Настройка сервера L2TP/IPsec за устройством NAT-T в Windows Vista и Windows Server 2008


ВВЕДЕНИЕ


Внимание! В этом разделе, описании способа или задачи содержатся сведения об изменении реестра. Но неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия следует выполнять очень внимательно. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра перед его изменением. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в Windows
По умолчанию операционная система Windows Server 2008 и Windows Vista не поддерживают сопоставления безопасности IPsec трансляции сетевых адресов (NAT-T) к серверам, расположенным за устройством NAT. Таким образом, если сервер виртуальной частной сети (VPN) находится за устройством NAT, компьютер-клиент VPN под управлением Windows Vista или компьютер-клиент VPN под управлением Windows Server 2008 не смогут установить подключение L2TP / IPsec к VPN-серверу. Этот сценарий включает VPN-серверов под управлением Windows Server 2008 и Windows Server 2003.Из-за способа, с помощью которого устройства NAT транслируют сетевой трафик возможно получение неожиданных результатов, когда сервер находится за устройством NAT и используется среда IPsec NAT-T. Таким образом если необходимо использовать IPsec для связи, рекомендуется использовать общедоступные IP-адреса для всех серверов, к которым можно подключаться через Интернет. Тем не менее если сервер находится за устройством NAT и используется среда IPsec NAT-T, чтобы обеспечить связь можно изменить значение реестра на компьютере VPN-клиента и VPN-сервера.Чтобы создать и настроить параметр реестра AssumeUDPEncapsulationContextOnSendRule , выполните следующие действия:
  1. Войдите на клиентский компьютер Windows Vista под учетной записью пользователя, являющимся членом группы "Администраторы".
  2. Нажмите кнопку Start
    Кнопка «Пуск» Windows
    , последовательно выберите Все программы, Стандартные, выберите пункт выполнить, введите команду regeditи нажмите кнопку ОК. Если диалоговое окно Контроля учетных записей отображается на экране с запросом на повышение маркера администратора, нажмите кнопку Продолжить.
  3. Найдите и откройте следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    Примечание. Можно также применить параметр DWORD AssumeUDPEncapsulationContextOnSendRule для Microsoft Windows XP Пакет обновления 2 (SP2)-на базе компьютера VPN-клиента. Для этого найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. В меню Правка наведите курсор на пункт Создать, а затем щелкните Параметр DWORD (32 бита).
  5. Введите AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу ВВОД.
  6. Щелкните правой кнопкой мыши AssumeUDPEncapsulationContextOnSendRule и выберите команду Изменить.
  7. В поле Значение введите введите одно из следующих значений:
    • 0 Значение 0 (ноль) настраивает Windows таким образом, чтобы ОС не могла установить сопоставления безопасности с серверами, расположенными за устройством NAT. Это значение по умолчанию.
    • 1 Значение 1 настраивает Windows так, что ОС поддерживает сопоставления безопасности с серверами, расположенным за устройствами NAT.
    • 2 Значение 2 настраивает Windows таким образом, что ОС может устанавливать сопоставления безопасности, когда и сервер, и клиентский компьютер VPN под управлением Windows Vista или Windows Server 2008 находятся за устройствами NAT.
  8. Нажмите кнопку ОК, а затем выйдите из редактора реестра.
  9. Перезагрузите компьютер.

Дополнительная информация


Для получения дополнительной информации щелкните приведенные ниже номера статей базы знаний Майкрософт:
Обновление 818043 для L2TP/IPsec NAT-T для Windows XP и Windows 2000
885348 IPSec NAT-T не рекомендуется для компьютеров Windows Server 2003, которые расположены за устройством преобразования сетевых адресов