Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie einen L2TP/IPsec-Server hinter einem NAT-T-Gerät konfigurieren.
Ursprüngliche KB-Nummer: 926179
Übersicht
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.
Standardmäßig unterstützen Windows Vista und Windows Server 2008 keine IPsec-Sicherheitszuordnungen (Internet Protocol Security, IPsec)-Netzwerkadressübersetzung (NAT-T) für Server, die sich hinter einem NAT-Gerät befinden. Wenn sich der VPN-Server (Virtual Private Network) hinter einem NAT-Gerät befindet, kann ein Windows Vista- oder Windows Server 2008-basierter VPN-Clientcomputer keine Layer 2 Tunneling Protocol (L2TP)/IPsec-Verbindung mit dem VPN-Server herstellen. Dieses Szenario umfasst VPN-Server, auf denen Windows Server 2008 und Windows Server 2003 ausgeführt werden.
Aufgrund der Art und Weise, in der NAT-Geräte Netzwerkdatenverkehr übersetzen, können unerwartete Ergebnisse im folgenden Szenario auftreten:
- Sie platzieren einen Server hinter einem NAT-Gerät.
- Sie verwenden eine IPsec NAT-T-Umgebung.
Wenn Sie IPsec für die Kommunikation verwenden müssen, verwenden Sie öffentliche IP-Adressen für alle Server, mit denen Sie über das Internet eine Verbindung herstellen können. Wenn Sie einen Server hinter einem NAT-Gerät platzieren und dann eine IPsec NAT-T-Umgebung verwenden müssen, können Sie die Kommunikation aktivieren, indem Sie einen Registrierungswert auf dem VPN-Clientcomputer und dem VPN-Server ändern.
Festlegen des Registrierungsschlüssels "AssumeUDPEncapsulationContextOnSendRule"
Führen Sie die folgenden Schritte aus, um den Registrierungswert "AssumeUDPEncapsulationContextOnSendRule " zu erstellen und zu konfigurieren:
Melden Sie sich beim Windows Vista-Clientcomputer als Benutzer an, der Mitglied der Gruppe "Administratoren" ist.
Wählen Sie ">Alle Programme>ausführen>" aus, geben Sie "regedit" ein, und wählen Sie dann "OK" aus. Wenn das Dialogfeld "Benutzerkontensteuerung" auf dem Bildschirm angezeigt wird und Sie aufgefordert werden, Ihr Administratortoken zu erhöhen, wählen Sie "Weiter" aus.
Klicken Sie auf den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgentNotiz
Sie können den AssumeUDPEncapsulationContextOnSendRule DWORD-Wert auch auf einen Microsoft Windows XP Service Pack 2 (SP2)-basierten VPN-Clientcomputer anwenden. Suchen Sie dazu den
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSecRegistrierungsunterschlüssel, und wählen Sie ihn aus.Zeigen Sie im Menü "Bearbeiten " auf "Neu", und wählen Sie dann den DWORD-Wert (32-Bit) aus.
Geben Sie "AssumeUDPEncapsulationContextOnSendRule" ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf "AssumeUDPEncapsulationContextOnSendRule", und wählen Sie dann "Ändern" aus.
Geben Sie im Feld "Wertdaten " einen der folgenden Werte ein:
0
Dies ist der Standardwert. Wenn sie auf 0 festgelegt ist, kann Windows keine Sicherheitszuordnungen mit Servern einrichten, die sich hinter NAT-Geräten befinden.
1
Wenn sie auf 1 festgelegt ist, kann Windows Sicherheitszuordnungen mit Servern einrichten, die sich hinter NAT-Geräten befinden.
2
Wenn sie auf 2 festgelegt ist, kann Windows Sicherheitszuordnungen einrichten, wenn sich sowohl der Server- als auch der VPN-Clientcomputer (Windows Vista oder Windows Server 2008-basiert) hinter NAT-Geräten befinden.
Wählen Sie "OK" aus, und beenden Sie dann den Registrierungs-Editor.
Starten Sie den Computer neu.