So konfigurieren Sie einen L2TP/IPSec-Server hinter einem NAT-T-Gerät in Windows Vista und Windows Server 2008


EINFÜHRUNG


Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Standardmäßig unterstützen weder Windows Vista- noch Windows Server 2008-Betriebssysteme Internet Protocol Security (IPsec) NAT Traversal (NAT-T)-Sicherheitsassoziationen an Server, die sich hinter einem NAT-Gerät befinden. Daher ist der virtuelle private Netzwerk (VPN) Server hinter einem NAT-Gerät, ein Windows Vista-basierten Clientcomputer oder einem Windows Server 2008-basierten VPN-Clientcomputer nicht möglich eine Layer-2-Tunneling-Protokoll (L2TP) / IPSec-Verbindung mit dem VPN-Server. Dieses Szenario umfasst VPN-Servern unter Windows Server 2008 und Microsoft Windows Server 2003.Aufgrund der Art, in der NAT-Geräte Netzverkehr übersetzen, können unerwartete Ergebnisse auftreten, wenn Sie einen Server hinter einem NAT-Gerät und dann eine IPsec NAT-T-Umgebung verwenden. Wenn Sie IPsec für die Kommunikation benötigen, empfehlen wir die Verwendung von öffentlicher IP-Adressen für alle Server, die über das Internet hergestellt werden kann. Haben Sie einen Server hinter einem NAT-Gerät und dann eine IPsec NAT-T-Umgebung verwenden, können Sie Kommunikation aktivieren, indem Sie einen Registrierungswert auf dem VPN-Client-Computer und dem VPN-Server ändern.Erstellen und konfigurieren den Registrierungswert AssumeUDPEncapsulationContextOnSendRule , gehen Sie folgendermaßen vor:
  1. Melden Sie sich als ein Benutzer Mitglied der Gruppe Administratoren auf dem Windows Vista-Clientcomputer an.
  2. Klicken Sie auf Start
    Windows-Schaltfläche „Start“
    AlleProgramme, Zubehör, klicken Sie auf Ausführen, geben Sie regedit einund klicken Sie dann auf OK. Wenn die Benutzerkontensteuerung auf dem Bildschirm angezeigt und Ihres Administratortokens aufgefordert, klicken Sie auf Weiter.
  3. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    Hinweis Sie können auch AssumeUDPEncapsulationContextOnSendRule DWORD-Wert auf einen Microsoft Windows XP Service Pack 2 (SP2) anwenden-basierte VPN-Clientcomputer. Dazu suchen Sie, und klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert (32-Bit).
  5. Geben Sie AssumeUDPEncapsulationContextOnSendRule ein, und drücken Sie dann die EINGABETASTE.
  6. Klicken Sie mit der rechten Maustaste auf AssumeUDPEncapsulationContextOnSendRule, und klicken Sie dann auf Ändern.
  7. Geben Sie im Feld Wert einen der folgenden Werte:
    • 0 Der Wert 0 (null) konfiguriert Windows, so dass es Sicherheitszuordnungen mit Servern NICHT einrichten kann, die sich hinter NAT-Geräten befinden. Dies ist der Standardwert.
    • 1 Der Wert 1 konfiguriert Windows so, dass Sicherheitsassoziationen mit Servern hergestellt werden kann, die sich hinter NAT-Geräten befinden.
    • 2 Der Wert 2 konfiguriert Windows so, dass es Security Associations herstellen kann, wenn der Server und die Windows Vista oder Windows Server 2008-basierten VPN-Clientcomputer hinter NAT-Geräte sind.
  8. Klicken Sie auf OK, und beenden Sie den Registrierungseditor.
  9. Starten Sie den Computer neu.

Weitere Informationen


Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
818043 L2TP/IPsec NAT-T-update für Windows XP und Windows 2000
885348 IPSec NAT-T wird nicht für Windows Server 2003-Computer empfohlen, die sich hinter Übersetzern für Netzwerkadressen befinden