Le comportement par défaut de IPsec NAT traversal (NAT-T) est modifié dans Windows XP Service Pack 2

Traductions disponibles Traductions disponibles
Numéro d'article: 885407
Agrandir tout | Réduire tout

INTRODUCTION

Cet article décrit une modification du comportement par défaut de Internet Protocol security (IPsec) réseau adresse translation (NAT) traversal (NAT-T) qui a été implémentée dans Microsoft Windows XP Service Pack 2 (SP2). Vous pouvez modifier ce comportement par défaut dans Windows XP SP2 à l'aide de la valeur de Registre suivante :
AssumeUDPEncapsulationContextOnSendRule


Aucune modification n'a été apportée dans l'implémentation de Microsoft Windows 2000 IPsec NAT-T.

Plus d'informations

Important : Cette section, la méthode ou la tâche qui va suivre contient des étapes qui vous indiquent la méthode pour modifier le Registre de Windows. Toutefois, des problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous de suivre ces étapes avec une attention toute particulière. Afin de couvrir votre système d'une protection supplémentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si à la suite des modifications un problème devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche à suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (numéro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows


Par défaut, les ordinateurs qui exécutent Windows XP avec Service Pack 2 et qui établissent des communications sécurisées par IPsec (ci-après dénommées initiateurs) plus en charge l'utilisation de IPsec NAT-T pour les ordinateurs distants qui répondent aux demandes de communication sécurisé par IPsec (ci-après dénommé "répondeurs") qui sont trouvent derrière un traducteur d'adresses réseau. Il s'agit d'éviter les problèmes potentiels de sécurité comme indiqué dans l'article suivant de la Base de connaissances Microsoft :
885348 IPSec NAT-T n'est pas recommandé pour les ordinateurs Windows Server 2003 qui sont trouvent derrière des traducteurs d'adresses réseau

Par exemple, si votre serveur de réseau privé virtuel (VPN) qui exécute Microsoft Windows Server 2003 se trouve derrière un traducteur d'adresses réseau, par défaut, un client VPN Windows XP SP2 ne peut pas faire un Layer Two Tunneling Protocol avec IPsec (L2TP/IPsec) connexion au serveur VPN.

Ce comportement par défaut peut également empêcher les ordinateurs qui exécutent Windows XP avec Service Pack 2 d'établir des connexions Bureau à distance qui sont protégées par L2TP/IPsec ou par mode de transport IPsec lorsque l'ordinateur de destination se trouve derrière un traducteur d'adresses réseau.

En raison du mode IPsec NAT-T fonctionne dans Windows XP sans service Pack installé et dans Windows XP Service Pack 1 (SP1), vous pouvez rencontrer des résultats inattendus lorsque vous placez un serveur derrière un traducteur d'adresses réseau, puis utiliser IPsec NAT-T. Par conséquent, si vous avez besoin d'IPsec pour la communication, nous vous recommandons d'utiliser des adresses IP publiques pour tous les serveurs que vous pouvez vous connecter directement à partir d'Internet.

Remarque : Indépendamment de ces modifications, les ordinateurs qui exécutent Windows 2000, Windows XP ou Windows Server 2003 prennent en charge les connexions IPsec NAT-T comme initiateur lorsque situés derrière un traducteur d'adresses réseau. Par exemple, un portable client VPN L2TP/IPsec qui se trouve sur un réseau privé hôtel peut initier une connexion à un serveur VPN qui utilise une adresse Internet publique.

NAT est une technologie largement utilisée qui permet à plusieurs ordinateurs de partager une adresse IP publique unique. Traducteurs d'adresses réseau mappent les adresses privées (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) qui sont utilisés sur des réseaux privés à des adresses IP publiques sont utilisées sur Internet.
Pour plus d'informations sur le placement des serveurs situés derrière des traducteurs d'adresses réseau, sur la façon de configurer les mappages de traduction d'adresse réseau pour les serveurs et sur les conséquences d'associations de sécurité IPsec NAT-T pour une situation spécifique, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
885348IPSec NAT-T n'est pas recommandé pour les ordinateurs Windows Server 2003 qui sont trouvent derrière des traducteurs d'adresses réseau

Pour permettre à un initiateur IPsec NAT-T pour se connecter à un récepteur qui se trouve derrière un NAT, vous devez créer et définir la valeur de Registre AssumeUDPEncapsulationContextOnSendRule sur l'initiateur.

Remarque : Avant de configurer cette valeur de Registre, nous vous recommandons de contacter votre administrateur réseau ou de lire votre stratégie de sécurité d'entreprise.

Pour créer et configurer la valeur de Registre AssumeUDPEncapsulationContextOnSendRule, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
  3. Sur la Modifier menu, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Dans le Nouvelle valeur #1 zone, tapez AssumeUDPEncapsulationContextOnSendRule, puis appuyez sur ENTRÉE.

    Important : Cette valeur doit respecter la casse.
  5. Avec le bouton droit AssumeUDPEncapsulationContextOnSendRule, puis cliquez sur Modifier.
  6. Dans le Données de la valeur zone, tapez une des valeurs suivantes :
    • 0 (par défaut)
      La valeur 0 (zéro) configure Windows XP SP2 afin qu'il ne peut pas établir des communications sécurisées par IPsec avec les répondeurs qui sont situent derrière des traducteurs d'adresses réseau.
    • 1
      Une valeur de 1 configure Windows XP SP2 afin qu'il peut établir des communications sécurisées par IPsec avec répondeurs sont situent derrière des traducteurs d'adresses réseau.
    • 2
      Une valeur de 2 configure Windows XP SP2 afin qu'il peut établir des communications sécurisées par IPsec lorsque les initiateurs et les répondeurs sont trouvent derrière des traducteurs d'adresses réseau.

      Remarque : C'est le comportement de NAT-T IPsec dans Windows XP sans service Pack installé et dans Windows XP SP1.
  7. Cliquez sur OK, puis quittez l'éditeur du Registre.
  8. Redémarrez l'ordinateur.
Une fois que vous configurez AssumeUDPEncapsulationContextOnSendRule avec la valeur 1 ou la valeur 2, Windows XP SP2 peuvent se connecter à un répondeur qui se trouve derrière un traducteur d'adresses réseau. Ce comportement s'applique aux connexions à un serveur VPN qui exécute Windows Server 2003.

Propriétés

Numéro d'article: 885407 - Dernière mise à jour: dimanche 4 novembre 2012 - Version: 4.0
Mots-clés : 
kbfirewall kbnat kbhowto kbinfo kbmt KB885407 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 885407
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com