文章編號: 818043 - 上次校閱: 2011年2月3日 - 版次: 18.2

適用於 Windows XP 和 Windows 2000 的 L2TP/IPsec NAT-T 更新

系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

Microsoft 已經發行更新套件,以加強執行 Microsoft Windows 2000、Microsoft Windows XP (但未安裝 Service Pack),以及 Windows XP Service Pack 1 (SP1) 電腦上,「第二層通道通訊協定」(L2TP) 和「網際網路通訊協定安全性」(IPsec) 的現有功能。此功能隨附於 Windows XP Service Pack 2 (SP2) 中。執行搭配 Service Pack 的 Windows XP 電腦不必安裝此更新套件。

此更新包含了 IPsec 的改良功能,能夠為位於「網路位址轉譯」(Network Address Translation,NAT) 裝置後面的虛擬私人網路 (VPN) 用戶端提供更佳的支援。如果您在 Windows XP 電腦上套用此更新,但是 IPsec 服務發生執行階段錯誤,並且因為某些原因而無法啟動,IPsec 驅動程式就會因為無法確保網路流量的安全,而以封鎖模式運作。

注意 IPsec 服務會以「IPSEC 服務」的方式出現在系統服務清單中。

如需有關 Windows XP 最新版 Service Pack 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322389? (http://support.microsoft.com/kb/322389/ ) 如何取得最新版 Windows XP Service Pack
回此頁最上方

本文內容

回此頁最上方

其他相關資訊

回此頁最上方

全新的 IPsec 功能和管理與監視嵌入式管理單元

  • 安裝此更新之後,執行 Windows 2000 和 Windows XP 的 L2TP/IPsec 用戶端就可以從 NAT 裝置後面建立 IPsec 連線。新的 IPsec NAT-T 功能是以 IETF Requests for Comments (RFC) 3193 及原始 IETF IPsec NAT-T 網際網路規格的第 2 版為主。具備 SP2 的 Windows XP 用戶端也具有這項增強連線能力的選項。 IPsec NAT-T 目前是指定於 RFC 3947 和 3948。
  • 更新的 IPsec 監視器嵌入式管理單元可以檢視執行 Windows XP 的電腦 (但僅限於已經安裝 SP2 的 Windows XP 電腦)。
  • 更新的 IPsec 監視器可以檢視執行 Microsoft Windows Server 2003 的電腦,同樣地,Windows Server 2003 可以監視已經安裝 SP2 的 Windows XP 電腦。
  • 無法使用此嵌入式管理單元監視執行 Windows 2000 的電腦。
  • 當新的 IPsec Management 嵌入式管理單元遇到包含了在 Windows Server 2003 中建立的進階功能的原則物件 (例如,DH2048、「憑證對應」或動態篩選器) 時,就會切換至唯讀模式。如果嵌入式管理單元物件 (例如,規則、篩選器清單或提供主要模式) 含有這些新設定的參照,此切換行為就會造成嵌入式管理單元物件無法編輯。IPsec Management 嵌入式管理單元會切換至唯讀模式,如此,就不會意外地移除重要的進階功能。
  • Windows XP 電腦上已更新的 IPsec 服務可以顯露 Windows Server 2003 原則中所提供的大部分新功能。

    注意「憑證對應」並未提供使用。
  • 如果 Windows XP 電腦上安裝了舊版的 IPseccmd 工具 (Windows 2000 無法使用此工具),更新的 IPseccmd 就會安裝在 drive:\Program Files\Support Tools 資料夾中。

    更新的 IPseccmd 具有下列功能:
    • 動態地開啟和關閉「網際網路金鑰交換」(Internet Key Exchange,IKE) 記錄功能。
    • 顯示有關目前所指派原則的資訊。
    • 讓您可以建立永久的 IPsec 原則。
    注意 舊版的 IPseccmd 無法在已更新的電腦上運作,而更新的 IPseccmd 無法在未更新的電腦上運作。
回此頁最上方

交互操作性和已知問題

IPsec NAT-T 和防火牆規則

由於 IPsec NAT-T 功能的支援以 IETF RFC 3193 和原始 IETF NAT-T 網際網路規格的第 2 版為主,因此,如果要透過防火牆執行這些服務,您可能必須在防火牆規則中開啟下列連接埠和通訊協定:
  • 網際網路金鑰交換 (IKE) - 使用者資料包通訊協定 (User Datagram Protocol,UDP) 500
  • IPsec NAT-T - UDP 4500
  • 封裝安全承載 (ESP) - 網際網路通訊協定 (IP) 50

使用 IPsec NAT-T 的支援狀況

下列狀況將會成功地允許 L2TP/IPsec 的 IPsec NAT-T 連線。在這些狀況中, Client 代表執行 Windows 2000 以及已經安裝 818043,或是已安裝 SP2 的 Windows XP 電腦的用戶端。Server 是執行 Windows Server 2003 以及使用「路由及遠端存取」的 L2TP/IPsec 伺服器。
Client----> NAT ----Internet---->Server

唯一受支援且建議的狀況,就是在 Server 並非位於 NAT 裝置後面的時候。
L2TP/IPsec 伺服器也可以是支援 NAT-T 連線的協力廠商閘道產品。

注意 如果您將更新 818043 套用至使用「路由及遠端存取」的 Windows 2000 伺服器,伺服器就無法當做此狀況中的 L2TP/IPsec 伺服器來運作。該伺服器就不會允許來自位於一或多個 NAT 裝置後面的 L2TP/IPsec 用戶端的連線。此更新只適用於用戶端更新。 伺服器端的 IPsec NAT-T 功能是僅適用於 Windows Server 2003「路由及遠端存取」的新功能。IPsec NAT-T 伺服器端的支援將不會新增至 Windows 2000「路由及遠端存取」。

Diffie-Hellman 群組 2048 更新

為了讓 L2TP/IPsec 用戶端進行交涉且使用 Diffie-Hellman 群組 2048 更新,所要連線的遠端存取伺服器必須也支援此群組。

注意 如果您的電腦執行 Windows Server 2003,並且您想要使用 Diffie-Hellman 2048,就必須建立登錄子機碼。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. [編輯] 功能表上,指向 [新增],再按一下 [DWORD 值]
  4. 輸入 NegotiateDH2048,然後按下 ENTER 鍵。
  5. 用滑鼠右鍵按一下 [NegotiateDH2048],然後按一下 [修改]
  6. [數值資料] 方塊中,輸入 1,然後按一下 [確定]
  7. [檔案] 功能表上,按一下 [結束]

其他

  • IPsec 卸載硬體
    IPsec 卸載網路介面卡不會卸載使用 NAT 所建立的安全性關聯。
  • 新的功能無法正確地顯示
    使用 Windows Server 2003 IPsec 原則所啟用的新功能可能無法正確地顯示在 IPsec 監視器中。 最特別的是,DH2048 群組會顯示為 268435457,而動態篩選器的名稱 (例如,WINS 或 DHCP) 則完全不會顯示出來 (欄位是空白的)。
  • IPsec 中 Windows 實作的 IKE 元件會使用擴充的 Winsock API 函式,而 Winsock API 函式的函式指標是以呼叫 WSAIoctl() 來決定。如果此函式呼叫無法透過任何已安裝的「階層服務提供者」(Layered Service Provider,LSP) 進行傳送,IPSec 就無法接聽 IKE 連接埠。IPsec 會將此情形解譯為元件失敗,並視情況做出回應 (也就是傳回 Fail to a Secure Mode (無法執行安全模式) 訊息)。IKE 元件無法透過 LSP 進行傳送,可能是由已安裝的協力廠商程式所造成的。

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。 如果要變更 Windows XP SP2 電腦的 IPsec NAT-T 行為,您必須建立 AssumeUDPEncapsulationContextOnSendRule 登錄值。

依預設,Windows XP SP2 不再支援與位於網路位址轉譯器後面的伺服器間的 IPsec NAT-T 安全性關聯。因此,如果您的虛擬私人網路 (VPN) 伺服器位於網路位址轉譯器後面,Windows XP SP2 的 VPN 用戶端預設無法以 L2TP/IPsec 連線連至 VPN 伺服器。這個狀況包括了執行 Microsoft Windows Server 2003 的 VPS 伺服器。

此預設行為可能也會使 Windows XP SP2 電腦無法在目標電腦位於網路位址轉譯器後面的情況下,以 L2TP/IPsec 進行遠端桌面連線。

由於網路位址轉譯器轉譯網路流量的方式,當您將伺服器放置在網路位址轉譯器後面,然後使用 IPsec NAT-T 時,可能會遭遇無法預期的結果。因此,如果您需要 IPsec 來進行通訊,我們建議您在可以直接連線至網路網路的所有伺服器上使用公用 IP 位址。

如果要建立並設定 AssumeUDPEncapsulationContextOnSendRule 登錄值,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. [編輯] 功能表上,指向 [新增],再按一下 [DWORD 值]
  4. 在 [新數值 #1] 方塊中,輸入 AssumeUDPEncapsulationContextOnSendRule,然後按下 ENTER 鍵。
  5. 用滑鼠右鍵按一下 [AssumeUDPEncapsulationContextOnSendRule],然後按一下 [修改]
  6. [數值資料] 方塊中輸入下列其中一個值:
    • 0 (預設)
      0 (零) 的值會將 Windows 設定為無法與位於網路位址轉譯器後面的伺服器建立安全性關聯。
    • 1
      1 的值會將 Windows 設定為可以與位於網路位址轉譯器後面的伺服器建立安全性關聯。
    • 2
      A value of 2 的值會將 Windows 設定為可以在伺服器和 Windows XP SP2 用戶端電腦都位於網路位址轉譯器後面的情況下,建立安全性關聯。
  7. 按一下 [確定],然後結束 [登錄編輯程式]。
  8. 重新啟動電腦。
回此頁最上方

Windows XP Service Pack 資訊

這個功能會在 Windows XP 的最新版 Service Pack (即 SP2) 中提供。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322389? (http://support.microsoft.com/kb/322389/ ) 如何取得最新版 Windows XP Service Pack
回此頁最上方

Windows 2000 更新

如果要下載適用於 Windows 2000 的這個更新,請造訪下列 Microsoft 網站,然後使用「Microsoft Windows Update 類別目錄」:
http://v4.update.microsoft.com/catalog (http://v4.update.microsoft.com/catalog)
使用「Windows Update 類別目錄」的「進階的搜尋選項」功能,搜尋本文編號。如果要執行這項操作,請依照下列步驟執行:
  1. 在 Microsoft Windows Update 網站上,按一下 [為 Microsoft Windows 作業系統尋找更新]
  2. 按一下以選取您的作業系統和語言,然後按一下 [進階搜尋]

    注意 您必須選取 Windows 2000 Professional Service Pack 3 或 Windows 2000 Professional Service Pack 4。如果您選取其他作業系統,搜尋就不會傳回更新。
  3. [包含這些字] 方塊中,輸入 818043,然後按一下 [搜尋]
如需有關如何從「Windows Update 類別目錄」下載更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
323166? (http://support.microsoft.com/kb/323166/ ) 如何從 Windows Update 類別目錄下載 Windows 更新及驅動程式

先決條件

此更新套件是設計用來安裝在執行 Windows 2000 Service Pack 3 (SP3) 或更新版本的電腦上。

重新啟動需求

安裝此更新套件之後,您必須重新啟動電腦,才能啟用新的 IPsec 功能。

更新取代資訊

此更新不會取代任何其他更新。

檔案資訊

此 Hotfix 的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。
摺疊此表格展開此表格
日期時間版本大小檔名
18-Sep-200019:015.0.2195.156933,616Fips.sys
21-Apr-200315:195.0.2195.673880,848Ipsec.sys
21-Apr-200315:195.0.2195.673829,456Ipsecmon.exe
21-Apr-200315:215.0.2195.6738390,928Netdiag.exe
01-May-200321:395.0.2195.6738417,552Oakley.dll
01-May-200321:395.0.2195.673896,528Polagent.dll
01-May-200321:395.0.2195.6738137,488Polstore.dll
01-May-200321:395.0.2195.673858,128Rasman.dll
01-May-200321:395.0.2195.6738153,360Rasmans.dll
01-May-200321:395.0.2195.673854,032Rastapi.dll
21-Apr-200315:195.0.2195.673880,848Ipsec.sys(56-bit)
回此頁最上方

?考

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
314067? (http://support.microsoft.com/kb/314067/ ) 如何運用 Windows XP 疑難排解 TCP/IP 的連線問題
257225? (http://support.microsoft.com/kb/257225/ ) Basic IPsec troubleshooting in Microsoft Windows 2000 Server
816915? (http://support.microsoft.com/kb/816915/ ) Microsoft Windows 軟體更新套件的最新檔案命名架構
回此頁最上方
關鍵字:?
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。