本文說明如何在 NAT-T 裝置後方設定 L2TP/IPsec 伺服器。
原始 KB 編號: 926179
摘要
重要
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需備份和還原登錄的詳細資訊,請參閱如何在 Windows 中備份及還原登錄。
根據預設,Windows Vista 和 Windows Server 2008 不支援因特網通訊協定安全性 (IPsec) 網路地址轉換 (NAT) 周遊 (NAT-T) 安全性關聯到位於 NAT 裝置後方的伺服器。 如果虛擬專用網 (VPN) 伺服器位於 NAT 裝置後方,則 Windows Vista 或 Windows Server 2008 型 VPN 用戶端電腦無法對 VPN 伺服器建立第 2 層通道通訊協定 (L2TP)/IPsec 連線。 此案例包括執行 Windows Server 2008 和 Windows Server 2003 的 VPN 伺服器。
由於 NAT 裝置轉譯網路流量的方式,您可能會在下列案例中遇到非預期的結果:
- 您會將伺服器放在 NAT 裝置後面。
- 您使用 IPsec NAT-T 環境。
如果您必須使用 IPsec 進行通訊,請針對您可以從因特網連線到的所有伺服器使用公用 IP 位址。 如果您必須將伺服器放在 NAT 裝置後面,然後使用 IPsec NAT-T 環境,您可以變更 VPN 用戶端電腦和 VPN 伺服器上的登入值來啟用通訊。
設定 AssumeUDPEncapsulationContextOnSendRule 登錄機碼
若要建立及設定 AssumeUDPEncapsulationContextOnSendRule 登錄值,請遵循下列步驟:
以系統管理員群組成員身分的使用者身分登入 Windows Vista 用戶端電腦。
選取 [啟動>所有程式>配件>執行],輸入 regedit,然後選取 [確定]。 如果畫面上顯示 [ 用戶帳戶控制 ] 對話框,並提示您提高系統管理員令牌的許可權,請選取 [ 繼續]。
找出並選取下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent注意
您也可以將 AssumeUDPEncapsulationContextOnSendRule DWORD 值套用至Microsoft Windows XP Service Pack 2 (SP2)型 VPN 用戶端計算機。 若要這樣做,請找出並選取登錄
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec子機碼。在 [ 編輯 ] 功能表上,指向 [ 新增],然後選取 [DWORD ][32 位] [值]。
輸入 AssumeUDPEncapsulationContextOnSendRule,然後按 ENTER。
以滑鼠右鍵按兩下 [AssumeUDPEncapsulationContextOnSendRule],然後選取 [ 修改]。
在 [ 值數據] 方塊中,輸入下列其中一個值:
0
這是預設值。 當它設定為 0 時,Windows 無法與位於 NAT 裝置後方的伺服器建立安全性關聯。
1
當它設定為 1 時,Windows 可以建立與位於 NAT 裝置後方之伺服器的安全性關聯。
2
當它設定為 2 時,當伺服器和 VPN 用戶端電腦(Windows Vista 或 Windows Server 2008 型)都位於 NAT 裝置後方時,Windows 可以建立安全性關聯。
選取 [ 確定],然後結束 [註冊表編輯器]。
重新啟動電腦。