文章编号: 818043 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Microsoft 已经发行了一个更新程序包,以增强运行 Microsoft Windows 2000、未安装 Service Pack 的 Microsoft Windows XP 和具有 Service Pack 1 (SP1) 的 Windows XP 的计算机上第二层隧道协议 (L2TP) 和 Internet 协议安全性 (IPsec) 的当前功能。Windows XP Service Pack 2 (SP2) 中包括此增强功能。运行具有 Service Pack 的 Windows XP 的计算机无需安装此更新程序包。

此更新包含对 IPsec 的改进,以更好地支持位于网络地址转换 (NAT) 设备后面的虚拟专用网络 (VPN) 客户端。如果将此更新应用于运行 Windows XP 的计算机,并且 IPSec 服务遇到运行时错误并由于某种原因而无法启动,则 IPSec 驱动程序将在阻止模式下运行(原因是它无法确保网络流量的安全)。

注意:IPsec 服务在系统服务列表中显示为“IPSEC services”。

有关最新的 Windows XP Service Pack 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 如何获取最新的 Windows XP Service Pack

文章内容

更多信息

新的 IPsec 功能以及管理和监视管理单元

  • 安装此更新后,基于 Windows 2000 和 Windows XP 的 L2TP/IPSec 客户端便能够从 NAT 设备后创建 IPsec 连接。这一新的 IPsec NAT-T 功能以 IETF Requests for Comments (RFC) 3193 和原来的 IETF IPsec NAT-T Internet 草稿的版本 2 为基础。带 SP2 的 Windows XP 客户端也具有该增强的连接选项。IPsec NAT-T 当前是在 RFC 3947 和 3948 中指定的。
  • 更新后的 IPsec 监视管理单元可以查看运行 Windows XP 的计算机,但前提是基于 Windows XP 的计算机上已安装了 SP2。
  • 更新后的 IPsec 监视管理单元可以查看运行 Microsoft Windows Server 2003 的计算机。同样,Windows Server 2003 可以监视安装了 SP2 的基于 Windows XP 的计算机。
  • 无法使用此管理单元监视正在运行 Windows 2000 的计算机。
  • 如果新的“IPSec 管理”管理单元遇到的策略对象包含在 Windows Server 2003 中创建的高级功能(如 DH2048、证书映射或动态筛选器),它就会切换到只读模式。如果管理单元对象(如规则、筛选器列表或提供的主模式)包含对这些新设置的引用,此行为将导致这些对象无法编辑。“IPSec 管理”管理单元将切换到只读模式,以免其意外删除重要的高级功能。
  • 基于 Windows XP 的计算机上已更新的 IPSec 服务可以公开 Windows Server 2003 策略中所提供的大多数新功能。

    注意:无法使用证书映射。
  • 如果基于 Windows XP 的计算机上安装了 IPseccmd 工具的早期版本(Windows 2000 中没有此工具),则更新后的 IPseccmd 将安装在 drive:\Program Files\Support Tools 文件夹中。

    更新后的 IPseccmd 具有下列功能:
    • 它动态地打开和关闭 Internet 密钥交换 (IKE) 日志记录。
    • 它显示有关当前分配的策略的信息。
    • 您可以通过它创建永久性的 IPsec 策略。
    注意:IPseccmd 的早期版本在更新后的计算机上无法运行,而更新后的 IPseccmd 在未更新的计算机上无法运行。

互操作性和已知问题

IPsec NAT-T 和防火墙规则

由于对 IPsec NAT-T 功能的支持是以 IETF RFC 3193 和原来的 IETF NAT-T Internet 草稿的版本 2 为基础的,因此要使这些服务通过防火墙运行,您可能必须在防火墙规则中打开下列端口和协议:
  • Internet 密钥交换 (IKE) – 用户数据报协议 (UDP) 500
  • IPsec NAT-T - UDP 4500
  • 封装式安全协议 (ESP) - Internet 协议 (IP) 协议 50

使用 IPsec NAT-T 的受支持方案

下面的方案将成功允许使用基于 L2TP/IPsec 的 IPsec NAT-T 连接。在这些方案中,Client 是运行 Windows 2000 并且安装了 818043 更新的客户端,或者是安装了 SP2 的基于 Windows XP 的计算机。Server 是运行 Windows Server 2003 并且使用“路由和远程访问”的 L2TP/IPsec 服务器。
Client----> NAT ----Internet---->Server

唯一受到支持和推荐的方案是 Server 不位于 NAT 设备后面的情况。
L2TP/IPsec 服务器也可以是支持 NAT-T 连接的第三方网关产品。

注意:如果对使用“路由和远程访问”且基于 Windows 2000 的服务器应用 818043 更新,那么在此方案中,该服务器将不能作为 L2TP/IPsec 服务器运行。它不允许从位于一个或多个 NAT 设备后面的 L2TP/IPsec 客户端进行连接。此更新只是一个客户端更新。服务器端的 IPsec NAT-T 功能只是 Windows Server 2003 路由和远程访问中的一项新功能。在 Windows 2000 路由和远程访问中将不会增加 NAT-T 服务器端支持。

Diffie-Hellman 组 2048 更新

要使 L2TP/IPsec 客户端协商并使用 Diffie-Hellman 组 2048 更新,正在连接的远程访问服务器也必须支持此组。

注意:如果您的计算机正在运行 Windows Server 2003,并且要使用 Diffie-Hellman 2048,则必须创建一个注册表子项。为此,请按照下列步骤操作:
  1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
  2. 找到并单击下面的注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。
  4. 键入 NegotiateDH2048,然后按 Enter 键。
  5. 右键单击“NegotiateDH2048”,然后单击“修改”。
  6. 在“数值数据”框中,键入 1,然后单击“确定”。
  7. 在“注册表”菜单上,单击“退出”。

其他

  • IPsec 卸载硬件
    IPsec 卸载网络适配器不能卸载使用 NAT 创建的安全关联。
  • 不能正确显示新的功能
    在 IPsec 监视器中,可能无法正确显示使用 Windows Server 2003 IPsec 策略启用的新功能。尤其是,DH2048 组显示为 268435457,而动态筛选器名称(如 WINS 或 DHCP)根本不显示(该列为空)。
  • IPsec 的 Windows 实现的 IKE 组件使用扩展的 Winsock API 函数,其函数指针是通过调用 WSAIoctl() 来确定的。如果此函数调用无法通过任何已安装的层次服务提供程序 (LSP) 进行传递,则 IPsec 无法在 IKE 端口上进行侦听。IPsec 将其解释为组件故障,并相应地做出反应(即返回“Fail to a Secure Mode”(未能进入安全模式)消息)。IKE 组件无法经过 LSP 的情况可能是由安装的第三方程序引起的。

警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。 要改变运行 Windows XP SP2 的计算机的 IPsec NAT-T 行为,必须创建 AssumeUDPEncapsulationContextOnSendRule 注册表值。

默认情况下,Windows XP SP2 不再支持与位于网络地址转换器后面的服务器的 IPsec NAT-T 安全关联。因此,如果虚拟专用网络 (VPN) 服务器位于网络地址转换器的后面,则在默认情况下,基于 Windows XP SP2 的 VPN 客户端无法与 VPN 服务器进行 L2TP/IPsec 连接。此方案包括运行 Microsoft Windows Server 2003 的 VPN 服务器。

这种默认行为还可以阻止运行 Windows XP SP2 的计算机在目标计算机位于网络地址转换器后面时使用 L2TP/IPsec 进行远程桌面连接。

由于网络地址转换器转换网络流量的方式的原因,您在将服务器放在网络地址转换器后面并使用 IPsec NAT-T 时,可能会遇到意外的结果。因此,如果需要 IPsec 进行通讯,我们建议您对可以直接从 Internet 连接到的所有服务器使用公共 IP 地址。

要创建并配置 AssumeUDPEncapsulationContextOnSendRule 注册表值,请按照以下步骤操作:
  1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
  2. 找到并单击下面的注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。
  4. 在“新值 #1”框中,键入 AssumeUDPEncapsulationContextOnSendRule,然后按 Enter 键。
  5. 右键单击“AssumeUDPEncapsulationContextOnSendRule”,然后单击“修改”。
  6. 在“数值数据”框中键入下列值之一:
    • 0(默认)
      值 0(零)将 Windows 配置为无法建立与位于网络地址转换器后面的服务器的安全关联。
    • 1
      值 1 将 Windows 配置为可以建立与位于网络地址转换器后面的服务器的安全关联。
    • 2
      值 2 将 Windows 配置为可以在服务器和基于 Windows XP SP2 的客户机都位于网络地址转换器后面时建立安全关联。
  7. 单击“确定”,然后退出注册表编辑器。
  8. 重新启动计算机。

Windows XP Service Pack 信息

Windows XP 的最新 Service Pack (SP2) 中包含这一功能。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 如何获取最新的 Windows XP Service Pack

Windows 2000 更新

要下载 Windows 2000 更新,请访问下面的 Microsoft 网站以使用 Microsoft Windows Update 目录:
http://catalog.update.microsoft.com/v7/site/Home.aspx
使用 Windows Update 目录中的“高级搜索选项”功能来搜索本文的 ID 号。为此,请按照下列步骤操作:
  1. 在 Microsoft Windows Update 网站上,单击“查找 Microsoft Windows 操作系统的更新”。
  2. 单击以选择您的操作系统和语言,然后单击“高级搜索”。

    注意:您必须选择 Windows 2000 Professional Service Pack 3 或 Windows 2000 Professional Service Pack 4。如果选择其他操作系统,则搜索中将不返回更新。
  3. 在“包括这些词”框中,键入 818043,然后单击“搜索”。
有关如何从 Windows Update 目录中下载更新的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
323166 如何从 Windows Update 目录下载 Windows 更新和驱动程序

先决条件

此更新程序包适合安装在运行带有 Service Pack 3 (SP3) 或更高版本的 Windows 2000 的计算机上。

重新启动要求

此更新程序包要求重新启动计算机才能启用新的 IPsec 功能。

更新替换信息

此更新不替换任何其他更新。

文件信息

此修复程序的英语版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,此时间将转换为当地时间。要了解 UTC 与当地时间之间的时差,请使用“控制面板”中的“日期和时间”工具的“时区”选项卡。
日期            时间      版本              大小      文件名
----------------------------------------------------------------
18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys
21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys
21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe     
21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe      
01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll       
01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll     
01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll     
01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll       
01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll      
01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll      
21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)

参考

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
314067 如何解决 Windows XP 的 TCP/IP 连接问题
257225 Microsoft Windows 2000 Server 中的 IPsec 疑难解答
816915 Microsoft Windows 软件更新程序包的新文件命名方案

属性

文章编号: 818043 - 最后修改: 2012年6月27日 - 修订: 20.0
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
关键字:?
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com