L2TP ××× 连接错误789

问题描述:

L2TP ××× 

错误789:L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到一个处理错误.

从Windows XP SP2 开始不再支持与位于网络地址转换器后面的服务器的 IPsec NAT-T 安全关联。（包括XP SP3、Vista、2008、Win7、2008R2等） 

XP用户，请查阅微软知识库编号为818043的文章。

http://support.microsoft.com/kb/818043/ 

警告：注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。 要改变运行 Windows XP SP2 的计算机的 IPsec NAT-T 行为，必须创建 AssumeUDPEncapsulationContextOnSendRule 注册表值。

默认情况下，Windows XP SP2 不再支持与位于网络地址转换器后面的服务器的 IPsec NAT-T 安全关联。因此，如果虚拟专用网络 (×××) 服务器位于网络地址转换器的后面，则在默认情况下，基于 Windows XP SP2 的 ××× 客户端无法与 ××× 服务器进行 L2TP/IPsec 连接。此方案包括运行 Microsoft Windows Server 2003 的 ××× 服务器。

这种默认行为还可以阻止运行 Windows XP SP2 的计算机在目标计算机位于网络地址转换器后面时使用 L2TP/IPsec 进行远程桌面连接。

由于网络地址转换器转换网络流量的方式的原因，您在将服务器放在网络地址转换器后面并使用 IPsec NAT-T 时，可能会遇到意外的结果。因此，如果需要 IPsec 进行通讯，我们建议您对可以直接从 Internet 连接到的所有服务器使用公共 IP 地址。

要创建并配置 AssumeUDPEncapsulationContextOnSendRule 注册表值，请按照以下步骤操作：

1. 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。

2. 找到并单击下面的注册表子项：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec

3. 在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。

4. 在“新值 #1”框中，键入 AssumeUDPEncapsulationContextOnSendRule，然后按 Enter 键。

5. 右键单击“AssumeUDPEncapsulationContextOnSendRule”，然后单击“修改”。

6. 在“数值数据”框中键入下列值之一：

• 0（默认）
  值 0（零）将 Windows 配置为无法建立与位于网络地址转换器后面的服务器的安全关联。

• 1
  值 1 将 Windows 配置为可以建立与位于网络地址转换器后面的服务器的安全关联。

• 2
  值 2 将 Windows 配置为可以在服务器和基于 Windows XP SP2 的客户机都位于网络地址转换器后面时建立安全关联。

单击“确定”，然后退出注册表编辑器。

重新启动计算机。

Vista、2008、Win7、2008R2用户，请查阅微软知识库编号为926179的文章。

http://support.microsoft.com/kb/926179

默认情况下，Windows Vista 和 Windows Server 2008 操作系统不支持 Internet 协议安全 (IPsec) 网络地址转换 (NAT) 遍历 (NAT-T) 安全关联到 NAT 设备后面的服务器。因此，如果虚拟专用网络 (×××) 服务器在NAT 设备的后面时，基于 Windows Vista 的 ××× 客户端计算机或基于 Windows Server 2008 的 ××× 客户端计算机不能进行第二层隧道协议 (L2TP) / IPsec 连接到 ××× 服务器。此方案包括运行 Windows Server 2008 和 Microsoft Windows Server 2003 的 ××× 服务器 

当您把服务器放在 NAT 设备后面，并使用 IPsec NAT-T 环境时，NAT 设备的转换网络流量的方式，可能会遇到意外的结果。因此，如果您必须用 IPsec 通信，建议您对所有服务器都使用公用 IP 地址，这样就可以连接至 Internet。但是，如果您必须把服务器放在 NAT 设备后面，然后使用 IPsec NAT-T 环境，您可以通过更改 ××× 客户机和 ××× 服务器上的注册表值启用通信。 

若要创建和配置

AssumeUDPEncapsulationContextOnSendRule

注册表值，请按照下列步骤操作：

1. 以管理员组的成员的用户身份登录到 Windows Vista 客户端计算机上。

2. 单击开始

   指向所有程序，单击附件，单击运行键入 注册表编辑器然后单击确定。如果用户帐户控制对话框中将显示在屏幕上，并提示您提升管理员令牌，请单击继续。

3. 找到并单击以***册表子项：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

   注意: 您还可以应用

   AssumeUDPEncapsulationContextOnSendRule

   双字节值到 Microsoft Windows XP Service Pack 2 (SP2)-基于 ××× 客户端计算机。若要执行此操作，找到并单击以***册表子项：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec

4. 在编辑菜单上，指向新建，然后单击DWORD (32 位) 值。

5. 键入 AssumeUDPEncapsulationContextOnSendRule然后按 enter 键。

6. 用鼠标右键单击AssumeUDPEncapsulationContextOnSendRule，然后单击修改。

7. 在数值数据框中，键入下列值之一：

• 0
  值为 0 （零） 将 Windows 配置为无法建立与位于 NAT 设备后面的服务器的安全关联。这是默认值。

• 1
  如果值为 1 将 Windows 配置为可以建立与位于 NAT 设备后面的服务器的安全关联。

• 2
  值为 2 将 Windows 配置为服务器和基于 Windows Vista 的或基于 Windows Server 2008 的 ××× 客户端计算机均位于 NAT 设备后面，它可以建立安全关联。

单击确定，然后退出注册表编辑器。

重新启动计算机。