在 Windows XP Service Pack 2 中更改 IPsec NAT 遍历 (NAT-T) 的默认行为

文章翻译 文章翻译
文章编号: 885407 - 查看本文应用于的产品
展开全部 | 关闭全部

简介

本文介绍的网际协议安全 (IPsec) 网络地址转换 (NAT) 遍历 (NAT-T) 已经实现了在 Microsoft Windows XP Service Pack 2 (SP2) 中的默认行为的更改。您可以修改这种默认行为在 Windows XP SP2 中的通过使用下面的注册表值:
AssumeUDPEncapsulationContextOnSendRule


在 Microsoft Windows 2000 IPsec NAT-T 实现中不作了任何更改。

更多信息

重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表


默认状态下的启动 (以后指启动器) 的受 IPsec 保护的通信和的 Service Pack 2 运行 Windows XP 的计算机不再支持使用 IPsec NAT-T 对受 IPsec 保护的通信 (以后指的响应方) 的网络地址转换器后面的请求做出响应的远程计算机。这是为了避免潜在的安全问题,如下面的 Microsoft 知识库文章中所述:
885348IPSec NAT-T 不建议将用于 Windows Server 2003 计算机位于网络地址转换器后面的

例如对于如果您运行的 Microsoft Windows Server 2003 的虚拟专用网络 (VPN) 服务器位于网络地址转换器默认,基于 Windows XP SP2 的 VPN 客户端不能使一个第 2 层隧道协议与 IPsec 的 l2tp/ipsec 连接到 VPN 服务器。

这种默认行为还可阻止运行 Windows XP sp2 进行受保护的通过 l2tp/ipsec 或 IPsec 传输模式时在目标计算机位于网络地址转换器后面的远程桌面连接的计算机。

由于 IPsec NAT-T 工作在 Windows XP 中没有安装的服务包和 Windows XP Service Pack 1 (SP1) 中的方式的时,您可能会遇到意外的结果将放网络地址转换器后面的服务器,然后使用 IPsec NAT-t。因此,如果您需要 IPsec 通信,我们建议您为您可以直接从 Internet 连接到的所有服务器使用公用 IP 地址。

注意不管这些的更改,都运行 Windows 2000、 Windows XP 或 Windows Server 2003 的计算机支持基于 IPsec NAT 的 T-连接作为发起方时位于网络地址转换器后面。 例如对于位于私有旅馆网络的 l2tp/ipsec VPN 客户端便携式计算机可以初始化到 VPN 服务器使用公用的 Internet 地址的连接。

NAT 是一种广泛使用的技术,可以让多个计算机可以共享单个公用 IP 地址。网络地址转换器映射到 Internet 使用的公用 IP 地址的专用网络使用的专用地址 (10.0.0.0/8、 172.16.0.0/12 和 192.168.0.0/16)。
有关将网络地址转换器,有关如何配置网络地址转换映射为服务器,和关于后果后面的服务器放入 IPsec NAT-T 安全关联的特定情况的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
885348IPSec NAT-T 不建议将用于 Windows Server 2003 计算机位于网络地址转换器后面的

若要以便连接到位于了 NAT 的后面的响应方 IPsec NAT-T 发起方必须创建并启动器上设置 AssumeUDPEncapsulationContextOnSendRule 注册表值。

注意在配置此注册表值之前,我们建议您与网络管理员联系,或阅读您的公司安全策略。

创建和配置 AssumeUDPEncapsulationContextOnSendRule 注册表值,请按照下列步骤操作:
  1. 单击 开始、 单击 运行,键入 regedit,然后单击 确定
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. 编辑 菜单上指向 新建,然后单击 DWORD 值
  4. 新值 # 1 框中键入 AssumeUDPEncapsulationContextOnSendRule,然后按 ENTER 键。

    重要此值名称是区分大小写的。
  5. 用鼠标右键单击 AssumeUDPEncapsulationContextOnSendRule,然后单击 修改
  6. 数值数据 框中键入下列值之一:
    • 0 (默认值)
      值为 0 (零) 会配置 Windows XP SP2,以便它不能发起与位于网络地址转换器后面的响应方的受 IPsec 保护的通信。
    • 1
      值为 1 配置 Windows XP SP2,以便它可以发起与位于网络地址转换器后面的响应方的受 IPsec 保护的通信。
    • 2
      值为 2 可以配置 Windows XP SP2,以便当启动器和该响应方网络地址转换器后面时,它可以启动受 IPsec 保护的通信。

      注意这是行为的 IPsec NAT-T Windows XP 中没有安装的服务包和 Windows XP SP1 中。
  7. 单击 确定,然后退出注册表编辑器。
  8. 重新启动计算机。
使用值为 1 或 2 的值配置 AssumeUDPEncapsulationContextOnSendRule 之后,Windows XP SP2 可以连接到位于网络地址转换器后面的响应方中。此行为适用于连接到运行的 Windows Server 2003 的 VPN 服务器上的连接。

属性

文章编号: 885407 - 最后修改: 2006年10月11日 - 修订: 2.5
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional SP2
关键字:?
kbmt kbfirewall kbnat kbhowto kbinfo KB885407 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 885407
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com