DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 885407 - Geändert am: Mittwoch, 11. Oktober 2006 - Version: 2.5

 

EINFÜHRUNG

Dieser Artikel beschreibt eine Änderung im Standardverhalten von Internet Protocol Security (IPsec) Netzwerk Adresse NAT (NETZWERKADRESSÜBERSETZUNG) Traversal (NAT-T), die in Microsoft Windows XP Service Pack 2 (SP2) implementiert wurde. Sie können dieses Standardverhalten in Windows XP SP2 mithilfe von den folgenden Registrierungswert ändern:
AssumeUDPEncapsulationContextOnSendRule


In der Microsoft Windows 2000 IPsec NAT-T-Implementierung wurde keine Änderung.

Weitere Informationen

wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Zum Sichern und Wiederherstellen der Registrierung in Windows


Standardmäßig Computern Windows XP mit Service Pack 2 ausführen und initiieren, die IPsec-gesicherte Kommunikation (im folgenden als Initiatoren bezeichnet) nicht mehr unterstützt IPsec NAT-T mit Remotecomputern, auf die Anforderungen für die IPsec-gesicherte Kommunikation (im folgenden als Responder bezeichnet) reagieren, die sich hinter einem Netzwerkadressübersetzer befinden. Dies ist um potenzielle Sicherheitsprobleme zu vermeiden, wie in der folgenden Microsoft Knowledge Base beschrieben:
885348  (http://support.microsoft.com/kb/885348/ ) IPSec NAT-T wird für Windows Server 2003-Computer nicht empfohlen, die sich hinter Netzwerkadressübersetzern befinden

Wenn Ihr virtuelles privates Netzwerk (VPN)-Server mit Microsoft Windows Server 2003 hinter einem Netzwerkadressübersetzer standardmäßig hat kann nicht Windows XP SP2-basierte VPN-Client z. B. ein Layer Two Tunneling Protocol mit IPsec (L2TP/IPsec)-Verbindung mit dem VPN-Server machen.

Dieses Standardverhalten kann auch Computer verhindern, die unter sind Windows XP mit SP2 hindern Sie Remotedesktopverbindungen durch L2TP/IPsec oder IPSec-Transportmodus von Wenn der Zielcomputer sich hinter einem Netzwerkadressübersetzer befindet geschützt sind.

Wegen der Art, die IPSec-NAT-T in Windows XP ohne installierte Servicepacks und in Windows XP Service Pack 1 (SP1) arbeitet, kann unerwartete Ergebnisse auftreten, wenn Sie ein Servers hinter einem Netzwerkadressübersetzer versetzen und dann IPsec NAT-t verwenden. Wenn Sie IPsec für die Kommunikation benötigen, empfiehlt Microsoft daher, öffentliche IP-Adressen für alle Server zu verwenden, zu dem Sie eine Verbindung direkt aus dem Internet herstellen können.

Hinweis: Unabhängig von diesen Änderungen unterstützen Computer, auf denen Windows 2000, Windows XP oder Windows Server 2003 ausgeführt wird IPsec NAT-T-basierte Verbindungen als Initiator Wenn hinter einem Netzwerkadressübersetzer befinden. Eine L2TP/IPsec VPN Client Laptop, den eine private Hotel Netzwerk befindet kann z. B. eine Verbindung zu einem VPN-Server initiieren, die eine öffentliche Internetadresse verwenden.

NAT ist eine weit verbreitet Technologie, die mehrere Computer gemeinsam nutzen eine einzelne öffentliche IP-Adresse ermöglicht. Netzwerkadressübersetzungen ordnen private Adressen (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16), die auf private Netzwerke an öffentlichen IP-Adressen verwendet werden, die auf das Internet verwendet werden.
Weitere Informationen zu Server hinter Netzwerkadressübersetzungen, darüber, wie Netzwerkadressübersetzung Adresszuordnungen für Server konfigurieren, und die Konsequenzen zu IPSec-NAT-T-Sicherheitszuordnungen für eine bestimmte Situation einfügen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
885348  (http://support.microsoft.com/kb/885348/ ) IPSec NAT-T wird für Windows Server 2003-Computer nicht empfohlen, die sich hinter Netzwerkadressübersetzern befinden

Damit eine IPSec-NAT-T-Initiator Verbindung zu einer Antwort, die sich hinter einem NAT befindet, müssen Sie erstellen und den Registrierungswert AssumeUDPEncapsulationContextOnSendRule auf der Initiator festlegen.

Hinweis: Bevor Sie diesen Registrierungswert konfigurieren, wird empfohlen, dass Sie wenden Sie sich an den Netzwerkadministrator, oder lesen den Sicherheitsrichtlinien des Unternehmens.

Erstellen und konfigurieren Sie den Registrierungswert AssumeUDPEncapsulationContextOnSendRule, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie regedit ein und klicken Sie dann auf OK .
  2. Klicken Sie auf folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. Klicken Sie im Menü Bearbeiten auf neu , und klicken Sie dann auf DWORD-Wert .
  4. Im Feld Neuer Wert # 1 geben AssumeUDPEncapsulationContextOnSendRule , und drücken Sie anschließend die [EINGABETASTE].

    wichtig Dieser Wertname wird zwischen Groß-und Kleinschreibung unterschieden.
  5. Klicken Sie mit der rechten Maustaste auf AssumeUDPEncapsulationContextOnSendRule , und klicken Sie dann auf Ändern .
  6. Geben Sie im Feld Wertdaten einen der folgenden Werte:
    • 0 (Standard)
      Der Wert 0 (null) konfiguriert Windows XP SP2, sodass IPsec gesicherte Kommunikation mit Responder initiieren können, die sich hinter Netzwerkadressübersetzern befinden.
    • 1
      Der Wert 1 konfiguriert Windows XP SP2, sodass IPsec gesicherte Kommunikation mit Responder initiieren können, die sich hinter Netzwerkadressübersetzern befinden.
    • 2
      Der Wert 2 konfiguriert Windows XP SP2, sodass es IPsec gesicherte Kommunikation initiieren kann, wenn sich die Initiatoren und die Responder hinter Netzwerkadressübersetzern befinden.

      Hinweis: Dies ist das Verhalten von IPsec NAT-T in Windows XP ohne installierte Servicepacks und in Windows XP SP1.
  7. Klicken Sie auf OK , und beenden Sie den Registrierungseditor.
  8. Starten Sie den Computer neu.
Nach dem Konfigurieren AssumeUDPEncapsulationContextOnSendRule mit einem Wert von 1 oder der Wert 2 können Windows XP SP2 auf einem Responder verbinden, die hinter einer Netzwerkadressübersetzung befindet. Dieses Verhalten gilt für Verbindungen zu einem VPN-Server, auf denen Windows Server 2003 ausgeführt wird.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional SP2
Keywords: 
kbmt kbfirewall kbnat kbhowto kbinfo KB885407 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 885407  (http://support.microsoft.com/kb/885407/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store