在 NAT-T 裝置後方設定 L2TP/IPsec 伺服器

本文說明如何在 NAT-T 裝置後方設定 L2TP/IPsec 伺服器。

適用於：Windows 10 - 所有版本、Windows Server 2012 R2
原始 KB 編號： 926179

摘要

根據預設，Windows Vista 和 Windows Server 2008 不支援因特網通訊協定安全性 (IPsec) 網路地址轉換 (NAT) 周遊 (NAT-T) 與 NAT 裝置後方伺服器的安全性關聯。 如果虛擬專用網 (VPN) 伺服器位於 NAT 裝置後方，Windows Vista 或 Windows Server 2008 型 VPN 用戶端電腦就無法建立第 2 層通道通訊協定 (L2TP) /IPsec 連線到 VPN 伺服器。 此案例包括執行 Windows Server 2008 和 Windows Server 2003 的 VPN 伺服器。

由於 NAT 裝置轉譯網路流量的方式，您可能會在下列案例中遇到非預期的結果：

• 您將伺服器放在 NAT 裝置後方。
• 您使用 IPsec NAT-T 環境。

如果您必須使用 IPsec 進行通訊，請針對您可以從因特網連線的所有伺服器使用公用 IP 位址。 如果您必須將伺服器放在 NAT 裝置後方，然後使用 IPsec NAT-T 環境，您可以變更 VPN 用戶端電腦和 VPN 伺服器上的登錄值來啟用通訊。

設定 AssumeUDPEncapsulationContextOnSendRule 登錄機碼

若要建立和設定 AssumeUDPEncapsulationContextOnSendRule 登錄 值，請遵循下列步驟：

1. 以 Administrators 群組成員的使用者身分登入 Windows Vista 用戶端電腦。

2. 選 取 [啟動>所有程式>配件>執行]，輸入 regedit，然後選取 [ 確定]。 如果畫面上顯示 [ 用戶帳戶控制 ] 對話框，並提示您提高系統管理員令牌，請選取 [ 繼續]。

3. 找出並選取下列登錄子機碼：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

   注意事項

   您也可以將 AssumeUDPEncapsulationContextOnSendRule DWORD 值套用至 Microsoft Windows XP Service Pack 2 (SP2) 型 VPN 用戶端電腦。 若要這樣做，請找出並選取登錄 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec 子機碼。

4. 在 [ 編輯] 功能表上，指向 [ 新增]，然後選 取 [DWORD (32 位) 值]。

5. 輸入 AssumeUDPEncapsulationContextOnSendRule，然後按 ENTER。

6. 以滑鼠右鍵按兩下 [AssumeUDPEncapsulationContextOnSendRule]，然後選取 [ 修改]。

7. 在 [ 值數據] 方塊中，輸入下列其中一個值：

   • 0

     這是預設值。 當設定為 0 時，Windows 無法與位於 NAT 裝置後方的伺服器建立安全性關聯。

   • 1

     當設定為 1 時，Windows 可以與位於 NAT 裝置後方的伺服器建立安全性關聯。

   • 2

     當 Windows 設定為 2 時，當伺服器和 VPN 用戶端電腦 (Windows Vista 或 Windows Server 2008 型) 都位於 NAT 裝置後方時，Windows 可以建立安全性關聯。

8. 選取 [確定]，然後結束登錄 編輯器。

9. 重新啟動電腦。