Настроювання сервера L2TP або IPsec за пристроєм NAT-T в ОС Windows Vista та Windows Server 2008


ОСНОВНІ ВІДОМОСТІ


Важливо! У цьому розділі, способі або завданні описано процедуру змінення реєстру. Неправильне змінення реєстру може призвести до серйозних проблем. Будьте уважні, виконуючи ці кроки. Перш ніж вносити зміни, обов’язково створіть резервну копію реєстру. Якщо виникне проблема, можна відновити попередній стан реєстру. Щоб отримати додаткові відомості про створення резервної копії та відновлення реєстру, див. статтю бази знань Microsoft Knowledge Base:
322756 Створення резервної копії та відновлення реєстру у Windows
За замовчуванням ОС Windows Vista та операційна система Windows Server 2008 не підтримують зіставлення мережних адрес (протокол IPsec) (NAT-T), які належать до серверів, розташованих позаду пристрою NAT. Тому, якщо сервер віртуальної приватної мережі (VPN) стоїть за пристроєм NAT, на комп'ютері з операційною системою VPN для Windows Vista або на комп'ютері з операційною системою VPN для Windows Server 2008 не вдалося виконати два підключення тунельного протоколу (L2TP)/IPsec до сервера VPN. Цей сценарій включає в себе VPN-сервери, які працюють під керуванням ОС Windows Server 2008 і Microsoft Windows Server 2003.Через те, що пристрої NAT перекладають Мережевий трафік, можуть виникати несподівані результати, якщо ви ставите сервер за пристроєм NAT, а потім використовуєте середовище NAT-T. Тому, якщо у вас має бути протокол IPsec для спілкування, радимо використовувати загальнодоступні IP-адреси для всіх серверів, до яких можна підключитися з Інтернету. Однак, якщо потрібно розмістити сервер за пристроєм NAT, а потім використовувати середовище NAT-T, можна ввімкнути зв'язок, змінивши значення реєстру на клієнтському комп'ютері VPN і сервері VPN.Щоб створити та настроїти значення реєстру AssumeUDPEncapsulationContextOnSendRule , виконайте наведені нижче дії.
  1. Увійдіть на клієнтський комп'ютер Windows Vista як користувач, який входить до складу групи адміністраторів.
  2. Натисніть кнопку Пуск
    windows icon
    , наведіть вказівник на пункт Усі програми, виберіть пункт стандартні, натисніть кнопку виконати, введіть Regeditі натисніть кнопку OK. Якщо на екрані відобразиться діалогове вікно Керування обліковими записами користувачів і відобразиться запит на відповідний маркер адміністратора, натисніть кнопку продовжити.
  3. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    Примітка.Ви також можете використовувати значення AssumeUDPEncapsulationContextOnSendRule DWORD на комп'ютері з операційною системою Microsoft Windows XP з пакетом оновлень 2 (SP2) для VPN. Для цього знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. У меню Редагування наведіть вказівник на команду Створити і виберіть Параметр DWORD (32-розрядний).
  5. Введіть AssumeUDPEncapsulationContextOnSendRule, а потім натисніть клавішу ВВІД.
  6. Клацніть правою кнопкою миші AssumeUDPEncapsulationContextOnSendRuleі виберіть команду змінити.
  7. У полі Value Data (значення ) введіть одне з наведених нижче значень.
    • 0 Значення 0 (нуль) настроює Windows таким чином, щоб він не міг встановити асоціації безпеки з серверами, розташованими за пристроями NAT. Це значення за замовчуванням.
    • 1 Значення 1 налаштовує Windows таким чином, щоб вона могла створювати Асоціації безпеки з серверами, розташованими за пристроями NAT.
    • 2 Значення 2 – Настроювання Windows таким чином, щоб вона могла створювати Асоціації безпеки, коли клієнтський комп'ютер із Windows Vista або Windows Server 2008, що базується на пристроях NAT, не використовується.  
  8. Натисніть кнопку OK, а потім закрийте редактор реєстру.
  9. Перезавантажте комп’ютер.

Додаткові відомості


Щоб отримати докладні відомості, клацніть наведені нижче номери статей, щоб переглянути статті в базі знань Microsoft Knowledge Base:
818043 L2TP/IPsec NAT-T: оновлення для Windows XP та Windows 2000
885348 Протокол IPSec-T не рекомендується для комп'ютерів з ОС Windows Server 2003, які відстають від перекладачів мережної адреси