Обновление для функции NAT-T протоколов L2TP и IPSec в Windows XP и Windows 2000

Переводы статьи Переводы статьи
Код статьи: 818043 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Корпорация Майкрософт выпустила обновление, расширяющее возможности протоколов L2TP (Layer Two Tunneling Protocol) и IPSec (Internet Protocol security, безопасность протокола Интернета) на компьютерах под управлением Windows 2000, Windows XP без пакетов обновления и Windows XP с пакетом обновления 1 (SP1). Новые функциональные возможности входят в состав Windows XP с пакетом обновления 2 (SP2) (устанавливать обновление на компьютерах под управлением этой операционной системы не нужно).

Данное обновление улучшает поддержку клиентов виртуальных частных сетей (VPN), которые расположены за устройствами, осуществляющими преобразование сетевых адресов (NAT). Если после установки обновления на компьютере под управлением Windows XP служба IPSec вызывает ошибку на стадии выполнения и не запускается, то драйвер IPSec не может обеспечивать безопасность сетевого трафика и действует в блочном режиме.

Примечание. Служба IPSec отображается в списке системных служб под названием «Службы IPSEC».

Дополнительные сведения о последнем пакете обновления для Windows XP см. в следующей статье базы знаний Майкрософт:
322389 Как получить последний пакет обновления для Windows XP

Содержание

Дополнительная информация

Оснастки управления и мониторинга; новые функции протокола IPSeс

  • После установки данного обновления клиенты L2TP и IPSec под управлением Windows 2000 и Windows XP могут создавать подключения IPSec, находясь за устройством NAT. Новая функция IPsec NAT-T создана в соответствии со спецификацией RFC 3193 и второй версией документа IPsec NAT-T, разработанными проблемной группой проектирования Интернета (IETF). Компьютеры под управлением Windows XP с пакетом обновления 2 (SP2) также поддерживают эту функцию. Функция IPsec NAT-T определена в спецификациях 3947 и 3948.
  • Обновленная оснастка «Монитор IPSec» позволяет осуществлять мониторинг компьютеров под управлением Windows XP с пакетом обновления 2 (SP2).
  • Обновленная оснастка «Монитор IPSec» также позволяет осуществлять мониторинг компьютеров под управлением Windows Server 2003. Кроме того, с компьютера под управлением Windows Server 2003 можно осуществлять мониторинг компьютеров под управлением Windows XP с пакетом обновления 2 (SP2).
  • Данная оснастка не позволяет выполнять мониторинг компьютеров под управлением Windows 2000.
  • Если существуют объекты политики, которые содержат дополнительные параметры, созданные в Windows Server 2003 (например DH2048, сопоставление сертификатов или динамические фильтры), то новая оснастка «Управление IPSec» переключается в режим «только чтение». При этом запрещается редактирование объектов оснастки (например правил или списков фильтров), содержащих ссылки на эти параметры. Это сделано для предотвращения случайного удаления важных параметров.
  • На компьютерах под управлением Windows XP обновленные службы IPSec поддерживают большинство функций, доступных в Windows Server 2003 через политики.

    Примечание. Сопоставление сертификатов не поддерживается.
  • Если на компьютере под управлением Windows XP уже установлено средство IPSeccmd одной из предыдущих версий (данное средство отсутствует в Windows 2000), то обновленное средство IPSeccmd устанавливается в папке диск:\Program Files\Support Tools.

    В обновленной версии средства IPSeccmd реализованы следующие возможности.
    • Динамическое включение и выключение журнала протокола IKE (Internet Key Exchange).
    • Отображение сведений о текущей политике.
    • Создание надежной политики IPSec.
    Примечание. Предыдущая версия средства IPSeccmd не будет работать на компьютере с установленным обновлением, а обновленная версия IPSeccmd, наоборот, не работает, если обновление не установлено.

Взаимодействие и известные проблемы

Функция IPsec NAT-T и правила брандмауэра

Поскольку новая реализация IPsec NAT-T разработана на основе спецификаций IETF RFC 3193 и IETF NAT-T (2-я редакция), то для нормальной работы служб с помощью правил брандмауэра необходимо открыть следующие порты и протоколы.
  • Internet Key Exchange (IKE): порт User Datagram Protocol (UDP) 500
  • IPsec NAT-T: UDP-порт 4500
  • Encapsulating Security Payload (ESP): протокол Интернета (IP), порт 50

Поддерживаемые варианты использования функции IPsec NAT-T

Ниже представлены варианты подключений L2TP и IPSec, устанавливаемых с использованием IPsec NAT-T. Клиент — это клиентский компьютер под управлением Windows 2000, на котором установлено обновление 818043, или компьютер под управлением Windows XP с пакетом обновления 2 (SP2). Сервер — это сервер L2TP/IPSec под управлением Windows Server 2003, на котором запущена служба маршрутизации и удаленного доступа.
Клиент----> NAT ----Интернет---->Сервер

Корпорация Майкрософт поддерживает и рекомендует только вариант, когда Сервер не расположен за устройством NAT.
В качестве сервера L2TP/IPSec может также выступать шлюз независимого разработчика, поддерживающий подключения NAT-T.

Примечание. В рассмотренном варианте сервер под управлением Windows 2000, на котором запущена служба RRAS и установлено обновление 818043, не может являться сервером L2TP/IPSec, поскольку он не позволяет подключаться клиентам L2TP/IPSec, которые расположены за одним или несколькими устройствами NAT. Данное обновление устанавливается только на стороне клиента. На стороне сервера функция IPsec NAT-T реализована только для службы RRAS в Windows Server 2003. Поддержка данной функции на стороне сервера для службы RRAS в Windows 2000 не планируется.

Обновление 2048-разрядного алгоритма Диффи-Хелмана

Сервер, к которому клиент L2TP/IPSec подключается с помощью обновленного алгоритма Диффи-Хелмана, использующего 2048-разрядный ключ, также должен поддерживать такой размер ключа.

Примечание. Чтобы использовать 2048-разрядный алгоритм Диффи-Хелмана на компьютере под управлением Windows Server 2003, необходимо создать специальный раздел реестра. Для этого выполните следующие действия.
  1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.
  4. Введите NegotiateDH2048 и нажмите клавишу ВВОД.
  5. Щелкните параметр NegotiateDH2048 правой кнопкой мыши и выберите в появившемся меню пункт Изменить.
  6. В поле Значение введите 1 и нажмите кнопку ОК.
  7. В меню Реестр выберите команду Выход.

Прочее

  • Оборудование для разгрузки при использовании IPSec
    Сетевые адаптеры, снижающие нагрузку на процессор при обработке IPSec, не обрабатывают подключения, созданные с использованием NAT.
  • Неправильно отображаются новые компоненты
    Новые компоненты, созданные с помощью политики IPSec в Windows Server 2003, могут неправильно отображаться монитором IPSec. Например, группа DH2048 отображается как 268435457, а имена динамических фильтров (например WINS или DHCP) отсутствуют (пустой столбец).
  • В реализованном корпорацией Майкрософт протоколе IPSec компонент IKE использует расширенную функцию Winsock API, указатель которой определяется путем вызова функции WSAIoctl(). Если вызов функции не проходит хотя бы через один из установленных элементов LSP (Layered Service Provider), то протокол IPSec не может прослушивать порт IKE. Протокол IPSec расценивает это как сбой компонента и возвращает сообщение «Fail to a Secure Mode». Причиной подобного поведения может являться установленная программа стороннего производителя.

Внимание! Неправильное изменение параметров реестра системы с помощью редактора реестра или любым иным путем может послужить причиной возникновения серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за результаты произведенных действий несет пользователь. Чтобы изменить стандартный подход к применению IPsec NAT-T компьютерами под управлением Windows XP с пакетом обновления 2 (SP2), необходимо создать в реестре системы параметр AssumeUDPEncapsulationContextOnSendRule.

По умолчанию Windows XP с пакетом обновления 2 (SP2) не поддерживает подключений IPsec NAT-T к серверам, расположенным за устройством преобразования сетевых адресов. Таким образом, клиент VPN под управлением Windows XP с пакетом обновления 2 (SP2) не сможет установить подключение L2TP/IPsec к серверу виртуальной частной сети (VPN) за устройством преобразования сетевых адресов. Это утверждение справедливо и для сервера VPN под управлением Windows Server 2003.

Кроме того, такой подход не позволяет компьютерам под управлением Windows XP с пакетом обновления 2 (SP2) подключаться к удаленному рабочему столу по протоколу L2TP/IPsec, если компьютер назначения расположен за устройством преобразования сетевых адресов.

Из-за особенностей обработки сетевого трафика устройствами NAT возможно получение неожиданных результатов в случае использования IPsec NAT-T, когда сервер находится за таким устройством. По этой причине, если существует необходимость в организации обмена данными с помощью функции IPsec, рекомендуется применять общие IP-адреса для всех серверов, к которым подключение устанавливается из Интернета напрямую.

Для создания и настройки параметра реестра AssumeUDPEncapsulationContextOnSendRule выполните следующие действия.
  1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.
  4. В поле «Новый параметр #1» введите AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу ВВОД.
  5. Щелкните параметр AssumeUDPEncapsulationContextOnSendRule правой кнопкой мыши и выберите команду Изменить.
  6. В поле Значение введите одно из следующих значений.
    • 0 (по умолчанию)
      Windows не поддерживает подключений к серверам, расположенным за устройством преобразования сетевых адресов.
    • 1
      Windows поддерживает подключения к серверам, расположенным за устройством преобразования сетевых адресов.
    • 2
      Windows поддерживает подключение, если и сервер, и клиентский компьютер под управлением Windows XP с пакетом обновления 2 (SP2) расположены за устройством преобразования сетевых адресов.
  7. Нажмите кнопку ОК и закройте редактор реестра.
  8. Перезагрузите компьютер.

Сведения о пакете обновления для Windows XP

Данная функция реализована в составе последнего пакета обновления для Windows XP (SP2). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
322389 Как получить последний пакет обновления для Windows XP

Обновление для Windows 2000

Загрузить обновление для Windows 2000 можно из каталога Windows Update по следующему адресу:
http://v4.update.microsoft.com/catalog
Выполните поиск по номеру данной статьи с помощью дополнительных параметров поиска каталога Windows Update.
  1. На веб-узле Windows Update щелкните ссылку Поиск обновлений для операционных систем Microsoft Windows.
  2. Выберите операционную систему и язык и щелкните ссылку Дополнительные параметры поиска.

    Примечание. Необходимо выбрать Windows 2000 Professional с пакетом обновления 3 (SP3) или 4 (SP4). В противном случае обновление не будет найдено.
  3. В поле Содержит слова введите 818043 и нажмите кнопку Поиск.
Дополнительные сведения о загрузке обновлений из каталога Windows Update см. в следующей статье базы знаний Майкрософт:
323166 Как загрузить драйверы и обновления для Windows из каталога Windows Update

Необходимые условия

Данное обновление предназначено для установки на компьютере под управлением Windows 2000 с пакетом обновления 3 (SP3) или более поздней версии.

Необходимость перезагрузки

Для включения новых функций IPSec после установки обновления необходимо перезагрузить компьютер.

Сведения о заменяемых обновлениях

Это обновление не заменяет других обновлений.

Сведения о файлах

Английская версия обновления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального всемирного времени (по Гринвичу). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.
   Дата         Время  Версия          Размер  Имя файла
   ----------------------------------------------------------------
   18-сен-2000  19:01  5.0.2195.1569   33 616  Fips.sys
   21-апр-2003  15:19  5.0.2195.6738   80 848  Ipsec.sys
   21-апр-2003  15:19  5.0.2195.6738   29 456  Ipsecmon.exe
   21-апр-2003  15:21  5.0.2195.6738  390 928  Netdiag.exe
   01-мая-2003  21:39  5.0.2195.6738  417 552  Oakley.dll
   01-мая-2003  21:39  5.0.2195.6738   96 528  Polagent.dll
   01-мая-2003  21:39  5.0.2195.6738  137 488  Polstore.dll
   01-мая-2003  21:39  5.0.2195.6738   58 128  Rasman.dll
   01-мая-2003  21:39  5.0.2195.6738  153 360  Rasmans.dll
   01-мая-2003  21:39  5.0.2195.6738   54 032  Rastapi.dll
   21-апр-2003  15:19  5.0.2195.6738   80 848  Ipsec.sys  (56-разр. версия)

Ссылки

Дополнительные сведения см. в следующих статьях базы знаний Майкрософт.
314067 Разрешение проблем с подключением по протоколу TCP/IP в Windows XP
257225 Устранение неполадок, возникающих при использовании протокола IPSec в Microsoft Windows 2000
816915 Новая схема присвоения имен пакетам обновлений программного обеспечения Microsoft Windows

Свойства

Код статьи: 818043 - Последний отзыв: 14 мая 2011 г. - Revision: 19.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com