Làm thế nào để cấu hình máy chủ L2TP/IPsec phía sau thiết bị NAT-T trong Windows Vista và trong Windows Server 2008


GIỚI THIỆU


Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Do đó, hăy chắc chắn rằng bạn thực hiện các bước sau cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng kư nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng kư, hăy bấm số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
Theo mặc định, Windows Vista và hệ điều hành Windows Server 2008 không hỗ trợ các liên kết bảo mật của giao thức mạng Internet (IPsec) Translation (NAT) (NAT-T) cho các máy chủ nằm phía sau thiết bị NAT. Vì vậy, nếu máy chủ mạng riêng ảo (VPN) nằm phía sau một thiết bị NAT, máy tính khách VPN dựa trên Windows Vista hoặc máy tính chạy Windows Server 2008 dựa trên máy tính VPN không thể tạo giao thức tầng hai đường hầm (L2TP)/IPsec kết nối với máy chủ VPN. Kịch bản này bao gồm các máy chủ VPN đang chạy Windows Server 2008 và Microsoft Windows Server 2003.Vì cách thức thiết bị NAT dịch lưu lượng mạng, bạn có thể gặp các kết quả không mong muốn khi bạn đặt một máy chủ phía sau một thiết bị NAT, rồi sử dụng môi trường IPsec NAT-T. Vì vậy, nếu bạn phải có IPsec để liên lạc, chúng tôi khuyên bạn nên sử dụng các địa chỉ IP công cộng cho tất cả các máy chủ mà bạn có thể kết nối từ Internet. Tuy nhiên, nếu bạn phải đặt một máy chủ phía sau một thiết bị NAT và sau đó sử dụng môi trường IPsec NAT-T, bạn có thể cho phép liên lạc bằng cách thay đổi một giá trị sổ đăng ký trên máy tính khách VPN và máy chủ VPN.Để tạo và cấu hình giá trị AssumeUDPEncapsulationContextOnSendRule Registry, hãy làm theo các bước sau đây:
  1. Đăng nhập vào máy tính khách của Windows Vista với tư cách là thành viên của nhóm người quản trị.
  2. Bấm vào bắt đầu
    Nút Bắt đầu Windows
    , trỏ tới tất cả các chương trình, bấm vào phụ kiện, bấm vào chạy, nhập regedit, rồi bấm OK. Nếu hộp thoại kiểm soát tài khoản người dùng được hiển thị trên màn hình và nhắc bạn nâng cao mã thông báo người quản trị của mình, hãy bấm tiếp tục.
  3. Tìm rồi bấm vào khóa con đăng ký sau:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    Lưu ý Bạn cũng có thể áp dụng giá trị DWORD AssumeUDPEncapsulationContextOnSendRule vào máy tính khách VPN Microsoft Windows XP Gói Dịch vụ 2 (SP2). Để thực hiện điều này, hãy xác định vị trí, rồi bấm vào khóa phụ sau của sổ đăng ký sau:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. Trên menu Chỉnh sửa, trỏ chuột đến Mới rồi bấm Giá trị DWORD (32 bit).
  5. Nhập AssumeUDPEncapsulationContextOnSendRule, rồi nhấn Enter.
  6. Bấm chuột phải vào AssumeUDPEncapsulationContextOnSendRule, rồi bấm vào sửa đổi.
  7. Trong hộp dữ liệu giá trị , hãy nhập một trong các giá trị sau đây:
    • 4-0 Giá trị của 0 (không) được cấu hình Windows để nó không thể thiết lập các liên kết bảo mật với các máy chủ nằm phía sau thiết bị NAT. Đây là giá trị mặc định.
    • 1 Giá trị của 1 cấu hình Windows để nó có thể thiết lập các liên kết bảo mật với các máy chủ nằm phía sau thiết bị NAT.
    • 4 Một giá trị của 2 cấu hình Windows để nó có thể thiết lập các liên kết bảo mật khi cả máy chủ và máy tính chạy Windows Vista trên Windows Vista hoặc Windows Server 2008 dựa trên máy khách VPN phía sau thiết bị NAT.  
  8. Bấm OK, rồi thoát khỏi trình soạn thảo sổ đăng ký.
  9. Khởi động lại máy tính.

Thông tin Bổ sung


Để biết thêm thông tin, bấm số bài viết sau đây để xem bài viết trong Cơ sở Kiến thức Microsoft:
818043 L2TP/IPsec NAT-T Update for Windows XP và Windows 2000
885348 IPSec NAT-T không được khuyên dùng cho máy tính chạy Windows Server 2003 nằm sau dịch vụ địa chỉ mạng