问题描述:
L2TP ×××
错误789:L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到一个处理错误.
从Windows XP SP2 开始不再支持与位于网络地址转换器后面的服务器的 IPsec NAT-T 安全关联。(包括XP SP3、Vista、2008、Win7、2008R2等)
XP用户,请查阅微软知识库编号为818043的文章。
http://support.microsoft.com/kb/818043/
警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。 要改变运行 Windows XP SP2 的计算机的 IPsec NAT-T 行为,必须创建 AssumeUDPEncapsulationContextOnSendRule 注册表值。
默认情况下,Windows XP SP2 不再支持与位于网络地址转换器后面的服务器的 IPsec NAT-T 安全关联。因此,如果虚拟专用网络 (×××) 服务器位于网络地址转换器的后面,则在默认情况下,基于 Windows XP SP2 的 ××× 客户端无法与 ××× 服务器进行 L2TP/IPsec 连接。此方案包括运行 Microsoft Windows Server 2003 的 ××× 服务器。
这种默认行为还可以阻止运行 Windows XP SP2 的计算机在目标计算机位于网络地址转换器后面时使用 L2TP/IPsec 进行远程桌面连接。
由于网络地址转换器转换网络流量的方式的原因,您在将服务器放在网络地址转换器后面并使用 IPsec NAT-T 时,可能会遇到意外的结果。因此,如果需要 IPsec 进行通讯,我们建议您对可以直接从 Internet 连接到的所有服务器使用公共 IP 地址。
要创建并配置 AssumeUDPEncapsulationContextOnSendRule 注册表值,请按照以下步骤操作:
单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。
在“新值 #1”框中,键入 AssumeUDPEncapsulationContextOnSendRule,然后按 Enter 键。
右键单击“AssumeUDPEncapsulationContextOnSendRule”,然后单击“修改”。
在“数值数据”框中键入下列值之一:
0(默认)
值 0(零)将 Windows 配置为无法建立与位于网络地址转换器后面的服务器的安全关联。1
值 1 将 Windows 配置为可以建立与位于网络地址转换器后面的服务器的安全关联。2
值 2 将 Windows 配置为可以在服务器和基于 Windows XP SP2 的客户机都位于网络地址转换器后面时建立安全关联。单击“确定”,然后退出注册表编辑器。
重新启动计算机。
Vista、2008、Win7、2008R2用户,请查阅微软知识库编号为926179的文章。
http://support.microsoft.com/kb/926179
默认情况下,Windows Vista 和 Windows Server 2008 操作系统不支持 Internet 协议安全 (IPsec) 网络地址转换 (NAT) 遍历 (NAT-T) 安全关联到 NAT 设备后面的服务器。因此,如果虚拟专用网络 (×××) 服务器在NAT 设备的后面时,基于 Windows Vista 的 ××× 客户端计算机或基于 Windows Server 2008 的 ××× 客户端计算机不能进行第二层隧道协议 (L2TP) / IPsec 连接到 ××× 服务器。此方案包括运行 Windows Server 2008 和 Microsoft Windows Server 2003 的 ××× 服务器
当您把服务器放在 NAT 设备后面,并使用 IPsec NAT-T 环境时,NAT 设备的转换网络流量的方式,可能会遇到意外的结果。因此,如果您必须用 IPsec 通信,建议您对所有服务器都使用公用 IP 地址,这样就可以连接至 Internet。但是,如果您必须把服务器放在 NAT 设备后面,然后使用 IPsec NAT-T 环境,您可以通过更改 ××× 客户机和 ××× 服务器上的注册表值启用通信。
若要创建和配置AssumeUDPEncapsulationContextOnSendRule
注册表值,请按照下列步骤操作:
以管理员组的成员的用户身份登录到 Windows Vista 客户端计算机上。
单击开始
指向所有程序,单击附件,单击运行键入 注册表编辑器然后单击确定。如果用户帐户控制对话框中将显示在屏幕上,并提示您提升管理员令牌,请单击继续。
找到并单击以***册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
注意: 您还可以应用
AssumeUDPEncapsulationContextOnSendRule
双字节值到 Microsoft Windows XP Service Pack 2 (SP2)-基于 ××× 客户端计算机。若要执行此操作,找到并单击以***册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
在编辑菜单上,指向新建,然后单击DWORD (32 位) 值。
键入 AssumeUDPEncapsulationContextOnSendRule然后按 enter 键。
用鼠标右键单击AssumeUDPEncapsulationContextOnSendRule,然后单击修改。
在数值数据框中,键入下列值之一:
0
值为 0 (零) 将 Windows 配置为无法建立与位于 NAT 设备后面的服务器的安全关联。这是默认值。1
如果值为 1 将 Windows 配置为可以建立与位于 NAT 设备后面的服务器的安全关联。2
值为 2 将 Windows 配置为服务器和基于 Windows Vista 的或基于 Windows Server 2008 的 ××× 客户端计算机均位于 NAT 设备后面,它可以建立安全关联。单击确定,然后退出注册表编辑器。
重新启动计算机。
转载于:https://blog.51cto.com/aiguo/1564950