如何在 Windows Vista 和 Windows Server 2008 中配置 NAT-T 设备后台 L2TP/IPsec 服务器


简介


重要说明 本部分(或称方法或任务)包含有关如何修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请一定严格按照下列步骤操作。 为了获得进一步的保护,请在修改注册表之前对其进行备份。 这样就可以在出现问题时还原注册表。 有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表
默认情况下,Windows Vista 和 Windows Server 2008 操作系统不支持 Internet 协议安全 (IPsec) 网络地址转换 (NAT) 遍历 (NAT-T) 安全关联到 NAT 设备后面的服务器。因此,如果虚拟专用网络 (VPN) 服务器在NAT 设备的后面时,基于 Windows Vista 的 VPN 客户端计算机或基于 Windows Server 2008 的 VPN 客户端计算机不能进行第二层隧道协议 (L2TP) / IPsec 连接到 VPN 服务器。此方案包括运行 Windows Server 2008 和 Microsoft Windows Server 2003 的 VPN 服务器当您把服务器放在 NAT 设备后面,并使用 IPsec NAT-T 环境时,NAT 设备的转换网络流量的方式,可能会遇到意外的结果。因此,如果您必须用 IPsec 通信,建议您对所有服务器都使用公用 IP 地址,这样就可以连接至 Internet。但是,如果您必须把服务器放在 NAT 设备后面,然后使用 IPsec NAT-T 环境,您可以通过更改 VPN 客户机和 VPN 服务器上的注册表值启用通信。若要创建和配置的AssumeUDPEncapsulationContextOnSendRule注册表值,请执行以下步骤:
  1. 以管理员组的成员的用户身份登录到 Windows Vista 客户端计算机上。
  2. 单击开始
    windows icon
    ,指向所有程序,单击附件,单击运行,键入regedit,,然后单击确定。如果用户帐户控制对话框中将显示在屏幕上,并提示您提升管理员令牌,请单击继续
  3. 找到并单击下面的注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    注意:此外可以将AssumeUDPEncapsulationContextOnSendRule DWORD 值应用到 Microsoft Windows XP Service Pack 2 (SP2)-基于 VPN 客户端计算机。若要执行此操作,找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. “编辑”菜单上,指向“新建”,然后单击“DWORD (32 位)值”。
  5. 键入AssumeUDPEncapsulationContextOnSendRule,然后再按 ENTER 键。
  6. 用鼠标右键单击AssumeUDPEncapsulationContextOnSendRule,然后单击修改
  7. 数值数据框中,键入下列值之一:
    • 0 值为 0 (零) 将 Windows 配置为无法建立与位于 NAT 设备后面的服务器的安全关联。这是默认值。
    • 1 如果值为 1 将 Windows 配置为可以建立与位于 NAT 设备后面的服务器的安全关联。
    • 2 值为 2 将 Windows 配置为服务器和基于 Windows Vista 的或基于 Windows Server 2008 的 VPN 客户端计算机均位于 NAT 设备后面,它可以建立安全关联。
  8. 单击确定,然后退出注册表编辑器。
  9. 重启计算机。

更多信息


有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
818043更新为 Windows XP 和 Windows 2000 的 L2TP/IPsec NAT-T
885348 IPSec NAT-T 不适用于 Windows Server 2003 计算机位于网络地址转换器后面