Konfigurieren eines L2TP/IPSec-Servers hinter einem NAT-T-Gerät in Windows Vista und Windows Server 2008


EINFÜHRUNG


Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Standardmäßig unterstützen Windows Vista und das BetriebssystemWindows Server 2008 keine IPSec-Netzwerkadressübersetzung (NAT)-Sicherheitszuordnungen (NAT-T) für Server, die sich hinter einem NAT-Gerät befinden. Wenn sich der VPN-Server (virtuelles privates Netzwerk) hinter einem NAT-Gerät befindet, kann ein Windows Vista-basierter VPN-Clientcomputer oder ein Windows Server 2008-basierter VPN-Clientcomputer keine L2TP-/IPSec (Layer Two Tunneling Protocol) mit dem VPN-Server herstellen. Dieses Szenario umfasst VPN-Server, auf denen Windows Server 2008 und Microsoft Windows Server 2003 ausgeführt werden.Aufgrund der Art und Weise, wie NAT-Geräte den Netzwerkdatenverkehr übersetzen, können unerwartete Ergebnisse auftreten, wenn Sie einen Server hinter einem NAT-Gerät platzieren und dann eine IPSec-NAT-T-Umgebung verwenden. Wenn Sie IPSec für die Kommunikation benötigen, empfehlen wir daher, öffentliche IP-Adressen für alle Server zu verwenden, mit denen Sie über das Internet eine Verbindung herstellen können. Wenn Sie jedoch einen Server hinter einem NAT-Gerät platzieren und dann eine IPSec-NAT-T-Umgebung verwenden müssen, können Sie die Kommunikation aktivieren, indem Sie einen Registrierungswert auf dem VPN-Clientcomputer und dem VPN-Server ändern.Führen Sie die folgenden Schritte aus, um den Registrierungswert AssumeUDPEncapsulationContextOnSendRule zu erstellen und zu konfigurieren:
  1. Melden Sie sich beim Windows Vista-Clientcomputer als Benutzer an, der Mitglied der Gruppe Administratoren ist.
  2. Klicken Sie auf Start .
    Windows-Schaltfläche „Start“
    , zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, klicken Sie auf Ausführen, geben Sie Regeditein, und klicken Sie dann auf OK. Wenn das Dialogfeld Benutzerkontensteuerung auf dem Bildschirm angezeigt wird und Sie aufgefordert werden, Ihr Administratortoken zu erhöhen, klicken Sie auf weiter.
  3. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    HinweisSie können den AssumeUDPEncapsulationContextOnSendRule -DWORD-Wert auch auf einen Microsoft Windows XP Service Pack 2 (SP2)-basierten VPN-Clientcomputer anwenden. Suchen Sie dazu den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert (32-Bit).
  5. Geben Sie AssumeUDPEncapsulationContextOnSendRuleein, und drücken Sie dann die EINGABETASTE.
  6. Klicken Sie mit der rechten Maustaste auf AssumeUDPEncapsulationContextOnSendRule, und klicken Sie dann auf ändern.
  7. Geben Sie im Feld Wertdaten einen der folgenden Werte ein:
    • 0 Mit dem Wert 0 (null) wird Windows so konfiguriert, dass keine Sicherheitszuordnungen mit Servern hergestellt werden können, die sich hinter NAT-Geräten befinden. Dies ist der Standardwert.
    • 1 Mit dem Wert 1 wird Windows so konfiguriert, dass es Sicherheitszuordnungen mit Servern einrichten kann, die sich hinter NAT-Geräten befinden.
    • 2 Mit dem Wert 2 wird Windows so konfiguriert, dass es Sicherheitszuordnungen einrichten kann, wenn sich der Server und der Windows Vista-basierte oder Windows Server 2008-basierte VPN-Clientcomputer hinter NAT-Geräten befindet.  
  8. Klicken Sie auf OK, und beenden Sie dann den Registrierungs-Editor.
  9. Starten Sie den Computer neu.

Weitere Informationen


Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
818043 L2TP/IPSec-NAT-T-Update für Windows XP und Windows 2000
885348 IPSec NAT-T wird für Windows Server 2003-Computer, die sich hinter Netzwerkadressübersetzern befinden, nicht empfohlen