問題描述:
L2TP ***
錯誤789:L2TP連接嘗試失敗,因爲安全層在初始化與遠程計算機的協商時遇到一個處理錯誤.
從Windows XP SP2 開始不再支持與位於網絡地址轉換器後面的服務器的 IPsec NAT-T 安全關聯。(包括XP SP3、Vista、2008、Win7、2008R2等)
XP用戶,請查閱微軟知識庫編號爲818043的文章。
http://support.microsoft.com/kb/818043/
警告:註冊表編輯器或其他方法使用不當可能導致嚴重問題。這些問題可能需要重新安裝操作系統。Microsoft 不能保證您可以解決這些問題。修改註冊表需要您自擔風險。 要改變運行 Windows XP SP2 的計算機的 IPsec NAT-T 行爲,必須創建 AssumeUDPEncapsulationContextOnSendRule 註冊表值。
默認情況下,Windows XP SP2 不再支持與位於網絡地址轉換器後面的服務器的 IPsec NAT-T 安全關聯。因此,如果虛擬專用網絡 (***) 服務器位於網絡地址轉換器的後面,則在默認情況下,基於 Windows XP SP2 的 *** 客戶端無法與 *** 服務器進行 L2TP/IPsec 連接。此方案包括運行 Microsoft Windows Server 2003 的 *** 服務器。
這種默認行爲還可以阻止運行 Windows XP SP2 的計算機在目標計算機位於網絡地址轉換器後面時使用 L2TP/IPsec 進行遠程桌面連接。
由於網絡地址轉換器轉換網絡流量的方式的原因,您在將服務器放在網絡地址轉換器後面並使用 IPsec NAT-T 時,可能會遇到意外的結果。因此,如果需要 IPsec 進行通訊,我們建議您對可以直接從 Internet 連接到的所有服務器使用公共 IP 地址。
要創建並配置 AssumeUDPEncapsulationContextOnSendRule 註冊表值,請按照以下步驟操作:
單擊“開始”,單擊“運行”,鍵入 regedit,然後單擊“確定”。
找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
在“編輯”菜單上,指向“新建”,然後單擊“DWORD 值”。
在“新值 #1”框中,鍵入 AssumeUDPEncapsulationContextOnSendRule,然後按 Enter 鍵。
右鍵單擊“AssumeUDPEncapsulationContextOnSendRule”,然後單擊“修改”。
在“數值數據”框中鍵入下列值之一:
0(默認)
值 0(零)將 Windows 配置爲無法建立與位於網絡地址轉換器後面的服務器的安全關聯。1
值 1 將 Windows 配置爲可以建立與位於網絡地址轉換器後面的服務器的安全關聯。2
值 2 將 Windows 配置爲可以在服務器和基於 Windows XP SP2 的客戶機都位於網絡地址轉換器後面時建立安全關聯。單擊“確定”,然後退出註冊表編輯器。
重新啓動計算機。
Vista、2008、Win7、2008R2用戶,請查閱微軟知識庫編號爲926179的文章。
http://support.microsoft.com/kb/926179
默認情況下,Windows Vista 和 Windows Server 2008 操作系統不支持 Internet 協議安全 (IPsec) 網絡地址轉換 (NAT) 遍歷 (NAT-T) 安全關聯到 NAT 設備後面的服務器。因此,如果虛擬專用網絡 (***) 服務器在NAT 設備的後面時,基於 Windows Vista 的 *** 客戶端計算機或基於 Windows Server 2008 的 *** 客戶端計算機不能進行第二層隧道協議 (L2TP) / IPsec 連接到 *** 服務器。此方案包括運行 Windows Server 2008 和 Microsoft Windows Server 2003 的 *** 服務器
當您把服務器放在 NAT 設備後面,並使用 IPsec NAT-T 環境時,NAT 設備的轉換網絡流量的方式,可能會遇到意外的結果。因此,如果您必須用 IPsec 通信,建議您對所有服務器都使用公用 IP 地址,這樣就可以連接至 Internet。但是,如果您必須把服務器放在 NAT 設備後面,然後使用 IPsec NAT-T 環境,您可以通過更改 *** 客戶機和 *** 服務器上的註冊表值啓用通信。
若要創建和配置AssumeUDPEncapsulationContextOnSendRule
註冊表值,請按照下列步驟操作:
以管理員組的成員的用戶身份登錄到 Windows Vista 客戶端計算機上。
單擊開始
指向所有程序,單擊附件,單擊運行鍵入 註冊表編輯器然後單擊確定。如果用戶帳戶控制對話框中將顯示在屏幕上,並提示您提升管理員令牌,請單擊繼續。
找到並單擊以***冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
注意: 您還可以應用
AssumeUDPEncapsulationContextOnSendRule
雙字節值到 Microsoft Windows XP Service Pack 2 (SP2)-基於 *** 客戶端計算機。若要執行此操作,找到並單擊以***冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
在編輯菜單上,指向新建,然後單擊DWORD (32 位) 值。
鍵入 AssumeUDPEncapsulationContextOnSendRule然後按 enter 鍵。
用鼠標右鍵單擊AssumeUDPEncapsulationContextOnSendRule,然後單擊修改。
在數值數據框中,鍵入下列值之一:
0
值爲 0 (零) 將 Windows 配置爲無法建立與位於 NAT 設備後面的服務器的安全關聯。這是默認值。1
如果值爲 1 將 Windows 配置爲可以建立與位於 NAT 設備後面的服務器的安全關聯。2
值爲 2 將 Windows 配置爲服務器和基於 Windows Vista 的或基於 Windows Server 2008 的 *** 客戶端計算機均位於 NAT 設備後面,它可以建立安全關聯。單擊確定,然後退出註冊表編輯器。
重新啓動計算機。