Не рекомендуется использовать IPSec NAT-T для компьютеров Windows Server 2003, которые находятся за трансляторов сетевых адресов

Переводы статьи Переводы статьи
Код статьи: 885348 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Мы не рекомендуем обход протокола безопасности (IP IPSec) сети адрес преобразования Сетевых адресов (NAT-T) для развертывания Windows, которые содержат VPN-серверов и, расположенным за трансляторов сетевых адресов. Когда сервер находится за устройством преобразования сетевых адресов, а сервер использует IPSec NAT-T, побочные эффекты могут возникнуть из-за особенностей, преобразователи сетевых адресов перевести сетевой трафик.

Кроме того изменения поведения по умолчанию для Microsoft Windows XP с пакетом обновления 2 (SP2). Сопоставления безопасности IPSec NAT-T к серверам, расположенным за трансляторов сетевых адресов не рекомендуются для компьютеров под управлением Windows XP с пакетом обновления 2. Это изменение означает, что на сервер под управлением Microsoft Windows Server 2003 виртуальной частной сети (VPN), использующий Layer Two Tunneling Protocol протокол IPSec (L2TP/IPSec) не может быть развернут за транслятором сетевых адресов без дополнительной настройки для клиентов виртуальных частных СЕТЕЙ на базе Windows XP SP2.

Требовать использования IPSec для связи, корпорация Майкрософт рекомендует использовать общие IP-адреса для всех серверов, которые могут подключаться к непосредственно из Интернета. Компьютеры под управлением Windows, которые поддерживают IPSec NAT-T может быть расположен за транслятором сетевых адресов.

Дополнительная информация

NAT является широко используемым технология, которая позволяет нескольким компьютерам совместно использовать один общий IP-адрес. Преобразователи сетевых адресов соотносятся с частными адресами, которые используются в следующих частных сетях для общих IP-адресов, используемых в Интернете.
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Поместить сервер за устройством преобразования сетевых адресов могут возникнуть проблемы подключения, так как для клиентов, подключающихся к серверу через Интернет требуется общедоступный IP-адрес. Чтобы получить доступ к серверам, расположенным за трансляторов сетевых адресов из Интернета, статические сопоставления должны быть настроены на транслятор сетевых адресов. Для достижения компьютера под управлением Windows Server 2003, который находится за устройством преобразования сетевых адресов из Интернета, настройка транслятор сетевых адресов с следующие сопоставления переводчик статический сетевой адрес:
  • Открытый IP адрес/порт UDP 500 адрес/UDP-порт сервера частной IP 500.
  • Открытый IP адрес/порт UDP 4500 адрес/UDP-порт сервера частной IP 4500.
Эти сопоставления являются обязательными, и все Internet Key Exchange (IKE) и IPSec NAT-T трафик, отправляемый на общий адрес транслятор сетевых адресов автоматически преобразуются и перенаправлено на компьютер под управлением Windows Server 2003.

Тем не менее если сервер VPN под управлением Windows Server 2003, рекомендуется назначить общий IP-адрес VPN-сервера. Назначая общий IP-адрес VPN-сервера, можно избежать ситуаций, где IP-трафика будет потерян или случайно пересылаются в неправильное место из-за поведение переводчик обычных сетевых адресов.

2 (SP2) для Windows XP не поддерживает установления сопоставлений безопасности IPSec NAT-T к серверам за NAT-устройства

Мы изменили поведение по умолчанию для IPSec NAT-T в Windows XP с пакетом обновления 2 (SP2). 2 (SP2) для Windows XP не поддерживает сопоставление безопасности IPSec NAT-T для сервера, который находится за устройством или компонент, выполняющий преобразование сетевых адресов. Это изменение было внесено во избежание преследует угрозу безопасности в следующих случаях:
  1. Транслятор сетевых адресов настроена для отображения трафика IKE и IPSec NAT-T к серверу сети NAT настроен. (Этот сервер является сервером 1). Сетевым адресам переводчика являются те, которые мы рекомендуем в этой статье.
  2. Клиент не за пределами сети настроено NAT использует IPSec NAT-T для установления сопоставления безопасности двунаправленного письма с сервера 1. (Этот клиент — клиент 1).
  3. Клиент сети настроено NAT использует IPSec NAT-T для установления сопоставлений безопасности двунаправленного письма с 1 клиент. (Этот клиент является клиентом 2).
  4. Условие возникновении, 1 клиент восстановить сопоставления безопасности с 2 клиента из-за статический сетевой адрес переводчик сопоставлений, которые сопоставляются трафик IKE и IPSec NAT-T 1 сервер. Такая ситуация может привести к безопасности ассоциации согласования трафика IPSec, отправленных клиентом 1 и на клиент 2, misrouted на сервере 1.
Несмотря на то, что это редкий случай, поведение по умолчанию на компьютерах под управлением Windows XP с пакетом обновления 2 предотвращает любые ассоциации безопасности на основе IPSec NAT-T к серверам, расположенным за устройством преобразования сетевых адресов убедитесь, что эта ситуация никогда не происходит.

Можно изменить поведение по умолчанию Windows XP с пакетом обновления 2 для включения сопоставления безопасности IPSec NAT-T к серверам, расположенным за устройством преобразования сетевых адресов. Не рекомендуется изменять поведение по умолчанию.

Дополнительная информация

Для получения дополнительных сведений о Windows XP SP2 и сопоставлений безопасности на основе IPSec NAT-T щелкните следующий номер статьи базы знаний Майкрософт:
885407Изменить стандартное поведение IPSec NAT traversal (NAT-T) в пакете обновления 2 (SP2) для Windows XP

Свойства

Код статьи: 885348 - Последний отзыв: 17 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Ключевые слова: 
kbhowto kbinfo kbmt KB885348 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:885348

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com