Installieren und Konfigurieren eines virtuellen privaten Netzwerkservers in Windows Server 2003

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie virtuelle private Netzwerke (VPN) installieren und eine neue VPN-Verbindung auf Servern mit Windows Server 2003 erstellen.

Eine Microsoft Windows XP-Version dieses Artikels finden Sie unter 314076.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 323441

Zusammenfassung

Mit einem virtuellen privaten Netzwerk können Sie Netzwerkkomponenten über ein anderes Netzwerk wie das Internet verbinden. Sie können Ihren Windows Server 2003-basierten Computer zu einem Remotezugriffsserver machen, damit andere Benutzer eine Verbindung mit dem Computer über VPN herstellen können. Anschließend können sie sich beim Netzwerk anmelden und auf freigegebene Ressourcen zugreifen. VPNs tun dies durch "Tunneln" über das Internet oder über ein anderes öffentliches Netzwerk auf eine Weise, die die gleiche Sicherheit und Funktionen wie ein privates Netzwerk bietet. Daten werden über das öffentliche Netzwerk gesendet, indem die Routinginfrastruktur verwendet wird, aber für den Benutzer scheint es, als ob die Daten über einen dedizierten privaten Link gesendet werden.

Übersicht über VPN

Ein virtuelles privates Netzwerk ist ein Mittel zum Herstellen einer Verbindung mit einem privaten Netzwerk (z. B. Ihrem Büronetzwerk) über ein öffentliches Netzwerk (z. B. das Internet). Ein VPN kombiniert die Vorteile einer DFÜ-Verbindung mit einem DFÜ-Server mit der Leichtigkeit und Flexibilität einer Internetverbindung. Mithilfe einer Internetverbindung können Sie weltweit reisen und dennoch an den meisten Orten eine Verbindung mit Ihrem Büro herstellen, indem Sie die nächstgelegene Telefonnummer für den Internetzugang anrufen. Wenn Sie über eine Hochgeschwindigkeits-Internetverbindung (z. B. Kabel oder DSL) an Ihrem Computer und in Ihrem Büro verfügen, können Sie mit voller Internetgeschwindigkeit mit Ihrem Büro kommunizieren, was viel schneller ist als jede DFÜ-Verbindung, die ein analoges Modem verwendet. Diese Technologie ermöglicht es einem Unternehmen, über ein öffentliches Netzwerk eine Verbindung mit seinen Niederlassungen oder anderen Unternehmen herzustellen und gleichzeitig die sichere Kommunikation aufrechtzuerhalten. Die VPN-Verbindung über das Internet funktioniert logisch als dedizierte WAN-Verbindung (Wide Area Network).

Virtuelle private Netzwerke verwenden authentifizierte Links, um sicherzustellen, dass nur autorisierte Benutzer eine Verbindung mit Ihrem Netzwerk herstellen können. Um sicherzustellen, dass Daten sicher sind, während sie über das öffentliche Netzwerk übertragen werden, verwendet eine VPN-Verbindung das Point-to-Point Tunneling Protocol (PPTP) oder das Layer Two Tunneling Protocol (L2TP) zum Verschlüsseln von Daten.

Komponenten eines VPN

Ein VPN auf Servern unter Windows Server 2003 besteht aus einem VPN-Server, einem VPN-Client, einer VPN-Verbindung (diesem Teil der Verbindung, in der die Daten verschlüsselt sind) und dem Tunnel (diesem Teil der Verbindung, in der die Daten gekapselt sind). Die Tunnelung wird über eines der Tunnelingprotokolle abgeschlossen, die in Servern unter Windows Server 2003 enthalten sind, die beide mit Routing und Remotezugriff installiert sind. Der Routing- und Remotezugriffsdienst wird während der Installation von Windows Server 2003 automatisch installiert. Standardmäßig ist der Routing- und Remotezugriffsdienst jedoch deaktiviert.

Die beiden in Windows enthaltenen Tunnelungsprotokolle sind:

  • PpTP (Point-to-Point Tunneling Protocol): Stellt Datenverschlüsselung mithilfe der Microsoft Point-to-Point-Verschlüsselung bereit.
  • Layer Two Tunneling Protocol (L2TP): Stellt Datenverschlüsselung, Authentifizierung und Integrität mitHILFE von IPSec bereit.

Ihre Verbindung mit dem Internet muss eine dedizierte Leitung wie T1, Fractional T1 oder Frame Relay verwenden. Der WAN-Adapter muss mit der IP-Adresse und der Subnetzmaske konfiguriert werden, die für Ihre Domäne zugewiesen oder von einem Internetdienstanbieter (ISP) bereitgestellt werden. Der WAN-Adapter muss auch als Standardgateway des ISP-Routers konfiguriert werden.

Hinweis

Um VPN zu aktivieren, müssen Sie mit einem Konto angemeldet sein, das über Administratorrechte verfügt.

Installieren und Aktivieren eines VPN-Servers

Führen Sie die folgenden Schritte aus, um einen VPN-Server zu installieren und zu aktivieren:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing und Remotezugriff".

  2. Klicken Sie im linken Bereich der Konsole auf das Serversymbol, das dem lokalen Servernamen entspricht. Wenn das Symbol in der unteren linken Ecke einen roten Kreis aufweist, wurde der Routing- und Ras-Dienst nicht aktiviert. Wenn das Symbol einen grünen Pfeil aufweist, der in der unteren linken Ecke nach oben weist, wurde der Routing- und Remotezugriffsdienst aktiviert. Wenn der Routing- und Remotezugriffsdienst zuvor aktiviert war, sollten Sie den Server neu konfigurieren. So konfigurieren Sie den Server neu

    1. Klicken Sie mit der rechten Maustaste auf das Serverobjekt, und klicken Sie dann auf "Routing und Remotezugriff deaktivieren". Klicken Sie auf "Ja ", um fortzufahren, wenn Sie mit einer Informationsnachricht aufgefordert werden.
    2. Klicken Sie mit der rechten Maustaste auf das Serversymbol, und klicken Sie dann auf "Routing und Remotezugriff konfigurieren und aktivieren ", um den Setup-Assistenten für Routing- und Remotezugriffsserver zu starten. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
    3. Klicken Sie auf Remotezugriff (DFÜ oder VPN), um Remotecomputer zum Einwählen oder Herstellen einer Verbindung mit diesem Netzwerk über das Internet zu aktivieren. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
  3. Klicken Sie, um VPN oder DFÜ auszuwählen, je nach der Rolle, die Sie diesem Server zuweisen möchten.

  4. Klicken Sie im Fenster " VPN-Verbindung " auf die Netzwerkschnittstelle, die mit dem Internet verbunden ist, und klicken Sie dann auf "Weiter".

  5. Klicken Sie im Fenster "IP-Adresszuweisung" auf "Automatisch", wenn ein DHCP-Server verwendet wird, um Remoteclients Adressen zuzuweisen, oder klicken Sie auf "Von einem angegebenen Adressbereich", wenn Remoteclients nur eine Adresse aus einem vordefinierten Pool zugewiesen werden dürfen. In den meisten Fällen ist die DHCP-Option einfacher zu verwalten. Wenn DHCP jedoch nicht verfügbar ist, müssen Sie einen Bereich mit statischen Adressen angeben. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  6. Wenn Sie auf "Von einem angegebenen Adressbereich" geklickt haben, wird das Dialogfeld " Adressbereichszuweisung " geöffnet. Klicken Sie auf Neu. Geben Sie im Feld " START-IP-Adresse" die erste IP-Adresse in den Adressbereich ein, den Sie verwenden möchten. Geben Sie im Feld " End-IP-Adresse" die letzte IP-Adresse in den Bereich ein. Windows berechnet die Anzahl der Adressen automatisch. Klicken Sie auf "OK ", um zum Fenster " Adressbereichszuordnung " zurückzukehren. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  7. Übernehmen Sie die Standardeinstellung "Nein", verwenden Sie "Routing" und "Remotezugriff", um Verbindungsanforderungen zu authentifizieren, und klicken Sie dann auf "Weiter ", um fortzufahren. Klicken Sie auf "Fertig stellen ", um den Routing- und Remotezugriffsdienst zu aktivieren und den Server als Remotezugriffsserver zu konfigurieren.

Konfigurieren des VPN-Servers

Führen Sie die folgenden Schritte aus, um den VPN-Server weiterhin wie erforderlich zu konfigurieren.

Konfigurieren des Remotezugriffsservers als Router

Damit der Remotezugriffsserver den Datenverkehr innerhalb Ihres Netzwerks ordnungsgemäß weiterleiten kann, müssen Sie ihn als Router mit statischen Routen oder Routingprotokollen konfigurieren, damit alle Speicherorte im Intranet vom Remotezugriffsserver aus erreichbar sind.

So konfigurieren Sie den Server als Router

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing und Remotezugriff".
  2. Klicken Sie mit der rechten Maustaste auf den Servernamen, und klicken Sie dann auf "Eigenschaften".
  3. Klicken Sie auf die Registerkarte "Allgemein", und klicken Sie dann unter "Diesen Computer als Computer aktivieren" auf "Router".
  4. Klicken Sie auf LAN- und Bedarfswählrouting, und klicken Sie dann auf "OK ", um das Dialogfeld "Eigenschaften" zu schließen.

Ändern der Anzahl gleichzeitiger Verbindungen

Die Anzahl der DFÜ-Modemverbindungen hängt von der Anzahl der Modems ab, die auf dem Server installiert sind. Wenn beispielsweise nur ein Modem auf dem Server installiert ist, können Sie jeweils nur eine Modemverbindung haben.

Die Anzahl der DFÜ-VPN-Verbindungen hängt von der Anzahl der gleichzeitigen Benutzer ab, die Sie zulassen möchten. Wenn Sie das in diesem Artikel beschriebene Verfahren ausführen, lassen Sie standardmäßig 128 Verbindungen zu. Führen Sie die folgenden Schritte aus, um die Anzahl der gleichzeitigen Verbindungen zu ändern:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing und Remotezugriff".
  2. Doppelklicken Sie auf das Serverobjekt, klicken Sie mit der rechten Maustaste auf "Ports", und klicken Sie dann auf "Eigenschaften".
  3. Klicken Sie im Dialogfeld "Ports-Eigenschaften " auf "WAN-Miniport (PPTP)>Konfigurieren".
  4. Geben Sie im Feld "Maximale Ports " die Anzahl der VPN-Verbindungen ein, die Sie zulassen möchten.
  5. Klicken Sie auf OK>, und schließen Sie dann Routing und Remote-Zugriffssteuerung.

Verwalten von Adressen und Namenservern

Der VPN-Server muss ÜBER IP-Adressen verfügen, um sie während der IPCP-Aushandlungsphase des Verbindungsprozesses der virtuellen Schnittstelle des VPN-Servers und VPN-Clients zuzuweisen. Die dem VPN-Client zugewiesene IP-Adresse wird der virtuellen Schnittstelle des VPN-Clients zugewiesen.

Für Windows Server 2003-basierte VPN-Server werden die DEN VPN-Clients zugewiesenen IP-Adressen standardmäßig über DHCP abgerufen. Sie können auch einen statischen IP-Adresspool konfigurieren. Der VPN-Server muss auch mit Namenauflösungsservern konfiguriert werden, in der Regel DNS- und WINS-Serveradressen, um sie dem VPN-Client während der IPCP-Aushandlung zuzuweisen.

Verwalten des Zugriffs

Konfigurieren Sie die Einwahleigenschaften für Benutzerkonten und Remotezugriffsrichtlinien, um den Zugriff für DFÜ-Netzwerke und VPN-Verbindungen zu verwalten.

Hinweis

Standardmäßig wird Benutzern der Zugriff auf ein DFÜ-Netzwerk verweigert.

Zugriff nach Benutzerkonto

Führen Sie die folgenden Schritte aus, um einem Benutzerkonto Zugriff auf ein Benutzerkonto zu gewähren, wenn Sie den Remotezugriff auf Benutzerbasis verwalten:

  1. Click Start, point to Administrative Tools, and then click Active Directory Users and Computers.
  2. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, und klicken Sie dann auf "Eigenschaften".
  3. Klicken Sie auf die Registerkarte " Einwahl ".
  4. Klicken Sie auf "Zugriff zulassen ", um dem Benutzer die Berechtigung zum Einwählen zu erteilen. Klicken Sie auf OK.

Zugriff nach Gruppenmitgliedschaft

Wenn Sie den Remotezugriff gruppenweise verwalten, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Gruppe mit Mitgliedern, die VPN-Verbindungen erstellen dürfen.
  2. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing und Remotezugriff".
  3. Erweitern Sie in der Konsolenstruktur "Routing und Remotezugriff", erweitern Sie den Servernamen, und klicken Sie dann auf "Remotezugriffsrichtlinien".
  4. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im rechten Bereich, zeigen Sie auf "Neu", und klicken Sie dann auf "Remotezugriffsrichtlinie".
  5. Klicken Sie auf "Weiter", geben Sie den Richtliniennamen ein, und klicken Sie dann auf "Weiter".
  6. Klicken Sie auf VPN für die Virtual Private Access-Zugriffsmethode , oder klicken Sie auf DFÜ für den DFÜ-Zugriff, und klicken Sie dann auf Weiter.
  7. Klicken Sie auf "Hinzufügen", geben Sie den Namen der Gruppe ein, die Sie in Schritt 1 erstellt haben, und klicken Sie dann auf "Weiter".
  8. Folgen Sie den Anweisungen auf dem Bildschirm, um den Assistenten abzuschließen.

Wenn der VPN-Server bereits Remotezugriffsdienste für DFÜ-Netzwerke zulässt, löschen Sie die Standardrichtlinie nicht. Verschieben Sie sie stattdessen so, dass es sich um die letzte zu bewertende Richtlinie handelt.

Konfigurieren einer VPN-Verbindung von einem Clientcomputer aus

Führen Sie die folgenden Schritte aus, um eine Verbindung mit einem VPN einzurichten. Führen Sie die folgenden Schritte auf der Clientarbeitsstation aus, um einen Client für den Zugriff auf ein virtuelles privates Netzwerk einzurichten:

Hinweis

Sie müssen als Mitglied der Gruppe "Administratoren" angemeldet sein, um diese Schritte ausführen zu können.

Da es verschiedene Microsoft Windows-Versionen gibt, können die folgenden Schritte auf Ihrem Computer anders aussehen. Lesen Sie in diesem Fall in Ihrer Produktdokumentation nach, wie diese Schritte auszuführen sind.

  1. Vergewissern Sie sich auf dem Clientcomputer, dass die Internetverbindung ordnungsgemäß konfiguriert ist.

  2. Klicken Sie auf "Start>Systemsteuerung>Netzwerkverbindungen". Klicken Sie unter "Netzwerkaufgaben" auf "Neue Verbindung erstellen", und klicken Sie dann auf "Weiter".

  3. Klicken Sie auf "Mit dem Netzwerk an meinem Arbeitsplatz verbinden ", um die DFÜ-Verbindung zu erstellen. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  4. Klicken Sie auf "Virtuelle private Netzwerkverbindung" und dann auf "Weiter".

  5. Geben Sie im Dialogfeld " Firmenname " einen beschreibenden Namen für diese Verbindung ein, und klicken Sie dann auf "Weiter".

  6. Klicken Sie auf " Erstverbindung nicht wählen ", wenn der Computer dauerhaft mit dem Internet verbunden ist. Wenn der Computer über einen Internetdienstanbieter (Internet Service Provider, ISP) eine Verbindung mit dem Internet herstellt, klicken Sie auf "Diese erste Verbindung automatisch wählen", und klicken Sie dann auf den Namen der Verbindung mit dem Internetdienstanbieter. Klicken Sie auf Weiter.

  7. Geben Sie die IP-Adresse oder den Hostnamen des VPN-Servercomputers ein (z. B. VPNServer.SampleDomain.com).

  8. Klicken Sie auf " Jeder verwenden", wenn Sie allen Benutzern, die sich bei der Arbeitsstation anmelden, Zugriff auf diese DFÜ-Verbindung gewähren möchten. Klicken Sie nur auf "Meine Verwendung ", wenn diese Verbindung nur für den aktuell angemeldeten Benutzer verfügbar sein soll. Klicken Sie auf Weiter.

  9. Klicken Sie auf "Fertig stellen ", um die Verbindung zu speichern.

  10. Klicken Sie auf "Start>Systemsteuerung>Netzwerkverbindungen".

  11. Doppelklicken Sie auf die neue Verbindung.

  12. Klicken Sie auf "Eigenschaften", um die Konfiguration der Optionen für die Verbindung fortzusetzen. Führen Sie die folgenden Schritte aus, um weiterhin Optionen für die Verbindung zu konfigurieren:

    • Wenn Sie eine Verbindung mit einer Domäne herstellen, klicken Sie auf die Registerkarte "Optionen ", und aktivieren Sie dann das Kontrollkästchen "Windows-Anmeldedomäne einschließen ", um anzugeben, ob Windows Server 2003-Anmeldedomäneninformationen angefordert werden sollen, bevor Sie versuchen, eine Verbindung herzustellen.
    • Wenn die Verbindung wiederholt werden soll, wenn die Zeile gelöscht wird, klicken Sie auf die Registerkarte "Optionen ", und aktivieren Sie dann das Kontrollkästchen " Wiederholen", wenn die Zeile abgelegt wird .

Führen Sie die folgenden Schritte aus, um die Verbindung zu verwenden:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verbinden mit", und klicken Sie dann auf die neue Verbindung.

  2. Wenn Sie derzeit keine Verbindung mit dem Internet haben, bietet Windows eine Verbindung mit dem Internet an.

  3. Wenn die Verbindung mit dem Internet hergestellt wird, werden Sie vom VPN-Server aufgefordert, Ihren Benutzernamen und Ihr Kennwort einzugeben. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, und klicken Sie dann auf "Verbinden". Ihre Netzwerkressourcen müssen Ihnen auf die gleiche Weise zur Verfügung stehen wie bei einer direkten Verbindung mit dem Netzwerk.

    Hinweis

    Um die Verbindung mit dem VPN zu trennen, klicken Sie mit der rechten Maustaste auf das Verbindungssymbol, und klicken Sie dann auf "Trennen".

Problembehandlung

Problembehandlung bei VPNs für den Remotezugriff

Vpn-Verbindung mit Remotezugriff kann nicht hergestellt werden

  • Ursache: Der Name des Clientcomputers entspricht dem Namen eines anderen Computers im Netzwerk.

    Lösung: Stellen Sie sicher, dass die Namen aller Computer im Netzwerk und der Computer, die eine Verbindung mit dem Netzwerk herstellen, eindeutige Computernamen verwenden.

  • Ursache: Der Routing- und Remotezugriffsdienst wird auf dem VPN-Server nicht gestartet.

    Lösung: Überprüfen Sie den Status des Routing- und Ras-Diensts auf dem VPN-Server.

    Weitere Informationen zum Überwachen des Routing- und Remotezugriffsdiensts und zum Starten und Beenden des Routing- und Remotezugriffsdiensts finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der Remotezugriff ist auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie den Remotezugriff auf dem VPN-Server.

    Weitere Informationen zum Aktivieren des Remotezugriffsservers finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: PPTP- oder L2TP-Ports sind für eingehende Remotezugriffsanforderungen nicht aktiviert.

    Lösung: Aktivieren Sie PPTP- oder L2TP-Ports oder beides für eingehende Remotezugriffsanforderungen.

    Weitere Informationen zum Konfigurieren von Ports für den Remotezugriff finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Die von den VPN-Clients verwendeten LAN-Protokolle sind für den Remotezugriff auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie die LAN-Protokolle, die von den VPN-Clients für den Remotezugriff auf den VPN-Server verwendet werden.

    Weitere Informationen zum Anzeigen von Eigenschaften des Remotezugriffsservers finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Alle PPTP- oder L2TP-Ports auf dem VPN-Server werden bereits von derzeit verbundenen Remotezugriffsclients oder Bedarfswählroutern verwendet.

    Lösung: Stellen Sie sicher, dass alle PPTP- oder L2TP-Ports auf dem VPN-Server bereits verwendet werden. Klicken Sie dazu in Routing und Remotezugriff auf "Ports ". Wenn die Anzahl der zulässigen PPTP- oder L2TP-Ports nicht hoch genug ist, ändern Sie die Anzahl der PPTP- oder L2TP-Ports, um mehr gleichzeitige Verbindungen zuzulassen.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server unterstützt das Tunnelingprotokoll des VPN-Clients nicht.

    Standardmäßig verwenden Windows Server 2003-VPN-Clients für den Remotezugriff die Option "Automatischer Servertyp". Dies bedeutet, dass sie zuerst versuchen, eine L2TP über IPSec-basierte VPN-Verbindung herzustellen, und dann versuchen, eine PPTP-basierte VPN-Verbindung herzustellen. Wenn VPN-Clients entweder die Servertypoption PPTP (Point-to-Point Tunneling Protocol) oder L2TP (Layer-2 Tunneling Protocol) verwenden, überprüfen Sie, ob das ausgewählte Tunnelprotokoll vom VPN-Server unterstützt wird.

    Standardmäßig ist ein Computer mit Windows Server 2003 Server und dem Routing- und Remotezugriffsdienst ein PPTP- und L2TP-Server mit fünf L2TP-Ports und fünf PPTP-Ports. Um einen nur PPTP-Server zu erstellen, legen Sie die Anzahl der L2TP-Ports auf Null fest. Um einen nur L2TP-Server zu erstellen, legen Sie die Anzahl der PPTP-Ports auf Null fest.

    Lösung: Stellen Sie sicher, dass die entsprechende Anzahl von PPTP- oder L2TP-Ports konfiguriert ist.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Client und der VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie sind nicht für die Verwendung mindestens einer allgemeinen Authentifizierungsmethode konfiguriert.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie, um mindestens eine allgemeine Authentifizierungsmethode zu verwenden.

    Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Client und der VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie sind nicht für die Verwendung mindestens einer gängigen Verschlüsselungsmethode konfiguriert.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie, um mindestens eine gängige Verschlüsselungsmethode zu verwenden.

    Weitere Informationen zum Konfigurieren der Verschlüsselung finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Die VPN-Verbindung verfügt nicht über die entsprechenden Berechtigungen über Einwahleigenschaften des Benutzerkontos und Remotezugriffsrichtlinien.

    Lösung: Überprüfen Sie, ob die VPN-Verbindung über die entsprechenden Berechtigungen verfügt, indem Sie die Einwahleigenschaften des Benutzerkontos und die Richtlinien für den Remotezugriff verwenden. Damit die Verbindung hergestellt werden kann, müssen die Einstellungen des Verbindungsversuchs:

    • Erfüllen Sie alle Bedingungen von mindestens einer Richtlinie für den Remotezugriff.
    • Erhalten Sie die Remotezugriffsberechtigung über das Benutzerkonto (auf "Zugriff zulassen" festgelegt) oder über das Benutzerkonto (auf " Zugriff über Remotezugriffsrichtlinie steuern" festgelegt) und die Remotezugriffsberechtigung der entsprechenden Remotezugriffsrichtlinie (auf "Remotezugriffsberechtigung erteilen" festgelegt).
    • Passen Sie alle Einstellungen des Profils an.
    • Passen Sie alle Einstellungen der Einwahleigenschaften des Benutzerkontos an.

    Weitere Informationen zu einer Einführung in Remotezugriffsrichtlinien und zum Akzeptieren eines Verbindungsversuchs finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Die Einstellungen des Richtlinienprofils für den Remotezugriff stehen im Konflikt mit den Eigenschaften des VPN-Servers.

    Die Eigenschaften des Raserrichtlinienprofils und die Eigenschaften des VPN-Servers enthalten einstellungen für:

    • Multilink.
    • Bandbreitenzuweisungsprotokoll (Bandwidth Allocation Protocol, BAP).
    • Authentifizierungsprotokolle.

    Wenn die Einstellungen des Profils der übereinstimmenden Remotezugriffsrichtlinie mit den Einstellungen des VPN-Servers in Konflikt stehen, wird der Verbindungsversuch abgelehnt. Wenn das übereinstimmende Remotezugriffsrichtlinienprofil beispielsweise angibt, dass das EAP-TLS-Authentifizierungsprotokoll (Extensible Authentication Protocol - Transport Level Security) verwendet werden muss und EAP auf dem VPN-Server nicht aktiviert ist, wird der Verbindungsversuch abgelehnt.

    Lösung: Stellen Sie sicher, dass die Einstellungen des Richtlinienprofils für den Remotezugriff nicht in Konflikt mit den Eigenschaften des VPN-Servers stehen.

    Weitere Informationen zu Multilink-, BAP- und Authentifizierungsprotokollen finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der antwortende Router kann die Anmeldeinformationen des aufrufenden Routers (Benutzername, Kennwort und Domänenname) nicht überprüfen.

    Lösung: Überprüfen Sie, ob die Anmeldeinformationen des VPN-Clients (Benutzername, Kennwort und Domänenname) korrekt sind und vom VPN-Server überprüft werden können.

  • Ursache: Der statische IP-Adresspool enthält nicht genügend Adressen.

    Lösung: Wenn der VPN-Server mit einem statischen IP-Adresspool konfiguriert ist, überprüfen Sie, ob genügend Adressen im Pool vorhanden sind. Wenn alle Adressen im statischen Pool verbundenen VPN-Clients zugeordnet wurden, kann der VPN-Server keine IP-Adresse zuweisen, und der Verbindungsversuch wird abgelehnt. Wenn alle Adressen im statischen Pool zugewiesen wurden, ändern Sie den Pool.

    Weitere Informationen zu TCP/IP und Remotezugriff sowie zum Erstellen eines statischen IP-Adresspools finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Client ist so konfiguriert, dass er seine eigene IPX-Knotennummer anfordert, und der VPN-Server ist nicht so konfiguriert, dass IPX-Clients ihre eigene IPX-Knotennummer anfordern können.

    Lösung: Konfigurieren Sie den VPN-Server so, dass IPX-Clients ihre eigene IPX-Knotennummer anfordern können.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server ist mit einer Reihe von IPX-Netzwerknummern konfiguriert, die an anderer Stelle in Ihrem IPX-Netzwerk verwendet werden.

    Lösung: Konfigurieren Sie den VPN-Server mit einer Reihe von IPX-Netzwerknummern, die für Ihr IPX-Netzwerk eindeutig sind.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der Authentifizierungsanbieter des VPN-Servers ist nicht ordnungsgemäß konfiguriert.

    Lösung: Überprüfen Sie die Konfiguration des Authentifizierungsanbieters. Sie können den VPN-Server so konfigurieren, dass er entweder Windows Server 2003 oder radius (Remote Authentication Dial-In User Service) verwendet, um die Anmeldeinformationen des VPN-Clients zu authentifizieren.

    Weitere Informationen zu Authentifizierungs- und Buchhaltungsanbietern finden Sie im Hilfe- und Supportcenter von Windows Server 2003 und der Verwendung der RADIUS-Authentifizierung. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server kann nicht auf Active Directory zugreifen.

    Lösung: Überprüfen Sie für einen VPN-Server, bei dem es sich um einen Mitgliedsserver in einer Windows Server 2003-Domäne mit gemischtem oder nativem Modus handelt, die für die Windows Server 2003-Authentifizierung konfiguriert ist, Folgendes:

    • Die Sicherheitsgruppe RAS und IAS Server ist vorhanden. Wenn nicht, erstellen Sie die Gruppe, und legen Sie den Gruppentyp auf "Sicherheit" und den Gruppenbereich auf "Domäne lokal" fest.

    • Die Sicherheitsgruppe RAS und IAS Server verfügt über Leseberechtigungen für das RAS- und IAS Server Access Check-Objekt .

    • Das Computerkonto des VPN-Servercomputers ist Mitglied der Sicherheitsgruppe RAS und IAS Server . Sie können den netsh ras show registeredserver Befehl verwenden, um die aktuelle Registrierung anzuzeigen. Sie können den netsh ras add registeredserver Befehl verwenden, um den Server in einer angegebenen Domäne zu registrieren.

      Wenn Sie den VPN-Servercomputer der Sicherheitsgruppe RAS und IAS Server hinzufügen (oder entfernen), wird die Änderung nicht sofort wirksam (aufgrund der Art und Weise, wie Windows Server 2003 Active Directory-Informationen zwischenspeichert). Um diese Änderung sofort zu bewirken, starten Sie den VPN-Servercomputer neu.

    • Der VPN-Server ist ein Mitglied der Domäne.

    Weitere Informationen zum Hinzufügen einer Gruppe, zum Überprüfen von Berechtigungen für die Ras- und IAS-Sicherheitsgruppe und zu netsh Befehlen für den Remotezugriff finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Ein Windows NT 4.0-basierter VPN-Server kann Verbindungsanforderungen nicht überprüfen.

    Lösung: Wenn sich VPN-Clients bei einem VPN-Server mit Windows NT 4.0 einwählen, der Mitglied einer Windows Server 2003-Domäne im gemischten Modus ist, überprüfen Sie, ob die Gruppe "Jeder" der Gruppe "Vor Windows 2000 Kompatibler Zugriff" mit dem folgenden Befehl hinzugefügt wird:

    "net localgroup "Pre-Windows 2000 Compatible Access""
    

    Wenn dies nicht der Fall ist, geben Sie den folgenden Befehl an einer Eingabeaufforderung auf einem Domänencontrollercomputer ein, und starten Sie den Domänencontrollercomputer neu:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    

    Weitere Informationen zu Windows NT 4.0-Remotezugriffsservern in einer Windows Server 2003-Domäne finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server kann nicht mit dem konfigurierten RADIUS-Server kommunizieren.

    Lösung: Wenn Sie Ihren RADIUS-Server nur über Ihre Internetschnittstelle erreichen können, führen Sie eine der folgenden Aktionen aus:

    • Fügen Sie der Internetschnittstelle für UDP-Port 1812 (basierend auf RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") einen Eingabefilter und einen Ausgabefilter hinzu. -oder-
    • Hinzufügen eines Eingabefilters und eines Ausgabefilters zur Internetschnittstelle für UDP-Port 1645 (für ältere RADIUS-Server), für RADIUS-Authentifizierung und UDP-Port 1813 (basierend auf RFC 2139, "RADIUS Accounting"). -oder-
    • -oder- Fügen Sie einen Eingabefilter und einen Ausgabefilter zur Internetschnittstelle für UDP-Port 1646 (für ältere RADIUS-Server) für RADIUS-Buchhaltung hinzu.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Mit dem Dienstprogramm Ping.exe kann keine Verbindung mit dem VPN-Server über das Internet hergestellt werden.

    Lösung: Aufgrund der PPTP- und L2TP-über-IPSec-Paketfilterung, die auf der Internetschnittstelle des VPN-Servers konfiguriert ist, werden icmp-Pakete (Internet Control Message Protocol), die vom Ping-Befehl verwendet werden, herausgefiltert. Um den VPN-Server für die Reaktion auf ICMP-Pakete (Ping) zu aktivieren, fügen Sie einen Eingabefilter und einen Ausgabefilter hinzu, der Datenverkehr für IP-Protokoll 1 (ICMP-Datenverkehr) zulässt.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

Daten können nicht gesendet und empfangen werden

  • Ursache: Die entsprechende Bedarfswählschnittstelle wurde dem protokoll, das weitergeleitet wird, nicht hinzugefügt.

    Lösung: Fügen Sie dem routingorientierten Protokoll die entsprechende Bedarfswählschnittstelle hinzu.

    Weitere Informationen zum Hinzufügen einer Routingschnittstelle finden Sie im Windows Server 2003 Help and Support Center. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Es gibt keine Routen auf beiden Seiten der Router-zu-Router-VPN-Verbindung, die den bidirektionale Austausch von Datenverkehr unterstützen.

    Lösung: Im Gegensatz zu einer VPN-Verbindung mit Remotezugriff erstellt eine Router-zu-Router-VPN-Verbindung nicht automatisch eine Standardroute. Erstellen Sie Routen auf beiden Seiten der Router-zu-Router-VPN-Verbindung, damit Datenverkehr an die und von der anderen Seite der Router-zu-Router-VPN-Verbindung weitergeleitet werden kann.

    Sie können der Routingtabelle statische Routen manuell hinzufügen oder statische Routen über Routingprotokolle hinzufügen. Für persistente VPN-Verbindungen können Sie Open Shortest Path First (OSPF) oder Routing Information Protocol (RIP) über die VPN-Verbindung aktivieren. Bei On-Demand-VPN-Verbindungen können Sie Routen automatisch über ein automatisch statisches RIP-Update aktualisieren. Weitere Informationen zum Hinzufügen eines IP-Routingprotokolls, zum Hinzufügen einer statischen Route und zum Ausführen automatisch statischer Updates finden Sie in der Windows Server 2003 Onlinehilfe. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Ein bidirektionales Initiiertes interpretiert der antwortende Router als Remotezugriffsverbindung die Router-zu-Router-VPN-Verbindung.

    Lösung: Wenn der Benutzername in den Anmeldeinformationen des aufrufenden Routers unter Einwahlclients in Routing und Remotezugriff angezeigt wird, interpretiert der antwortende Router den aufrufenden Router möglicherweise als Remotezugriffsclient. Stellen Sie sicher, dass der Benutzername in den Anmeldeinformationen des aufrufenden Routers mit dem Namen einer Bedarfswählschnittstelle auf dem antwortenden Router übereinstimmt. Wenn es sich bei dem eingehenden Anrufer um einen Router handelt, zeigt der Port, an dem der Anruf empfangen wurde, den Status "Aktiv " an, und die entsprechende Bedarfswählschnittstelle befindet sich im Status "Verbunden ".

    Weitere Informationen zum Überprüfen des Portstatus auf dem antwortenden Router und zum Überprüfen des Status der Bedarfswählschnittstelle finden Sie in der Windows Server 2003 Onlinehilfe. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Paketfilter auf den Bedarfswählschnittstellen des aufrufenden Routers und des antwortenden Routers verhindern den Datenverkehrsfluss.

    Lösung: Stellen Sie sicher, dass keine Paketfilter für die Bedarfswählschnittstellen des aufrufenden Routers und des antwortenden Routers vorhanden sind, die das Senden oder Empfangen von Datenverkehr verhindern. Sie können jede Bedarfswählschnittstelle mit IP- und IPX-Ein- und Ausgabefiltern konfigurieren, um die genaue Art des TCP/IP- und IPX-Datenverkehrs zu steuern, der in die und aus der Bedarfswählschnittstelle zulässig ist.

    Weitere Informationen zum Verwalten von Paketfiltern finden Sie in der Windows Server 2003 Onlinehilfe. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.

  • Ursache: Paketfilter im Richtlinienprofil für den Remotezugriff verhindern den Fluss von IP-Datenverkehr.

    Lösung: Stellen Sie sicher, dass keine konfigurierten TCP/IP-Paketfilter für die Profileigenschaften der Remotezugriffsrichtlinien auf dem VPN-Server (oder dem RADIUS-Server, wenn internetauthentifizierungsdienst verwendet wird) vorhanden sind, die das Senden oder Empfangen von TCP/IP-Datenverkehr verhindern. Sie können Remotezugriffsrichtlinien verwenden, um TCP/IP-Eingabe- und Ausgabepaketfilter zu konfigurieren, die die genaue Art des TCP/IP-Datenverkehrs steuern, der für die VPN-Verbindung zulässig ist. Stellen Sie sicher, dass die TCP/IP-Profilpaketfilter den Datenverkehrsfluss nicht verhindern.

    Weitere Informationen zum Konfigurieren von IP-Optionen finden Sie in der Windows Server 2003-Onlinehilfe. Klicken Sie auf "Start ", um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.