Freigeben über

Installieren und Konfigurieren eines virtuellen privaten Netzwerkservers in Windows Server 2003

In diesem schrittweisen Artikel wird beschrieben, wie Sie virtuelle private Netzwerke (VPN) installieren und eine neue VPN-Verbindung in Servern erstellen, auf denen Windows Server 2003 ausgeführt wird.

Eine Microsoft Windows XP-Version dieses Artikels finden Sie unter 314076.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 323441

Zusammenfassung

Mit einem virtuellen privaten Netzwerk können Sie Netzwerkkomponenten über ein anderes Netzwerk wie das Internet verbinden. Sie können Ihren Windows Server 2003-basierten Computer zu einem Remotezugriffsserver machen, damit andere Benutzer über VPN eine Verbindung damit herstellen können, und sie können sich dann beim Netzwerk anmelden und auf freigegebene Ressourcen zugreifen. VPNs tun dies durch "Tunneln" über das Internet oder über ein anderes öffentliches Netzwerk auf eine Weise, die die gleiche Sicherheit und Funktionen wie ein privates Netzwerk bietet. Daten werden über das öffentliche Netzwerk über ihre Routinginfrastruktur gesendet, aber an den Benutzer wird es so angezeigt, als ob die Daten über einen dedizierten privaten Link gesendet werden.

Übersicht über VPN

Ein virtuelles privates Netzwerk ist ein Mittel zum Herstellen einer Verbindung mit einem privaten Netzwerk (z. B. Ihrem Büronetzwerk) über ein öffentliches Netzwerk (z. B. das Internet). Ein VPN kombiniert die Tugenden einer DFÜ-Verbindung mit einem DFÜ-Server mit Leichtigkeit und Flexibilität einer Internetverbindung. Mit einer Internetverbindung können Sie weltweit reisen und trotzdem an den meisten Orten mit einem lokalen Anruf mit der nächstgelegenen Telefonnummer für Internetzugriff eine Verbindung mit Ihrem Büro herstellen. Wenn Sie über eine Hochgeschwindigkeits-Internetverbindung (z. B. Kabel oder DSL) auf Ihrem Computer und in Ihrem Büro verfügen, können Sie mit Ihrem Büro mit voller Internetgeschwindigkeit kommunizieren, was viel schneller ist als jede DFÜ-Verbindung, die ein analoges Modem verwendet. Diese Technologie ermöglicht es einem Unternehmen, eine Verbindung mit seinen Zweigstellen oder anderen Unternehmen über ein öffentliches Netzwerk herzustellen und gleichzeitig eine sichere Kommunikation aufrechtzuerhalten. Die VPN-Verbindung über das Internet funktioniert logisch als dedizierte WAN-Verbindung (Wide Area Network).

Virtuelle private Netzwerke verwenden authentifizierte Links, um sicherzustellen, dass nur autorisierte Benutzer eine Verbindung mit Ihrem Netzwerk herstellen können. Um sicherzustellen, dass Daten sicher sind, während sie über das öffentliche Netzwerk übertragen werden, verwendet eine VPN-Verbindung point-to-Point Tunneling Protocol (PPTP) oder Layer Two Tunneling Protocol (L2TP) zum Verschlüsseln von Daten.

Komponenten eines VPN

Ein VPN in Servern mit Windows Server 2003 besteht aus einem VPN-Server, einem VPN-Client, einer VPN-Verbindung (dem Teil der Verbindung, in der die Daten verschlüsselt sind) und dem Tunnel (dieser Teil der Verbindung, in der die Daten gekapselt werden). Der Tunnelvorgang wird über eines der Tunnelingprotokolle abgeschlossen, die in Servern mit Windows Server 2003 enthalten sind, die beide mit Routing und Remotezugriff installiert sind. Der Routing- und Remotezugriffsdienst wird während der Installation von Windows Server 2003 automatisch installiert. Standardmäßig ist der Routing- und Remotezugriffsdienst jedoch deaktiviert.

Die beiden in Windows enthaltenen Tunnelprotokolle sind:

  • Point-to-Point Tunneling Protocol (PPTP):Stellt Datenverschlüsselung mithilfe der Microsoft Point-to-Point-Verschlüsselung bereit.
  • Layer Two Tunneling Protocol (L2TP):Stellt Datenverschlüsselung, Authentifizierung und Integrität mithilfe von IPSec bereit.

Ihre Verbindung mit dem Internet muss eine dedizierte Linie wie T1, Bruchzahl T1 oder Framerelay verwenden. Der WAN-Adapter muss mit der FÜR Ihre Domäne zugewiesenen IP-Adresse und subnetzmaske konfiguriert oder von einem Internetdienstanbieter (Internet Service Provider, ISP) bereitgestellt werden. Der WAN-Adapter muss auch als Standardgateway des ISP-Routers konfiguriert werden.

Notiz

Um VPN zu aktivieren, müssen Sie mit einem Konto angemeldet sein, das über Administratorrechte verfügt.

So installieren und aktivieren Sie einen VPN-Server

Führen Sie die folgenden Schritte aus, um einen VPN-Server zu installieren und zu aktivieren:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing" und "Remotezugriff".

  2. Klicken Sie auf das Serversymbol, das dem lokalen Servernamen im linken Bereich der Konsole entspricht. Wenn das Symbol in der unteren linken Ecke einen roten Kreis aufweist, wurde der Routing- und Remotezugriffsdienst nicht aktiviert. Wenn das Symbol einen grünen Pfeil hat, der in der unteren linken Ecke nach oben zeigt, wurde der Routing- und Remotezugriffsdienst aktiviert. Wenn der Routing- und Remotezugriffsdienst zuvor aktiviert war, sollten Sie den Server neu konfigurieren. So konfigurieren Sie den Server neu:

    1. Klicken Sie mit der rechten Maustaste auf das Serverobjekt, und klicken Sie dann auf "Routing und Remotezugriff deaktivieren". Klicken Sie auf "Ja ", um fortzufahren, wenn Sie mit einer Informationsmeldung aufgefordert werden.
    2. Klicken Sie mit der rechten Maustaste auf das Serversymbol, und klicken Sie dann auf "Routing und Remotezugriff aktivieren", um den Setup-Assistenten für Routing- und Remotezugriffsserver zu starten. Klicken Sie auf zum Fortfahren auf Weiter.
    3. Klicken Sie auf Remotezugriff (DFÜ oder VPN), um Remotecomputer zum Einwählen oder Herstellen einer Verbindung mit diesem Netzwerk über das Internet zu aktivieren. Klicken Sie auf zum Fortfahren auf Weiter.

  3. Klicken Sie, um VPN oder DFÜ abhängig von der Rolle auszuwählen, die Sie diesem Server zuweisen möchten.

  4. Klicken Sie im Fenster "VPN-Verbindung " auf die Netzwerkschnittstelle, die mit dem Internet verbunden ist, und klicken Sie dann auf "Weiter".

  5. Klicken Sie im Fenster "IP-Adresszuweisung " auf "Automatisch ", wenn ein DHCP-Server verwendet wird, um Remoteclients Adressen zuzuweisen, oder klicken Sie auf "Von einem bestimmten Adressbereich ", wenn Remoteclients nur eine Adresse aus einem vordefinierten Pool erhalten müssen. In den meisten Fällen ist die DHCP-Option einfacher zu verwalten. Wenn DHCP jedoch nicht verfügbar ist, müssen Sie einen Bereich statischer Adressen angeben. Klicken Sie auf zum Fortfahren auf Weiter.

  6. Wenn Sie in einem angegebenen Adressbereich auf "Von" geklickt haben, wird das Dialogfeld "Adressbereichszuweisung" geöffnet. Klicken Sie auf Neu. Geben Sie die erste IP-Adresse im Adressbereich ein, die Sie im Feld "IP-Adresse starten" verwenden möchten. Geben Sie die letzte IP-Adresse im Bereich im Feld "IP-Adresse end" ein. Windows berechnet die Anzahl der Adressen automatisch. Klicken Sie auf "OK ", um zum Fenster " Adressbereichszuweisung " zurückzukehren. Klicken Sie auf zum Fortfahren auf Weiter.

  7. Übernehmen Sie die Standardeinstellung " Nein", verwenden Sie "Routing" und "Remotezugriff", um Verbindungsanforderungen zu authentifizieren, und klicken Sie dann auf "Weiter ", um fortzufahren. Klicken Sie auf "Fertig stellen ", um den Routing- und Remotezugriffsdienst zu aktivieren und den Server als Remotezugriffsserver zu konfigurieren.

Konfigurieren des VPN-Servers

Führen Sie die folgenden Schritte aus, um den VPN-Server nach Bedarf zu konfigurieren.

Konfigurieren des Remotezugriffsservers als Router

Damit der Remotezugriffsserver Datenverkehr innerhalb Ihres Netzwerks ordnungsgemäß weiterleitet, müssen Sie ihn als Router mit statischen Routen oder Routingprotokollen konfigurieren, damit alle Standorte im Intranet vom Remotezugriffsserver erreichbar sind.

So konfigurieren Sie den Server als Router:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing" und "Remotezugriff".
  2. Klicken Sie mit der rechten Maustaste auf den Servernamen, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte "Allgemein", und klicken Sie dann, um "Router" unter "Diesen Computer aktivieren als a" auszuwählen.
  4. Klicken Sie auf LAN- und Bedarfswählrouting, und klicken Sie dann auf "OK ", um das Dialogfeld "Eigenschaften" zu schließen.

So ändern Sie die Anzahl gleichzeitiger Verbindungen

Die Anzahl der DFÜ-Modemverbindungen hängt von der Anzahl der Modems ab, die auf dem Server installiert sind. Wenn Sie beispielsweise nur ein Modem auf dem Server installiert haben, können Sie jeweils nur eine Modemverbindung herstellen.

Die Anzahl der DFÜ-VPN-Verbindungen hängt von der Anzahl der gleichzeitigen Benutzer ab, die Sie zulassen möchten. Wenn Sie das in diesem Artikel beschriebene Verfahren ausführen, lassen Sie standardmäßig 128 Verbindungen zu. Führen Sie die folgenden Schritte aus, um die Anzahl der gleichzeitigen Verbindungen zu ändern:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing" und "Remotezugriff".
  2. Doppelklicken Sie auf das Serverobjekt, klicken Sie mit der rechten Maustaste auf Ports, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie im Dialogfeld "Ports-Eigenschaften" auf "WAN Miniport (PPTP)>Konfigurieren".
  4. Geben Sie im Feld "Maximale Ports " die Anzahl der VPN-Verbindungen ein, die Sie zulassen möchten.
  5. Klicken Sie auf OK OK>, und schließen Sie dann Routing und Remotezugriffe.

Verwalten von Adressen und Namenservern

Der VPN-Server muss über IP-Adressen verfügen, um sie der virtuellen Schnittstelle des VPN-Servers und VPN-Clients während der IP Control Protocol (IPCP)-Aushandlungsphase des Verbindungsprozesses zuzuweisen. Die dem VPN-Client zugewiesene IP-Adresse wird der virtuellen Schnittstelle des VPN-Clients zugewiesen.

Für Windows Server 2003-basierte VPN-Server werden die IP-Adressen, die VPN-Clients zugewiesen sind, standardmäßig über DHCP abgerufen. Sie können auch einen statischen IP-Adresspool konfigurieren. Der VPN-Server muss auch mit Namensauflösungsservern, in der Regel DNS- und WINS-Serveradressen, konfiguriert werden, um dem VPN-Client während der IPCP-Aushandlung zuzuweisen.

So verwalten Sie den Zugriff

Konfigurieren Sie die Einwahleigenschaften für Benutzerkonten und Remotezugriffsrichtlinien, um den Zugriff für DFÜ-Netzwerke und VPN-Verbindungen zu verwalten.

Notiz

Standardmäßig wird Benutzern der Zugriff auf ein DFÜ-Netzwerk verweigert.

Zugriff nach Benutzerkonto

Führen Sie die folgenden Schritte aus, um Einwahlzugriff auf ein Benutzerkonto zu gewähren, wenn Sie den Remotezugriff auf Benutzerbasis verwalten:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte " Einwahl ".
  4. Klicken Sie auf " Zugriff zulassen", um dem Benutzer die Berechtigung zum Einwählen zu erteilen. Klicken Sie auf OK.

Zugriff nach Gruppenmitgliedschaft

Wenn Sie den Remotezugriff auf Gruppenbasis verwalten, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Gruppe mit Mitgliedern, die VPN-Verbindungen erstellen dürfen.
  2. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing" und "Remotezugriff".
  3. Erweitern Sie in der Konsolenstruktur Routing und Remotezugriff, erweitern Sie den Servernamen, und klicken Sie dann auf Remotezugriffsrichtlinien.
  4. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im rechten Bereich, zeigen Sie auf "Neu", und klicken Sie dann auf "Remotezugriffsrichtlinie".
  5. Klicken Sie auf "Weiter", geben Sie den Richtliniennamen ein, und klicken Sie dann auf "Weiter".
  6. Klicken Sie auf VPN für die Zugriffsmethode für den virtuellen privaten Zugriff, oder klicken Sie auf DFÜ für den DFÜ-Zugriff , und klicken Sie dann auf Weiter.
  7. Klicken Sie auf "Hinzufügen", geben Sie den Namen der Gruppe ein, die Sie in Schritt 1 erstellt haben, und klicken Sie dann auf "Weiter".
  8. Folgen Sie den Bildschirmanweisungen, um den Assistenten abzuschließen.

Wenn der VPN-Server bereits DFÜ-Netzwerk-Remotezugriffsdienste zulässt, löschen Sie die Standardrichtlinie nicht. Verschieben Sie sie stattdessen so, dass es sich um die letzte zu bewertende Richtlinie handelt.

Konfigurieren einer VPN-Verbindung von einem Clientcomputer

Führen Sie die folgenden Schritte aus, um eine Verbindung mit einem VPN einzurichten. Führen Sie die folgenden Schritte auf der Clientarbeitsstation aus, um einen Client für den Zugriff auf ein virtuelles privates Netzwerk einzurichten:

Notiz

Sie müssen als Mitglied der Gruppe "Administratoren" angemeldet sein, um diese Schritte auszuführen.

Da es verschiedene Microsoft Windows-Versionen gibt, können die folgenden Schritte auf Ihrem Computer anders aussehen. Lesen Sie in diesem Fall in Ihrer Produktdokumentation nach, wie diese Schritte auszuführen sind.

  1. Vergewissern Sie sich auf dem Clientcomputer, dass die Internetverbindung ordnungsgemäß konfiguriert ist.

  2. Klicken Sie auf "Start>"Systemsteuerung> Netzverbindungen. Klicken Sie unter "Netzwerkaufgaben" auf "Neue Verbindung erstellen", und klicken Sie dann auf "Weiter".

  3. Klicken Sie auf "Mit dem Netzwerk an meinem Arbeitsplatz verbinden", um die DFÜ-Verbindung zu erstellen. Klicken Sie auf zum Fortfahren auf Weiter.

  4. Klicken Sie auf virtuelle private Netzwerkverbindung, und klicken Sie dann auf "Weiter".

  5. Geben Sie im Dialogfeld "Firmenname" einen beschreibenden Namen für diese Verbindung ein, und klicken Sie dann auf "Weiter".

  6. Klicken Sie auf "Erste Verbindung nicht wählen" , wenn der Computer dauerhaft mit dem Internet verbunden ist. Wenn sich der Computer über einen Internetdienstanbieter (Internet Service Provider, ISP) mit dem Internet verbindet, klicken Sie auf "Automatisches Wählen dieser anfänglichen Verbindung", und klicken Sie dann auf den Namen der Verbindung mit dem Internetdienstanbieter. Klicken Sie auf Weiter.

  7. Geben Sie die IP-Adresse oder den Hostnamen des VPN-Servercomputers ein (z. B. VPNServer.SampleDomain.com).

  8. Klicken Sie auf "Jeder verwenden ", wenn Sie zulassen möchten, dass jeder Benutzer, der sich bei der Arbeitsstation anmeldet, Zugriff auf diese DFÜ-Verbindung hat. Klicken Sie nur auf "Meine Verwendung", wenn diese Verbindung nur für den aktuell angemeldeten Benutzer verfügbar sein soll. Klicken Sie auf Weiter.

  9. Klicken Sie auf "Fertig stellen ", um die Verbindung zu speichern.

  10. Klicken Sie auf "Start>"Systemsteuerung> Netzverbindungen.

  11. Doppelklicken Sie auf die neue Verbindung.

  12. Klicken Sie auf "Eigenschaften", um die Optionen für die Verbindung weiter zu konfigurieren. Führen Sie die folgenden Schritte aus, um die Optionen für die Verbindung weiter zu konfigurieren:

    • Wenn Sie eine Verbindung mit einer Domäne herstellen, klicken Sie auf die Registerkarte "Optionen ", und aktivieren Sie dann das Kontrollkästchen "Windows-Anmeldedomäne einschließen", um anzugeben, ob Windows Server 2003-Anmeldedomäneninformationen angefordert werden sollen, bevor Sie versuchen, eine Verbindung herzustellen.
    • Wenn die Verbindung neu initialisiert werden soll, wenn die Linie gelöscht wird, klicken Sie auf die Registerkarte "Optionen ", und klicken Sie dann, um das Kontrollkästchen "Neu" zu aktivieren, wenn die Zeile verworfen wird.

Führen Sie die folgenden Schritte aus, um die Verbindung zu verwenden:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verbinden mit", und klicken Sie dann auf die neue Verbindung.

  2. Wenn Sie derzeit keine Internetverbindung haben, bietet Windows an, eine Verbindung mit dem Internet herzustellen.

  3. Wenn die Verbindung mit dem Internet hergestellt wird, fordert der VPN-Server Sie zur Eingabe Ihres Benutzernamens und Kennworts auf. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, und klicken Sie dann auf "Verbinden". Ihre Netzwerkressourcen müssen ihnen auf die gleiche Weise zur Verfügung stehen, wie sie sich befinden, wenn Sie eine direkte Verbindung mit dem Netzwerk herstellen.

    Notiz

    Wenn Sie die Verbindung mit dem VPN trennen möchten, klicken Sie mit der rechten Maustaste auf das Verbindungssymbol, und klicken Sie dann auf " Trennen".

Problembehandlung

Problembehandlung bei VPNs für den Remotezugriff

Eine VPN-Verbindung mit Remotezugriff kann nicht hergestellt werden.

  • Ursache: Der Name des Clientcomputers entspricht dem Namen eines anderen Computers im Netzwerk.

    Lösung: Überprüfen Sie, ob die Namen aller Computer im Netzwerk und computer, die mit dem Netzwerk verbunden sind, eindeutige Computernamen verwenden.

  • Ursache: Der Routing- und Remotezugriffsdienst wird nicht auf dem VPN-Server gestartet.

    Lösung: Überprüfen Sie den Status des Routing- und Remotezugriffsdiensts auf dem VPN-Server.

    Weitere Informationen zum Überwachen des Routing- und Remotezugriffsdiensts sowie zum Starten und Beenden des Routing- und Remotezugriffsdiensts finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der Remotezugriff ist nicht auf dem VPN-Server aktiviert.

    Lösung: Aktivieren des Remotezugriffs auf dem VPN-Server.

    Weitere Informationen zum Aktivieren des Remotezugriffsservers finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: PPTP- oder L2TP-Ports sind für eingehende Remotezugriffsanforderungen nicht aktiviert.

    Lösung: Aktivieren Sie PPTP- oder L2TP-Ports oder beides für eingehende Remotezugriffsanforderungen.

    Weitere Informationen zum Konfigurieren von Ports für den Remotezugriff finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Die von den VPN-Clients verwendeten LAN-Protokolle sind für den Remotezugriff auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie die LAN-Protokolle, die von den VPN-Clients für den Remotezugriff auf dem VPN-Server verwendet werden.

    Weitere Informationen zum Anzeigen von Eigenschaften des Remotezugriffsservers finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Alle PPTP- oder L2TP-Ports auf dem VPN-Server werden bereits von aktuell angeschlossenen Remotezugriffsclients oder Routern für Bedarfswählverbindungen verwendet.

    Lösung: Überprüfen Sie, ob alle PPTP- oder L2TP-Ports auf dem VPN-Server bereits verwendet werden. Klicken Sie dazu auf Ports in Routing und Remotezugriff. Wenn die Anzahl der zulässigen PPTP- oder L2TP-Ports nicht hoch genug ist, ändern Sie die Anzahl der PPTP- oder L2TP-Ports, um mehr gleichzeitige Verbindungen zu ermöglichen.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Server unterstützt das Tunnelingprotokoll des VPN-Clients nicht.

    Standardmäßig verwenden VPN-Clients für den Remotezugriff von Windows Server 2003 die Option für den automatischen Servertyp, was bedeutet, dass sie versuchen, zuerst eine L2TP-über IPSec-basierte VPN-Verbindung herzustellen, und dann versuchen sie, eine PPTP-basierte VPN-Verbindung herzustellen. Wenn VPN-Clients entweder die Servertypoption "Point-to-Point Tunneling Protocol(PPTP)" oder "Layer-2 Tunneling Protocol(L2TP)" verwenden, überprüfen Sie, ob das ausgewählte Tunnelingprotokoll vom VPN-Server unterstützt wird.

    Standardmäßig ist ein Computer mit Windows Server 2003 Server und der Routing- und Remotezugriffsdienst ein PPTP- und L2TP-Server mit fünf L2TP-Ports und fünf PPTP-Ports. Um einen nur PPTP-Server zu erstellen, legen Sie die Anzahl der L2TP-Ports auf Null fest. Um einen nur L2TP-Server zu erstellen, legen Sie die Anzahl der PPTP-Ports auf Null fest.

    Lösung: Überprüfen Sie, ob die entsprechende Anzahl von PPTP- oder L2TP-Ports konfiguriert ist.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Client und der VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie sind nicht für die Verwendung mindestens einer allgemeinen Authentifizierungsmethode konfiguriert.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie, um mindestens eine gängige Authentifizierungsmethode zu verwenden.

    Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Client und der VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie sind nicht für die Verwendung mindestens einer allgemeinen Verschlüsselungsmethode konfiguriert.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie, um mindestens eine gängige Verschlüsselungsmethode zu verwenden.

    Weitere Informationen zum Konfigurieren der Verschlüsselung finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Die VPN-Verbindung verfügt nicht über die entsprechenden Berechtigungen über Einwahleigenschaften des Benutzerkontos und der Remotezugriffsrichtlinien.

    Lösung: Stellen Sie sicher, dass die VPN-Verbindung über die entsprechenden Berechtigungen verfügt, indem Sie die Einwahleigenschaften des Benutzerkontos und der Richtlinien für den Remotezugriff verwenden. Damit die Verbindung hergestellt werden kann, müssen die Einstellungen des Verbindungsversuchs:

    • Stimmen Sie alle Bedingungen mindestens einer Remotezugriffsrichtlinie überein.
    • Sie erhalten remotezugriffsberechtigungen über das Benutzerkonto (auf "Zugriff zulassen" festgelegt) oder über das Benutzerkonto (auf "Zugriff über Remotezugriffsrichtlinie steuern" festgelegt) und die Remotezugriffsberechtigung der übereinstimmenden Remotezugriffsrichtlinie (auf "Remotezugriff erteilen" festgelegt).
    • Stimmen Sie alle Einstellungen des Profils ab.
    • Stimmen Sie alle Einstellungen der Einwahleigenschaften des Benutzerkontos ab.

    Weitere Informationen zu einer Einführung in Remotezugriffsrichtlinien und zum Akzeptieren eines Verbindungsversuchs finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Die Einstellungen des Remotezugriffsrichtlinienprofils stehen in Konflikt mit eigenschaften des VPN-Servers.

    Die Eigenschaften des Remotezugriffsrichtlinienprofils und die Eigenschaften des VPN-Servers enthalten beide Einstellungen für:

    • Mehrfachverknüpfung.
    • Bandbreitenzuweisungsprotokoll (Bandwidth Allocation Protocol, BAP).
    • Authentifizierungsprotokolle.

    Wenn die Einstellungen des Profils der übereinstimmenden Remotezugriffsrichtlinie mit den Einstellungen des VPN-Servers in Konflikt stehen, wird der Verbindungsversuch abgelehnt. Wenn beispielsweise das entsprechende Remotezugriffsrichtlinienprofil angibt, dass das Extensible Authentication Protocol - Transport Level Security (EAP-TLS)-Authentifizierungsprotokoll verwendet werden muss und EAP nicht auf dem VPN-Server aktiviert ist, wird der Verbindungsversuch abgelehnt.

    Lösung: Überprüfen Sie, ob die Einstellungen des Remotezugriffsrichtlinienprofils nicht in Konflikt mit eigenschaften des VPN-Servers stehen.

    Weitere Informationen zu Multilink-, BAP- und Authentifizierungsprotokollen finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der Antwortrouter kann die Anmeldeinformationen des aufrufenden Routers (Benutzername, Kennwort und Domänenname) nicht überprüfen.

    Lösung: Überprüfen Sie, ob die Anmeldeinformationen des VPN-Clients (Benutzername, Kennwort und Domänenname) korrekt sind und vom VPN-Server überprüft werden können.

  • Ursache: Im statischen IP-Adresspool sind nicht genügend Adressen vorhanden.

    Lösung: Wenn der VPN-Server mit einem statischen IP-Adresspool konfiguriert ist, überprüfen Sie, ob genügend Adressen im Pool vorhanden sind. Wenn allen Adressen im statischen Pool verbundene VPN-Clients zugewiesen wurden, kann der VPN-Server keine IP-Adresse zuordnen, und der Verbindungsversuch wird abgelehnt. Wenn alle Adressen im statischen Pool zugewiesen wurden, ändern Sie den Pool.

    Weitere Informationen zu TCP/IP und Remotezugriff und zum Erstellen eines statischen IP-Adresspools finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Client ist so konfiguriert, dass er seine eigene IPX-Knotennummer anfordert, und der VPN-Server ist nicht so konfiguriert, dass IPX-Clients ihre eigene IPX-Knotennummer anfordern können.

    Lösung: Konfigurieren Sie den VPN-Server so, dass IPX-Clients ihre eigene IPX-Knotennummer anfordern können.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Server ist mit einer Reihe von IPX-Netzwerknummern konfiguriert, die an anderer Stelle in Ihrem IPX-Netzwerk verwendet werden.

    Lösung: Konfigurieren Sie den VPN-Server mit einer Reihe von IPX-Netzwerknummern, die für Ihr IPX-Netzwerk eindeutig sind.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der Authentifizierungsanbieter des VPN-Servers ist nicht ordnungsgemäß konfiguriert.

    Lösung: Überprüfen Sie die Konfiguration des Authentifizierungsanbieters. Sie können den VPN-Server so konfigurieren, dass er entweder Windows Server 2003 oder DEN RADIUS (Remote Authentication Dial-In User Service) verwendet, um die Anmeldeinformationen des VPN-Clients zu authentifizieren.

    Weitere Informationen zu Authentifizierungs- und Buchhaltungsanbietern finden Sie im Windows Server 2003-Hilfe- und Supportcenter und zur Verwendung der RADIUS-Authentifizierung. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Server kann nicht auf Active Directory zugreifen.

    Lösung: Überprüfen Sie bei einem VPN-Server, der ein Mitgliedserver in einem gemischten Modus oder einer systemeigenen Windows Server 2003-Domäne ist, die für die Windows Server 2003-Authentifizierung konfiguriert ist:

    • Die Sicherheitsgruppe RAS- und IAS-Server ist vorhanden. Falls nicht, erstellen Sie die Gruppe, und legen Sie den Gruppentyp auf "Sicherheit" und den Gruppenbereich auf "Domäne lokal" fest.

    • Die Sicherheitsgruppe RAS- und IAS-Server verfügt über Lesen-Berechtigung zum RAS- und IAS-Server-Zugriffsüberprüfungsobjekt .

    • Das Computerkonto des VPN-Servercomputers ist Mitglied der Sicherheitsgruppe RAS- und IAS-Server . Sie können den netsh ras show registeredserver Befehl verwenden, um die aktuelle Registrierung anzuzeigen. Sie können den netsh ras add registeredserver Befehl verwenden, um den Server in einer angegebenen Domäne zu registrieren.

      Wenn Sie den VPN-Servercomputer zur Sicherheitsgruppe RAS- und IAS-Server hinzufügen (oder entfernen), wird die Änderung nicht sofort wirksam (aufgrund der Art und Weise, wie Windows Server 2003 Active Directory-Informationen zwischenspeichert). Um diese Änderung sofort zu bewirken, starten Sie den VPN-Servercomputer neu.

    • Der VPN-Server ist Mitglied der Domäne.

    Weitere Informationen zum Hinzufügen einer Gruppe, zum Überprüfen von Berechtigungen für die RAS- und IAS-Sicherheitsgruppe und zu netsh Befehlen für den Remotezugriff finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Ein windows NT 4.0-basierter VPN-Server kann Verbindungsanforderungen nicht überprüfen.

    Lösung: Wenn VPN-Clients sich in einen VPN-Server mit Windows NT 4.0 einwählen, der Mitglied einer Windows Server 2003-Domäne mit gemischtem Modus ist, überprüfen Sie, ob die Gruppe "Jeder" der Gruppe "Pre-Windows 2000 Compatible Access" mit dem folgenden Befehl hinzugefügt wird:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Geben Sie andernfalls den folgenden Befehl an einer Eingabeaufforderung auf einem Domänencontrollercomputer ein, und starten Sie den Domänencontrollercomputer neu:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Weitere Informationen zum Windows NT 4.0-Remotezugriffsserver in einer Windows Server 2003-Domäne finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Server kann nicht mit dem konfigurierten RADIUS-Server kommunizieren.

    Lösung: Wenn Sie Ihren RADIUS-Server nur über Ihre Internetschnittstelle erreichen können, führen Sie eine der folgenden Aktionen aus:

    • Fügen Sie einen Eingabefilter und einen Ausgabefilter zur Internetschnittstelle für UDP-Port 1812 hinzu (basierend auf RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). Oder
    • Fügen Sie einen Eingabefilter und einen Ausgabefilter zur Internetschnittstelle für UDP-Port 1645 (für ältere RADIUS-Server) für RADIUS-Authentifizierung und UDP-Port 1813 hinzu (basierend auf RFC 2139, "RADIUS Accounting"). Oder
    • - oder- Fügen Sie einen Eingabefilter und einen Ausgabefilter zur Internetschnittstelle für UDP-Port 1646 (für ältere RADIUS-Server) für RADIUS-Buchhaltung hinzu.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Die Verbindung mit dem VPN-Server über das Internet kann nicht über das hilfsprogramm Ping.exe hergestellt werden.

    Lösung: Aufgrund der PPTP- und L2TP-Über-IPSec-Paketfilterung, die auf der Internetschnittstelle des VPN-Servers konfiguriert ist, werden vom Pingbefehl verwendete ICMP-Pakete (Internet Control Message Protocol) herausgefiltert. Um den VPN-Server zu aktivieren, um auf ICMP-Pakete (Ping)-Pakete zu reagieren, fügen Sie einen Eingabefilter und einen Ausgabefilter hinzu, der Datenverkehr für IP-Protokoll 1 (ICMP-Datenverkehr) zulässt.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

Daten können nicht gesendet und empfangen werden

  • Ursache: Die entsprechende Bedarfswählschnittstelle wurde dem Routingprotokoll nicht hinzugefügt.

    Lösung: Fügen Sie die entsprechende Bedarfswählschnittstelle zum Protokoll hinzu, das weitergeleitet wird.

    Weitere Informationen zum Hinzufügen einer Routingschnittstelle finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Es gibt keine Routen auf beiden Seiten der Router-zu-Router-VPN-Verbindung, die den bidirektionale Austausch von Datenverkehr unterstützen.

    Lösung: Im Gegensatz zu einer VPN-Verbindung für den Remotezugriff erstellt eine Router-zu-Router-VPN-Verbindung nicht automatisch eine Standardroute. Erstellen Sie Routen auf beiden Seiten der Router-zu-Router-VPN-Verbindung, damit Datenverkehr an und von der anderen Seite der Router-zu-Router-VPN-Verbindung weitergeleitet werden kann.

    Sie können der Routingtabelle manuell statische Routen hinzufügen oder statische Routen über Routingprotokolle hinzufügen. Für dauerhafte VPN-Verbindungen können Sie open Shortest Path First (OSPF) oder Routing Information Protocol (RIP) über die VPN-Verbindung aktivieren. Bei On-Demand-VPN-Verbindungen können Sie Routen automatisch über ein automatisch statisches RIP-Update aktualisieren. Weitere Informationen zum Hinzufügen eines IP-Routingprotokolls, zum Hinzufügen einer statischen Route und zum Ausführen automatisch statischer Updates finden Sie in der Onlinehilfe zu Windows Server 2003. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Ein bidirektionales Initiiertes, der Antwortrouter als Remotezugriffsverbindung interpretiert router-zu-Router VPN-Verbindung.

    Lösung: Wenn der Benutzername in den Anmeldeinformationen des anrufenden Routers unter Einwahlclients in Routing und Remotezugriff angezeigt wird, interpretiert der Antwortrouter den anrufenden Router möglicherweise als Remotezugriffsclient. Stellen Sie sicher, dass der Benutzername in den Anmeldeinformationen des anrufenden Routers mit dem Namen einer Bedarfswählschnittstelle auf dem Antwortrouter übereinstimmt. Wenn es sich bei dem eingehenden Anrufer um einen Router handelt, zeigt der Port, an dem der Anruf empfangen wurde, den Status " Aktiv" an, und die entsprechende Bedarfswählschnittstelle befindet sich in einem verbundenen Zustand.

    Weitere Informationen zum Überprüfen des Status des Ports auf dem Antwortrouter und zum Überprüfen des Status der Bedarfswählschnittstelle finden Sie in der Onlinehilfe zu Windows Server 2003. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Paketfilter auf die Bedarfswählschnittstellen des anrufenden Routers und der Antwortrouter verhindern den Datenverkehrsfluss.

    Lösung: Stellen Sie sicher, dass es keine Paketfilter für die Bedarfswählschnittstellen des anrufenden Routers und den Antwortrouter gibt, die das Senden oder Empfangen von Datenverkehr verhindern. Sie können jede Bedarfswählschnittstelle mit IP- und IPX-Eingabe- und Ausgabefiltern konfigurieren, um den genauen Charakter von TCP/IP- und IPX-Datenverkehr zu steuern, der in und außerhalb der Bedarfswählschnittstelle zulässig ist.

    Weitere Informationen zum Verwalten von Paketfiltern finden Sie in der Onlinehilfe zu Windows Server 2003. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Paketfilter im Remotezugriffsrichtlinienprofil verhindern den Fluss des IP-Datenverkehrs.

    Lösung: Stellen Sie sicher, dass keine konfigurierten TCP/IP-Paketfilter für die Profileigenschaften der Remotezugriffsrichtlinien auf dem VPN-Server (oder der RADIUS-Server, wenn internetauthentifizierungsdienst verwendet wird) vorhanden sind, die das Senden oder Empfangen von TCP/IP-Datenverkehr verhindern. Sie können Remotezugriffsrichtlinien verwenden, um TCP/IP-Eingabe- und Ausgabepaketfilter zu konfigurieren, die die genaue Art des TCP/IP-Datenverkehrs steuern, der für die VPN-Verbindung zulässig ist. Stellen Sie sicher, dass die Profil-TCP/IP-Paketfilter den Datenverkehrsfluss nicht verhindern.

    Weitere Informationen zum Konfigurieren von IP-Optionen finden Sie in der Onlinehilfe zu Windows Server 2003. Klicken Sie auf "Start ", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.