IPSec NAT-T n'est pas recommand� pour les ordinateurs Windows Server 2003 qui sont trouvent derri�re des traducteurs d'adresses r�seau

Num�ro d'article: 885348 - Voir les produits auxquels s'applique cet article

ATTENTION : Cet article est issu du syst�me de traduction automatique

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

Agrandir tout | R�duire tout

Nous vous d�conseillons Internet Protocol (IPSec) security r�seau adresse (translation) traversal (NAT-T) pour les d�ploiements Windows qui incluent des serveurs VPN et qui se trouvent derri�re des traducteurs d'adresses r�seau. Lorsqu'un serveur se trouve derri�re un traducteur d'adresses r�seau et le serveur utilise IPSec NAT-T, sans le vouloir effets secondaires peuvent se produire en raison de la mani�re que traducteurs d'adresses r�seau traduisent le trafic r�seau.

En outre, le comportement par d�faut de Microsoft Windows XP a �t� modifi� avec le Service Pack 2 (SP2). Associations de s�curit� IPSec NAT-T sur des serveurs qui sont situent derri�re des traducteurs d'adresses r�seau ne sont pas recommand�es d'ordinateurs Windows XP SP2. Cette modification signifie qu'un serveur de r�seau priv� virtuel (VPN) Microsoft Windows Server 2003 qui utilise Layer Two Tunneling Protocol avec IPSec L2tp/IPsec ne peut pas �tre d�ploy� derri�re un traducteur d'adresses r�seau sans configuration suppl�mentaire pour les clients VPN Windows XP SP2.

Si vous avez besoin d'IPSec pour la communication, il vaut mieux qu'utiliser est des adresses IP publiques pour tous les serveurs que vous pouvez connecter directement � partir d'Internet. Ordinateurs clients Windows qui prend en charge IPSec NAT-T peuvent se trouver derri�re un traducteur d'adresses r�seau.

Retour au d�but | Envoyer des commentaires

Plus d'informations

NAT est une technologie largement utilis�e qui permet � plus d'un ordinateur de partager une seule adresse IP publique. Traducteurs d'adresses r�seau mapper adresses priv�es qui sont utilis�s sur les r�seaux priv�s suivantes � des adresses IP publiques sont utilis�s sur Internet :

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Si vous placez un serveur derri�re un traducteur d'adresses r�seau, vous pouvez rencontrer des probl�mes de connexion car clients qui se connecter au serveur via Internet requi�rent une adresse IP publique. Pour atteindre les serveurs qui se situent derri�re des traducteurs d'adresses r�seau � partir d'Internet, les mappages statiques doivent �tre configur�s sur le traducteur d'adresses r�seau. Par exemple, d'atteindre un ordinateur Windows Server 2003 qui se trouve derri�re un traducteur d'adresses r�seau � partir d'Internet, configurer le traducteur d'adresses r�seau avec les mappages de convertisseur adresse r�seau statique suivantes :

Public IP adresse/UDP port 500 priv� IP adresse/UDP port du serveur 500.
Public IP adresse/UDP port 4500 priv� IP adresse/UDP port du serveur 4500.

Ces mappages sont requis afin que le trafic tout IKE (Internet Key Exchange) et IPSec NAT-T qui est envoy� � l'adresse publique du traducteur d'adresses r�seau est traduit automatiquement et transf�r� vers l'ordinateur Windows Server 2003.

En revanche, si vous avez un serveur VPN Windows Server 2003, il est recommand� d'affecter une adresse IP publique au serveur VPN. En affectant une adresse IP publique au serveur VPN, vous pouvez �viter le trafic IP est soit perdu ou accidentellement transf�r� � l'emplacement appropri� en raison de comportement de traducteur d'adresses r�seau classique.

Service Pack 2 Windows XP ne prend en charge �tablissement d'associations de s�curit� IPSec NAT-T aux serveurs derri�re des p�riph�riques NAT

Nous avons modifi� le comportement par d�faut de IPSec NAT-T dans Windows XP Service Pack 2 (SP2). Service Pack 2 Windows XP ne prend pas en charge une association de s�curit� IPSec NAT-T � un serveur qui se trouve derri�re un p�riph�rique ou un composant qui effectue la traduction d'adresses r�seau. Cette modification a �t� apport�e afin d'�viter un risque de s�curit� identifi� dans la situation suivante :

Un traducteur d'adresses r�seau est configur� pour mapper le trafic IKE et IPSec NAT-T � un serveur sur un r�seau NAT-configur�. (Ce serveur est Server 1.) Les mappages de traducteur d'adresses r�seau sont ceux que nous recommandons de cet article.
Un client d'ext�rieurs au r�seau NAT-configur� utilise IPSec NAT-T pour �tablir des associations de s�curit� bidirectionnelle avec Server 1. (Ce client est client 1).
Un client sur le r�seau NAT-configur� utilise IPSec NAT-T pour �tablir des associations de s�curit� bidirectionnelle avec le client 1. (Ce client est client 2).
Une condition se produit qui provoque 1 client pour r�tablir les associations de s�curit� avec le client 2 raison des mappages de traducteur d'adresses r�seau statique qui correspondent le trafic IKE et IPSec NAT-T � Server 1. Cette condition peut provoquer le IPSec s�curit� association n�gociation trafic qui est envoy� par le client 1 et destin� au client 2 �tre misrouted vers Server 1.

Bien que cela soit un cas rare, le comportement par d�faut sur les ordinateurs Windows XP SP2 emp�che les associations de s�curit� IPSec NAT-T-bas�e sur des serveurs qui sont situent derri�re un traducteur d'adresses r�seau pour vous assurer que cette situation survient jamais.

Le comportement par d�faut de Windows XP SP2 peut �tre modifi� pour activer les associations de s�curit� IPSec NAT-T sur des serveurs qui sont situent derri�re un traducteur d'adresses r�seau. Nous vous d�conseillons de que vous modifier le comportement par d�faut.

Retour au d�but | Envoyer des commentaires

Plus d'informations

Pour plus d'informations Windows XP SP2 et les associations de s�curit� IPSec NAT-T-bas�, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances :

885407

(http://support.microsoft.com/kb/885407/ )

Le comportement par d�faut de IPSec NAT traversal (NAT-T) est modifi� dans Windows XP Service Pack 2

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 885348 - Derni�re mise � jour: lundi 30 octobre 2006 - Version: 2.2

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)

kbmt kbhowto kbinfo KB885348 KbMtfr

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 885348

(http://support.microsoft.com/kb/885348/en-us/ )

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires