Změní výchozí chování funkce protokolu IPsec NAT traversal (NAT-T) v systému Windows XP Service Pack 2

ÚVOD

Tento článek popisuje změnu výchozího chování protokol IPSec (IPsec) sítě adresu překlad (NAT) Funkce traversal (NAT-T), která byla implementována v systému Microsoft Windows XP Service Pack 2 (SP2). Můžete upravit toto chování v systému Windows XP SP2 pomocí následující hodnotu registru:
AssumeUDPEncapsulationContextOnSendRule


V implementaci Microsoft Windows 2000 IPsec NAT-T byla provedena žádná změna.

Další informace

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Ve výchozím nastavení počítačů, které běží systém Windows XP s aktualizací Service Pack 2 a která zahájí komunikaci zabezpečenou protokolem IPsec (dále jako iniciátory) již nepodporují použití protokolu IPsec NAT-T na vzdálených počítačích, které reagují na požadavky na zabezpečení komunikace protokolem IPsec (dále jen respondérů), které jsou umístěny za network address translator. Toto je zabránit potenciální problémy zabezpečení, jak je popsáno v následujícím článku znalostní báze Microsoft Knowledge Base:
885348 IPSec NAT-T se nedoporučuje pro systém Windows Server 2003 počítačů za překladače síťových adres


Například pokud je server virtuální privátní sítě (VPN) se systémem Microsoft Windows Server 2003 za network address translator ve výchozím klienta VPN v systému Windows XP s aktualizací SP2 nelze provádět protokol L2tp pomocí protokolu IPsec (L2TP/IPsec) připojení k serveru VPN.

Toto výchozí chování můžete zabránit také počítače se systémem Windows XP s aktualizací SP2 zabránit v připojení ke vzdálené ploše, které jsou chráněny pomocí protokolu L2TP/IPsec nebo režimu přenosu IPsec, pokud je cílový počítač umístěn za network address translator.


Díky způsobu, jakým protokol IPsec NAT-T pracuje v systému Windows XP bez nainstalované aktualizace service Pack a v systému Windows XP Service Pack 1 (SP1) můžete obdržet neočekávané výsledky při umístit server za network address translator a poté pomocí protokolu IPsec NAT-T. Proto pokud komunikace protokolu IPsec, doporučujeme použití veřejných adres IP pro všechny servery, ke kterým můžete připojit přímo z Internetu.

Poznámka: Bez ohledu na tyto změny počítače se systémem Windows 2000, Windows XP nebo Windows Server 2003 podporují připojení založené na protokolu IPsec NAT-T jako iniciátor při umístěn za network address translator. Například přenosný klienta VPN typu L2TP/IPsec, která je umístěna v hotelu privátní sítě iniciovat připojení k serveru VPN, který používá veřejnou internetovou adresu.

NAT je široce používané technologie, která umožňuje více než jeden počítač sdílet jednu veřejnou IP adresu. Překladače síťových adres mapovat soukromé adresy (10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16), které jsou používány v privátní sítě na veřejné adresy IP používané v síti Internet.
Další informace o uvedení serverů za překladače síťových adres, o tom, jak nakonfigurovat mapování překlad síťové adresy pro servery a o důsledcích pro přidružení zabezpečení IPsec NAT-T pro konkrétní situaci klepněte na následující číslo článku databáze Microsoft Knowledge Base:

885348 IPSec NAT-T se nedoporučuje pro systém Windows Server 2003 počítačů za překladače síťových adres


Iniciátor IPsec NAT-T pro připojení k respondér, který je umístěn za zařízení NAT povolit, musíte vytvořit a nastavit hodnotu registru AssumeUDPEncapsulationContextOnSendRule na iniciátoru.

Poznámka: Doporučujeme, abyste před konfiguraci této hodnoty registru, obraťte se na správce sítě nebo číst vaše podnikovými zásadami zabezpečení.

Chcete-li vytvořit a konfigurovat AssumeUDPEncapsulationContextOnSendRule hodnotu registru, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
  4. Do pole Nová hodnota #1 zadejte AssumeUDPEncapsulationContextOnSendRulea stiskněte klávesu ENTER.

    Důležité: Název této hodnoty je velká a malá písmena.
  5. AssumeUDPEncapsulationContextOnSendRule klepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte jednu z následujících hodnot:
    • 0 (výchozí)
      Hodnota 0 (nula) nakonfiguruje systém Windows XP s aktualizací SP2, takže nebude možné inicializovat komunikaci zabezpečenou protokolem IPsec s respondéry umístěných za překladače síťových adres.
    • 1
      Hodnota 1 nakonfiguruje systém Windows XP s aktualizací SP2 tak, aby jej můžete zahájit komunikaci zabezpečenou protokolem IPsec s respondéry umístěných za překladače síťových adres.
    • 2
      Hodnota 2 nakonfiguruje systém Windows XP s aktualizací SP2 tak, aby jej můžete iniciovat komunikaci zabezpečenou protokolem IPsec při iniciátory posílají i respondérů jsou za překladače síťových adres.

      Poznámka: Toto je chování protokolu IPsec NAT-T v systému Windows XP bez nainstalované aktualizace service Pack a v systému Windows XP SP1.
  7. Klepněte na tlačítko OKa pak ukončete Editor registru.
  8. Restartujte počítač.
Po konfiguraci AssumeUDPEncapsulationContextOnSendRule s hodnotou 1 nebo hodnota 2, Windows XP s aktualizací SP2 můžete připojit k respondér, který je umístěn za network address translator. Toto chování se vztahuje k připojení k serveru VPN se systémem Windows Server 2003.
Vlastnosti

ID článku: 885407 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor