文章編號: 885407 - 上次校閱: 2006年10月11日 - 版次: 2.5

在 Windows XP Service Pack 2 中變更預設行為的 IPsec NAT 周遊 (NAT-T)

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

全部展開 | 全部摺疊

簡介

本文將告訴您的網際網路通訊協定安全性 (IPsec) 網路位址轉譯 (NAT) 周遊 (NAT-T) 已被在 Microsoft Windows XP Service Pack 2 (SP2) 中實作預設行為的變更。您可以修改此預設行為,在 Windows XP SP2 中的使用下列的登錄值:
AssumeUDPEncapsulationContextOnSendRule


沒有已變更在 Microsoft Windows 2000 IPsec NAT-T 實作。

其他相關資訊

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄


預設情況下,電腦的 Service Pack 2 以執行 Windows XP 和的起始 IPsec 保護的通訊 (此後稱為初始器) 不再支援使用 IPsec NAT-T 到回應位於網路位址轉譯器後面的要求 (此後稱為回應器) 的 IPsec 保護通訊的遠端電腦。這是為了避免潛在的安全性問題,如下列 「 Microsoft 知識庫 」 文件所述:
885348? (http://support.microsoft.com/kb/885348/ ) IPSec NAT-T 不建議用於網路位址轉譯器後面的 Windows Server 2003 電腦

例如,如果您執行的 Microsoft Windows Server 2003 的虛擬私人網路 (VPN) 伺服器是預設情況下,為網路位址轉譯器後面 Windows XP SP2 VPN 用戶端無法製作一個第二層通道通訊協定與 IPsec (L2TP/IPSec) 連接到 VPN 伺服器。

這個預設行為也可以防止執行 Windows XP SP2 進行處於保護狀態由 L2TP/IPsec 或 IPsec 傳輸模式當目的電腦位於網路位址轉譯器後面的 [遠端桌面] 連線的電腦。

因為的方式,在 Windows XP 中沒有安裝的 Service Pack 和 Windows XP Service Pack 1 (SP1) 中運作的 IPsec NAT-T 時, 可能會遇到未預期的結果將置於網路位址轉譯器後方的伺服器,然後使用 [IPsec NAT T。因此,如果您需要 IPsec 通訊,我們建議您可以從網際網路直接連線到的所有伺服器使用公用 IP 位址。

附註不論這些變更執行 Windows 2000、 Windows XP 或 Windows Server 2003 電腦支援 IPsec NAT T 基礎連線作為初始器時位於網路位址轉譯器後面。 比方說位於私人旅館網路上的 L2TP/IPsec VPN 用戶端膝上型電腦可以啟始正在使用公用的網際網路位址的 VPN 伺服器的連線。

NAT 是被廣泛使用的技術,可讓一個以上的電腦共用單一公用 IP 位址。網路位址轉譯器對應用在網際網路上使用的公用 IP 位址的私人網路上的私人位址 (10.0.0.0/8、 172.16.0.0/12 及 192.168.0.0/16)。
如將伺服器網路位址轉譯器後面,有關如何設定伺服器,網路位址轉譯對應,以及有關後果放到特定情況的 IPsec NAT-T 安全性關聯的更多有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
885348? (http://support.microsoft.com/kb/885348/ ) IPSec NAT-T 不建議用於網路位址轉譯器後面的 Windows Server 2003 電腦

若要以便 IPsec NAT-T 初始器連線到位於位於 NAT 後的回應者必須建立,並設定啟動器 AssumeUDPEncapsulationContextOnSendRule 登錄值。

附註您設定這個登錄值前我們建議您請連絡您的網路系統管理員,或讀取您的公司安全性原則。

若要建立和設定 AssumeUDPEncapsulationContextOnSendRule 登錄值,請依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並點選下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. 在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
  4. 在 [新數值 # 1] 方塊鍵入 AssumeUDPEncapsulationContextOnSendRule,並按下 ENTER。

    重要這個值的名稱會區分大小寫。
  5. AssumeUDPEncapsulationContextOnSendRule,] 上按一下滑鼠右鍵,然後按一下 [修改]
  6. 在 [數值資料] 方塊輸入其中一個下列值:
    • 0 (預設)
      0 (零) 的值會設定 Windows XP SP2,以便它不能起始 IPsec 保護通訊與位於網路位址轉譯器後面的回應器。
    • 1
      1 的值會設定 Windows XP SP2,以便它可以啟始與位於網路位址轉譯器後面的回應器的 IPsec 保護通訊。
    • 2
      值為 2 會設定 Windows XP SP2,以便它可以起始 IPsec 保護的通訊,當初始器與回應器網路位址轉譯器後面。

      附註這是行為的 IPsec NAT-T Windows XP 中沒有安裝的 Service Pack 和 Windows XP SP1 中。
  7. 按一下 [確定],然後再結束 「 登錄編輯程式 」。
  8. 重新啟動電腦。
使用的值是 1 或 2 的值設定 AssumeUDPEncapsulationContextOnSendRule 之後 Windows XP SP2 可以連線到位於網路位址轉譯器後面的回應者。這個行為適用於執行 Windows Server 2003 的 VPN 伺服器的連線。
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional SP2
回此頁最上方
關鍵字:?
kbmt kbfirewall kbnat kbhowto kbinfo KB885407 KbMtzh
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:885407? (http://support.microsoft.com/kb/885407/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。