DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 885407 - Última revisão: quarta-feira, 11 de Outubro de 2006 - Revisão: 2.5

 

INTRODUÇÃO

Este artigo descreve uma alteração no comportamento predefinido do protocolo Internet IPSec rede endereço (translation) transversal (NAT-T) que foi implementada no Microsoft Windows XP Service Pack 2 (SP2). Pode modificar este comportamento predefinido no Windows XP SP2 utilizando o seguinte valor de registo:
AssumeUDPEncapsulationContextOnSendRule


Não foi efectuada nenhuma alteração na implementação do Microsoft Windows 2000 IPsec NAT-T.

Mais Informação

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows


Por predefinição, computadores que executar o Windows XP com Service Pack 2 e que iniciar comunicações protegidas pelo IPsec (doravante referidas como iniciadores) já não suportam a utilizar o IPsec NAT-T para computadores remotos que respondem a pedidos de comunicação protegido por IPsec (doravante referido como dispositivos de resposta) que estão localizados atrás de uma tradução de endereços de rede. Segue-se evitar potenciais problemas de segurança, como discutido no seguinte artigo da base de dados de conhecimento da Microsoft:
885348  (http://support.microsoft.com/kb/885348/ ) IPSec NAT-T não é recomendado para computadores Windows Server 2003 que estão atrás de conversores de endereços de rede

Por exemplo, se o servidor de rede privada virtual (VPN) com o Microsoft Windows Server 2003 estiver protegido por um conversor de endereços de rede, por predefinição, um cliente VPN baseado no Windows XP SP2 não é possível tornar uma camada de protocolo de túnel IPsec (L2TP/IPsec) ligação o servidor VPN.

Este comportamento predefinido também pode impedir computadores que executem o Windows XP com SP2 efectuem ligações ao ambiente de trabalho remoto que estão protegidas pelo L2TP/IPsec ou pelo modo de transporte IPsec quando o computador de destino estiver localizado atrás de uma tradução de endereços de rede.

Devido à forma como IPsec NAT-T funciona no Windows XP sem service packs instalados e no Windows XP Service Pack 1 (SP1), poderão ocorrer resultados inesperados quando colocar um servidor de tradução de endereços de rede e, em seguida, utiliza o IPsec NAT-T. Por conseguinte, se necessitar de IPsec para comunicação, recomendamos que utilize endereços IP públicos para todos os servidores que pode ligar directamente a partir da Internet.

Nota Independentemente destas alterações, computadores que executem o Windows 2000, Windows XP ou Windows Server 2003 suportam ligações baseada em IPsec NAT-T como um iniciador quando localizado atrás de uma tradução de endereços de rede. Por exemplo, um portátil de cliente de VPN de L2TP/IPsec localizado numa rede privada hotel pode iniciar uma ligação a um servidor VPN que está a utilizar um endereço de Internet público.

NAT, Network Address TRANSLATION é uma tecnologia amplamente utilizada permite que mais do que um computador partilhe um único endereço IP público. Conversores de endereços de rede mapeiam endereços privados (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) que são utilizados em redes privadas para endereços IP públicos que são utilizados na Internet.
Para obter mais informações sobre como colocar servidores atrás de conversores de endereços de rede, sobre como configurar mapeamentos de conversão de endereços de rede para servidores e sobre as consequências para associações de segurança IPsec NAT-T para uma situação específica, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
885348  (http://support.microsoft.com/kb/885348/ ) IPSec NAT-T não é recomendado para computadores Windows Server 2003 que estão atrás de conversores de endereços de rede

Para permitir que um iniciador IPsec NAT-T ligar a um dispositivo de resposta está localizado atrás de um NAT, tem de criar e defina o valor de registo AssumeUDPEncapsulationContextOnSendRule sobre o iniciador.

Nota Antes de configurar este valor de registo, recomendamos que contacte o administrador de rede ou ler a política de segurança da empresa.

Para criar e configurar o valor de registo AssumeUDPEncapsulationContextOnSendRule, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. No menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
  4. Na caixa novo valor # 1 , escreva AssumeUDPEncapsulationContextOnSendRule e, em seguida, prima ENTER.

    importante Este nome de valor é sensível a maiúsculas / minúsculas.
  5. Clique com o botão direito do rato AssumeUDPEncapsulationContextOnSendRule e, em seguida, clique em Modificar .
  6. Na caixa dados do valor , escreva um dos seguintes valores:
    • 0 (predefinição)
      Um valor de 0 (zero) configura o Windows XP SP2 para que não é possível iniciar comunicações protegidas pelo IPsec com dispositivos de resposta que estão localizados atrás de conversores de endereços de rede.
    • 1
      Um valor de 1 configura o Windows XP SP2 para que possa iniciar comunicações protegidas pelo IPsec com dispositivos de resposta que estão localizados atrás de conversores de endereços de rede.
    • 2
      Um valor de 2 configura o Windows XP SP2 para que possa iniciar comunicações protegidas pelo IPsec quando os iniciadores e os dispositivos de resposta atrás de conversores de endereços de rede.

      Nota Este é o comportamento do IPsec NAT-T no Windows XP sem service packs instalados e no Windows XP SP1.
  7. Clique em OK e saia do Editor de registo.
  8. Reinicie o computador.
Depois de configurar AssumeUDPEncapsulationContextOnSendRule com um valor de 1 ou um valor de 2, Windows XP SP2 pode ligar a um dispositivo de resposta que está localizado atrás de um conversor de endereços de rede. Este comportamento se aplica a ligações a um servidor VPN com o Windows Server 2003.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional SP2
Palavras-chave: 
kbmt kbfirewall kbnat kbhowto kbinfo KB885407 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 885407  (http://support.microsoft.com/kb/885407/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft