Jak nastavit server L2TP/IPsec za zařízení NAT-T v systému Windows Vista a Windows Server 2008


ÚVOD


Důležité Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Úprava registru nesprávným způsobem může způsobit vážné problémy. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows
Ve výchozím nastavení systém Windows Vista a Windows Server 2008 operační systém nepodporují protokol IPSec (IPsec) sítě adresu překlad (NAT) funkce Traversal (NAT-T) přidružení zabezpečení na servery, které jsou umístěny za zařízení NAT.. Proto pokud je server virtuální privátní sítí (VPN) za zařízením NAT, klientského počítače VPN se systémem Windows Vista nebo klientského počítače VPN se systémem Windows Server 2008 nelze provádět Layer Two Tunneling Protocol (L2TP) / IPsec připojení k serveru VPN. Tento scénář obsahuje servery VPN se systémem Windows Server 2008 a Microsoft Windows Server 2003.Vzhledem ke způsobu, jakým zařízení NAT překládá síťový provoz, může dojít k neočekávaným výsledkům, když dáte serveru za zařízením NAT a pak použijete prostředí IPsec NAT-T. Proto pokud IPsec musí mít pro komunikaci, doporučujeme použití veřejných adres IP pro všechny servery, které lze připojit k z Internetu. Však pokud je nutné umístit server za zařízením NAT a potom použijte prostředí IPsec NAT-T, můžete povolit komunikaci změnou hodnoty registru klientského počítače VPN a serveru VPN.Chcete-li vytvořit a konfigurovat AssumeUDPEncapsulationContextOnSendRule hodnotu registru, postupujte takto:
  1. Přihlaste se k počítači klienta Windows Vista jako uživatel, který je členem skupiny Administrators.
  2. Klepněte na tlačítko Start
    windows icon
    , přejděte na příkaz Všechny programy, klepněte na položku Příslušenství, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK. Dialogové okno Řízení uživatelských účtů se zobrazí na obrazovce a vyzve vás zvyšovat váš token správce, klepněte na tlačítko pokračovat.
  3. Vyhledejte následující podklíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    Poznámka: Můžete také použít hodnotu DWORD AssumeUDPEncapsulationContextOnSendRule Microsoft Windows XP Service Pack 2 (SP2)-založené klientský počítač VPN. Chcete-li to provést, vyhledejte a klepněte na následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. V nabídce Úpravy přejděte na příkaz Nový a pak klikněte na položku Hodnota DWORD (32bitová).
  5. Zadejte AssumeUDPEncapsulationContextOnSendRule a stiskněte klávesu ENTER.
  6. AssumeUDPEncapsulationContextOnSendRule klepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
  7. Do pole Údaj hodnoty zadejte jednu z následujících hodnot:
    • 0 Hodnota 0 (nula) nastaví systém Windows tak, že jej nelze vytvořit přidružení zabezpečením se servery, které jsou umístěny za zařízení NAT. Jedná se o výchozí hodnotu.
    • 1 Hodnota 1 nastaví systém Windows tak, že ji lze vytvořit přidružení zabezpečením se servery, které jsou umístěny za zařízení NAT.
    • 2 Hodnota 2 nakonfiguruje systém Windows tak, aby je vytvoření přidružení zabezpečení, když server a klientský počítač virtuální privátní sítě založené na systému Windows Vista nebo systémem Windows Server 2008 jsou za zařízení NAT.
  8. Klepněte na tlačítko OK a poté ukončete program Editor registru.
  9. Restartujte počítač.

Další informace


Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
818043 připojení L2TP/IPsec NAT-T aktualizace pro systém Windows XP a Windows 2000
885348 IPSec NAT-T se nedoporučuje pro systém Windows Server 2003 počítačů za překladače síťových adres