Actualizarea L2TP/IPsec NAT-T pentru Windows XP și Windows 2000

Traduceri articole Traduceri articole
ID articol: 818043 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

REZUMAT

Microsoft a lansat un pachet de actualizare pentru a îmbunătăți funcționalitatea curentă L2TP (Layer Two Tunneling Protocol) și IPsec (Internet Protocol security) pe computerele pe care se execută Microsoft Windows 2000 și Microsoft Windows XP fără pachete service pack instalate și Windows XP cu Service Pack 1 (SP1). Această funcționalitate este inclusă în Windows XP Service Pack 2 (SP2). Instalarea acestui pachet de actualizare nu este necesară pentru computerele care execută Windows XP cu un pachet service pack.

Această actualizare include îmbunătățiri pentru IPsec pentru a oferi un suport mai bun clienților de rețea virtuală privată (VPN) care sunt în spatele unor dispozitive Network Address Translation (NAT). Dacă aplicați această actualizare pe un computer pe care se execută Windows XP și dacă serviciul IPsec întâlnește o eroare de execuție și nu poate porni din orice motiv, driverul IPsec funcționează în modul de blocare, deoarece nu poate securiza traficul din rețea.

Notă Serviciul IPsec apare ca „IPSEC services” în lista serviciilor de sistem.

Pentru mai multe informații despre cel mai recent pachet service pack pentru Windows XP, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
322389 Cum se obține cel mai recent Service pack pentru Windows XP

Articolul conține

INFORMAȚII SUPLIMENTARE

Caracteristici noi IPsec și utilitarele de completare snap-in Management și Monitor

  • După ce instalați această actualizare, clienții L2TP/IPsec Windows 2000 și Windows XP pot crea conexiuni IPsec din spatele unui dispozitiv NAT. Noua funcționalitate IPsec NAT-T se bazează pe IETF Requests for Comments (RFC) 3193 și versiunea 2 a schițelor Internet IETF IPsec NAT-T. Clienții Windows XP care au SP2 au și această opțiune de conectivitate îmbunătățită. IPsec NAT-T este specificat în prezent în RFC-urile 3947 și 3948.
  • Utilitarul de completare snap-in actualizat Monitor IPsec poate vizualiza computerele pe care se execută Windows XP, dar numai dacă acestea au instalat SP2.
  • Utilitarul de completare snap-in actualizat Monitor IPsec poate vizualiza computerele pe care se execută Microsoft Windows Server 2003. Similar, Windows Server 2003 poate monitoriza computerele Windows XP care au instalat SP2.
  • Computerele pe care se execută Windows 2000 nu pot fi monitorizate cu acest utilitar de completare snap-in.
  • Noul utilitar de completare snap-in IPsec Management se comută la modul doar în citire atunci când întâlnește obiecte de politică ce conțin caracteristici complexe care au fost create în Windows Server 2003 (de exemplu, DH2048, Certificate Mapping sau filtre dinamice). Acest comportament determină ca obiectele utilitarului de completare snap-in (de exemplu, reguli, liste de filtrare sau oferte de mod principal) să devină ne-editabile în cazul în care conțin referințe la aceste setări noi. Utilitarul de completare snap-in Management din IPsec se comută la modul doar în citire pentru a nu elimina din greșeală caracteristici complexe critice.
  • Serviciile IPsec actualizate pe computerele Windows XP pot expune majoritatea caracteristicilor noi care sunt furnizate într-o politică Windows Server 2003.

    Notă Opțiunea Certificate Mapping nu este disponibilă.
  • Dacă o versiune anterioară a instrumentului IPseccmd este instalată pe un computer Windows XP (acest instrument nu este disponibil în Windows 2000), se instalează un IPseccmd actualizat în folderul unitate:\Program Files\Support Tools.

    Instrumentul IPseccmd actualizat are următoarele caracteristici:
    • Activează și dezactivează dinamic înregistrarea în jurnalul IKE (Internet Key Exchange).
    • Afișează informații despre o politică atribuită în mod curent.
    • Permite crearea unei politici persistente IPsec.
    Notă Versiunea anterioară a IPseccmd nu funcționează pe computere actualizate, iar IPseccmd actualizat nu funcționează pe computere care nu sunt actualizate.

Interoperabilitate și probleme cunoscute

IPsec NAT-T și reguli pentru paravanul de protecție

Deoarece suportul pentru funcționalitatea IPsec NAT-T se bazează pe IETF RFC 3193 și versiunea 2 a schițelor Internet originale IETF NAT-T, pentru ca aceste servicii să se execute printr-un paravan de protecție, este posibil să fie necesară deschiderea următoarelor porturi și protocoale în regulile paravanului de protecție:
  • Internet Key Exchange (IKE) - User Datagram Protocol (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) - Internet Protocol (IP) protocol 50

Scenarii acceptate utilizând IPsec NAT-T

Următoarele scenarii vor permite cu succes conexiunile IPsec NAT-T bazate pe L2TP/IPsec. În aceste scenarii, Client este un client care execută Windows 2000 și care are instalată actualizarea 818043 sau este un computer Windows XP cu SP2 instalat. Server este un server L2TP/IPsec pe care se execută Windows Server 2003 și care execută Routing and Remote Access.
Client----> NAT ----Internet---->Server

Singurul scenariu acceptat și recomandat este când Server nu se află în spatele unui dispozitiv NAT.
Serverul L2TP/IPsec poate fi și un produs gateway terț care acceptă conexiuni NAT-T.

Notă Dacă aplicați actualizarea 818043 unui server Windows 2000 care utilizează Routing and Remote Access, serverul nu poate funcționa ca server L2TP/IPsec în acest scenariu. Nu poate permite conexiunile de la clienții L2TP/IPsec care se află în spatele unuia sau mai multor dispozitive NAT. Această actualizare este numai de partea clientului. Funcționalitatea IPsec NAT-T de partea serverului este o caracteristică nouă, disponibilă numai în Routing and Remote Access din Windows Server 2003. Suportul de partea serverului IPsec NAT-T nu va fi adăugat la Routing and Remote Access din Windows 2000.

Actualizarea Diffie-Hellman Group 2048

Pentru ca actualizarea Diffie-Hellman Group 2048 să fie negociată și utilizată de clienții L2TP/IPsec, serverul acces la distanță care este contactat trebuie să accepte și el acest grup.

Notă Pentru a utiliza Diffie-Hellman 2048, în cazul în care computerul execută Windows Server 2003, trebuie să creați o subcheie de registry. Pentru aceasta, urmați acești pași:
  1. Faceți clic pe Start, pe Run, tastați regedit, apoi faceți clic pe OK.
  2. Găsiți și faceți clic pe următoarea subcheie de registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. În meniul Edit, indicați spre New, apoi faceți clic pe DWORD Value.
  4. Tastați NegotiateDH2048, apoi apăsați pe ENTER.
  5. Faceți clic cu butonul din dreapta pe NegotiateDH2048, apoi faceți clic pe Modify.
  6. În caseta Value data, tastați 1, apoi faceți clic pe OK.
  7. În meniul Registry, faceți clic pe Exit.

Altele

  • Hardware de descărcare IPsec
    Adaptoarele de rețea de descărcare IPsec nu descarcă asocierile de securitate care au fost create utilizând dispozitive NAT.
  • Caracteristicile noi nu sunt afișate corect
    Caracteristicile noi care au fost activate utilizând o politică IPsec Windows Server 2003 pot să nu se afișeze corect în monitorul IPsec. Cel mai important, grupul DH2048 este afișat ca 268435457, iar numele de filtre dinamice (de exemplu, WINS sau DHCP) nu se afișează deloc (coloana este goală).
  • Componenta IKE a implementării Windows a IPsec utilizează o funcție extinsă API Winsock, al cărui indicator de funcție este determinat de apelarea WSAloctl(). Dacă această apelare de funcție nu poate trece prin oricare dintre LSP-urile (Layered Service Provider) instalate, IPsec nu poate asculta pe portul IKE. IPsec interpretează aceasta ca pe o eroare a componentei și reacționează în consecință (adică se returnează mesajul „Fail to a Secure Mode”). Incapacitatea componentei IKE de a trece printr-un LSP poate fi cauzată de un program terț instalat.

Avertisment Pot apărea probleme grave dacă modificați incorect registry utilizând Registry Editor sau altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi remediate. Modificați registry pe propriul risc. Pentru a schimba comportamentul IPsec NAT-T pentru un computer pe care se execută Windows XP SP2, trebuie să creați valoarea de registry AssumeUDPEncapsulationContextOnSendRule.

În mod implicit, Windows XP SP2 nu mai acceptă asocierile de securitate IPsec NAT-T pentru serverele care se află în spatele unui NAT. De aceea, dacă serverul de rețea virtuală privată (VPN) se află în spatele unui NAT, atunci, implicit, un client VPN Windows XP SP2 nu poate realiza o conexiune L2TP/IPsec la serverul VPN. Acest scenariu include un server VPN pe care se execută Microsoft Windows Server 2003.

Acest comportament poate, de asemenea, să împiedice computerele pe care se execută Windows XP SP2 de la efectuarea conexiunilor de tip Spațiu de lucru la distanță cu L2TP/IPsec atunci când computerul destinație se află în spatele unui NAT.

Din cauza modului în care dispozitivele NAT efectuează translatarea traficului de rețea, este posibil să apară rezultate neașteptate atunci când puneți un server în spatele unui NAT și utilizați apoi IPsec NAT-T. De aceea, dacă solicitați comunicație de la IPsec, se recomandă să utilizați adrese IP publice pentru toate serverele la care vă conectați direct din Internet.

Pentru a crea și configura valoarea registry AssumeUDPEncapsulationContextOnSendRule, urmați acești pași:
  1. Faceți clic pe Start, pe Run, tastați regedit, apoi faceți clic pe OK.
  2. Găsiți și faceți clic pe următoarea subcheie de registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. În meniul Edit, indicați spre New, apoi faceți clic pe DWORD Value.
  4. În caseta New Value #1, tastați AssumeUDPEncapsulationContextOnSendRule, apoi apăsați ENTER.
  5. Faceți clic cu butonul din dreapta pe AssumeUDPEncapsulationContextOnSendRule, apoi pe Modify.
  6. În caseta Value Data, tastați una dintre următoarele valori:
    • 0 (implicit)
      Valoarea 0 (zero) configurează Windows pentru a nu stabili asociații de securitate cu servere care se află în spatele NAT.
    • 1
      Valoarea 1 configurează Windows pentru a stabili asociații de securitate cu serverele care se află în spatele NAT.
    • 2
      Valoarea 2 configurează Windows pentru a stabili asociații de securitate atunci când atât serverul, cât și computerul client Windows XP SP2 se află în spatele NAT.
  7. Faceți clic pe OK, apoi părăsiți Registry Editor.
  8. Reporniți computerul.

Informații despre pachetul service pack Windows XP

Această caracteristică este disponibilă în cel mai recent pachet service pack pentru Windows XP (SP2). Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
322389 Cum se obține cel mai recent Service pack pentru Windows XP

Actualizare Windows 2000

Pentru a descărca această actualizare pentru Windows 2000, vizitați următorul site Web Microsoft pentru a utiliza Catalogul de actualizări Microsoft Windows:
http://v4.update.microsoft.com/catalog
Căutați numărul ID al acestui articol utilizând caracteristica de căutare complexă din Catalogul de actualizări Windows. Pentru aceasta, urmați acești pași:
  1. Pe site-ul Web Microsoft Windows Update, faceți clic pe Find updates for Microsoft Windows operating systems.
  2. Faceți clic pentru a selecta sistemul de operare și limba, apoi faceți clic pe Advanced Search.

    Notă Trebuie să selectați Windows 2000 Professional Service Pack 3 sau Windows 2000 Professional Service Pack 4. Dacă selectați alt sistem de operare, această actualizare nu va fi returnată de căutare.
  3. În caseta Contains these words, tastați 818043, apoi faceți clic pe Search.
Pentru mai multe informații despre modul de descărcare a actualizărilor din Catalogul de actualizări Windows, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
323166 Cum se descarcă actualizări și drivere Windows din Catalogul de actualizări Windows

Cerințe preliminare

Acest pachet de actualizare este proiectat să fie instalat pe computere pe care se execută Windows 2000 cu Service Pack 3 (SP3) sau versiuni mai recente.

Cerință de repornire

Acest pachet de actualizare necesită repornirea computerului pentru a activa noile caracteristici IPsec.

Informații despre înlocuirea actualizărilor

Această actualizare nu înlocuiește nicio altă actualizare.

Informații despre fișier

Versiunea în limba engleză a acestei remedieri rapide are atributele de fișier (sau atribute de fișier mai recente) enumerate în următorul tabel. Datele și orele acestor fișiere sunt prezentate în ora universală (UTC). Când vizualizați informațiile despre fișiere, acestea sunt transformate în ora locală. Pentru a afla diferența între timpul universal și cel local, utilizați fila Fus orar din instrumentul Dată și oră din Panoul de control.
   Dată         Oră   Versiune        Dimensiune  Nume fișier
   ----------------------------------------------------------------
   18.09.2000  19:01  5.0.2195.1569   33.616  Fips.sys
   21.04.2003  15:19  5.0.2195.6738   80.848  Ipsec.sys
   21.04.2003  15:19  5.0.2195.6738   29.456  Ipsecmon.exe     
   21.04.2003 15:21  5.0.2195.6738  390.928  Netdiag.exe      
   01.05.2003  21:39  5.0.2195.6738  417.552  Oakley.dll       
   01.05.2003  21:39  5.0.2195.6738   96.528  Polagent.dll     
   01.05.2003  21:39  5.0.2195.6738  137.488  Polstore.dll     
   01.05.2003  21:39  5.0.2195.6738   58.128  Rasman.dll       
   01.05.2003  21:39  5.0.2195.6738  153.360  Rasmans.dll      
   01.05.2003  21:39  5.0.2195.6738   54.032  Rastapi.dll      
   21.04.2003  15:19  5.0.2195.6738   80.848  Ipsec.sys  (56 biți)

REFERINȚE

Pentru informații suplimentare, faceți clic pe următoarele numere de articole pentru a le vizualiza în Baza de cunoștințe Microsoft:
314067 Cum se depanează conectivitatea TCP/IP în Windows XP (articolul poate să fie în limba engleză)
257225 Depanarea de bază pentru IPsec în Microsoft Windows 2000 Server (articolul poate să fie în limba engleză)
816915 Noua schemă de denumire a fișierelor pentru pachetele de actualizare software Microsoft Windows (articolul poate să fie în limba engleză)

Proprietă?i

ID articol: 818043 - Ultima examinare: 17 mai 2011 - Revizie: 19.0
SE APLICĂ LA:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Cuvinte cheie: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com