IPSec NAT-T 不建议将用于 Windows Server 2003 计算机位于网络地址转换器后面的

文章翻译 文章翻译
文章编号: 885348 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

我们不建议的 Windows 部署包含 VPN 服务器和网络地址转换器后面的位于的网际协议安全 (IPSec) 网络地址转换 (NAT) 遍历 (NAT-T)。当一个服务器位于网络地址翻译人员服务器使用 IPSec NAT-T 时意外的副作用可能会出现由于的网络地址转换器转换网络通信方式。

此外,Microsoft Windows XP 的默认行为已更改与 Service Pack 2 (SP2)。对于基于 Windows XP SP2 的计算机不建议使用 IPSec NAT-T 到位于网络地址转换器后面的服务器的安全关联。这一更改意味着,使用不能使用 IPSec 的 l2tp/ipsec 的两个隧道协议部署而无需其他配置为基于 Windows XP SP2 的 VPN 客户端的网络地址转换器后面的层的基于 Microsoft Windows Server 2003 的虚拟专用网络 (VPN) 服务器。

如果您需要 IPSec 通信,我们建议您为您可以直接从 Internet 连接到的所有服务器使用公用 IP 地址。 支持 IPSec NAT-T 的基于 Windows 的客户端计算机可以位于网络地址转换器后面。

更多信息

NAT 是一种广泛使用的技术,可以让多个计算机可以共享单个公用 IP 地址。网络地址转换器映射的 Internet 使用的公用 IP 地址以下列的专用网络上使用了专用地址,请执行以下操作:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
如果放置了网络地址转换器后面的服务器可能会遇到连接问题,因为通过 Internet 连接到服务器的客户端需要公用的 IP 地址。若要到达位于来自 Internet 的网络地址转换器后面的服务器,必须在网络地址转换器上配置的静态映射。例如对于到达一个来自 Internet 的网络地址转换器后面的基于 Windows Server 2003 的计算机,请使用以下的静态网络地址转换器映射配置网络地址转换器:
  • 公用 IP 地址/UDP 端口 500 服务器的专用 IP 地址/UDP 端口 500。
  • 公用 IP 地址/UDP 端口 4500 对服务器的专用 IP 地址/UDP 端口 4500。
这些映射是必需的这样所有 Internet 密钥交换 (IKE) 和 IPSec NAT-T 通信发送到公用网络地址转换器的地址被自动转换并转发到基于 Windows Server 2003 的计算机。

但是,如果基于 Windows Server 2003 的 VPN 服务器我们建议您将公用的 IP 地址分配给 VPN 服务器。通过将公用的 IP 地址分配给 VPN 服务器,您可以避免在 IP 通信被丢失或意外地转发到不正确的位置,因为典型的网络地址转换器行为的情况。

Windows XP SP2 不支持建立 IPSec NAT-T 到 NAT 设备后面的服务器的安全关联

我们已经更改了默认行为的 IPSec NAT-T 在 Windows XP Service Pack 2 (SP2) 中。Windows XP SP2 不支持 IPSec NAT-T 安全关联到位于设备或组件,该组件执行网络地址转换的后面的服务器。若要避免察觉到的安全风险在以下情况下进行此更改:
  1. 若要将 IKE 和 IPSec NAT-T 通信流映射到 NAT 配置网络上的服务器配置网络地址转换器。(此服务器是服务器 1)。 我们建议您在本文中的网络地址转换器映射。
  2. 客户端从 NAT 配置网络外部使用 IPSec NAT-T 建立与服务器 1 的双向安全关联。 (此客户端是客户端 1)。
  3. NAT 配置网络上的客户端使用 IPSec NAT-T 建立双向安全关联的客户端 1。 (此客户端是客户端 2)。
  4. 在条件发生导致重新与客户端 2 安全关联建立由于的静态网络地址转换器映射将 IKE 和 IPSec NAT-T 通信流映射到服务器 1 的客户端 1。这种情况可能会导致在 IPSec 安全关联协商的由客户端 1 发送和通信的发往若要将错误路由到服务器 1 的客户端 2。
虽然这是不常见的情况,在基于 Windows XP SP2 的计算机上的默认行为可防止服务器以确保永远不会发生这种情况下的网络地址转换器后面的任何基于 IPSec NAT 的 T-安全关联。

若要启用 IPSec NAT-T 到位于网络地址转换器后面的服务器的安全关联,可以更改 Windows XP SP2 的默认行为。我们不建议您更改默认行为。

更多信息

有关 Windows XP SP2 和基于 IPSec NAT 的 T-安全关联的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
885407在 Windows XP Service Pack 2 中更改 IPSec NAT 遍历 (NAT-T) 的默认行为

属性

文章编号: 885348 - 最后修改: 2006年10月30日 - 修订: 2.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
关键字:?
kbmt kbhowto kbinfo KB885348 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 885348
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com