Δεν συνιστάται η IPSec NAT-T για υπολογιστές του Windows Server 2003 που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 885348 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΕΙΣΑΓΩΓΗ

Δεν συνιστούμε Internet Protocol security (IPSec) δικτύου διεύθυνση μετάφρασης (NAT) traversal (NAT-T) για την ανάπτυξη των Windows που περιλαμβάνει διακομιστές VPN και που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου. Όταν ένας διακομιστής που βρίσκεται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου και ο διακομιστής χρησιμοποιεί το IPSec NAT-T, ακούσια επιπτώσεις ενδέχεται να παρουσιαστεί εξαιτίας του τρόπου που συσκευές μετάφρασης διευθύνσεων δικτύου μεταφράζουν την κυκλοφορία δικτύου.

Επιπλέον, άλλαξε η προεπιλεγμένη συμπεριφορά των Microsoft Windows XP με Service Pack 2 (SP2). Συσχετισμοί ασφαλείας IPSec NAT-T με διακομιστές που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου δεν προτείνεται για υπολογιστές που βασίζονται σε Windows XP SP2. Η αλλαγή αυτή σημαίνει ότι δεν είναι δυνατό να αναπτυχθεί ένα διακομιστή που βασίζεται σε Microsoft Windows Server 2003 εικονικού ιδιωτικού δικτύου (VPN) που χρησιμοποιεί το πρωτόκολλο διοχέτευσης επιπέδου με την πολιτική IPSec (L2TP/IPSec) πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου χωρίς πρόσθετη ρύθμιση παραμέτρων για υπολογιστές-πελάτες VPN που βασίζεται σε Windows XP SP2.

Εάν απαιτείτε την IPSec για επικοινωνία, σας συνιστούμε να χρησιμοποιείτε δημόσιες διευθύνσεις IP για όλους τους διακομιστές που μπορείτε να συνδεθείτε απευθείας από το Internet. Υπολογιστές-πελάτες που βασίζονται στα Windows που υποστηρίζουν IPSec NAT-T μπορεί να βρίσκεται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου.

Περισσότερες πληροφορίες

Συσκευή NAT είναι μια ευρέως χρησιμοποιούμενη τεχνολογία που επιτρέπει σε περισσότερους από έναν υπολογιστή για να χρησιμοποιήσετε από κοινού μία δημόσια διεύθυνση IP. Συσκευές μετάφρασης διευθύνσεων δικτύου αντιστοίχιση ιδιωτικές διευθύνσεις που χρησιμοποιούνται στο εξής ιδιωτικά δίκτυα σε δημόσιες διευθύνσεις IP που χρησιμοποιούνται στο Internet:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Εάν τοποθετήσετε ένα διακομιστή πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου, ενδέχεται να αντιμετωπίσετε προβλήματα σύνδεσης, επειδή οι υπολογιστές-πελάτες που συνδέονται με το διακομιστή μέσω του Internet απαιτούν μια δημόσια διεύθυνση IP. Για να συνδεθούν με διακομιστές που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου από το Internet, πρέπει να ρυθμιστεί ώστε στατικών αντιστοιχήσεων από τη συσκευή μετάφρασης διευθύνσεων δικτύου. Για παράδειγμα, για να συνδεθούν με έναν υπολογιστή που βασίζεται σε Windows Server 2003 που βρίσκεται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου από το Internet, πρέπει να ρυθμίσετε τη συσκευή μετάφρασης διευθύνσεων δικτύου με το παρακάτω αντιστοιχίσεις μετάφρασης διευθύνσεων στατικού δικτύου:
  • Δημόσια IP διεύθυνση/θύρα UDP 500 για το διακομιστή ιδιωτική IP διεύθυνση/θύρα UDP 500.
  • Δημόσια IP διεύθυνση/θύρα UDP 4500 για το διακομιστή ιδιωτική IP διεύθυνση/θύρα UDP 4500.
Οι αντιστοιχίσεις αυτές απαιτούνται, ώστε όλα ανταλλαγής κλειδιών Internet (IKE) και IPSec NAT-T κυκλοφορία που αποστέλλεται στη δημόσια διεύθυνση από τη συσκευή μετάφρασης διευθύνσεων δικτύου μετάφραση και προωθούνται στον υπολογιστή που βασίζεται στον Windows Server 2003 αυτόματα.

Ωστόσο, εάν έχετε ένα διακομιστή VPN που βασίζεται στον Windows Server 2003, σας συνιστούμε να εκχωρείτε μια δημόσια διεύθυνση IP του διακομιστή VPN. Αντιστοιχίζοντας μια δημόσια διεύθυνση IP του διακομιστή VPN, μπορείτε να αποφύγετε καταστάσεις όπου η κυκλοφορία IP είτε χαθεί ή κατά λάθος να προωθηθεί σε εσφαλμένη θέση εξαιτίας της συμπεριφοράς μετατροπής διευθύνσεων δικτύου τυπική.

Τα Windows XP SP2 δεν υποστηρίζει τη δημιουργία συσχετίσεων ασφαλείας IPSec NAT-T με διακομιστές πίσω από συσκευές NAT.

Μας έχετε αλλάξει την προεπιλεγμένη συμπεριφορά της IPSec NAT-T στο Windows XP Service Pack 2 (SP2). Τα Windows XP SP2 δεν υποστηρίζει ένας συσχετισμός ασφαλείας IPSec NAT-T σε έναν διακομιστή που βρίσκεται πίσω από μια συσκευή ή ένα στοιχείο που εκτελεί μετάφραση διευθύνσεων δικτύου. Αυτή η αλλαγή έγινε για να αποφευχθεί η οποία παρατηρήσατε ότι κίνδυνο ασφαλείας στην ακόλουθη περίπτωση:
  1. A network address translator is configured to map IKE and IPSec NAT-T traffic to a server on a NAT-configured network. (This server is Server 1.) The network address translator mappings are the ones that we recommend in this article.
  2. A client from outside the NAT-configured network uses IPSec NAT-T to establish bidirectional security associations with Server 1. (This client is Client 1.)
  3. A client on the NAT-configured network uses IPSec NAT-T to establish bidirectional security associations with Client 1. (This client is Client 2.)
  4. A condition occurs that causes Client 1 to reestablish the security associations with Client 2 because of the static network address translator mappings that map IKE and IPSec NAT-T traffic to Server 1. This condition may cause the IPSec security association negotiation traffic that is sent by Client 1 and that is destined for Client 2 to be misrouted to Server 1.
Although this is an uncommon situation, the default behavior on Windows XP SP2-based computers prevents any IPSec NAT-T-based security associations to servers that are located behind a network address translator to make sure that this situation never occurs.

The default behavior of Windows XP SP2 can be changed to enable IPSec NAT-T security associations to servers that are located behind a network address translator. We do not recommend that you change the default behavior.

Περισσότερες πληροφορίες

For more information about Windows XP SP2 and IPSec NAT-T-based security associations, click the following article number to view the article in the Microsoft Knowledge Base:
885407The default behavior of IPSec NAT traversal (NAT-T) is changed in Windows XP Service Pack 2

Ιδιότητες

Αναγν. άρθρου: 885348 - Τελευταία αναθεώρηση: Πέμπτη, 23 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Λέξεις-κλειδιά: 
kbhowto kbinfo kbmt KB885348 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:885348

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com