DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 885348 - Geändert am: Montag, 30. Oktober 2006 - Version: 2.2

 

Auf dieser Seite

EINFÜHRUNG

Nicht empfohlen Internet Protocol Security (IPSec) Netzwerk Adresse NAT (NETZWERKADRESSÜBERSETZUNG) Traversal (NAT-T) für Windows-Bereitstellungen, die VPN-Server enthalten und hinter Netzwerkadressübersetzern befinden. Wenn ein Server hinter einem Netzwerkadressübersetzer ist und der Server IPSec NAT-T verwendet, möglicherweise aufgrund der Art und Weise, wie unerwünschte Nebeneffekte auftreten, Netzwerkadressübersetzungen Netzwerkverkehr übersetzen.

Darüber hinaus ist das Standardverhalten von Microsoft Windows XP mit Service Pack 2 (SP2) geändert. IPSec-NAT-T-Sicherheitszuordnungen mit Servern, die sich hinter Netzwerkadressübersetzern befinden, werden für Windows XP SP2-basierte Computer nicht empfohlen. Diese Änderung bedeutet, dass ein Server mit Windows Server 2003-virtual private Network (VPN), die Layer verwendet 2-Tunneling-Protokoll mit IPSec (L2TP/IPSec) hinter einem Netzwerkadressübersetzer ohne zusätzliche Konfiguration für Windows XP SP2-basierte VPN-Clients bereitgestellt werden kann.

Wenn Sie IPSec für die Kommunikation benötigen, empfiehlt Microsoft, öffentliche IP-Adressen für alle Server zu verwenden, zu dem Sie eine Verbindung direkt aus dem Internet herstellen können. Windows-basierte Clientcomputer, die IPSec-NAT-T unterstützen können hinter einem Netzwerkadressübersetzer befinden.

Weitere Informationen

NAT ist eine weit verbreitete Technologie, die mehrere Computer gemeinsam nutzen eine einzelne öffentliche IP-Adresse ermöglicht. Netzwerkadressübersetzungen ordnen private Adressen, die auf die folgenden privaten Netzwerke öffentlicher IP-Adressen verwendet werden, die auf das Internet verwendet werden:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Wenn Sie einen Server hinter einem Netzwerkadressübersetzer einfügen, können Verbindungsprobleme auftreten, da Clients, die über das Internet eine Verbindung zum Server herstellen eine öffentliche IP-Adresse erforderlich. Um Server zu erreichen, die sich hinter Netzwerkadressübersetzern aus dem Internet befinden, müssen statische Zuordnungen auf Network Address Translator konfiguriert werden. Z. B. eine Windows 2003-Computer erreichen, die hinter einem Netzwerkadressübersetzer aus dem Internet, konfigurieren Sie Network Address Translator mit der folgenden statischen Netzwerk Übersetzer Adresszuordnungen fest:
  • Öffentliche IP-Adresse-UDP Port 500 des Servers privaten IP-Adresse-UDP-Port 500.
  • Öffentliche IP-Adresse/UDP-Port 4500 des Servers privaten IP-Adresse-UDP-Port 4500.
Diese Zuordnungen sind erforderlich, damit jeder Internetschlüsselaustausch (IKE) und IPSec-NAT-T-Datenverkehr, die an die öffentliche Adresse Network Address Translator gesendet wird automatisch übersetzt und an die Windows 2003-Computer weitergeleitet.

Wenn Sie einen Windows Server 2003-basierten VPN-Server haben, empfehlen wir jedoch, dass Sie eine öffentliche IP-Adresse der VPN-Server zuweisen. Indem Sie den VPN-Server eine öffentliche IP-Adresse zuweisen, können Sie Situationen vermeiden, bei denen IP-Datenverkehr entweder verloren gegangen oder versehentlich aufgrund eines typischen Netzwerks Adresse Übersetzer Verhalten an den falschen Speicherort weitergeleitet.

Windows XP SP2 unterstützt nicht das Einrichten von IPSec-NAT-T-Sicherheitszuordnungen mit Servern hinter NAT-Geräten

Wir haben das Standardverhalten von IPSec-NAT-T in Windows XP Service Pack 2 (SP2) geändert. Eine IPSec-NAT-T-Sicherheitszuordnung zu einem Server, die sich hinter einem Gerät oder einer Komponente, die Netzwerkadressübersetzung führt befindet, werden von Windows XP SP2 nicht unterstützt. Diese Änderung um eine wahrgenommene Sicherheitsrisiko in der folgenden Situation zu vermeiden:
  1. IKE- und IPSec-NAT-T-Verkehr einem Server in einem NAT-konfigurierten Netzwerk zuordnen ist ein Network Address Translator konfiguriert. (Dieser Server ist Server 1.) Netzwerk-Konvertierungsprogramm Adresszuordnungen sind diejenigen, die in diesem Artikel wird empfohlen.
  2. Ein Client von außerhalb des NAT-konfigurierten Netzwerks verwendet IPSec NAT-T zum Einrichten bidirektionaler Sicherheitszuordnungen mit Server 1. (Dieser Client ist Client 1).
  3. Ein Client auf dem NAT-konfigurierten Netzwerk verwendet IPSec NAT-T zum Einrichten bidirektionaler Sicherheitszuordnungen mit Client 1. (Dieser Client ist Client 2.)
  4. Eine Bedingung tritt auf, die bewirkt, Client 1 dass um die Sicherheitszuordnungen mit Client 2 aufgrund der statischen Netzwerk-Konvertierungsprogramm Adresszuordnungen wiederherzustellen, die IKE- und IPSec-NAT-T-Verkehr Server 1 zuordnen. Diese Bedingung möglicherweise IPSec-Sicherheitszuordnung Aushandlung Datenverkehr von Client 1 gesendet wird und für Client 2 an Server 1 fehlerhaft weitergeleitet wurden werden bestimmt ist.
Obwohl dies eine seltene Situation ist, verhindert das Standardverhalten auf Windows XP SP2-Computern alle-IPSec-NAT-T-basierten Sicherheitszuordnungen mit Servern, die sich hinter einem Netzwerkadressübersetzer um sicherzustellen, dass diese Situation niemals tritt befinden.

Das Standardverhalten von Windows XP SP2 kann geändert werden, damit IPSec NAT-T-Sicherheitszuordnungen mit Servern, die sich hinter einem Netzwerkadressübersetzer befinden. Wird nicht empfohlen, dass das Standardverhalten zu ändern.

Weitere Informationen

Weitere Informationen zu Windows XP SP2 und IPSec-NAT-T-basierten Sicherheitszuordnungen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
885407  (http://support.microsoft.com/kb/885407/ ) In Windows XP Service Pack 2 ist das Standardverhalten von IPSec NAT-Traversierung (NAT-T) geändert.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Keywords: 
kbmt kbhowto kbinfo KB885348 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 885348  (http://support.microsoft.com/kb/885348/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: