Compartir a través de

Instalación y configuración de un servidor de red privada virtual en Windows Server 2003

En este artículo paso a paso se describe cómo instalar redes privadas virtuales (VPN) y cómo crear una nueva conexión VPN en servidores que ejecutan Windows Server 2003.

Para obtener una versión de Microsoft Windows XP de este artículo, consulte 314076.

Se aplica a: Windows Server 2003
Número de KB original: 323441

Resumen

Con una red privada virtual, puede conectar componentes de red a través de otra red, como Internet. Puede convertir el equipo basado en Windows Server 2003 en un servidor de acceso remoto para que otros usuarios puedan conectarse a él mediante VPN y, a continuación, pueden iniciar sesión en la red y acceder a los recursos compartidos. Las VPN lo hacen "tunelizando" a través de Internet o a través de otra red pública de una manera que proporciona la misma seguridad y características que una red privada. Los datos se envían a través de la red pública mediante su infraestructura de enrutamiento, pero al usuario, aparece como si los datos se envíen a través de un vínculo privado dedicado.

Información general sobre VPN

Una red privada virtual es un medio para conectarse a una red privada (como la red de la oficina) mediante una red pública (como Internet). Una VPN combina las virtudes de una conexión de acceso telefónico a un servidor de acceso telefónico con la facilidad y flexibilidad de una conexión a Internet. Mediante una conexión a Internet, puede viajar en todo el mundo y, en la mayoría de los lugares, conectarse a su oficina con una llamada local al número de teléfono de acceso a Internet más cercano. Si tiene una conexión a Internet de alta velocidad (como cable o DSL) en su computadora y en su oficina, puede comunicarse con su oficina a toda la velocidad de Internet, que es mucho más rápida que cualquier conexión de acceso telefónico que use un módem analógico. Esta tecnología permite a una empresa conectarse a sus sucursales o a otras empresas a través de una red pública y mantener comunicaciones seguras. La conexión VPN a través de Internet funciona lógicamente como un vínculo de red de área extensa (WAN) dedicado.

Las redes privadas virtuales usan vínculos autenticados para asegurarse de que solo los usuarios autorizados pueden conectarse a la red. Para asegurarse de que los datos están seguros a medida que viaja a través de la red pública, una conexión VPN usa el Protocolo de tunelización de punto a punto (PPTP) o el Protocolo de tunelización de dos capas (L2TP) para cifrar los datos.

Componentes de una VPN

Una VPN en servidores que ejecutan Windows Server 2003 se compone de un servidor VPN, un cliente VPN, una conexión VPN (esa parte de la conexión en la que se cifran los datos) y el túnel (esa parte de la conexión en la que se encapsulan los datos). La tunelización se completa a través de uno de los protocolos de tunelización incluidos con servidores que ejecutan Windows Server 2003, ambos instalados con enrutamiento y acceso remoto. El servicio enrutamiento y acceso remoto se instala automáticamente durante la instalación de Windows Server 2003. Sin embargo, de forma predeterminada, el servicio enrutamiento y acceso remoto está desactivado.

Los dos protocolos de tunelización incluidos con Windows son:

  • Protocolo de tunelización de punto a punto (PPTP): proporciona cifrado de datos mediante el cifrado de punto a punto de Microsoft.
  • Protocolo de tunelización de capa dos (L2TP): proporciona cifrado de datos, autenticación e integridad mediante IPSec.

La conexión a Internet debe usar una línea dedicada como T1, Fractional T1 o Frame Relay. El adaptador WAN debe configurarse con la dirección IP y la máscara de subred asignadas para el dominio o proporcionadas por un proveedor de servicios de Internet (ISP). El adaptador WAN también debe configurarse como puerta de enlace predeterminada del enrutador ISP.

Nota:

Para activar la VPN, debe iniciar sesión con una cuenta que tenga derechos administrativos.

Instalación y activación de un servidor VPN

Para instalar y activar un servidor VPN, siga estos pasos:

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Enrutamiento y acceso remoto.

  2. Haga clic en el icono del servidor que coincida con el nombre del servidor local en el panel izquierdo de la consola. Si el icono tiene un círculo rojo en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto no se ha activado. Si el icono tiene una flecha verde que apunta hacia arriba en la esquina inferior izquierda, el servicio Enrutamiento y acceso remoto se ha activado. Si el servicio enrutamiento y acceso remoto se activaron anteriormente, es posible que desee volver a configurar el servidor. Para volver a configurar el servidor:

    1. Haga clic con el botón derecho en el objeto de servidor y, a continuación, haga clic en Deshabilitar enrutamiento y acceso remoto. Haga clic en para continuar cuando se le solicite un mensaje informativo.
    2. Haga clic con el botón derecho en el icono del servidor y, a continuación, haga clic en Configurar y habilitar enrutamiento y acceso remoto para iniciar el Asistente para configuración del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
    3. Haga clic en Acceso remoto (acceso telefónico o VPN) para activar equipos remotos para marcar o conectarse a esta red a través de Internet. Haga clic en Siguiente para continuar.

  3. Haga clic para seleccionar VPN o Acceso telefónico local en función del rol que quiera asignar a este servidor.

  4. En la ventana Conexión VPN, haga clic en la interfaz de red que está conectada a Internet y, a continuación, haga clic en Siguiente.

  5. En la ventana Asignación de direcciones IP, haga clic automáticamente si se usará un servidor DHCP para asignar direcciones a clientes remotos o haga clic en Desde un intervalo de direcciones especificado si solo se debe asignar una dirección de un grupo predefinido. En la mayoría de los casos, la opción DHCP es más sencilla de administrar. Sin embargo, si DHCP no está disponible, debe especificar un intervalo de direcciones estáticas. Haga clic en Siguiente para continuar.

  6. Si hace clic en Desde un intervalo de direcciones especificado, se abre el cuadro de diálogo Asignación de intervalo de direcciones. Haga clic en Nueva. Escriba la primera dirección IP en el intervalo de direcciones que desea usar en el cuadro Dirección IP de inicio. Escriba la última dirección IP del intervalo en el cuadro Dirección IP final. Windows calcula automáticamente el número de direcciones. Haga clic en Aceptar para volver a la ventana Asignación de intervalo de direcciones. Haga clic en Siguiente para continuar.

  7. Acepte la configuración predeterminada de No, use Enrutamiento y acceso remoto para autenticar solicitudes de conexión y, a continuación, haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio enrutamiento y acceso remoto y configurar el servidor como servidor de acceso remoto.

Configuración del servidor VPN

Para seguir configurando el servidor VPN según sea necesario, siga estos pasos.

Configuración del servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenvíe el tráfico correctamente dentro de la red, debe configurarlo como enrutador con rutas estáticas o protocolos de enrutamiento, de modo que todas las ubicaciones de la intranet sean accesibles desde el servidor de acceso remoto.

Para configurar el servidor como enrutador:

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Enrutamiento y acceso remoto.
  2. Haga clic con el botón derecho en el nombre del servidor y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña General y, a continuación, haga clic para seleccionar Enrutador en Habilitar este equipo como .
  4. Haga clic en LAN y enrutamiento de marcado a petición y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.

Modificación del número de conexiones simultáneas

El número de conexiones de módem de acceso telefónico depende del número de módems instalados en el servidor. Por ejemplo, si solo tiene un módem instalado en el servidor, solo puede tener una conexión de módem a la vez.

El número de conexiones VPN de acceso telefónico local depende del número de usuarios simultáneos que desea permitir. De forma predeterminada, al ejecutar el procedimiento descrito en este artículo, se permiten 128 conexiones. Para cambiar el número de conexiones simultáneas, siga estos pasos:

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Enrutamiento y acceso remoto.
  2. Haga doble clic en el objeto de servidor, haga clic con el botón derecho en Puertos y, a continuación, haga clic en Propiedades.
  3. En el cuadro de diálogo Propiedades de puertos, haga clic en Wan Miniport (PPTP)>Configurar.
  4. En el cuadro Puertos máximos , escriba el número de conexiones VPN que desea permitir.
  5. Haga clic en Aceptar>y, a continuación, cierre Enrutamiento y Accesoremoto.

Administración de direcciones y servidores de nombres

El servidor VPN debe tener direcciones IP disponibles para asignarlas a la interfaz virtual del servidor VPN y a los clientes VPN durante la fase de negociación del Protocolo de control IP (IPCP) del proceso de conexión. La dirección IP asignada al cliente VPN se asigna a la interfaz virtual del cliente VPN.

En el caso de los servidores VPN basados en Windows Server 2003, las direcciones IP asignadas a los clientes VPN se obtienen a través de DHCP de forma predeterminada. También puede configurar un grupo de direcciones IP estáticas. El servidor VPN también debe configurarse con servidores de resolución de nombres, normalmente dns y direcciones de servidor WINS, para asignar al cliente VPN durante la negociación de IPCP.

Administración del acceso

Configure las propiedades de acceso telefónico local en las cuentas de usuario y las directivas de acceso remoto para administrar el acceso a las redes de acceso telefónico y las conexiones VPN.

Nota:

De forma predeterminada, a los usuarios se les deniega el acceso a las redes de acceso telefónico.

Acceso por cuenta de usuario

Para conceder acceso telefónico a una cuenta de usuario si administra el acceso remoto por usuario, siga estos pasos:

  1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
  2. Haga clic con el botón derecho en la cuenta de usuario y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña Acceso telefónico.
  4. Haga clic en Permitir acceso para conceder al usuario permiso para marcar. Haga clic en Aceptar.

Acceso por pertenencia a grupos

Si administra el acceso remoto de forma grupal, siga estos pasos:

  1. Cree un grupo con miembros que pueden crear conexiones VPN.
  2. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Enrutamiento y acceso remoto.
  3. En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y, a continuación, haga clic en Directivas de acceso remoto.
  4. Haga clic con el botón derecho en cualquier parte del panel derecho, seleccione Nuevo y, a continuación, haga clic en Directiva de acceso remoto.
  5. Haga clic en Siguiente, escriba el nombre de la directiva y, a continuación, haga clic en Siguiente.
  6. Haga clic en VPN para el método de acceso privado virtual, o haga clic en Acceso telefónico para el acceso telefónico y, a continuación, haga clic en Siguiente.
  7. Haga clic en Agregar, escriba el nombre del grupo que creó en el paso 1 y, a continuación, haga clic en Siguiente.
  8. Siga las instrucciones en pantalla para completar el asistente.

Si el servidor VPN ya permite servicios de acceso remoto de red de acceso telefónico local, no elimine la directiva predeterminada. En su lugar, muévalo para que sea la última directiva que se va a evaluar.

Configuración de una conexión VPN desde un equipo cliente

Para configurar una conexión a una VPN, siga estos pasos. Para configurar un cliente para el acceso a la red privada virtual, siga estos pasos en la estación de trabajo cliente:

Nota:

Debe iniciar sesión como miembro del grupo Administradores para seguir estos pasos.

Puesto que hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en su equipo. Si son diferentes, consulte la documentación de su producto para completar estos pasos.

  1. En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.

  2. Haga clic en Inicio> Panel de control> Conexiones de red. Haga clic en Crear una nueva conexión en Tareas de red y, a continuación, haga clic en Siguiente.

  3. Haga clic en Conectar a la red en mi área de trabajo para crear la conexión de acceso telefónico. Haga clic en Siguiente para continuar.

  4. Haga clic en Conexión de red privada virtual y, a continuación, haga clic en Siguiente.

  5. Escriba un nombre descriptivo para esta conexión en el cuadro de diálogo Nombre de la compañía y, a continuación, haga clic en Siguiente.

  6. Haga clic en No marcar la conexión inicial si el equipo está conectado permanentemente a Internet. Si el equipo se conecta a Internet a través de un proveedor de servicios de Internet (ISP), haga clic en Marcar automáticamente esta conexión inicial y, a continuación, haga clic en el nombre de la conexión al ISP. Haga clic en Next.

  7. Escriba la dirección IP o el nombre de host del equipo servidor VPN (por ejemplo, VPNServer.SampleDomain.com).

  8. Haga clic en Uso de cualquiera si desea permitir que cualquier usuario que inicie sesión en la estación de trabajo tenga acceso a esta conexión de acceso telefónico. Haga clic en Mi uso solo si desea que esta conexión solo esté disponible para el usuario que ha iniciado sesión actualmente. Haga clic en Next.

  9. Haga clic en Finalizar para guardar la conexión.

  10. Haga clic en Inicio> Panel de control> Conexiones de red.

  11. Haga doble clic en la nueva conexión.

  12. Haga clic en Propiedades para continuar configurando las opciones de la conexión. Para seguir configurando las opciones de la conexión, siga estos pasos:

    • Si se conecta a un dominio, haga clic en la pestaña Opciones y, a continuación, haga clic para seleccionar la casilla Incluir dominio de inicio de sesión de Windows para especificar si desea solicitar información de dominio de inicio de sesión de Windows Server 2003 antes de intentar conectarse.
    • Si desea que la conexión se vuelva a crear si se quita la línea, haga clic en la pestaña Opciones y, a continuación, haga clic para seleccionar la casilla Redial si se quita la línea.

Para usar la conexión, siga estos pasos:

  1. Haga clic en Inicio, seleccione Conectar a y, a continuación, haga clic en la nueva conexión.

  2. Si actualmente no tiene una conexión a Internet, Windows ofrece conectarse a Internet.

  3. Cuando se realiza la conexión a Internet, el servidor VPN le pide el nombre de usuario y la contraseña. Escriba el nombre de usuario y la contraseña y haga clic en Conectar. Los recursos de red deben estar disponibles de la misma manera que cuando se conectan directamente a la red.

    Nota:

    Para desconectar de la VPN, haga clic con el botón derecho en el icono de conexión y, a continuación, haga clic en Desconectar.

Solución de problemas

Solución de problemas de VPN de acceso remoto

No se puede establecer una conexión VPN de acceso remoto

  • Causa: el nombre del equipo cliente es el mismo que el nombre de otro equipo de la red.

    Solución: compruebe que los nombres de todos los equipos de la red y los equipos que se conectan a la red usan nombres de equipo únicos.

  • Causa: El servicio de enrutamiento y acceso remoto no se inicia en el servidor VPN.

    Solución: compruebe el estado del servicio enrutamiento y acceso remoto en el servidor VPN.

    Para obtener más información sobre cómo supervisar el servicio enrutamiento y acceso remoto, y cómo iniciar y detener el servicio enrutamiento y acceso remoto, consulta Ayuda y Centro de soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El acceso remoto no está activado en el servidor VPN.

    Solución: active el acceso remoto en el servidor VPN.

    Para obtener más información sobre cómo activar el servidor de acceso remoto, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: los puertos PPTP o L2TP no están activados para las solicitudes de acceso remoto entrantes.

    Solución: active los puertos PPTP o L2TP, o ambos, para las solicitudes de acceso remoto entrantes.

    Para obtener más información sobre cómo configurar puertos para el acceso remoto, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Los protocolos LAN usados por los clientes VPN no están activados para el acceso remoto en el servidor VPN.

    Solución: active los protocolos LAN usados por los clientes VPN para el acceso remoto en el servidor VPN.

    Para obtener más información sobre cómo ver las propiedades del servidor de acceso remoto, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: todos los puertos PPTP o L2TP en el servidor VPN ya están siendo utilizados por clientes de acceso remoto conectado actualmente o enrutadores de marcado a petición.

    Solución: compruebe que ya se están usando todos los puertos PPTP o L2TP en el servidor VPN. Para ello, haga clic en Puertos en Enrutamiento y acceso remoto. Si el número de puertos PPTP o L2TP permitidos no es lo suficientemente alto, cambie el número de puertos PPTP o L2TP para permitir más conexiones simultáneas.

    Para obtener más información sobre cómo agregar puertos PPTP o L2TP, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El servidor VPN no admite el protocolo de tunelización del cliente VPN.

    De forma predeterminada, los clientes VPN de acceso remoto de Windows Server 2003 usan la opción Tipo de servidor automático, lo que significa que intentan establecer un L2TP a través de una conexión VPN basada en IPSec primero y, a continuación, intentan establecer una conexión VPN basada en PPTP. Si los clientes VPN usan la opción de tipo de servidor Protocolo de tunelización de punto a punto (PPTP) o Protocolo de tunelización de capa 2 (L2TP), compruebe que el servidor VPN admite el protocolo de tunelización seleccionado.

    De forma predeterminada, un equipo que ejecuta Windows Server 2003 Server y el servicio enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un servidor de solo PPTP, establezca el número de puertos L2TP en cero. Para crear un servidor de solo L2TP, establezca el número de puertos PPTP en cero.

    Solución: compruebe que el número adecuado de puertos PPTP o L2TP está configurado.

    Para obtener más información sobre cómo agregar puertos PPTP o L2TP, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para usar al menos un método de autenticación común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para usar al menos un método de autenticación común.

    Para obtener más información sobre cómo configurar la autenticación, consulta la Ayuda y el Centro de soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para usar al menos un método de cifrado común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para usar al menos un método de cifrado común.

    Para obtener más información sobre cómo configurar el cifrado, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: La conexión VPN no tiene los permisos adecuados a través de las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto.

    Solución: compruebe que la conexión VPN tiene los permisos adecuados a través de las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto. Para establecer la conexión, la configuración del intento de conexión debe:

    • Coincide con todas las condiciones de al menos una directiva de acceso remoto.
    • Conceda permiso de acceso remoto a través de la cuenta de usuario (establecida en Permitir acceso) o a través de la cuenta de usuario (establecida en Controlar el acceso a través de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto coincidente (establecido en Conceder permiso de acceso remoto).
    • Coincide con toda la configuración del perfil.
    • Coincide con todas las opciones de configuración de las propiedades de acceso telefónico de la cuenta de usuario.

    Para obtener más información sobre una introducción a las directivas de acceso remoto y cómo aceptar un intento de conexión, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: La configuración del perfil de directiva de acceso remoto entra en conflicto con las propiedades del servidor VPN.

    Las propiedades del perfil de directiva de acceso remoto y las propiedades del servidor VPN contienen la configuración de:

    • Multilink.
    • Protocolo de asignación de ancho de banda (BAP).
    • Protocolos de autenticación.

    Si la configuración del perfil de la directiva de acceso remoto coincidente está en conflicto con la configuración del servidor VPN, se rechaza el intento de conexión. Por ejemplo, si el perfil de directiva de acceso remoto coincidente especifica que se debe usar el protocolo de autenticación Extensible Authentication Protocol - Transport Level Security (EAP-TLS) y EAP no está habilitado en el servidor VPN, se rechaza el intento de conexión.

    Solución: compruebe que la configuración del perfil de directiva de acceso remoto no está en conflicto con las propiedades del servidor VPN.

    Para obtener más información sobre los protocolos de autenticación, BAP y multilink, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: el enrutador de respuesta no puede validar las credenciales del enrutador que llama (nombre de usuario, contraseña y nombre de dominio).

    Solución: compruebe que las credenciales del cliente VPN (nombre de usuario, contraseña y nombre de dominio) son correctas y se pueden validar mediante el servidor VPN.

  • Causa: no hay suficientes direcciones en el grupo de direcciones IP estáticas.

    Solución: si el servidor VPN está configurado con un grupo de direcciones IP estáticas, compruebe que hay suficientes direcciones en el grupo. Si todas las direcciones del grupo estático se han asignado a los clientes VPN conectados, el servidor VPN no puede asignar una dirección IP y se rechaza el intento de conexión. Si se han asignado todas las direcciones del grupo estático, modifique el grupo.

    Para obtener más información sobre TCP/IP y el acceso remoto, y cómo crear un grupo de direcciones IP estáticas, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: el cliente VPN está configurado para solicitar su propio número de nodo IPX y el servidor VPN no está configurado para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Solución: configure el servidor VPN para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Para obtener más información sobre IPX y el acceso remoto, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El servidor VPN está configurado con un intervalo de números de red IPX que se usan en otro lugar de la red IPX.

    Solución: configure el servidor VPN con un intervalo de números de red IPX que es único para la red IPX.

    Para obtener más información sobre IPX y el acceso remoto, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: el proveedor de autenticación del servidor VPN está configurado incorrectamente.

    Solución: compruebe la configuración del proveedor de autenticación. Puede configurar el servidor VPN para que use Windows Server 2003 o el Servicio de usuario de acceso telefónico remoto (RADIUS) de autenticación remota para autenticar las credenciales del cliente VPN.

    Para obtener más información sobre la autenticación y los proveedores de contabilidad, consulte el Centro de ayuda y soporte técnico de Windows Server 2003 y cómo usar la autenticación RADIUS. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El servidor VPN no puede acceder a Active Directory.

    Solución: para un servidor VPN que sea un servidor miembro en un dominio de Windows Server 2003 en modo mixto o en modo nativo configurado para la autenticación de Windows Server 2003, compruebe que:

    • Existe el grupo de seguridad servidores RAS e IAS. Si no es así, cree el grupo y establezca el tipo de grupo en Seguridad y el ámbito del grupo en Dominio local.

    • El grupo de seguridad servidores RAS e IAS tiene permiso de lectura para el objeto RAS e IAS Servers Access Check.

    • La cuenta de equipo del equipo del servidor VPN es miembro del grupo de seguridad servidores RAS e IAS . Puede usar el netsh ras show registeredserver comando para ver el registro actual. Puede usar el netsh ras add registeredserver comando para registrar el servidor en un dominio especificado.

      Si agrega (o quita) el equipo del servidor VPN al grupo de seguridad servidores RAS e IAS, el cambio no surte efecto inmediatamente (debido a la forma en que Windows Server 2003 almacena en caché la información de Active Directory). Para que este cambio se aplique inmediatamente, reinicie el equipo del servidor VPN.

    • El servidor VPN es miembro del dominio.

    Para obtener más información sobre cómo agregar un grupo, cómo comprobar los permisos del grupo de seguridad RAS e IAS, y sobre netsh los comandos para el acceso remoto, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Un servidor VPN basado en Windows NT 4.0 no puede validar las solicitudes de conexión.

    Solución: Si los clientes VPN están llamando a un servidor VPN que ejecuta Windows NT 4.0 que es miembro de un dominio de modo mixto de Windows Server 2003, compruebe que el grupo Todos se agrega al grupo Acceso compatible con Windows 2000 anterior con el siguiente comando:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Si no es así, escriba el siguiente comando en un símbolo del sistema en un equipo del controlador de dominio y, a continuación, reinicie el equipo del controlador de dominio:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Para obtener más información sobre el servidor de acceso remoto de Windows NT 4.0 en un dominio de Windows Server 2003, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El servidor VPN no puede comunicarse con el servidor RADIUS configurado.

    Solución: Si solo puede acceder al servidor RADIUS a través de la interfaz de Internet, realice una de las acciones siguientes:

    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1812 (basado en RFC 2138, "Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)"). O bien
    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1645 (para servidores RADIUS más antiguos), para la autenticación RADIUS y el puerto UDP 1813 (basado en RFC 2139, "Contabilidad RADIUS"). O bien
    • -o bien- Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1646 (para servidores RADIUS anteriores) para la contabilidad RADIUS.

    Para obtener más información sobre cómo agregar un filtro de paquetes, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: no se puede conectar al servidor VPN a través de Internet mediante la utilidad Ping.exe.

    Solución: Debido al filtrado de paquetes PPTP y L2TP a través de IPSec configurado en la interfaz de Internet del servidor VPN, los paquetes del Protocolo de mensajes de control de Internet (ICMP) usados por el comando ping se filtran. Para activar el servidor VPN para responder a paquetes ICMP (ping), agregue un filtro de entrada y un filtro de salida que permita el tráfico para el protocolo IP 1 (tráfico ICMP).

    Para obtener más información sobre cómo agregar un filtro de paquetes, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

No se pueden enviar y recibir datos

  • Causa: la interfaz de marcado a petición adecuada no se ha agregado al protocolo que se enruta.

    Solución: agregue la interfaz de marcado a petición adecuada al protocolo enrutado.

    Para obtener más información sobre cómo agregar una interfaz de enrutamiento, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: No hay rutas en ambos lados de la conexión VPN de enrutador a enrutador que admite el intercambio bidireccional del tráfico.

    Solución: a diferencia de una conexión VPN de acceso remoto, una conexión VPN de enrutador a enrutador no crea automáticamente una ruta predeterminada. Cree rutas en ambos lados de la conexión VPN de enrutador a enrutador para que el tráfico se pueda enrutar hacia y desde el otro lado de la conexión VPN de enrutador a enrutador.

    Puede agregar manualmente rutas estáticas a la tabla de enrutamiento o puede agregar rutas estáticas a través de protocolos de enrutamiento. En el caso de las conexiones VPN persistentes, puede activar Open Shortest Path First (OSPF) o Routing Information Protocol (RIP) en la conexión VPN. Para las conexiones VPN a petición, puede actualizar automáticamente las rutas a través de una actualización RIP estática automática. Para obtener más información sobre cómo agregar un protocolo de enrutamiento IP, cómo agregar una ruta estática y cómo realizar actualizaciones automáticas, consulta Ayuda en línea de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Un iniciado bidireccional, el enrutador de respuesta como una conexión de acceso remoto es interpretar la conexión VPN de enrutador a enrutador.

    Solución: si el nombre de usuario de las credenciales del enrutador de llamada aparece en Clientes de acceso telefónico en enrutamiento y acceso remoto, el enrutador de respuesta puede interpretar el enrutador de llamada como un cliente de acceso remoto. Compruebe que el nombre de usuario de las credenciales del enrutador de llamada coincide con el nombre de una interfaz de marcado a petición en el enrutador de respuesta. Si el llamador entrante es un enrutador, el puerto en el que se recibió la llamada muestra un estado activo y la interfaz de marcado de demanda correspondiente está en un estado Conectado.

    Para obtener más información sobre cómo comprobar el estado del puerto en el enrutador de respuesta y cómo comprobar el estado de la interfaz de marcado a petición, consulta la Ayuda en línea de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Los filtros de paquetes en las interfaces de marcado a petición del enrutador de llamadas y el enrutador de respuesta impiden el flujo de tráfico.

    Solución: compruebe que no hay filtros de paquetes en las interfaces de marcado a petición del enrutador de llamada y el enrutador de respuesta que impiden el envío o recepción del tráfico. Puede configurar cada interfaz de marcado a petición con filtros de entrada y salida IPX e IPX para controlar la naturaleza exacta del tráfico TCP/IP e IPX permitido dentro y fuera de la interfaz de marcado a petición.

    Para obtener más información sobre cómo administrar filtros de paquetes, consulte La Ayuda en línea de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Los filtros de paquetes en el perfil de directiva de acceso remoto impiden el flujo de tráfico IP.

    Solución: compruebe que no hay filtros de paquetes TCP/IP configurados en las propiedades de perfil de las directivas de acceso remoto en el servidor VPN (o el servidor RADIUS si se usa el servicio de autenticación de Internet) que impiden el envío o recepción del tráfico TCP/IP. Puede usar directivas de acceso remoto para configurar filtros de paquetes de entrada y salida TCP/IP que controlan la naturaleza exacta del tráfico TCP/IP permitido en la conexión VPN. Compruebe que los filtros de paquetes TCP/IP del perfil no impiden el flujo de tráfico.

    Para obtener más información sobre cómo configurar las opciones de IP, vea Ayuda en línea de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.