Makale numarası: 818043 - Son Gözden Geçirme: 03 Şubat 2011 Perşembe - Gözden geçirme: 18.2

Windows XP ve Windows 2000 için L2TP/IPsec NAT-T güncelleştirmesi

Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

Özet

Microsoft, Windows 2000, hizmet paketleri yüklü olmayan Windows XP ve Windows XP Service Pack 1 (SP1) çalışan bilgisayarlarda Katman İki Tünel Protokolü (L2TP) ve Internet Protokolü güvenliğinin (IPsec) geçerli işlevselliğini geliştirmek için bir güncelleştirme paketi yayımladı. Bu işlevsellik, Windows XP Service Pack 2'de (SP2) vardır. Windows XP'yi bir hizmet paketiyle çalıştıran bilgisayarlara bu güncelleştirme paketi yüklenmesi gerekmez.

Bu güncelleştirme, ağ adres çevirisi (NAT) aygıtlarının arkasındaki sanal özel ağ (VPN) istemcilerini daha iyi destekleyebilmek amacıyla IPsec için iyileştirmeler içerir. Bu güncelleştirmeyi Windows XP çalıştıran bir bilgisayara uygularsanız ve IPsec hizmeti bir çalışma zamanı hatasıyla karşılaşır ve herhangi bir nedenle başlayamazsa, IPsec sürücüsü ağ trafiğinin güvenliğini sağlayamayacağı için engelleme modunda çalışır.

Not IPsec hizmeti, sistem hizmetleri listesinde "IPSEC hizmetleri" olarak görünür.

En son Windows XP hizmet paketi hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322389  (http://support.microsoft.com/kb/322389/ ) En son Windows XP hizmet paketi nasıl elde edilir
Üste

Makalenin içeriği

Üste

Daha fazla bilgi

Üste

Yeni IPsec özellikleri ve Yönetim ve Monitör ek bileşenleri

  • Bu güncelleştirmeyi yükledikten sonra, Windows 2000 ve Windows XP tabanlı L2TP/IPsec istemciler bir NAT aygıtının arkasından IPsec bağlantıları oluşturabilir. Yeni IPsec NAT-T işlevselliği, IETF Açıklama İsteği (RFC) 3193 belgesine ve özgün IETF IPsec NAT-T Internet taslağının 2. sürümüne dayanır. SP2 yüklü olan Windows XP istemciler de bu geliştirilmiş bağlantı seçeneği vardır. IPsec NAT-T, 3947 ve 3948 numaralı RFC'lerde açıklanmıştır.
  • Güncelleştirilmiş IPsec Monitörü ek bileşeni Windows XP çalıştıran bilgisayarları görüntüleyebilir, ancak bunu yalnızca Windows XP tabanlı bilgisayarda SP2 yüklüyse yapabilir.
  • Güncelleştirilmiş IPsec Monitörü, Microsoft Windows Server 2003 çalıştıran bilgisayarları görüntüleyebilir. Aynı şekilde, Windows Server 2003 de SP2'nin yüklü olduğu Windows XP tabanlı bilgisayarları izleyebilir.
  • Windows 2000 çalıştıran bilgisayarlar bu ek bileşen ile izlenemez.
  • Yeni IPsec Yönetimi ek bileşeni, Windows Server 2003'te oluşturulmuş gelişmiş özellikleri içeren ilke nesneleri (örneğin, DH2048, Sertifika Eşleştirmesi veya dinamik filtreler) ile karşılaştığında salt okunur moda geçer. Bu davranış, ek bileşen nesnelerinin (örneğin, kurallar, filtre listeleri veya ana mod teklifleri) bu yeni ayarlara başvuru içermeleri durumunda değiştirilemez olmalarına neden olur. IPsec Yönetimi ek bileşeni, önemli gelişmiş özellikleri yanlışlıkla silmemek için salt okunur moda geçer.
  • Windows XP tabanlı bilgisayarlardaki güncelleştirilmiş IPsec hizmetleri, bir Windows Server 2003 ilkesinde sağlanan yeni özelliklerin çoğunu açığa çıkarabilir.

    Not Sertifika Eşleştirmesi bulunmamaktadır.
  • IPseccmd aracının daha önceki bir sürümü Windows XP tabanlı bir bilgisayarda yüklüyse (bu araç Windows 2000'de yoktur), güncelleştirilmiş bir IPseccmd sürücü:\Program Files\Support Tools klasörüne yüklenir.

    Güncelleştirilmiş IPseccmd şu özelliklere sahiptir:
    • Internet Anahtar Değişimi (IKE) günlüğünü dinamik olarak açar ve kapatır.
    • Şu anda atanmış olan bir ilkeyle ilgili bilgileri görüntüler.
    • Kalıcı bir IPsec ilkesi oluşturmanıza olanak tanır.
    Not IPseccmd'nin önceki sürümü güncelleştirilmiş bilgisayarlarda çalışmaz ve güncelleştirilmiş IPseccmd de güncelleştirilmemiş bilgisayarlarda çalışmaz.
Üste

Birlikte çalışabilirlik ve bilinen sorunlar

IPsec NAT-T ve güvenlik duvarı kuralları

IPsec NAT-T işlevselliği desteği IETF RFC 3193 belgesine ve özgün IETF NAT-T Internet taslaklarının 2. sürümüne dayandığından, bu hizmetlerin güvenlik duvarından üzerinden çalışması için güvenlik duvarı kurallarında aşağıdaki bağlantı noktalarını ve protokolleri açmanız gerekebilir:
  • Internet Anahtar Değişimi (IKE) - Kullanıcı Datagram Protokolü (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Kapsüllenen Güvenlik Yükü (ESP) - Internet Protokolü (IP) protokol 50

IPsec NAT-T kullanılarak desteklenen senaryolar

Aşağıdaki senaryolar L2TP/IPsec tabanlı IPsec NAT-T bağlantılarına başarıyla izin verir. Bu senaryolarda İstemci, Windows 2000 çalışan ve 818043 güncelleştirmesi yüklü olan bir istemci veya SP2 yüklü olan Windows XP tabanlı bir bilgisayardır. Sunucu, Windows Server 2003 çalıştıran ve Yönlendirme ve Uzaktan Erişim'i kullanan bir L2TP/IPsec sunucusudur.
İstemci----> NAT ----Internet---->Sunucu

Desteklenen ve önerilen tek senaryo, Sunucu'nun bir NAT aygıtının arkasında bulunmamasıdır.
L2TP/IPsec sunucusu, NAT-T bağlantılarını destekleyen bir üçüncü taraf ağ geçidi ürünü de olabilir.

Not Yönlendirme ve Uzaktan Erişim kullanan Windows 2000 tabanlı bir sunucuya 818043 güncelleştirmesini uygularsanız, sunucu bu senaryoda L2TP/IPsec sunucusu olarak çalışamaz. Bir veya daha fazla NAT yönlendiricisi arkasındaki L2TP/IPsec istemcilerinden gelen bağlantılara izin veremez. Bu güncelleştirme yalnızca bir istemci tarafı güncelleştirmesidir. Sunucu tarafı IPsec NAT-T işlevselliği yalnızca Windows Server 2003 Yönlendirme ve Uzaktan Erişim'de bulunan yeni bir özelliktir. IPsec NAT-T sunucu tarafı desteği, Windows 2000 Yönlendirme ve Uzaktan Erişim'e eklenmeyecektir.

Diffie-Hellman Group 2048 güncelleştirmesi

L2TP/IPsec istemcilerinin Diffie-Hellman Group 2048 güncelleştirmesiyle iletişim kurup bu güncelleştirmeyi kullanabilmesi için, bağlantı kurulan uzaktan erişim sunucusu da bu grubu destekliyor olmalıdır.

Not Windows Server 2003 çalıştırıyorsanız, Diffie-Hellman 2048 kullanabilmek için bir kayıt defteri alt anahtarı oluşturmalısınız. Bunu yapmak için şu adımları izleyin:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, regedit yazın ve Tamam'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Düzen menüsünde, Yeni'nin üzerine gidin ve DWORD Değeri'ni tıklatın.
  4. NegotiateDH2048 yazıp ENTER tuşuna basın.
  5. NegotiateDH2048 öğesini sağ tıklatın ve sonra Değiştir'i tıklatın.
  6. Değer verisi kutusuna 1 yazın ve Tamam'ı tıklatın.
  7. Kayıt Defteri menüsünde, Çıkış'ı tıklatın.

Diğer

  • IPsec yüklenme donanımı
    Yük devralan IPsec ağ bağdaştırıcıları, NAT'ler kullanılarak oluşturulmuş güvenlik ilişkilendirmelerini yüklenmez.
  • Yeni özellikler doğru görüntülenmiyor
    Windows Server 2003 IPsec ilkesi kullanılarak etkinleştirilen yeni özellikler IPsec monitöründe doğru görüntülenemeyebilir. Özellikle, DH2048 grubu 268435457 olarak görüntülenir ve dinamik filtre adları (örneğin, WINS veya DHCP) hiç görüntülenmez (sütun boştur).
  • IPsec'in Windows uygulamasındaki IKE bileşeni, işlev işaretçisi WSAIoctl() çağrılarak belirlenen genişletilmiş bir Winsock API işlevi kullanır. Bu işlev çağrısı yüklü hiçbir Katmanlı Hizmet Sağlayıcısı (LSP) içinden geçemezse, IPsec IKE bağlantı noktasında dinleme yapamaz. IPsec bunu bileşenin hatası olarak yorumlar ve ona göre tepki verir (yani, "Güvenli Mod Hatası" iletisi döner). IKE bileşeninin bir LSP'den geçememesine yüklü bir üçüncü taraf programı neden olabilir.

Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sisteminizi yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti etmemektedir. Kayıt defterini değiştirmek kendi sorumluluğunuzdadır. Windows XP SP2 çalışan bir bilgisayarda IPsec NAT-T davranışını değiştirmek için, AssumeUDPEncapsulationContextOnSendRule kayıt defteri değerini oluşturmalısınız.

Varsayılan olarak, Windows XP SP2'de ağ adres çeviricisi arkasında bulunan sunucularla IPsec NAT-T güvenlik ilişkilendirmeleri artık desteklenmez. Bu nedenle, sanal özel ağ (VPN) sunucunuz bir ağ adresi çevirisi arkasındaysa, varsayılan olarak, Windows XP SP2 tabanlı bir VPN istemcisi VPN sunucusuyla bir L2TP/IPsec bağlantısı oluşturamaz. Bu senaryo, Microsoft Windows Server 2003 çalışan bir VPN sunucusunu içerir.

Bu varsayılan davranış, hedef bilgisayar bir ağ adresi çeviricisi arkasında olduğunda Windows XP SP2 çalışan bilgisayarların L2TP/IPsec kullanarak Uzak Masaüstü bağlantıları oluşturmasını da engelleyebilir.

Ağ adresi çeviricilerinin ağ trafiğini çevirme biçimi nedeniyle, bir sunucuyu ağ adresi çeviricisinin arkasına yerleştirip IPsec NAT-T kullandığınızda beklenmedik sonuçlarla karşılaşabilirsiniz. Bu nedenle, iletişim için IPsec kullanmanız gerekiyorsa, doğrudan Internet üzerinden bağlanabildiğiniz tüm sunucular için genel IP adresleri kullanmanızı öneririz.

AssumeUDPEncapsulationContextOnSendRule kayıt defteri değerini oluşturmak ve yapılandırmak için şu adımları izleyin:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, regedit yazın ve Tamam'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Düzen menüsünde, Yeni'nin üzerine gidin ve DWORD Değeri'ni tıklatın.
  4. Yeni Değer #1 kutusuna AssumeUDPEncapsulationContextOnSendRule yazıp ENTER tuşuna basın.
  5. AssumeUDPEncapsulationContextOnSendRule değerini sağ tıklatın ve sonra Değiştir'i tıklatın.
  6. Değer Verisi kutusuna, aşağıdaki değerlerden birini yazın:
    • 0 (varsayılan)
      0 (sıfır) değeri, Windows'u ağ adresi çeviricilerinin arkasında bulunan sunucularla güvenlik ilişkilendirmeleri gerçekleştiremeyecek biçimde yapılandırır.
    • 1
      1 değeri, Windows'u ağ adresi çeviricilerinin arkasında bulunan sunucularla güvenlik ilişkilendirmeleri gerçekleştirebilecek biçimde yapılandırır.
    • 2
      2 değeri, Windows'u hem sunucu hem de Windows XP SP2 tabanlı istemci bilgisayarı ağ adresi çeviricilerinin arkasında bulunduğunda güvenlik ilişkilendirmeleri gerçekleştirebilecek biçimde yapılandırır.
  7. Tamam'ı tıklatın ve Kayıt Defteri Düzenleyicisi'nden çıkın.
  8. Bilgisayarı yeniden başlatın.
Üste

Windows XP hizmet paketi bilgileri

Bu özellik, en son Windows XP hizmet paketinde (SP2) bulunmaktadır. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322389  (http://support.microsoft.com/kb/322389/ ) En son Windows XP hizmet paketi nasıl elde edilir
Üste

Windows 2000 Güncelleştirmesi

Windows 2000 için bu güncelleştirmeyi karşıdan yüklemek üzere, aşağıdaki Microsoft Web sitesini ziyaret edip Microsoft Windows Update Katalogu'nu kullanın:
http://v4.update.microsoft.com/catalog (http://v4.update.microsoft.com/catalog)
Windows Update Kataloğu'ndaki Gelişmiş Arama Seçenekleri özelliğini kullanarak bu makalenin kimlik numarasını aratın. Bunu yapmak için şu adımları izleyin:
  1. Microsoft Windows Update Web sitesinde, Microsoft Windows işletim sistemleri için güncelleştirmeler bul'u tıklatın.
  2. İşletim sisteminizi ve dili tıklatıp seçin, sonra da Gelişmiş Arama'yı tıklatın.

    Not Windows 2000 Professional Service Pack 3 veya Windows 2000 Professional Service Pack 4'ü seçmelisiniz. Farklı bir işletim sistemi seçerseniz, arama sonucu güncelleştirmeyi döndürmez.
  3. Şu sözcükleri içerir kutusuna 818043 yazın ve Ara'yı tıklatın.
Güncelleştirmeleri Windows Update Katalogu'ndan yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
323166  (http://support.microsoft.com/kb/323166/ ) Windows güncelleştirmeleri ve sürücüleri Windows Update Kataloğu'ndan nasıl karşıdan yüklenir

Önkoşullar

Bu paket Windows 2000 Service Pack 3 (SP3) veya sonraki sürümlerini çalıştıran bilgisayarlara yüklenmek üzere tasarlanmıştır.

Yeniden başlatma gereksinimi

Bu güncelleştirme paketi, IPsec özelliklerini etkinleştirmek için bilgisayarınızı yeniden başlatmanızı gerektirir.

Güncelleştirme değiştirme bilgileri

Bu güncelleştirme başka hiçbir güncelleştirmenin yerini almaz.

Dosya bilgileri

Bu düzeltmenin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yenisi) sahiptir. Bu dosyalarla ilgili tarihler ve saatler UTC (eşgüdümlü evrensel saat) kullanılarak listelenmiştir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için, Denetim Masası'ndaki Tarih ve Saat aracında Saat Dilimi sekmesini kullanın.
   Tarih        Saat   Sürüm          Boyut    Dosya adı
   ----------------------------------------------------------------
   18 Eyl 2000  19:01  5.0.2195.1569   33.616  Fips.sys
   21 Nis 2003  15:19  5.0.2195.6738   80.848  Ipsec.sys
   21 Nis 2003  15:19  5.0.2195.6738   29.456  Ipsecmon.exe     
   21 Nis 2003  15:21  5.0.2195.6738  390.928  Netdiag.exe      
   01 May 2003  21:39  5.0.2195.6738  417.552  Oakley.dll       
   01 May 2003  21:39  5.0.2195.6738   96.528  Polagent.dll     
   01 May 2003  21:39  5.0.2195.6738  137.488  Polstore.dll     
   01 May 2003  21:39  5.0.2195.6738   58.128  Rasman.dll       
   01 May 2003  21:39  5.0.2195.6738  153.360  Rasmans.dll      
   01 May 2003  21:39  5.0.2195.6738   54.032  Rastapi.dll      
   21 Nis 2003  15:19  5.0.2195.6738   80.848  Ipsec.sys  (56-bit)
Üste

Referanslar

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
314067  (http://support.microsoft.com/kb/314067/ ) Windows XP'de TCP/IP bağlanabilirliği sorunları nasıl giderilir
257225   (http://support.microsoft.com/kb/257225/ ) Microsoft Windows 2000 Server'da temel IPsec sorunlarını giderme (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
816915  (http://support.microsoft.com/kb/816915/ ) Microsoft Windows yazılım güncelleştirme paketleri için yeni dosya adlandırma şeması
Üste
Anahtar Kelimeler: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
Üste