Protokoly L2TP/IPsec NAT-T aktualizácia pre systém Windows XP a Windows 2000

Preklady článku Preklady článku
ID článku: 818043 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Spoločnosť Microsoft vydala aktualizáciu balíka na zvýšenie súčasné funkčnosť protokolu (L2TP) a Internet Protocol security (IPsec) v počítačoch so systémom Microsoft Windows 2000 a Microsoft Windows XP bez balíkov service pack nainštalovaný systém Windows XP s balíkom Service Pack 1 (SP1).Táto funkcia je zahrnutý v systéme Windows XP Service Pack 2 (SP2). Počítače so systémom Windows XP s balíkom service pack nemajú nainštalovať tento balík aktualizácií.

Táto aktualizácia obsahuje zlepšenia k protokolu IPsec pre lepšiu podporu klientom virtuálnej súkromnej siete (VPN) pozadu prekladačov sieťových adries (NAT). Ak použijete túto aktualizáciu počítač so systémom Windows XP, a ak služba IPsec runtime chybu a nemôže spustiť z akéhokoľvek dôvodu IPsec vodič pôsobí v blokovať režime, pretože nemôžete zabezpečiť prenos v sieti.

Poznámka Služby protokolu IPsec sa zobrazí ako "Protokolu IPSEC služby" v zozname systémové služby.

Ďalšie informácie o najnovších balík Service pack pre systém Windows XP, po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
322389Ako získať najnovší balík service pack pre systém Windows XP

Článok obsah

DALSIE INFORMACIE

Nové funkcie protokolu IPsec a riadenie a monitorovanie moduly snap-in

  • Po nainštalovaní tejto aktualizácie systému Windows 2000 a Windows XP-založené protokoly L2TP/IPsec klientov je možné vytvoriť pripojenia IPsec zozadu zariadenie NAT.. Nový protokol IPsec NAT-T funkčnosť je založený na IETF žiadosti Comments (RFC) 3193 a verzia 2 pôvodného protokolu IPsec NAT-T IETF Koncepty Internet drafts. Systém Windows XP klientov, ktoré majú SP2 tiež majú tohto rozšíreného pripojenia možnosť. Protokol IPsec NAT-T je v súčasnosti špecifikované v RFC 3947 a 3948.
  • Aktualizované protokolu IPsec odul Sledovanie môžete zobraziť počítače, systém Windows XP, ale len ak má počítač so systémom Windows XP SP2 nainštalované.
  • Aktualizované protokolu IPsec odul Sledovanie môžete zobraziť počítače, ktoré sú so systémom Microsoft Windows Server 2003. Podobne môže systém Windows Server 2003 monitorovať počítačov so systémom Windows XP, ktoré majú SP2 nainštalovaný.
  • Počítače so systémom Windows 2000 nie je možné monitorovať pomocou tohto modulu.
  • Nový protokol IPsec riadenia modul snap-in prepne do re imu iba na čítanie keď narazí objekty politiky, ktoré obsahuje rozšírené funkcie, ktoré boli vytvorené v systéme Windows Server 2003 (napríklad DH2048, osvedčenie mapovanie, alebo Dynamické filtre). Toto správanie spôsobuje, že objekty modul snap-in (napríklad pravidlá, zoznamy filtrov, alebo v hlavnom režime ponuky), aby sa stal neupraviteľných, ak obsahujú odkazy na tieto nové nastavenia. Modul protokolu IPsec riadenia v prepne do režimu iba na čítanie takže nemôžete odstrániť nechtiac kritické rozšírené funkcie.
  • Aktualizované služby protokolu IPsec na počítačoch so systémom Windows XP môže vystaviť väčšina nových funkcií, ktoré sú k dispozícii v systéme Windows Server 2003 politiky.

    Poznámka Priradenie certifikátu nie je k dispozícii.
  • Ak je nainštalovaná staršia verzia nástroja IPseccmd na počítač so systémom Windows XP (tento nástroj nie je k dispozícii v systéme Windows 2000), aktualizované IPseccmd je inštalovaná v jednotka: Hlavný Files\Support Tools v priečinku.

    Aktualizované IPseccmd má nasledovné vlastnosti:
    • Dynamicky ukazuje Internet Key Exchange (IKE) prihlásenie a odhlásenie.
    • Zobrazuje informácie o aktuálne priradenej politiky.
    • To vám umožní vytvoriť trvalé protokolu IPsec politiky.
    Poznámka Staršia verzia IPseccmd neodpracuje aktualizované počítače a aktualizované IPseccmd nefunguje na počítačoch, ktoré nie sú aktualizované.

Interoperabilita a známych problémoch

Pravidlá protokolu IPsec NAT-T a brány firewall

Pretože podpora pre protokol IPsec NAT-T funkčnosť je založená na IETF RFC 3193 a verzia 2 pôvodného IETF NAT-T internetových konceptoch pre tieto služby plynúť cez brány firewall môžu mať otvorte nasledovné porty a protokoly firewall pravidiel:
  • Internet Key Exchange (IKE) - User Datagram Protocol (UDP) 500
  • Protokol IPsec NAT-T - UDP 4500
  • Protokol Encapsulating Security Payload (ESP) - protokol Internet Protocol (IP) 50

Podporované scenáre pomocou protokolu IPsec NAT-T

Nasledovné scenáre úspešne umožní pre založených na L2TP/IPsec protokolu IPsec NAT-T pripojenia. V týchto scenárov Klient je klient so systémom Windows 2000 a že má aktualizovať 818043 nainštalovaný alebo je Systém Windows XP-založené počítači, ktorý má SP2 nainštalovaný. Serveraje server L2TP/IPsec, ktorý je spustený systém Windows Server 2003 a ktoré používa Smerovanie a vzdialený prístup.
Klient----> Tank----Internet---->Servera

Len podporované a odporúčané scenár je, keď Servera nie je umiestnený za zariadenie NAT..
Server L2TP/IPsec môže byť tretia strana Brána výrobok, ktorý podporuje NAT-T spojenia.

Poznámka Ak použijete aktualizovať 818043 k serveru so systémom Windows 2000 že je pomocou služby Smerovanie a vzdialený prístup, server nemôže fungovať ako Server L2TP/IPsec v tomto scenári. Nie je možné povoliť spojenia z Protokoly L2TP/IPsec klientov, ktoré zaostávajú jedno alebo viacero zariadení NAT. Táto aktualizácia je klient-bočné aktualizácie. Server-bočné protokolu IPsec NAT-T funkčnosť je nová funkcia v Windows Server 2003 smerovanie a vzdialený prístup. Podpora protokolu IPsec NAT-T server-bočné nesmie sa pridajú do Windows 2000 smerovanie a vzdialený prístup.

Diffie-Hellman Group 2048 aktualizácia

Pre protokoly L2TP/IPsec klientov rokovať a použite Diffie-Hellman Group 2048 update, vzdialený prístup servera je kontaktovať musí taktiež podporuje túto skupinu.

Poznámka Používať Diffie-Hellman 2048, ak váš počítač so systémom Windows Server 2003 môžete vytvoriť podkľúč databázy registry. To chcete urobiť, postupujte nasledovne:
  1. Kliknite na položku ŠtartOK spustiť, typ program RegeditTlačidlo Microsoft Officea potom presuňte na snímke nakreslite ovládací prvok..
  2. Vyhľadajte a kliknite na nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Vývojár Upraviť ponuku, ukážte naNovéTlačidlo Microsoft Office Hodnota DWORD.
  4. Typ NegotiateDH2048, a potom stlačte kláves ZADAJTE.
  5. Kliknite pravým tlačidlom myši NegotiateDH2048, a potom kliknite na tlačidlo Upraviť.
  6. Do pola Údaje o hodnote zadajte1Tlačidlo Microsoft Office a potom presuňte na snímke nakreslite ovládací prvok..
  7. Vývojár Databázy Registry v ponuke kliknite na položkuVýstup.

Ostatné

  • Protokol IPsec v režime zníženého zaťaženia hardvéru
    Protokol IPsec zaťažení sieťové adaptéry nie offload zabezpečenia združenia, ktoré boli vytvorené pomocou prekladačmi adries.
  • Nové funkcie nie sú správne zobrazené
    Nové funkcie, ktoré boli povolené pomocou systému Windows Server 2003 Politika protokolu IPsec môže nie správne zobrazené v programe Sledovanie protokolu IPsec. Predovšetkým DH2048 skupiny sa zobrazí ako 268435457 a dynamický filter názvov (pre príklad aplikácie typu WINS alebo DHCP) sa nezobrazia vôbec (stĺpec je prázdne).
  • Komponent protokolu IKE implementácia protokolu IPsec v systéme Windows využíva rozšírené rozhranie Winsock API funkcie ktorého funkcia ukazovateľ sa určí volanie WSAIoctl(). Ak toto volanie funkcie nemôže prejsť cez ktoréko?vek nainštalované vrstvený Service Provider (VN), protokol IPsec nemôže počúvať na porte IKE. Protokol IPsec toto interpretuje ako zlyhanie komponentu a primerane reaguje (t. j. "Nedospejú k Secure režim" správa sa vráti). Komponent protokolu IKE Neschopnosť prejsť LSP môže byť spôsobená nainštalované tretej strany programu.

Upozornenie Ak databázu registry upravíte nesprávne pomocou editora databázy Registry alebo pomocou inej metódy, môžu nastať vážne problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že je možné vyriešiť tieto problémy. Úpravu databázy registry na vlastné riziko. Ak chcete zmeniť správanie protokolu IPsec NAT-T pre počítač, ktorý je so systémom Windows XP SP2, musíte vytvoriť AssumeUDPEncapsulationContextOnSendRule hodnota v databáze Registry.

V predvolenom nastavení systému Windows XP SP2 už podporuje priradenia zabezpečenia protokolu IPsec NAT-T na servery, ktoré sú umiestnené za prekladač sieťových adries. Preto ak vašej virtuálnej súkromnej siete (VPN) Server je prekladačom sieťových adries, v predvolenom nastavení systému Windows XP Klienta VPN SP2 nemožno vykonať pripojenie L2TP/IPsec k serveru VPN. Tento scenár nezhŕňa servera VPN so systémom Microsoft Windows Server 2003.

Toto predvolené správania môžete tiež zabrániť počítače so systémom Windows XP SP2 z tvorby diaľkového Desktopové pripojenia s protokolom L2TP/IPsec pri cieľovom počítači nachádza prekladačom sieťových adries.

Z dôvodu spôsobu siete adresa prekladatelia prekladajú prenosu v sieti, môže sa vyskytnúť neočakávané výsledkov, keď si dať server prekladačom sieťových adries a potom použite Protokol IPsec NAT-movej černe T. Preto ak požadujete protokolu IPsec pre komunikáciu, odporúčame použitie verejných adries IP pre všetky servery, ktoré sa dokážu pripojiť priamo z internetu.

Na vytvorenie a konfiguráciu AssumeUDPEncapsulationContextOnSendRule databázy Registry hodnotu, postupujte nasledovne:
  1. Kliknite na položku ŠtartOK spustiť, zadajte program RegeditTlačidlo Microsoft Office a potom presuňte na snímke nakreslite ovládací prvok..
  2. Vyhľadajte a potom kliknite na nasledujúce databázy registry podkľúč:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Vývojár Upraviť ponuku, ukážte na Nové, a potom kliknite na tlačidlo Hodnota DWORD.
  4. Do poľa nová hodnota # 1 zadajteAssumeUDPEncapsulationContextOnSendRulea stlačte kláves ENTER.
  5. Kliknite pravým tlačidlom myši AssumeUDPEncapsulationContextOnSendRule, a potom kliknite na tlačidlo Upraviť.
  6. Do pola Údaje o hodnote zadajte jednu z nasledovných hodnôt:
    • 0 (predvolené)
      Hodnota 0 (nula) nakonfiguruje systému Windows tak, že nemôže vytvoriť priradenia zabezpečenia so servermi, ktoré sú umiestnené pozadu prekladače sieťových adries.
    • 1
      Hodnota 1 konfiguruje systém Windows tak, že je možné vytvorenie priradenia zabezpečenia so servermi, ktoré sú umiestnené za sieť adresa prekladateľov.
    • 2
      Hodnota 2 konfiguruje systém Windows tak, že je možné vytvorenie priradenia zabezpečenia keď server a Windows XP Klientskeho počítača s balíkom SP2 zaostávajú prekladače sieťových adries.
  7. Kliknite na položku a potom presuňte na snímke nakreslite ovládací prvok., a potom ukončite Editor databázy Registry.
  8. Reštartujte počítač.

Windows XP service pack informácie

Táto funkcia je k dispozícii v najnovší balík service pack pre systém Windows XP (SP2). Štvrtá nedeľa v októbri
322389 Ako získať najnovší balík service pack pre systém Windows XP

Aktualizácia Windows 2000

Ak chcete prevziať túto aktualizáciu pre systém Windows 2000, prejdite na nasledujúce webovú lokalitu spoločnosti Microsoft použiť katalógu služby Microsoft Update:
Katalóg služby Microsoft Update
Pomocou funkcie rozšíreného vyhľadávania v Katalóg služby Microsoft Update vyhľadajte identifikačné číslo tohto článku. To chcete urobiť, postupujte nasledovne:
  1. Na webovú lokalitu Microsoft Windows Update, kliknite na tlačidloVyhľadajte aktualizácie pre operačné systémy Microsoft Windows.
  2. Kliknutím vyberte váš operačný systém a jazyk a potom kliknite na tlačidlo Pokročilé vyhľadávanie.

    Poznámka Musíte vybrať Windows 2000 Professional Service Pack 3 alebo Windows 2000 Professional Service Pack 4. Ak vyberiete iný operačný systém, aktualizácie sa nevrátia hľadať.
  3. Do pola Obsahuje tieto slová zadajte 818043Tlačidlo Microsoft Office Vyhľadávanie.
Ďalšie informácie o tom, ako prevziať aktualizácií z katalógu služby Windows Update, po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
323166Ako sa Preberanie aktualizácií a ovládačov z katalógu služby Windows Update

Predpoklady

Tomto balíku aktualizácií určené na inštaláciu na počítačoch, ktoré sú so systémom Windows 2000 s balíkom Service Pack 3 (SP3) alebo novšími verziami.

Ruský štandardný čas

Tomto balíku aktualizácií vyžaduje, aby ste reštartovali počítač umožniť nových funkcií protokolu IPsec.

Aktualizované informácie o zmene

Táto aktualizácia nenahrádza žiadne ďalšie aktualizácie.

Informácie o súbore

Anglická verzia tejto rýchlej opravy má atribúty súborov (alebo novšie atribúty) uvedené v nasledujúcej tabuľke. Dátumy a časy jednotlivých súborov sú uvedené vo koordinovaný svetový čas (UTC). Keď zobrazíte informácie o súbore, sa skonvertuje na miestny čas. Ak chcete vyhľadať rozdiely medzi časom UTC a miestnym časom, použite Časové pásmo karta v nástroji dátum a čas v ovládacom paneli.
   Date         Time   Version        Size     File name
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)

ODKAZY

Ďalšie informácie získate po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
314067Riešenie problémov s pripojením TCP/IP systému Windows XP
257225 Základné Protokol IPsec problémov v Microsoft Windows 2000 Server
816915 Nový súbor pomenovania schém pre balíky aktualizácií softvéru systému Microsoft Windows

Vlastnosti

ID článku: 818043 - Posledná kontrola: 7. mája 2012 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
Kľúčové slová: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix kbmt KB818043 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:818043

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com