DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 885348 - Última revisão: segunda-feira, 30 de outubro de 2006 - Revisão: 2.2

 

Nesta página

INTRODUÇÃO

Não recomendamos endereço NAT (conversão) passagem de protocolo IPSec (segurança) rede (NAT-T) para implantações do Windows que incluem servidores VPN e que estão localizados atrás de conversores de endereço de rede. Quando um servidor estiver atrás de um conversor de endereços de rede e o servidor usa IPSec NAT-T, efeitos colaterais indesejados podem ocorrer devido à forma como conversores de endereço de rede convertem o tráfego de rede.

Além disso, o comportamento padrão do Microsoft Windows XP foi alterado com o Service Pack 2 (SP2). Associações de segurança IPSec NAT-T com servidores localizados atrás de conversores de endereço de rede não são recomendadas para computadores baseados no Windows XP SP2. Essa alteração significa que um servidor baseado no Microsoft Windows Server 2003 rede virtual privada (VPN) que usa o Layer Two Tunneling Protocol com IPSec (L2TP/IPSec) não pode ser implantado atrás de um conversor endereço de rede sem configuração adicional para clientes VPN baseados no Windows XP SP2.

Se você exigir IPSec para comunicação, recomendamos que você use endereços IP públicos para todos os servidores que podem se conectar ao diretamente da Internet. Computadores cliente baseado no Windows que oferecem suporte a IPSec NAT-T podem ser localizados atrás de um conversor de endereços de rede.

Mais Informações

NAT é uma tecnologia amplamente usada que permite que mais de um computador compartilhar um único endereço IP público. Conversores de endereço de rede mapeiam endereços particulares são usados nas seguintes redes privadas aos endereços IP públicos que são usados na Internet:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Se você colocar um servidor atrás de um conversor de endereços de rede, talvez haja problemas de conexão porque clientes que se conectam ao servidor pela Internet exigem um endereço IP público. Para acessar servidores localizados atrás de conversores de endereço de rede da Internet, mapeamentos estáticos devem ser configurados no conversor de endereço de rede. Por exemplo, para acessar um computador com Windows Server 2003 que está atrás de um conversor de endereço de rede da Internet, configure o conversor de endereço de rede com os mapeamentos de conversor de endereço de rede estática seguinte:
  • Pública IP endereço/porta UDP 500 para particular IP endereço/UDP porta o servidor 500.
  • Pública IP endereço/porta UDP 4500 para particular IP endereço/UDP porta o servidor 4500.
Esses mapeamentos são necessários para que o tráfego IKE (Internet Key Exchange) e IPSec NAT-T todos os que é enviado ao endereço do conversor de endereço de rede público é automaticamente convertido e encaminhado para o computador baseado no Windows Server 2003.

No entanto, se você tiver um servidor VPN com base em Windows Server 2003, recomendamos que você atribuir um endereço IP público para o servidor VPN. Ao atribuir um endereço IP público para o servidor VPN, você pode evitar situações onde as tráfego IP é perdido ou acidentalmente encaminhado para o local incorreto devido o comportamento do conversor de endereço de rede típica.

Windows XP SP2 não suporta o estabelecimento de associações de segurança IPSec NAT-T com servidores por trás de dispositivos NAT

Alteramos o comportamento padrão do IPSec NAT-T no Windows XP Service Pack 2 (SP2). Windows XP SP2 não oferece suporte a uma associação de segurança IPSec NAT-T para um servidor que esteja localizado atrás de um dispositivo ou componente que executa a conversão de endereços de rede. Essa alteração foi feita para evitar um risco de segurança percebido na seguinte situação:
  1. Um conversor de endereços de rede está configurado para mapear o tráfego IKE e IPSec NAT-T para um servidor em uma rede configurada para NAT. (Este servidor é Server 1.) Os mapeamentos de conversor de endereço de rede são aqueles que recomendamos neste artigo.
  2. Um cliente de fora da rede configurada para NAT usa IPSec NAT-T para estabelecer associações de segurança bidirecionais com o Server 1. (Este cliente é cliente 1).
  3. Um cliente na rede configurada para NAT usa IPSec NAT-T para estabelecer associações de segurança bidirecionais com o cliente 1. (Este cliente é cliente 2).
  4. Ocorre uma condição que faz com que cliente 1 restabelecer as associações de segurança com o cliente 2 devido os rede estática mapeamentos de endereço conversor que mapeiam o tráfego IKE e IPSec NAT-T para o Server 1. Essa condição pode causar tráfego de negociação de IPSec segurança associação que é enviado pelo cliente 1 e que destinado ao cliente 2 ser misrouted ao servidor 1.
Embora essa seja uma situação incomum, o comportamento padrão em computadores com Windows XP SP2 impede quaisquer associações de segurança com base em IPSec NAT-T com servidores localizados atrás de um conversor de endereço de rede para garantir que essa situação ocorre nunca.

O comportamento padrão do Windows XP SP2 pode ser alterado para habilitar associações de segurança IPSec NAT-T com servidores localizados atrás de um conversor de endereços de rede. Não é recomendável que você alterar o comportamento padrão.

Mais Informações

Para obter mais informações sobre associações de segurança com base em IPSec NAT-T e Windows XP SP2, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
885407  (http://support.microsoft.com/kb/885407/ ) O comportamento padrão do IPSec NAT traversal (NAT-T) é alterado no Windows XP Service Pack 2

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palavras-chave: 
kbmt kbhowto kbinfo KB885348 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 885348  (http://support.microsoft.com/kb/885348/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store