如何在 Windows Vista 和 Windows Server 2008 中,於 NAT-T 裝置後方設定 L2TP/IPsec 伺服器


簡介


重要:此章節、方法或工作包含有關如何修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 這樣一來,如果發生問題,您就可以還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按下列文件編號,檢視「Microsoft 知識庫」中的文章:
322756 如何在 Windows 中備份及還原登錄
根據預設,Windows Vista 及 Windows Server 2008 作業系統不支援網際網路通訊協定安全性 (IPsec) 網路位址轉譯 (NAT) 周遊 (NAT-T) 安全性關聯到位於 NAT 裝置後面的伺服器。因此,如果虛擬私人網路 (VPN) 伺服器位於 NAT 裝置後面, Windows vista 的 VPN 用戶端電腦或 Windows Server 2008 為基礎的 VPN 用戶端電腦就無法進行第二層通道通訊協定 (L2TP) / IPsec 連線到 VPN 伺服器。此案例包含執行 Windows Server 2008 的 VPN 伺服器與 Microsoft Windows Server 2003。因為 NAT 裝置的轉譯網路流量的方式,所以,您架設在 NAT 裝置後方的伺服器,然後使用 [IPsec NAT-T 環境時,可能會遇到未預期的結果。因此,如果您必須有 IPsec 進行通訊,我們建議您的所有伺服器使用可以從網際網路連接到之公用 IP 位址。不過,如果您有將 NAT 裝置後方的伺服器,然後使用 [IPsec NAT-T 環境,則您可以變更的登錄值,在 VPN 用戶端電腦與 VPN 伺服器上啟用通訊。若要建立並設定AssumeUDPEncapsulationContextOnSendRule的登錄值,請依照下列步驟執行:
  1. 使用者是系統管理員群組的成員身分登入 Windows Vista 用戶端電腦。
  2. 按一下 [開始
    windows icon
    ,指向 [所有程式、 [附屬應用程式、 按一下 [執行]、 輸入regedit,然後按一下[確定]。如果 [使用者帳戶控制] 對話方塊隨即出現在螢幕上,並提示您要升級您的系統管理員 token,請按一下 [繼續]。
  3. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    注意您也可以使用 Microsoft Windows XP Service Pack 2 (SP2) 套用AssumeUDPEncapsulationContextOnSendRule的 DWORD 值-基礎 VPN 用戶端電腦。若要這麼做,找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. [編輯] 功能表上,指向 [新增],然後按一下 [DWORD (32 位元) 值]
  5. 輸入AssumeUDPEncapsulationContextOnSendRule,然後再按 ENTER 鍵。
  6. 以滑鼠右鍵按一下AssumeUDPEncapsulationContextOnSendRule,,,然後按一下 [修改]
  7. 在 [數值資料] 方塊中,輸入下列值之一:
    • 0 值為 0 (零) 會將 Windows 設定,讓它無法建立與伺服器位於 NAT 裝置後面的安全性關聯。這是預設值。
    • 1 值為 1 設定 Windows,以便它可以建立與伺服器位於 NAT 裝置後面的安全性關聯。
    • 2 值為 2 設定 Windows,以便伺服器與 Windows Vista 或 Windows Server 2008 為基礎的 VPN 用戶端電腦同時 NAT 裝置後面時,它可以建立安全性關聯。
  8. 按一下 [確定],然後結束 [登錄編輯程式。
  9. 重新啟動電腦。

其他相關資訊


如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
Windows XP 和 Windows 2000 的818043 L2TP/IPsec NAT-T 更新
885348 IPSec NAT-T 建議您不要網路位址轉譯器後面的 Windows Server 2003 電腦