ВВЕДЕНИЕ
Корпорация Майкрософт выпустила рекомендации майкрософт по безопасности по этой проблеме для ИТ-специалистов. Рекомендации по безопасности содержат дополнительную информацию, связанную с обеспечением безопасности. Чтобы просмотреть рекомендации по безопасности, перейдите на следующий веб-сайт Корпорации Майкрософт:
http://technet.microsoft.com/security/advisory/2862152
Решение
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.
Дополнительная информация
1. Цель этого обновления для системы безопасности
Обновление системы безопасности только подтверждает проверку удостоверений удаленных серверов IPsec при удаленном под соединении с клиентом IPsec. Установка этого обновления может быть трехшаговая. Процесс описан в этом разделе и подробно описан в этой статье.
Чтобы установить это обновление, выполните следующие действия:
-
Установите обновление на клиентской системе, улучшая проверку удаленного сервера. Обновление будет отключено после установки, пока администратор не выполнит шаг 2 и не включит обновление вручную. (Это описано в разделе 4.1.) Если имеется конфигурация «клиент-шлюз», обновление должно быть установлено на клиентский компьютер. Если имеется конфигурация «сайт-сайт», установку должны получить оба сервера удаленных сообщений.
-
Обновив сертификат на сервере, удостоверение которого нужно проверить в соответствии с новыми правилами проверки. (Это описано в разделе «Инструкции по развертыванию».)
-
Обновив реестр на компьютерах проверки, включив в него новые правила проверки. Как только эти правила зарегистрируются в реестре, обновление автоматически начнет применять новые правила при создании туннель с удаленной стороной.
Обратите внимание, что это обновление применимо только к подключениям в режиме туннела. Это не влияет на подключения в режиме транспорта.
2. Кто должен установить это обновление для системы безопасности?
Администраторам предприятий с такой конфигурацией следует обновить удаленный клиент и серверы для повышения безопасности.
-
DirectAccess с сертификатом AuthIP В такой конфигурации обновление необходимо установить на клиентских компьютерах под управлением
Windows 7. Сервер, сертификат которого необходимо обновить в конфигурации, может работать на Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2.Это обновление не будет действовать, если оно установлено в Windows 8 на основе сертификата.
-
DirectAccess с проверкой подлинности KerbProxy AuthIP в этой конфигурации обновление необходимо установить на клиентских компьютерах Windows 8 или
Windows 8.1. Для сервера не требуется никаких изменений. -
IPsec с проверкой подлинности на основе сертификата — это
наиболее универсальная конфигурация. Ее можно настроить как клиент-шлюз или как сайт-сайт.
|
Сценарий |
Протокол |
Способ проверки подлинности |
Тип установки |
Платформы для исправления |
|---|---|---|---|---|
|
IPSec |
IKEv1 |
На основе сертификата |
Сайт-сайт (например, RRAS) |
Win 2003, Windows Server 2008 и Windows Server 2008 R2 |
|
«Клиент-сервер» |
Windows XP, Windows Vista, Windows 7 |
|||
|
Компонент DirectAccess |
AuthIP |
На основе сертификата |
«Клиент-сервер» (например, DirectAccess) |
Windows 7 |
|
KerbProxy |
«Клиент-сервер» (например, DirectAccess) |
Windows 8, Windows 8.1 |
Важное примечание. Для проверки подлинности на основе сертификата (IPsec или DirectAccess):
-
Сайт на сайте. Windows Server 2012 и Windows Server 2012 R2 не нужно будет исправление, так как в этом поле достаточно проверки сертификатов.
-
От клиента к шлюзу: Windows 8 и Windows 8.1 не нужно будет исправление, так как в этом поле достаточно проверок сертификатов.
Дополнительные сведения о настройке проверок сертификатов в Windows 8, 8.1, Server 2012 и Server 2012 R2 см. в следующей статье Microsoft TechNet:
Шаг 1. Настройка инфраструктуры DirectAccess
3. Сценарии развертывания
3.1. Клиент IPsec для шлюза
В этом разделе показана типичная конфигурация «клиент-шлюз». Обновление улучшит проверку на том, действительно ли компьютер C1 является действительной версией сервера R1.
3.2. Сайт IPsec на сайт
Здесь показан распространенный трафик инициирует туннель «сайт-сайт IPsec». Серверу R1 и R2 необходимо это обновление и связанную с ним конфигурацию, чтобы обеспечить более строгую проверку достоверности других серверов.
4. Инструкции по развертыванию
4.1. Описание обновления для системы безопасности
В рамках обновления для системы безопасности 2862152 IPsec применяет дополнительные проверки в согласовании IPsec с методами проверки подлинности сертификатов (для Windows 7, Windows Server 2008 R2, Windows XP и Windows Server 2003) и проверки подлинности KerbProxy (для Windows 8, Windows Server 2012, Windows 8.1 и Windows Server 2012). Во время согласования IPsec также проверяет указанные атрибуты со значениями в реестре следующим образом:
Windows 7 и более ранние версии операционных систем
-
Если настроены только IP-адрес и EKU, IPsec проверяет наличие ip-адреса назначения и идентификатора объекта EKU (OID).
-
Если настроены только IP-адрес и DNS, IPsec проверяет наличие IP-адреса назначения и имени DNS (сертификата).
-
Если настроены IP-адрес, DNS и EKU, IPsec проверяет ip-адрес назначения и идентификатор объекта EKU.
Примечания.
-
DNS (сертификат) — это имя сертификата на сервере (или на стороне ответа).
-
Идентификатор объекта EKU — это идентификатор расширенного использования ключа, который находится в сертификате сервера.
Windows 8 и Windows 8.1
-
Ip-адрес назначения и значения SPN для имени основной службы
(SPN) обычно имеет следующий формат:
host/<ComputerName>.<ComputerDomain>.comAdministrators должны предоставлять действительные IP-адреса, имена DNS и идентификаторы объектов EKU (в Windows 7 и более ранних версиях) или действительные IP-адреса и значения spN (в Windows 8 и более поздних версиях) через параметры реестра. Каждый модуль ключа будет иметь отдельный реестр, в который будет в качестве подкайки для каждого метода проверки подлинности.
Эти же параметры можно также настроить на компьютере, отвечая на запросы, чтобы защитить ответив. Это применимо только для Windows 7 и более ранних версий.
В Windows 8 и более поздних версиях можно настроить только компьютер-инициатор. Не удается настроить ответного.
4.2. Развертывание сертификатов — Windows 7 и более ранние версии
Сценарий 4.2.1 IPsec
4.2.1.1 EKU в клиенте:
-
Если у вашего клиента IPsec уже есть сертификат с EKU, вам не нужно обновлять или перезаповлать новый сертификат в клиентской системе IPsec. На IPsec-сервере будет развернут новый сертификат с EKU.
Обратите внимание, что этот сертификат должен быть прицепен к корневому центру сертификации (ЦС), настроеному в политике IPsec. Настройте новый EKU в параметрах реестра клиента.
-
Сертификаты без EKU считаются «всена назначениями». При этом новые проверки EKU не будут применяться. Если вы хотите принудительно выполнять проверку сертификата, настройте только параметры DNS.
4.2.1.2 Конфигурация DNS клиента:
-
Если вы хотите использовать проверки на основе DNS, можно настроить имя DNS (имя сертификата) сертификата сервера в параметрах реестра клиента.
Примечание. Если EKU настроен, параметры DNS не рассматриваются. Поэтому, если вы хотите использовать проверку на основе DNS, настройте только параметры DNS.
4.2.2 Сценарий «сайт-сайт»
Конфигурация EKU 4.2.2.1:
-
Если у вашего инициатора или ответа уже есть сертификат с EKU, вам не нужно обновлять или перезаповлать сертификат для этого инициатора или ответа. Просто настройте EKU одноранговых сертификатов в параметрах реестра на обоих концах.
-
Если у вашего сертификата инициатора или ответа нет EKU, это означает, что это «всенамерный сертификат» и новые проверки EKU не будут применяться. Если вы хотите принудительно выполнять проверку сертификата, настройте только параметры DNS.
4.2.2.2 Конфигурация DNS:
-
Если вы хотите использовать проверки на основе DNS, вы можете настроить имя DNS (имя сертификата) одноранговых сертификатов в реестре на обеих сторонах.
Примечание. Если EKU настроен, параметры DNS не рассматриваются. Поэтому, если вы хотите использовать проверку на основе DNS, настройте только параметры DNS.
4.3. Параметры реестра в Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008
Проверка будет включена только в том случае, если настроены ключи реестра.
Обратите внимание, что проверка будет принудительной, даже если у ключа реестра нет значений или данных.
-
4.3.1: проверка подлинности сертификации с помощью AuthIP
-
Ключ реестра: HKLMSYSTEMCurrentControlSetServicesIKEEXTParametersIPsecTunnelConfigAuthIPCert
-
Имя реестра: это может быть любое имя (например, Tunnel1).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <DNS1> <DNS2> <DNS3> <EKU OID>
В них могут быть пробелы, табула или новая строка. Например, данные также можно настроить следующим
образом: Data: <IPv4Address или IPv6Address>
<DNS1>
<DNS2><DNS3><пользовательскийEKU OID>Настраиваемый EKU OID следует настроить с помощью префикса EKU:, как показано в следующем
примере:EKU:<EKU OID>У реестра может быть несколько
имен:
-
Имя реестра: это может быть любое имя (например, Tunnel2).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <DNS4> <DNS5> <DNS6> <EKU OID>
-
-
4.3.2: проверка подлинности сертификации с помощью IKEv1
-
Ключ реестра: HKLMSYSTEMCurrentControlSetServicesIKEEXTParametersIPsecTunnelConfigIKEV1Cert
-
Имя реестра: это может быть любое имя (например, Tunnel1).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <DNS1> <DNS2> <DNS3> <EKU OID>
В них могут быть пробелы, табула или новая строка. Например, данные также можно настроить следующим
образом: Data: <IPv4Address или IPv6Address>
<DNS1>
<DNS2><DNS3><пользовательскийEKU OID>Настраиваемый EKU OID следует настроить с помощью префикса EKU:, как показано в следующем
примере:EKU:<EKU OID>У реестра может быть несколько
имен:
-
Имя реестра: это может быть любое имя (например, Tunnel2).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <DNS4> <DNS5> <DNS6> <EKU OID>
Каждая запись может иметь не более 10 имен DNS и только один пользовательский EKU.
Максимальное количество настраиваемых имен DNS для записи — 10.
Примечание. Если размер записи превышает 16 384 знака, эта запись будет игнорироваться. К ним относятся размер IP-адреса и EKU.
На каждый пункт назначения в туннель можно использовать только один EKU (например, на IP-адрес). Поиск является итеративным. Если настроено несколько «IP-записей», первый настроенный EKU для этого записи IP-адреса будет считаться допустимым.
Максимальное количество туннельов, которые можно настроить в соответствии с путем реестра, — 1024.
Примечания
-
Необходимо настроить значения «IP». Администраторы могут настроить DNS или EKU в зависимости от своих потребностей.
-
Если настроен только EKU, проверяется EKU, присутствующий в одноранговом сертификате, а также включается или дефис проверки подлинности на основе результатов проверки.
-
Если настроено только имя DNS, проверяется только имя subjectAltName, присутствующие в сертификате, и включается или дефис проверки подлинности на основе результатов проверки.
-
Если настроены EKU и DNS, проверяется только EKU, а также включается или дефис проверки подлинности на основе проверки.
-
Подход К DNS:
-
В поле «Имя» можно указать любую строку.
-
Если у сервера есть IPv6-адрес, вместо IPv4-адреса можно указать тот же IPv6-адрес.
Способ EKU:
4.4. Параметры реестра в Windows XP и Windows Server 2003
Проверка будет включена только в том случае, если настроены ключи реестра.
Обратите внимание, что проверки будут принудительными, даже если у ключей реестра нет значений или данных.
4.4.1: проверка подлинности сертификации с помощью Покли
-
Ключ реестра: HKLMSYSTEMCurrentControlSetServicesPolicyAgentРазлиCert
-
Имя реестра: это может быть любое имя (например, Tunnel1).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address> <DNS1> <DNS2> <DNS3> <пользовательский разделитель данных EKU OID>Может быть
«пробел», «вкладка» или «новая строка». Например, можно также настроить данные следующим образом:
Data: <IPv4Address>
<DNS1>
<DNS2><DNS3><пользовательскийEKU OID>Настраиваемый EKU OID следует настроить с помощью префикса EKU:, как показано в следующем
примере:EKU:<EKU OID>У реестра может быть несколько
имен:
-
Имя реестра: это может быть любое имя (например, Tunnel2).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address> <DNS4> <DNS5> <DNS6> <EKU OID>
IP-адрес — это адрес назначения для туннель, который должен быть первой строкой в записи.
Каждая запись может иметь не более 10 имен DNS и только один пользовательский EKU.
Максимальное количество настраиваемых имен DNS для записи — 10.
Примечание. Если размер записи превышает 16 384 знака, эта запись будет игнорироваться. К ним относятся размер IP-адреса и EKU.
На место назначения для туннель можно использовать только один EKU (например, на IP-адрес). Поиск является итеративным. Если настроено несколько «IP-записей», первый настроенный EKU для этого записи IP-адреса будет считаться допустимым.
Максимальное количество туннельов, которые можно настроить в соответствии с путем реестра, — 1024.
Примечания
-
Необходимо настроить значения «IP». Администраторы могут настроить DNS или EKU в зависимости от своих потребностей.
-
Если настроен только EKU, мы проверяем EKU, присутствующий в одноранговом сертификате, и разрешаем или отвяжим проверку подлинности на основе результатов проверки.
-
Если настроено только имя DNS, проверяется только имя subjectAltName, присутствующие в сертификате, и разрешается проверка подлинности или дефис проверки подлинности на основе результатов проверки.
-
Если они настроены, проверяется только EKU и на основании проверки разрешается или дефис проверки подлинности.
Подход К DNS:
-
В поле «Имя» можно указать любую строку.
-
Если у сервера есть IPv6-адрес, вместо IPv4-адреса можно указать тот же IPv6-адрес.
Способ EKU:
4.5: Windows 8 и Windows 8.1
Проверка будет включена только в том случае, если настроен ключ реестра. Следует помнить, что проверки будут выполняться путем простого добавления ключа даже без значений и данных реестра.
4.5.1. Проверка подлинности KerbProxy с помощью проверки подлинности AuthIP:
-
Параметр реестра: HKLMSYSTEMCurrentControlSetServicesIKEEXTParametersIPsecTunnelConfigAuthIPkerberos
-
Имя реестра: это может быть любая строка (например, Tunnel1).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <SPN1> <SPN2> <SPN3>Разделитель данных может быть
пробелом, вкладка или новая строка. Например, данные также можно настроить следующим
образом: Data: <IPv4Address или IPv6Address>
<SPN1>
<SPN2><SPN3>У реестра может быть несколько именреестра:
-
Имя реестра: это может быть любая строка (например, Tunnel2).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <SPN4> <SPN5> <SPN6>
IP-адрес — это адрес назначения для туннель, который должен быть первой строкой в записи.
Максимальное количество настроенных SPNS для одной записи — 10.
Обратите внимание, что если размер записи (включая размер IP-адреса) превышает 16 384 знака, эта запись будет проигнорирована. Максимальное количество туннельов, которые можно настроить в соответствии с путем реестра, — 1024.
Способ NN:
-
В поле «Имя» можно указать любую строку.
-
Если у сервера есть IPv6-адрес, вместо IPv4-адреса можно указать тот же IPv6-адрес.
5. Устранение неполадок
Если возникают сбои подключения IPsec, выполните следующие действия, чтобы устранить проблему:
-
Убедитесь, что выполняется правильная конфигурация, как описано в предыдущих разделах.
-
Изучите журналы событий, чтобы определить, что произошло с ошибкой: инициатор или ответив.
-
В Windows 8 и более поздних версиях нет изменений со стороны ответа. Таким образом, сбой может быть только у инициатора. Если произойдет сбой, по трассировке IKE будет отобрано сообщение, похожее на следующее в журнале:
Одноранговая spN AuthIP не совпадает с настроенным spn
-
В Windows 7 и более ранних версиях сбой может быть сгенерирован инициатором или ответителем.
При сбоях на стороне инициатора регистрируются следующие события:
|
Случай сбоя |
Инициатор |
Ответ |
|---|---|---|
|
IKEv1 |
Не удалось согласование основного режима IPsec. |
Создана связь безопасности основного режима IPsec. Не включен расширенный режим. Сертификат использовался для проверки подлинности. |
|
Связь безопасности основного режима IPsec была завершена. |
||
|
AuthIP |
Не удалось согласование основного режима IPsec. |
Не удалось согласование основного режима IPsec. |
При сбоях на стороне ответа регистрируются следующие события:
|
Случай сбоя |
Инициатор |
Ответ |
|---|---|---|
|
IKEv1 |
Создана связь безопасности основного режима IPsec. Не включен расширенный режим. Сертификат использовался для проверки подлинности |
Создана связь безопасности основного режима IPsec. Не включен расширенный режим. Сертификат использовался для проверки подлинности. |
|
Не удалось согласование быстрого режима IPsec. |
Связь безопасности основного режима IPsec была завершена. |
|
|
Связь безопасности основного режима IPsec была завершена. |
Не удалось согласование быстрого режима IPsec. |
|
|
AuthIP |
Не удалось согласование основного режима IPsec. |
Не удалось провести согласование в расширенном режиме IPsec. Соответствующая связь безопасности основного режима была удалена. |
|
Не удалось провести согласование в расширенном режиме IPsec. Соответствующая связь безопасности основного режима была удалена. |
Трассировки IKE
-
В этой области можно включить трассировку IKE и воспроизвести проблему.
-
Остановите трассировку IKE.
-
Поделитесь файлом Ikeext.etl из C:windowssystem32 в службу поддержки Майкрософт.
При сбоях трассировка IKE отображает следующие журналы:
Сбой из-за EKU:
-
Пользовательский EKU сертификата одноранговых сертификатов НЕ совпадает с настроенным EKU для AUTHIP
-
Пользовательский EKU сертификата одноранговой связи НЕ совпадает с настроенным EKU для IKE
Сбой из-за сертификата:
-
Имя DNS для одноранговых сертификатов IKE НЕ совпадает с настроенными именами DNS
-
DNS-имя одноранговых сертификатов AUTHIP не совпадает с настроенными именами DNS
Windows XP и Windows Server 2003
ЖурналыВлений помогают определить причину сбоев, связанных с IPsec.
Чтобы включить ведение журнала IPsec, в командной области введите следующую команду и нажмите ввод:
Чтобы воспроизвести сбой netsh IPsec dynamic set config ikelogging 1Then, введите следующую команду:
Журнал Netsh IPsec dynamic set config ikelogging 0TheLey создается в следующей папке:
C:winodwsDebugIf есть сбои, трассировки IKE будут отображать следующие журналы:
Сбой из-за EKU:
-
Пользовательский EKU сертификата одноранговой связи НЕ совпадает с настроенным EKU для IKEv1
Сбой из-за сертификата:
-
Имя DNS-сертификата не совпадает с настроенным ИМЕНЕМ DNS для IKEv1
Обратите внимание на то, что в сообщении, которое указано в этом списке, сообщение «НЕ совпадает» является опечаткой, которая появляется в коде.
Ссылки
Дополнительные сведения о IPsec можно найти на следующей веб-странице Майкрософт:
http://technet.microsoft.com/en-us/library/hh831416Дополнительные сведения о ЦС см. на веб-странице руководства по дополнительному развертыванию:
http://technet.microsoft.com/en-us/library/hh831436Дополнительные сведения о развертывании одного сервера удаленного доступа можно найти на следующей веб-странице:
http://technet.microsoft.com/en-us/library/hh831520Дополнительные сведения о VPN для сайта можно найти на следующей веб-странице руководства по тестовой лаборатории Майкрософт:
http://technet.microsoft.com/en-us/library/jj574084.aspx
СВЕДЕНИЯ О ФАЙЛЕ
В версии этого обновления для английского языка (США) устанавливаются файлы с атрибутами, перечисленными в таблицах ниже. Дата и время для файлов указаны в формате UTC. Даты и время для этих файлов на локальном компьютере отображаются в вашем локальном времени и с текущим переходом на летнее время (DST). Кроме того, при выполнении определенных операций с файлами даты и время могут измениться.
-
Файлы, которые относятся к определенной вехе (SPn)и ветви обслуживания (QFE, GDR), отмечены в столбцах «Требования SP» и «Ветвь обслуживания».
-
В выпусках обновлений для общего распространения (GDR) содержатся только общедоступные исправления, которые предназначены для устранения распространенных критических проблем. В филиалах службЫ QFE имеются исправления, а также широко выпущенные исправления.
-
Помимо файлов, перечисленных в этих таблицах, в этом обновлении также устанавливается связанный файл каталога безопасности(KB-номер.cat), подписанный цифровой подписью Майкрософт.
Для всех поддерживаемых версий Windows XP на базе x86
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Oakley.dll |
5.1.2600.6462 |
278,528 |
12-окт-2013 |
15:56 |
x86 |
Для всех поддерживаемых версий Windows Server 2003 и Windows XP Professional 64 на базе x64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
Необходимый пакет обновления |
Ветвь обслуживания |
|---|---|---|---|---|---|---|---|
|
Oakley.dll |
5.2.3790.5238 |
407,040 |
13-окт-2013 |
05:37 |
x64 |
SP2 |
SP2QFE |
|
Woakley.dll |
5.2.3790.5238 |
361,472 |
13-окт-2013 |
05:37 |
x86 |
SP2 |
SP2QFEWOW |
Для всех поддерживаемых версий Windows Server 2003 на базе x86
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Oakley.dll |
5.2.3790.5238 |
361,472 |
12-окт-2013 |
15:57 |
x86 |
Для всех поддерживаемых версий Windows Server 2003 на базе IA-64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
Необходимый пакет обновления |
Ветвь обслуживания |
|---|---|---|---|---|---|---|---|
|
Oakley.dll |
5.2.3790.5238 |
565,760 |
13-окт-2013 |
05:37 |
IA-64 |
SP2 |
SP2QFE |
|
Woakley.dll |
5.2.3790.5238 |
361,472 |
13-окт-2013 |
05:37 |
x86 |
SP2 |
SP2QFEWOW |
-
Файлы, которые относятся к определенному продукту, вехе (SPn)и ветви обслуживания (LDR, GDR), можно определить, изучив номера версий файлов, как показано в следующей таблице:
Версия
Продукт
Этап разработки
Направление поддержки
6.0.6002. 18xxx
Windows Vista с SP2 и Windows Server 2008 с SP2
SP2
GDR
6.0.6002. 23xxx
Windows Vista с SP2 и Windows Server 2008 с SP2
SP2
LDR
-
В выпусках обновлений для общего распространения (GDR) содержатся только общедоступные исправления, которые предназначены для устранения распространенных критических проблем. В выпусках обновлений LDR помимо общедоступных содержатся дополнительные исправления.
Обратите внимание на то, что в списке нет установленных файлов МАНИФЕСТА (.manifest) и ФАЙЛОВ СЛП (.manifest).
Для всех поддерживаемых версий Windows Vista и Windows Server 2008 на базе x86
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.0.6002.18005 |
334,848 |
11-апр-2009 |
06:28 |
x86 |
|
Fwpkclnt.sys |
6.0.6002.18005 |
99,816 |
11-апр-2009 |
06:32 |
x86 |
|
Fwpuclnt.dll |
6.0.6002.18960 |
596,480 |
11-окт-2013 |
02:07 |
x86 |
|
Ikeext.dll |
6.0.6002.18960 |
444,928 |
11-окт-2013 |
02:08 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
05-янв-2008 |
11:29 |
Not applicable |
|
Wfp.tmf |
Not applicable |
218,228 |
11-окт-2013 |
00:39 |
Not applicable |
|
Bfe.dll |
6.0.6002.23243 |
334,848 |
12-окт-2013 |
02:52 |
x86 |
|
Fwpkclnt.sys |
6.0.6002.23243 |
98,240 |
12-окт-2013 |
03:24 |
x86 |
|
Fwpuclnt.dll |
6.0.6002.23243 |
596,480 |
12-окт-2013 |
02:53 |
x86 |
|
Ikeext.dll |
6.0.6002.23243 |
446,464 |
12-окт-2013 |
02:53 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
09-Сен-2011 |
11:41 |
Not applicable |
|
Wfp.tmf |
Not applicable |
218,580 |
12-окт-2013 |
01:42 |
Not applicable |
Для всех поддерживаемых версий Windows Vista и Windows Server 2008 на базе x64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.0.6002.18005 |
458,240 |
11-апр-2009 |
07:11 |
x64 |
|
Fwpkclnt.sys |
6.0.6002.18005 |
166,888 |
11-апр-2009 |
07:15 |
x64 |
|
Fwpuclnt.dll |
6.0.6002.18960 |
781,824 |
11-окт-2013 |
04:23 |
x64 |
|
Ikeext.dll |
6.0.6002.18960 |
462,848 |
11-окт-2013 |
04:23 |
x64 |
|
Wfp.mof |
Not applicable |
814 |
05-янв-2008 |
11:29 |
Not applicable |
|
Wfp.tmf |
Not applicable |
217,074 |
11-окт-2013 |
02:29 |
Not applicable |
|
Bfe.dll |
6.0.6002.23243 |
458,240 |
12-окт-2013 |
03:19 |
x64 |
|
Fwpkclnt.sys |
6.0.6002.23243 |
165,312 |
12-окт-2013 |
03:51 |
x64 |
|
Fwpuclnt.dll |
6.0.6002.23243 |
781,824 |
12-окт-2013 |
03:20 |
x64 |
|
Ikeext.dll |
6.0.6002.23243 |
464,384 |
12-окт-2013 |
03:20 |
x64 |
|
Wfp.mof |
Not applicable |
814 |
15-ноя-2011 |
15:19 |
Not applicable |
|
Wfp.tmf |
Not applicable |
217,466 |
12-окт-2013 |
02:11 |
Not applicable |
|
Fwpuclnt.dll |
6.0.6002.18960 |
596,480 |
11-окт-2013 |
02:07 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
26-сен-2013 |
12:46 |
Not applicable |
|
Fwpuclnt.dll |
6.0.6002.23243 |
596,480 |
12-окт-2013 |
02:53 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
09-Сен-2011 |
11:41 |
Not applicable |
Для всех поддерживаемых версий Windows Server 2008 на базе IA-64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.0.6002.18005 |
781,312 |
11-апр-2009 |
06:59 |
IA-64 |
|
Fwpkclnt.sys |
6.0.6002.18005 |
262,632 |
11-апр-2009 |
07:03 |
IA-64 |
|
Fwpuclnt.dll |
6.0.6002.18960 |
1,124,352 |
11-окт-2013 |
03:43 |
IA-64 |
|
Ikeext.dll |
6.0.6002.18960 |
944,128 |
11-окт-2013 |
03:43 |
IA-64 |
|
Wfp.mof |
Not applicable |
814 |
03-янв-2008 |
18:54 |
Not applicable |
|
Wfp.tmf |
Not applicable |
217,254 |
11-окт-2013 |
02:05 |
Not applicable |
|
Bfe.dll |
6.0.6002.23243 |
781,312 |
12-окт-2013 |
02:17 |
IA-64 |
|
Fwpkclnt.sys |
6.0.6002.23243 |
261,056 |
12-окт-2013 |
02:52 |
IA-64 |
|
Fwpuclnt.dll |
6.0.6002.23243 |
1,124,352 |
12-окт-2013 |
02:18 |
IA-64 |
|
Ikeext.dll |
6.0.6002.23243 |
946,688 |
12-окт-2013 |
02:18 |
IA-64 |
|
Wfp.mof |
Not applicable |
814 |
15-мар-2011 |
05:52 |
Not applicable |
|
Wfp.tmf |
Not applicable |
217,516 |
12-окт-2013 |
01:24 |
Not applicable |
|
Fwpuclnt.dll |
6.0.6002.18960 |
596,480 |
11-окт-2013 |
02:07 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
26-сен-2013 |
12:46 |
Not applicable |
|
Fwpuclnt.dll |
6.0.6002.23243 |
596,480 |
12-окт-2013 |
02:53 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
09-Сен-2011 |
11:41 |
Not applicable |
-
Файлы, которые относятся к определенному продукту, вехе (RTM, SPn)и ветви обслуживания (LDR, GDR), можно определить, изучив номера версий файлов, как показано в следующей таблице:
Версия
Продукт
Этап разработки
Направление поддержки
6.1.7601. 18xxx
Windows 7 и Windows Server 2008 R2
SP1
GDR
6.1.7601. 22xxx
Windows 7 и Windows Server 2008 R2
SP1
LDR
-
В выпусках обновлений для общего распространения (GDR) содержатся только общедоступные исправления, которые предназначены для устранения распространенных критических проблем. В выпусках обновлений LDR помимо общедоступных содержатся дополнительные исправления.
Обратите внимание на то, что в списке нет установленных файлов МАНИФЕСТА (.manifest) и ФАЙЛОВ СЛП (.manifest).
Для всех поддерживаемых 32-разрядных (x86) версий Windows 7
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.1.7601.17514 |
494,592 |
20-ноя-2010 |
12:18 |
x86 |
|
Fwpuclnt.dll |
6.1.7601.18283 |
216,576 |
12-окт-2013 |
02:01 |
x86 |
|
Ikeext.dll |
6.1.7601.18283 |
679,424 |
12-окт-2013 |
02:01 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
02:33 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.18283 |
656,896 |
12-окт-2013 |
02:03 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
21:32 |
Not applicable |
|
Bfe.dll |
6.1.7601.22479 |
496,128 |
12-окт-2013 |
01:55 |
x86 |
|
Fwpuclnt.dll |
6.1.7601.22479 |
216,576 |
12-окт-2013 |
01:56 |
x86 |
|
Ikeext.dll |
6.1.7601.22479 |
681,472 |
12-окт-2013 |
01:56 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
02:21 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.22479 |
657,920 |
12-окт-2013 |
01:57 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
21:32 |
Not applicable |
Для всех поддерживаемых 64-разрядных (x64) версий Windows 7 и Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.1.7601.17514 |
705,024 |
20-ноя-2010 |
13:25 |
x64 |
|
Fwpuclnt.dll |
6.1.7601.18283 |
324,096 |
12-окт-2013 |
02:29 |
x64 |
|
Ikeext.dll |
6.1.7601.18283 |
859,648 |
12-окт-2013 |
02:29 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
03:06 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.18283 |
830,464 |
12-окт-2013 |
02:30 |
x64 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
20:51 |
Not applicable |
|
Bfe.dll |
6.1.7601.22479 |
706,560 |
12-окт-2013 |
02:23 |
x64 |
|
Fwpuclnt.dll |
6.1.7601.22479 |
324,096 |
12-окт-2013 |
02:24 |
x64 |
|
Ikeext.dll |
6.1.7601.22479 |
861,184 |
12-окт-2013 |
02:24 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
02:49 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.22479 |
832,000 |
12-окт-2013 |
02:25 |
x64 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
20:51 |
Not applicable |
|
Fwpuclnt.dll |
6.1.7601.18283 |
216,576 |
12-окт-2013 |
02:01 |
x86 |
|
Nshwfp.dll |
6.1.7601.18283 |
656,896 |
12-окт-2013 |
02:03 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
04-июл-2013 |
12:21 |
Not applicable |
|
Fwpuclnt.dll |
6.1.7601.22479 |
216,576 |
12-окт-2013 |
01:56 |
x86 |
|
Nshwfp.dll |
6.1.7601.22479 |
657,920 |
12-окт-2013 |
01:57 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
09-июл-2013 |
06:28 |
Not applicable |
Для всех поддерживаемых версий IA-64 Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.1.7601.17514 |
1,071,616 |
20-ноя-2010 |
10:24 |
IA-64 |
|
Fwpuclnt.dll |
6.1.7601.18283 |
566,272 |
12-окт-2013 |
01:34 |
IA-64 |
|
Ikeext.dll |
6.1.7601.18283 |
1,500,160 |
12-окт-2013 |
01:34 |
IA-64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
01:59 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.18283 |
1,112,064 |
12-окт-2013 |
01:36 |
IA-64 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
20:57 |
Not applicable |
|
Bfe.dll |
6.1.7601.22479 |
1,074,176 |
12-окт-2013 |
01:24 |
IA-64 |
|
Fwpuclnt.dll |
6.1.7601.22479 |
566,272 |
12-окт-2013 |
01:24 |
IA-64 |
|
Ikeext.dll |
6.1.7601.22479 |
1,503,744 |
12-окт-2013 |
01:24 |
IA-64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
01:44 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.22479 |
1,113,600 |
12-окт-2013 |
01:25 |
IA-64 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
20:57 |
Not applicable |
|
Fwpuclnt.dll |
6.1.7601.18283 |
216,576 |
12-окт-2013 |
02:01 |
x86 |
|
Nshwfp.dll |
6.1.7601.18283 |
656,896 |
12-окт-2013 |
02:03 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
04-июл-2013 |
12:21 |
Not applicable |
|
Fwpuclnt.dll |
6.1.7601.22479 |
216,576 |
12-окт-2013 |
01:56 |
x86 |
|
Nshwfp.dll |
6.1.7601.22479 |
657,920 |
12-окт-2013 |
01:57 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
09-июл-2013 |
06:28 |
Not applicable |
-
Файлы, которые относятся к определенному продукту, вехе (RTM, SPn)и ветви обслуживания (LDR, GDR), можно определить, изучив номера версий файлов, как показано в следующей таблице:
Версия
Продукт
Этап разработки
Направление поддержки
6.2.920 0.16 xxx
Windows 8 и Windows Server 2012
RTM
GDR
6.2.920 0.20 xxx
Windows 8 и Windows Server 2012
RTM
LDR
-
В выпусках обновлений для общего распространения (GDR) содержатся только общедоступные исправления, которые предназначены для устранения распространенных критических проблем. В выпусках обновлений LDR помимо общедоступных содержатся дополнительные исправления.
Обратите внимание на то, что в списке нет установленных файлов МАНИФЕСТА (.manifest) и ФАЙЛОВ СЛП (.manifest).
Для всех поддерживаемых версий Windows 8
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.2.9200.16734 |
473,600 |
10-окт-2013 |
09:28 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
245,248 |
10-июн-2013 |
19:10 |
x86 |
|
Ikeext.dll |
6.2.9200.16734 |
683,520 |
10-окт-2013 |
09:29 |
x86 |
|
Nshwfp.dll |
6.2.9200.16634 |
702,464 |
10-июн-2013 |
19:10 |
x86 |
|
Bfe.dll |
6.2.9200.20846 |
473,600 |
10-окт-2013 |
22:30 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
245,248 |
27-ноя-2012 |
04:22 |
x86 |
|
Ikeext.dll |
6.2.9200.20846 |
683,520 |
10-окт-2013 |
22:30 |
x86 |
|
Nshwfp.dll |
6.2.9200.20846 |
702,464 |
10-окт-2013 |
22:30 |
x86 |
|
Bfe.dll |
6.2.9200.16734 |
473,600 |
10-окт-2013 |
09:28 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
245,248 |
10-июн-2013 |
19:10 |
x86 |
|
Ikeext.dll |
6.2.9200.16734 |
683,520 |
10-окт-2013 |
09:29 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
2,920 |
10-окт-2013 |
10:06 |
Not applicable |
|
Nshwfp.dll |
6.2.9200.16634 |
702,464 |
10-июн-2013 |
19:10 |
x86 |
|
Wfplwfs.sys |
6.2.9200.16734 |
38,744 |
10-окт-2013 |
10:07 |
x86 |
|
Bfe.dll |
6.2.9200.20846 |
473,600 |
10-окт-2013 |
22:30 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
245,248 |
27-ноя-2012 |
04:22 |
x86 |
|
Ikeext.dll |
6.2.9200.20846 |
683,520 |
10-окт-2013 |
22:30 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
2,920 |
10-окт-2013 |
23:31 |
Not applicable |
|
Nshwfp.dll |
6.2.9200.20846 |
702,464 |
10-окт-2013 |
22:30 |
x86 |
|
Wfplwfs.sys |
6.2.9200.20842 |
38,744 |
10-окт-2013 |
23:37 |
x86 |
Для всех поддерживаемых версий Windows 8 64 и Windows Server 2012
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.2.9200.16734 |
723,968 |
10-окт-2013 |
09:20 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
381,952 |
10-июн-2013 |
19:15 |
x64 |
|
Ikeext.dll |
6.2.9200.16734 |
1,160,192 |
10-окт-2013 |
09:21 |
x64 |
|
Nshwfp.dll |
6.2.9200.16634 |
888,832 |
10-июн-2013 |
19:16 |
x64 |
|
Bfe.dll |
6.2.9200.20846 |
718,848 |
10-окт-2013 |
22:26 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
378,880 |
27-ноя-2012 |
04:25 |
x64 |
|
Ikeext.dll |
6.2.9200.20846 |
1,074,688 |
10-окт-2013 |
22:26 |
x64 |
|
Nshwfp.dll |
6.2.9200.20846 |
888,832 |
10-окт-2013 |
22:26 |
x64 |
|
Bfe.dll |
6.2.9200.16734 |
723,968 |
10-окт-2013 |
09:20 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
381,952 |
10-июн-2013 |
19:15 |
x64 |
|
Ikeext.dll |
6.2.9200.16734 |
1,160,192 |
10-окт-2013 |
09:21 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
2,920 |
10-окт-2013 |
11:50 |
Not applicable |
|
Nshwfp.dll |
6.2.9200.16634 |
888,832 |
10-июн-2013 |
19:16 |
x64 |
|
Wfplwfs.sys |
6.2.9200.16734 |
96,600 |
10-окт-2013 |
11:53 |
x64 |
|
Bfe.dll |
6.2.9200.20846 |
718,848 |
10-окт-2013 |
22:26 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
378,880 |
27-ноя-2012 |
04:25 |
x64 |
|
Ikeext.dll |
6.2.9200.20846 |
1,074,688 |
10-окт-2013 |
22:26 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
2,920 |
11-окт-2013 |
00:50 |
Not applicable |
|
Nshwfp.dll |
6.2.9200.20846 |
888,832 |
10-окт-2013 |
22:26 |
x64 |
|
Wfplwfs.sys |
6.2.9200.20842 |
96,600 |
11-окт-2013 |
00:54 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
245,248 |
10-июн-2013 |
19:10 |
x86 |
|
Nshwfp.dll |
6.2.9200.16634 |
702,464 |
10-июн-2013 |
19:10 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
245,248 |
27-ноя-2012 |
04:22 |
x86 |
|
Nshwfp.dll |
6.2.9200.20846 |
702,464 |
10-окт-2013 |
22:30 |
x86 |
Для всех поддерживаемых версий Windows 8.1 на базе x86
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.3.9600.16427 |
549,888 |
12-окт-2013 |
21:14 |
x86 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
264,192 |
22-авг-2013 |
02:40 |
x86 |
|
Ikeext.dll |
6.3.9600.16427 |
730,112 |
12-окт-2013 |
21:02 |
x86 |
|
Nshwfp.dll |
6.3.9600.16384 |
566,784 |
22-авг-2013 |
02:19 |
x86 |
|
Bfe.dll |
6.3.9600.16427 |
549,888 |
12-окт-2013 |
21:14 |
x86 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
264,192 |
22-авг-2013 |
02:40 |
x86 |
|
Ikeext.dll |
6.3.9600.16427 |
730,112 |
12-окт-2013 |
21:02 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,059 |
13-окт-2013 |
00:27 |
Not applicable |
|
Nshwfp.dll |
6.3.9600.16384 |
566,784 |
22-авг-2013 |
02:19 |
x86 |
|
Wfplwfs.sys |
6.3.9600.16427 |
69,464 |
13-окт-2013 |
00:45 |
x86 |
Для всех поддерживаемых версий Windows 8.1 и Windows Server 2012 R2 на базе x64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.3.9600.16427 |
828,416 |
12-окт-2013 |
21:48 |
x64 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
411,136 |
22-авг-2013 |
09:43 |
x64 |
|
Ikeext.dll |
6.3.9600.16427 |
1,104,384 |
12-окт-2013 |
21:34 |
x64 |
|
Nshwfp.dll |
6.3.9600.16384 |
716,800 |
22-авг-2013 |
09:11 |
x64 |
|
Bfe.dll |
6.3.9600.16427 |
828,416 |
12-окт-2013 |
21:48 |
x64 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
411,136 |
22-авг-2013 |
09:43 |
x64 |
|
Ikeext.dll |
6.3.9600.16427 |
1,104,384 |
12-окт-2013 |
21:34 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,059 |
13-окт-2013 |
02:41 |
Not applicable |
|
Nshwfp.dll |
6.3.9600.16384 |
716,800 |
22-авг-2013 |
09:11 |
x64 |
|
Wfplwfs.sys |
6.3.9600.16427 |
136,536 |
13-окт-2013 |
02:48 |
x64 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
264,192 |
22-авг-2013 |
02:40 |
x86 |
|
Nshwfp.dll |
6.3.9600.16384 |
566,784 |
22-авг-2013 |
02:19 |
x86 |
|
Имя файла |
Hash sha1 |
Hash sha256 |
|---|---|---|
|
Windows6.0-KB2862152-ia64.msu |
80EE12A2E51477C621392A0665BC837CFF8FC29B |
55D9566C4062721EA0B8C9B02B2DE1FC5A48B6216338012BA7C3E15C9F78EC4A |
|
Windows6.0-KB2862152-x64.msu |
E24C86C21DDD00ADA6B49EE1C2A037F9D2CBD8EF |
5C2D595720F98D351400593A562DBD5812AAAADE31E7B92E8B2493771AF8EDD3 |
|
Windows6.0-KB2862152-x86.msu |
C062CCF8CCCB24411D223934451EB25323C5B9BC |
1EE3C6408CC3EE8CA8CA0C9A23089AE8F4461FFB277414F9EFC0E61B2A30B5 |
|
Windows6.1-KB2862152-ia64.msu |
61E5FC414F88C1B15FB27AB905AB67652B188FF2 |
C76E6DBBF345D2CA602AA4DCA83C780A7DF12D13F7570FDF57A605D81C33173F |
|
Windows6.1-KB2862152-x64.msu |
72BBAF8697440A998DF17DB09A69B24D96C4FE07 |
7764527EA105A36339EAF0D09B45DE8EEB3EF68B4E09B69104FD63040C97365 |
|
Windows6.1-KB2862152-x86.msu |
EAC008F3D7E22B10E646D969656C48C25FADC6B4 |
64E90C46DC94A68DC5B2DA9AEB426EB07E660F5D32AB85A611103F15E115F47 |
|
Windows8-RT-KB2862152-x64.msu |
717A29A94CFCCE8F663E555075CDE12E2A7A836D |
A1EC074D8B1576CC3F7E5847451EA13E9D189ABFF1B0C05100522C579580345E |
|
Windows8-RT-KB2862152-x86.msu |
B762EE6FDB2CE341546C3A93C919CD5A482A99A9 |
CC2B0CEFEEFAAEC76966530C38B88281F4DEE46223DE7348E2C258DAB06E6C2E |
|
Windows8.1-KB2862152-x64.msu |
EC8DF98AE6D52A827266403A267F708A9CDE9B38 |
26068674EFEE40DA6B682429FD8876DE75405A83FE3A3689711884188FB3B3AE |
|
Windows8.1-KB2862152-x86.msu |
63D555F539C3D80AF8C4CE23179A9DE447810502 |
0FB82BB48506DE4883E4DCF518E7745AEBF56B47DD9F314563B7B8EA49B24155 |
|
WindowsServer2003-KB2862152-ia64-DEU.exe |
5BD38A43C1E04B8CDF94DF9F4B7C58F6B93B4C27 |
4004B7BACEFF854FD4E8FD72B7BCD5A07AD29A3B3979CAF738C41117487B557D |
|
WindowsServer2003-KB2862152-ia64-ENU.exe |
CC67EC663C2C933B2781436EA37F6BE2AEADD4C1 |
86A30C9F2DB197C099EE5BDB95CA7B7121D87D94A8AB3ADEAEAB64E099BAD7C9 |
|
WindowsServer2003-KB2862152-ia64-FRA.exe |
FD8AF00F493485D70C94E1113DB955F2F6774444 |
58E4A5925C0A400BC3FCA664DC0E60FC930FFB54CD7879D4E0620A5DC3ADD996 |
|
WindowsServer2003-KB2862152-ia64-JPN.exe |
BC417216D77EABAED92C54C1828C09A8F1EE266A |
7122AF3D47607C5A6E7BADB8A0A740714FB908975074C7D64B6E0F9C23CA6141 |
|
WindowsServer2003-KB2862152-x86-CHS.exe |
7E8BBBA255E7DC0BE62AE188A40A8F004FCB5E4F |
4DFA6A4E6CF86DC4BA1EA0F10204F8275EB61F28B2BF5D5AC58F314760614272 |
|
WindowsServer2003-KB2862152-x86-CHT.exe |
C3707B843C2914F02FF728691B7489460557328B |
7B4829AE8CA47CF789FC3C084291B30D99D24497C5223AAD2968DCE0E7A2A214 |
|
WindowsServer2003-KB2862152-x86-CSY.exe |
17B5A8D82581E04B3DC8359A55A0775E53BAF1A6 |
5049340582FB9E145B2B3104B1066984AEBB1EE352064F1D7C9C6BDA073D2097 |
|
WindowsServer2003-KB2862152-x86-DEU.exe |
A75DC6744A60D8CADB39D1D9963FAC7B608CAA89 |
982A7F6DF2067AA891E6890D0119CD1D5CA2FCB6238CF341D47293B80B7A3EBA |
|
WindowsServer2003-KB2862152-x86-ENU.exe |
8D96F688B35EFA32EEC1B05C92A8422D304E972D |
5192DD6E6C38C635AFF68A926C60FFF1FDC1433982E5C0FFFAEE5C3EDD9C6F2C |
|
WindowsServer2003-KB2862152-x86-ESN.exe |
37DCEF5107C1C157B738FED12CAC921100EEFF6F |
63D2CDD7D92FEAD9F72D0BEC29B5B4B25626B814BAEF517AF3B9B9252993B1E2 |
|
WindowsServer2003-KB2862152-x86-FRA.exe |
60BB2ECB93869D41E432901ADB1D3ED4B71CD700 |
0E37AB5EE438261F8B2B623180BE12B05AD13ECA4F7D246D6EBC90110E2EF179 |
|
WindowsServer2003-KB2862152-x86-HUN.exe |
0EEEB1F90C9BBDBC12368029DD5DCBC94A9499E8 |
ACE72D7C2CF26E99044BF7B19CBBC25067BAA7B5972C656C1AB0256DD43B877E |
|
WindowsServer2003-KB2862152-x86-ITA.exe |
DC2AB04A66B46AA9F97B817924007E9FCD5EB306 |
F032AE531AF7C4B9B03DB92F4470D37E4F9A078EFAEE7DB8C2DE7C3AEB54A7F5 |
|
WindowsServer2003-KB2862152-x86-JPN.exe |
1FBBBEC7AB9B764D439213E5ACD7278F6114792F |
42F8DB54F37DD659221168226CDBADE0F1614FB7FF06DB3C037667EF4661DDB8 |
|
WindowsServer2003-KB2862152-x86-KOR.exe |
B7CBCEA8AFCE0A77273B5264B0E90EE57BEA8423 |
E24C14DB1809D6E7A9AE7D2BF52E84B591B7332D3F073D6272CACF2434573ADB |
|
WindowsServer2003-KB2862152-x86-NLD.exe |
799BE730609FE5D4CDB56F46A1F4520F50183A9E |
4FD53C68F54668FE0CCE9F51DA1EFFF36E6050C5CBBD42E94C3453C036C54BAF |
|
WindowsServer2003-KB2862152-x86-PLK.exe |
B5160A3964D9DD776E6DD659B47593270FA4D79D |
4E5C3C8B9859BFA8F83CBA2D7042A956CA8A69AFFF123E09899D16312FCA6D12 |
|
WindowsServer2003-KB2862152-x86-PTB.exe |
83CCFE642630C0054105D0441FEA09204DEA86CE |
4156FF7C97627C42A95871F1D8666ECF36C6146A38804BE71C2C93EF082052DE |
|
WindowsServer2003-KB2862152-x86-PTG.exe |
B7D66DB2EF501D9DF68ECE685D095EABE4CDE276 |
8E88E57841BF640E5382E0808DEEA5F9FCFBD91CC0C502D071969A6BCAE4C7FB |
|
WindowsServer2003-KB2862152-x86-RUS.exe |
B982BCC1C5D1C0AF677940555429223C7D134E7D |
E7D524899F14DD4739C48056468D66C8C59DBD6BF629942060AECF3397307F72 |
|
WindowsServer2003-KB2862152-x86-SVE.exe |
4EF34DE5D662004089E77A23F162A47359E5BFFA |
6C779C1F31C7B2587D4B097998B1C28D63FDAB19DF5AF9E6263A1F49E15FBFFE |
|
WindowsServer2003-KB2862152-x86-TRK.exe |
5506F386C876A0BDB71D722BE785CC9C4B6DBB48 |
8443ADF3249DBD3C8A1C0939B4DFC717EE94B9DD609CAAD40317992EA33E6006 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-CHS.exe |
D15894E4D38D740F1F6D40EF14D1E2CB663D3740 |
9AD8CA4C5AD11E261E1726009182FF9D256FF37C17F5CA296AFE28859D5B6E5E |
|
WindowsServer2003.WindowsXP-KB2862152-x64-CHT.exe |
E69F9455BA88CCF1F579118C0DA787A3AB66DE43 |
47FB6E9D05D63C7984E745B7709E11E27D595BA385FF667EB31DD5922F9581AA |
|
WindowsServer2003.WindowsXP-KB2862152-x64-DEU.exe |
E6F17C263EB3824534D3A23187C51382393A9111 |
A09D50A344E7ECF3010C0B5530EB36C74FCE039985E9950A67FA1B971B31E5A0 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-ENU.exe |
D97C7E8E60E51CEB4C10F40CD0163DFCC0FA0E13 |
13BCFE30002F3AD0280D14287B22FBF830297EF839A93C6E539EBB19814073F5 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-ESN.exe |
EEA452A980769A5B00D163EE7390B11579345E4A |
EF97F201F03D7CA58FF4B9C84B1F301DBAA750EA39BD55207BD3F2A7F97258DD |
|
WindowsServer2003.WindowsXP-KB2862152-x64-FRA.exe |
6E6B16D63B5CA7D55CE90A4569EF9BB486FBE2E8 |
5F44490CA1A9349C879E8BFC0CF01A7BAC0A296125ED9762FAACF0218F84CEEE |
|
WindowsServer2003.WindowsXP-KB2862152-x64-ITA.exe |
4C0A6CF4A7B836918B139EA4947702CDB203F29C |
91CE056ACFF2C1022BFCD7A52850EF1C2341718207BDBAD8FEDEDAB17A48978D |
|
WindowsServer2003.WindowsXP-KB2862152-x64-JPN.exe |
F3CD39130480F41AB23B09848A4A75BE1598B9F2 |
D8FEECC1A21175819FF43C008A9CC2111E94CBE5B2D7D20C82645AFAEC10FA39 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-KOR.exe |
6AF20E71CF92A1D968E4D59894FFF9BF267361FB |
220642EFC5483967286C554D6E39B3929650100ED0C6AAC3BB0F69739129F950 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-PTB.exe |
CBB061A4942A123BC69DA4AA57F5D0AB1B49E365 |
C502413E7680C55E82F2D9A7D1B8EA8958D7967A758FFABD18C38806BA271360 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-RUS.exe |
E0FA5FB8342E2ED7C74762ED70AC69744BB77ED8 |
9F2A281001193FE1F70B776E62553971CCBB1219B605800526C48AB66955CF |
|
WindowsXP-KB2862152-x86-ARA.exe |
08C5CAA13FC12FF96BE70EB407EDB46E53631B02 |
8D0826034D9A7B390BF54E25A0F54CB7C29A9335C201FD5F7334899B5E159048 |
|
WindowsXP-KB2862152-x86-CHS.exe |
44115DD4A313FE9FE60C718F9C5EA351B134810E |
B93335E701871D7308B212556AE62CA68164931662CAAEEBA3F6FA8A2FC1792D |
|
WindowsXP-KB2862152-x86-CHT.exe |
2C50E771B0E2AFC7970BF6C50122C3C52563F79C |
D27B6B2A20FF1273BB4A145B69F88A4AC57E6118D2DF5C0068ECF348840808FB |
|
WindowsXP-KB2862152-x86-CSY.exe |
BD3DF5F3DD9711701926652FCBBB8F7BCEECC20B |
311FFDB7C7FDD1BD9A9A4347F29B2ED4322248F9938C48598E175E1B2E932DEF |
|
WindowsXP-KB2862152-x86-DAN.exe |
D862174B345C67E95F9A8BE9E32B0EE42375231D |
7687F536680D58036F3A154C695C0DADE51A1A459757005397B0B2C08E2B1A6B |
|
WindowsXP-KB2862152-x86-DEU.exe |
EC84928C2543F65D5EFB65FECF26C714AA85CF4F |
E884909D9E9B884E364BD3EACC7C93436FF586398C43D0F7E0E457D140C737FB |
|
WindowsXP-KB2862152-x86-ELL.exe |
53F4E15D7E65B9973DF6C95F1BEFD95579EEAF09 |
C467E34B2F5FACB6C3B81CBDF63036DCB53933162193F6F32F0D2D0A8F4831F8 |
|
WindowsXP-KB2862152-x86-ENU.exe |
0457906284FF7FD706D77A69AC337CE7F65C7919 |
0CC60947AFACBA9D8DF0BB3E7D6A6FA4E51C67AFCAE87082E2956B1534E05F9E |
|
WindowsXP-KB2862152-x86-ESN.exe |
6FC07F443C1C20F9DBABBDEF941FE7EA867493CA |
092BD98A6D86FCBD5B2F80C9533B54B1EBC07A6752A1D8751369BA410FB52ED6 |
|
WindowsXP-KB2862152-x86-FIN.exe |
547B01212FBC27DEE724EC2DC38DE50F919094A1 |
23620EFC04CF1695E9E3C9B0F8E023A22053088386EF49186F98156171861D43 |
|
WindowsXP-KB2862152-x86-FRA.exe |
D0F53AAD13B2B0A79762801D134E7E40D805F105 |
38718267E7C8090E8C407B2E68F3F6CA7205FCC8246F521E653DA9884512909D |
|
WindowsXP-KB2862152-x86-HEB.exe |
8E965464A33CBF7FDD07B152E39843445B5D9B37 |
ADDC0E3FD19E02559EE684339B0CFDF61F74B812CC7A8DE22360779BB36D9E6C |
|
WindowsXP-KB2862152-x86-HUN.exe |
5600AE08B7CEA40FB83416784E2F39D2C0912D32 |
5590CA39913D20F9F66A364A8CAF55B1627BCFCE84019A471457AAE7243519CE |
|
WindowsXP-KB2862152-x86-ITA.exe |
0320BED1B72A0A93A60323CDF19018190CE6C852 |
103B7DF4D26767943618099A21D1C28E713E51A41F46CD8A6471A21B67FAC58F |
|
WindowsXP-KB2862152-x86-JPN.exe |
E5BFF9F5D16658B02BB69C1B967A3C232604B02F |
6F21CFDFA9EE500970B8712F441682C8539074E7DB85493233448D105B0B1B85 |
|
WindowsXP-KB2862152-x86-KOR.exe |
A30EC90A5C4E9A28FB91505EB50426F0411AD788 |
E44D2458F5899BCC6E992C05AC9F3E25E508A6C9408C0B90723FE6DFCB0F0DC1 |
|
WindowsXP-KB2862152-x86-NLD.exe |
9C7C9B75979D0D6653D31743C1B99DCE50D3FB7 |
4008D539CCB0CFDC7503E5FB1D38BFABCF7ECAE7C1ED1C65926ECE19E3B8A581 |
|
WindowsXP-KB2862152-x86-NOR.exe |
B2C79C2E9A3D4AEC07AC0CA95990109AB23546F0 |
080BE1727CE5D3BDF3D96A20D4D961959E4FB0D2BB82FF3F99DEAB920CCDD42C |
|
WindowsXP-KB2862152-x86-PLK.exe |
337C1A1BA95EDBF09E9406BE80748D1DB80346CF |
C54AD936F9051AABA23906BF9D04EDAE32F3CAB3B2A57EA75B44E12A95500C89 |
|
WindowsXP-KB2862152-x86-PTB.exe |
4C3F4AD1510F0373F0F4E6B73CDDAE9B66392CAB |
C30CA0116215D36D540A4062AFA7C7F45EA956F77CB6B9CA109D2B96628B338C |
|
WindowsXP-KB2862152-x86-PTG.exe |
5927992A54D4AF2429C755CED1050D2447CD15EA |
8AF1670ED2B30CFD201CD250DED392ED7375FD8EB4916F6FAD5CB0BD7A09F38B |
|
WindowsXP-KB2862152-x86-RUS.exe |
69CCC88DDA04A5EAB488D651EFD0FE2BF1C3DE1E |
AAAABC926CECD40D5866207181BAF6BFF7D3D17D51DE8E2B4EDCFD334599F11B |
|
WindowsXP-KB2862152-x86-SVE.exe |
ECAE50464CC4E4711D69DBFCA79FA50CC3C14D27 |
6067587091E45118B8A480C1BC202EB1D4D61FD740B19D381101136F129201E7 |
|
WindowsXP-KB2862152-x86-TRK.exe |
1F11C641C93BF5073C3DA66C03FEC93CAEF3A171 |
7DB972F5221D697263B0DE5CE8A1748D4E9F9B2591951C9A943EDC669B422190 |
Предположим, в целях обеспечения безопасности трафика в локальной сети компании установлены средства для работы с протоколом IPsec. Но хотя администратор неукоснительно следовал всем инструкциям технической документации, у него остаются некоторые сомнения. А действительно ли трафик в сети защищен от посягательств хакеров? Как убедиться в том, что протокол IPsec в самом деле обеспечивает его защиту?
Диагностика IPsec обычно сводится к проверке процесса аутентификации
Давайте для начала разберем, как проверить, все ли функционирует нормально, и далее — если обнаружатся какие-либо проблемы — рассмотрим ситуацию в более широком контексте выявления неполадок, связанных с аутентификацией при применении IPsec. При этом я расскажу о некоторых встроенных средствах Windows Server 2003, которые можно использовать для диагностики нарушений в работе IPsec, если обнаружится, что трафик не шифруется. Отметим, однако, что рассматриваемые в данной статье приемы не всегда применимы к специальным приложениям IPsec, таким, как платы IPsec, а также IPsec на базе виртуальных частных сетей.
1. Проверка функционирования IPsec
Даже если вы успешно развернули средства для работы с протоколом IPsec, это не означает, что все будет работать безукоризненно. Когда разрывается сетевое соединение компьютера Windows Server 2003 или Windows XP, операционная система извещает об этом пользователя. К сожалению, аналогичные средства для мониторинга функционирования протокола IPsec не предусмотрены. В зависимости от реализации IPsec при появлении той или иной проблемы возникает одна из двух ситуаций. Либо теряется связь с сетью, либо — что более вероятно и гораздо опаснее — сетевые каналы связи продолжают функционировать, но прекращается шифрование трафика. Можно себе представить состояние администратора, который полагал, что передаваемые по сети данные защищены, и вдруг обнаружил, что они передаются в виде обычного текста.
Самый быстрый способ определить, функционирует ли протокол IPsec, состоит в следующем. С помощью инструментального средства Network Monitor вы фиксируете пакеты данных, поступающие с компьютера, а также на него, и проверяете, зашифрованы ли эти пакеты. Программа Network Monitor поставляется в комплекте с системой Windows 2003. Для ее установки нужно запустить модуль панели управления Add or Remove Programs и открыть окно Add/Remove Windows Components. После установки программы Network Monitor можно начинать регистрацию пакетов, выбрав пункт Start в меню Capture. Затем необходимо инициировать некие сетевые процессы и сгенерировать данные. Выполните типовую процедуру, такую, как просмотр совместно используемой папки на другом компьютере. Наконец, в меню Capture следует выбрать пункты Stop и View.
На экране 1 представлены данные по двум процедурам перехвата пакетов. На левом экране процедура выполняется в условиях, когда настройки компьютера не предусматривают использование протокола IPsec. В столбце Protocols перечислен целый ряд протоколов. На правом экране компьютер настроен на использование протокола IPsec, и в списке присутствует только один протокол: Encapsulating Security Payload (ESP).
Когда система Windows 2003 настроена на использование стандартных политик IPsec, при перехвате пакетов будет фиксироваться только протокол ESP, а также протокол управления сообщениями в сети Internet ICMP (Internet Control Message Protocol). Последнее обстоятельство объясняется тем, что стандартные политики IPsec допускают использование трафика ICMP. Итак, если при перехвате сетевого трафика обнаруживается присутствие целого ряда протоколов, можно смело сделать вывод, что протокол IPsec не функционирует должным образом.
Почти все связанные с функционированием протокола IPsec проблемы обусловлены неполадками, возникающими в процессе аутентификации на этапе обмена Internet-ключами (Internet Key Exchange, IKE). Когда два компьютера пытаются сформировать безопасное соединение (security association, SA), они вступают во взаимодействие, в ходе которого осуществляется взаимная аутентификация. IKE представляет собой алгоритм, управляющий формированием SA. Аутентификация выполняется с помощью одного из трех методов: распределенный ключ, цифровой сертификат или Kerberos. По умолчанию реализованные в Windows 2003 политики IPsec используют метод Kerberos. В подавляющем большинстве случаев диагностика функционирования IPsec сводится к диагностике процесса аутентификации.
2. Повторный запуск службы IPsec
Как только вы убедитесь в том, что протокол IPsec не работает, первым делом попытайтесь перезапустить службу IPsec. Эта процедура позволит полностью прояснить состояние обмена Internet-ключами. Перезапуск службы IPsec часто дает возможность восстановить функционирование протокола IPsec в тех случаях, когда его работа прекращается вследствие существенных изменений в политике. Два преимущества описанного решения состоят в том, что оно не предполагает перезагрузки сервера и на его реализацию уходит всего несколько секунд. На компьютере Windows 2003 можно перезапустить службу IPsec посредством ввода в командной строке следующих команд Net:
net stop policyagent
net start policyagent
Теперь следует повторно выполнить процедуру перехвата сетевых пакетов или запустить один из командных тестов Netsh, о которых я расскажу позднее.
3. Диагностика проблем, связанных с обменом Internet-ключами, в журнале регистрации событий
Если проблема не решается посредством перезапуска службы IPsec, можно переходить к анализу журнала регистрации событий безопасности. Акты создания и удаления безопасных соединений SA фиксируются как события регистрации в сети. Если вы активизируете функцию аудита успешного и неуспешного применения политики Audit Logon Events, эти события будут записываться в файл регистрации. Когда все функционирует нормально, на экране отображаются коды успешного применения политики — 541, 542 и 543. Но поскольку данная статья посвящена действиям администратора в ситуациях, когда протокол IPsec не функционирует, внимательно следите за кодами неудачной регистрации, которые показаны в Таблице 1. На экране 2 показано событие неудачной регистрации с ID 547.
Одна из проблем, возникающих при регистрации событий SA, состоит в том, что эти события могут быстро заполнить регистрационный файл. Если вы обычно отслеживаете события регистрации в системе, но не хотите, чтобы журнал учета событий безопасности заполнялся записями IKE, можете отключить аудит IKE. Для этого в системном реестре нужно создать параметр HKEY_LOCAL _MACHINESYSTEMCurrentCon trolSetControlLsaAuditDisableIKE Audits и установить его значение равным 1.
4. Использование аутентификации по методу распределенного ключа
В отличие от более сложных методов аутентификации, таких, как Kerberos или метод сертификатов, данный метод базируется на использовании разделяемой строки, поэтому его можно задействовать в качестве резервного механизма активизации средств IPsec. Разумеется, если вы уже осуществляете аутентификацию по методу распределенных ключей и при этом у вас возникают проблемы, необходимо проверить, совпадают ли распределенные ключи на каждом из компьютеров. Чтобы протокол IPsec не функционировал, достаточно опечатки хотя бы в одном из ключей.
Если вы умеете восстанавливать работу протокола IPsec на базе аутентификации по методу распределенных ключей, то наверняка знаете, что для реализации механизмов аутентификации Kerberos или с использованием сертификатов требуется более основательная подготовка. Допустим, вы применяете стандартные политики IPsec и метод аутентификации Kerberos. В этой ситуации для перехода к аутентификации по методу распределенных ключей нужно выполнить следующие действия:
- В службе Active Directory (AD) отключите все политики, которые могут повлиять на использование протокола IPsec.
- В меню Start выберите пункт Run и введите gpedit.msc. Теперь можно начинать редактирование локальной политики.
- В окне редактора объектов групповых политик Group Policy Object Editor выберите узел Computer Configuration Windows SettingsSecurity SettingsIP Security Policies.
- Правой клавишей мыши щелкните на политике, вызвавшей проблемы. В открывшемся контекстном меню выберите пункт Properties.
- В списке Filter на вкладке Rules выберите элемент All IP Traffic и нажмите кнопку Edit.
- В диалоговом окне Edit Rule Properties следует перейти на вкладку Authentication Methods и нажать кнопку Add. Добавьте новый метод аутентификации.
- Выберите переключатель Use this string и введите распределенный ключ. Нажмите ОК.
- С помощью кнопки Move Up на вкладке Authentication Methods следует переместить метод Preshared Key в начало списка. Составляя данные инструкции, я исходил из того, что в политики IPsec не вносилось существенных изменений. Общее правило таково: вместо изменения политики всегда целесообразнее создавать новую. Однако в данном случае вы просто добавляете еще один метод аутентификации, и после решения возникшей проблемы сможете задать ему более низкий приоритет. Переход в режим аутентификации с распределенными ключами существенно упрощает процесс аутентификации и с высокой степенью вероятности обеспечивает функционирование протокола IPsec в вашей сети.
5. Определение активной IPsec-политики
Возможно, протокол IPsec не функционирует потому, что на компьютерах сети прописаны несовместимые политики. Скажем, одна политика может подразумевать аутентификацию с помощью сертификатов, тогда как другие предполагают аутентификацию методом распределенных ключей. Чтобы определить, какая IPsec-политика реализуется в настоящее время, можно использовать одно из двух средств. Первое средство — IP Security Monitor. Эта оснастка панели управления Microsoft Management Console (MMC), представленная на экране 3, пришла на смену утилите Ipsecmon.exe, которая поставлялась с Windows 2000. Она дает возможность определить, какая IPsec-политика активна на данном компьютере.
Те же данные можно получить и другим способом, введя в окне командной строки следующую команду Netsh
netsh ipsec dynamic
show all | more
которая помещает в буфер обмена всю информацию о трафике IPsec. В дальнейшем эти данные можно вставить в окно приложения Notepad, как показано на экране 4. В выходном тексте указывается, что некая политика применяется на локальном уровне (т.е. Client: Respond Only) и через службу AD (т.е. Server: Request Security). Получив эти данные, вы можете быстро прийти к заключению: IPsec не функционирует потому, что для данного компьютера либо вообще не назначена политика, либо назначена политика несовместимая. Вполне вероятно, что после устранения несоответствий в политиках IPsec будет функционировать корректно.
6. Анализ проблем аутентификации Kerberos
Аутентификация по методу Kerberos осуществляется через службу AD. Если при этом возникает проблема, скорее всего, она связана с соответствующими учетными записями компьютера. Возможно, для ее решения придется переустановить пароль учетной записи компьютера или повторно активизировать его учетную запись. Если это не поможет, возможно, придется исключить из IPsec трафик Kerberos на контроллере домена. Для этого требуется ввести команду
netsh ipsec dynamic
set config ipsecexempt value=0
В системе Windows 2000 Kerberos может осуществлять аутентификацию трафика, а в среде Windows 2003 — нет. Данная команда Netsh наделяет Windows 2003 возможностями системы Windows 2000.
7. Анализ проблем аутентификации с использованием сертификатов
Если у вас возникают проблемы с аутентификацией на базе сертификатов, по всей вероятности, они объясняются одной из трех причин: сертификат не установлен, срок действия сертификата истек, или список отозванных сертификатов (Certificate Revocation List, CRL) не полон. Стандартный срок действия сертификата IPsec составляет два года; этого вполне достаточно для того, чтобы сотрудники большинства организаций напрочь забыли о том, что существует такая проблема. В отличие от некоторых других шаблонов сертификатов применяемый по умолчанию шаблон сертификатов IPsec не сконфигурирован для автоматического внесения в список регистрации.
Простейший способ получить сведения о том, установлен ли на данном компьютере сертификат, не искажен ли он и не истек ли срок его действия — заглянуть в хранилище сертификатов локального компьютера. Оснастка консоли MMC Certificates также используется для запроса нового сертификата IPsec. Создавая оснастку MMC Certificates для определения даты истечения срока действия установленного сертификата IPsec, будьте внимательны при выборе параметра. Следует выбрать элемент Computer account, как показано на экране 5. Если же выбрать элемент My user account или Service account, вы не сможете отыскать выданный сертификат IPsec.
С точки зрения долгосрочной перспективы лучше всего сформировать новый шаблон сертификатов IPsec, обеспечивающий возможность автоматического внесения в список регистрации (эта функция реализована только в Windows 2003 Enterprise Edition). В результате сертификаты IPsec будут обновляться автоматически, и никому не придется держать в голове сведения о том, что по прошествии двух лет срок действия сертификатов закончится; важно только, чтобы функция автоматического обновления была активизирована.
Во время использования сертификатов IPsec проверяет список отозванных сертификатов, чтобы определить, не был ли отозван тот или иной сертификат. IPsec выделяет для этого определенное время, и возможно, что данное окно закроется еще до того, как IPsec получит результат. Чтобы отключить проверку списка отозванных сертификатов, нужно ввести команду
netsh ipsec dynamic
set config strongcrlcheck 0
8. Проверка использования клиентской политики. Все ли ее применяют?
Администраторы, не имеющие опыта работы с протоколом IPsec, порой применяют ко всем компьютерам сети стандартную политику Client (Respond Only) и потом удивляются, почему трафик не шифруется. Для того чтобы в системе действовали политики IPsec, должна быть реализована политика, либо требующая, либо предусматривающая использование IPsec. Если всем главным компьютерам назначена политика Client (Respond Only), ни один из них не будет требовать использования IPsec. Чтобы решить проблему, попробуйте активировать на своем компьютере одну из серверных политик и запустите программу GPU Update.
9. Проверка журнала IKE
Если ни один из описанных методов не помог устранить неполадки, связанные с обменом Internet-ключами, возможно, придется прибегнуть к более сложному способу. В этом случае потребуется хорошее знание документов RFC 2408 и IKE RFC 2409, в которых речь идет, соответственно, об Internet Security Association и о протоколе управления ключами (Key Management Protocol, ISAKMP). Трассировку согласования IKE можно инициировать, введя команду
netsh ipsec dynamic
set config ikelogging 1
Изменяя значение параметра ikelogging, можно управлять объемом регистрируемой информации. Максимальное значение данного параметра — 7. При таком значении регистрируются все возможные данные. Файл регистрации трассировки IKE размещается по адресу %systemroot%DebugOakley.log, для его просмотра можно воспользоваться любым текстовым редактором. Отметим, что в регистрационном файле фиксируется множество различных данных, и пользователи, не имеющие опыта работы с IPsec, могут запутаться в его содержимом.
Старайтесь не модифицировать существующие политики
Как правило, политики, входящие в комплект поставки Windows 2003, можно использовать без предварительной настройки. Проблемы могут возникать лишь в тех случаях, когда администратор начинает модифицировать их для аутентификации на базе сертификатов или по методу распределенных ключей. Когда у вас действительно возникнет необходимость изменить метод аутентификации IPsec, не модифицируйте существующую политику — лучше создайте новую. Если вы будете следовать этому совету, то сможете в ходе анализа любой возникшей проблемы быстро переходить к рабочей конфигурации.
Орин Томас (orin@lspace.org) — сотрудник организованного изданием Windows IT Pro учебного и сертификационного Web-сайта CertTutor.net и соавтор вышедшей в издательстве Microsoft Press книги MCSA/MCSE Self-Paced Training Kit (Exam 70-299): Implementing and Administering Security in a Microsoft Windows Server 2003 Network.
- Remove From My Forums
-
Вопрос
-
Всем привет, можете помочь мне?
В логах основного доменного контроллера постоянно сыпятся ошибки 4653 «Ошибка при согласовании основного режима IPsec.»:
Ошибка при согласовании основного режима IPsec.
Локальная конечная точка:
Имя локального субъекта:
—
Сетевой адрес:
17…
Порт модуля ключей:
500
Удаленная конечная точка:
Имя субъекта:
—
Сетевой адрес:
8.8.8.8
Порт модуля ключей:
500
Дополнительные сведения:
Имя модуля ключей:
IKEv1
Метод проверки подлинности:
Неизвестная проверка подлинности
Роль: Инициатор
Состояние олицетворения:
Не включено
Код фильтра основного режима:
475313
Сведения об ошибке:
Точка ошибки:
локальный компьютер
Причина ошибки:
Таймаут согласования
Состояние:
Отправленные первые полезные данные (SA)
Файлы cookie инициирующей стороны:
7253efd6ef8d9581
Файлы cookie ответившей стороны:
0000000000000000Подскажите, как можно диагностировать эту проблему и найти ее причину? Спасибо
Lab setup: Windows Server 2008RC2 running CA, DC, NDES roles.
Client: Embedded Linux device with strongSwan 5.1.1 and openssl.
I have successfully configured NDES and SCEP, and enrolled a machine certificate on the client.
On the server an IPsec policy is assigned (3DES, SHA1, DH group 2). Firewall is disabled.
IPsec transport mode is chosen and the server/client are on the same net.
Ping from server to client correctly establishes the SA. All good.
Now comes the problem: when the client sends the IKE_SA_INIT message, no response is returned (using wireshark).
On the server the audit event log lists Event 4653:
============================================
An IPsec main mode negotiation failed.
Local Endpoint:
Local Principal Name:
—
Network Address:
192.168.0.2
Keying Module Port:
500
Remote Endpoint:
Principal Name:
—
Network Address:
192.168.0.3
Keying Module Port:
500
Additional Information:
Keying Module Name:
IKEv2
Authentication Method:
Unknown authentication
Role: Responder
Impersonation State:
Not enabled
Main Mode Filter ID:
0
Failure Information:
Failure Point:
Local computer
Failure Reason:
No policy configured
State:
No state
Initiator Cookie:
5ac3b111d55ad243
Responder Cookie:
f467fab69613cf7c
The machine certificate looks like (notice the added enhanced key usages server and client auth, which I understand is required):
============================================
# openssl x509 -text -inform DER -in /etc/ipsec.d/certs/fccCert.der
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
4c:8a:98:ac:00:00:00:00:00:0c
Signature Algorithm: sha1WithRSAEncryption
Issuer: DC=net, DC=lmhlab, CN=LMH-WIN2008R2-CA
Validity
Not Before: Feb 3 09:33:56 2014 GMT
Not After : Feb 3 09:33:56 2016 GMT
Subject: C=CH, O=Linux, CN=CPB529-2
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
<cut>
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
email:lmh@doms.dk
X509v3 Subject Key Identifier:
A2:54:A9:A3:E3:DC:C6:F0:0D:ED:B9:87:37:42:82:6A:62:4D:E6:75
X509v3 Authority Key Identifier:
keyid:DE:17:51:17:28:69:C3:10:E2:00:26:D7:0D:A8:A9:25:A0:E4:CA:3D
X509v3 CRL Distribution Points:
URI:ldap:///CN=LMH-WIN2008R2-CA,CN=LMH-WIN2008R2DC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lmhlab,DC=net?certificateRevocationList?base?objectClass=cRLDistributionPoint
Authority Information Access:
CA Issuers — URI:ldap:///CN=LMH-WIN2008R2-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=lmhlab,DC=net?cACertificate?base?objectClass=certificationAuthority
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
1.3.6.1.4.1.311.21.7:
0-.%+…..7……..Z…&…Y…d.A..m…?..d…
X509v3 Extended Key Usage:
1.3.6.1.4.1.311.20.2.1, TLS Web Server Authentication, 1.3.6.1.5.5.8.2.2, TLS Web Client Authentication
1.3.6.1.4.1.311.21.10:
020..
+…..7…0
..+…….0
..+…….0
..+…….
Signature Algorithm: sha1WithRSAEncryption
<cut>
——BEGIN CERTIFICATE——
<cut>
——END CERTIFICATE——
The IKE_SA_INIT request looks like:
============================================
No. Time Source Destination Protocol Length Info
89550 504103.645307 192.168.0.3 192.168.0.2 ISAKMP 650 IKE_SA_INIT
Frame 89550: 650 bytes on wire (5200 bits), 650 bytes captured (5200 bits)
Arrival Time: Feb 5, 2014 09:53:52.767787000 Romance Standard Time
Epoch Time: 1391590432.767787000 seconds
[Time delta from previous captured frame: 10.834437000 seconds]
[Time delta from previous displayed frame: 409.652542000 seconds]
[Time since reference or first frame: 504103.645307000 seconds]
Frame Number: 89550
Frame Length: 650 bytes (5200 bits)
Capture Length: 650 bytes (5200 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:isakmp]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: Doms_00:ab:c7 (00:50:55:00:ab:c7), Dst: CadmusCo_51:94:77 (08:00:27:51:94:77)
Destination: CadmusCo_51:94:77 (08:00:27:51:94:77)
Address: CadmusCo_51:94:77 (08:00:27:51:94:77)
…. …0 …. …. …. …. = IG bit: Individual address (unicast)
…. ..0. …. …. …. …. = LG bit: Globally unique address (factory default)
Source: Doms_00:ab:c7 (00:50:55:00:ab:c7)
Address: Doms_00:ab:c7 (00:50:55:00:ab:c7)
…. …0 …. …. …. …. = IG bit: Individual address (unicast)
…. ..0. …. …. …. …. = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Internet Protocol Version 4, Src: 192.168.0.3 (192.168.0.3), Dst: 192.168.0.2 (192.168.0.2)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
0000 00.. = Differentiated Services Codepoint: Default (0x00)
…. ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 636
Identification: 0x0000 (0)
Flags: 0x02 (Don’t Fragment)
0… …. = Reserved bit: Not set
.1.. …. = Don’t fragment: Set
..0. …. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: UDP (17)
Header checksum: 0xb71b [correct]
[Good: True]
[Bad: False]
Source: 192.168.0.3 (192.168.0.3)
Destination: 192.168.0.2 (192.168.0.2)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Source port: isakmp (500)
Destination port: isakmp (500)
Length: 616
Checksum: 0x0043 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Internet Security Association and Key Management Protocol
Initiator cookie: 5ac3b111d55ad243
Responder cookie: 0000000000000000
Next payload: Security Association (33)
Version: 2.0
Exchange type: IKE_SA_INIT (34)
Flags: 0x08
…. 1… = Initiator: Initiator
…0 …. = Version: No higher version
..0. …. = Response: Request
Message ID: 0x00000000
Length: 608
Type Payload: Security Association (33)
Next payload: Key Exchange (34)
0… …. = Critical Bit: Not Critical
Payload length: 352
Type Payload: Proposal (2) # 1
Next payload: Proposal (2)
0… …. = Critical Bit: Not Critical
Payload length: 40
Proposal number: 1
Protocol ID: IKE (1)
SPI Size: 0
Proposal transforms: 4
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Encryption Algorithm (ENCR) (1)
Transform ID (ENCR): ENCR_3DES (3)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Integrity Algorithm (INTEG) (3)
Transform ID (INTEG): AUTH_HMAC_SHA1_96 (2)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Pseudo-random Function (PRF) (2)
Transform ID (PRF): PRF_HMAC_SHA1 (2)
Type Payload: Transform (3)
Next payload: NONE / No Next Payload (0)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): Alternate 1024-bit MODP group (2)
Type Payload: Proposal (2) # 2
Next payload: NONE / No Next Payload (0)
0… …. = Critical Bit: Not Critical
Payload length: 308
Proposal number: 2
Protocol ID: IKE (1)
SPI Size: 0
Proposal transforms: 36
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Encryption Algorithm (ENCR) (1)
Transform ID (ENCR): ENCR_3DES (3)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 12
Transform Type: Encryption Algorithm (ENCR) (1)
Transform ID (ENCR): ENCR_AES_CBC (12)
Transform IKE2 Attribute Type (t=14,l=2) Key-Length : 128
1… …. …. …. = Transform IKE2 Format: Type/Value (TV)
Transform IKE2 Attribute Type: Key-Length (14)
Value: 0080
Key Length: 128
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 12
Transform Type: Encryption Algorithm (ENCR) (1)
Transform ID (ENCR): ENCR_AES_CBC (12)
Transform IKE2 Attribute Type (t=14,l=2) Key-Length : 192
1… …. …. …. = Transform IKE2 Format: Type/Value (TV)
Transform IKE2 Attribute Type: Key-Length (14)
Value: 00c0
Key Length: 192
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 12
Transform Type: Encryption Algorithm (ENCR) (1)
Transform ID (ENCR): ENCR_AES_CBC (12)
Transform IKE2 Attribute Type (t=14,l=2) Key-Length : 256
1… …. …. …. = Transform IKE2 Format: Type/Value (TV)
Transform IKE2 Attribute Type: Key-Length (14)
Value: 0100
Key Length: 256
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Integrity Algorithm (INTEG) (3)
Transform ID (INTEG): AUTH_HMAC_MD5_96 (1)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Integrity Algorithm (INTEG) (3)
Transform ID (INTEG): AUTH_HMAC_SHA1_96 (2)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Integrity Algorithm (INTEG) (3)
Transform ID (INTEG): AUTH_AES_XCBC_96 (5)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Integrity Algorithm (INTEG) (3)
Transform ID (INTEG): AUTH_AES_CMAC_96 (8)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Integrity Algorithm (INTEG) (3)
Transform ID (INTEG): AUTH_HMAC_SHA2_256_128 (12)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Integrity Algorithm (INTEG) (3)
Transform ID (INTEG): AUTH_HMAC_SHA2_384_192 (13)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Integrity Algorithm (INTEG) (3)
Transform ID (INTEG): AUTH_HMAC_SHA2_512_256 (14)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Pseudo-random Function (PRF) (2)
Transform ID (PRF): PRF_HMAC_MD5 (1)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Pseudo-random Function (PRF) (2)
Transform ID (PRF): PRF_HMAC_SHA1 (2)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Pseudo-random Function (PRF) (2)
Transform ID (PRF): PRF_AES128_CBC (4)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Pseudo-random Function (PRF) (2)
Transform ID (PRF): PRF_HMAC_SHA2_256 (5)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Pseudo-random Function (PRF) (2)
Transform ID (PRF): PRF_HMAC_SHA2_384 (6)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Pseudo-random Function (PRF) (2)
Transform ID (PRF): PRF_HMAC_SHA2_512 (7)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Pseudo-random Function (PRF) (2)
Transform ID (PRF): PRF_AES128_CMAC6 (8)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): Alternate 1024-bit MODP group (2)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 1536 bit MODP group (5)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 2048 bit MODP group (14)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 3072 bit MODP group (15)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 4096 bit MODP group (16)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 8192 bit MODP group (18)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 256-bit random ECP group (19)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 384-bit random ECP group (20)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 521-bit random ECP group (21)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 1024-bit MODP Group with 160-bit Prime Order Subgroup (22)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 2048-bit MODP Group with 224-bit Prime Order Subgroup (23)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 2048-bit MODP Group with 256-bit Prime Order Subgroup (24)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 192-bit Random ECP Group (25)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): 224-bit Random ECP Group (26)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): Unknown (27)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): Unknown (28)
Type Payload: Transform (3)
Next payload: Transform (3)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): Unknown (29)
Type Payload: Transform (3)
Next payload: NONE / No Next Payload (0)
0… …. = Critical Bit: Not Critical
Payload length: 8
Transform Type: Diffie-Hellman Group (D-H) (4)
Transform ID (D-H): Unknown (30)
Type Payload: Key Exchange (34)
Next payload: Nonce (40)
0… …. = Critical Bit: Not Critical
Payload length: 136
DH Group #: Alternate 1024-bit MODP group (2)
Key Exchange Data: 488bf42e98dcb8a37e86e1a25964ed9b41948c941ad2d296…
Type Payload: Nonce (40)
Next payload: Notify (41)
0… …. = Critical Bit: Not Critical
Payload length: 36
Nonce DATA: 5bfaeebc0a0c9f01cb6a75a8a088429b684fd7d158bec7e8…
Type Payload: Notify (41)
Next payload: Notify (41)
0… …. = Critical Bit: Not Critical
Payload length: 28
Protocol ID: RESERVED (0)
SPI Size: 0
Notify Message Type: NAT_DETECTION_SOURCE_IP (16388)
Notification DATA: 1575bc35e95f2cb05722320f7a3d5e0db6a7a58d
Type Payload: Notify (41)
Next payload: NONE / No Next Payload (0)
0… …. = Critical Bit: Not Critical
Payload length: 28
Protocol ID: RESERVED (0)
SPI Size: 0
Notify Message Type: NAT_DETECTION_DESTINATION_IP (16389)
Notification DATA: efd4ca3ddcf8776889bbe21344e0116a0cf19784
I guess my configuration is somehow wrong, but can’t figure out what is wrong. Any help is greatly appreciated.
Thanks and regards,
Lars
Windows RT 8.1 Windows 8.1 Windows 8.1 Enterprise Windows 8.1 Pro Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows Server 2012 R2 Standard Windows RT Windows 8 Windows 8 Enterprise Windows 8 Pro Windows Server 2012 Datacenter Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2012 Standard Windows 7 Service Pack 1 Windows 7 Enterprise Windows 7 Professional Windows 7 Ultimate Windows 7 Home Premium Windows 7 Home Basic Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 Service Pack 2 Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Vista Service Pack 2 Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Service Pack 3 Microsoft Windows XP Home Edition Microsoft Windows XP Professional Еще…Меньше
ВВЕДЕНИЕ
Корпорация Майкрософт выпустила рекомендации майкрософт по безопасности по этой проблеме для ИТ-специалистов. Рекомендации по безопасности содержат дополнительную информацию, связанную с обеспечением безопасности. Чтобы просмотреть рекомендации по безопасности, перейдите на следующий веб-сайт Корпорации Майкрософт:
http://technet.microsoft.com/security/advisory/2862152
Решение
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.
Дополнительная информация
1. Цель этого обновления для системы безопасности
Обновление системы безопасности только подтверждает проверку удостоверений удаленных серверов IPsec при удаленном под соединении с клиентом IPsec. Установка этого обновления может быть трехшаговая. Процесс описан в этом разделе и подробно описан в этой статье.
Чтобы установить это обновление, выполните следующие действия:
-
Установите обновление на клиентской системе, улучшая проверку удаленного сервера. Обновление будет отключено после установки, пока администратор не выполнит шаг 2 и не включит обновление вручную. (Это описано в разделе 4.1.) Если имеется конфигурация «клиент-шлюз», обновление должно быть установлено на клиентский компьютер. Если имеется конфигурация «сайт-сайт», установку должны получить оба сервера удаленных сообщений.
-
Обновив сертификат на сервере, удостоверение которого нужно проверить в соответствии с новыми правилами проверки. (Это описано в разделе «Инструкции по развертыванию».)
-
Обновив реестр на компьютерах проверки, включив в него новые правила проверки. Как только эти правила зарегистрируются в реестре, обновление автоматически начнет применять новые правила при создании туннель с удаленной стороной.
Обратите внимание, что это обновление применимо только к подключениям в режиме туннела. Это не влияет на подключения в режиме транспорта.
2. Кто должен установить это обновление для системы безопасности?
Администраторам предприятий с такой конфигурацией следует обновить удаленный клиент и серверы для повышения безопасности.
-
DirectAccess с сертификатом AuthIP В такой конфигурации обновление необходимо установить на клиентских компьютерах под управлением
Windows 7. Сервер, сертификат которого необходимо обновить в конфигурации, может работать на Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2.Это обновление не будет действовать, если оно установлено в Windows 8 на основе сертификата.
-
DirectAccess с проверкой подлинности KerbProxy AuthIP в этой конфигурации обновление необходимо установить на клиентских компьютерах Windows 8 или
Windows 8.1. Для сервера не требуется никаких изменений. -
IPsec с проверкой подлинности на основе сертификата — это
наиболее универсальная конфигурация. Ее можно настроить как клиент-шлюз или как сайт-сайт.
|
Сценарий |
Протокол |
Способ проверки подлинности |
Тип установки |
Платформы для исправления |
|---|---|---|---|---|
|
IPSec |
IKEv1 |
На основе сертификата |
Сайт-сайт (например, RRAS) |
Win 2003, Windows Server 2008 и Windows Server 2008 R2 |
|
«Клиент-сервер» |
Windows XP, Windows Vista, Windows 7 |
|||
|
Компонент DirectAccess |
AuthIP |
На основе сертификата |
«Клиент-сервер» (например, DirectAccess) |
Windows 7 |
|
KerbProxy |
«Клиент-сервер» (например, DirectAccess) |
Windows 8, Windows 8.1 |
Важное примечание. Для проверки подлинности на основе сертификата (IPsec или DirectAccess):
-
Сайт на сайте. Windows Server 2012 и Windows Server 2012 R2 не нужно будет исправление, так как в этом поле достаточно проверки сертификатов.
-
От клиента к шлюзу: Windows 8 и Windows 8.1 не нужно будет исправление, так как в этом поле достаточно проверок сертификатов.
Дополнительные сведения о настройке проверок сертификатов в Windows 8, 8.1, Server 2012 и Server 2012 R2 см. в следующей статье Microsoft TechNet:
Шаг 1. Настройка инфраструктуры DirectAccess
3. Сценарии развертывания
3.1. Клиент IPsec для шлюза
В этом разделе показана типичная конфигурация «клиент-шлюз». Обновление улучшит проверку на том, действительно ли компьютер C1 является действительной версией сервера R1.
3.2. Сайт IPsec на сайт
Здесь показан распространенный трафик инициирует туннель «сайт-сайт IPsec». Серверу R1 и R2 необходимо это обновление и связанную с ним конфигурацию, чтобы обеспечить более строгую проверку достоверности других серверов.
4. Инструкции по развертыванию
4.1. Описание обновления для системы безопасности
В рамках обновления для системы безопасности 2862152 IPsec применяет дополнительные проверки в согласовании IPsec с методами проверки подлинности сертификатов (для Windows 7, Windows Server 2008 R2, Windows XP и Windows Server 2003) и проверки подлинности KerbProxy (для Windows 8, Windows Server 2012, Windows 8.1 и Windows Server 2012). Во время согласования IPsec также проверяет указанные атрибуты со значениями в реестре следующим образом:
Windows 7 и более ранние версии операционных систем
-
Если настроены только IP-адрес и EKU, IPsec проверяет наличие ip-адреса назначения и идентификатора объекта EKU (OID).
-
Если настроены только IP-адрес и DNS, IPsec проверяет наличие IP-адреса назначения и имени DNS (сертификата).
-
Если настроены IP-адрес, DNS и EKU, IPsec проверяет ip-адрес назначения и идентификатор объекта EKU.
Примечания.
-
DNS (сертификат) — это имя сертификата на сервере (или на стороне ответа).
-
Идентификатор объекта EKU — это идентификатор расширенного использования ключа, который находится в сертификате сервера.
Windows 8 и Windows 8.1
-
Ip-адрес назначения и значения SPN для имени основной службы
(SPN) обычно имеет следующий формат:
host/<ComputerName>.<ComputerDomain>.comAdministrators должны предоставлять действительные IP-адреса, имена DNS и идентификаторы объектов EKU (в Windows 7 и более ранних версиях) или действительные IP-адреса и значения spN (в Windows 8 и более поздних версиях) через параметры реестра. Каждый модуль ключа будет иметь отдельный реестр, в который будет в качестве подкайки для каждого метода проверки подлинности.
Эти же параметры можно также настроить на компьютере, отвечая на запросы, чтобы защитить ответив. Это применимо только для Windows 7 и более ранних версий.
В Windows 8 и более поздних версиях можно настроить только компьютер-инициатор. Не удается настроить ответного.
4.2. Развертывание сертификатов — Windows 7 и более ранние версии
Сценарий 4.2.1 IPsec
4.2.1.1 EKU в клиенте:
-
Если у вашего клиента IPsec уже есть сертификат с EKU, вам не нужно обновлять или перезаповлать новый сертификат в клиентской системе IPsec. На IPsec-сервере будет развернут новый сертификат с EKU.
Обратите внимание, что этот сертификат должен быть прицепен к корневому центру сертификации (ЦС), настроеному в политике IPsec. Настройте новый EKU в параметрах реестра клиента.
-
Сертификаты без EKU считаются «всена назначениями». При этом новые проверки EKU не будут применяться. Если вы хотите принудительно выполнять проверку сертификата, настройте только параметры DNS.
4.2.1.2 Конфигурация DNS клиента:
-
Если вы хотите использовать проверки на основе DNS, можно настроить имя DNS (имя сертификата) сертификата сервера в параметрах реестра клиента.
Примечание. Если EKU настроен, параметры DNS не рассматриваются. Поэтому, если вы хотите использовать проверку на основе DNS, настройте только параметры DNS.
4.2.2 Сценарий «сайт-сайт»
Конфигурация EKU 4.2.2.1:
-
Если у вашего инициатора или ответа уже есть сертификат с EKU, вам не нужно обновлять или перезаповлать сертификат для этого инициатора или ответа. Просто настройте EKU одноранговых сертификатов в параметрах реестра на обоих концах.
-
Если у вашего сертификата инициатора или ответа нет EKU, это означает, что это «всенамерный сертификат» и новые проверки EKU не будут применяться. Если вы хотите принудительно выполнять проверку сертификата, настройте только параметры DNS.
4.2.2.2 Конфигурация DNS:
-
Если вы хотите использовать проверки на основе DNS, вы можете настроить имя DNS (имя сертификата) одноранговых сертификатов в реестре на обеих сторонах.
Примечание. Если EKU настроен, параметры DNS не рассматриваются. Поэтому, если вы хотите использовать проверку на основе DNS, настройте только параметры DNS.
4.3. Параметры реестра в Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008
Проверка будет включена только в том случае, если настроены ключи реестра.
Обратите внимание, что проверка будет принудительной, даже если у ключа реестра нет значений или данных.
-
4.3.1: проверка подлинности сертификации с помощью AuthIP
-
Ключ реестра: HKLMSYSTEMCurrentControlSetServicesIKEEXTParametersIPsecTunnelConfigAuthIPCert
-
Имя реестра: это может быть любое имя (например, Tunnel1).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <DNS1> <DNS2> <DNS3> <EKU OID>
В них могут быть пробелы, табула или новая строка. Например, данные также можно настроить следующим
образом: Data: <IPv4Address или IPv6Address>
<DNS1>
<DNS2><DNS3><пользовательскийEKU OID>Настраиваемый EKU OID следует настроить с помощью префикса EKU:, как показано в следующем
примере:EKU:<EKU OID>У реестра может быть несколько
имен:
-
Имя реестра: это может быть любое имя (например, Tunnel2).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <DNS4> <DNS5> <DNS6> <EKU OID>
-
-
4.3.2: проверка подлинности сертификации с помощью IKEv1
-
Ключ реестра: HKLMSYSTEMCurrentControlSetServicesIKEEXTParametersIPsecTunnelConfigIKEV1Cert
-
Имя реестра: это может быть любое имя (например, Tunnel1).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <DNS1> <DNS2> <DNS3> <EKU OID>
В них могут быть пробелы, табула или новая строка. Например, данные также можно настроить следующим
образом: Data: <IPv4Address или IPv6Address>
<DNS1>
<DNS2><DNS3><пользовательскийEKU OID>Настраиваемый EKU OID следует настроить с помощью префикса EKU:, как показано в следующем
примере:EKU:<EKU OID>У реестра может быть несколько
имен:
-
Имя реестра: это может быть любое имя (например, Tunnel2).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <DNS4> <DNS5> <DNS6> <EKU OID>
Каждая запись может иметь не более 10 имен DNS и только один пользовательский EKU.
Максимальное количество настраиваемых имен DNS для записи — 10.
Примечание. Если размер записи превышает 16 384 знака, эта запись будет игнорироваться. К ним относятся размер IP-адреса и EKU.
На каждый пункт назначения в туннель можно использовать только один EKU (например, на IP-адрес). Поиск является итеративным. Если настроено несколько «IP-записей», первый настроенный EKU для этого записи IP-адреса будет считаться допустимым.
Максимальное количество туннельов, которые можно настроить в соответствии с путем реестра, — 1024.
Примечания
-
Необходимо настроить значения «IP». Администраторы могут настроить DNS или EKU в зависимости от своих потребностей.
-
Если настроен только EKU, проверяется EKU, присутствующий в одноранговом сертификате, а также включается или дефис проверки подлинности на основе результатов проверки.
-
Если настроено только имя DNS, проверяется только имя subjectAltName, присутствующие в сертификате, и включается или дефис проверки подлинности на основе результатов проверки.
-
Если настроены EKU и DNS, проверяется только EKU, а также включается или дефис проверки подлинности на основе проверки.
-
Подход К DNS:
-
В поле «Имя» можно указать любую строку.
-
Если у сервера есть IPv6-адрес, вместо IPv4-адреса можно указать тот же IPv6-адрес.
Способ EKU:
4.4. Параметры реестра в Windows XP и Windows Server 2003
Проверка будет включена только в том случае, если настроены ключи реестра.
Обратите внимание, что проверки будут принудительными, даже если у ключей реестра нет значений или данных.
4.4.1: проверка подлинности сертификации с помощью Покли
-
Ключ реестра: HKLMSYSTEMCurrentControlSetServicesPolicyAgentРазлиCert
-
Имя реестра: это может быть любое имя (например, Tunnel1).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address> <DNS1> <DNS2> <DNS3> <пользовательский разделитель данных EKU OID>Может быть
«пробел», «вкладка» или «новая строка». Например, можно также настроить данные следующим образом:
Data: <IPv4Address>
<DNS1>
<DNS2><DNS3><пользовательскийEKU OID>Настраиваемый EKU OID следует настроить с помощью префикса EKU:, как показано в следующем
примере:EKU:<EKU OID>У реестра может быть несколько
имен:
-
Имя реестра: это может быть любое имя (например, Tunnel2).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address> <DNS4> <DNS5> <DNS6> <EKU OID>
IP-адрес — это адрес назначения для туннель, который должен быть первой строкой в записи.
Каждая запись может иметь не более 10 имен DNS и только один пользовательский EKU.
Максимальное количество настраиваемых имен DNS для записи — 10.
Примечание. Если размер записи превышает 16 384 знака, эта запись будет игнорироваться. К ним относятся размер IP-адреса и EKU.
На место назначения для туннель можно использовать только один EKU (например, на IP-адрес). Поиск является итеративным. Если настроено несколько «IP-записей», первый настроенный EKU для этого записи IP-адреса будет считаться допустимым.
Максимальное количество туннельов, которые можно настроить в соответствии с путем реестра, — 1024.
Примечания
-
Необходимо настроить значения «IP». Администраторы могут настроить DNS или EKU в зависимости от своих потребностей.
-
Если настроен только EKU, мы проверяем EKU, присутствующий в одноранговом сертификате, и разрешаем или отвяжим проверку подлинности на основе результатов проверки.
-
Если настроено только имя DNS, проверяется только имя subjectAltName, присутствующие в сертификате, и разрешается проверка подлинности или дефис проверки подлинности на основе результатов проверки.
-
Если они настроены, проверяется только EKU и на основании проверки разрешается или дефис проверки подлинности.
Подход К DNS:
-
В поле «Имя» можно указать любую строку.
-
Если у сервера есть IPv6-адрес, вместо IPv4-адреса можно указать тот же IPv6-адрес.
Способ EKU:
4.5: Windows 8 и Windows 8.1
Проверка будет включена только в том случае, если настроен ключ реестра. Следует помнить, что проверки будут выполняться путем простого добавления ключа даже без значений и данных реестра.
4.5.1. Проверка подлинности KerbProxy с помощью проверки подлинности AuthIP:
-
Параметр реестра: HKLMSYSTEMCurrentControlSetServicesIKEEXTParametersIPsecTunnelConfigAuthIPkerberos
-
Имя реестра: это может быть любая строка (например, Tunnel1).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <SPN1> <SPN2> <SPN3>Разделитель данных может быть
пробелом, вкладка или новая строка. Например, данные также можно настроить следующим
образом: Data: <IPv4Address или IPv6Address>
<SPN1>
<SPN2><SPN3>У реестра может быть несколько именреестра:
-
Имя реестра: это может быть любая строка (например, Tunnel2).
-
Тип: REG_MULTI_SZ
-
Данные: <IPv4Address или IPv6Address> <SPN4> <SPN5> <SPN6>
IP-адрес — это адрес назначения для туннель, который должен быть первой строкой в записи.
Максимальное количество настроенных SPNS для одной записи — 10.
Обратите внимание, что если размер записи (включая размер IP-адреса) превышает 16 384 знака, эта запись будет проигнорирована. Максимальное количество туннельов, которые можно настроить в соответствии с путем реестра, — 1024.
Способ NN:
-
В поле «Имя» можно указать любую строку.
-
Если у сервера есть IPv6-адрес, вместо IPv4-адреса можно указать тот же IPv6-адрес.
5. Устранение неполадок
Если возникают сбои подключения IPsec, выполните следующие действия, чтобы устранить проблему:
-
Убедитесь, что выполняется правильная конфигурация, как описано в предыдущих разделах.
-
Изучите журналы событий, чтобы определить, что произошло с ошибкой: инициатор или ответив.
-
В Windows 8 и более поздних версиях нет изменений со стороны ответа. Таким образом, сбой может быть только у инициатора. Если произойдет сбой, по трассировке IKE будет отобрано сообщение, похожее на следующее в журнале:
Одноранговая spN AuthIP не совпадает с настроенным spn
-
В Windows 7 и более ранних версиях сбой может быть сгенерирован инициатором или ответителем.
При сбоях на стороне инициатора регистрируются следующие события:
|
Случай сбоя |
Инициатор |
Ответ |
|---|---|---|
|
IKEv1 |
Не удалось согласование основного режима IPsec. |
Создана связь безопасности основного режима IPsec. Не включен расширенный режим. Сертификат использовался для проверки подлинности. |
|
Связь безопасности основного режима IPsec была завершена. |
||
|
AuthIP |
Не удалось согласование основного режима IPsec. |
Не удалось согласование основного режима IPsec. |
При сбоях на стороне ответа регистрируются следующие события:
|
Случай сбоя |
Инициатор |
Ответ |
|---|---|---|
|
IKEv1 |
Создана связь безопасности основного режима IPsec. Не включен расширенный режим. Сертификат использовался для проверки подлинности |
Создана связь безопасности основного режима IPsec. Не включен расширенный режим. Сертификат использовался для проверки подлинности. |
|
Не удалось согласование быстрого режима IPsec. |
Связь безопасности основного режима IPsec была завершена. |
|
|
Связь безопасности основного режима IPsec была завершена. |
Не удалось согласование быстрого режима IPsec. |
|
|
AuthIP |
Не удалось согласование основного режима IPsec. |
Не удалось провести согласование в расширенном режиме IPsec. Соответствующая связь безопасности основного режима была удалена. |
|
Не удалось провести согласование в расширенном режиме IPsec. Соответствующая связь безопасности основного режима была удалена. |
Трассировки IKE
-
В этой области можно включить трассировку IKE и воспроизвести проблему.
-
Остановите трассировку IKE.
-
Поделитесь файлом Ikeext.etl из C:windowssystem32 в службу поддержки Майкрософт.
При сбоях трассировка IKE отображает следующие журналы:
Сбой из-за EKU:
-
Пользовательский EKU сертификата одноранговых сертификатов НЕ совпадает с настроенным EKU для AUTHIP
-
Пользовательский EKU сертификата одноранговой связи НЕ совпадает с настроенным EKU для IKE
Сбой из-за сертификата:
-
Имя DNS для одноранговых сертификатов IKE НЕ совпадает с настроенными именами DNS
-
DNS-имя одноранговых сертификатов AUTHIP не совпадает с настроенными именами DNS
Windows XP и Windows Server 2003
ЖурналыВлений помогают определить причину сбоев, связанных с IPsec.
Чтобы включить ведение журнала IPsec, в командной области введите следующую команду и нажмите ввод:
Чтобы воспроизвести сбой netsh IPsec dynamic set config ikelogging 1Then, введите следующую команду:
Журнал Netsh IPsec dynamic set config ikelogging 0TheLey создается в следующей папке:
C:winodwsDebugIf есть сбои, трассировки IKE будут отображать следующие журналы:
Сбой из-за EKU:
-
Пользовательский EKU сертификата одноранговой связи НЕ совпадает с настроенным EKU для IKEv1
Сбой из-за сертификата:
-
Имя DNS-сертификата не совпадает с настроенным ИМЕНЕМ DNS для IKEv1
Обратите внимание на то, что в сообщении, которое указано в этом списке, сообщение «НЕ совпадает» является опечаткой, которая появляется в коде.
Ссылки
Дополнительные сведения о IPsec можно найти на следующей веб-странице Майкрософт:
http://technet.microsoft.com/en-us/library/hh831416Дополнительные сведения о ЦС см. на веб-странице руководства по дополнительному развертыванию:
http://technet.microsoft.com/en-us/library/hh831436Дополнительные сведения о развертывании одного сервера удаленного доступа можно найти на следующей веб-странице:
http://technet.microsoft.com/en-us/library/hh831520Дополнительные сведения о VPN для сайта можно найти на следующей веб-странице руководства по тестовой лаборатории Майкрософт:
http://technet.microsoft.com/en-us/library/jj574084.aspx
СВЕДЕНИЯ О ФАЙЛЕ
В версии этого обновления для английского языка (США) устанавливаются файлы с атрибутами, перечисленными в таблицах ниже. Дата и время для файлов указаны в формате UTC. Даты и время для этих файлов на локальном компьютере отображаются в вашем локальном времени и с текущим переходом на летнее время (DST). Кроме того, при выполнении определенных операций с файлами даты и время могут измениться.
-
Файлы, которые относятся к определенной вехе (SPn)и ветви обслуживания (QFE, GDR), отмечены в столбцах «Требования SP» и «Ветвь обслуживания».
-
В выпусках обновлений для общего распространения (GDR) содержатся только общедоступные исправления, которые предназначены для устранения распространенных критических проблем. В филиалах службЫ QFE имеются исправления, а также широко выпущенные исправления.
-
Помимо файлов, перечисленных в этих таблицах, в этом обновлении также устанавливается связанный файл каталога безопасности(KB-номер.cat), подписанный цифровой подписью Майкрософт.
Для всех поддерживаемых версий Windows XP на базе x86
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Oakley.dll |
5.1.2600.6462 |
278,528 |
12-окт-2013 |
15:56 |
x86 |
Для всех поддерживаемых версий Windows Server 2003 и Windows XP Professional 64 на базе x64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
Необходимый пакет обновления |
Ветвь обслуживания |
|---|---|---|---|---|---|---|---|
|
Oakley.dll |
5.2.3790.5238 |
407,040 |
13-окт-2013 |
05:37 |
x64 |
SP2 |
SP2QFE |
|
Woakley.dll |
5.2.3790.5238 |
361,472 |
13-окт-2013 |
05:37 |
x86 |
SP2 |
SP2QFEWOW |
Для всех поддерживаемых версий Windows Server 2003 на базе x86
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Oakley.dll |
5.2.3790.5238 |
361,472 |
12-окт-2013 |
15:57 |
x86 |
Для всех поддерживаемых версий Windows Server 2003 на базе IA-64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
Необходимый пакет обновления |
Ветвь обслуживания |
|---|---|---|---|---|---|---|---|
|
Oakley.dll |
5.2.3790.5238 |
565,760 |
13-окт-2013 |
05:37 |
IA-64 |
SP2 |
SP2QFE |
|
Woakley.dll |
5.2.3790.5238 |
361,472 |
13-окт-2013 |
05:37 |
x86 |
SP2 |
SP2QFEWOW |
-
Файлы, которые относятся к определенному продукту, вехе (SPn)и ветви обслуживания (LDR, GDR), можно определить, изучив номера версий файлов, как показано в следующей таблице:
Версия
Продукт
Этап разработки
Направление поддержки
6.0.6002. 18xxx
Windows Vista с SP2 и Windows Server 2008 с SP2
SP2
GDR
6.0.6002. 23xxx
Windows Vista с SP2 и Windows Server 2008 с SP2
SP2
LDR
-
В выпусках обновлений для общего распространения (GDR) содержатся только общедоступные исправления, которые предназначены для устранения распространенных критических проблем. В выпусках обновлений LDR помимо общедоступных содержатся дополнительные исправления.
Обратите внимание на то, что в списке нет установленных файлов МАНИФЕСТА (.manifest) и ФАЙЛОВ СЛП (.manifest).
Для всех поддерживаемых версий Windows Vista и Windows Server 2008 на базе x86
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.0.6002.18005 |
334,848 |
11-апр-2009 |
06:28 |
x86 |
|
Fwpkclnt.sys |
6.0.6002.18005 |
99,816 |
11-апр-2009 |
06:32 |
x86 |
|
Fwpuclnt.dll |
6.0.6002.18960 |
596,480 |
11-окт-2013 |
02:07 |
x86 |
|
Ikeext.dll |
6.0.6002.18960 |
444,928 |
11-окт-2013 |
02:08 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
05-янв-2008 |
11:29 |
Not applicable |
|
Wfp.tmf |
Not applicable |
218,228 |
11-окт-2013 |
00:39 |
Not applicable |
|
Bfe.dll |
6.0.6002.23243 |
334,848 |
12-окт-2013 |
02:52 |
x86 |
|
Fwpkclnt.sys |
6.0.6002.23243 |
98,240 |
12-окт-2013 |
03:24 |
x86 |
|
Fwpuclnt.dll |
6.0.6002.23243 |
596,480 |
12-окт-2013 |
02:53 |
x86 |
|
Ikeext.dll |
6.0.6002.23243 |
446,464 |
12-окт-2013 |
02:53 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
09-Сен-2011 |
11:41 |
Not applicable |
|
Wfp.tmf |
Not applicable |
218,580 |
12-окт-2013 |
01:42 |
Not applicable |
Для всех поддерживаемых версий Windows Vista и Windows Server 2008 на базе x64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.0.6002.18005 |
458,240 |
11-апр-2009 |
07:11 |
x64 |
|
Fwpkclnt.sys |
6.0.6002.18005 |
166,888 |
11-апр-2009 |
07:15 |
x64 |
|
Fwpuclnt.dll |
6.0.6002.18960 |
781,824 |
11-окт-2013 |
04:23 |
x64 |
|
Ikeext.dll |
6.0.6002.18960 |
462,848 |
11-окт-2013 |
04:23 |
x64 |
|
Wfp.mof |
Not applicable |
814 |
05-янв-2008 |
11:29 |
Not applicable |
|
Wfp.tmf |
Not applicable |
217,074 |
11-окт-2013 |
02:29 |
Not applicable |
|
Bfe.dll |
6.0.6002.23243 |
458,240 |
12-окт-2013 |
03:19 |
x64 |
|
Fwpkclnt.sys |
6.0.6002.23243 |
165,312 |
12-окт-2013 |
03:51 |
x64 |
|
Fwpuclnt.dll |
6.0.6002.23243 |
781,824 |
12-окт-2013 |
03:20 |
x64 |
|
Ikeext.dll |
6.0.6002.23243 |
464,384 |
12-окт-2013 |
03:20 |
x64 |
|
Wfp.mof |
Not applicable |
814 |
15-ноя-2011 |
15:19 |
Not applicable |
|
Wfp.tmf |
Not applicable |
217,466 |
12-окт-2013 |
02:11 |
Not applicable |
|
Fwpuclnt.dll |
6.0.6002.18960 |
596,480 |
11-окт-2013 |
02:07 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
26-сен-2013 |
12:46 |
Not applicable |
|
Fwpuclnt.dll |
6.0.6002.23243 |
596,480 |
12-окт-2013 |
02:53 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
09-Сен-2011 |
11:41 |
Not applicable |
Для всех поддерживаемых версий Windows Server 2008 на базе IA-64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.0.6002.18005 |
781,312 |
11-апр-2009 |
06:59 |
IA-64 |
|
Fwpkclnt.sys |
6.0.6002.18005 |
262,632 |
11-апр-2009 |
07:03 |
IA-64 |
|
Fwpuclnt.dll |
6.0.6002.18960 |
1,124,352 |
11-окт-2013 |
03:43 |
IA-64 |
|
Ikeext.dll |
6.0.6002.18960 |
944,128 |
11-окт-2013 |
03:43 |
IA-64 |
|
Wfp.mof |
Not applicable |
814 |
03-янв-2008 |
18:54 |
Not applicable |
|
Wfp.tmf |
Not applicable |
217,254 |
11-окт-2013 |
02:05 |
Not applicable |
|
Bfe.dll |
6.0.6002.23243 |
781,312 |
12-окт-2013 |
02:17 |
IA-64 |
|
Fwpkclnt.sys |
6.0.6002.23243 |
261,056 |
12-окт-2013 |
02:52 |
IA-64 |
|
Fwpuclnt.dll |
6.0.6002.23243 |
1,124,352 |
12-окт-2013 |
02:18 |
IA-64 |
|
Ikeext.dll |
6.0.6002.23243 |
946,688 |
12-окт-2013 |
02:18 |
IA-64 |
|
Wfp.mof |
Not applicable |
814 |
15-мар-2011 |
05:52 |
Not applicable |
|
Wfp.tmf |
Not applicable |
217,516 |
12-окт-2013 |
01:24 |
Not applicable |
|
Fwpuclnt.dll |
6.0.6002.18960 |
596,480 |
11-окт-2013 |
02:07 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
26-сен-2013 |
12:46 |
Not applicable |
|
Fwpuclnt.dll |
6.0.6002.23243 |
596,480 |
12-окт-2013 |
02:53 |
x86 |
|
Wfp.mof |
Not applicable |
814 |
09-Сен-2011 |
11:41 |
Not applicable |
-
Файлы, которые относятся к определенному продукту, вехе (RTM, SPn)и ветви обслуживания (LDR, GDR), можно определить, изучив номера версий файлов, как показано в следующей таблице:
Версия
Продукт
Этап разработки
Направление поддержки
6.1.7601. 18xxx
Windows 7 и Windows Server 2008 R2
SP1
GDR
6.1.7601. 22xxx
Windows 7 и Windows Server 2008 R2
SP1
LDR
-
В выпусках обновлений для общего распространения (GDR) содержатся только общедоступные исправления, которые предназначены для устранения распространенных критических проблем. В выпусках обновлений LDR помимо общедоступных содержатся дополнительные исправления.
Обратите внимание на то, что в списке нет установленных файлов МАНИФЕСТА (.manifest) и ФАЙЛОВ СЛП (.manifest).
Для всех поддерживаемых 32-разрядных (x86) версий Windows 7
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.1.7601.17514 |
494,592 |
20-ноя-2010 |
12:18 |
x86 |
|
Fwpuclnt.dll |
6.1.7601.18283 |
216,576 |
12-окт-2013 |
02:01 |
x86 |
|
Ikeext.dll |
6.1.7601.18283 |
679,424 |
12-окт-2013 |
02:01 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
02:33 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.18283 |
656,896 |
12-окт-2013 |
02:03 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
21:32 |
Not applicable |
|
Bfe.dll |
6.1.7601.22479 |
496,128 |
12-окт-2013 |
01:55 |
x86 |
|
Fwpuclnt.dll |
6.1.7601.22479 |
216,576 |
12-окт-2013 |
01:56 |
x86 |
|
Ikeext.dll |
6.1.7601.22479 |
681,472 |
12-окт-2013 |
01:56 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
02:21 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.22479 |
657,920 |
12-окт-2013 |
01:57 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
21:32 |
Not applicable |
Для всех поддерживаемых 64-разрядных (x64) версий Windows 7 и Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.1.7601.17514 |
705,024 |
20-ноя-2010 |
13:25 |
x64 |
|
Fwpuclnt.dll |
6.1.7601.18283 |
324,096 |
12-окт-2013 |
02:29 |
x64 |
|
Ikeext.dll |
6.1.7601.18283 |
859,648 |
12-окт-2013 |
02:29 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
03:06 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.18283 |
830,464 |
12-окт-2013 |
02:30 |
x64 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
20:51 |
Not applicable |
|
Bfe.dll |
6.1.7601.22479 |
706,560 |
12-окт-2013 |
02:23 |
x64 |
|
Fwpuclnt.dll |
6.1.7601.22479 |
324,096 |
12-окт-2013 |
02:24 |
x64 |
|
Ikeext.dll |
6.1.7601.22479 |
861,184 |
12-окт-2013 |
02:24 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
02:49 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.22479 |
832,000 |
12-окт-2013 |
02:25 |
x64 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
20:51 |
Not applicable |
|
Fwpuclnt.dll |
6.1.7601.18283 |
216,576 |
12-окт-2013 |
02:01 |
x86 |
|
Nshwfp.dll |
6.1.7601.18283 |
656,896 |
12-окт-2013 |
02:03 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
04-июл-2013 |
12:21 |
Not applicable |
|
Fwpuclnt.dll |
6.1.7601.22479 |
216,576 |
12-окт-2013 |
01:56 |
x86 |
|
Nshwfp.dll |
6.1.7601.22479 |
657,920 |
12-окт-2013 |
01:57 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
09-июл-2013 |
06:28 |
Not applicable |
Для всех поддерживаемых версий IA-64 Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.1.7601.17514 |
1,071,616 |
20-ноя-2010 |
10:24 |
IA-64 |
|
Fwpuclnt.dll |
6.1.7601.18283 |
566,272 |
12-окт-2013 |
01:34 |
IA-64 |
|
Ikeext.dll |
6.1.7601.18283 |
1,500,160 |
12-окт-2013 |
01:34 |
IA-64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
01:59 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.18283 |
1,112,064 |
12-окт-2013 |
01:36 |
IA-64 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
20:57 |
Not applicable |
|
Bfe.dll |
6.1.7601.22479 |
1,074,176 |
12-окт-2013 |
01:24 |
IA-64 |
|
Fwpuclnt.dll |
6.1.7601.22479 |
566,272 |
12-окт-2013 |
01:24 |
IA-64 |
|
Ikeext.dll |
6.1.7601.22479 |
1,503,744 |
12-окт-2013 |
01:24 |
IA-64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,028 |
12-окт-2013 |
01:44 |
Not applicable |
|
Nshwfp.dll |
6.1.7601.22479 |
1,113,600 |
12-окт-2013 |
01:25 |
IA-64 |
|
Wfp.mof |
Not applicable |
822 |
10-июн-2009 |
20:57 |
Not applicable |
|
Fwpuclnt.dll |
6.1.7601.18283 |
216,576 |
12-окт-2013 |
02:01 |
x86 |
|
Nshwfp.dll |
6.1.7601.18283 |
656,896 |
12-окт-2013 |
02:03 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
04-июл-2013 |
12:21 |
Not applicable |
|
Fwpuclnt.dll |
6.1.7601.22479 |
216,576 |
12-окт-2013 |
01:56 |
x86 |
|
Nshwfp.dll |
6.1.7601.22479 |
657,920 |
12-окт-2013 |
01:57 |
x86 |
|
Wfp.mof |
Not applicable |
822 |
09-июл-2013 |
06:28 |
Not applicable |
-
Файлы, которые относятся к определенному продукту, вехе (RTM, SPn)и ветви обслуживания (LDR, GDR), можно определить, изучив номера версий файлов, как показано в следующей таблице:
Версия
Продукт
Этап разработки
Направление поддержки
6.2.920 0.16 xxx
Windows 8 и Windows Server 2012
RTM
GDR
6.2.920 0.20 xxx
Windows 8 и Windows Server 2012
RTM
LDR
-
В выпусках обновлений для общего распространения (GDR) содержатся только общедоступные исправления, которые предназначены для устранения распространенных критических проблем. В выпусках обновлений LDR помимо общедоступных содержатся дополнительные исправления.
Обратите внимание на то, что в списке нет установленных файлов МАНИФЕСТА (.manifest) и ФАЙЛОВ СЛП (.manifest).
Для всех поддерживаемых версий Windows 8
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.2.9200.16734 |
473,600 |
10-окт-2013 |
09:28 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
245,248 |
10-июн-2013 |
19:10 |
x86 |
|
Ikeext.dll |
6.2.9200.16734 |
683,520 |
10-окт-2013 |
09:29 |
x86 |
|
Nshwfp.dll |
6.2.9200.16634 |
702,464 |
10-июн-2013 |
19:10 |
x86 |
|
Bfe.dll |
6.2.9200.20846 |
473,600 |
10-окт-2013 |
22:30 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
245,248 |
27-ноя-2012 |
04:22 |
x86 |
|
Ikeext.dll |
6.2.9200.20846 |
683,520 |
10-окт-2013 |
22:30 |
x86 |
|
Nshwfp.dll |
6.2.9200.20846 |
702,464 |
10-окт-2013 |
22:30 |
x86 |
|
Bfe.dll |
6.2.9200.16734 |
473,600 |
10-окт-2013 |
09:28 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
245,248 |
10-июн-2013 |
19:10 |
x86 |
|
Ikeext.dll |
6.2.9200.16734 |
683,520 |
10-окт-2013 |
09:29 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
2,920 |
10-окт-2013 |
10:06 |
Not applicable |
|
Nshwfp.dll |
6.2.9200.16634 |
702,464 |
10-июн-2013 |
19:10 |
x86 |
|
Wfplwfs.sys |
6.2.9200.16734 |
38,744 |
10-окт-2013 |
10:07 |
x86 |
|
Bfe.dll |
6.2.9200.20846 |
473,600 |
10-окт-2013 |
22:30 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
245,248 |
27-ноя-2012 |
04:22 |
x86 |
|
Ikeext.dll |
6.2.9200.20846 |
683,520 |
10-окт-2013 |
22:30 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
2,920 |
10-окт-2013 |
23:31 |
Not applicable |
|
Nshwfp.dll |
6.2.9200.20846 |
702,464 |
10-окт-2013 |
22:30 |
x86 |
|
Wfplwfs.sys |
6.2.9200.20842 |
38,744 |
10-окт-2013 |
23:37 |
x86 |
Для всех поддерживаемых версий Windows 8 64 и Windows Server 2012
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.2.9200.16734 |
723,968 |
10-окт-2013 |
09:20 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
381,952 |
10-июн-2013 |
19:15 |
x64 |
|
Ikeext.dll |
6.2.9200.16734 |
1,160,192 |
10-окт-2013 |
09:21 |
x64 |
|
Nshwfp.dll |
6.2.9200.16634 |
888,832 |
10-июн-2013 |
19:16 |
x64 |
|
Bfe.dll |
6.2.9200.20846 |
718,848 |
10-окт-2013 |
22:26 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
378,880 |
27-ноя-2012 |
04:25 |
x64 |
|
Ikeext.dll |
6.2.9200.20846 |
1,074,688 |
10-окт-2013 |
22:26 |
x64 |
|
Nshwfp.dll |
6.2.9200.20846 |
888,832 |
10-окт-2013 |
22:26 |
x64 |
|
Bfe.dll |
6.2.9200.16734 |
723,968 |
10-окт-2013 |
09:20 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
381,952 |
10-июн-2013 |
19:15 |
x64 |
|
Ikeext.dll |
6.2.9200.16734 |
1,160,192 |
10-окт-2013 |
09:21 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
2,920 |
10-окт-2013 |
11:50 |
Not applicable |
|
Nshwfp.dll |
6.2.9200.16634 |
888,832 |
10-июн-2013 |
19:16 |
x64 |
|
Wfplwfs.sys |
6.2.9200.16734 |
96,600 |
10-окт-2013 |
11:53 |
x64 |
|
Bfe.dll |
6.2.9200.20846 |
718,848 |
10-окт-2013 |
22:26 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
378,880 |
27-ноя-2012 |
04:25 |
x64 |
|
Ikeext.dll |
6.2.9200.20846 |
1,074,688 |
10-окт-2013 |
22:26 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
2,920 |
11-окт-2013 |
00:50 |
Not applicable |
|
Nshwfp.dll |
6.2.9200.20846 |
888,832 |
10-окт-2013 |
22:26 |
x64 |
|
Wfplwfs.sys |
6.2.9200.20842 |
96,600 |
11-окт-2013 |
00:54 |
x64 |
|
Fwpuclnt.dll |
6.2.9200.16634 |
245,248 |
10-июн-2013 |
19:10 |
x86 |
|
Nshwfp.dll |
6.2.9200.16634 |
702,464 |
10-июн-2013 |
19:10 |
x86 |
|
Fwpuclnt.dll |
6.2.9200.20569 |
245,248 |
27-ноя-2012 |
04:22 |
x86 |
|
Nshwfp.dll |
6.2.9200.20846 |
702,464 |
10-окт-2013 |
22:30 |
x86 |
Для всех поддерживаемых версий Windows 8.1 на базе x86
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.3.9600.16427 |
549,888 |
12-окт-2013 |
21:14 |
x86 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
264,192 |
22-авг-2013 |
02:40 |
x86 |
|
Ikeext.dll |
6.3.9600.16427 |
730,112 |
12-окт-2013 |
21:02 |
x86 |
|
Nshwfp.dll |
6.3.9600.16384 |
566,784 |
22-авг-2013 |
02:19 |
x86 |
|
Bfe.dll |
6.3.9600.16427 |
549,888 |
12-окт-2013 |
21:14 |
x86 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
264,192 |
22-авг-2013 |
02:40 |
x86 |
|
Ikeext.dll |
6.3.9600.16427 |
730,112 |
12-окт-2013 |
21:02 |
x86 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,059 |
13-окт-2013 |
00:27 |
Not applicable |
|
Nshwfp.dll |
6.3.9600.16384 |
566,784 |
22-авг-2013 |
02:19 |
x86 |
|
Wfplwfs.sys |
6.3.9600.16427 |
69,464 |
13-окт-2013 |
00:45 |
x86 |
Для всех поддерживаемых версий Windows 8.1 и Windows Server 2012 R2 на базе x64
|
Имя файла |
Версия файла |
Размер |
дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Bfe.dll |
6.3.9600.16427 |
828,416 |
12-окт-2013 |
21:48 |
x64 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
411,136 |
22-авг-2013 |
09:43 |
x64 |
|
Ikeext.dll |
6.3.9600.16427 |
1,104,384 |
12-окт-2013 |
21:34 |
x64 |
|
Nshwfp.dll |
6.3.9600.16384 |
716,800 |
22-авг-2013 |
09:11 |
x64 |
|
Bfe.dll |
6.3.9600.16427 |
828,416 |
12-окт-2013 |
21:48 |
x64 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
411,136 |
22-авг-2013 |
09:43 |
x64 |
|
Ikeext.dll |
6.3.9600.16427 |
1,104,384 |
12-окт-2013 |
21:34 |
x64 |
|
Networksecurity-ppdlic.xrm-ms |
Not applicable |
3,059 |
13-окт-2013 |
02:41 |
Not applicable |
|
Nshwfp.dll |
6.3.9600.16384 |
716,800 |
22-авг-2013 |
09:11 |
x64 |
|
Wfplwfs.sys |
6.3.9600.16427 |
136,536 |
13-окт-2013 |
02:48 |
x64 |
|
Fwpuclnt.dll |
6.3.9600.16384 |
264,192 |
22-авг-2013 |
02:40 |
x86 |
|
Nshwfp.dll |
6.3.9600.16384 |
566,784 |
22-авг-2013 |
02:19 |
x86 |
|
Имя файла |
Hash sha1 |
Hash sha256 |
|---|---|---|
|
Windows6.0-KB2862152-ia64.msu |
80EE12A2E51477C621392A0665BC837CFF8FC29B |
55D9566C4062721EA0B8C9B02B2DE1FC5A48B6216338012BA7C3E15C9F78EC4A |
|
Windows6.0-KB2862152-x64.msu |
E24C86C21DDD00ADA6B49EE1C2A037F9D2CBD8EF |
5C2D595720F98D351400593A562DBD5812AAAADE31E7B92E8B2493771AF8EDD3 |
|
Windows6.0-KB2862152-x86.msu |
C062CCF8CCCB24411D223934451EB25323C5B9BC |
1EE3C6408CC3EE8CA8CA0C9A23089AE8F4461FFB277414F9EFC0E61B2A30B5 |
|
Windows6.1-KB2862152-ia64.msu |
61E5FC414F88C1B15FB27AB905AB67652B188FF2 |
C76E6DBBF345D2CA602AA4DCA83C780A7DF12D13F7570FDF57A605D81C33173F |
|
Windows6.1-KB2862152-x64.msu |
72BBAF8697440A998DF17DB09A69B24D96C4FE07 |
7764527EA105A36339EAF0D09B45DE8EEB3EF68B4E09B69104FD63040C97365 |
|
Windows6.1-KB2862152-x86.msu |
EAC008F3D7E22B10E646D969656C48C25FADC6B4 |
64E90C46DC94A68DC5B2DA9AEB426EB07E660F5D32AB85A611103F15E115F47 |
|
Windows8-RT-KB2862152-x64.msu |
717A29A94CFCCE8F663E555075CDE12E2A7A836D |
A1EC074D8B1576CC3F7E5847451EA13E9D189ABFF1B0C05100522C579580345E |
|
Windows8-RT-KB2862152-x86.msu |
B762EE6FDB2CE341546C3A93C919CD5A482A99A9 |
CC2B0CEFEEFAAEC76966530C38B88281F4DEE46223DE7348E2C258DAB06E6C2E |
|
Windows8.1-KB2862152-x64.msu |
EC8DF98AE6D52A827266403A267F708A9CDE9B38 |
26068674EFEE40DA6B682429FD8876DE75405A83FE3A3689711884188FB3B3AE |
|
Windows8.1-KB2862152-x86.msu |
63D555F539C3D80AF8C4CE23179A9DE447810502 |
0FB82BB48506DE4883E4DCF518E7745AEBF56B47DD9F314563B7B8EA49B24155 |
|
WindowsServer2003-KB2862152-ia64-DEU.exe |
5BD38A43C1E04B8CDF94DF9F4B7C58F6B93B4C27 |
4004B7BACEFF854FD4E8FD72B7BCD5A07AD29A3B3979CAF738C41117487B557D |
|
WindowsServer2003-KB2862152-ia64-ENU.exe |
CC67EC663C2C933B2781436EA37F6BE2AEADD4C1 |
86A30C9F2DB197C099EE5BDB95CA7B7121D87D94A8AB3ADEAEAB64E099BAD7C9 |
|
WindowsServer2003-KB2862152-ia64-FRA.exe |
FD8AF00F493485D70C94E1113DB955F2F6774444 |
58E4A5925C0A400BC3FCA664DC0E60FC930FFB54CD7879D4E0620A5DC3ADD996 |
|
WindowsServer2003-KB2862152-ia64-JPN.exe |
BC417216D77EABAED92C54C1828C09A8F1EE266A |
7122AF3D47607C5A6E7BADB8A0A740714FB908975074C7D64B6E0F9C23CA6141 |
|
WindowsServer2003-KB2862152-x86-CHS.exe |
7E8BBBA255E7DC0BE62AE188A40A8F004FCB5E4F |
4DFA6A4E6CF86DC4BA1EA0F10204F8275EB61F28B2BF5D5AC58F314760614272 |
|
WindowsServer2003-KB2862152-x86-CHT.exe |
C3707B843C2914F02FF728691B7489460557328B |
7B4829AE8CA47CF789FC3C084291B30D99D24497C5223AAD2968DCE0E7A2A214 |
|
WindowsServer2003-KB2862152-x86-CSY.exe |
17B5A8D82581E04B3DC8359A55A0775E53BAF1A6 |
5049340582FB9E145B2B3104B1066984AEBB1EE352064F1D7C9C6BDA073D2097 |
|
WindowsServer2003-KB2862152-x86-DEU.exe |
A75DC6744A60D8CADB39D1D9963FAC7B608CAA89 |
982A7F6DF2067AA891E6890D0119CD1D5CA2FCB6238CF341D47293B80B7A3EBA |
|
WindowsServer2003-KB2862152-x86-ENU.exe |
8D96F688B35EFA32EEC1B05C92A8422D304E972D |
5192DD6E6C38C635AFF68A926C60FFF1FDC1433982E5C0FFFAEE5C3EDD9C6F2C |
|
WindowsServer2003-KB2862152-x86-ESN.exe |
37DCEF5107C1C157B738FED12CAC921100EEFF6F |
63D2CDD7D92FEAD9F72D0BEC29B5B4B25626B814BAEF517AF3B9B9252993B1E2 |
|
WindowsServer2003-KB2862152-x86-FRA.exe |
60BB2ECB93869D41E432901ADB1D3ED4B71CD700 |
0E37AB5EE438261F8B2B623180BE12B05AD13ECA4F7D246D6EBC90110E2EF179 |
|
WindowsServer2003-KB2862152-x86-HUN.exe |
0EEEB1F90C9BBDBC12368029DD5DCBC94A9499E8 |
ACE72D7C2CF26E99044BF7B19CBBC25067BAA7B5972C656C1AB0256DD43B877E |
|
WindowsServer2003-KB2862152-x86-ITA.exe |
DC2AB04A66B46AA9F97B817924007E9FCD5EB306 |
F032AE531AF7C4B9B03DB92F4470D37E4F9A078EFAEE7DB8C2DE7C3AEB54A7F5 |
|
WindowsServer2003-KB2862152-x86-JPN.exe |
1FBBBEC7AB9B764D439213E5ACD7278F6114792F |
42F8DB54F37DD659221168226CDBADE0F1614FB7FF06DB3C037667EF4661DDB8 |
|
WindowsServer2003-KB2862152-x86-KOR.exe |
B7CBCEA8AFCE0A77273B5264B0E90EE57BEA8423 |
E24C14DB1809D6E7A9AE7D2BF52E84B591B7332D3F073D6272CACF2434573ADB |
|
WindowsServer2003-KB2862152-x86-NLD.exe |
799BE730609FE5D4CDB56F46A1F4520F50183A9E |
4FD53C68F54668FE0CCE9F51DA1EFFF36E6050C5CBBD42E94C3453C036C54BAF |
|
WindowsServer2003-KB2862152-x86-PLK.exe |
B5160A3964D9DD776E6DD659B47593270FA4D79D |
4E5C3C8B9859BFA8F83CBA2D7042A956CA8A69AFFF123E09899D16312FCA6D12 |
|
WindowsServer2003-KB2862152-x86-PTB.exe |
83CCFE642630C0054105D0441FEA09204DEA86CE |
4156FF7C97627C42A95871F1D8666ECF36C6146A38804BE71C2C93EF082052DE |
|
WindowsServer2003-KB2862152-x86-PTG.exe |
B7D66DB2EF501D9DF68ECE685D095EABE4CDE276 |
8E88E57841BF640E5382E0808DEEA5F9FCFBD91CC0C502D071969A6BCAE4C7FB |
|
WindowsServer2003-KB2862152-x86-RUS.exe |
B982BCC1C5D1C0AF677940555429223C7D134E7D |
E7D524899F14DD4739C48056468D66C8C59DBD6BF629942060AECF3397307F72 |
|
WindowsServer2003-KB2862152-x86-SVE.exe |
4EF34DE5D662004089E77A23F162A47359E5BFFA |
6C779C1F31C7B2587D4B097998B1C28D63FDAB19DF5AF9E6263A1F49E15FBFFE |
|
WindowsServer2003-KB2862152-x86-TRK.exe |
5506F386C876A0BDB71D722BE785CC9C4B6DBB48 |
8443ADF3249DBD3C8A1C0939B4DFC717EE94B9DD609CAAD40317992EA33E6006 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-CHS.exe |
D15894E4D38D740F1F6D40EF14D1E2CB663D3740 |
9AD8CA4C5AD11E261E1726009182FF9D256FF37C17F5CA296AFE28859D5B6E5E |
|
WindowsServer2003.WindowsXP-KB2862152-x64-CHT.exe |
E69F9455BA88CCF1F579118C0DA787A3AB66DE43 |
47FB6E9D05D63C7984E745B7709E11E27D595BA385FF667EB31DD5922F9581AA |
|
WindowsServer2003.WindowsXP-KB2862152-x64-DEU.exe |
E6F17C263EB3824534D3A23187C51382393A9111 |
A09D50A344E7ECF3010C0B5530EB36C74FCE039985E9950A67FA1B971B31E5A0 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-ENU.exe |
D97C7E8E60E51CEB4C10F40CD0163DFCC0FA0E13 |
13BCFE30002F3AD0280D14287B22FBF830297EF839A93C6E539EBB19814073F5 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-ESN.exe |
EEA452A980769A5B00D163EE7390B11579345E4A |
EF97F201F03D7CA58FF4B9C84B1F301DBAA750EA39BD55207BD3F2A7F97258DD |
|
WindowsServer2003.WindowsXP-KB2862152-x64-FRA.exe |
6E6B16D63B5CA7D55CE90A4569EF9BB486FBE2E8 |
5F44490CA1A9349C879E8BFC0CF01A7BAC0A296125ED9762FAACF0218F84CEEE |
|
WindowsServer2003.WindowsXP-KB2862152-x64-ITA.exe |
4C0A6CF4A7B836918B139EA4947702CDB203F29C |
91CE056ACFF2C1022BFCD7A52850EF1C2341718207BDBAD8FEDEDAB17A48978D |
|
WindowsServer2003.WindowsXP-KB2862152-x64-JPN.exe |
F3CD39130480F41AB23B09848A4A75BE1598B9F2 |
D8FEECC1A21175819FF43C008A9CC2111E94CBE5B2D7D20C82645AFAEC10FA39 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-KOR.exe |
6AF20E71CF92A1D968E4D59894FFF9BF267361FB |
220642EFC5483967286C554D6E39B3929650100ED0C6AAC3BB0F69739129F950 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-PTB.exe |
CBB061A4942A123BC69DA4AA57F5D0AB1B49E365 |
C502413E7680C55E82F2D9A7D1B8EA8958D7967A758FFABD18C38806BA271360 |
|
WindowsServer2003.WindowsXP-KB2862152-x64-RUS.exe |
E0FA5FB8342E2ED7C74762ED70AC69744BB77ED8 |
9F2A281001193FE1F70B776E62553971CCBB1219B605800526C48AB66955CF |
|
WindowsXP-KB2862152-x86-ARA.exe |
08C5CAA13FC12FF96BE70EB407EDB46E53631B02 |
8D0826034D9A7B390BF54E25A0F54CB7C29A9335C201FD5F7334899B5E159048 |
|
WindowsXP-KB2862152-x86-CHS.exe |
44115DD4A313FE9FE60C718F9C5EA351B134810E |
B93335E701871D7308B212556AE62CA68164931662CAAEEBA3F6FA8A2FC1792D |
|
WindowsXP-KB2862152-x86-CHT.exe |
2C50E771B0E2AFC7970BF6C50122C3C52563F79C |
D27B6B2A20FF1273BB4A145B69F88A4AC57E6118D2DF5C0068ECF348840808FB |
|
WindowsXP-KB2862152-x86-CSY.exe |
BD3DF5F3DD9711701926652FCBBB8F7BCEECC20B |
311FFDB7C7FDD1BD9A9A4347F29B2ED4322248F9938C48598E175E1B2E932DEF |
|
WindowsXP-KB2862152-x86-DAN.exe |
D862174B345C67E95F9A8BE9E32B0EE42375231D |
7687F536680D58036F3A154C695C0DADE51A1A459757005397B0B2C08E2B1A6B |
|
WindowsXP-KB2862152-x86-DEU.exe |
EC84928C2543F65D5EFB65FECF26C714AA85CF4F |
E884909D9E9B884E364BD3EACC7C93436FF586398C43D0F7E0E457D140C737FB |
|
WindowsXP-KB2862152-x86-ELL.exe |
53F4E15D7E65B9973DF6C95F1BEFD95579EEAF09 |
C467E34B2F5FACB6C3B81CBDF63036DCB53933162193F6F32F0D2D0A8F4831F8 |
|
WindowsXP-KB2862152-x86-ENU.exe |
0457906284FF7FD706D77A69AC337CE7F65C7919 |
0CC60947AFACBA9D8DF0BB3E7D6A6FA4E51C67AFCAE87082E2956B1534E05F9E |
|
WindowsXP-KB2862152-x86-ESN.exe |
6FC07F443C1C20F9DBABBDEF941FE7EA867493CA |
092BD98A6D86FCBD5B2F80C9533B54B1EBC07A6752A1D8751369BA410FB52ED6 |
|
WindowsXP-KB2862152-x86-FIN.exe |
547B01212FBC27DEE724EC2DC38DE50F919094A1 |
23620EFC04CF1695E9E3C9B0F8E023A22053088386EF49186F98156171861D43 |
|
WindowsXP-KB2862152-x86-FRA.exe |
D0F53AAD13B2B0A79762801D134E7E40D805F105 |
38718267E7C8090E8C407B2E68F3F6CA7205FCC8246F521E653DA9884512909D |
|
WindowsXP-KB2862152-x86-HEB.exe |
8E965464A33CBF7FDD07B152E39843445B5D9B37 |
ADDC0E3FD19E02559EE684339B0CFDF61F74B812CC7A8DE22360779BB36D9E6C |
|
WindowsXP-KB2862152-x86-HUN.exe |
5600AE08B7CEA40FB83416784E2F39D2C0912D32 |
5590CA39913D20F9F66A364A8CAF55B1627BCFCE84019A471457AAE7243519CE |
|
WindowsXP-KB2862152-x86-ITA.exe |
0320BED1B72A0A93A60323CDF19018190CE6C852 |
103B7DF4D26767943618099A21D1C28E713E51A41F46CD8A6471A21B67FAC58F |
|
WindowsXP-KB2862152-x86-JPN.exe |
E5BFF9F5D16658B02BB69C1B967A3C232604B02F |
6F21CFDFA9EE500970B8712F441682C8539074E7DB85493233448D105B0B1B85 |
|
WindowsXP-KB2862152-x86-KOR.exe |
A30EC90A5C4E9A28FB91505EB50426F0411AD788 |
E44D2458F5899BCC6E992C05AC9F3E25E508A6C9408C0B90723FE6DFCB0F0DC1 |
|
WindowsXP-KB2862152-x86-NLD.exe |
9C7C9B75979D0D6653D31743C1B99DCE50D3FB7 |
4008D539CCB0CFDC7503E5FB1D38BFABCF7ECAE7C1ED1C65926ECE19E3B8A581 |
|
WindowsXP-KB2862152-x86-NOR.exe |
B2C79C2E9A3D4AEC07AC0CA95990109AB23546F0 |
080BE1727CE5D3BDF3D96A20D4D961959E4FB0D2BB82FF3F99DEAB920CCDD42C |
|
WindowsXP-KB2862152-x86-PLK.exe |
337C1A1BA95EDBF09E9406BE80748D1DB80346CF |
C54AD936F9051AABA23906BF9D04EDAE32F3CAB3B2A57EA75B44E12A95500C89 |
|
WindowsXP-KB2862152-x86-PTB.exe |
4C3F4AD1510F0373F0F4E6B73CDDAE9B66392CAB |
C30CA0116215D36D540A4062AFA7C7F45EA956F77CB6B9CA109D2B96628B338C |
|
WindowsXP-KB2862152-x86-PTG.exe |
5927992A54D4AF2429C755CED1050D2447CD15EA |
8AF1670ED2B30CFD201CD250DED392ED7375FD8EB4916F6FAD5CB0BD7A09F38B |
|
WindowsXP-KB2862152-x86-RUS.exe |
69CCC88DDA04A5EAB488D651EFD0FE2BF1C3DE1E |
AAAABC926CECD40D5866207181BAF6BFF7D3D17D51DE8E2B4EDCFD334599F11B |
|
WindowsXP-KB2862152-x86-SVE.exe |
ECAE50464CC4E4711D69DBFCA79FA50CC3C14D27 |
6067587091E45118B8A480C1BC202EB1D4D61FD740B19D381101136F129201E7 |
|
WindowsXP-KB2862152-x86-TRK.exe |
1F11C641C93BF5073C3DA66C03FEC93CAEF3A171 |
7DB972F5221D697263B0DE5CE8A1748D4E9F9B2591951C9A943EDC669B422190 |
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
Ошибка Попытка подключения L2TP не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером появляется в Windows 11/10 из-за не правильных настроек PPP и отключенного протокола Microsoft CHAP v2.
L2TP — соединение с протоколом 2-го уровня туннелирования, которое используется в основном в частных виртуальных сетях (VPN). Сам VPN используется для маскировки соединения путем удаленного сервера, чтобы обойти ограничения в интернете.
Как исправить ошибку подключения L2TP в Windows 11/10
1. Включение MS-CHAP v2
- Нажмите сочетание кнопок Win+R и введите ncpa.cpl
- Нажмите правой кнопкой мыши по VPN соединению и выберите Свойства
- Перейдите во вкладку Безопасность
- Установите Разрешить следующие протоколы
- Отметьте Протокол Microsoft CHAP версии 2
- Нажмите OK и попробуйте подключиться к VPN
2. Включение расширений LCP
- Нажмите сочетание кнопок Win+R и введите ncpa.cpl
- Выберите Свойства на подключении VPN
- Перейдите во вкладку Параметры
- Нажмите на Параметры PPP…
- Установите галочку Включить расширения LCP
3. Перезапуск службы IPSec
- Нажмите Win+R и введите services.msc
- Найдите Модули ключей IPsec для обмена ключами…
- Нажмите по службе правой кнопкой мыши и Перезапустить
- Щелкните теперь по ней дважды, чтобы открыть свойства
- Установите тип запуска Автоматически
- Теперь найдите службу Агент политики IPsec и повторите всё тоже самое.
4. Удалить последнее обновление
- Нажмите Win+R и введите APPWIZ.CPL
- Слева в столбце кликните по Просмотр установленных обновлений
- Нажмите правой кнопкой мыши по последнему патчу и Удалить
5. Переустановить сетевой адаптер
- Нажмите Win+R и введите devmgmt.msc
- Разверните графу Сетевые адаптеры
- Удалите все WAN Miniport
- Перезагрузите компьютер
6. Создать в реестре UDPE Encapsulation
Нажмите Win+R и введите regedit, чтобы открыть редактор реестра. Далее перейдите по пути:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
- На пустом поле справа нажмите правой кнопкой мыши
- Создать > Параметр DWORD (32 бита)
- Назовите его AssumeUDPEncapsulationContextOnSendRule
- Далее щелкните по нему дважды и установите значение 2
- Перезагрузите компьютер
Смотрите еще:
- Ошибка 720 при подключении к интернету в Windows 10
- Ошибка 734: Протокол PPP был прерван
- Нет подключения к Интернету, защищено в Windows 10
- Исправить ошибки подключения к Интернету и веб-сайтам
- Как раздавать Интернет с ноутбука на телефон в Windows 11
[ Telegram | Поддержать ]
| Ошибка | Причина | Решение |
| 678 | В операционной системе глобально запрещено использовать шифрование | Если используется операционная система Windows XP, то откройте редактор рееста (regedit.exe) и проверьте, есть ли в ключе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManParameters параметр ProhibitIpSec. Если он есть и имеет значение «1», то измените его на «0» и перезагрузите компьютер. Внимание!!! Если ваш провайдер интернет использует для предоставления доступа в Интернет VPN-подключение l2tp при изменении данного параметра может пропасть доступ в Интернет. В таком случае вам необходимо вернуть настройку в значение «1» и перегрузиться. За дополнительной консультацией перезвоните по указаному на этой странице телефону. |
| 691 | Введен неверный логин и/или пароль | Ввести правильный логин и пароль. Либо, если ранее это VPN-соединение уже работало, необходимо повторно ввести логин и пароль. |
| 692 | Проблемы с брандмауэром Windows Seven | Ошибка редкая. Помогло только отключение брандмауэра. Не самый хороший выход, но других пока не знаем |
| 720 (1) | Пользователь VPN с таким логином уже подключён | Это ошибка возникла совершенно недавно, похоже после очередного патча от Microsoft® для Windows®7 что-то поменялось и вместо ошибки 738 стала возникать ошибка 720. В отличие от второй проблемы приводящей к ошибке 720 описаной ниже эта ошибка возникает только на ПК с ОС Windows®7 и происходит уже после того как прошла «Проверка имени пользователя и пароля…» и «Регистрация компьютера в сети…». Таким образом для ошибки 720 с такими симптомами решение описано в пункте с 738-ой ошибкой. |
| 720 (2) | Сбой в операционной системе в стеке протоколов TCP/IP | Тема очень объёмная, поэтому даём ссылку на сайт где описаны возможные шаги. Со своей стороны рекомендуем воспользоваться 1-ым вариантом — тем что на сайте именуется «быстрый вариант решения». |
| 734 | Установлен тип VPN — «Автоматически» | В свойствах VPN-соединения на вкладке «Сеть» поменять тип VPN c «Автоматически» на «L2TP IPSec VPN» (пункт 20 инструкции). Если не помогает, необходимо пересоздать соединение. |
| 738 | Пользователь VPN с таким логином уже подключён | При необходимости одновременой работы через VPN с нескольких рабочих мест необходимо использовать разные имена пользователей. |
| 766 | Не сохранён предварительный ключ | Открыть свойства VPN-подключения, перейти на вкладку «Безопасность», нажать на кнопку «Дополнительные параметры» и в открывшемся окне ввести предварительный ключ в поле «Ключ». |
| 768 | Не запущена служба IPSec | Сделать щелчок правой кнопкой мыши на значке «Мой компьютер», выбрать пункт меню «Управление». В открывшемся окне раскрыть «Службы и приложения» и выбрать «Службы». Найти службу «Службы IPSec». Запустить её и устанавить тип запуска «Авто». |
| 769 | Неправильно введен адрес VPN-концентратора, не настроена служба DNS или отсутствует подключение к сети Internet | Ввести заново адрес VPN-концентратора. Если адрес введен верно — проверить наличие связи с VPN-концентратором согласно приведенной инструкции. Если связи нет — обратиться к своему системному администратору либо к своему Internet-провайдеру. |
| 781 | Не введен предварительный ключ | В свойствах VPN-подключения ввести предоставленный вам предварительный ключ. |
| 789 (1) | Не запущена служба «Модули ключей IPsec…» | Если используется операционная система Windows 7 или Vista, Windows XP, то сделайте щелчок правой кнопкой мыши на значке «Мой компьютер», выберите пункт меню «Управление». В открывшемся окне раскройте «Службы и приложения» и выберите «Службы». Найдите службу «Модули ключей IPsec…». Запустите её и устанавите тип запуска «Авто». |
| 789 (2) | см. ошибку 792 причина 1 или 3 | |
| 792 (1) | Введен неверный предварительный ключ | Ввести заново предварительный ключ |
| 792 (2) | Соединение происходит с использованием технологии NAT без установленного на компьютере с операционной системой Windows XP пакета обновлений SP2 | Установить пакет обновлений SP2 для Windows XP |
| 792 (3) | Блокируются UDP-пакеты | Разрешить UDP-порты 500 и 4500 для обмена данными с VPN-концентратором ДАЗТ «Укрзалізниця». Если используется IP-адрес из частного адресого пространства (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24), то необходимо настроить трансляцию адресов (NAT/PAT). |
| 800 | см. ошибку 734 | |
| 809 | В операционной системе глобально запрещено использовать шифрование | Если используется операционная система Windows 7 или Vista, то откройте редактор рееста (regedit.exe) и проверьте, есть ли в ключе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManParameters параметр ProhibitIpSec. Если он есть и имеет значение «1», то измените его на «0» и перезагрузите компьютер. Внимание!!! Если ваш провайдер интернет использует для предоставления доступа в Интернет VPN-подключение l2tp при изменении данного параметра может пропасть доступ в Интернет. В таком случае вам необходимо вернуть настройку в значение «1» и перегрузиться. |
—
Источник — compsovet.com
Категории: Windows
Метки: vpn
Имееется КД на Windows 2008. На нем же крутится основной ДНС сервер. с момента установки Forefront UAG и включения Direct Access для некоторых машин начались эти ошибки.
Платформа фильтрации IP-пакетов Windows заблокировала пакет.
Сведения о приложении:
Идентификатор процесса: 1104
Имя приложения: deviceharddiskvolume1windowssystem32svchost.exe
Сведения о сети:
Направление: Входящие
Адрес источника: 224.0.0.252
Порт источника: 5355
Адрес назначения: 172.16.11.111
Порт назначения: 61486
Протокол: 17
Сведения о фильтре:
Идентификатор выполнения фильтра: 0
Имя уровня: Получить/Принять
Идентификатор выполнения уровня: 44
Они выражаются в невозможности машин подключится к КД изза чего отвалился Exchange сервер. Как мне отключит функцию Direct Access в начшей сети. Отключение на UAG и удаление групповых политик ничего не дало. На клиентских машинах постоянно мелькают
эти ошибки
Ошибка при согласовании основного режима IPsec.
Локальная конечная точка:
Имя локального участника: —
Сетевой адрес: 2001:0:5c32:a64a:c58:3653:a3cd:59bd
Порт модуля ключей: 500
Удаленная конечная точка:
Имя участника: —
Сетевой адрес: 2002:5c32:a64b::5c32:a64b
Порт модуля ключей: 500
Дополнительные сведения:
Имя модуля ключей: IKEv1
Метод проверки подлинности: Неизвестная проверка подлинности
Роль: Инициатор
Состояние олицетворения: Не включено
Код фильтра основного режима: 0
Сведения об ошибке:
Точка ошибки: локальный компьютер
Причина ошибки: Нет настроенной политики
Состояние: Состояние не указано
Файлы cookie инициирующей стороны: 59ab0bb1b3b914e0
хотя IPv6 на них отключен. Я так понимаю что Direct Access на них удален не полностью. как его полностью отключить/удалить?
Learn how to correctly configure L2TP to avoid any errors on your PC
by Elena Constantinescu
Elena started writing professionally in 2010 and hasn’t stopped exploring the tech world since. With a firm grasp of software reviewing and content editing, she is always trying… read more
Updated on October 28, 2022
Reviewed by
Edgar Nicov
Since the dial-up Internet era, Edgar was interested in online resources. From forums to e-commerce websites, he started digging into how those resources could generate revenue. Today he… read more
- If you cannot connect to L2TP VPN on Windows 10, your VPN or OS is at fault.
- However, if it’s a VPN server-side issue, you must fix it there or contact the server admin.
- Our complete guide shows how to fix L2TP VPN connection issues on Windows 10 one step at a time.
- We prepared 12 solutions and 1 better alternative for your PC to prevent recurring problems.
If you created an L2TP VPN connection on Windows 10 but cannot connect, you can fix this problem by trying the workarounds in this guide.
L2TP is one of the most secure VPN protocols. It supports 256-bit encryption, which is highly recommended by privacy experts.
It’s meant to offer good VPN speed and a stable connection, so if your configuration isn’t working, make sure to tweak your setup.
Why is my L2TP VPN not working?
A failed L2TP VPN connection could occur due to several reasons, such as:
- Invalid username and password
- Inaccurate server name or address
- Wrong certificate or pre-shared key
- Bad proxy settings
- Faulty encryption settings on the server side
- Incorrect authentication settings
- The connection is blocked by your firewall
- The VPN server, client, or both are behind NAT
Our complete step-by-step guide below shows how to fix L2TP VPN connection issues on Windows 10. If possible, you should also check the L2TP connection settings on the VPN server.
Quick Tip:
Use a premium VPN instead. If you keep having problems with your current configuration, consider using a dedicated VPN app that’s way easier to configure.
ExpressVPN is a great alternative that supports L2TP/IPsec. The only thing you have to do is to install it and select the protocol in one click from settings.
ExpressVPN
Connect to ExpressVPN using its L2TP/IPsec protocol and get high-speed connections without any errors!
How do I fix L2TP VPN connection issues on Windows 10?
1. Check the username and password
- Right-click the Start button and go to Network Connections.
- Click VPN on the left side.
- Select your L2TP VPN connection and click Advanced options.
- Press Edit.
- Retype your User name and Password.
- Click Save.
If your entered your VPN credentials wrong or if they were changed by the VPN server administrator in the meantime, then a simple update to your username and password should help if you cannot connect to L2TP VPN on Windows 10.
2. Check the server name or address
- Go to VPN settings and choose the L2TP VPN profile.
- Click Advanced options and then Edit.
- Retype your Server name or address or try a different one.
- Click Save.
The L2TP VPN connection problem could be caused by a simple typo made to your server name or address, so make sure to re-enter this information. Otherwise, the remote L2TP VPN server might not be working. In that case, you can try connecting to another server if possible.
3. Check the certificate or pre-shared key
- Go to VPN settings and select your L2TP VPN connection.
- Click Advanced options and then Edit.
- Retype your Pre-shared key.
- Click Save.
Similar to the username and password situation, the pre-shared key you initially typed could have been wrong or changed by the VPN server administrator. After adding the new pre-shared key, try to connect to the L2TP VPN again to see if it works now.
However, if there’s an issue with the L2TP VPN certificate, there’s nothing you can do on the VPN client side. You have to either verify the certificate on the server or contact the administrator for help.
Alternatively, try switching between L2TP/IPsec with certificate and pre-shared key, in case the server admin changed the VPN type.
4. Check the VPN proxy settings
- Go to VPN settings and click your L2TP VPN profile.
- Select Advanced options.
- Scroll down to VPN proxy settings
- If you need to redirect your VPN connection to a proxy server, make sure the proxy settings are correct.
- Otherwise, remove the proxy by selecting None.
- Click Apply.
Even if you need to use a VPN proxy server, disable it temporarily and try to connect to L2TP VPN again to see if it’s really the proxy’s fault. It might not be working properly.
In that case, you should fix proxy server connection issues, use another proxy, or keep it disabled.
5. Check the encryption settings
- Right-click the Start button and go to Network Connections.
- Click Change adapter options.
- Right-click your VPN connection and select Properties.
- Switch to the Security tab.
- Set Data encryption to Optional encryption (connect even if no encryption).
- Click OK.
If the VPN server has encryption issues, this could be the reason why you cannot connect to L2TP VPN on Windows 10. By making the encryption optional, you might be able to temporarily solve this problem.
However, encryption is a critical component of a VPN connection, so you should contact the VPN server administrator to fix this issue as soon as possible.
6. Check the authentication settings
- Go to Network Connections > Change adapter options.
- Right-click your VPN and go to Properties.
- Switch to the Security tab.
- At Authentication, select Allow these protocols.
- Enable Challenge Handshake Authentication Protocol (CHAP).
- Enable Microsoft CHAP Version 2 (MS-CHAP v2).
- Click OK.
L2TP connection issues are typically caused by invalid VPN authentication settings. Try the configuration above to see if it works. Otherwise, you should get in touch with the VPN server administrator and request assistance.
7. Open L2TP ports in your firewall
- Click the Start button, type firewall, and select Firewall & network connection.
- Click Advanced settings and Yes if prompted by UAC (User Account Control).
- Select Inbound Rules on the left side.
- Click New Rule on the right actions panel.
- At Rule Type, select Port.
- At Protocol and Ports, select UDP with Specific local ports and type 1701, 500, 4500.
- Set Action to Allow the connection if it is secure.
- Enter any rule name and click Finish.
- Go to Outbound Rules and do the same.
If your L2TP VPN connection gets blocked by the firewall, then you have to open the correct ports for sending and receiving network traffic. However, the firewall configuration above should also be made on the VPN server.
This solution can help fix The connection was terminated by the remote computer before it could be completed, also known as VPN error 628.
8. Make an easy tweak to the registry
- Press Ctrl+R, type regedit, hold down Shift, and press Enter.
- Click Yes if prompted by User Account Control.
- Delete what’s inside the address bar on top.
- Paste the following address and press Enter:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent - Open Edit menu > New and click DWORD (32-bit) Value.
- Set AssumeUDPEncapsulationContextOnSendRule as the value name.
- Right-click AssumeUDPEncapsulationContextOnSendRule and press Modify.
- Set Value data to 2.
- Set Base to Hexadecimal.
- Click OK.
- Next, paste this address and hit Enter:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasMan - Open Edit menu > New and click DWORD (32-bit) Value.
- Set ProhibitIpSec as the value name.
- Right-click ProhibitIpSec and click Modify.
- Set Value data to 0.
- Set Base to Hexadecimal.
- Click OK.
- Restart your computer.
If the VPN server, client, or both as behind a NAT, such as a home router, you can use the registry tweaks above to fix the NAT traversal problem.
A faster way to tweak the registry and make Windows 10 connect to L2TP VPN by entering a couple of lines of code in Command Prompt (look inside the article to see how).
9. Reinstall the network adapters
- Right-click the Start button and go to Device Manager.
- Expand the Network adapters menu.
- Right-click TAP-Windows Adapter V9 and select Uninstall device.
- Leave Delete the driver software for this device unchecked.
- Click Uninstall.
- Do the same for WAN Miniport (L2TP) and WAN Miniport (Network Monitor).
- Open the Action menu and select Scan for hardware changes.
If you uninstall the network adapters but without also removing the driver software, Windows will automatically reinstall them.
Fixing Windows 10 network adapter problems is a practical way to handle the L2TP VPN connection issue.
It can also help fix the L2TP connection attempt failed, also known as VPN error 789.
10. Update the network drivers
- Go to Device Manager and expand the Network adapters menu.
- Right-click TAP-Windows Adapter V9 and select Update Driver.
- Choose Search automatically for updated driver software.
- Follow the on-screen instructions.
- Do the same for WAN Miniport (L2TP) and WAN Miniport (Network Monitor).
If you receive The best drivers for your device are already installed message, you can look for newer driver versions in Windows Update, install the drivers manually, or find and install newer device drivers automatically using driver update tools.
11. Restart the IPsec service
- Click the Start button, type Services, and press Enter.
- Find and right-click IKE and AuthIP IPsec Keying Modules.
- Press Restart (or Start if the service is stopped).
- Do the same for IPsec Policy Agent.
Windows 10 uses L2TP in combination with IPsec to establish a secure tunnel. If there’s a problem with IPsec, not with the L2TP, then you can restart its service.
It’s also a good way to fix VPN error 789.
12. Turn off Xbox Live Networking Service
- Go to Services and locate Xbox Live Networking Service (last on the list).
- Double-click this entry and set Startup type to Disabled.
- Click Apply.
- Restart your PC.
Xbox Live Networking Service uses the IPsec protocol for chatting and multiplayer features. However, the Windows 10 L2TP VPN also uses IPsec. And many ISPs don’t permit two or more simultaneous IPsec connections.
Therefore, you can disable Xbox Live Networking Service to fix this problem, especially if you don’t play Xbox multiplayer games. This is also a workaround to fix VPN error 809.
In conclusion, the solutions above should help you if you cannot connect to L2TP VPN on Windows 10. However, if you don’t want to worry about such problems anymore, we suggest skipping to the 13th step and using ExpessVPN instead. It’s also the best VPN for Google Chrome.
Your connection is not secure — websites you visit can find out your details:
- Your IP Address:
loading
Companies can sell this information, alongside your location and internet provider name, and profit from it by serving targeted ads or monitoring your data usage.
We recommend Private Internet Access, a VPN with a no-log policy, open source code, ad blocking and much more; now 79% off.
