IPSec NAT-T não é recomendado para computadores Windows Server 2003 que estão atrás de conversores de endereços de rede

Não recomendamos Internet Protocol security (IPSec) rede endereço (translation) transversal (NAT-T) para implementações do Windows que incluem servidores VPN e que estejam localizados atrás de conversores de endereços de rede. Quando um servidor estiver protegido por uma tradução de endereços de rede e o servidor utiliza o IPSec NAT-T, poderão ocorrer efeitos secundários indesejados devido à forma como conversores de endereços de rede convertem o tráfego de rede.

Além disso, foi alterado o comportamento predefinido do Microsoft Windows XP com Service Pack 2 (SP2). Associações de segurança IPSec NAT-T a servidores que estejam localizados atrás de conversores de endereços de rede não são recomendadas para computadores baseados no Windows XP SP2. Esta alteração significa que um servidor baseado no Microsoft Windows Server 2003 rede privada virtual (VPN) que utiliza camada de protocolo de túnel com IPSec (L2TP/IPSec) não pode ser implementado atrás de um conversor de endereços de rede sem configuração adicional para clientes VPN baseados no Windows XP SP2.

Se necessitar de IPSec para comunicações, recomendamos que utilize endereços IP públicos para todos os servidores que pode ligar directamente a partir da Internet. Computadores cliente baseados no Windows que suportem NAT-T de IPSec podem ser localizados atrás de um conversor de endereços de rede.

NAT, Network Address TRANSLATION é uma tecnologia amplamente utilizada que permite que mais do que um computador partilhar um único endereço IP público. Conversores de endereços de rede mapeiam endereços privados são utilizados nas seguintes redes privadas para endereços IP públicos que são utilizados na Internet: Se colocar um servidor de tradução de endereços de rede, poderá detectar problemas de ligação, uma vez que os clientes que ligar ao servidor através da Internet requerem um endereço IP público. Para contactar os servidores que estão localizados atrás de conversores de endereços de rede a partir da Internet, mapeamentos estáticos tem de ser configurados no conversor de endereços de rede. Por exemplo, para aceder um computador baseado no Windows Server 2003 que esteja protegido por um conversor de endereços de rede a partir da Internet, configure o conversor de endereços de rede com os mapeamentos de tradutor de endereço de rede estáticas seguinte:

• Pública IP endereço/porta UDP 500 para privada IP endereço/UDP porta o servidor 500.
• Pública IP endereço/porta UDP 4500 para privada IP endereço/UDP porta o servidor 4500.

Estes mapeamentos são necessários para que o tráfego de troca de chaves da Internet (IKE, Internet Key Exchange) e IPSec NAT-T todos os que é enviado para o endereço público do conversor de endereços de rede é automaticamente convertido e reencaminhado para o computador baseado no Windows Server 2003.

No entanto, se tiver um servidor VPN baseado no Windows Server 2003, recomendamos que atribuir um endereço IP público ao servidor VPN. Ao atribuir um endereço IP público para o servidor VPN, pode evitar situações onde as tráfego IP for perdido ou acidentalmente reencaminhado para a localização incorrecta devido comportamento de tradutor de endereços de rede típicas.

Windows XP SP2 não suporta a estabelecer associações de segurança IPSec NAT-T a servidores protegidos por dispositivos NAT, Network Address TRANSLATION

A Microsoft alterou o comportamento predefinido do IPSec NAT-T, no Windows XP Service Pack 2 (SP2). Windows XP SP2 não suporta uma associação de segurança IPSec NAT-T para um servidor que está localizado atrás de um dispositivo ou componente que efectua a conversão de endereços de rede. Esta alteração foi feita para evitar um risco de segurança perceptível na seguinte situação:

1. Tradução de endereços de rede está configurada para mapear o tráfego IKE e IPSec NAT-T para um servidor numa rede configurada de NAT, Network Address TRANSLATION. (Este servidor é Server 1). Os mapeamentos de tradução de endereço de rede são os que recomendamos neste artigo.
2. Um cliente a partir do exterior da rede configurados de NAT, Network Address TRANSLATION utiliza IPSec NAT-T para estabelecer associações de segurança bidireccional com o servidor 1. (Este cliente é 1 de cliente.)
3. Um cliente na rede configurado NAT utiliza IPSec NAT-T para estabelecer associações de segurança bidireccional com o cliente de 1. (Este cliente é 2 de cliente.)
4. Uma condição ocorre que causa 1 de cliente restabelecer as associações de segurança com o cliente 2 devido aos mapeamentos de tradutor de endereço de rede estáticas mapeiam tráfego IKE e IPSec NAT-T para Server 1. Esta situação poderá causar a IPSec segurança associação negociação de tráfego que é enviado pelo cliente 1 e que é destinado para 2 de cliente para misrouted para Server 1.

Apesar de esta é uma situação comuns, o comportamento predefinido em computadores baseados no Windows XP SP2 impede que quaisquer associações de segurança baseada em IPSec NAT-T a servidores que estão localizados atrás de um tradutor de endereço de rede para se certificar de que esta situação nunca ocorre.

O comportamento predefinido do Windows XP SP2 pode ser alterado para activar a associações de segurança IPSec NAT-T servidores que estão localizados atrás de uma tradução de endereços de rede. Não recomendamos que alterar o comportamento predefinido.

Para obter mais informações sobre o Windows XP SP2 e associações de segurança baseada em IPSec NAT-T, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: