De standaardwerking van IPsec NAT traversal (NAT-T) gewijzigd in Windows XP Service Pack 2

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 885407
Alles uitklappen | Alles samenvouwen

INLEIDING

Een wijziging in het standaardgedrag van Internet Protocol security (IPsec) network address translation (NAT) traversal (NAT-T) die is geïmplementeerd in Windows XP Service Pack 2 (SP2) beschreven. U kunt dit standaardgedrag in Windows XP SP2 wijzigen met behulp van de volgende registerwaarde:
AssumeUDPEncapsulationContextOnSendRule


Geen wijzigingen zijn aangebracht in de Microsoft Windows 2000 IPsec NAT-T-implementatie.

Meer informatie

BelangrijkDeze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, kunnen ernstige problemen optreden als u het register onjuist bewerkt. Zorg ervoor dat u deze zorgvuldig stappen. Reservekopie van het register voordat u het wijzigen voor extra bescherming. Vervolgens kunt u het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over back-up en terugzetten van het register:
322756Back-up en terugzetten van het register in Windows


Standaard ondersteund computers die Windows XP met Service Pack 2 wordt uitgevoerd en die met IPsec beveiligde communicatie (hierna initiators) starten niet langer IPsec NAT-T op externe computers die op aanvragen voor IPsec beveiligde communicatie reageren (hierna responders) achter een NAT bevinden. Dit is om te voorkomen dat potentiële beveiligingsproblemen die worden beschreven in het volgende Microsoft Knowledge Base-artikel:
885348IPSec NAT-T wordt niet aanbevolen voor Windows Server 2003-computers die zich achter NAT

Als uw server (virtueel particulier netwerk) waarop Microsoft Windows Server 2003 achter een NAT standaard is maken niet een Windows XP SP2-gebaseerde VPN-client bijvoorbeeld een Layer Two Tunneling Protocol via IPsec (L2TP/IPsec) verbinding met de VPN-server.

Deze standaardwerking kan ook voorkomen dat computers met Windows XP met SP2 vanaf een extern bureaublad-verbindingen die zijn beveiligd door IPSec-transportmodus of L2TP/IPsec wanneer de doelcomputer zich achter een NAT.

Vanwege de manier waarop IPsec NAT-T in Windows XP werkt zonder servicepacks geïnstalleerd en Windows XP Service Pack 1 (SP1), treden onverwachte resultaten wanneer u een server achter een NAT plaatst en vervolgens IPsec NAT-T. Als u IPsec nodig voor communicatie, is het daarom raadzaam te openbare IP-adressen te gebruiken voor alle servers die u rechtstreeks vanaf Internet verbinding kunt maken.

OpmerkingOngeacht deze wijzigingen ondersteuning computers waarop Windows 2000, Windows XP of Windows Server 2003 voor IPsec NAT-T-verbindingen als initiator wanneer zich achter een NAT bevindt. Bijvoorbeeld kunt een laptop van L2TP/IPsec VPN-client die in een hotel particulier netwerk bevindt zich een verbinding met een VPN-server met openbare Internet-adres starten.

NAT is een veelgebruikte technologie waarmee meerdere computers één openbaar IP-adres delen. NAT toewijzen particuliere adressen (10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16) die worden gebruikt in particuliere netwerken in openbare IP-adressen die worden gebruikt op Internet.
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het plaatsen van servers achter NAT over vertaling van netwerk-adrestoewijzingen voor servers te configureren en de gevolgen voor IPsec NAT-T-beveiligingskoppelingen voor de specifieke situatie:
885348IPSec NAT-T wordt niet aanbevolen voor Windows Server 2003-computers die zich achter NAT

Toestaan een initiator IPsec NAT-T met een onlineresponder zich achter een NAT bevindt, moet u maken en instellen van de registerwaarde AssumeUDPEncapsulationContextOnSendRule op de initiator.

OpmerkingVoordat u deze waarde configureert, raadzaam contact op met uw netwerkbeheerder of uw eigen beveiligingsbeleid te lezen.

Maken en configureren van de registerwaarde AssumeUDPEncapsulationContextOnSendRule, als volgt:
  1. Klik opStart, klik opUitvoeren, typRegedit, en klik vervolgens opOK.
  2. Zoek en klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Op deBewerkenin het menuNieuwe, en klik vervolgens opDWORD-waarde.
  4. In deNieuwe waarde # 1in het vakAssumeUDPEncapsulationContextOnSendRule, en druk op ENTER.

    BelangrijkDeze waarde is hoofdlettergevoelig.
  5. Klik met de rechtermuisknopAssumeUDPEncapsulationContextOnSendRule, en klik vervolgens opWijzigen.
  6. In deWaardegegevensin het vak een van de volgende waarden:
    • 0(standaard)
      De waarde 0 (nul) configureert Windows XP SP2 zodat deze kan niet met IPsec beveiligde communicatie starten met responders die zich achter NAT.
    • 1
      De waarde 1 configureert Windows XP SP2 zodat deze met IPsec beveiligde communicatie starten met responders die zich achter NAT.
    • 2
      De waarde 2 configureert Windows XP SP2 zodat deze met IPsec beveiligde communicatie initiëren kan wanneer de initiators en de responders achter NAT zijn.

      OpmerkingDit is de werking van IPsec NAT-T in Windows XP zonder servicepacks geïnstalleerd en Windows XP SP1.
  7. Klik opOK, en sluit Register-Editor.
  8. De computer opnieuw.
Nadat u AssumeUDPEncapsulationContextOnSendRule met de waarde 1 of de waarde 2 configureren, kunt Windows XP SP2 verbinden met een onlineresponder zich achter een NAT bevindt. Dit probleem geldt voor verbindingen met een VPN-server waarop Windows Server 2003.

Eigenschappen

Artikel ID: 885407 - Laatste beoordeling: donderdag 17 maart 2011 - Wijziging: 2.0
Trefwoorden: 
kbfirewall kbnat kbhowto kbinfo kbmt KB885407 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:885407

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com