Makale numarası: 885407 - Son Gözden Geçirme: 14 Haziran 2005 Salı - Gözden geçirme: 2.1

IPsec NAT çapraz geçişinin (NAT-T) varsayılan davranışı Windows XP Service Pack 2'de değişmiştir

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Önemli Bu makale, kayıt defterini değiştirme konusunda bilgiler içermektedir. Kayıt defterini değiştirmeden önce, yedeklediğinizden ve bir sorun çıkması durumunda kayıt defterini nasıl geri yükleyeceğinizi anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme ile ilgili bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
256986  (http://support.microsoft.com/kb/256986/ ) Microsoft Windows Kayıt Defteri'nin Açıklaması
Hepsini aç | Hepsini kapa

GİRİŞ

Bu makale, Microsoft Windows XP Service Pack 2'de (SP2) uygulanan, Internet Protokolü güvenliği (IPsec) ağ adresi çevirisi (NAT) çapraz geçişinin (NAT-T) varsayılan davranışındaki bir değişikliği anlatır. Aşağıdaki kayıt defteri anahtarını kullanarak, Windows XP SP2'de bu varsayılan davranışı değiştirebilirsiniz:
AssumeUDPEncapsulationContextOnSendRule


Microsoft Windows 2000 IPsec NAT-T yürütmesinde herhangi bir değişiklik yapılmamıştır.

Daha fazla bilgi

Uyarı Kayıt Defteri Düzenleyicisi’ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluğunuzdadır.

Varsayılan olarak, Service Pack 2 içeren Windows XP çalıştıran ve IPsec güvenliğine sahip iletişim başlatan (bundan sonra başlatan olarak anılacaktır) bilgisayarlar, bir ağ adresi çeviricisinin ardında yer alan IPsec güvenliğine sahip iletişim isteklerine yanıt veren (bundan sonra yanıtlayan olarak anılacaktır) uzaktaki bilgisayarlara IPsec NAT-T kullanılmasını artık desteklememektedir. Bunun amacı, aşağıdaki Microsoft Bilgi Bankası makalesinde ele alındığı gibi olası güvenlik sorunlarından kaçınmaktır:
885348  (http://support.microsoft.com/kb/885348/ ) Ağ adresi çeviricilerinin ardında yer alan Windows Server 2003 bilgisayarları için IPSec NAT-T önerilmez (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Örneğin, Microsoft Windows Server 2003 çalıştıran sanal özel ağınız (VPN) bir ağ adresi çeviricisinin ardındaysa, varsayılan olarak, Windows XP SP2 tabanlı bir VPN istemcisi VPN sunucusu IPsec (L2TP/IPsec) ile Katman İki Tünel Protokolü bağlantısı yapamaz.

Bu varsayılan davranış ayrıca, SP2 içeren Windows XP çalıştıran bilgisayarların, hedef bilgisayar bir ağ adresi çeviricisinin ardında bulunuyorsa, L2TP/IPsec veya IPsec aktarım modu ile korunan Uzak Masaüstü bağlantıları kurmasını da engelleyebilir.

IPsec NAT-T'nin hizmet paketi yüklü olmayan Windows XP'de ve Windows XP Service Pack 1'de (SP1) çalışma şekli nedeniyle, bir sunucuyu ağ adresi çeviricisi ardına koyup, sonra IPsec NAT-T'yi kullandığınızda beklenmeyen sonuçlarla karşılaşabilirsiniz. Bu nedenle, iletişim için IPsec isterseniz, doğrudan Internet'ten bağlanabildiğiniz tüm sunucular için genel IP adresleri kullanmanızı öneririz.

Not Bu değişikliklerden ayrı olarak, Windows 2000, Windows XP veya Windows Server 2003 kullanan bilgisayarlar, bir ağ adresi çeviricisinin ardındayken, başlatan olarak IPsec NAT-T tabanlı bağlantıları desteklerler. Örneğin, özel bir otel ağında yer alan L2TP/IPsec VPN istemcisi dizüstü bir bilgisayar, genel bir Internet adresi kullanan bir VPN sunucusuna bağlantı başlatabilir.

NAT, birden fazla bilgisayarın tek bir genel IP adresini kullanmasına olanak sağlayan, yaygın olarak olarak kullanılan bir teknolojidir. Ağ adresi çeviricileri özel ağlarda kullanılan özel adresleri (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16), Internet'te kullanılan genel IP adresleriyle eşler.
Sunucuları ağ adresi çeviricileri ardına koyma hakkında, ağ adresi çevirisi eşleşmelerinin sunucular için nasıl yapılandırılacağı hakkında ve belirli bir durum için IPsec NAT-T güvenlik ilişkilendirmelerinin sonuçları hakkında daha fazla bilgi için, Microsoft Bilgi Bankası’ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
885348  (http://support.microsoft.com/kb/885348/ ) Ağ adresi çeviricilerinin ardında yer alan Windows Server 2003 bilgisayarları için IPSec NAT-T önerilmez (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

IPsec NAT-T başlatan bir bilgisayarın, bir NAT ardında bulunan bir yanıtlayıcıya bağlanmasına izin vermek için, başlatan bilgisayarda AssumeUDPEncapsulationContextOnSendRule kayıt defteri değerini oluşturup ayarlamanız gerekir.

Not Bu kayıt defteri değerini yapılandırmadan önce, ağ yöneticinize başvurmanızı veya şirketinizin güvenlik ilkesini okumanızı öneririz.

AssumeUDPEncapsulationContextOnSendRule kayıt defteri değerini oluşturup yapılandırmak için, aşağıdaki adımları izleyin:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, regedit yazıp Tamam'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Düzen menüsünde, Yeni'nin üzerine gelin ve DWORD Değeri'ni tıklatın.
  4. Yeni Değer No1 kutusuna, AssumeUDPEncapsulationContextOnSendRule yazıp ENTER tuşuna basın.

    Önemli Bu değer adı için büyük/küçük harf ayrımı vardır.
  5. AssumeUDPEncapsulationContextOnSendRule'u sağ tıklatın ve Değiştir'i tıklatın.
  6. Değer verisi kutusuna, aşağıdaki değerlerden birini yazın:
    • 0 (varsayılan)
      0 (sıfır) değeri Windows XP SP2'yi, ağ adresi çeviricileri ardında yer alan yanıtlayan bilgisayarlarla IPsec güvenlikli iletişim başlatamayacak şekilde yapılandırır.
    • 1
      1 değeri Windows XP SP2'yi, ağ adresi çeviricileri ardında yer alan yanıtlayan bilgisayarlarla IPsec güvenlikli iletişim başlatabilecek şekilde yapılandırır.
    • 2
      2 değeri Windows XP SP2'yi, ağ adresi çeviricileri ardında yer alan hem başlatan, hem de yanıtlayan bilgisayarlarla IPsec güvenlikli iletişim başlatabilecek şekilde yapılandırır.

      Not Bu davranış, IPsec NAT-T'nin hizmet paketi yüklü olmayan Windows XP'deki ve Windows XP SP1'deki davranışıdır.
  7. Tamam'ı tıklatın ve Kayıt Defteri Düzenleyicisi'nden çıkın.
  8. Bilgisayarı yeniden başlatın.
AssumeUDPEncapsulationContextOnSendRule değerini 1 veya 2 değeriyle yapılandırdıktan sonra, Windows XP SP2, ağ adresi çevricisi ardında bulunan yanıtlayan bir bilgisayara bağlanabilir. Bu davranış, Windows Server 2003 çalıştıran VPN sunucularına bağlantılar için geçerlidir.
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows XP Professional Edition
Üste
Anahtar Kelimeler: 
kbhowto kbinfo kbfirewall kbnat KB885407