L2TP/IPsec NAT-T της ενημερωμένης έκδοσης για τα Windows XP και τα Windows 2000

Σύνοψη

Η Microsoft έχει κυκλοφορήσει ένα πακέτο ενημερωμένων εκδόσεων για να βελτιώσετε την τρέχουσα λειτουργικότητα του πρωτοκόλλου διοχέτευσης επιπέδου δύο (L2TP) και η ασφάλεια πρωτοκόλλου Internet (IPsec) σε υπολογιστές που εκτελούν Microsoft Windows 2000, τα Microsoft Windows XP χωρίς service pack και τα Windows XP με Service Pack 1 (SP1). Αυτή η λειτουργία περιλαμβάνεται στο Windows XP Service Pack 2 (SP2). Υπολογιστές που εκτελούν Windows XP με service pack δεν χρειάζεται να εγκαταστήσετε αυτό το πακέτο ενημερωμένης έκδοσης.

Αυτή η ενημερωμένη έκδοση περιλαμβάνει βελτιώσεις στο πρωτόκολλο IPsec για καλύτερη υποστήριξη πελατών εικονικού ιδιωτικού δικτύου (VPN) που βρίσκονται πίσω από συσκευές μετάφρασης (NAT) διεύθυνση δικτύου. Εάν εφαρμόσετε αυτήν την ενημερωμένη έκδοση σε έναν υπολογιστή που εκτελεί τα Windows XP και εάν η υπηρεσία IPsec παρουσιάσει σφάλμα χρόνου εκτέλεσης και δεν μπορεί να ξεκινήσει για οποιονδήποτε λόγο, το πρόγραμμα οδήγησης IPsec λειτουργεί σε κατάσταση λειτουργίας αποκλεισμού, επειδή αυτό δεν είναι δυνατό να διασφαλίσουν την κυκλοφορία δικτύου.

Σημείωση Η υπηρεσία IPsec εμφανίζεται ως "IPSEC services" στη λίστα των υπηρεσιών του συστήματος.

Για περισσότερες πληροφορίες σχετικά με το πιο πρόσφατο service pack για τα Windows XP, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

322389 τον τρόπο απόκτησης του τελευταίου service pack των Windows XP

Περιεχόμενα άρθρου

Περισσότερες πληροφορίες

Νέες δυνατότητες IPsec και συμπληρωματικά προγράμματα διαχείρισης και εποπτείας

  • Μετά την εγκατάσταση αυτής της ενημερωμένης έκδοσης, οι υπολογιστές-πελάτες των Windows 2000 και Windows XP με L2TP/IPsec να δημιουργήσετε συνδέσεις IPsec πίσω από μια συσκευή ΝΑΤ. Η νέα λειτουργικότητα IPsec NAT-T βασίζεται στο IETF αιτήσεων για σχόλια (RFC) 3193 και το αρχικό πρόχειρα IETF IPsec NAT-T Internet έκδοση 2. Οι υπολογιστές-πελάτες με Windows XP που έχουν SP2 διαθέτουν επίσης αυτήν τη βελτιωμένη επιλογή σύνδεσης. IPsec NAT-T καθορίζεται αυτήν τη στιγμή στα RFC 3947 και 3948.
  • Το ενημερωμένο συμπληρωματικό πρόγραμμα παρακολούθησης IPsec μπορεί να προβάλει υπολογιστές που εκτελούν τα Windows XP, αλλά μόνο εάν ο υπολογιστής με Windows XP που έχει εγκατεστημένο το SP2.
  • Το ενημερωμένο συμπληρωματικό πρόγραμμα παρακολούθησης IPsec μπορεί να προβάλετε υπολογιστές που λειτουργούν με Microsoft Windows Server 2003. Ομοίως, το Windows Server 2003 μπορεί να παρακολουθεί υπολογιστές που βασίζονται σε Windows XP που έχουν εγκατεστημένο το SP2.
  • Οι υπολογιστές που εκτελούν τα Windows 2000 δεν είναι δυνατό να παρακολουθούνται με το συμπληρωματικό πρόγραμμα.
  • Το νέο συμπληρωματικό πρόγραμμα διαχείρισης IPsec μεταβαίνει σε λειτουργία μόνο για ανάγνωση όταν συναντήσει αντικείμενα πολιτικής που περιέχουν εξελιγμένες δυνατότητες που δημιουργήθηκαν στον Windows Server 2003 (για παράδειγμα, DH2048, αντιστοίχιση πιστοποιητικού ή δυναμικά φίλτρα). Αυτή η συμπεριφορά προκαλεί τα αντικείμενα συμπληρωματικών προγραμμάτων (για παράδειγμα, κανόνες, λίστες φίλτρων ή προσφορές κύριας λειτουργίας) να υποστούν επεξεργασία, εάν περιέχουν αναφορές στις νέες αυτές ρυθμίσεις. Το συμπληρωματικό πρόγραμμα διαχείρισης IPsec μεταβαίνει σε λειτουργία μόνο για ανάγνωση, δεν είναι δυνατή κατά λάθος κατάργηση κρίσιμων εξελιγμένων δυνατοτήτων.
  • Οι ενημερωμένες υπηρεσίες IPsec σε υπολογιστές που βασίζονται στα Windows XP μπορούν να εκθέσουν τις περισσότερες από τις νέες δυνατότητες που παρέχονται στην πολιτική του Windows Server 2003.

    Σημείωση Η αντιστοίχιση πιστοποιητικού δεν είναι διαθέσιμη.
  • Εάν είναι εγκατεστημένη μια παλαιότερη έκδοση του εργαλείου IPseccmd σε υπολογιστή με Windows XP (αυτό το εργαλείο δεν είναι διαθέσιμο στα Windows 2000), ένα ενημερωμένο IPseccmd είναι εγκατεστημένο στη μονάδα δίσκου: \Program Files\Support εργαλεία φάκελο.

    Το ενημερωμένο IPseccmd έχει τις εξής δυνατότητες:
    • Καταγραφή ανταλλαγής κλειδιών Internet (IKE) απενεργοποιεί δυναμικά και να την απενεργοποιήσετε.
    • Εμφανίζει πληροφορίες σχετικά με αυτήν τη στιγμή αντιστοιχισμένη πολιτική.
    • Σας επιτρέπει να δημιουργήσετε μια συνεπή πολιτική IPsec.
    Σημείωση Η παλαιότερη έκδοση του IPseccmd δεν λειτουργεί σε ενημερωμένους υπολογιστές και το ενημερωμένο IPseccmd δεν λειτουργεί σε υπολογιστές που δεν έχουν ενημερωθεί.
Επιστροφή στην κορυφή

Διαλειτουργικότητα και γνωστά ζητήματα

Οι κανόνες τείχους προστασίας και IPsec NAT-T

Επειδή η υποστήριξη της λειτουργικότητας IPsec NAT-T βασίζεται στο IETF RFC 3193 και η έκδοση 2 της το αρχικό πρόχειρα IETF NAT-T Internet, για αυτές τις υπηρεσίες να εκτελεστεί μέσω τείχους προστασίας, ίσως χρειαστεί να ανοίξετε τις ακόλουθες θύρες και πρωτόκολλα στους κανόνες τείχους προστασίας:
  • Κλειδί Internet του Exchange (IKE) - πρωτοκόλλου User Datagram Protocol (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Συμπύκνωσης ωφέλιμου φορτίου ασφαλείας (ESP) - πρωτόκολλο Internet (IP) 50

Υποστηριζόμενα σενάρια με IPsec NAT-T

Τα ακόλουθα σενάρια θα επιτρέψουν με επιτυχία συνδέσεις με L2TP/IPsec NAT-T IPsec. Σε αυτά τα σενάρια, το πρόγραμμα-πελάτης είναι ένας υπολογιστής-πελάτης που εκτελεί τα Windows 2000 και που περιέχει ενημερωμένη έκδοση 818043 ή ένας υπολογιστής με Windows XP που έχει εγκατεστημένο το SP2. Διακομιστής είναι ένας διακομιστής L2TP/IPsec που εκτελεί Windows Server 2003 και που χρησιμοποιούν δρομολόγησης και απομακρυσμένης πρόσβασης.
Πρόγραμμα-πελάτης---> NAT---Internet--->διακομιστή

Το μόνο υποστηριζόμενο και προτεινόμενο σενάριο είναι όταν ο διακομιστής δεν βρίσκεται πίσω από μια συσκευή ΝΑΤ.
Ο διακομιστής L2TP/IPsec μπορεί επίσης να ένα προϊόν πύλης άλλου κατασκευαστή που υποστηρίζει τις συνδέσεις NAT-T.

Σημείωση Εάν εφαρμόσετε την ενημερωμένη έκδοση 818043 σε διακομιστή με Windows 2000 που χρησιμοποιεί δρομολόγησης και απομακρυσμένης πρόσβασης, ο διακομιστής δεν μπορεί να λειτουργήσει ως διακομιστής L2TP/IPsec σε αυτό το σενάριο. Αυτό δεν είναι δυνατό να επιτρέψει συνδέσεις από υπολογιστές-πελάτες L2TP/IPsec που βρίσκονται πίσω από μία ή περισσότερες συσκευές NAT.. Αυτή η ενημερωμένη έκδοση είναι μια ενημερωμένη έκδοση μέσω υπολογιστή-πελάτη μόνο. Η λειτουργικότητα IPsec NAT-T διακομιστή είναι μια νέα δυνατότητα του Windows Server 2003 δρομολόγησης και απομακρυσμένης πρόσβασης μόνο. Υποστήριξη διακομιστή IPsec NAT-T δεν θα προστεθούν σε Windows 2000 δρομολόγησης και απομακρυσμένης πρόσβασης.

Ενημερωμένη έκδοση Diffie-Hellman 2048 ομάδας

Για υπολογιστές-πελάτες L2TP/IPsec για τη διαπραγμάτευση και η χρήση της ενημερωμένης έκδοσης Diffie-Hellman 2048 ομάδας, την επικοινωνία με διακομιστή απομακρυσμένης πρόσβασης πρέπει επίσης να υποστηρίζει αυτήν την ομάδα.

Σημείωση Για να χρησιμοποιήσετε το Diffie-Hellman 2048, εάν ο υπολογιστής σας εκτελεί Windows Server 2003, πρέπει να δημιουργήσετε ένα δευτερεύον κλειδί μητρώου. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regeditκαι, στη συνέχεια, κάντε κλικ στο κουμπί
    OK.
  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Στο μενού Επεξεργασία , μεταβείτε στην επιλογή
    Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.
  4. Πληκτρολογήστε NegotiateDH2048και, στη συνέχεια, πιέστε το πλήκτρο ENTER.
  5. Κάντε δεξιό κλικ NegotiateDH2048και, στη συνέχεια, κάντε κλικ στο κουμπί Τροποποίηση.
  6. Στο πλαίσιο " δεδομένα τιμής ", πληκτρολογήστε
    1, και στη συνέχεια κάντε κλικ στο κουμπί OK.
  7. Στο μενού μητρώο , κάντε κλικ στο κουμπί
    Έξοδος.

Άλλο

  • Υλικό μείωσης φόρτου IPsec
    Προσαρμογείς δικτύου μείωσης φόρτου IPsec δεν απομακρύνουν τις συσχετίσεις ασφαλείας που έχουν δημιουργηθεί χρησιμοποιώντας συσκευές NAT..
  • Νέες δυνατότητες δεν εμφανίζονται σωστά
    Νέες δυνατότητες που ενεργοποιήθηκαν χρησιμοποιώντας μια πολιτική IPsec του Windows Server 2003 ενδέχεται να μην εμφανίζονται σωστά στην παρακολούθηση IPsec. Ειδικότερα, η ομάδα DH2048 εμφανίζεται ως 268435457 και τα ονόματα δυναμικών φίλτρων (για παράδειγμα, WINS ή DHCP) δεν εμφανίζονται καθόλου (η στήλη είναι κενή).
  • Το στοιχείο IKE της υλοποίησης IPsec στα Windows χρησιμοποιεί μια εκτεταμένη συνάρτηση Winsock API, του οποίου ο δείκτης συνάρτησης προσδιορίζεται από την κλήση της WSAIoctl(). Εάν αυτή η κλήση συνάρτησης δεν περνά από οποιαδήποτε εγκατεστημένη υπηρεσία παροχής (Layered Service), το IPsec δεν είναι δυνατό να ακρόαση στη θύρα IKE. IPsec ερμηνεύει το γεγονός αυτό ως αποτυχία του στοιχείου και αντιδρά ανάλογα (δηλαδή, επιστρέφεται ένα μήνυμα "Αποτυχία to a Secure Mode"). Η αδυναμία του στοιχείου IKE να περάσει μέσω ενός LSP ενδέχεται να οφείλεται σε ένα εγκατεστημένο πρόγραμμα άλλου κατασκευαστή.
Επιστροφή στην κορυφή
Προειδοποίηση σοβαρά ζητήματα ενδέχεται να προκύψουν εάν τροποποιήσετε το μητρώο λανθασμένα χρησιμοποιώντας τον Επεξεργαστή μητρώου ή χρησιμοποιώντας κάποια άλλη μέθοδο. Αυτά τα προβλήματα απαιτούν την επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι μπορούν να επιλυθούν αυτά τα προβλήματα. Τροποποιήστε το μητρώο με δική σας ευθύνη. Για να αλλάξετε τη συμπεριφορά της IPsec NAT-T για έναν υπολογιστή που εκτελεί το Windows XP SP2, πρέπει να δημιουργήσετε την τιμή μητρώου AssumeUDPEncapsulationContextOnSendRule.

Από προεπιλογή, τα Windows XP SP2 δεν υποστηρίζει πλέον συσχετίσεις ασφαλείας IPsec NAT-T με διακομιστές που βρίσκονται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου. Επομένως, εάν το διακομιστή εικονικού ιδιωτικού δικτύου (VPN) βρίσκεται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου, από προεπιλογή, ένας υπολογιστής-πελάτης VPN με Windows XP SP2 δεν είναι δυνατό να κάνετε μια σύνδεση L2TP/IPsec με το διακομιστή VPN. Το σενάριο αυτό περιλαμβάνει ένα διακομιστή VPN που εκτελεί τον Microsoft Windows Server 2003.

Αυτή η προεπιλεγμένη συμπεριφορά επίσης να αποτρέψετε υπολογιστές που εκτελούν το Windows XP SP2 από τις συνδέσεις απομακρυσμένης επιφάνειας εργασίας με L2TP/IPsec, όταν ο υπολογιστής προορισμού βρίσκεται πίσω από συσκευή μετάφρασης διευθύνσεων δικτύου.

Εξαιτίας του τρόπου που συσκευές μετάφρασης διευθύνσεων δικτύου μεταφράζουν την κυκλοφορία δικτύου, ενδέχεται να αντιμετωπίσετε μη αναμενόμενα αποτελέσματα όταν τοποθετείτε ένα διακομιστή πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου και στη συνέχεια χρησιμοποιείτε IPsec NAT-T. Επομένως, εάν χρειάζεστε τη ρύθμιση IPsec για επικοινωνία, συνιστάται να χρησιμοποιείτε δημόσιες διευθύνσεις IP για όλους τους διακομιστές που μπορείτε να συνδεθείτε απευθείας από το Internet.

Για να δημιουργήσετε και να ρυθμίσετε τις παραμέτρους της τιμής μητρώου AssumeUDPEncapsulationContextOnSendRule, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regedit και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Στο μενού Επεξεργασία , επιλέξτε Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.
  4. Πληκτρολογήστε στο πλαίσιο τη νέα τιμή # του 1
    AssumeUDPEncapsulationContextOnSendRuleκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER.
  5. Κάντε δεξιό κλικ στο AssumeUDPEncapsulationContextOnSendRule και, στη συνέχεια, κάντε κλικ στο κουμπί Τροποποίηση.
  6. Στο πλαίσιο " Δεδομένα τιμής ", πληκτρολογήστε μία από τις ακόλουθες τιμές:
    • 0 (προεπιλογή)
      Η τιμή 0 (μηδέν) ρυθμίζει τα Windows έτσι, ώστε να είναι δεν είναι δυνατή η δημιουργία συσχετίσεων ασφαλείας με διακομιστές που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου.
    • 1
      Η τιμή 1 ρυθμίζει τα Windows έτσι, ώστε να είναι δυνατή η δημιουργία συσχετίσεων ασφαλείας με διακομιστές που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου.
    • 2
      Η τιμή 2 ρυθμίζει τα Windows έτσι, ώστε να είναι δυνατή η δημιουργία συσχετίσεων ασφαλείας όταν τόσο ο διακομιστής όσο και ο υπολογιστής-πελάτης με Windows XP SP2 βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου.
  7. Κάντε κλικ στο κουμπί OKκαι κατόπιν κλείστε τον Επεξεργαστή μητρώου.
  8. Κάντε επανεκκίνηση του υπολογιστή.
Επιστροφή στην κορυφή

Τα Windows XP service pack πληροφορίες

Αυτή η δυνατότητα είναι διαθέσιμη στο πιο πρόσφατο service pack για τα Windows XP (SP2). Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

322389 τον τρόπο απόκτησης του τελευταίου service pack των Windows XP

Επιστροφή στην κορυφή

Ενημερωμένη έκδοση των Windows 2000

Για να κάνετε λήψη αυτής της ενημερωμένης έκδοσης για τα Windows 2000, επισκεφθείτε την ακόλουθη τοποθεσία Web της Microsoft για να χρησιμοποιήσετε το Microsoft Update Catalog:Αναζητήστε τον Αναγνωριστικό αριθμό αυτού του άρθρου, χρησιμοποιώντας τη δυνατότητα Advanced Search Options στον κατάλογο του Microsoft Update. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Στην τοποθεσία Web του Microsoft Windows Update, κάντε κλικ στο κουμπί βρείτε ενημερωμένες εκδόσεις για τα λειτουργικά συστήματα των Microsoft Windows.
  2. Κάντε κλικ για να επιλέξετε το λειτουργικό σύστημα και τη γλώσσα και, στη συνέχεια, κάντε κλικ στο κουμπί Αναζήτηση για προχωρημένους.

    Σημείωση Πρέπει να επιλέξετε τα Windows 2000 Professional Service Pack 3 ή Windows 2000 Professional Service Pack 4. Εάν επιλέξετε διαφορετικό λειτουργικό σύστημα, η ενημερωμένη έκδοση δεν εντοπίζεται στην αναζήτηση.
  3. Στο πλαίσιο περιέχει αυτές τις λέξεις , πληκτρολογήστε 818043και, στη συνέχεια, κάντε κλικ στο κουμπί Αναζήτηση.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης ενημερωμένων εκδόσεων από τον κατάλογο του Windows Update, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

323166 τον τρόπο λήψης ενημερωμένων εκδόσεων που περιλαμβάνουν προγράμματα οδήγησης και τις επείγουσες επιδιορθώσεις από τον κατάλογο του Windows Update

Προϋποθέσεις

Αυτό το πακέτο ενημέρωσης έχει σχεδιαστεί για εγκατάσταση σε υπολογιστές που εκτελούν τα Windows 2000 με Service Pack 3 (SP3) ή νεότερες εκδόσεις.

Απαίτηση επανεκκίνησης

Αυτό το πακέτο ενημέρωσης απαιτεί την επανεκκίνηση του υπολογιστή σας για την ενεργοποίηση των νέων δυνατοτήτων του IPsec.

Πληροφορίες αντικατάστασης ενημέρωσης

Αυτή η ενημερωμένη έκδοση δεν αντικαθιστά άλλες ενημερωμένες εκδόσεις.

Πληροφορίες αρχείων

Η αγγλική έκδοση αυτής της άμεσης επιδιόρθωσης έχει τα χαρακτηριστικά αρχείου (ή νεότερα χαρακτηριστικά αρχείου) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, μετατρέπεται σε τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα ζώνη ώρας στο εργαλείο "ημερομηνία και ώρα" στον πίνακα ελέγχου.
   Date         Time   Version        Size     File name
----------------------------------------------------------------
18-Sep-2000 19:01 5.0.2195.1569 33,616 Fips.sys
21-Apr-2003 15:19 5.0.2195.6738 80,848 Ipsec.sys
21-Apr-2003 15:19 5.0.2195.6738 29,456 Ipsecmon.exe
21-Apr-2003 15:21 5.0.2195.6738 390,928 Netdiag.exe
01-May-2003 21:39 5.0.2195.6738 417,552 Oakley.dll
01-May-2003 21:39 5.0.2195.6738 96,528 Polagent.dll
01-May-2003 21:39 5.0.2195.6738 137,488 Polstore.dll
01-May-2003 21:39 5.0.2195.6738 58,128 Rasman.dll
01-May-2003 21:39 5.0.2195.6738 153,360 Rasmans.dll
01-May-2003 21:39 5.0.2195.6738 54,032 Rastapi.dll
21-Apr-2003 15:19 5.0.2195.6738 80,848 Ipsec.sys (56-bit)

Επιστροφή στην κορυφή

Αναφορές

Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

314067 Τρόπος αντιμετώπισης προβλημάτων σύνδεσης TCP/IP στα Windows XP

257225 αντιμετώπιση προβλημάτων βασικού IPsec στα Microsoft Windows 2000 Server

816915 νέα διάταξη ονομασίας αρχείων για πακέτα ενημερωμένων εκδόσεων λογισμικού των Microsoft Windows

Επιστροφή στην κορυφή
Ιδιότητες

Αναγνωριστικό άρθρου: 818043 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 2

Σχόλια