IPSec NAT-T se nedoporučuje pro systém Windows Server 2003 počítačů za překladače síťových adres

Překlady článku Překlady článku
ID článku: 885348 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Nedoporučujeme používat funkce protokol IPSec (IPSec) sítě adresu překlad (NAT) traversal (NAT-T) pro nasazení systému Windows, které obsahují servery VPN, které jsou umístěny za překladače síťových adres. Za převaděče síťových adres serveru a server používá protokol IPSec NAT-T, nežádoucí vedlejší účinky, může dojít z důvodu způsobu, překladače síťových adres překladu síťových přenosů.

Změnil-navíc výchozí chování systému Microsoft Windows XP s aktualizací Service Pack 2 (SP2). Přidružení zabezpečení IPSec NAT-T na servery, které jsou umístěny za překladače síťových adres není vhodné pro počítače se systémem Windows XP SP2. Tato změna znamená, že systémem Microsoft Windows Server 2003 virtuální privátní sítě (VPN) serveru, který používá vrstvu dva tunelové propojení protokolu IPSec (L2TP/IPSec) nemůže být nasazena za network address translator bez další konfigurace klientů VPN se systémem Windows XP SP2.

Pokud komunikace protokolu IPSec, doporučujeme použití veřejných adres IP pro všechny servery, ke kterým můžete připojit přímo z Internetu. Systém Windows klientských počítačů podporujících protokol IPSec NAT-T může být umístěn za převaděče síťových adres.

Další informace

NAT je široce používané technologie, která umožňuje více než jednomu počítači sdílet jednu veřejnou IP adresu. Překladače síťových adres mapovat soukromých adres, které jsou použity na následující privátní sítě na veřejných adres IP, které se používají v síti Internet:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Jestliže umístíte na server za převaděče síťových adres, protože klienti připojení k serveru přes Internet vyžadují veřejnou adresu IP zaznamenat potíže s připojením. Chcete-li získat přístup k serverům, které se nachází za překladače síťových adres z Internetu, je nutné nakonfigurovat statického mapování na network address translator. Chcete-li získat přístup k počítači se systémem Windows Server 2003, který je za převaděče síťových adres z Internetu, například konfigurace network address translator s následující převaděče mapování adresy statické sítě:
  • Veřejnou IP adresu a port UDP 500 serveru privátní IP adresu a port UDP 500.
  • Veřejnou IP adresu a port UDP 4500 serveru privátní IP adresu a port UDP 4500.
Tato mapování jsou požadovány tak, aby všechny Internet Key Exchange (IKE) a IPSec NAT-T přenosy odeslané network address translator veřejné adresy automaticky přeložen a předány počítačem se systémem Windows Server 2003.

Máte-li server VPN se systémem Windows Server 2003, doporučujeme však přiřadit veřejnou adresu IP serveru VPN. Přiřazením veřejnou adresu IP serveru VPN se můžete vyhnout situací, kde přenos IP je ztracena nebo náhodně předány nesprávné umístění z důvodu typické síťové adresy překladač chování.

Aktualizace Windows XP SP2 nepodporuje vytvoření přidružení zabezpečení IPSec NAT-T na servery za zařízení NAT

Doporučujeme změnit výchozí chování protokolu IPSec NAT-T v systému Windows XP Service Pack 2 (SP2). Aktualizace Windows XP SP2 nepodporuje přidružení zabezpečení IPSec NAT-T na serveru, který je umístěn za zařízením nebo součást, která provádí překlad síťových adres. Tato změna byla provedena, aby zjištěné bezpečnostní riziko v následující situaci:
  1. Mapování přenos protokolu IKE a IPSec NAT-T na serveru v síti nakonfigurován protokol NAT je nakonfigurován převaděče síťových adres. (Tento server je Server 1). Mapování síťové adresy převaděče jsou ty, které doporučujeme, abyste v tomto článku.
  2. Z klienta mimo síť nakonfigurována NAT využívá IPSec NAT-T na vytvoření přidružení zabezpečení obousměrnou komunikaci s Server 1. (Tento klient je klient 1).
  3. Klient v síti nakonfigurován NAT využívá IPSec NAT-T na vytvoření přidružení zabezpečení obousměrné 1 klienta. (Tento klient je klient 2.)
  4. Dojde k podmínku, která způsobí, že klient 1 obnovení přidružení zabezpečení v klientovi 2 z důvodu mapování adresy statické sítě převaděče, které mapují přenos protokolu IKE a IPSec NAT-T na serveru 1. Tato podmínka může způsobit přenosy domlouvání protokolu IPSec zabezpečení spojení, odešle klient 1 a které je určené pro klienta 2 být misrouted na Server 1.
Přestože se jedná běžné situace, výchozí chování v počítačích se systémem Windows XP SP2 zabrání jakékoli přidružení zabezpečení založené na protokolu IPSec NAT-T na servery, které se nachází za převaděče síťových adres a ujistěte se, že k této situaci nikdy nedošlo.

Povolit přidružení zabezpečení IPSec NAT-T na servery, které se nachází za převaděče síťových adres lze změnit výchozí chování systému Windows XP SP2. Nedoporučujeme používat výchozí chování změnit.

Další informace

Další informace o aktualizaci Windows XP SP2 a přidružení zabezpečení založené na protokolu IPSec NAT-T klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
885407Změní výchozí chování funkce protokolu IPSec NAT traversal (NAT-T) v systému Windows XP Service Pack 2

Vlastnosti

ID článku: 885348 - Poslední aktualizace: 22. května 2011 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Klíčová slova: 
kbhowto kbinfo kbmt KB885348 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:885348

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com