Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como configurar um servidor L2TP/IPsec por trás de um dispositivo NAT-T.
Número original do KB: 926179
Resumo
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.
Por padrão, o Windows Vista e o Windows Server 2008 não oferecem suporte a associações de segurança IPsec (Internet Protocol Security) NAT (Network Address Translation) NAT-T para servidores localizados atrás de um dispositivo NAT. Se o servidor VPN (rede virtual privada) estiver atrás de um dispositivo NAT, um computador cliente VPN baseado no Windows Vista ou no Windows Server 2008 não poderá fazer uma conexão L2TP/IPsec de Camada 2 com o servidor VPN. Esse cenário inclui servidores VPN que executam o Windows Server 2008 e o Windows Server 2003.
Devido à maneira como os dispositivos NAT convertem o tráfego de rede, você pode experimentar resultados inesperados no seguinte cenário:
- Você coloca um servidor atrás de um dispositivo NAT.
- Você usa um ambiente IPsec NAT-T.
Se você precisar usar o IPsec para comunicação, use endereços IP públicos para todos os servidores aos quais você pode se conectar a partir da Internet. Se você precisar colocar um servidor atrás de um dispositivo NAT e, em seguida, usar um ambiente IPsec NAT-T, poderá habilitar a comunicação alterando um valor do Registro no computador cliente VPN e no servidor VPN.
Definir a chave do Registro AssumeUDPEncapsulationContextOnSendRule
Para criar e configurar o valor do Registro AssumeUDPEncapsulationContextOnSendRule , siga estas etapas:
Faça logon no computador cliente do Windows Vista como um usuário que seja membro do grupo Administradores.
Selecione Iniciar>todos os programas>Execução de acessórios> Se a caixa de diálogo Controle de Conta de Usuário for exibida na tela e solicitar que você eleve o token de administrador, selecione Continuar.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Observação
Você também pode aplicar o valor DWORD AssumeUDPEncapsulationContextOnSendRule a um computador cliente VPN baseado no Microsoft Windows XP Service Pack 2 (SP2). Para fazer isso, localize e selecione a subchave do
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Registro.No menu Editar, aponte para Novo e selecione Valor DWORD (32 bits).
Digite AssumeUDPEncapsulationContextOnSendRules e pressione ENTER.
Clique com o botão direito do mouse em AssumeUDPEncapsulationContextOnSendRules e selecione Modificar.
Na caixa Dados do valor, digite um dos seguintes valores:
0
É o valor padrão. Quando definido como 0, o Windows não pode estabelecer associações de segurança com servidores localizados atrás de dispositivos NAT.
1
Quando definido como 1, o Windows pode estabelecer associações de segurança com servidores localizados atrás de dispositivos NAT.
2
Quando definido como 2, o Windows pode estabelecer associações de segurança quando o servidor e o computador cliente VPN (baseado no Windows Vista ou Windows Server 2008) estão atrás de dispositivos NAT.
Selecione OK e saia do Editor do Registro.
Reinicie o computador.