Il comportamento di impostazione predefinita di attraversamento IPsec del NAT (NAT-T) Ŕ cambiato in Windows XP Service Pack 2

Traduzione articoli Traduzione articoli
Identificativo articolo: 885407 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

INTRODUZIONE

In questo articolo viene descritta una modifica del comportamento predefinito di Internet Protocol security (IPsec) rete indirizzo translation (NAT) traversal (NAT-T) che sono state implementate in Windows XP Service Pack 2 (SP2). ╚ possibile modificare questo comportamento predefinito in Windows XP SP2 utilizzando il seguente valore del Registro di sistema:
AssumeUDPEncapsulationContextOnSendRule


╚ stata effettuata nessuna modifica nell'implementazione di Microsoft Windows 2000 IPsec NAT-T.

Informazioni

importante Questa sezione, metodo o l'attivitÓ sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, Ŕ eseguire il backup del Registro di sistema prima di modificarlo. ╚ quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows


Per impostazione predefinita, i computer che esegue Windows XP con Service Pack 2 e che avvio delle comunicazioni protette da IPsec (di seguito denominato iniziatori) non supportano pi¨ l'utilizzo di IPsec NAT-T per computer remoti, rispondere alle richieste di comunicazioni protette da IPsec (di seguito denominato risponditori) che si trovano dietro un traduttore di indirizzi di rete. ╚ di evitare potenziali problemi di protezione descritto nel seguente della Microsoft Knowledge Base:
885348Si consiglia di IPSec NAT-T non utilizzare per computer Windows Server 2003 che sono protetti da dispositivi NAT

Ad esempio, se il server di rete privata virtuale (VPN) che esegue Microsoft Windows Server 2003 si Ŕ protetto da un dispositivo NAT, in base all'impostazione predefinita, un client VPN basato su Windows XP SP2 non Ŕ possibile creare un Layer Two Tunneling Protocol con IPsec (L2TP/IPsec) di connessione al server VPN.

Questo comportamento predefinito possibile impedire a computer che eseguono Windows XP con SP2 di effettuare connessioni desktop remoto, che sono protetti tramite L2TP/IPsec o la modalitÓ di trasporto IPsec quando il computer di destinazione si trova dietro un traduttore di indirizzi di rete.

A causa del modo utilizzabile NAT-T IPsec in Windows XP senza service pack installati e in Windows XP Service Pack 1 (SP1), possono verificarsi risultati imprevisti quando un server dietro un traduttore di indirizzi di rete e quindi viene utilizzato NAT-T IPsec. Pertanto, se si richiede IPsec per la comunicazione, si consiglia di utilizzare indirizzi IP pubblici per tutti i server che Ŕ possibile connettersi a direttamente da Internet.

Nota Indipendentemente da queste modifiche, i computer che eseguono Windows 2000, Windows XP o Windows Server 2003 supportano connessioni basati su IPsec NAT-T di iniziatore quando trova dietro un traduttore di indirizzi di rete. Un computer portatile client L2TP/IPsec VPN che si trova su una rete privata hotel pu˛, ad esempio, iniziare la connessione a un server VPN che utilizza un indirizzo Internet pubblico.

NAT Ŕ una tecnologia ampiamente utilizzato in che consente a pi¨ computer condividere un singolo indirizzo IP pubblico. Traduttori di indirizzi di rete eseguire il mapping indirizzi privati (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) che vengono utilizzati nelle reti private per indirizzi IP pubblici utilizzati su Internet.
Per ulteriori informazioni sull'inserimento server dietro i traduttori indirizzo di rete, su come configurare mapping di conversione indirizzi di rete per i server e le conseguenze per le associazioni di protezione NAT-T IPsec per una situazione specifica, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
885348Si consiglia di IPSec NAT-T non utilizzare per computer Windows Server 2003 che sono protetti da dispositivi NAT

Per consentire un iniziatore IPsec NAT-T per connettersi a un risponditore in cui si trova dietro un NAT, Ŕ necessario creare e impostare il valore del Registro di sistema AssumeUDPEncapsulationContextOnSendRule l'iniziatore.

Nota Prima di configurare questo valore del Registro di sistema, consigliabile si contattare l'amministratore di rete o leggere i criteri di protezione aziendale.

Per creare e configurare il valore del Registro di sistema AssumeUDPEncapsulationContextOnSendRule, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare regedit e quindi fare clic su OK .
  2. Individuare e selezionare la seguente sottochiave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Scegliere Nuovo dal menu Modifica , quindi Valore DWORD .
  4. Nella casella nuovo valore # 1 digitare AssumeUDPEncapsulationContextOnSendRule e premere INVIO.

    importante Questo nome di valore Ŕ con distinzione tra maiuscole e minuscole.
  5. Fare clic con il pulsante destro del mouse su AssumeUDPEncapsulationContextOnSendRule e quindi fare clic su Modifica .
  6. Nella casella dati valore digitare uno dei seguenti valori:
    • 0 (predefinito)
      Il valore 0 (zero) configura Windows XP SP2, in modo che essa non pu˛ avviare comunicazioni protette da IPsec con risponditori che si trovano dietro i traduttori di indirizzi di rete.
    • 1
      Il valore 1 configura Windows XP SP2, in modo che Ŕ possibile avviare comunicazioni protette da IPsec con risponditori che si trovano dietro i traduttori di indirizzi di rete.
    • 2
      Il valore 2 configura Windows XP SP2, in modo che Ŕ possibile avviare comunicazioni protette da IPsec quando sia gli iniziatori e i risponditori si trovano dietro i traduttori di indirizzi di rete.

      Nota Questo Ŕ il comportamento di IPsec NAT-T in Windows XP senza service pack installati e in Windows XP SP1.
  7. Fare clic su OK e quindi chiudere l'editor del Registro di sistema.
  8. Riavviare il computer.
Dopo aver configurato AssumeUDPEncapsulationContextOnSendRule con un valore pari a 1 o un valore pari a 2, Windows XP SP2 possono connettersi a un risponditore in cui si trova dietro un traduttore di indirizzi di rete. Questo comportamento si applica alle connessioni a un server VPN che esegue Windows Server 2003.

ProprietÓ

Identificativo articolo: 885407 - Ultima modifica: mercoledý 11 ottobre 2006 - Revisione: 2.5
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows XP Professional SP2
Chiavi:á
kbmt kbfirewall kbnat kbhowto kbinfo KB885407 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 885407
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com