在 NAT-T 裝置後方設定 L2TP/IPsec 伺服器
本文說明如何在 NAT-T 裝置後方設定 L2TP/IPsec 伺服器。
適用於:Windows 10 - 所有版本、Windows Server 2012 R2
原始 KB 編號: 926179
摘要
重要事項
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊,請參閱如何在 Windows 中備份及還原登錄。
根據預設,Windows Vista 和 Windows Server 2008 不支援因特網通訊協定安全性 (IPsec) 網路地址轉換 (NAT) 周遊 (NAT-T) 與 NAT 裝置後方伺服器的安全性關聯。 如果虛擬專用網 (VPN) 伺服器位於 NAT 裝置後方,Windows Vista 或 Windows Server 2008 型 VPN 用戶端電腦就無法建立第 2 層通道通訊協定 (L2TP) /IPsec 連線到 VPN 伺服器。 此案例包括執行 Windows Server 2008 和 Windows Server 2003 的 VPN 伺服器。
由於 NAT 裝置轉譯網路流量的方式,您可能會在下列案例中遇到非預期的結果:
- 您將伺服器放在 NAT 裝置後方。
- 您使用 IPsec NAT-T 環境。
如果您必須使用 IPsec 進行通訊,請針對您可以從因特網連線的所有伺服器使用公用 IP 位址。 如果您必須將伺服器放在 NAT 裝置後方,然後使用 IPsec NAT-T 環境,您可以變更 VPN 用戶端電腦和 VPN 伺服器上的登錄值來啟用通訊。
設定 AssumeUDPEncapsulationContextOnSendRule 登錄機碼
若要建立和設定 AssumeUDPEncapsulationContextOnSendRule 登錄 值,請遵循下列步驟:
以 Administrators 群組成員的使用者身分登入 Windows Vista 用戶端電腦。
選 取 [啟動>所有程式>配件>執行],輸入 regedit,然後選取 [ 確定]。 如果畫面上顯示 [ 用戶帳戶控制 ] 對話框,並提示您提高系統管理員令牌,請選取 [ 繼續]。
找出並選取下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
注意事項
您也可以將 AssumeUDPEncapsulationContextOnSendRule DWORD 值套用至 Microsoft Windows XP Service Pack 2 (SP2) 型 VPN 用戶端電腦。 若要這樣做,請找出並選取登錄
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
子機碼。在 [ 編輯] 功能表上,指向 [ 新增],然後選 取 [DWORD (32 位) 值]。
輸入 AssumeUDPEncapsulationContextOnSendRule,然後按 ENTER。
以滑鼠右鍵按兩下 [AssumeUDPEncapsulationContextOnSendRule],然後選取 [ 修改]。
在 [ 值數據] 方塊中,輸入下列其中一個值:
0
這是預設值。 當設定為 0 時,Windows 無法與位於 NAT 裝置後方的伺服器建立安全性關聯。
1
當設定為 1 時,Windows 可以與位於 NAT 裝置後方的伺服器建立安全性關聯。
2
當 Windows 設定為 2 時,當伺服器和 VPN 用戶端電腦 (Windows Vista 或 Windows Server 2008 型) 都位於 NAT 裝置後方時,Windows 可以建立安全性關聯。
選取 [確定],然後結束登錄 編輯器。
重新啟動電腦。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應