De standaardwerking van IPsec NAT traversal (NAT-T) is gewijzigd in Windows XP Service Pack 2


INLEIDING

In dit artikel wordt een wijziging in het standaardgedrag van Internet Protocol security (IPsec) netwerk adres netwerkadresomzetting (NAT) traversal (NAT-T) die is geïmplementeerd in Microsoft Windows XP Service Pack 2 (SP2) beschreven. U kunt dit standaardgedrag in Windows XP SP2 wijzigen met behulp van de volgende registerwaarde:
AssumeUDPEncapsulationContextOnSendRule


Geen wijziging er is aangebracht in de Microsoft Windows 2000 IPsec NAT-T-implementatie.

Meer informatie

Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 het back-up maken en het register terugzetten in Windows


Standaard ondersteuning computers die Windows XP met Service Pack 2 wordt uitgevoerd en die met IPsec beveiligde communicatie (hierna initiators) starten niet langer voor IPsec NAT-T gebruiken om externe computers die op verzoeken om met IPsec beveiligde communicatie reageren (hierna responders) die zich achter een NAT bevinden. Dit is om te voorkomen dat potentiële beveiligingsproblemen die worden beschreven in het volgende artikel in de Microsoft Knowledge Base:
885348 IPSec NAT-T wordt niet aanbevolen voor Windows Server 2003-computers die zich achter NAT


Als uw server virtueel particulier netwerk (VPN) met Microsoft Windows Server 2003 achter een NAT, standaard is, maken niet een Windows XP SP2-gebaseerde VPN-client een Layer Two Tunneling Protocol via IPsec (L2TP/IPsec) verbinding met de VPN-server.

Deze standaardwerking kan ook voorkomen dat computers waarop Windows XP met SP2 vanaf een extern bureaublad-verbindingen die zijn beveiligd door de IPSec-transportmodus of L2TP/IPsec wanneer de doelcomputer zich achter een NAT bevindt.


Door de manier waarop IPsec NAT-T in Windows XP werkt zonder servicepacks en in Windows XP Service Pack 1 (SP1), treden onverwachte resultaten wanneer u een server achter een NAT plaatst en vervolgens IPsec NAT-T. Als u IPsec nodig voor communicatie, is het daarom raadzaam te openbare IP-adressen te gebruiken voor alle servers die u rechtstreeks vanaf Internet verbinding kunt maken.

Opmerking Deze wijzigingen, ongeacht de ondersteuning computers met Windows 2000, Windows XP of Windows Server 2003 voor IPsec NAT-T-verbindingen op basis van als een initiator wanneer zich achter een NAT bevindt. Bijvoorbeeld een laptop van L2TP/IPsec VPN-client die zich in een hotel particulier netwerk bevindt tot stand kan brengen een verbinding met een VPN-server die van een openbare Internet-adres gebruikmaakt.

NAT is een veelgebruikte technologie waarmee meerdere computers één openbaar IP-adres delen. NAT wijst privé-adressen (10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16) die worden gebruikt in particuliere netwerken in openbare IP-adressen die worden gebruikt op het Internet.
Voor meer informatie over het plaatsen van servers achter NAT over het configureren van netwerk-adrestoewijzingen vertaling voor servers en de gevolgen voor IPsec NAT-T-beveiligingskoppelingen voor een bepaalde situatie, klikt u op het volgende artikel in de Microsoft Knowledge Base:

885348 IPSec NAT-T wordt niet aanbevolen voor Windows Server 2003-computers die zich achter NAT


Als u een IPsec NAT-T-initiator voor verbinding met een onlineresponder die zich achter een NAT-apparaat bevindt, moet u maken en instellen van de registerwaarde AssumeUDPEncapsulationContextOnSendRule op de initiator.

Opmerking Voordat u deze waarde configureert, wordt aangeraden dat u contact op met uw netwerkbeheerder of uw bedrijf gevoerde beveiligingsbeleid te lezen.

Als u wilt maken en configureren van de registerwaarde AssumeUDPEncapsulationContextOnSendRule, volg deze stappen:
  1. Klik op Start, klik op Uitvoeren, typ regedit en klik vervolgens op OK.
  2. Zoek en klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Wijs Nieuw aan in het menu Bewerken en klik vervolgens op DWORD-waarde.
  4. In het vak nieuwe waarde nr.1 AssumeUDPEncapsulationContextOnSendRuleTyp en druk op ENTER.

    Belangrijk Deze waarde is hoofdlettergevoelig.
  5. Klik met de rechtermuisknop op AssumeUDPEncapsulationContextOnSendRuleen klik vervolgens op wijzigen.
  6. Typ in het vak Waardegegevens een van de volgende waarden:
    • 0 (standaardinstelling)
      De waarde 0 (nul) Windows XP SP2 zodanig geconfigureerd dat deze kan niet met IPsec beveiligde communicatie starten met respondenten die zich achter een NAT bevinden.
    • 1
      Een waarde 1 configureert u Windows XP SP2 zodat deze met IPsec beveiligde communicatie starten met respondenten die zich achter een NAT bevinden.
    • 2
      De waarde 2 configureert u Windows XP SP2 zodat deze met IPsec beveiligde communicatie initiëren kan wanneer zowel de initiators en de respondenten zich achter een NAT.

      Opmerking Dit is de werking van IPsec NAT-T in Windows XP zonder servicepacks en in Windows XP SP1.
  7. Klik op OKen sluit de Register-Editor.
  8. Start de computer opnieuw op.
Nadat u AssumeUDPEncapsulationContextOnSendRule geconfigureerd met de waarde 1 of een waarde van 2, Windows XP SP2 kunt verbinden met een onlineresponder die zich achter een NAT bevindt. Dit probleem is van toepassing op verbindingen met een VPN-server waarop Windows Server 2003 wordt uitgevoerd.
Eigenschappen

Artikel-id: 885407 - Laatst bijgewerkt: 18 feb. 2017 - Revisie: 2

Feedback