Konfigurieren eines L2TP/IPsec-Servers hinter einem NAT-T-Gerät

In diesem Artikel wird beschrieben, wie Sie einen L2TP/IPsec-Server hinter einem NAT-T-Gerät konfigurieren.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 926179

Zusammenfassung

Standardmäßig unterstützen Windows Vista und Windows Server 2008 IPsec (Internet Protocol Security) NAT-T-Sicherheitszuordnungen (Network Address Translation) für Server, die sich hinter einem NAT-Gerät befinden. Wenn sich der VPN-Server (Virtual Private Network) hinter einem NAT-Gerät befindet, kann ein Windows Vista- oder Windows Server 2008-basierter VPN-Clientcomputer keine L2TP-/IPsec-Verbindung (Layer 2 Tunneling Protocol) mit dem VPN-Server herstellen. Dieses Szenario umfasst VPN-Server, auf denen Windows Server 2008 und Windows Server 2003 ausgeführt werden.

Aufgrund der Art und Weise, wie NAT-Geräte Netzwerkdatenverkehr übersetzen, können im folgenden Szenario unerwartete Ergebnisse auftreten:

• Sie platzieren einen Server hinter einem NAT-Gerät.
• Sie verwenden eine IPsec NAT-T-Umgebung.

Wenn Sie IPsec für die Kommunikation verwenden müssen, verwenden Sie öffentliche IP-Adressen für alle Server, mit denen Sie über das Internet eine Verbindung herstellen können. Wenn Sie einen Server hinter einem NAT-Gerät platzieren und dann eine IPsec NAT-T-Umgebung verwenden müssen, können Sie die Kommunikation aktivieren, indem Sie einen Registrierungswert auf dem VPN-Clientcomputer und dem VPN-Server ändern.

Festlegen des Registrierungsschlüssels "AssumeUDPEncapsulationContextOnSendRule"

Führen Sie die folgenden Schritte aus, um den Registrierungswert AssumeUDPEncapsulationContextOnSendRule zu erstellen und zu konfigurieren:

1. Melden Sie sich beim Windows Vista-Clientcomputer als Benutzer an, der Mitglied der Gruppe Administratoren ist.

2. Wählen SieAlle Programme>starten>Zubehör>Ausführen aus, geben Sie regedit ein, und wählen Sie dann OK aus. Wenn das Dialogfeld Benutzerkontensteuerung auf dem Bildschirm angezeigt wird und Sie aufgefordert wird, Ihr Administratortoken zu erhöhen, wählen Sie Weiter aus.

3. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

   Hinweis

   Sie können den DWORD-Wert "AssumeUDPEncapsulationContextOnSendRule " auch auf einen AUF Microsoft Windows XP Service Pack 2 (SP2) basierenden VPN-Clientcomputer anwenden. Suchen Sie dazu den HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec Registrierungsunterschlüssel, und wählen Sie ihn aus.

4. Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann DWORD-Wert (32-Bit) aus.

5. Geben Sie AssumeUDPEncapsulationContextOnSendRule ein, und drücken Sie dann die EINGABETASTE.

6. Klicken Sie mit der rechten Maustaste auf AssumeUDPEncapsulationContextOnSendRule, und wählen Sie dann Ändern aus.

7. Geben Sie im Feld Wertdaten einen der folgenden Werte ein:

   • 0

     Dies ist der Standardwert. Wenn es auf 0 festgelegt ist, kann Windows keine Sicherheitszuordnungen zu Servern einrichten, die sich hinter NAT-Geräten befinden.

   • 1

     Wenn es auf 1 festgelegt ist, kann Windows Sicherheitszuordnungen zu Servern einrichten, die sich hinter NAT-Geräten befinden.

   • 2

     Wenn sie auf 2 festgelegt ist, kann Windows Sicherheitszuordnungen einrichten, wenn sich sowohl der Server als auch der VPN-Clientcomputer (Windows Vista oder Windows Server 2008)hinter NAT-Geräten befinden.

8. Wählen Sie OK aus, und beenden Sie dann registrierungs Editor.

9. Starten Sie den Computer neu.