Het configureren van een L2TP/IPSec-server achter een NAT-T-apparaat in Windows Vista en Windows Server 2008


INLEIDING


Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 het back-up maken en het register terugzetten in Windows


Standaard ondersteunen Windows Vista en Windows Server 2008-besturingssystemen geen Internet Protocol security (IPsec) netwerk adres netwerkadresomzetting (NAT) Traversal (NAT-T)-beveiligingskoppelingen naar servers die zich achter een NAT-apparaat. Dus als de virtueel particulier netwerk (VPN)-server zich achter een NAT-apparaat, een computer met Windows Vista gebaseerde VPN-client of een computer met Windows Server 2008 gebaseerde VPN-client niet maken een Layer Two Tunneling Protocol (L2TP) / IPSec-verbinding met de VPN-server. Dit geldt ook voor VPN-servers waarop Windows Server 2008 en Microsoft Windows Server 2003.



Door de manier waarop NAT-apparaten netwerkverkeer omzetten, krijgen u onverwachte resultaten wanneer u een server achter een NAT-apparaat te plaatsen en vervolgens een IPsec NAT-T-omgeving. Als u IPsec voor communicatie hebt nodig, is het daarom raadzaam te openbare IP-adressen te gebruiken voor alle servers waarmee u verbinding vanaf het Internet maken kunt. Als u een server achter een NAT-apparaat te plaatsen en vervolgens met een IPsec NAT-T-omgeving, kunt u communicatie inschakelen door een registerwaarde op de VPN-client en de VPN-server te wijzigen.

Als u wilt maken en configureren van de registerwaarde AssumeUDPEncapsulationContextOnSendRule , volg deze stappen:
  1. Meld u op de clientcomputer Windows Vista als gebruiker die lid van de groep Administrators is.
  2. Klik op Start
    windows icon
    , wijs Alle programma's, op Bureau-accessoires, klik op uitvoeren, typ regediten klik op OK. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven op het scherm en vraagt u beheerderstoken, klikt u op Doorgaan.
  3. Zoek en klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    Opmerking Ook kunt u de DWORD-waarde AssumeUDPEncapsulationContextOnSendRule toepassen op een Microsoft Windows XP Service Pack 2 (SP2)-gebaseerde VPN-clientcomputer. Zoek hiervoor en klik vervolgens op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. Wijs Nieuw aan in het menu Bewerken en klik vervolgens op DWORD (32-bits)-waarde.
  5. Typ AssumeUDPEncapsulationContextOnSendRuleen druk vervolgens op ENTER.
  6. Klik met de rechtermuisknop op AssumeUDPEncapsulationContextOnSendRuleen klik vervolgens op wijzigen.
  7. Typ in het vak Waardegegevens een van de volgende waarden:
    • 0
      De waarde 0 (nul) configureert u Windows zodanig dat er geen beveiligingskoppelingen kunnen worden gemaakt met servers die zich achter een NAT-apparaten. Dit is de standaardwaarde.
    • 1
      De waarde 1 configureert u Windows zodanig dat er wel beveiligingskoppelingen kunnen worden gemaakt met servers die zich achter een NAT-apparaten.
    • 2
      De waarde 2 configureert u Windows zodanig dat er beveiligingskoppelingen kan wanneer zowel de server als de Windows Vista- of Windows Server 2008 gebaseerde VPN-clientcomputer zich achter een NAT-apparaten.
       
  8. Klik op OKen sluit de Register-Editor.
  9. Start de computer opnieuw op.

Meer informatie


Voor meer informatie klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base te bekijken:

818043 L2TP/IPsec NAT-T-update voor Windows XP en Windows 2000

885348 IPSec NAT-T wordt niet aanbevolen voor Windows Server 2003-computers die zich achter NAT