DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 885348 - Dernière mise à jour: lundi 30 octobre 2006 - Version: 2.2

 

Sommaire

INTRODUCTION

Nous vous déconseillons Internet Protocol (IPSec) security réseau adresse (translation) traversal (NAT-T) pour les déploiements Windows qui incluent des serveurs VPN et qui se trouvent derrière des traducteurs d'adresses réseau. Lorsqu'un serveur se trouve derrière un traducteur d'adresses réseau et le serveur utilise IPSec NAT-T, sans le vouloir effets secondaires peuvent se produire en raison de la manière que traducteurs d'adresses réseau traduisent le trafic réseau.

En outre, le comportement par défaut de Microsoft Windows XP a été modifié avec le Service Pack 2 (SP2). Associations de sécurité IPSec NAT-T sur des serveurs qui sont situent derrière des traducteurs d'adresses réseau ne sont pas recommandées d'ordinateurs Windows XP SP2. Cette modification signifie qu'un serveur de réseau privé virtuel (VPN) Microsoft Windows Server 2003 qui utilise Layer Two Tunneling Protocol avec IPSec L2tp/IPsec ne peut pas être déployé derrière un traducteur d'adresses réseau sans configuration supplémentaire pour les clients VPN Windows XP SP2.

Si vous avez besoin d'IPSec pour la communication, il vaut mieux qu'utiliser est des adresses IP publiques pour tous les serveurs que vous pouvez connecter directement à partir d'Internet. Ordinateurs clients Windows qui prend en charge IPSec NAT-T peuvent se trouver derrière un traducteur d'adresses réseau.

Plus d'informations

NAT est une technologie largement utilisée qui permet à plus d'un ordinateur de partager une seule adresse IP publique. Traducteurs d'adresses réseau mapper adresses privées qui sont utilisés sur les réseaux privés suivantes à des adresses IP publiques sont utilisés sur Internet :
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Si vous placez un serveur derrière un traducteur d'adresses réseau, vous pouvez rencontrer des problèmes de connexion car clients qui se connecter au serveur via Internet requièrent une adresse IP publique. Pour atteindre les serveurs qui se situent derrière des traducteurs d'adresses réseau à partir d'Internet, les mappages statiques doivent être configurés sur le traducteur d'adresses réseau. Par exemple, d'atteindre un ordinateur Windows Server 2003 qui se trouve derrière un traducteur d'adresses réseau à partir d'Internet, configurer le traducteur d'adresses réseau avec les mappages de convertisseur adresse réseau statique suivantes :
  • Public IP adresse/UDP port 500 privé IP adresse/UDP port du serveur 500.
  • Public IP adresse/UDP port 4500 privé IP adresse/UDP port du serveur 4500.
Ces mappages sont requis afin que le trafic tout IKE (Internet Key Exchange) et IPSec NAT-T qui est envoyé à l'adresse publique du traducteur d'adresses réseau est traduit automatiquement et transféré vers l'ordinateur Windows Server 2003.

En revanche, si vous avez un serveur VPN Windows Server 2003, il est recommandé d'affecter une adresse IP publique au serveur VPN. En affectant une adresse IP publique au serveur VPN, vous pouvez éviter le trafic IP est soit perdu ou accidentellement transféré à l'emplacement approprié en raison de comportement de traducteur d'adresses réseau classique.

Service Pack 2 Windows XP ne prend en charge établissement d'associations de sécurité IPSec NAT-T aux serveurs derrière des périphériques NAT

Nous avons modifié le comportement par défaut de IPSec NAT-T dans Windows XP Service Pack 2 (SP2). Service Pack 2 Windows XP ne prend pas en charge une association de sécurité IPSec NAT-T à un serveur qui se trouve derrière un périphérique ou un composant qui effectue la traduction d'adresses réseau. Cette modification a été apportée afin d'éviter un risque de sécurité identifié dans la situation suivante :
  1. Un traducteur d'adresses réseau est configuré pour mapper le trafic IKE et IPSec NAT-T à un serveur sur un réseau NAT-configuré. (Ce serveur est Server 1.) Les mappages de traducteur d'adresses réseau sont ceux que nous recommandons de cet article.
  2. Un client d'extérieurs au réseau NAT-configuré utilise IPSec NAT-T pour établir des associations de sécurité bidirectionnelle avec Server 1. (Ce client est client 1).
  3. Un client sur le réseau NAT-configuré utilise IPSec NAT-T pour établir des associations de sécurité bidirectionnelle avec le client 1. (Ce client est client 2).
  4. Une condition se produit qui provoque 1 client pour rétablir les associations de sécurité avec le client 2 raison des mappages de traducteur d'adresses réseau statique qui correspondent le trafic IKE et IPSec NAT-T à Server 1. Cette condition peut provoquer le IPSec sécurité association négociation trafic qui est envoyé par le client 1 et destiné au client 2 être misrouted vers Server 1.
Bien que cela soit un cas rare, le comportement par défaut sur les ordinateurs Windows XP SP2 empêche les associations de sécurité IPSec NAT-T-basée sur des serveurs qui sont situent derrière un traducteur d'adresses réseau pour vous assurer que cette situation survient jamais.

Le comportement par défaut de Windows XP SP2 peut être modifié pour activer les associations de sécurité IPSec NAT-T sur des serveurs qui sont situent derrière un traducteur d'adresses réseau. Nous vous déconseillons de que vous modifier le comportement par défaut.

Plus d'informations

Pour plus d'informations Windows XP SP2 et les associations de sécurité IPSec NAT-T-basé, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances :
885407  (http://support.microsoft.com/kb/885407/ ) Le comportement par défaut de IPSec NAT traversal (NAT-T) est modifié dans Windows XP Service Pack 2

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Mots-clés : 
kbmt kbhowto kbinfo KB885348 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 885348  (http://support.microsoft.com/kb/885348/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store