Поновлення для функції NAT-T протоколів L2TP та IPSec у Windows XP й Windows 2000

Номер статті: 818043
Розгорнути все | Згорнути все

На цій сторінці

ПІДСУМКИ

Корпорація Майкрософт випустила поновлення, яке розширює можливості протоколів L2TP (Layer Two Tunneling Protocol) та IPSec (Internet Protocol security) на комп'ютерах під керуванням Windows 2000, Windows XP без пакетів поновлення та Windows XP з пакетом поновлення 1 (SP1). Нові функціональні можливості долучені до складу Windows XP з пакетом поновлення 2 (SP2). (Інсталювати поновлення на комп'ютерах з цієї операційною системою не потрібно.)

Дане поновлення поліпшує підтримку клієнтів віртуальних приватних мереж (VPN), розташованих за пристроями перетворення мережних адрес (NAT). Якщо після інсталяції поновлення на комп'ютері під керуванням Windows XP служба IPSec викликає помилку виконання та не запускається, то драйвер IPSec діє в режимі блокування, тому що не може забезпечити безпеку мережного трафіка.

Примітка. Служба IPSec відображається у списку системних служб під назвою "Служби IPSEC".

Щоб отримати додаткові відомості про останній пакет поновлення для Windows XP, клацніть номер статті бази знань Microsoft Knowledge Base:
322389
(http://support.microsoft.com/kb/322389/ )
Як отримати найновіший пакет поновлення для Windows XP (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)

Зміст

На початок | Надіслати відгук

ДОДАТКОВІ ВІДОМОСТІ

Оснастки керування та моніторингу; нові функції протоколу IPsec

  • Після інсталяції цього поновлення клієнти L2TP та IPSec під керуванням Windows 2000 та Windows XP можуть створювати підключення IPSec, знаходячись за пристроєм NAT. Нова функція IPsec NAT-T створена у відповідності зі специфікацією RFC 3193 та другою версією документа IPsec NAT-T, розробленими проблемною групою проектування Інтернета (IETF). Комп'ютери під керуванням Windows XP з пакетом поновлення 2 (SP2) також підтримують цю функцію. Функція IPsec NAT-T визначена у специфікаціях 3947 та 3948.
  • Поновлена оснастка "Монітор IPSec" дозволяє спостерігати за комп'ютерами, які працюють під керуванням Windows XP, але тільки з пакетом поновлення 2 (SP2).
  • Поновлена оснастка "Монітор IPSec" також дозволяє контролювати комп'ютери з Windows Server 2003. Крім того, з комп'ютера під керуванням Windows Server 2003 можна спостерігати за комп'ютерами під керуванням Windows XP з пакетом поновлення 2 (SP2).
  • Ця оснастка не дозволяє спостерігати за комп'ютерами з Windows 2000.
  • Якщо існують об'єкти політики, які містять додаткові параметри, створені у Windows Server 2003 (наприклад DH2048, зіставлення сертифікатів або динамічні фільтри), то нова оснастка "Керування IPSec" переключається в режим "тільки читання". При цьому забороняється редагування об'єктів оснастки (наприклад правил, списків фільтрів або можливостей основного режиму), що містять посилання на ці параметри. Це зроблено для запобігання випадковому видаленню важливих функцій.
  • На комп'ютерах під керуванням Windows XP поновлені служби IPSec підтримують більшість нових функцій, доступних у Windows Server 2003 через політики.

    Примітка Зіставлення сертифікатів не підтримується.
  • Якщо на комп'ютері з Windows XP уже інстальовано засіб IPSeccmd однієї з попередніх версій (у Windows 2000 цей засіб відсутній ), то поновлений засіб IPSeccmd інсталюється в папці диск:\Program Files\Support Tools.

    В поновленій версії засобу IPSeccmd реалізовано такі можливості:
    • Динамічне вмикання та вимикання ведення журналу протоколу IKE (Internet Key Exchange).
    • Відображення відомостей щодо поточної політики.
    • Створення надійної політики IPSec.
    Примітка Попередня версія засобу IPSeccmd не буде працювати на комп'ютері з інстальованим поновленням, а поновлена версія IPSeccmd, навпаки, не працює, якщо поновлення не інстальоване.

Взаємодія та відомі проблеми

Функція IPsec NAT-T та правила брандмауера

Оскільки нову реалізацію IPsec NAT-T розроблено на основі специфікацій IETF RFC 3193 та IETF NAT-T (2-я редакція), то для нормальної роботи служб необхідно за допомогою правил брандмауера відкрити наступні порти та протоколи:
  • Internet Key Exchange (IKE): порт User Datagram Protocol (UDP) 500
  • IPsec NAT-T: UDP-порт 4500
  • Encapsulating Security Payload (ESP): протокол Интернету (IP), порт 50

Підтримувані варіанти використання функції IPsec NAT-T

Нижче наведені варіанти підключень L2TP та IPSec з використанням IPsec NAT-T. Тут клієнт — це клієнтський комп'ютер під керуванням Windows 2000, на якому інстальовано поновлення 818043, або комп'ютер під керуванням Windows XP з пакетом поновлення 2 (SP2). Сервер — це сервер L2TP/IPSec під керуванням Windows Server 2003, на якому запущено службу маршрутизації та віддаленого доступу.
Клієнт----> NAT ----Інтернет---->сервер

Корпорація Майкрософт підтримує та рекомендує тільки варіант, коли сервер не розташований за пристроєм NAT.
Як сервер L2TP/IPSec може також виступати шлюз незалежного постачальника, який підтримує підключення NAT-T.

Примітка У розглянутому варіанті сервер під керуванням Windows 2000, на якому запущено службу RRAS ( Routing and Remote Access) та інстальовано поновлення 818043, не може бути сервером L2TP/IPSec, оскільки він не дозволяє підключатися клієнтам L2TP/IPSec, розташованим за одним або кількома пристроями NAT. Це поновлення інсталюється тільки на стороні клієнта. На стороні сервера функцію IPsec NAT-T реалізовано тільки для служби RRAS у Windows Server 2003. Підтримка цієї функції на стороні сервера для служби RRAS у Windows 2000 не планується.

Поновлення 2048-розрядного алгоритму Діффі-Хелмана

Сервер віддаленого доступу, до якого клієнт L2TP/IPSec підключається за допомогою поновленого алгоритму Діффі-Хелмана, у якому використовується 2048-розрядний ключ, також має підтримувати такий розмір ключа.

Примітка Щоб використовувати 2048-розрядний алгоритм Діффі-Хелмана на комп'ютері під керуванням Windows Server 2003, необхідно створити спеціальний розділ реєстру. Для цього виконайте такі дії:
  1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть regedit та натисніть кнопку OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. У меню Редагування виберіть команду Створити та клацніть Параметр DWORD.
  4. Введіть NegotiateDH2048 і натисніть клавішу ENTER.
  5. Клацніть параметр NegotiateDH2048 правою кнопкою миші та виберіть команду Змінити.
  6. У полі Значення введіть 1 та натисніть кнопку OK.
  7. У меню Файл виберіть команду Вихід.

Інші проблеми

  • Устаткування для розвантаження при використанні IPSec
    Мережні адаптери, які знижують навантаження на процесор при обробці IPSec, не обробляють захищені з’єднання, створені з використанням NAT.
  • Неправильно відображаються нові компоненти
    Нові компоненти, створені за допомогою політики IPSec у Windows Server 2003, можуть неправильно відображатися монітором IPSec. Наприклад, група DH2048 відображається як 268435457, а імена динамічних фільтрів (наприклад WINS або DHCP) відсутні (порожній стовпець).
  • У реалізованому в Windows протоколі IPSec компонент IKE використовує розширену функцію Winsock API, вказівник якої визначається шляхом виклику функції WSAIoctl(). Якщо виклик функції не проходить через будь-який зі встановлених елементів LSP (Layered Service Provider), то протокол IPSec не може прослухувати порт IKE. Протокол IPSec розцінює це як помилку компонента та повертає повідомлення "Fail to a Secure Mode". Причиною подібного поводження може бути інсталяція програми стороннього виробника.

Попередження. Неправильна зміна реєстру за допомогою редактора реєстру або іншим способом може спричинити серйозні ускладнення. Ці проблеми можуть викликати необхідність переінсталяції операційної системи. Корпорація Майкрософт не може гарантувати усунення цих проблем. Відповідальність за наслідки змін реєстру лягає на користувача. Щоб змінити стандартний підхід до застосування IPsec NAT-T на комп'ютерах під керуванням Windows XP з пакетом поновлення 2 (SP2), необхідно створити в реєстрі параметр AssumeUDPEncapsulationContextOnSendRule.

За промовчанням Windows XP з пакетом поновлення 2 (SP2) не підтримує захищених з’єднань IPsec NAT-T з серверами, розташованими за транслятором мережних адрес. Таким чином, клієнт віртуальної приватної мережі (VPN) під керуванням Windows XP з пакетом поновлення 2 (SP2) за промовчанням не зможе встановити підключення L2TP/IPsec до сервера VPN за транслятором мережних адрес. Це стосується й сервера VPN під керуванням Windows Server 2003.

До того ж такий підхід не дозволяє комп'ютерам під керуванням Windows XP з пакетом поновлення 2 (SP2) підключатися до віддаленого робочого столу за протоколом L2TP/IPsec, якщо комп'ютер призначення розташований за транслятором мережних адрес.

Коли сервер знаходиться за таким пристроєм, через особливості обробки мережного трафіка пристроями NAT можливе одержання несподіваних результатів у випадку використання IPsec NAT-T. З цієї причини, якщо є необхідність в організації обміну даними за допомогою функції IPsec, рекомендується застосовувати відкриті IP-адреси для всіх серверів, до яких підключення встановлюється з Інтернета напряму.

Для створення та налаштування параметра реєстру AssumeUDPEncapsulationContextOnSendRule виконайте такі дії:
  1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть regedit та натисніть кнопку OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. У меню Редагування виберіть команду Створити та клацніть Параметр DWORD.
  4. У полі "Новий параметр #1" введіть AssumeUDPEncapsulationContextOnSendRule, а потім натисніть клавішу ENTER.
  5. Клацніть параметр AssumeUDPEncapsulationContextOnSendRule правою кнопкою миші та виберіть команду Змінити.
  6. У полі Значення введіть одне з наступних значень:
    • 0 (за промовчанням)
      Windows не підтримує захищених з’єднань з серверами, розташованими за трансляторами мережних адрес.
    • 1
      Windows підтримує захищені з’єднання із серверами, розташованими за трансляторами мережних адрес.
    • 2
      Windows підтримує захищені з’єднання, якщо як сервер, так і клієнтський комп'ютер під керуванням Windows XP з пакетом поновлення 2 (SP2) розташовані за трансляторами мережних адрес.
  7. Натисніть кнопку OK і закрийте редактор реєстру.
  8. Перезапустіть комп'ютер.

Відомості про пакет поновлення для Windows XP

Дану функцію реалізовано у складі останнього пакета поновлення для Windows XP (SP2). Щоб отримати додаткові відомості, клацніть номер статті бази знань Microsoft Knowledge Base:
322389
(http://support.microsoft.com/kb/322389/ )
Як отримати найновіший пакет поновлення для Windows XP (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)

Поновлення для Windows 2000

Завантажити поновлення для Windows 2000 можна з каталога Windows Update за наступною адресою:
http://v4.update.microsoft.com/catalog
(http://v4.update.microsoft.com/catalog)
Зробіть пошук за номером даної статті за допомогою додаткових параметрів пошуку каталога Windows Update. Для цього виконайте такі дії:
  1. На веб-сайті Windows Update клацніть ссылку Пошук поновлень для операційних систем Microsoft Windows.
  2. Виберіть операційну систему й мову та клацніть посилання Додаткові параметри пошуку.

    Примітка Необхідно вибрати Windows 2000 Professional з пакетом поновлення 3 (SP3) або 4 (SP4). Інакше поновлення не буде знайдено.
  3. У полі Містить слова введіть 818043 та натисніть кнопку Пошук.
Щоб отримати додаткові відомості про завантаження поновлень з каталога Windows Update, клацніть номер статті бази знань Microsoft Knowledge Base:
323166
(http://support.microsoft.com/kb/323166/ )
Як завантажити оновлення та драйвери для Windows із каталогу Windows Update

Необхідні умови

Це поновлення призначене для інсталяції на комп'ютері під керуванням Windows 2000 з пакетом поновлення 3 (SP3) або пізнішої версії.

Необхідність перезавантаження

Для активації нових функцій IPSec після інсталяції поновлення необхідно перезавантажити комп'ютер

Відомості про заміну поновлень

Це поновлення не заміняє інші поновлення

Відомості про файли

Англійська версія цих поточних виправлень має атрибути файлів, надані в нижченаведеній таблиці, або є новішою. Значення дати й часу вказано за скоординованим універсальним часом (UTC). У разі перегляду відомостей про файл ці дані перераховуються у місцевий час. Щоб визначити різницю між UTC і місцевим часом, відкрийте вкладку Часовий пояс у вікні елементу "Дата й час" панелі керування.
   Дата         Час   Версія        Розмір     Ім'я файлу
   ----------------------------------------------------------------
   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
   21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
   01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
   01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
   01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
   01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
   01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
   01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-розрядна версія)
На початок | Надіслати відгук

ПОСИЛАННЯ

Щоб отримати додаткові відомості, клацніть відповідні номери статей бази знань Microsoft Knowledge Base:
314067
(http://support.microsoft.com/kb/314067/ )
Усунення неполадок, пов'язаних зі встановленням підключення за протоколом TCP/IP у Windows XP. (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
257225
(http://support.microsoft.com/kb/257225/ )
Усунення неполадок, що виникають під час використання протоколу IPSec у Microsoft Windows 2000 Server (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
816915
(http://support.microsoft.com/kb/816915/ )
Нова схема присвоєння імен пакетам поновлень програмного забезпечення Microsoft Windows (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
На початок | Надіслати відгук

Властивості

Номер статті: 818043 - Востаннє переглянуто: 3 лютого 2011 р. - Редакція: 18.3
Ключові слова: 
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
На початок | Надіслати відгук

Надіслати відгук

 
На початокНа початок