วิธีการกำหนดค่าการเชื่อมต่อ L2TP/IPSec ด้วยการใช้การรับรองความถูกต้องการคีย์ก่อนการใช้ร่วม

ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ

ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:240262
หมายเหตุ
บทความนี้ใช้กับ Windows 2000 เท่านั้น สนับสนุนสำหรับ Windows 2000 สิ้นสุดในวันที่ 13 กรกฎาคม 2010 ที่ Windows 2000 สิ้นสุดสนับสนุนโซลูชัน Center เป็นจุดเริ่มต้นสำหรับการวางแผนกลยุทธ์ของคุณโยกย้ายจาก Windows 2000 สำหรับข้อมูลเพิ่มเติมให้ดู นโยบายวัฏจักรของฝ่ายสนับสนุนของ Microsoft.
บทความนี้ถูกเก็บถาวรแล้วเนื้อหาของบทความจึงถูกนำเสนอ "ตามลักษณะที่เป็น" และจะไม่มีการปรับปรุงข้อมูลอีก
บทนำ
Microsoft Windows 2000 สร้างเป็นอินเทอร์เน็ตโพรโทคอล (IPSec) ความปลอดภัยที่ใช้กับเลเยอร์ 2 Tunneling Protocol (L2TP) / IPSec การเชื่อมต่อที่จำเป็นต้องมีใบรับรองสำหรับการรับรองความถูกต้องของอินเทอร์เน็ตคีย์แลกเปลี่ยน (IKE) Microsoft สนับสนุน L2TP/IPSec การใช้งานของเกตเวย์เกตเวย์ส่วนตัวบนเครือข่ายเสมือน (VPN) โดยใช้คีย์ preshare สำหรับการรับรองความถูกต้องของ IKE อย่างไรก็ตาม Microsoft ไม่สนับสนุนการใช้คีย์ก่อนการใช้งานร่วมกันสำหรับการรับรองความถูกต้องของ IKE บนการเชื่อมต่อไคลเอนต์การเข้าถึงระยะไกล L2TP/IPSec Windows 2000 เข้ากันได้กับ IKE RFC 2409 และช่วยให้คุณสามารถใช้คีย์ก่อนการใช้งานร่วมกันสำหรับการรับรองความถูกต้องของ IKE บนการเชื่อมต่อไคลเอนต์การเข้าถึงระยะไกล L2TP/IPSec อย่างไรก็ตาม เราแนะนำให้ คุณใช้การดำเนินการนี้สำหรับการทดสอบเท่านั้น

เมื่อต้องการใช้วิธีรับรองความถูกต้องการคีย์ก่อนการใช้ร่วมสำหรับใช้กับการเชื่อมต่อ L2TP/IPSec:
  • คุณต้องเพิ่มค่ารีจิสทรี ProhibitIpSec ไปยังคอมพิวเตอร์ทั้งสองเครื่องปลายทางที่ใช้ Windows 2000
  • คุณต้องกำหนดค่านโยบาย IPSec การก่อนจึงสามารถสร้างการเชื่อมต่อ L2TP/IPSec ระหว่างคอมพิวเตอร์ที่ใช้ Windows 2000 สองด้วยตนเอง
บทความนี้อธิบายวิธีการกำหนดค่าสองใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลบริการเซิร์ฟเวอร์ที่เชื่อมต่อผ่านเครือข่ายท้องถิ่น (LAN) เพื่อใช้การเชื่อมต่อ L2TP/IPSec ที่ มีการตรวจสอบคีย์ก่อนการใช้ร่วม กัน รวมยัง มีข้อมูลเกี่ยวกับวิธีการตั้งค่าคอนฟิกนโยบาย IPSec ที่จะยอมรับการเชื่อมต่อโดยใช้คีย์หรือหลาย CAs
ข้อมูลเพิ่มเติม
สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นจึงให้ตรวจสอบจนแน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการปกป้องเพิ่มเติม ให้สำรองรีจิสทรีก่อนที่คุณทำการปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756 วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows

การกำหนดค่าสองใช้ Windows 2000 สายงานการผลิตและการบริการการเข้าถึงระยะไกลเซิร์ฟเวอร์ที่มีการเชื่อมต่อผ่าน LAN จะใช้การเชื่อมต่อ L2TP/IPSec ที่ มีการตรวจสอบคีย์ก่อนการใช้ร่วม คุณต้องเพิ่มค่ารีจิสทรี ProhibitIpSec ไปยังคอมพิวเตอร์ปลายทางที่ใช้ Windows 2000 แต่ละการเชื่อมต่อ L2TP/IPSec เพื่อป้องกันไม่ให้มีการสร้างตัวกรองอัตโนมัติสำหรับปริมาณการใช้งาน L2TP/IPSec

เมื่อมีตั้งค่ารีจิสทรี ProhibitIpSec เป็น 1 คอมพิวเตอร์ที่ใช้ Windows 2000 ไม่สร้างตัวกรองอัตโนมัติที่ใช้การรับรองความถูกต้องของ CA แทน ตรวจสอบสำหรับท้องถิ่นหรือนโยบาย IPSec ไดเรกทอรีที่ใช้งานอยู่

เมื่อต้องการเพิ่มค่ารีจิสทรี ProhibitIpSec ไปยังคอมพิวเตอร์ที่ใช้ Windows 2000 ให้ทำตามขั้นตอนเหล่านี้:
  1. คลิกเริ่มคลิกเรียกใช้ชนิด regedt32แล้ว คลิกตกลง
  2. ค้นหา และจากนั้น คลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. บนเมนูแก้ไขคลิกเพิ่มค่า
  4. ในกล่องชื่อค่าพิมพ์ ProhibitIpSec.
  5. ในรายการชนิดข้อมูลคลิกREG_DWORDและจากนั้น คลิกตกลง
  6. ในกล่องข้อมูลพิมพ์ 1แล้ว คลิกตกลง
  7. ออกจากตัวแก้ไขรีจิสทรี และเริ่มการทำงานคอมพิวเตอร์ของคุณ

วิธีการสร้างนโยบาย IPSec ที่ใช้กับการเชื่อมต่อ L2TP/IPSec ด้วยการใช้คีย์ก่อนการใช้ร่วม

หมายเหตุ ขั้นตอนต่อไปนี้สันนิษฐานว่า มีเพิ่มค่ารีจิสทรี ProhibitIpSec ทั้งสองใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลปลายทางเซิร์ฟเวอร์ และที่ใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลปลายทางเซิร์ฟเวอร์ถูกเริ่มใหม่
  1. คลิกเริ่มคลิกเรียกใช้ชนิด mmcแล้ว คลิกตกลง
  2. คลิกคอนโซลคลิกเพิ่ม/เอาสแน็ปอินออกคลิกเพิ่มคลิกการจัดการนโยบายความปลอดภัยของ IPคลิกเพิ่มคลิกเสร็จสิ้นคลิกปิดนั้นแล้ว คลิกตกลง
  3. คลิกขวาที่นโยบายความปลอดภัยของ IP บนเครื่องจักรเฉพาะคลิกสร้างนโยบายความปลอดภัยของ IPและจากนั้น คลิกถัดไป
  4. ในกล่องโต้ตอบชื่อนโยบายการรักษาความปลอดภัยของ IPพิมพ์ชื่อสำหรับนโยบายความปลอดภัย IP ลงในกล่องชื่อและจากนั้น คลิกถัดไป
  5. ในกล่องโต้ตอบร้องขอสำหรับการสื่อสารที่ปลอดภัยคลิกเพื่อยกเลิกเลือกกล่องกาเครื่องหมายเปิดใช้งานกฎการตอบสนองเริ่มต้นแล้ว คลิ กถัดไป
  6. คลิกเพื่อเลือกกล่องกาเครื่องหมายแก้ไขคุณสมบัติและจากนั้น คลิกเสร็จสิ้น
  7. ในกล่องโต้ตอบคุณสมบัตินโยบายความปลอดภัย IP ใหม่คลิกเพิ่มบนแท็บกฎและจากนั้น คลิกถัดไป
  8. ในกล่องโต้ตอบปลายทางทันเนลคลิกกฎนี้ไม่ได้ระบุการทันเนลและจากนั้น คลิกถัดไป
  9. ในกล่องโต้ตอบชนิดเครือข่ายคลิกการเชื่อมต่อเครือข่ายทั้งหมดและจากนั้น คลิกถัดไป
  10. ในกล่องโต้ตอบวิธีการรับรองความถูกต้องคลิกใช้สายนี้เพื่อป้องกันการแลกเปลี่ยนคีย์ (คีย์ร่วม), พิมพ์คีย์ก่อนการใช้ร่วม และจากนั้น คลิกถัดไป
  11. ในกล่องโต้ตอบรายการตัวกรอง IPคลิกเพิ่มพิมพ์ชื่อสำหรับรายการตัวกรอง IP ในกล่องชื่อคลิกเพิ่มแล้ว คลิ กถัดไป
  12. ในกล่องโต้ตอบแหล่งทราฟฟิค IPคลิกที่อยู่ IP เฉพาะในกล่องที่อยู่ต้นทางพิมพ์อยู่ในการขนส่งควบคุมโพรโทคอ ล/Internet Protocol (TCP/IP) ของแหล่งมาสายที่ใช้ Windows 2000 และเซิร์ฟเวอร์การเข้าถึงระยะไกลในกล่องที่อยู่ IPและ แล้ว คลิกถัดไป

    หมายเหตุ อยู่ของแหล่งข้อมูลที่ใช้บนเซิร์ฟเวอร์แต่ละตัวใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลปลายทาง ต้องตรงกัน ตัวอย่างเช่น ถ้าอยู่ต้นทางเป็น 1.1.1.1 คุณต้องใช้ 1.1.1.1 เป็นแหล่งที่อยู่บนเซิร์ฟเวอร์ปลายทางที่ใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกล
  13. ในกล่องโต้ตอบของปลายทางการรับส่งข้อมูล IPคลิกที่อยู่ IP เฉพาะในกล่องที่อยู่ปลายทางพิมพ์อยู่ TCP/IP ของปลายทางที่กำหนดเส้นทางที่ใช้ Windows 2000 และเซิร์ฟเวอร์การเข้าถึงระยะไกล และจากนั้น คลิกถัดไป

    หมายเหตุ อยู่ปลายทางที่ใช้บนเซิร์ฟเวอร์แต่ละตัวใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลปลายทาง ต้องตรงกัน ตัวอย่างเช่น ถ้าปลายทางอยู่ 2.2.2.2 คุณต้องใช้ 2.2.2.2 เป็นปลายทางที่อยู่บนเซิร์ฟเวอร์ปลายทางที่ใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกล
  14. ในกล่องโต้ตอบชนิดโพรโทคอล IPคลิกUDPในกล่องเลือกชนิดของโพรโทคอลและจากนั้น คลิกถัดไป
  15. ในกล่องโต้ตอบของพอร์ตโพรโทคอล IPคลิกจากพอร์ตนี้ชนิด 1701 ในกล่องจากพอร์ตนี้คลิกเพื่อพอร์ตใด ๆและจากนั้น คลิกถัดไป
  16. คลิ กเพื่อ เลือกกล่องกาเครื่องหมายแก้ไขคุณสมบัติคลิกเสร็จสิ้นแล้ว คลิกเพื่อเลือกมิเรอร์ นอกจากนี้ ตรงกับแพคเก็ตกับตรงข้ามที่อยู่ต้นทางและปลายทางที่แน่นอนกล่องกาเครื่องหมายในกล่องโต้ตอบคุณสมบัติตัวกรอง
  17. คลิกตกลงและจากนั้น คลิกปิด
  18. ในกล่องโต้ตอบรายการตัวกรอง IPคลิกตัวกรอง IP ที่คุณเพิ่งสร้างขึ้น และจากนั้น คลิกถัดไป
  19. ในกล่องโต้ตอบตัวกรองการดำเนินการคลิกเพิ่มจากนั้น สร้างตัวกรองการดำเนินการใหม่ที่จะใช้อัลกอริทึมที่สมบูรณ์และการเข้ารหัสลับที่ระบุ

    หมายเหตุ การดำเนินการของตัวกรองใหม่นี้ต้องมีคุณลักษณะ "ยอมรับการสื่อสารที่ไม่ปลอดภัย แต่ตอบเสมอโดยใช้ IPSec ได้" ปิดใช้งานเพื่อปรับปรุงการรักษาความปลอดภัย
  20. คลิกถัดไปคลิกเสร็จสิ้นและจากนั้น คลิกปิด
  21. คลิกขวาที่นโยบาย IPSec ที่คุณเพิ่งสร้างขึ้น และจากนั้น คลิกกำหนด
หมายเหตุ คุณต้องกำหนดค่าเซิร์ฟเวอร์ปลายทางที่ใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลในลักษณะเดียวกัน คุณสามารถดูตัวกรอง IPSec จากด้านหนึ่งของการเชื่อมต่อเมื่อมีตั้งค่าบนเซิร์ฟเวอร์ตัวแรกใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลปลายทาง และจากนั้น สร้างแบบจำลองของตัวกรอง IPSec บนเซิร์ฟเวอร์ปลายทางที่สองใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกล ตามตัวอย่างที่อธิบายไว้ก่อนหน้าในบทความนี้ ถ้าเซิร์ฟเวอร์ตัวแรกใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลปลายทางมีที่อยู่ TCP/IP ของ 1.1.1.1 และสองใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลปลายทาง เซิร์ฟเวอร์มีที่อยู่ TCP/IP ของ 2.2.2.2 จะสร้างตัวกรองภายในนโยบาย IPSec บนเซิร์ฟเวอร์ปลายทางใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลมีที่อยู่ต้นฉบับของ 1.1.1.1 และที่อยู่ปลายทางของ 2.2.2.2 ตัวเลือกนี้อย่างใดอย่างหนึ่งโดยใช้ Windows 2000 กำหนดเส้นทางและการเข้าถึงระยะไกลปลายทางเซิร์ฟเวอร์เพื่อเริ่มต้นการเชื่อมต่อ

วิธีการกำหนดค่านโยบาย IPSec ที่จะยอมรับการเชื่อมต่อ โดยใช้คีย์ก่อนการใช้ร่วมหรือ CAs หลาย

หลังจากที่นโยบายถูกสร้างขึ้น ด้วยตัวกรอง โดยใช้คีย์ก่อนการใช้ร่วม คุณต้องสร้างกฎการเพิ่มเติมภายในนโยบาย IPSec สำหรับการเชื่อมต่ออื่น ๆ ที่จำเป็นต้องมีคีย์ร่วมที่แตกต่างกันหรือ CAs

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับอัตโนมัติตัวกรองที่สร้างขึ้น โดย Windows 2000 ที่ใช้ CAs คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
248750 คำอธิบายของตัวกรองอัตโนมัติที่สร้างขึ้นสำหรับใช้กับ L2TP/IPSec
253498 วิธีการติดตั้งใบรับรองสำหรับการใช้กับความปลอดภัยของ IP


Microsoft ไม่สนับสนุนคีย์ก่อนการใช้ร่วมสำหรับ L2TP/IPSec VPN หรือไคลเอนต์ระยะไกลสำหรับเหตุผลต่อไปนี้:
  • นั้นเรื่อโพรโทคอลปลอดภัยกับปัญหาการใช้งานไม่ปลอดภัยที่รู้จักกันดี เลือกรหัสผ่าน เผยแพร่โจมตีได้ถูกแสดงเพื่อเปิดเผยคีย์ร่วมที่อ่อน
  • ไม่ deployable อย่างปลอดภัย เนื่องจากการเข้าถึงของเกตเวย์บริษัทต้องใช้ โดยผู้ใช้ที่ถูกตั้งค่าคอนฟิกคีย์ก่อนการใช้ร่วม ผู้ใช้หลายคนจะทราบว่านี้ และจะกลายเป็น "กลุ่มร่วมคีย์" คีย์ที่ใช้เวลานานเกือบแน่นอนจะต้องถูกเขียนลง ไม่สามารถเพิกถอนการเข้าถึงคอมพิวเตอร์แต่ละเครื่องจนกระทั่งทั้งกลุ่มได้สลับไปยังแป้นร่วมใหม่
  • Microsoft มีรายละเอียดในเอกสารวิธีใช้ ทรัพยากร kit บท และในหมายเลขบทความในฐานความรู้ของ Microsoft 248711, IPSec 2000 Windows ที่ใช้ คีย์ไว้ให้เฉพาะสำหรับกฎระเบียบ RFC ที่ การทดสอบการทำงานร่วมกันและทำงานร่วมกันที่ปลอดภัยไม่เป็นห่วง คีย์ร่วมถูกเก็บไว้ในรีจิสทรีเฉพาะที่ผู้ดูแลท้องถิ่นเท่านั้นที่มีสิทธิในการอ่าน แต่ผู้ดูแลท้องถิ่นจำเป็นต้องทราบว่าแฟ้ม และการตั้งค่า ดังนั้น ผู้ดูแลท้องถิ่นใด ๆ สามารถมองเห็นได้ในอนาคต หรือเปลี่ยนแปลง
  • ต้นทุนสนับสนุนการใช้คีย์ก่อนการใช้ร่วมทั้ง สำหรับลูกค้า และ Microsoft จะสูง
  • การรับใบรับรองคอมพิวเตอร์ที่ใช้ Windows 2000 อาจง่ายพอ ๆ กับการร้องขอเว็บเพจ หรือง่าย โดยใช้ไคลเอ็นต์ที่ใช้ Windows 2000 เป็นสมาชิกของโดเมน Windows 2000 Windows 2000 Group Policy การลงทะเบียนโดยอัตโนมัติก็ นี่คือโดยทั่วไปวิธีปลอดภัยที่สุดสำหรับการปรับใช้ VPN ที่ใช้ IPSec
Microsoft สนับสนุน VPN L2TP/IPSec tunnels เกตเวย์ไปเกตเวย์ ด้วยก็ได้เนื่องจากจะต้องถูกกำหนดค่าภายในเครื่องบนเกตเวย์นั้น โดยผู้ดูแลระบบหรือผู้รอบรู้เกตเวย์บนพื้นฐานสำหรับแต่ละแบบคงอยู่ IP IPSec tunnels เท่านั้นได้รับการสนับสนุนมีใช้ที่อยู่ IP แบบคง และ สำหรับตัวเลือกนโยบายที่อ้างอิงอยู่เพียงอย่างเดียว ไม่พอร์ตและโพรโทคอล เราขอแนะนำให้ คุณใช้ L2TP/IPSec สำหรับเกตเวย์เกตเวย์ ใช้โหมดทันเนล IPSec สำหรับเกตเวย์ gateway ถ้า L2TP/IPSec ไม่ใช่ตัวเลือกเท่านั้น
ความลับ

คำเตือน: บทความนี้ได้รับการแปลโดยอัตโนมัติ

คุณสมบัติ

รหัสบทความ: 240262 - การตรวจสอบครั้งสุดท้าย: 12/05/2015 15:39:35 - ฉบับแก้ไข: 3.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbenv kbhowto kbnetwork kbmt KB240262 KbMtth
คำติชม
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)