Il comportamento predefinito di attraversamento IPsec NAT (NAT-T) viene modificato in Windows XP Service Pack 2

INTRODUZIONE

In questo articolo viene descritta una modifica del comportamento predefinito di Internet Protocol security (IPsec) rete (NAT) attraversamento (NAT-T) che è stata implementata in Microsoft Windows XP Service Pack 2 (SP2). È possibile modificare questo comportamento predefinito in Windows XP SP2 utilizzando il seguente valore del Registro di sistema:
AssumeUDPEncapsulationContextOnSendRule


Nell'implementazione di Microsoft Windows 2000 IPsec NAT-T è stata apportata alcuna modifica.

Ulteriori informazioni

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema Windows


Per impostazione predefinita, i computer che eseguono Windows XP con Service Pack 2 e che avviano comunicazioni protette con IPsec (in prosieguo gli iniziatori) non supportano più l'utilizzo di IPsec NAT-T per computer remoti che rispondono alle richieste di comunicazione protetto con IPsec (in prosieguo: "risponditori") che si trovano dietro un traduttore di indirizzi di rete. Questo permette di evitare potenziali problemi di protezione come descritto nel seguente articolo della Microsoft Knowledge Base:
885348 IPSec NAT-T non è consigliata per i computer Windows Server 2003 che si trovano dietro al NAT


Ad esempio, se il server di rete privata virtuale (VPN) che esegue Microsoft Windows Server 2003 è dietro un traduttore di indirizzi di rete, per impostazione predefinita, un client VPN basati su Windows XP SP2 non può rendere un Layer Two Tunneling Protocol con IPsec (L2TP/IPsec) di connessione al server VPN.

Questo comportamento predefinito può anche impedire ai computer che eseguono Windows XP con SP2 di effettuare connessioni Desktop remoto che sono protetti da L2TP/IPsec o dalla modalità di trasporto IPsec quando il computer di destinazione si trova dietro un traduttore di indirizzi di rete.


Causa della modalità IPsec NAT-T funzioni in Windows XP senza service pack installati e in Windows XP Service Pack 1 (SP1), possono verificarsi risultati imprevisti quando si colloca un server dietro un traduttore di indirizzi di rete e si utilizza IPsec NAT-T. Se si richiede IPsec per la comunicazione, si consiglia di utilizzare indirizzi IP pubblici per tutti i server che è possibile connettersi direttamente da Internet.

Nota: Indipendentemente da queste modifiche, computer che eseguono Windows 2000, Windows XP o Windows Server 2003 supporta le connessioni basate su IPsec NAT-T di iniziatore, quando si trova dietro un traduttore di indirizzi di rete. Ad esempio, un computer portatile client VPN L2TP/IPsec che si trova su una rete privata hotel può avviare una connessione a un server VPN che utilizza un indirizzo Internet pubblico.

NAT è una tecnologia ampiamente utilizzata che consente a più computer di condividere un unico indirizzo IP pubblico. NAT mappare gli indirizzi privati (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) che vengono utilizzati sulle reti private a indirizzi IP pubblici che vengono utilizzati su Internet.
Per ulteriori informazioni sull'inserimento di server dietro i traduttori di indirizzi di rete, su come configurare i mapping di traduzione di indirizzi di rete per server e sulle conseguenze per le associazioni di protezione IPsec NAT-T per una determinata situazione, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

885348 IPSec NAT-T non è consigliata per i computer Windows Server 2003 che si trovano dietro al NAT


Per consentire un iniziatore IPsec NAT-T per la connessione a un risponditore che si trova dietro un NAT, è necessario creare e impostare il valore del Registro di sistema AssumeUDPEncapsulationContextOnSendRule nell'iniziatore.

Nota: Prima di configurare questo valore del Registro di sistema, si consiglia di contattare l'amministratore di rete o leggere i criteri di protezione aziendali.

Per creare e configurare il valore del Registro di sistema AssumeUDPEncapsulationContextOnSendRule, attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Dal menu Modifica , scegliere Nuovoe quindi fare clic su Valore DWORD.
  4. Nella casella nuovo valore #1 digitare AssumeUDPEncapsulationContextOnSendRulee premere INVIO.

    Importante Questo valore è denominato tra maiuscole e minuscole.
  5. Destro AssumeUDPEncapsulationContextOnSendRulee quindi fare clic su Modifica.
  6. Nella casella dati valore digitare uno dei seguenti valori:
    • 0 (predefinito)
      Il valore 0 (zero) configura Windows XP SP2, in modo che non consente di stabilire comunicazioni protette con IPsec con risponditori ubicati dietro i traduttori di indirizzi di rete.
    • 1
      Il valore 1 configura Windows XP SP2, in modo che possono avviare comunicazioni protette con IPsec con risponditori ubicati dietro i traduttori di indirizzi di rete.
    • 2
      Il valore 2 configura Windows XP SP2, in modo che è possibile avviare comunicazioni protette con IPsec quando entrambi gli iniziatori e risponditori si trovano dietro a NAT.

      Nota: Questo è il comportamento di IPsec NAT-T in Windows XP senza service pack installati e in Windows XP SP1.
  7. Fare clic su OKe quindi chiudere l'Editor del Registro di sistema.
  8. Riavviare il computer.
Dopo aver configurato AssumeUDPEncapsulationContextOnSendRule con un valore pari a 1 o un valore pari a 2, Windows XP SP2 possono connettersi a un risponditore che si trova dietro un traduttore di indirizzi di rete. Questo comportamento si applica alle connessioni a un server VPN che esegue Windows Server 2003.
Proprietà

ID articolo: 885407 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback