Připojení L2TP/IPsec NAT-T aktualizace pro systém Windows XP a Windows 2000

Souhrn

Společnost Microsoft vydala balíček aktualizace pro zvýšení aktuální funkce Layer Two Tunneling Protocol (L2TP) a protokol IPSec (IPsec) v počítačích se systémem Microsoft Windows 2000, Microsoft Windows XP bez nainstalované aktualizace service Pack a Windows XP s aktualizací Service Pack 1 (SP1). Tato funkce je zahrnuta v aktualizaci Windows XP Service Pack 2 (SP2). Počítače se systémem Windows XP s aktualizací service pack není nutné nainstalovat tento balíček aktualizace.

Tato aktualizace zahrnuje vylepšení protokolu IPsec zajišťující lepší podporu klientů virtuální privátní sítě (VPN), za síťová adresa překlad (NAT) zařízení. Pokud instalaci této aktualizace do počítače se systémem Windows XP, a pokud jsou služby IPsec dojde k chybě runtime a nelze ji spustit z jakéhokoli důvodu, ovladač protokolu IPsec pracuje v režimu blokování, protože jej nelze zabezpečit provoz v síti.

Poznámka: Služby IPsec se zobrazí jako "IPSEC services" v seznamu systémových služeb.

Další informace o nejnovější aktualizaci service pack pro systém Windows XP klepněte na následující číslo článku databáze Microsoft Knowledge Base:

322389 jak získat nejnovější aktualizaci service pack pro systém Windows XP

Obsah článku

Další informace

Nové funkce protokolu IPsec a modul snap in Správa a sledování

  • Po instalaci této aktualizace můžete vytvořit klienty Windows 2000 a systémem Windows XP L2TP/IPsec připojení protokolu IPsec přes zařízením NAT. Nové funkce protokolu IPsec NAT-T je založen na požadavky IETF pro komentáře RFC 3193 a verze 2 původní IETF protokol IPsec NAT-T internetové koncepty. Klienti systému Windows XP s aktualizací SP2 také mají tuto vylepšenou možnost připojení. IPsec NAT-T je aktuálně zadána specifikace RFC 3947 a 3948.
  • Aktualizovaný modul snap-in sledování protokolu IPsec může zobrazit počítače se systémem Windows XP, ale jen tehdy, pokud počítač se systémem Windows XP s aktualizací SP2 nainstalován.
  • Aktualizovaný modul snap-in sledování protokolu IPsec může zobrazit počítače se systémem Microsoft Windows Server 2003. Podobně Windows Server 2003, můžete sledovat počítačů se systémem Windows XP s nainstalovanou aktualizací SP2.
  • Počítače se systémem Windows 2000 nelze sledovat, s modulem snap-in.
  • Nový modul snap-in Správa protokolu IPsec při výskytu objekty zásad obsahujícími rozšířené funkce vytvořené v systému Windows Server 2003 (například DH2048, mapování certifikátů nebo dynamické filtry) přepne do režimu pouze pro čtení. Toto chování způsobí, že modul snap-in objekty (například, pravidel, seznamů filtrů nebo nabídky hlavního režimu) se nelze upravovat v případě, že obsahují odkazy na tyto nové nastavení. Modul snap-in Správa protokolu IPsec se přepne do režimu jen pro čtení, aby nebylo možné nechtěné odstranění důležitých rozšířených funkcí.
  • Aktualizovaná služba IPsec v počítačích se systémem Windows XP dokáže využít většinu nových funkcí, které jsou k dispozici v systému Windows Server 2003 zásady.

    Poznámka: Mapování certifikátů není k dispozici.
  • Pokud v počítači se systémem Windows XP (Tento nástroj není k dispozici v systému Windows 2000) je nainstalována starší verze nástroje IPseccmd, aktualizovaná je nainstalována jednotka: složku Files\Support Tools.

    Aktualizovaný nástroj IPseccmd poskytuje následující funkce:
    • Dynamicky vypíná a vypnout protokolování Internet Key Exchange (IKE).
    • Zobrazuje informace o aktuálně přiřazených zásadách.
    • Umožňuje vytvořit trvalé zásady protokolu IPsec.
    Poznámka: Starší verze nástroje IPseccmd v aktualizovaných počítačích nefunguje a mapování certifikátů nefunguje v počítačích, které nejsou aktualizovány.
zpět na horní

Spolupráce a známé problémy

IPsec NAT-T a pravidel brány firewall

Vzhledem k tomu, že podporu pro funkce protokolu IPsec NAT-T je na základě dokumentu RFC 3193 sdružení IETF a původní IETF NAT-T internetové koncepty, verze 2 pro tyto služby spustit přes bránu firewall, bude pravděpodobně nutné otevřít následující porty a protokoly v pravidlech brány firewall:
  • Internet Key Exchange (IKE) – User Datagram Protocol (UDP) 500
  • IPsec NAT-T – UDP 4500
  • Encapsulating Security Payload (ESP) - protokol Internet Protocol (IP) 50

Podporované scénáře používající zabezpečení IPsec NAT-T

V následujících scénářích umožní úspěšně připojení založené na protokolu L2TP/IPsec IPsec NAT-T. V těchto scénářích Klient je klient se systémem Windows 2000 a nainstalovanou aktualizací 818043 nainstalován nebo je počítač se systémem Windows XP s nainstalovanou aktualizací SP2. Server je server L2TP/IPsec se systémem Windows Server 2003 a službou Směrování a vzdálený přístup.
Klient---> NAT---Internet--->Server

Jediným podporovaným a Server není umístěn za zařízením NAT je doporučené scénáře.
Produkt brány třetí strany, který podporuje připojení NAT-T může být také server L2TP/IPsec.

Poznámka: Pokud použijete aktualizaci 818043 na serveru se systémem Windows 2000, který je pomocí služby Směrování a vzdálený přístup, server nemůže fungovat jako server L2TP/IPsec v tomto scénáři. Nelze povolit připojení klientů L2TP/IPsec, které jsou za zařízení NAT jeden nebo více. Tato aktualizace je straně klienta pouze. Funkce protokolu IPsec NAT-T straně serveru je nová funkce v systému Windows Server 2003 směrování a vzdálený přístup pouze. Podporu ze strany serveru protokolu IPsec NAT-T nebude přidána do systému Windows 2000 směrování a vzdálený přístup.

Skupina Diffie-Hellman č. 2048 aktualizace

Pro klienty L2TP/IPsec vyjednávat a použít aktualizaci skupina Diffie-Hellman č. 2048 kontaktovaný server vzdáleného přístupu také podporovat tuto skupinu.

Poznámka: Použití algoritmu Diffie-Hellman č. 2048, pokud v počítači se systémem Windows Server 2003, je nutné vytvořit podklíč registru. Chcete-li to provést, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko
    OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. V nabídce Úpravy přejděte na příkaz
    Novýa potom klepněte na příkaz Hodnota DWORD.
  4. Zadejte NegotiateDH2048a stiskněte klávesu ENTER.
  5. NegotiateDH2048pravým tlačítkem myši a potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte
    1a klepněte na tlačítko OK.
  7. V nabídce registr klepněte na tlačítko
    Konec.

Ostatní

  • Snižování zátěže hardwarem IPsec
    Přidružení zabezpečení, které byly vytvořeny pomocí překládání adres NAT. není snižování zátěže protokolu IPsec snižování zátěže síťové adaptéry.
  • Nové funkce nejsou správně zobrazeny.
    Nové funkce, které byly povoleny pomocí zásady protokol IPsec systému Windows Server 2003 nemusí být zobrazeny správně v nástroji Sledování protokolu IPsec. Zejména skupina DH2048 se zobrazí jako 268435457 a vůbec (příslušný sloupec bude prázdný) nejsou zobrazeny názvy dynamických filtrů (například WINS nebo DHCP).
  • Součást IKE implementace protokolu IPsec v systému Windows používá rozšířenou funkci rozhraní Winsock API, jejíž ukazatel je určován voláním WSAIoctl(). Pokud toto volání funkce nelze předat prostřednictvím jakékoli nainstalované vrstvy služby zprostředkovatele (LSP), nemůže protokol IPsec naslouchat na portu IKE. Interpretuje jako selhání součásti protokolu IPsec a reaguje podle toho (to znamená, je vrácena zpráva "Selhání do zabezpečeného režimu"). Součást IKE nemůže projít přes zprostředkovatele LSP, může být způsobeno pomocí nainstalovaného programu jiného výrobce.
zpět na horní
Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům upozornění . Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí. Chcete-li změnit chování protokolu IPsec NAT-T v počítači se systémem Windows XP s aktualizací SP2, musíte vytvořit hodnotu registru AssumeUDPEncapsulationContextOnSendRule.

Ve výchozím nastavení systém Windows XP s aktualizací SP2 již nepodporuje přidružení zabezpečení IPsec NAT-T na servery, které jsou umístěny za network address translator. Proto pokud je server virtuální privátní sítě (VPN) za network address translator ve výchozím klienta VPN v systému Windows XP s aktualizací SP2 nelze provádět připojení L2TP/IPsec k serveru VPN. Tento scénář zahrnuje server VPN se systémem Microsoft Windows Server 2003.

Toto výchozí chování můžete zabránit také počítače se systémem Windows XP s aktualizací SP2 v provedení připojení ke vzdálené ploše pomocí protokolu L2TP/IPsec, pokud je cílový počítač umístěn za network address translator.

Vzhledem ke způsobu, že překladače síťových adres překladu síťových přenosů můžete obdržet neočekávané výsledky při umístit server za network address translator a poté pomocí protokolu IPsec NAT-T. Proto pokud komunikace protokolu IPsec, doporučujeme použití veřejných adres IP pro všechny servery, ke kterým můžete připojit přímo z Internetu.

Chcete-li vytvořit a konfigurovat AssumeUDPEncapsulationContextOnSendRule hodnotu registru, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
  4. Do pole Nová hodnota #1 zadejte
    AssumeUDPEncapsulationContextOnSendRulea stiskněte klávesu ENTER.
  5. AssumeUDPEncapsulationContextOnSendRule klepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte jednu z následujících hodnot:
    • 0 (výchozí)
      Hodnota 0 (nula) konfiguruje Windows tak, aby jej nelze vytvořit přidružení zabezpečení se servery, které jsou umístěny za překladače síťových adres.
    • 1
      Hodnota 1 nastaví systém Windows tak, aby jej můžete vytvořit přidružení zabezpečení se servery, které jsou umístěny za překladače síťových adres.
    • 2
      Hodnota 2 nakonfiguruje systém Windows tak, aby je vytvoření přidružení zabezpečení, když server a klientský počítač systémem Windows XP s aktualizací SP2 jsou za překladače síťových adres.
  7. Klepněte na tlačítko OKa pak ukončete Editor registru.
  8. Restartujte počítač.
zpět na horní

Informace o systému Windows XP service pack

Tato funkce je k dispozici v nejnovější aktualizaci service pack pro systém Windows XP (SP2). Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

322389 jak získat nejnovější aktualizaci service pack pro systém Windows XP

zpět na horní

Aktualizace systému Windows 2000

Chcete-li stáhnout tuto aktualizaci pro systém Windows 2000, přejděte na následující web společnosti Microsoft, použijte katalog Microsoft Update:Hledat v katalogu Microsoft Update pomocí funkce Rozšířené možnosti hledání identifikační číslo tohoto článku. Chcete-li to provést, postupujte takto:
  1. Na webu Microsoft Windows Update klepněte na položku Najít aktualizace pro operační systémy Microsoft Windows.
  2. Klepnutím vyberte svůj operační systém a jazyk a potom klepněte na tlačítko Rozšířené hledání.

    Poznámka: Je nutné vybrat buď systém Windows 2000 Professional Service Pack 3 nebo Windows 2000 Professional Service Pack 4. Pokud vyberete jiný operační systém, aktualizace nebude vrácena do vyhledávání.
  3. V dialogovém okně obsahuje tato slova zadejte 818043a klepněte na tlačítko Hledat.
Další informace o stahování aktualizací z katalogu systému Windows Update klepněte na následující číslo článku databáze Microsoft Knowledge Base:

323166 jak stáhnout aktualizace, které zahrnují ovladače a opravy hotfix z katalogu systému Windows Update

Předpoklady

Tento balíček aktualizací je navržen pro instalaci do počítačů se systémem Windows 2000 s aktualizací Service Pack 3 (SP3) nebo novější verze.

Požadavek na restartování

Tento balíček aktualizací vyžaduje restartování počítače Chcete-li povolit nové funkce protokolu IPsec.

Informace o nahrazení aktualizace

Tato aktualizace nenahrazuje žádné jiné aktualizace.

Informace o souborech

Anglická verze této opravy hotfix má atributy (nebo pozdější atributy souborů) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Rozdíl mezi časem UTC a místním časem, naleznete na kartě časové pásmo na panelu Datum a čas v okně Ovládací panely.
   Date         Time   Version        Size     File name
----------------------------------------------------------------
18-Sep-2000 19:01 5.0.2195.1569 33,616 Fips.sys
21-Apr-2003 15:19 5.0.2195.6738 80,848 Ipsec.sys
21-Apr-2003 15:19 5.0.2195.6738 29,456 Ipsecmon.exe
21-Apr-2003 15:21 5.0.2195.6738 390,928 Netdiag.exe
01-May-2003 21:39 5.0.2195.6738 417,552 Oakley.dll
01-May-2003 21:39 5.0.2195.6738 96,528 Polagent.dll
01-May-2003 21:39 5.0.2195.6738 137,488 Polstore.dll
01-May-2003 21:39 5.0.2195.6738 58,128 Rasman.dll
01-May-2003 21:39 5.0.2195.6738 153,360 Rasmans.dll
01-May-2003 21:39 5.0.2195.6738 54,032 Rastapi.dll
21-Apr-2003 15:19 5.0.2195.6738 80,848 Ipsec.sys (56-bit)

zpět na horní

Odkazy

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

314067 odstraňování potíží s připojením TCP/IP v systému Windows XP

257225 základní IPsec řešení potíží v systému Microsoft Windows 2000 Server

816915 nové schéma názvů souborů pro balíčky aktualizací softwaru systému Windows

zpět na horní
Vlastnosti

ID článku: 818043 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor