Le comportement par défaut du parcours de IPsec NAT-T (NAT) est modifié dans Windows XP Service Pack 2


INTRODUCTION

Cet article décrit une modification dans le comportement par défaut de Internet Protocol security (IPsec) réseau adresse NAT (traduction) traversal (NAT-T) qui a été implémentée dans Microsoft Windows XP Service Pack 2 (SP2). Vous pouvez modifier ce comportement par défaut dans Windows XP SP2 à l’aide de la valeur de Registre suivante :
AssumeUDPEncapsulationContextOnSendRule


Aucune modification n’a été apportée dans l’implémentation de Microsoft Windows 2000 IPsec NAT-T.

Plus d'informations

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Par défaut, les ordinateurs qui exécutent Windows XP avec Service Pack 2 et qui démarrent des communications sécurisées par IPsec (ci-après dénommées les initiateurs) n’est plus prend en charge IPsec NAT-T sur des ordinateurs distants qui répondent aux demandes de communication sécurisée par IPsec (ci-après dénommé "répondeurs") qui sont trouvent derrière un traducteur d’adresses réseau. C’est pour éviter les problèmes potentiels de sécurité comme décrit dans l’article suivant de la Base de connaissances Microsoft :
885348 IPSec NAT-T n’est pas recommandée pour les ordinateurs Windows Server 2003 situés derrière des traducteurs d’adresses réseau


Par exemple, si votre serveur de réseau privé virtuel (VPN) qui exécute Microsoft Windows Server 2003 se trouve derrière un traducteur d’adresses réseau, par défaut, un client VPN basé sur Windows XP SP2 ne peut pas faire un Layer Two Tunneling Protocol avec IPsec (L2TP/IPsec) connexion au serveur VPN.

Ce comportement par défaut peut également empêcher les ordinateurs qui exécutent Windows XP avec le SP2 d’établir des connexions Bureau à distance qui sont protégées par un mode de transport IPsec ou L2TP/IPsec lorsque l’ordinateur de destination se situe derrière un traducteur d’adresses réseau.


En raison de la manière dont IPsec NAT-T fonctionne dans Windows XP sans service Pack installé et dans Windows XP Service Pack 1 (SP1), vous pouvez rencontrer des résultats inattendus lorsque vous placez un serveur derrière un traducteur d’adresses réseau et que vous utilisez ensuite IPsec NAT-T. Par conséquent, si vous avez besoin d’IPsec pour la communication, nous vous recommandons d’utiliser des adresses IP publiques pour tous les serveurs que vous pouvez vous connecter directement à partir d’Internet.

Remarque Que ces modifications, les ordinateurs qui exécutent Windows 2000, Windows XP ou Windows Server 2003 prend en charge les connexions IPsec NAT-T comme initiateur lorsque situé derrière un traducteur d’adresses réseau. Par exemple, un ordinateur portable client VPN L2TP/IPsec qui se trouve sur un réseau privé d’hôtel peut initier une connexion à un serveur VPN qui est à l’aide d’une adresse Internet publique.

NAT est une technologie qui permet à plusieurs ordinateurs de partager une seule adresse IP publique largement utilisé. Les traducteurs d’adresses réseau mappent des adresses privées (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) qui sont utilisés sur des réseaux privés à des adresses IP publiques utilisées sur Internet.
Pour plus d’informations sur le placement des serveurs situés derrière des traducteurs d’adresses réseau, comment faire configurer les mappages de traduction d’adresses réseau pour les serveurs et sur les conséquences pour les associations de sécurité IPsec NAT-T pour une situation spécifique, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

885348 IPSec NAT-T n’est pas recommandée pour les ordinateurs Windows Server 2003 situés derrière des traducteurs d’adresses réseau


Pour autoriser un initiateur IPsec NAT-T pour se connecter à un récepteur qui se trouve derrière un périphérique NAT, vous devez créer et définir la valeur de Registre AssumeUDPEncapsulationContextOnSendRule sur l’initiateur.

Remarque Avant de configurer cette valeur de Registre, nous vous recommandons de contacter votre administrateur réseau ou de lire votre stratégie de sécurité d’entreprise.

Pour créer et configurer la valeur de Registre AssumeUDPEncapsulationContextOnSendRule, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Dans le menu Edition , pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Dans la zone nouvelle valeur #1 , tapez AssumeUDPEncapsulationContextOnSendRuleet appuyez sur ENTRÉE.

    Important Ce nom de valeur respecte la casse.
  5. Droit sur AssumeUDPEncapsulationContextOnSendRule, puis cliquez sur Modifier.
  6. Dans la zone données de la valeur , tapez une des valeurs suivantes :
    • 0 (par défaut)
      La valeur 0 (zéro) configure Windows XP SP2 afin qu’il ne peut pas initier de communications sécurisées par IPsec avec les répondeurs qui sont situent derrière des traducteurs d’adresses réseau.
    • 1
      Une valeur de 1 configure Windows XP SP2 afin qu’il peut lancer des communications sécurisées par IPsec avec les répondeurs qui sont situent derrière des traducteurs d’adresses réseau.
    • 2
      Une valeur de 2 configure Windows XP SP2 afin qu’il peut lancer des communications sécurisées par IPsec lorsque les initiateurs et les répondeurs sont situés derrière des traducteurs d’adresses réseau.

      Remarque Ceci est le comportement de NAT-T IPsec dans Windows XP sans service Pack installé et dans Windows XP SP1.
  7. Cliquez sur OK, puis quittez l'Éditeur du Registre.
  8. Redémarrez l'ordinateur.
Après avoir configuré AssumeUDPEncapsulationContextOnSendRule avec une valeur de 1 ou de la valeur 2, Windows XP SP2 peut se connecter à un répondeur qui se trouve derrière un traducteur d’adresses réseau. Ce comportement s’applique à des connexions à un serveur VPN qui exécute Windows Server 2003.
Propriétés

ID d'article : 885407 - Dernière mise à jour : 18 févr. 2017 - Révision : 2

Commentaires