設定 NAT-T 裝置背後的 L2TP/IPsec 伺服器

本文說明如何在 NAT-T 裝置背後設定 L2TP/IPsec 伺服器。

原始產品版本:   Windows 10-all edition,Windows Server 2012 R2
原始 KB 編號:   926179

摘要

重要

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需如何備份及還原登錄的詳細資訊,請參閱 how to 備份及還原 Windows 中的登錄

根據預設,Windows Vista 及 Windows Server 2008 作業系統不會支援網際網路通訊協定安全性 (IPsec) 網路位址轉譯 (NAT) 遍歷 (NAT-T) 的安全性關聯至位於 NAT 裝置背後的伺服器。 因此,如果虛擬私人網路 (VPN) 伺服器位於 NAT 裝置之後,則 Windows Vista 型 VPN 用戶端電腦或 Windows Server 2008 型 VPN 用戶端電腦無法建立第2層隧道通訊協定 (L2TP) /IPsec 連線至 VPN 伺服器。 此案例包括執行 Windows Server 2008 和 Microsoft Windows Server 2003 的 VPN 伺服器。

由於 NAT 裝置轉譯網路流量的方式,當您將伺服器放在 NAT 裝置背後,然後使用 IPsec NAT-T 環境時,可能會發生意外的結果。 因此,如果您必須有 IPsec 用於通訊,建議您將公用 IP 位址用於所有可從網際網路連線的伺服器。 不過,如果您必須將伺服器放在 NAT 裝置後面,然後使用 IPsec NAT-T 環境,您可以在 VPN 用戶端電腦和 VPN 伺服器上變更登錄值,以啟用通訊。

設定 AssumeUDPEncapsulationCoNtextOnSendRule 登錄機碼

若要建立及設定 AssumeUDPEncapsulationCoNtextOnSendRule 登錄值,請遵循下列步驟:

  1. 以管理員群組成員的使用者身分登入 Windows Vista 用戶端電腦。

  2. 按一下 [ 開始],依序指向 [ 所有程式]、[ 附屬設施] 和 [ 執行],輸入 regedit,然後按一下 [確定]。 如果螢幕上顯示 [ 使用者帳戶控制 ] 對話方塊,並提示您提升系統管理員權杖,請按一下 [ 繼續]。

  3. 找出並按一下下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    注意

    您也可以將 AssumeUDPEncapsulationCoNtextOnSendRule DWORD 值套用至 MICROSOFT Windows XP Service Pack 2 (SP2) 型 VPN 用戶端電腦。 若要這麼做,請找到並按一下登錄子機碼 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec

  4. 在 [ 編輯 ] 功能表上,指向 [ 新增],然後按一下 [ DWORD (32-位) 數值

  5. 輸入 AssumeUDPEncapsulationCoNtextOnSendRule,然後按 enter。

  6. 以滑鼠右鍵按一下 [ AssumeUDPEncapsulationCoNtextOnSendRule],然後按一下 [ 修改]。

  7. 在 [ 數值資料 ] 方塊中,輸入下列其中一個值:

    • 0

      值 0 (零) 會設定 Windows,使其無法與位於 NAT 裝置背後的伺服器建立安全性關聯。 這是預設值。

    • 1

      值為1時,會設定 Windows,使其能夠與位於 NAT 裝置背後的伺服器建立安全性關聯。

    • 2

      值2會設定 Windows,這樣當伺服器與 Windows Vista 或 Windows Server 2008 型 VPN 用戶端電腦都位於 NAT 裝置之後,就可以建立安全性關聯。

  8. 按一下 [確定],然後退出登錄編輯程式。

  9. 將電腦重新開機。