L2TP/IPsec NAT-T-uppdatering för Windows XP och Windows 2000

Artikelöversättning Artikelöversättning
Artikel-id: 818043
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Microsoft har släppt ett uppdateringspaket som ger bättre L2TP- (Layer Two Tunneling Protocol) och IPSec-funktion (Internet Protocol security) på datorer med Windows XP och Windows 2000. Denna funktionalitet ingår i Windows XP Service Pack 2 (SP2). På datorer med Windows XP med ett Service Pack behöver detta uppdateringspaket inte installeras.

I uppdateringen ingår förbättringar av IPsec som ger bättre stöd för VPN-klienter (Virtual Private Network) bakom NAT-enheter (Network Address Translation). Om du installerar den här uppdateringen på en dator med Windows XP, och IPSec-tjänsten stöter på ett körfel och av någon anledning inte kan starta, fungerar IPSec-drivrutinen i blockeringsläge eftersom den inte kan säkra nätverkstrafik.

Obs! IPSec-tjänsten visas som "IPSEC-tjänster" i listan över systemtjänster.

Om du vill veta mer om den senaste Service Pack-versionen för Windows XP klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
322389 Skaffa den senaste Service Pack-versionen för Windows XP

Innehåll

Mer Information

Nya IPSec-funktioner samt snapin-moduler för hantering och övervakning

  • Efter installation av den här uppdateringen kan L2TP/IPsec-klienter på datorer med Windows 2000 och Windows XP skapa IPsec-anslutningar bakom en NAT-server. De nya IPsec NAT-T-funktionerna baseras på IETF RFC 3193 (Requests for Comments) och version 2 av de ursprungliga IETF IPsec NAT-T Internet-förslagen. Windows XP-klienter med SP2 har också denna utökade anslutningsmöjlighet. IPsec NAT-T är för närvarande specificerad i RFC:erna 3947 och 3948.
  • Den uppdaterade IPsec-snapin-modulen för övervakning kan visa datorer med Windows XP, men bara om SP2 är installerad på datorn.
  • Den uppdaterade IPsec-övervakaren kan visa datorer med Microsoft Windows Server 2003. På samma sätt kan Windows Server 2003 övervaka datorer med Windows XP där SP2 är installerad.
  • Datorer med Windows 2000 kan inte övervakas med den här snapin-modulen.
  • Den nya IPsec-snapin-modulen för övervakning växlar till skrivskyddat läge när den stöter på principobjekt som innehåller avancerade funktioner som har skapats i Windows Server 2003 (till exempel DH2048, certifikatmappning eller dynamiska filter). Detta medför att snapin-objekten (till exempel regler, filterlistor eller huvudlägeserbjudanden) inte kan redigeras om de innehåller referenser till de nya inställningarna. IPsec-hanteringsmodulen växlar till skrivskyddat läge så att kritiska avancerade funktioner inte tas bort av misstag.
  • De uppdaterade IPsec-tjänsterna på datorer med Windows XP kan exponera de flesta nya funktioner som tillhandahålls i en Windows Server 2003-princip.

    Obs! Certifikatmappning är inte tillgängligt.
  • Om en tidigare version av IPseccmd är installerad på en dator med Windows XP (det här verktyget är inte tillgängligt i Windows 2000) installeras en uppdaterad IPseccmd i mappen enhet:\Program\Support Tools.

    Den uppdaterade IPseccmd har följande egenskaper:
    • Den aktiverar och inaktiverar dynamiskt IKE-loggning (Internet Key Exchange).
    • Den visar information om en tilldelad princip.
    • Den gör att du kan skapa en beständig IPsec-princip.
    Obs! Den tidigare versionen av IPseccmd fungerar inte på uppdaterade datorer, och den uppdaterade IPseccmd fungerar inte på icke-uppdaterade datorer.

Samverkan och kända problem

IPsec NAT-T- och brandväggsregler

Eftersom de nya IPsec NAT-T-funktionerna är uppbyggda runt IETF RFC 3193 och version 2 av den ursprungliga IETF NAT-T-specifikationen, måste du kanske öppna följande portar och protokoll i brandväggsreglerna för att tjänsterna ska fungera genom en brandvägg:
  • Internet Key Exchange (IKE) - User Datagram Protocol (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) - Internet Protocol (IP) protocol 50

Scenarier som stöds med hjälp av IPsec NAT-T

Följande scenarier tillåter L2TP/IPsec-baserade IPsec NAT-T-anslutningar. I dessa är Klient är en klient med Windows 2000 som har uppdatering 818043 installerad, eller en dator med Windows XP SP2. Server är en L2TP/IPsec-server med Windows Server 2003 och Routning och fjärråtkomst.
Klient----> NAT ----Internet---->Server

Det enda scenario som stöds och rekommenderas är närServer inte befinner sig bakom en NAT-enhet.
L2TP/IPsec-servern kan också finnas bakom en gateway-produkt från en annan tillverkare som stöder NAT-T-anslutningar.

Obs! Om du installerar uppdateringen 818043 på en server med Windows 2000 och Routning och fjärråtkomst kan inte servern fungera som L2TP/IPsec-server i detta scenario. Det tillåter inte anslutningar från L2TP/IPsec-klienter bakom en eller flera NAT-enheter. Den här uppdateringen är bara en uppdatering för klientsidan. IPsec NAT-T-funktioner på serversidan är en ny funktion endast i Routning och fjärråtkomst för Windows Server 2003. IPsec NAT-T-stöd på serversidan kommer inte att läggas till i Routning och fjärråtkomst för Windows 2000.

Diffie-Hellman grupp 2048-uppdatering

För att L2TP/IPsec-klienter ska kunna ansluta och utnyttja den uppdaterade Diffie-Hellman grupp 2048 måste fjärråtkomstservern som kontaktas också stödja denna grupp.

Obs! För att kunna använda Diffie-Hellman 2048 med Windows Server 2003 måste du skapa en registerundernyckel så här:
  1. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Peka på Ny/NyttRedigera-menyn, och klicka sedan på DWORD-värde.
  4. Skriv NegotiateDH2048 och tryck på RETUR.
  5. Högerklicka på NegotiateDH2048 och klicka på Ändra.
  6. Skriv 1 i rutan Data, och klicka sedan på OK.
  7. Klicka på AvslutaRegister-menyn.

Övriga

  • IPsec-avlastningsmaskinvara
    IPsec-avlastningsnätverkskort avlastar inte säkerhetsassociationer som har skapats med hjälp av NAT-enheter.
  • Nya funktioner visas inte korrekt
    Nya funktioner som har aktiverats med en IPsec-princip för Windows Server 2003 visas kanske inte på rätt sätt i IPsec-övervakaren. Ett anmärkningsvärt faktum är att DH2048-gruppen visas som 268435457, och namn på dynamiska filter (till exempel WINS eller DHCP) visas inte alls (kolumnen är tom).
  • I IKE-komponenten i Windows-implementeringen av IPsec används en utvidgad Winsock API-funktion vars funktionspekare fastställs genom anrop till WSAIoctl(). Om det här funktionsanropet inte kan passera genom en installerad LSP (Layered Service Provider) kan IPsec inte lyssna på IKE-porten. I IPsec tolkas detta som ett fel på komponenten, vilket ger upphov till lämplig åtgärd (det vill säga ett "Fail to a Secure Mode"-meddelande returneras). IKE-komponentens oförmåga att passera genom en LSP kan orsakas av ett program från en annan tillverkare.

Varning! Det kan uppstå allvarliga problem vid felaktiga ändringar av registret med hjälp av Registereditorn eller någon annan metod. Dessa problem kan medföra att du måste installera om operativsystemet. Microsoft kan inte garantera att problemen kan lösas. Ändra registret på egen risk. För att kunna ändra IPsec NAT-T-beteendet för en dator med Windows XP SP2, måste du skapa registervärdet AssumeUDPEncapsulationContextOnSendRule.

Som standard stöder Windows XP SP2 inte längre IPsec NAT-T-säkerhetsassociationer till servrar som finns bakom en NAT-enhet. Därför kan inte en VPN-klient på Windows XP SP2 som standard skapa en L2TP/IPsec-anslutning till VPN-servern om denna finns bakom en NAT-enhet. I detta scenario ingår en VPN-server med Microsoft Windows Server 2003.

Detta standardbeteende kan också hindra att datorer med Windows XP SP2 skapar Fjärrskrivbord-anslutningar med L2TP/IPsec när måldatorn finns bakom en NAT-enhet.

På grund av sättet som NAT-enheter översätter nätverkstrafik, kan oväntade resultat uppstå när en server placeras bakom en NAT-enhet och IPsec NAT-T används. Därför rekommenderas du att använda allmänna IP-adresser för alla servrar som kan nås direkt från Internet om IPsec krävs för kommunikationen.

Så här skapar och konfigurerar du värdet för registernyckeln AssumeUDPEncapsulationContextOnSendRule:
  1. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Peka på Ny/NyttRedigera-menyn, och klicka sedan på DWORD-värde.
  4. Skriv AssumeUDPEncapsulationContextOnSendRule i rutan Nytt värde och tryck sedan på RETUR.
  5. Högerklicka på AssumeUDPEncapsulationContextOnSendRule och klicka på Ändra.
  6. Skriv ett av följande värden i rutan Data:
    • 0 (standard)
      Värdet 0 (noll) konfigurerar Windows så att säkerhetsassociationer med servrar som finns bakom NAT-enheter inte kan etableras.
    • 1
      Värdet 1 konfigurerar Windows så att säkerhetsassociationer med servrar som finns bakom NAT-enheter kan etableras.
    • 2
      Värdet 2 konfigurerar Windows så att säkerhetsassociationer kan etableras när både servern och klientdatorn med Windows XP SP2 finns bakom NAT-enheter.
  7. Klicka på OK och avsluta Registereditorn.
  8. Starta om datorn.

Information om Service Pack för Windows XP

Den här funktionen finns i den senaste Service Pack-versionen för Windows XP (SP2). Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322389 Skaffa den senaste Service Pack-versionen för Windows XP

Uppdatering för Windows 2000

Du kan hämta den här uppdateringen för Windows 2000 på Microsoft-webbplatsen Microsoft Windows Update Catalog:
http://v4.update.microsoft.com/catalog
Sök efter den här artikelns nummer med hjälp av den avancerade sökfunktionen i Windows Update Catalog. så här:
  1. Klicka på Sök efter uppdateringar för Microsoft Windows på Microsoft-webbplatsen Windows Update.
  2. Välj operativsystem och språk genom att klicka, och klicka sedan på Avancerad sökning.

    Obs! Du måste välja antingen Windows 2000 Professional Service Pack 3 eller Windows 2000 Professional Service Pack 4. Om du väljer något annat operativsystem visas inte uppdateringen i sökningen.
  3. Skriv 818043 i rutan Innehåller orden, och klicka sedan på Sök.
Om du vill veta mer om hur du hämtar uppdateringar från Windows Update-katalogen klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
323166 Hämta uppdateringar och drivrutiner för Windows från Windows Update-katalogen

Förutsättningar

Det här uppdateringspaketet är avsett för installation på datorer med Windows 2000 och Service Pack 3 (SP3) eller senare.

Krav på omstart

Det här uppdateringspaketet kräver att datorn startas om för att de nya IPsec-funktionerna ska aktiveras.

Ersättningsinformation

Den här uppdateringen ersätter inte några andra uppdateringar.

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). När du visar filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.
   Datum         Tid   Version       Storlek       Filnamn
   ----------------------------------------------------------------
   18-sep-2000  19:01  5.0.2195.1569   33 616  Fips.sys
   21-apr-2003  15:19  5.0.2195.6738   80 848  Ipsec.sys
   21-apr-2003  15:19  5.0.2195.6738   29 456  Ipsecmon.exe     
   21-apr-2003  15:21  5.0.2195.6738  390 928  Netdiag.exe      
   01-maj-2003  21:39  5.0.2195.6738  417 552  Oakley.dll       
   01-maj-2003  21:39  5.0.2195.6738   96 528  Polagent.dll     
   01-maj-2003  21:39  5.0.2195.6738  137 488  Polstore.dll     
   01-maj-2003  21:39  5.0.2195.6738   58 128  Rasman.dll       
   01-maj-2003  21:39  5.0.2195.6738  153 360  Rasmans.dll      
   01-maj-2003  21:39  5.0.2195.6738   54 032  Rastapi.dll      
   21-apr-2003  15:19  5.0.2195.6738   80 848  Ipsec.sys  (56-bit)

Referenser

Om du vill veta mer klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
314067 Felsökning av TCP/IP-anslutningar med Windows XP
257225 Grundläggande IPsec-felsökning i Microsoft Windows 2000 Server
816915Nytt system för namngivning av uppdateringspaket för Microsoft Windows-program

Egenskaper

Artikel-id: 818043 - Senaste granskning: den 3 februari 2011 - Revision: 18.3
Nyckelord: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com