente.
    Observação A versão anterior de IPseccmd não funciona em updatedcomputers e a IPseccmd atualizada não funciona em computadores que não são atualizados.

Interoperabilidade e problemas conhecidos

Regras de firewall e IPsec NAT-T

Como o suporte para a funcionalidade NAT-T IPsec baseia-se em IETF RFC 3193 e na versão 2 dos rascunhos originais de Internet do IETF NAT-T, para que esses serviços sejam executados por meio de um firewall, talvez você precise abrir as seguintes portas e protocolos nas regras de firewall:
  • Internet Key Exchange (IKE) - protocolo de datagrama de usuário (UDP) 500
  • NAT-T IPsec - UDP 4500
  • Encapsulating Security Payload (ESP) - protocolo de Internet (IP) protocolo 50

Situações suportadas usando NAT-T IPsec

As seguintes situações permitirão conexões baseadas em L2TP/IPsec NAT-T de IPsec. Nessas situações, Cliente é um cliente que esteja executando o Windows 2000 e que possui a atualização 818043 instalada ou é um computador com Windows XP que possui o SP2 instalado. Servidor é um servidor L2TP/IPsec que esteja executando o Windows Server 2003 e usando o roteamento e acesso remoto.
Cliente---> NAT---Internet--->Servidor

A única suportada e cenário recomendado é quando o Servidor não está atrás de um dispositivo NAT.
O servidor L2TP/IPsec também pode ser um produto de gateway de outra empresa que suporta conexões NAT-T.

Observação Se você aplicar a atualização 818043 for aplicada a um servidor com Windows 2000 que esteja usando o roteamento e acesso remoto, o servidor não poderá funcionar como um servidor L2TP/IPsec nessa situação. Ele não pode permitir conexões de clientes L2TP/IPsec que estão atrás de um ou mais dispositivos NAT. Esta atualização é apenas uma atualização de cliente. A funcionalidade NAT-T IPsec do servidor é um novo recurso somente no roteamento e acesso remoto. O suporte do servidor NAT-T IPsec não será adicionado ao roteamento e acesso remoto.

Atualização Diffie-Hellman grupo 2048

Para os clientes L2TP/IPsec negociar e usar a atualização Diffie-Hellman grupo 2048, o servidor de acesso remoto está sendo contatado também deve suportar esse grupo.

Observação Para usar Diffie-Hellman 2048, se o computador estiver executando o Windows Server 2003, você deve criar uma subchave do registro. Para fazer isso, siga estes passos:
  1. Clique em Iniciar, Executar, tipo Regedite, em seguida, clique emOK.
  2. Localize e, em seguida, clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. No menu Editar , aponte paranovoe, em seguida, clique em Valor DWORD.
  4. Digite NegotiateDH2048e, em seguida, pressione ENTER.
  5. Clique com botão direito NegotiateDH2048e thenclick Modificar.
  6. Na caixa dados do valor , digite1e, em seguida, clique em OK.
  7. No menu registro , clique emSair.

Outros

  • Hardware de descarregamento de IPsec
    Adaptadores de rede de descarga IPsec não descarregam securityassociations que foram criadas pelo uso de NATs.
  • Novos recursos não são exibidos corretamente
    Novos recursos que foram ativados usando uma diretiva de 2003IPsec do Windows Server podem não ser exibidos corretamente no monitor IPsec. Notavelmente, o grupo DH2048 é exibido como 268435457 e nomes de filtro dinâmicos (por exemplo, WINS ou DHCP) não são exibidos em todas as (a coluna ÉCÉL).
  • O componente IKE da implementação Windows de IPsecuses uma API Winsock estendida funcionar cujo ponteiro de função é determinado bycalling WSAIoctl (). Se essa chamada de função não puder passar por meio de anyinstalled em camada Service Provider (LSP), IPsec não conseguirá escutar na porta IKE.IPsec interpreta isso como uma falha do componente e reage adequadamente (ou seja, é retornada a uma mensagem de "Falha de modo de segurança"). O component'sinability de IKE para passar por um LSP pode ser causado por um terceiro-partyprogram instalado.

Aviso Podem ocorrer problemas graves se você modificar o registro incorretamente usando o Editor do Registro ou usando outro método. Esses problemas podem exigir que você reinstale seu sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modifique o registro por responsabilidade própria. Para alterar o comportamento NAT-T de IPsec para um computador que esteja executando o Windows XP SP2, você deve criar o valor do Registro AssumeUDPEncapsulationContextOnSendRule.

Por padrão, o Windows XP SP2 não suporta associações de segurança IPsec NAT-T com servidores localizados atrás de um conversor de endereços de rede. Portanto, se o servidor de rede virtual privada (VPN) estiver atrás de um conversor de endereços de rede, por padrão, um cliente VPN com base em Windows XP SP2 não pode fazer uma conexão L2TP/IPsec para o servidor VPN. Essa situação inclui um servidor VPN que está executando o Microsoft Windows Server 2003.

Esse comportamento padrão também pode impedir que computadores que estejam executando o Windows XP SP2 façam conexões de área de trabalho remota com o L2TP/IPsec quando o computador de destino estiver localizado atrás de um conversor de endereço de rede.

Devido ao modo como conversores de endereço de rede convertem o tráfego de rede, você pode enfrentar resultados inesperados ao colocar um servidor atrás de um conversor de endereços de rede e, em seguida, usar o IPsec NAT-T. Portanto, se precisar do IPsec para comunicação, recomendamos que você use endereços IP públicos para todos os servidores que você pode se conectar diretamente da Internet.

Para criar e configurar o valor do Registro AssumeUDPEncapsulationContextOnSendRule, execute estas etapas:
  1. Clique em Iniciar, Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize e, em seguida, clique em registrysubkey o seguinte:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. No menu Editar , aponte para novoe Valor DWORDthenclick.
  4. Na caixa novo valor #1, digite:AssumeUDPEncapsulationContextOnSendRule, e então pressione ENTER.
  5. Do mouse em AssumeUDPEncapsulationContextOnSendRulee, em seguida, clique em Modificar.
  6. Na caixa Dados do valor , digite um dos seguintes valores:
    • 0 (padrão)
      Um valor de 0 (zero) configura o Windows de forma que ele não possa estabelecer associações de segurança com servidores localizados atrás de conversores de endereço de rede.
    • 1
      Um valor de 1 configura o Windows para que ele possa estabelecer associações de segurança com servidores localizados atrás de conversores de endereço de rede.
    • 2
      Um valor de 2 configura o Windows para que ele possa estabelecer associações de segurança quando o servidor e o computador cliente com Windows XP SP2 estiverem atrás de um conversor de endereço de rede.
  7. Clique em OKe feche o Editor do registro.
  8. Reinicie o computador.

Informações sobre o service pack do Windows XP

Este recurso está disponível no service pack mais recente para o Windows XP (SP2). Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322389 Como obter o service pack mais recente do Windows XP

Atualização do Windows 2000

Para baixar essa atualização para o Windows 2000, visite o seguinte site da Microsoft para usar o catálogo do Microsoft Update:
Catálogo do Microsoft Update
Procure o número de identificação deste artigo usando o recurso opções de pesquisa avançada no catálogo do Microsoft Update. Para fazer isso, siga estes passos:
  1. No site do Microsoft Windows Update, clique emLocalizar atualizações para os sistemas operacionais Microsoft Windows.
  2. Clique para selecionar seu sistema operacional e idioma e, em seguida, clique em Pesquisa avançada.

    Observação Você deve selecionar Windows 2000 Professional Service Pack 3 ou Service Pack 4 do Windows 2000 Professional. Se você selecionar um sistema operacional diferente, a atualização não retornará na pesquisa.
  3. Na caixa contendo as palavras , digite 818043e, em seguida, clique em Pesquisar.
Para obter mais informações sobre como baixar atualizações do catálogo do Windows Update, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
323166 Como baixar atualizações que incluem drivers e os hotfixes do Catálogo do Windows Update

Pré-requisitos

Este pacote de atualização foi projetado para ser instalado em computadores que estejam executando o Windows 2000 com Service Pack 3 (SP3) ou versões posteriores.

Requisito de reinicialização

Este pacote de atualização requer que você reinicie o computador para ativar os novos recursos de IPsec.

Atualizar informações de substituição

Esta atualização não substitui outras atualizações.

Informações sobre o arquivo

A versão em inglês deste hotfix possui os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas em formato Tempo Universal Coordenado (UTC). Quando você exibir as informações do arquivo, ele é convertido para a hora local. Para localizar a diferença entre o UTC e a hora local, use o separador fuso horário na ferramenta Data e hora no painel de controlo.
   Date         Time   Version        Size     File name
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
314067 Como solucionar problemas de conectividade TCP/IP com o Windows XP
257225 Problemas de IPsec básicos no Microsoft Windows 2000 Server
816915 Novo esquema de nomeação de arquivos para pacotes de atualização de software do Microsoft Windows

Propriedades

ID do artigo: 818043 - Última revisão: sexta-feira, 20 de junho de 2014 - Revisão: 20.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix kbmt KB818043 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 818043

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com