IPSec NAT-T 不建議用於網路位址轉譯器後面的 Windows Server 2003 電腦

文章編號: 885348 - 檢視此文章適用的產品。
機器翻譯檢視機器翻譯免責聲明
全部展開 | 全部摺疊

在此頁中

簡介

我們不建議您針對 Windows 部署,包括 VPN 伺服器,以及的位於網路位址轉譯器後面的網際網路通訊協定安全性 (IPSec) 網路位址轉譯 (NAT) 周遊 (NAT-T)。當伺服器網路位址轉譯器後面,而且伺服器會使用 IPSec NAT-T 時, 非預期的副作用可能是因為網路位址轉譯器轉譯網路流量的方式。

此外,Microsoft Windows XP 的預設行為已變更 「 服務套件 2 (SP2)。位於網路位址轉譯器後面的伺服器的 IPSec NAT-T 安全性關聯不建議使用的 Windows XP SP2 電腦。這項變更指的是使用第二通道通訊協定的 IPSec (L2TP/IPSec) 無法部署而不需額外的設定,Windows XP SP2 VPN 用戶端的網路位址轉譯器後面的圖層的 Microsoft Windows Server 2003 虛擬私人網路 (VPN) 伺服器。

如果您需要 IPSec 通訊,我們建議您使用公用 IP 位址,您可以從網際網路直接連線到的所有伺服器。 支援 IPSec NAT-T 的 Windows 架構用戶端電腦可位於網路位址轉譯器後面。
回此頁最上方 | 提供意見

其他相關資訊

NAT 是普遍使用的技術,可讓一個以上的電腦共用單一公用 IP 位址。網路位址轉譯器對應用在網際網路使用的公用 IP 位址,來下列私人網路上的私人位址:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
如果您將放置於網路位址轉譯器後方的伺服器您可能會遇到連線問題,因為透過網際網路連接到伺服器的用戶端需要一個公用 IP 位址。連到位於來自網際網路的網路位址轉譯器後面的伺服器,網路位址轉譯器上必須設定靜態對應。比方說到 Windows Server 2003 的電腦位於來自網際網路的網路位址轉譯器後面,設定網路位址轉譯器並下列的靜態網路位址轉譯器對應):
  • 公用 IP 位址/UDP 連接埠 500 伺服器的私人 IP 位址/UDP 連接埠 500。
  • 公用 IP 位址/UDP 連接埠 4500 伺服器的私人 IP 位址/UDP 連接埠 4500。
這些對應是必要,所以自動轉譯並轉送到 Windows Server 2003 電腦所有的網際網路金鑰交換 (IKE) 及 IPSec NAT-T 傳送到公用位址的網路位址轉譯器的流量。

但是,如果您是 Windows Server 2003 VPN 伺服器我們建議您將公用 IP 位址指派給 VPN 伺服器。藉由將公用 IP 位址指派給 VPN 伺服器,您可以避免其中 IP 流量被遺失或不小心轉送到不正確的位置,因為一般的網路位址轉譯器行為的情況。

Windows XP SP2 並不支援建立 IPSec NAT-T 安全性關聯到 NAT 裝置後面的伺服器

我們已經變更預設行為的 IPSec NAT-T 在 Windows XP 服務套件 2 (SP2)。Windows XP SP2 並不支援位於裝置或執行網路位址轉譯的元件背後的伺服器的 IPSec NAT-T 安全性關聯。此項變更已經實行以避免已知的安全性風險,在下列情況下:
  1. 網路位址轉譯器設定為將 IKE 和 IPSec NAT-T 流量對應到 NAT 設定網路上的伺服器。(這台伺服器是伺服器 1)。 網路位址轉譯器對應是,我們建議您在本文中。
  2. 從 NAT 設定網路外部用戶端會使用 IPSec NAT-T,來建立與伺服器 1 的雙向安全性關聯。 (此用戶端是用戶端 1 」)。
  3. NAT 設定網路上的用戶端會使用 IPSec NAT-T 與雙向的建立安全性關聯用戶端 1 」。 (此用戶端是用戶端 2 」)。
  4. 就會發生會導致用戶端 1 」 來重新建立安全性關聯,以用戶端 2,因為將 IKE 和 IPSec NAT-T 流量對應到伺服器 1 靜態網路位址轉譯器對應的條件。這種情況可能會造成 [IPSec 安全性關聯交涉傳輸用戶端 1 傳送並且,目的地為用戶端 2 」 以 misrouted 至伺服器 1。
雖然這是不常見的情況下,預設行為,在 Windows XP SP2 電腦上的可防止任何的 IPSec NAT 為 T 基礎的安全性關聯到位於以確定這種情況不會發生的網路位址轉譯器後面的伺服器。

Windows XP SP2 的預設行為可以變更為啟用 IPSec NAT-T 安全性關聯到位於網路位址轉譯器後面的伺服器。我們不建議您變更預設行為。
回此頁最上方 | 提供意見

其他相關資訊

如需有關 Windows XP SP2 及 IPSec NAT 為 T 基礎的安全性關聯的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
885407
(http://support.microsoft.com/kb/885407/ )
在 Windows XP Service Pack 2 中變更預設行為的 IPSec NAT 周遊 (NAT-T)
回此頁最上方 | 提供意見

屬性

文章編號: 885348 - 上次校閱: 2006年10月30日 - 版次: 2.2
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
關鍵字:?
kbmt kbhowto kbinfo KB885348 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:885348
(http://support.microsoft.com/kb/885348/en-us/ )
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方