L2TP/IPsec NAT-T Cập Nhật cho Windows XP và Windows 2000

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 818043
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
Tóm tắt
Microsoft đã phát hành một Cập Nhật gói để tăng cường các chức năng hiện tại của Giao thức đường hầm tầng 2 (L2TP) và Giao thức Internet bảo mật (IPsec) trên máy tính chạy Microsoft Windows 2000, Microsoft Windows XP mà không cần cài đặt chuyên biệt gói bản ghi dịch vụ, và Windows XP với Service Pack 1 (SP1).Chức năng này được bao gồm trong Windows XP Service Pack 2 (SP2). Máy tính chạy Windows XP với gói bản ghi dịch vụ không cần phải cài đặt chuyên biệt gói cập nhật này.

Bản cập nhật này bao gồm cải tiến để IPsec cho tốt hơn hỗ trợ mạng riêng ảo (VPN) khách hàng đằng sau thiết bị dịch (NAT) địa chỉ mạng. Nếu bạn áp dụng bản cập nhật này cho một máy tính đang chạy Windows XP, và nếu bản ghi dịch vụ IPsec gặp một lỗi thời gian chạy và không thể khởi động vì lý do nào, trình điều khiển IPsec hoạt động trong chế độ khối bởi vì nó không thể an toàn mạng lưới giao thông.

Lưu ý: bản ghi dịch vụ IPsec xuất hiện như là "IPSEC dịch vụ" trong danh sách các bản ghi dịch vụ hệ thống.

Để biết thêm chi tiết về gói bản ghi dịch vụ mới nhất cho Windows XP, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322389 Làm thế nào để có được gói bản ghi dịch vụ Windows XP mới nhất

Nội dung bài viết

Thông tin thêm

Tính năng IPsec mới và quản lý và theo dõi snap-in

  • Sau khi bạn cài đặt chuyên biệt bản cập nhật này, Windows 2000 và Windows XP dựa trên L2TP/IPsecclients có thể tạo IPsec kết nối từ phía sau một thiết bị NAT. IPsec mới NAT-Tfunctionality dựa trên yêu cầu IETF cho ý kiến (RFC) 3193 và phiên bản 2 của bản thảo IETF IPsec NAT-TInternet ban đầu. Khách hàng Windows XP có SP2 cũng có này connectivityoption nâng cao. IPsec NAT-T hiện đang được chỉ định trong RFCs 3947 và 3948.
  • Các Cập Nhật màn hình IPsec snap-in có thể xem thatare máy tính chạy Windows XP, nhưng chỉ nếu máy tính dựa trên Windows XP có SP2installed.
  • Các Cập Nhật màn hình IPsec snap-in có thể xem các máy tính đó arerunning Microsoft Windows Server 2003. Tương tự như vậy, Windows Server 2003 canmonitor Windows XP trên máy tính có SP2 cài đặt chuyên biệt.
  • Máy tính đang chạy Windows 2000 có thể không là monitoredwith này snap-in.
  • Quản lý IPsec mới-theo chuyển sang chỉ đọc modewhen nó gặp các đối tượng chính sách có tính năng nâng cao đó werecreated trong Windows Server 2003 (ví dụ: bộ lọc DH2048, giấy chứng nhận lập bản đồ, ordynamic). Hành vi này gây ra các-theo đối tượng (ví dụ, quy định, bộ lọc danh sách, hoặc chính chế độ dịch vụ) để trở nên kèm nếu họ containreferences để các thiết đặt mới. IPsec quản lý snap-trong chuyển sang chỉ đọc modeso rằng nó không vô tình loại bỏ tính năng tiên tiến quan trọng.
  • Cập Nhật IPsec bản ghi dịch vụ trên Windows XP dựa trên computerscan tiếp xúc với hầu hết các tính năng mới được cung cấp trong một 2003policy Windows Server.

    Lưu ý: Lập bản đồ giấy chứng nhận là không có sẵn.
  • Nếu một phiên bản cũ của công cụ IPseccmd ona đã cài đặt chuyên biệt Windows XP trên máy tính (công cụ này là không có sẵn trong Windows 2000), anupdated IPseccmd được cài đặt chuyên biệt trong các lái xe: \ProgramFiles\Support công cụ mục tin thư thoại.

    IPseccmd Cập Nhật có các followingfeatures:
    • Nó tự động chỉ kí nhập Internet Key Exchange (IKE) và tắt.
    • Nó sẽ hiển thị thông tin về một chính sách hiện đang được gán.
    • Nó cho phép bạn tạo một chính sách IPsec dai dẳng.
    Lưu ý: Các phiên bản trước đó của IPseccmd không hoạt động trên updatedcomputers, và IPseccmd Cập Nhật không hoạt động trên máy tính mà không được Cập Nhật.
Quay lại đầu trang

Khả năng tương tác và vấn đề đã biết

Quy tắc tường lửa và IPsec NAT-T

Bởi vì sự hỗ trợ cho chức năng IPsec NAT-T dựa trên IETF RFC 3193 và phiên bản 2 của bản thảo gốc IETF NAT-T Internet cho những bản ghi dịch vụ này để chạy qua tường lửa, bạn có thể phải mở cổng và giao thức sau đây trong các quy tắc tường lửa:
  • Internet khóa trao đổi (IKE) - giao thức Datagram người dùng (UDP) 500
  • IPsec NAT-T - UDP 4500
  • Đóng gói tải trọng an ninh (ESP) - Giao thức Internet (IP) giao thức 50

Kịch bản được hỗ trợ bằng cách sử dụng IPsec NAT-T

Các kịch bản sau đây sẽ cho phép thành công cho các kết nối L2TP/IPsec dựa trên IPsec NAT-T. Trong những tình huống, máy tính khách là một khách hàng đang chạy Windows 2000 và đó đã cập nhật 818043 cài đặt chuyên biệt hoặc là một máy tính dựa trên Windows XP có SP2 cài đặt chuyên biệt. Máy chủ là một máy chủ L2TP/IPsec đang chạy Windows Server 2003 và đó bằng cách sử dụng định tuyến và truy nhập từ xa.
máy tính khách---> NAT---Internet--->Máy chủ

Chỉ hỗ trợ và kịch bản được đề nghị là khi các Máy chủ không nằm đằng sau một thiết bị NAT.
Các máy chủ L2TP/IPsec cũng có thể là một sản phẩm bên thứ ba cổng hỗ trợ NAT-T kết nối.

Lưu ý: Nếu bạn áp dụng bản Cập Nhật 818043 đến một máy chủ Dựa trên Windows 2000 bằng cách sử dụng định tuyến và truy nhập từ xa, các máy chủ không thể hoạt động như một máy chủ L2TP/IPsec trong trường hợp này. Nó không thể cho phép cho các kết nối từ máy sử dụng L2TP/IPsec mà đằng sau một hoặc nhiều thiết bị NAT. Bản cập nhật này là một chỉ phía khách hàng Cập Nhật. Phía máy chủ IPsec NAT-T chức năng là một tính năng mới trong Windows Server 2003 định tuyến và truy nhập từ xa chỉ. IPsec NAT-T phía máy chủ hỗ trợ sẽ không được thêm vào Windows 2000 định tuyến và truy nhập từ xa.

Diffie-Hellman nhóm 2048 Cập Nhật

Cho L2TP/IPsec các khách hàng để đàm phán và sử dụng Cập Nhật Diffie-Hellman nhóm 2048, Hệ phục vụ truy nhập từ xa được liên lạc với cũng phải hỗ trợ nhóm này.

Lưu ý: Để sử dụng Diffie-Hellman 2048, nếu máy tính của bạn đang chạy Windows Server 2003, bạn phải tạo khoá con kiểm nhập. Để thực hiện điều này, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm chạy, loại regedit, và sau đó nhấp vàoOK.
  2. Xác định vị trí và sau đó bấm vào khóa con kiểm nhập sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. Trên các chỉnh sửa trình đơn, điểm đếnmới, và sau đó bấm Giá trị DWORD.
  4. Loại NegotiateDH2048, và sau đó pressENTER.
  5. Bấm chuột phải vào NegotiateDH2048, và thenclick sửa đổi.
  6. Trong các dữ liệu giá trị hộp, gõ1, và sau đó nhấp vào OK.
  7. Trên trình đơn kiểm nhập , hãy nhấp vàolối ra.

Khác

  • IPsec offload phần cứng
    IPsec offload mạng adaptor không offload securityassociations được tạo ra bằng cách sử dụng restricted.
  • Tính năng mới không hiển thị một cách chính xác
    Tính năng mới đã được kích hoạt bằng cách sử dụng một chính sách 2003IPsec Windows Server không có thể được hiển thị một cách chính xác trong màn hình IPsec. Đáng chú ý nhất, nhóm DH2048 sẽ được hiển thị như là 268435457, và năng động-lọc tên (forexample, thắng hoặc DHCP) không được hiển thị ở tất cả (isblank cột).
  • Các thành phần IKE của việc thực hiện Windows của IPsecuses một API Winsock mở rộng hoạt động mà con trỏ hàm là xác định bycalling WSAIoctl(). Nếu cuộc gọi hàm này không thể đi qua anyinstalled nhà nhà cung cấp bản ghi dịch vụ Layered (LSP), IPsec không thể lắng nghe trên cổng IKE.IPsec dịch này như là một sự thất bại của các thành phần và phản ứng cho phù hợp (có nghĩa là, một tin thư thoại "Thất bại để một an toàn chế độ" được trả lại). IKE component'sinability để đi qua một LSP có thể được gây ra bởi một cài đặt chuyên biệt thứ ba-partyprogram.
Quay lại đầu trang
Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ kiểm nhập không chính xác bằng cách sử dụng Trình soạn thảo Sổ kiểm nhập hoặc bằng cách sử dụng một phương pháp khác. Những vấn đề này có thể yêu cầu bạn cài đặt chuyên biệt lại hệ điều hành. Microsoft không thể đảm bảo rằng những vấn đề này có thể được giải quyết. Sửa đổi sổ kiểm nhập bạn phải chịu rủi ro đi kèm. Để thay đổi hành vi IPsec NAT-T cho một máy tính đang chạy Windows XP SP2, bạn phải tạo ra giá trị kiểm nhập AssumeUDPEncapsulationContextOnSendRule.

theo mặc định, Windows XP SP2 không còn hỗ trợ Hiệp hội bảo mật IPsec NAT-T đến các máy chủ được đặt phía sau một phiên dịch địa chỉ mạng. Do đó, nếu máy chủ mạng riêng ảo (VPN) của bạn là đằng sau một phiên dịch địa chỉ mạng, theo mặc định, một khách hàng dựa trên Windows XP SP2 VPN không thể kết nối L2TP/IPsec với máy chủ VPN. Trường hợp này bao gồm một máy chủ VPN đang chạy Microsoft Windows Server 2003.

Chế độ mặc định này cũng có thể ngăn chặn máy tính đang chạy Windows XP SP2 từ làm cho máy tính để bàn từ xa kết nối với L2TP/IPsec khi máy tính đích nằm phía sau một phiên dịch địa chỉ mạng.

Do cách mạng địa chỉ dịch giả dịch lưu lượng truy cập mạng, bạn có thể kinh nghiệm kết quả bất ngờ khi bạn đặt một máy chủ đằng sau một phiên dịch địa chỉ mạng và sau đó sử dụng IPsec NAT-T. Vì vậy, nếu bạn yêu cầu IPsec cho giao tiếp, chúng tôi đề nghị bạn sử dụng địa chỉ IP công cộng cho tất cả các máy chủ bạn có thể kết nối trực tiếp từ Internet.

Để tạo và cấu hình giá trị kiểm nhập AssumeUDPEncapsulationContextOnSendRule, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm chạy, loại regedit, và sau đó nhấp vào OK.
  2. Xác định vị trí và sau đó nhấp vào registrysubkey sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Trên các chỉnh sửa trình đơn, điểm đến mới, và thenclick Giá trị DWORD.
  4. Trong hộp mới giá trị #1, gõAssumeUDPEncapsulationContextOnSendRule, và sau đó nhấn ENTER.
  5. Bấm chuột phải vào AssumeUDPEncapsulationContextOnSendRule, và sau đó bấm sửa đổi.
  6. Trong các Dữ liệu giá trị hộp, nhập một trong các giá trị sau:
    • 0 (mặc định)
      Giá trị là 0 (zero) cấu hình Windows để nó không thể thiết lập bảo mật Hiệp hội với các máy chủ được đặt phía sau phiên dịch địa chỉ mạng.
    • 1
      Giá trị là 1 cấu hình Windows để nó có thể thiết lập bảo mật Hiệp hội với các máy chủ được đặt phía sau phiên dịch địa chỉ mạng.
    • 2
      Một giá trị của 2 cấu hình Windows để nó có thể thiết lập liên kết an ninh khi cả máy chủ và máy tính khách dựa trên Windows XP SP2 đằng sau phiên dịch địa chỉ mạng.
  7. Nhấp vào OK, và sau đó thoát khỏi Registry Editor.
  8. Khởi động lại máy tính.
Quay lại đầu trang

Thông tin gói bản ghi dịch vụ Windows XP

Tính năng này có sẵn trong gói bản ghi dịch vụ mới nhất cho Windows XP (SP2). Để biết thêm thông tin, hãy nhấp vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322389 Làm thế nào để có được gói bản ghi dịch vụ Windows XP mới nhất
Quay lại đầu trang

Cập nhật Windows 2000

Để tải xuống bản cập nhật này cho Windows 2000, đi đến web site của Microsoft sau đây để sử dụng các Microsoft Update cửa hàng:tra cứu số ID của bài viết này bằng cách sử dụng các tính năng tùy chọn tra cứu nâng cao trong Microsoft Update Catalog. Để thực hiện điều này, hãy làm theo các bước sau:
  1. Trên web site của Microsoft Windows Update, nhấp vàoTìm bản Cập Nhật cho hệ điều hành Microsoft Windows.
  2. Bấm vào để chọn hệ điều hành và ngôn ngữ của bạn, và sau đó nhấp vào tra cứu nâng cao.

    Lưu ý: Bạn phải chọn Windows 2000 chuyên nghiệp gói bản ghi dịch vụ 3 hoặc Windows 2000 Professional Service Pack 4. Nếu bạn chọn một hệ điều hành khác nhau, bản Cập Nhật không được trả lại trong tra cứu.
  3. Trong hộp có chứa những từ này , hãy nhập 818043, và sau đó nhấp vào tra cứu.
Để biết thêm chi tiết về làm thế nào để tải bản Cập Nhật từ Windows Update Catalog, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
323166 Cách tải xuống các bản cập nhật bao gồm trình điều khiển và hotfixe từ Danh mục Windows Update

Điều kiện tiên quyết

Gói cập nhật này được thiết kế để được cài đặt chuyên biệt trên máy tính đang chạy Windows 2000 với Service Pack 3 (SP3) hoặc phiên bản mới hơn.

Yêu cầu khởi động lại

Gói cập nhật này đòi hỏi bạn khởi động lại máy tính của bạn để kích hoạt tính năng IPsec mới.

Thông tin thay thế cập nhật

Bản cập nhật này không thay thế bất kỳ Cập Nhật nào khác.

Thông tin tệp

Các phiên bản tiếng Anh của hotfix này có các thuộc tính tệp (hoặc sau này tập tin thuộc tính) mà được liệt kê trong bảng sau. Ngày tháng và thời gian cho những tập tin được liệt kê trong Giờ Quốc tế Phối hợp (UTC). Khi bạn xem chi tieát taäp tin, nó bị chuyển thành giờ cục bộ. Để tìm sự khác nhau giữa UTC và local time, sử dụng tab múi thời gian trong ngày và thời gian các công cụ trong Panel điều khiển.
   Date         Time   Version        Size     File name   ----------------------------------------------------------------   18-Sep-2000  19:01  5.0.2195.1569   33,616  Fips.sys   21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys   21-Apr-2003  15:19  5.0.2195.6738   29,456  Ipsecmon.exe        21-Apr-2003  15:21  5.0.2195.6738  390,928  Netdiag.exe         01-May-2003  21:39  5.0.2195.6738  417,552  Oakley.dll          01-May-2003  21:39  5.0.2195.6738   96,528  Polagent.dll        01-May-2003  21:39  5.0.2195.6738  137,488  Polstore.dll        01-May-2003  21:39  5.0.2195.6738   58,128  Rasman.dll          01-May-2003  21:39  5.0.2195.6738  153,360  Rasmans.dll         01-May-2003  21:39  5.0.2195.6738   54,032  Rastapi.dll         21-Apr-2003  15:19  5.0.2195.6738   80,848  Ipsec.sys  (56-bit)
Quay lại đầu trang
Tham khảo
Để biết thêm thông tin, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
314067 Làm thế nào để khắc phục sự cố kết nối TCP/IP với Windows XP
257225 Cơ bản IPsec gỡ rối trong Microsoft Windows 2000 Server
816915 Lược đồ đặt tập đã đặt tên tin mới cho Microsoft Windows phần mềm Cập Nhật gói
Quay lại đầu trang

Thuộc tính

ID Bài viết: 818043 - Xem lại Lần cuối: 12/08/2015 02:27:25 - Bản sửa đổi: 4.0

Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix kbmt KB818043 KbMtvi
Phản hồi