Actualizarea L2TP/IPsec NAT-T pentru Windows XP şi Windows 2000

Asistența pentru Windows XP s-a încheiat

Microsoft a încheiat asistența pentru Windows XP la data de 8 aprilie 2014. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

Acest articol a fost arhivat. Articolul este oferit „ca atare” şi nu va mai fi actualizat.
REZUMAT
Microsoft a lansat un pachet de actualizare pentru a îmbunătăţi funcţionalitatea curentă L2TP (Layer Two Tunneling Protocol) şi IPsec (Internet Protocol security) pe computerele pe care se execută Microsoft Windows 2000 şi Microsoft Windows XP fără pachete service pack instalate şi Windows XP cu Service Pack 1 (SP1). Această funcţionalitate este inclusă în Windows XP Service Pack 2 (SP2). Instalarea acestui pachet de actualizare nu este necesară pentru computerele care execută Windows XP cu un pachet service pack.

Această actualizare include îmbunătăţiri pentru IPsec pentru a oferi un suport mai bun clienţilor de reţea virtuală privată (VPN) care sunt în spatele unor dispozitive Network Address Translation (NAT). Dacă aplicaţi această actualizare pe un computer pe care se execută Windows XP şi dacă serviciul IPsec întâlneşte o eroare de execuţie şi nu poate porni din orice motiv, driverul IPsec funcţionează în modul de blocare, deoarece nu poate securiza traficul din reţea.

Notă Serviciul IPsec apare ca „IPSEC services” în lista serviciilor de sistem.

Pentru mai multe informaţii despre cel mai recent pachet service pack pentru Windows XP, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:
322389 Cum se obţine cel mai recent Service pack pentru Windows XP

Articolul conţine

INFORMAŢII SUPLIMENTARE

Caracteristici noi IPsec şi utilitarele de completare snap-in Management şi Monitor

  • După ce instalaţi această actualizare, clienţii L2TP/IPsec Windows 2000 şi Windows XP pot crea conexiuni IPsec din spatele unui dispozitiv NAT. Noua funcţionalitate IPsec NAT-T se bazează pe IETF Requests for Comments (RFC) 3193 şi versiunea 2 a schiţelor Internet IETF IPsec NAT-T. Clienţii Windows XP care au SP2 au şi această opţiune de conectivitate îmbunătăţită. IPsec NAT-T este specificat în prezent în RFC-urile 3947 şi 3948.
  • Utilitarul de completare snap-in actualizat Monitor IPsec poate vizualiza computerele pe care se execută Windows XP, dar numai dacă acestea au instalat SP2.
  • Utilitarul de completare snap-in actualizat Monitor IPsec poate vizualiza computerele pe care se execută Microsoft Windows Server 2003. Similar, Windows Server 2003 poate monitoriza computerele Windows XP care au instalat SP2.
  • Computerele pe care se execută Windows 2000 nu pot fi monitorizate cu acest utilitar de completare snap-in.
  • Noul utilitar de completare snap-in IPsec Management se comută la modul doar în citire atunci când întâlneşte obiecte de politică ce conţin caracteristici complexe care au fost create în Windows Server 2003 (de exemplu, DH2048, Certificate Mapping sau filtre dinamice). Acest comportament determină ca obiectele utilitarului de completare snap-in (de exemplu, reguli, liste de filtrare sau oferte de mod principal) să devină ne-editabile în cazul în care conţin referinţe la aceste setări noi. Utilitarul de completare snap-in Management din IPsec se comută la modul doar în citire pentru a nu elimina din greşeală caracteristici complexe critice.
  • Serviciile IPsec actualizate pe computerele Windows XP pot expune majoritatea caracteristicilor noi care sunt furnizate într-o politică Windows Server 2003.

    Notă Opţiunea Certificate Mapping nu este disponibilă.
  • Dacă o versiune anterioară a instrumentului IPseccmd este instalată pe un computer Windows XP (acest instrument nu este disponibil în Windows 2000), se instalează un IPseccmd actualizat în folderul unitate:\Program Files\Support Tools.

    Instrumentul IPseccmd actualizat are următoarele caracteristici:
    • Activează şi dezactivează dinamic înregistrarea în jurnalul IKE (Internet Key Exchange).
    • Afişează informaţii despre o politică atribuită în mod curent.
    • Permite crearea unei politici persistente IPsec.
    Notă Versiunea anterioară a IPseccmd nu funcţionează pe computere actualizate, iar IPseccmd actualizat nu funcţionează pe computere care nu sunt actualizate.
înapoi la început

Interoperabilitate şi probleme cunoscute

IPsec NAT-T şi reguli pentru paravanul de protecţie

Deoarece suportul pentru funcţionalitatea IPsec NAT-T se bazează pe IETF RFC 3193 şi versiunea 2 a schiţelor Internet originale IETF NAT-T, pentru ca aceste servicii să se execute printr-un paravan de protecţie, este posibil să fie necesară deschiderea următoarelor porturi şi protocoale în regulile paravanului de protecţie:
  • Internet Key Exchange (IKE) - User Datagram Protocol (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Encapsulating Security Payload (ESP) - Internet Protocol (IP) protocol 50

Scenarii acceptate utilizând IPsec NAT-T

Următoarele scenarii vor permite cu succes conexiunile IPsec NAT-T bazate pe L2TP/IPsec. În aceste scenarii, Client este un client care execută Windows 2000 şi care are instalată actualizarea 818043 sau este un computer Windows XP cu SP2 instalat. Server este un server L2TP/IPsec pe care se execută Windows Server 2003 şi care execută Routing and Remote Access.
Client----> NAT ----Internet---->Server

Singurul scenariu acceptat şi recomandat este când Server nu se află în spatele unui dispozitiv NAT.
Serverul L2TP/IPsec poate fi şi un produs gateway terţ care acceptă conexiuni NAT-T.

Notă Dacă aplicaţi actualizarea 818043 unui server Windows 2000 care utilizează Routing and Remote Access, serverul nu poate funcţiona ca server L2TP/IPsec în acest scenariu. Nu poate permite conexiunile de la clienţii L2TP/IPsec care se află în spatele unuia sau mai multor dispozitive NAT. Această actualizare este numai de partea clientului. Funcţionalitatea IPsec NAT-T de partea serverului este o caracteristică nouă, disponibilă numai în Routing and Remote Access din Windows Server 2003. Suportul de partea serverului IPsec NAT-T nu va fi adăugat la Routing and Remote Access din Windows 2000.

Actualizarea Diffie-Hellman Group 2048

Pentru ca actualizarea Diffie-Hellman Group 2048 să fie negociată şi utilizată de clienţii L2TP/IPsec, serverul acces la distanţă care este contactat trebuie să accepte şi el acest grup.

Notă Pentru a utiliza Diffie-Hellman 2048, în cazul în care computerul execută Windows Server 2003, trebuie să creaţi o subcheie de registry. Pentru aceasta, urmaţi aceşti paşi:
  1. Faceţi clic pe Start, pe Run, tastaţi regedit, apoi faceţi clic pe OK.
  2. Găsiţi şi faceţi clic pe următoarea subcheie de registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. În meniul Edit, indicaţi spre New, apoi faceţi clic pe DWORD Value.
  4. Tastaţi NegotiateDH2048, apoi apăsaţi pe ENTER.
  5. Faceţi clic cu butonul din dreapta pe NegotiateDH2048, apoi faceţi clic pe Modify.
  6. În caseta Value data, tastaţi 1, apoi faceţi clic pe OK.
  7. În meniul Registry, faceţi clic pe Exit.

Altele

  • Hardware de descărcare IPsec
    Adaptoarele de reţea de descărcare IPsec nu descarcă asocierile de securitate care au fost create utilizând dispozitive NAT.
  • Caracteristicile noi nu sunt afişate corect
    Caracteristicile noi care au fost activate utilizând o politică IPsec Windows Server 2003 pot să nu se afişeze corect în monitorul IPsec. Cel mai important, grupul DH2048 este afişat ca 268435457, iar numele de filtre dinamice (de exemplu, WINS sau DHCP) nu se afişează deloc (coloana este goală).
  • Componenta IKE a implementării Windows a IPsec utilizează o funcţie extinsă API Winsock, al cărui indicator de funcţie este determinat de apelarea WSAloctl(). Dacă această apelare de funcţie nu poate trece prin oricare dintre LSP-urile (Layered Service Provider) instalate, IPsec nu poate asculta pe portul IKE. IPsec interpretează aceasta ca pe o eroare a componentei şi reacţionează în consecinţă (adică se returnează mesajul „Fail to a Secure Mode”). Incapacitatea componentei IKE de a trece printr-un LSP poate fi cauzată de un program terţ instalat.
înapoi la început
Avertisment Pot apărea probleme grave dacă modificaţi incorect registry utilizând Registry Editor sau altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi remediate. Modificaţi registry pe propriul risc. Pentru a schimba comportamentul IPsec NAT-T pentru un computer pe care se execută Windows XP SP2, trebuie să creaţi valoarea de registry AssumeUDPEncapsulationContextOnSendRule.

În mod implicit, Windows XP SP2 nu mai acceptă asocierile de securitate IPsec NAT-T pentru serverele care se află în spatele unui NAT. De aceea, dacă serverul de reţea virtuală privată (VPN) se află în spatele unui NAT, atunci, implicit, un client VPN Windows XP SP2 nu poate realiza o conexiune L2TP/IPsec la serverul VPN. Acest scenariu include un server VPN pe care se execută Microsoft Windows Server 2003.

Acest comportament poate, de asemenea, să împiedice computerele pe care se execută Windows XP SP2 de la efectuarea conexiunilor de tip Spaţiu de lucru la distanţă cu L2TP/IPsec atunci când computerul destinaţie se află în spatele unui NAT.

Din cauza modului în care dispozitivele NAT efectuează translatarea traficului de reţea, este posibil să apară rezultate neaşteptate atunci când puneţi un server în spatele unui NAT şi utilizaţi apoi IPsec NAT-T. De aceea, dacă solicitaţi comunicaţie de la IPsec, se recomandă să utilizaţi adrese IP publice pentru toate serverele la care vă conectaţi direct din Internet.

Pentru a crea şi configura valoarea registry AssumeUDPEncapsulationContextOnSendRule, urmaţi aceşti paşi:
  1. Faceţi clic pe Start, pe Run, tastaţi regedit, apoi faceţi clic pe OK.
  2. Găsiţi şi faceţi clic pe următoarea subcheie de registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. În meniul Edit, indicaţi spre New, apoi faceţi clic pe DWORD Value.
  4. În caseta New Value #1, tastaţi AssumeUDPEncapsulationContextOnSendRule, apoi apăsaţi ENTER.
  5. Faceţi clic cu butonul din dreapta pe AssumeUDPEncapsulationContextOnSendRule, apoi pe Modify.
  6. În caseta Value Data, tastaţi una dintre următoarele valori:
    • 0 (implicit)
      Valoarea 0 (zero) configurează Windows pentru a nu stabili asociaţii de securitate cu servere care se află în spatele NAT.
    • 1
      Valoarea 1 configurează Windows pentru a stabili asociaţii de securitate cu serverele care se află în spatele NAT.
    • 2
      Valoarea 2 configurează Windows pentru a stabili asociaţii de securitate atunci când atât serverul, cât şi computerul client Windows XP SP2 se află în spatele NAT.
  7. Faceţi clic pe OK, apoi părăsiţi Registry Editor.
  8. Reporniţi computerul.
înapoi la început

Informaţii despre pachetul service pack Windows XP

Această caracteristică este disponibilă în cel mai recent pachet service pack pentru Windows XP (SP2). Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a-l vedea în Baza de cunoştinţe Microsoft:
322389 Cum se obţine cel mai recent Service pack pentru Windows XP
înapoi la început

Actualizare Windows 2000

Pentru a descărca această actualizare pentru Windows 2000, vizitaţi următorul site Web Microsoft pentru a utiliza Catalogul de actualizări Microsoft Windows: Căutaţi numărul ID al acestui articol utilizând caracteristica de căutare complexă din Catalogul de actualizări Windows. Pentru aceasta, urmaţi aceşti paşi:
  1. Pe site-ul Web Microsoft Windows Update, faceţi clic pe Find updates for Microsoft Windows operating systems.
  2. Faceţi clic pentru a selecta sistemul de operare şi limba, apoi faceţi clic pe Advanced Search.

    Notă Trebuie să selectaţi Windows 2000 Professional Service Pack 3 sau Windows 2000 Professional Service Pack 4. Dacă selectaţi alt sistem de operare, această actualizare nu va fi returnată de căutare.
  3. În caseta Contains these words, tastaţi 818043, apoi faceţi clic pe Search.
Pentru mai multe informaţii despre modul de descărcare a actualizărilor din Catalogul de actualizări Windows, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:
323166 Cum se descarcă actualizări şi drivere Windows din Catalogul de actualizări Windows

Cerinţe preliminare

Acest pachet de actualizare este proiectat să fie instalat pe computere pe care se execută Windows 2000 cu Service Pack 3 (SP3) sau versiuni mai recente.

Cerinţă de repornire

Acest pachet de actualizare necesită repornirea computerului pentru a activa noile caracteristici IPsec.

Informaţii despre înlocuirea actualizărilor

Această actualizare nu înlocuieşte nicio altă actualizare.

Informaţii despre fişier

Versiunea în limba engleză a acestei remedieri rapide are atributele de fişier (sau atribute de fişier mai recente) enumerate în următorul tabel. Datele şi orele acestor fişiere sunt prezentate în ora universală (UTC). Când vizualizaţi informaţiile despre fişiere, acestea sunt transformate în ora locală. Pentru a afla diferenţa între timpul universal şi cel local, utilizaţi fila Fus orar din instrumentul Dată şi oră din Panoul de control.
   Dată         Oră   Versiune        Dimensiune  Nume fişier   ----------------------------------------------------------------   18.09.2000  19:01  5.0.2195.1569   33.616  Fips.sys   21.04.2003  15:19  5.0.2195.6738   80.848  Ipsec.sys   21.04.2003  15:19  5.0.2195.6738   29.456  Ipsecmon.exe        21.04.2003 15:21  5.0.2195.6738  390.928  Netdiag.exe         01.05.2003  21:39  5.0.2195.6738  417.552  Oakley.dll          01.05.2003  21:39  5.0.2195.6738   96.528  Polagent.dll        01.05.2003  21:39  5.0.2195.6738  137.488  Polstore.dll        01.05.2003  21:39  5.0.2195.6738   58.128  Rasman.dll          01.05.2003  21:39  5.0.2195.6738  153.360  Rasmans.dll         01.05.2003  21:39  5.0.2195.6738   54.032  Rastapi.dll         21.04.2003  15:19  5.0.2195.6738   80.848  Ipsec.sys  (56 biţi)
înapoi la început
REFERINŢE
Pentru informaţii suplimentare, faceţi clic pe următoarele numere de articole pentru a le vizualiza în Baza de cunoştinţe Microsoft:
314067 Cum se depanează conectivitatea TCP/IP în Windows XP (articolul poate să fie în limba engleză)
257225 Depanarea de bază pentru IPsec în Microsoft Windows 2000 Server (articolul poate să fie în limba engleză)
816915 Noua schemă de denumire a fişierelor pentru pachetele de actualizare software Microsoft Windows (articolul poate să fie în limba engleză)
înapoi la început
Proprietăți

ID articol: 818043 - Ultima examinare: 12/08/2015 02:27:23 - Revizie: 19.0

Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
Feedback