IPSec NAT-T se nedoporu�uje pro syst�m Windows Server 2003 po��ta�� za p�eklada�e s�ov�ch adres

ID �l�nku: 885348 - Produkty, kter� se vztahuj� k tomuto �l�nku.

UPOZORN�N�: TENTO �L�NEK BYL STROJOV� P�ELO�EN

Zobrazen� anglick�ho �l�nku a jeho �esk�ho p�ekladu vedle sebe

Zobrazen� p�vodn�ho anglick�ho �l�nku a jeho p�ekladu vedle sebe.

Rozbalit v�echny z�lo�ky | Minimalizovat v�echny z�lo�ky

Nedoporu�ujeme pou��vat funkce protokol IPSec (IPSec) s�t� adresu p�eklad (NAT) traversal (NAT-T) pro nasazen� syst�mu Windows, kter� obsahuj� servery VPN, kter� jsou um�st�ny za p�eklada�e s�ov�ch adres. Za p�evad��e s�ov�ch adres serveru a server pou��v� protokol IPSec NAT-T, ne��douc� vedlej�� inky, m��e doj�t z d�vodu zp�sobu, p�eklada�e s�ov�ch adres p�ekladu s�ov�ch p�enos�.

Zm�nil-nav�c v�choz� chov�n� syst�mu Microsoft Windows XP s aktualizac� Service Pack 2 (SP2). P�idru�en� zabezpe�en� IPSec NAT-T na servery, kter� jsou um�st�ny za p�eklada�e s�ov�ch adres nen� vhodn� pro po��ta�e se syst�mem Windows XP SP2. Tato zm�na znamen�, �e syst�mem Microsoft Windows Server 2003 virtu�ln� priv�tn� s�t� (VPN) serveru, kter� pou��v� vrstvu dva tunelov� propojen� protokolu IPSec (L2TP/IPSec) nem��e b�t nasazena za network address translator bez dal�� konfigurace klient� VPN se syst�mem Windows XP SP2.

Pokud komunikace protokolu IPSec, doporu�ujeme pou�it� ve�ejn�ch adres IP pro v�echny servery, ke kter�m m��ete p�ipojit p��mo z Internetu. Syst�m Windows klientsk�ch po��ta�� podporuj�c�ch protokol IPSec NAT-T m��e b�t um�st�n za p�evad��e s�ov�ch adres.

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Dal�� informace

NAT je �iroce pou��van� technologie, kter� umo��uje v�ce ne� jednomu po��ta�i sd�let jednu ve�ejnou IP adresu. P�eklada�e s�ov�ch adres mapovat soukrom�ch adres, kter� jsou pou�ity na n�sleduj�c� priv�tn� s�t� na ve�ejn�ch adres IP, kter� se pou��vaj� v s�ti Internet:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Jestli�e um�st�te na server za p�evad��e s�ov�ch adres, proto�e klienti p�ipojen� k serveru p�es Internet vy�aduj� ve�ejnou adresu IP zaznamenat pot�e s p�ipojen�m. Chcete-li z�skat p��stup k server�m, kter� se nach�z� za p�eklada�e s�ov�ch adres z Internetu, je nutn� nakonfigurovat statick�ho mapov�n� na network address translator. Chcete-li z�skat p��stup k po��ta�i se syst�mem Windows Server 2003, kter� je za p�evad��e s�ov�ch adres z Internetu, nap��klad konfigurace network address translator s n�sleduj�c� p�evad��e mapov�n� adresy statick� s�t�:

Ve�ejnou IP adresu a port UDP 500 serveru priv�tn� IP adresu a port UDP 500.
Ve�ejnou IP adresu a port UDP 4500 serveru priv�tn� IP adresu a port UDP 4500.

Tato mapov�n� jsou po�adov�ny tak, aby v�echny Internet Key Exchange (IKE) a IPSec NAT-T p�enosy odeslan� network address translator ve�ejn� adresy automaticky p�elo�en a p�ed�ny po��ta�em se syst�mem Windows Server 2003.

M�te-li server VPN se syst�mem Windows Server 2003, doporu�ujeme v�ak p�i�adit ve�ejnou adresu IP serveru VPN. P�i�azen�m ve�ejnou adresu IP serveru VPN se m��ete vyhnout situac�, kde p�enos IP je ztracena nebo n�hodn� p�ed�ny nespr�vn� um�st�n� z d�vodu typick� s�ov� adresy p�eklada� chov�n�.

Aktualizace Windows XP SP2 nepodporuje vytvo�en� p�idru�en� zabezpe�en� IPSec NAT-T na servery za za��zen� NAT

Doporu�ujeme zm�nit v�choz� chov�n� protokolu IPSec NAT-T v syst�mu Windows XP Service Pack 2 (SP2). Aktualizace Windows XP SP2 nepodporuje p�idru�en� zabezpe�en� IPSec NAT-T na serveru, kter� je um�st�n za za��zen�m nebo sou��st, kter� prov�d� p�eklad s�ov�ch adres. Tato zm�na byla provedena, aby zji�t�n� bezpe�nostn� riziko v n�sleduj�c� situaci:

Mapov�n� p�enos protokolu IKE a IPSec NAT-T na serveru v s�ti nakonfigurov�n protokol NAT je nakonfigurov�n p�evad��e s�ov�ch adres. (Tento server je Server 1). Mapov�n� s�ov� adresy p�evad��e jsou ty, kter� doporu�ujeme, abyste v tomto �l�nku.
Z klienta mimo s� nakonfigurov�na NAT vyu��v� IPSec NAT-T na vytvo�en� p�idru�en� zabezpe�en� obousm�rnou komunikaci s Server 1. (Tento klient je klient 1).
Klient v s�ti nakonfigurov�n NAT vyu��v� IPSec NAT-T na vytvo�en� p�idru�en� zabezpe�en� obousm�rn� 1 klienta. (Tento klient je klient 2.)
Dojde k podm�nku, kter� zp�sob�, �e klient 1 obnoven� p�idru�en� zabezpe�en� v klientovi 2 z d�vodu mapov�n� adresy statick� s�t� p�evad��e, kter� mapuj� p�enos protokolu IKE a IPSec NAT-T na serveru 1. Tato podm�nka m��e zp�sobit p�enosy domlouv�n� protokolu IPSec zabezpe�en� spojen�, ode�le klient 1 a kter� je ur�en� pro klienta 2 b�t misrouted na Server 1.

P�esto�e se jedn� b�n� situace, v�choz� chov�n� v po��ta��ch se syst�mem Windows XP SP2 zabr�n� jak�koli p�idru�en� zabezpe�en� zalo�en� na protokolu IPSec NAT-T na servery, kter� se nach�z� za p�evad��e s�ov�ch adres a ujist�te se, �e k t�to situaci nikdy nedo�lo.

Povolit p�idru�en� zabezpe�en� IPSec NAT-T na servery, kter� se nach�z� za p�evad��e s�ov�ch adres lze zm�nit v�choz� chov�n� syst�mu Windows XP SP2. Nedoporu�ujeme pou��vat v�choz� chov�n� zm�nit.

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Dal�� informace

Dal�� informace o aktualizaci Windows XP SP2 a p�idru�en� zabezpe�en� zalo�en� na protokolu IPSec NAT-T klepnut�m na n�sleduj�c� ��slo �l�nku datab�ze Microsoft Knowledge Base:

885407

(http://support.microsoft.com/kb/885407/ )

Zm�n� v�choz� chov�n� funkce protokolu IPSec NAT traversal (NAT-T) v syst�mu Windows XP Service Pack 2

Zp�t nahoru | Dejte n�m zp�tnou vazbu

Vlastnosti

ID �l�nku: 885348 - Posledn� aktualizace: 22. kv�tna 2011 - Revize: 4.0

Informace v tomto �l�nku jsou ur�eny pro produkt:

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)

kbhowto kbinfo kbmt KB885348 KbMtcs

Strojov� p�elo�en� �l�nek

D�le�it�: Tento �l�nek byl p�elo�en pomoc� software spole�nosti Microsoft na strojov� p�eklad, ne profesion�ln�m p�ekladatelem. Spole�nost Microsoft nab�z� jak �l�nky p�elo�en� p�ekladatelem, tak �l�nky p�elo�en� pomoc� software na strojov� p�eklad, tak�e v�echny �l�nky ve Znalostn� datab�zi (Knowledge Base) jsou dostupn� v �e�tin�. P�eklad pomoc� software na strojov� p�eklad ale nen� bohu�el v�dy dokonal�. Obsahuje chyby ve sklo�ov�n� slov, skladb� v�t, nebo gramatice, podobn� jako kdy� cizinci d�laj� chyby p�i mluven� v �e�tin�. Spole�nost Microsoft nen� pr�vn� zodpov�dn� za nep�esnosti, chyby nebo �kody vznikl� chybami v p�ekladu, nebo p�i pou�it� nep�esn� p�elo�en�ch instrukc� v �l�nku z�kazn�kem. Spole�nost Microsoft aktualizuje software na strojov� p�eklad, aby byl po�et chyb omezen na minimum.

Projd�te si tak� anglickou verzi �l�nku:885348

(http://support.microsoft.com/kb/885348/en-us/ )

Zp�t nahoru | Dejte n�m zp�tnou vazbu