IPSec NAT-T se nedoporučuje pro systém Windows Server 2003 počítačů za překladače síťových adres

ÚVOD

Protokol IPSec (IPSec) sítě adresu překlad (NAT) Funkce traversal (NAT-T) nedoporučujeme pro nasazení systému Windows, které obsahují servery VPN, které jsou umístěny za překladače síťových adres. Server je za network address translator a server používá protokol IPSec NAT-T, nežádoucí vedlejší účinky může dojít z důvodu způsobem, že překladače síťových adres překladu síťových přenosů.


Kromě toho výchozí chování systému Microsoft Windows XP byl změněn s aktualizací Service Pack 2 (SP2). Přidružení zabezpečení IPSec NAT-T na servery, které jsou umístěny za překladače síťových adres nejsou vhodné pro počítače se systémem Windows XP s aktualizací SP2. Tato změna znamená, že za network address translator bez další konfigurace klientů VPN se systémem Windows XP s aktualizací SP2 nelze nasadit server Microsoft Windows Server 2003 založené virtuální privátní sítě (VPN) využívající protokol L2tp pomocí protokolu IPSec (L2TP/IPSec).

Pokud komunikace protokolu IPSec, doporučujeme použití veřejných adres IP pro všechny servery, ke kterým můžete připojit přímo z Internetu. Systém Windows klientských počítačů podporujících protokol IPSec NAT-T může být umístěn za network address translator.

Další informace

NAT je široce používané technologie, která umožňuje více než jeden počítač sdílet jednu veřejnou IP adresu. Překladače síťových adres mapovat soukromých adres, které jsou použity na následující privátní sítě na veřejné adresy IP používané v síti Internet:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Jestliže umístíte za network address translator server, může docházet k potížím připojení vzhledem k tomu, že klienti připojení k serveru přes Internet vyžadují veřejnou adresu IP. K dosažení serverů, které jsou umístěny za překladače síťových adres z Internetu, je nutné nakonfigurovat statická mapování na převaděč síťových adres. Například připojit počítač se systémem Windows Server 2003, který je za překladač síťových adres z Internetu, nakonfigurujte převaděč síťových adres s následující mapování převaděče statickou síťovou adresu:
  • Veřejná IP adresa/port UDP 500 k na serveru privátní IP adresu a UDP port 500.
  • Veřejná IP adresa/port UDP 4500 k serveru privátní IP adresu a UDP port 4500.
Tato mapování jsou požadovány tak, aby všechny Internet Key Exchange (IKE) a protokolu IPSec NAT-T přenosy odeslané na veřejnou adresu převaděč síťových adres automaticky přeložen a předány do počítače se systémem Windows Server 2003.

Používáte-li server VPN se systémem Windows Server 2003, doporučujeme však přiřadit veřejnou adresu IP serveru VPN. Přiřazením veřejnou adresu IP serveru VPN se můžete vyhnout situacím, kdy přenos IP je ke ztrátě nebo náhodně předány nesprávné umístění z důvodu chování převaděč typické síťové adresy.

Aktualizace Windows XP SP2 nepodporuje vytvoření přidružení zabezpečení IPSec NAT-T na servery za zařízení NAT

Jsme změnili výchozí chování protokolu IPSec NAT-T v systému Windows XP Service Pack 2 (SP2). Aktualizace Windows XP SP2 nepodporuje přidružení zabezpečení IPSec NAT-T na serveru, který je umístěn za zařízení nebo součást, která provádí překlad síťových adres. Tato změna byla provedena, aby se zabránilo ohrožení zabezpečení zjištěné v následující situaci:
  1. Network address translator je nakonfigurován pro mapování přenosy protokolu IKE a IPSec NAT-T na serveru v síti nakonfigurovat zařízení NAT. (Tento server je Server 1). Mapování síťové adresy převaděče jsou ty, které doporučujeme, abyste v tomto článku.
  2. Klienta z mimo síť nakonfigurována NAT používá protokolu IPSec NAT-T na vytvoření přidružení zabezpečení obousměrný Server 1. (Tento klient je klient 1.)
  3. Klient v síti nakonfigurovat zařízení NAT používá k vytvoření obousměrný přidružení zabezpečení s 1 klienta protokolu IPSec NAT-T. (Tento klient je klient, 2.)
  4. Dojde k podmínku, která způsobí, že klient 1 Chcete-li obnovit přidružení zabezpečení s 2 klienta z důvodu statickou síťovou adresu překladač mapování, mapované přenosy protokolu IKE a IPSec NAT-T na serveru 1. Tato podmínka může způsobit IPSec zabezpečení přidružení přenosy domlouvání odesílá klient 1 a která je určena pro klienta 2 Chcete-li být do nesprávně směrovanými na Server 1.
Ačkoli to je neobvyklé situace, výchozí chování v počítačích se systémem Windows XP s aktualizací SP2 zabrání jakékoli přidružení zabezpečení založené na protokolu IPSec NAT-T na servery, které jsou umístěny za network address translator a ujistěte se, že tuto situaci nikdy nedošlo.

Chcete-li povolit přidružení zabezpečení IPSec NAT-T na servery, které jsou umístěny za network address translator lze změnit výchozí chování systému Windows XP s aktualizací SP2. Nedoporučujeme výchozí chování změnit.

Další informace

Další informace o aktualizaci Windows XP SP2 a přidružení zabezpečení založené na protokolu IPSec NAT-T klepněte na následující číslo článku databáze Microsoft Knowledge Base:

885407 se změní výchozí chování funkce protokolu IPSec NAT traversal (NAT-T) v systému Windows XP Service Pack 2

Vlastnosti

ID článku: 885348 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor