Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

IPSec NAT-T wird für Windows Server 2003-Computer nicht empfohlen, die sich hinter Netzwerkadressübersetzern befinden

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 885348
EINFÜHRUNG
Nicht empfohlen Internet Protocol Security (IPSec) Netzwerk Adresse NAT (NETZWERKADRESSÜBERSETZUNG) Traversal (NAT-T) für Windows-Bereitstellungen, die VPN-Server enthalten und hinter Netzwerkadressübersetzern befinden. Wenn ein Server hinter einem Netzwerkadressübersetzer ist und der Server IPSec NAT-T verwendet, möglicherweise aufgrund der Art und Weise, wie unerwünschte Nebeneffekte auftreten, Netzwerkadressübersetzungen Netzwerkverkehr übersetzen.

Darüber hinaus ist das Standardverhalten von Microsoft Windows XP mit Service Pack 2 (SP2) geändert. IPSec-NAT-T-Sicherheitszuordnungen mit Servern, die sich hinter Netzwerkadressübersetzern befinden, werden für Windows XP SP2-basierte Computer nicht empfohlen. Diese Änderung bedeutet, dass ein Server mit Windows Server 2003-virtual private Network (VPN), die Layer verwendet 2-Tunneling-Protokoll mit IPSec (L2TP/IPSec) hinter einem Netzwerkadressübersetzer ohne zusätzliche Konfiguration für Windows XP SP2-basierte VPN-Clients bereitgestellt werden kann.

Wenn Sie IPSec für die Kommunikation benötigen, empfiehlt Microsoft, öffentliche IP-Adressen für alle Server zu verwenden, zu dem Sie eine Verbindung direkt aus dem Internet herstellen können. Windows-basierte Clientcomputer, die IPSec-NAT-T unterstützen können hinter einem Netzwerkadressübersetzer befinden.
Weitere Informationen
NAT ist eine weit verbreitete Technologie, die mehrere Computer gemeinsam nutzen eine einzelne öffentliche IP-Adresse ermöglicht. Netzwerkadressübersetzungen ordnen private Adressen, die auf die folgenden privaten Netzwerke öffentlicher IP-Adressen verwendet werden, die auf das Internet verwendet werden:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Wenn Sie einen Server hinter einem Netzwerkadressübersetzer einfügen, können Verbindungsprobleme auftreten, da Clients, die über das Internet eine Verbindung zum Server herstellen eine öffentliche IP-Adresse erforderlich. Um Server zu erreichen, die sich hinter Netzwerkadressübersetzern aus dem Internet befinden, müssen statische Zuordnungen auf Network Address Translator konfiguriert werden. Z. B. eine Windows 2003-Computer erreichen, die hinter einem Netzwerkadressübersetzer aus dem Internet, konfigurieren Sie Network Address Translator mit der folgenden statischen Netzwerk Übersetzer Adresszuordnungen fest:
  • Öffentliche IP-Adresse-UDP Port 500 des Servers privaten IP-Adresse-UDP-Port 500.
  • Öffentliche IP-Adresse/UDP-Port 4500 des Servers privaten IP-Adresse-UDP-Port 4500.
Diese Zuordnungen sind erforderlich, damit jeder Internetschlüsselaustausch (IKE) und IPSec-NAT-T-Datenverkehr, die an die öffentliche Adresse Network Address Translator gesendet wird automatisch übersetzt und an die Windows 2003-Computer weitergeleitet.

Wenn Sie einen Windows Server 2003-basierten VPN-Server haben, empfehlen wir jedoch, dass Sie eine öffentliche IP-Adresse der VPN-Server zuweisen. Indem Sie den VPN-Server eine öffentliche IP-Adresse zuweisen, können Sie Situationen vermeiden, bei denen IP-Datenverkehr entweder verloren gegangen oder versehentlich aufgrund eines typischen Netzwerks Adresse Übersetzer Verhalten an den falschen Speicherort weitergeleitet.

Windows XP SP2 unterstützt nicht das Einrichten von IPSec-NAT-T-Sicherheitszuordnungen mit Servern hinter NAT-Geräten

Wir haben das Standardverhalten von IPSec-NAT-T in Windows XP Service Pack 2 (SP2) geändert. Eine IPSec-NAT-T-Sicherheitszuordnung zu einem Server, die sich hinter einem Gerät oder einer Komponente, die Netzwerkadressübersetzung führt befindet, werden von Windows XP SP2 nicht unterstützt. Diese Änderung um eine wahrgenommene Sicherheitsrisiko in der folgenden Situation zu vermeiden:
  1. IKE- und IPSec-NAT-T-Verkehr einem Server in einem NAT-konfigurierten Netzwerk zuordnen ist ein Network Address Translator konfiguriert. (Dieser Server ist Server 1.) Netzwerk-Konvertierungsprogramm Adresszuordnungen sind diejenigen, die in diesem Artikel wird empfohlen.
  2. Ein Client von außerhalb des NAT-konfigurierten Netzwerks verwendet IPSec NAT-T zum Einrichten bidirektionaler Sicherheitszuordnungen mit Server 1. (Dieser Client ist Client 1).
  3. Ein Client auf dem NAT-konfigurierten Netzwerk verwendet IPSec NAT-T zum Einrichten bidirektionaler Sicherheitszuordnungen mit Client 1. (Dieser Client ist Client 2.)
  4. Eine Bedingung tritt auf, die bewirkt, Client 1 dass um die Sicherheitszuordnungen mit Client 2 aufgrund der statischen Netzwerk-Konvertierungsprogramm Adresszuordnungen wiederherzustellen, die IKE- und IPSec-NAT-T-Verkehr Server 1 zuordnen. Diese Bedingung möglicherweise IPSec-Sicherheitszuordnung Aushandlung Datenverkehr von Client 1 gesendet wird und für Client 2 an Server 1 fehlerhaft weitergeleitet wurden werden bestimmt ist.
Obwohl dies eine seltene Situation ist, verhindert das Standardverhalten auf Windows XP SP2-Computern alle-IPSec-NAT-T-basierten Sicherheitszuordnungen mit Servern, die sich hinter einem Netzwerkadressübersetzer um sicherzustellen, dass diese Situation niemals tritt befinden.

Das Standardverhalten von Windows XP SP2 kann geändert werden, damit IPSec NAT-T-Sicherheitszuordnungen mit Servern, die sich hinter einem Netzwerkadressübersetzer befinden. Wird nicht empfohlen, dass das Standardverhalten zu ändern.
Weitere Informationen
Weitere Informationen zu Windows XP SP2 und IPSec-NAT-T-basierten Sicherheitszuordnungen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
885407In Windows XP Service Pack 2 ist das Standardverhalten von IPSec NAT-Traversierung (NAT-T) geändert.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 885348 – Letzte Überarbeitung: 10/30/2006 21:31:50 – Revision: 2.2

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbmt kbhowto kbinfo KB885348 KbMtde
Feedback
eElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> c.gif?DI=4050&did=1&t=">