Comment installer et configurer un serveur de réseau privé virtuel dans Windows Server 2003

Cet article pas à pas explique comment installer un réseau privé virtuel (VPN) et comment créer une connexion VPN dans des serveurs exécutant Windows Server 2003.

Pour obtenir une version microsoft Windows XP de cet article, consultez 314076.

S’applique à : Windows Server 2003
Numéro de base de connaissances d’origine : 323441

Résumé

Avec un réseau privé virtuel, vous pouvez connecter des composants réseau via un autre réseau, comme Internet. Vous pouvez rendre votre ordinateur Windows Server 2003 un serveur d’accès à distance afin que d’autres utilisateurs puissent y se connecter à l’aide d’un VPN, puis se connecter au réseau et accéder aux ressources partagées. Les VPN effectuent cette opération en « tunneling » via Internet ou via un autre réseau public d’une manière qui fournit la même sécurité et les mêmes fonctionnalités qu’un réseau privé. Les données sont envoyées sur le réseau public à l’aide de son infrastructure de routage, mais à l’utilisateur, elle apparaît comme si les données sont envoyées via une liaison privée dédiée.

Vue d’ensemble du VPN

Un réseau privé virtuel est un moyen de se connecter à un réseau privé (tel que votre réseau de bureau) à l’aide d’un réseau public (par exemple, Internet). Un VPN combine les vertus d’une connexion rendez-vous à un serveur rendez-vous avec la facilité et la flexibilité d’une connexion Internet. En utilisant une connexion Internet, vous pouvez voyager dans le monde entier et toujours, dans la plupart des endroits, vous connecter à votre bureau avec un appel local au numéro de téléphone d’accès Internet le plus proche. Si vous disposez d’une connexion Internet haute vitesse (par exemple, câble ou DSL) sur votre ordinateur et au bureau, vous pouvez communiquer avec votre bureau à toute vitesse Internet, ce qui est beaucoup plus rapide que toute connexion d’accès à distance qui utilise un modem analogique. Cette technologie permet à une entreprise de se connecter à ses succursales ou à d’autres entreprises sur un réseau public tout en conservant des communications sécurisées. La connexion VPN sur Internet fonctionne logiquement en tant que lien de réseau étendu dédié (WAN).

Les réseaux privés virtuels utilisent des liens authentifiés pour vous assurer que seuls les utilisateurs autorisés peuvent se connecter à votre réseau. Pour vous assurer que les données sont sécurisées au fur et à mesure qu’elles transitent sur le réseau public, une connexion VPN utilise le protocole PPTP (Point-to-Point Tunneling Protocol) ou le protocole L2TP (Layer Two Tunneling Protocol) pour chiffrer les données.

Composants d’un VPN

Un VPN dans les serveurs exécutant Windows Server 2003 est constitué d’un serveur VPN, d’un client VPN, d’une connexion VPN (cette partie de la connexion dans laquelle les données sont chiffrées) et du tunnel (cette partie de la connexion dans laquelle les données sont encapsulées). Le tunneling est effectué via l’un des protocoles de tunneling inclus avec les serveurs exécutant Windows Server 2003, qui sont tous deux installés avec le routage et l’accès à distance. Le service Routage et accès à distance est installé automatiquement pendant l’installation de Windows Server 2003. Par défaut, toutefois, le service Routage et Accès à distance est désactivé.

Les deux protocoles de tunneling inclus dans Windows sont les suivants :

• Protocole PPTP (Point à Point Tunneling Protocol) : fournit un chiffrement des données à l’aide du chiffrement de point à point Microsoft.
• Protocole de tunneling de couche 2 (L2TP) : fournit le chiffrement, l’authentification et l’intégrité des données à l’aide d’IPSec.

Votre connexion à Internet doit utiliser une ligne dédiée telle que T1, Fractional T1 ou Frame Relay. L’adaptateur WAN doit être configuré avec l’adresse IP et le masque de sous-réseau attribués pour votre domaine ou fournis par un fournisseur de services Internet (ISP). L’adaptateur WAN doit également être configuré comme passerelle par défaut du routeur ISP.

Note

Pour activer le VPN, vous devez être connecté à l’aide d’un compte disposant de droits d’administration.

Comment installer et activer un serveur VPN

Pour installer et activer un serveur VPN, procédez comme suit :

1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Routage et Accès à distance.

2. Cliquez sur l’icône du serveur qui correspond au nom du serveur local dans le volet gauche de la console. Si l’icône a un cercle rouge dans le coin inférieur gauche, le service Routage et Accès à distance n’a pas été activé. Si l’icône a une flèche verte pointant vers le haut dans le coin inférieur gauche, le service Routage et Accès à distance a été activé. Si le service Routage et Accès à distance a été activé précédemment, vous souhaiterez peut-être reconfigurer le serveur. Pour reconfigurer le serveur :

   1. Cliquez avec le bouton droit sur l’objet serveur, puis cliquez sur Désactiver le routage et l’accès à distance. Cliquez sur Oui pour continuer lorsque vous êtes invité à envoyer un message d’information.
   2. Cliquez avec le bouton droit sur l’icône du serveur, puis cliquez sur Configurer et activer le routage et l’accès à distance pour démarrer l’Assistant Installation du serveur de routage et d’accès à distance. Cliquez sur Suivant pour continuer.
   3. Cliquez sur Accès à distance (accès à distance ou VPN) pour activer les ordinateurs distants pour vous connecter ou vous connecter à ce réseau via Internet. Cliquez sur Suivant pour continuer.

3. Cliquez pour sélectionner VPN ou Numérotation en fonction du rôle que vous envisagez d’attribuer à ce serveur.

4. Dans la fenêtre Connexion VPN, cliquez sur l’interface réseau connectée à Internet, puis cliquez sur Suivant.

5. Dans la fenêtre Affectation d’adresses IP, cliquez automatiquement si un serveur DHCP sera utilisé pour affecter des adresses à des clients distants, ou cliquez sur À partir d’une plage d’adresses spécifiée si les clients distants ne doivent recevoir qu’une adresse à partir d’un pool prédéfini. Dans la plupart des cas, l’option DHCP est plus simple à administrer. Toutefois, si DHCP n’est pas disponible, vous devez spécifier une plage d’adresses statiques. Cliquez sur Suivant pour continuer.

6. Si vous avez cliqué à partir d’une plage d’adresses spécifiée, la boîte de dialogue Affectation de plage d’adresses s’ouvre. Cliquez sur Nouveau. Tapez la première adresse IP dans la plage d’adresses que vous souhaitez utiliser dans la zone d’adresse IP de début. Tapez la dernière adresse IP de la plage dans la zone Adresse IP de fin. Windows calcule automatiquement le nombre d’adresses. Cliquez sur OK pour revenir à la fenêtre Affectation de plage d’adresses. Cliquez sur Suivant pour continuer.

7. Acceptez le paramètre par défaut Non, utilisez le routage et l’accès à distance pour authentifier les demandes de connexion, puis cliquez sur Suivant pour continuer. Cliquez sur Terminer pour activer le service Routage et Accès à distance et configurer le serveur en tant que serveur d’accès à distance.

Guide pratique pour configurer le serveur VPN

Pour continuer à configurer le serveur VPN en fonction des besoins, procédez comme suit.

Comment configurer le serveur d’accès à distance en tant que routeur

Pour que le serveur d’accès à distance transfère correctement le trafic à l’intérieur de votre réseau, vous devez le configurer en tant que routeur avec des itinéraires statiques ou des protocoles de routage, afin que tous les emplacements de l’intranet soient accessibles à partir du serveur d’accès à distance.

Pour configurer le serveur en tant que routeur :

1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Routage et Accès à distance.
2. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Propriétés.
3. Cliquez sur l’onglet Général, puis cliquez pour sélectionner Routeur sous Activer cet ordinateur en tant qu’ordinateur.
4. Cliquez sur RÉSEAU local et routage de numérotation à la demande, puis cliquez sur OK pour fermer la boîte de dialogue Propriétés.

Comment modifier le nombre de connexions simultanées

Le nombre de connexions de modems rendez-vous dépend du nombre de modems installés sur le serveur. Par exemple, si vous n’avez qu’un seul modem installé sur le serveur, vous ne pouvez avoir qu’une seule connexion de modem à la fois.

Le nombre de connexions VPN rendez-vous dépend du nombre d’utilisateurs simultanés que vous souhaitez autoriser. Par défaut, lorsque vous exécutez la procédure décrite dans cet article, vous autorisez 128 connexions. Pour modifier le nombre de connexions simultanées, procédez comme suit :

1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Routage et Accès à distance.
2. Double-cliquez sur l’objet serveur, cliquez avec le bouton droit sur Ports, puis cliquez sur Propriétés.
3. Dans la boîte de dialogue Propriétés des ports, cliquez sur Miniport WAN (PPTP)>Configurer.
4. Dans la zone Ports maximum , tapez le nombre de connexions VPN que vous souhaitez autoriser.
5. Cliquez sur OK>, puis fermez le routage et les accès distants.

Gestion des adresses et des serveurs de noms

Le serveur VPN doit disposer d’adresses IP disponibles pour les affecter à l’interface virtuelle du serveur VPN et aux clients VPN pendant la phase de négociation IP Control Protocol (IPCP) du processus de connexion. L’adresse IP affectée au client VPN est affectée à l’interface virtuelle du client VPN.

Pour les serveurs VPN basés sur Windows Server 2003, les adresses IP affectées aux clients VPN sont obtenues via DHCP par défaut. Vous pouvez également configurer un pool d’adresses IP statiques. Le serveur VPN doit également être configuré avec des serveurs de résolution de noms, généralement DNS et des adresses de serveur WINS, à affecter au client VPN pendant la négociation IPCP.

Comment gérer l’accès

Configurez les propriétés rendez-vous sur les comptes d’utilisateur et les stratégies d’accès à distance pour gérer l’accès pour la mise en réseau rendez-vous et les connexions VPN.

Note

Par défaut, les utilisateurs n’ont pas accès à la mise en réseau rendez-vous.

Accès par compte d’utilisateur

Pour accorder l’accès rendez-vous à un compte d’utilisateur si vous gérez l’accès à distance sur une base utilisateur, procédez comme suit :

1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur le compte d’utilisateur, puis cliquez sur Propriétés.
3. Cliquez sur l’onglet Numérotation .
4. Cliquez sur Autoriser l’accès pour accorder à l’utilisateur l’autorisation de se connecter. Cliquez sur OK.

Accès par appartenance à un groupe

Si vous gérez l’accès à distance sur une base de groupe, procédez comme suit :

1. Créez un groupe avec des membres autorisés à créer des connexions VPN.
2. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Routage et Accès à distance.
3. Dans l’arborescence de la console, développez Routage et Accès à distance, développez le nom du serveur, puis cliquez sur Stratégies d’accès à distance.
4. Cliquez avec le bouton droit n’importe où dans le volet droit, pointez sur Nouveau, puis cliquez sur Stratégie d’accès à distance.
5. Cliquez sur Suivant, tapez le nom de la stratégie, puis cliquez sur Suivant.
6. Cliquez sur VPN pour la méthode d’accès privé virtuel, ou cliquez sur Rendez-vous pour accéder à l’accès à distance, puis cliquez sur Suivant.
7. Cliquez sur Ajouter, tapez le nom du groupe que vous avez créé à l’étape 1, puis cliquez sur Suivant.
8. Suivez les instructions à l’écran pour exécuter l’assistant.

Si le serveur VPN autorise déjà les services d’accès à distance réseau rendez-vous, ne supprimez pas la stratégie par défaut. Au lieu de cela, déplacez-le de sorte qu’il s’agit de la dernière stratégie à évaluer.

Comment configurer une connexion VPN à partir d’un ordinateur client

Pour configurer une connexion à un VPN, procédez comme suit. Pour configurer un client pour l’accès au réseau privé virtuel, procédez comme suit sur la station de travail cliente :

Note

Vous devez être connecté en tant que membre du groupe Administrateurs pour suivre ces étapes.

Étant donné qu'il existe plusieurs versions de Microsoft Windows, la procédure peut être différente pour votre ordinateur. Si tel est le cas, reportez-vous à la documentation de votre produit pour exécuter cette procédure.

1. Sur l’ordinateur client, vérifiez que la connexion à Internet est correctement configurée.

2. Cliquez sur Démarrer> Panneau de configuration> Network Connections. Cliquez sur Créer une connexion sous Tâches réseau, puis cliquez sur Suivant.

3. Cliquez sur Se connecter au réseau sur mon espace de travail pour créer la connexion rendez-vous. Cliquez sur Suivant pour continuer.

4. Cliquez sur Connexion de réseau privé virtuel, puis sur Suivant.

5. Tapez un nom descriptif pour cette connexion dans la boîte de dialogue Nom de la société, puis cliquez sur Suivant.

6. Cliquez sur Ne pas composer la connexion initiale si l’ordinateur est connecté définitivement à Internet. Si l’ordinateur se connecte à Internet via un fournisseur de services Internet (ISP), cliquez sur Composer automatiquement cette connexion initiale, puis sur le nom de la connexion au fournisseur de services Internet. Sélectionnez Suivant.

7. Tapez l’adresse IP ou le nom d’hôte de l’ordinateur serveur VPN (par exemple, VPNServer.SampleDomain.com).

8. Cliquez sur Toute personne si vous souhaitez permettre à un utilisateur qui se connecte à la station de travail d’avoir accès à cette connexion d’accès à distance. Cliquez sur Mon utilisation uniquement si vous souhaitez que cette connexion soit disponible uniquement pour l’utilisateur actuellement connecté. Sélectionnez Suivant.

9. Cliquez sur Terminer pour enregistrer la connexion.

10. Cliquez sur Démarrer> Panneau de configuration> Network Connections.

11. Double-cliquez sur la nouvelle connexion.

12. Cliquez sur Propriétés pour continuer à configurer les options de la connexion. Pour continuer à configurer des options pour la connexion, procédez comme suit :

    • Si vous vous connectez à un domaine, cliquez sur l’onglet Options , puis sur la case à cocher Inclure le domaine d’ouverture de session Windows pour spécifier s’il faut demander des informations de domaine d’ouverture de session Windows Server 2003 avant de tenter de vous connecter.
    • Si vous souhaitez que la connexion soit réialisé si la ligne est supprimée, cliquez sur l’onglet Options , puis sur la case à cocher Redial si la ligne est supprimée .

Pour utiliser la connexion, procédez comme suit :

1. Cliquez sur Démarrer, pointez sur Se connecter, puis cliquez sur la nouvelle connexion.

2. Si vous n’avez pas actuellement de connexion à Internet, Windows propose de se connecter à Internet.

3. Lorsque la connexion à Internet est établie, le serveur VPN vous invite à entrer votre nom d’utilisateur et votre mot de passe. Tapez votre nom d’utilisateur et votre mot de passe, puis cliquez sur Se connecter. Vos ressources réseau doivent être disponibles de la même façon que lorsque vous vous connectez directement au réseau.

   Note

   Pour vous déconnecter du VPN, cliquez avec le bouton droit sur l’icône de connexion, puis cliquez sur Déconnecter.

Dépannage

Résolution des problèmes des VPN d’accès à distance

Impossible d’établir une connexion VPN d’accès à distance

• Cause : le nom de l’ordinateur client est identique au nom d’un autre ordinateur sur le réseau.

  Solution : vérifiez que les noms de tous les ordinateurs sur le réseau et les ordinateurs qui se connectent au réseau utilisent des noms d’ordinateur uniques.

• Cause : le service routage et accès à distance n’est pas démarré sur le serveur VPN.

  Solution : vérifiez l’état du service Routage et accès à distance sur le serveur VPN.

  Pour plus d’informations sur la surveillance du service Routage et accès à distance, et sur la façon de démarrer et d’arrêter le service Routage et Accès à distance, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : l’accès à distance n’est pas activé sur le serveur VPN.

  Solution : activez l’accès à distance sur le serveur VPN.

  Pour plus d’informations sur l’activation du serveur d’accès à distance, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : les ports PPTP ou L2TP ne sont pas activés pour les demandes d’accès à distance entrantes.

  Solution : activez les ports PPTP ou L2TP, ou les deux, pour les demandes d’accès à distance entrantes.

  Pour plus d’informations sur la configuration des ports pour l’accès à distance, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : Les protocoles LAN utilisés par les clients VPN ne sont pas activés pour l’accès à distance sur le serveur VPN.

  Solution : activez les protocoles LAN utilisés par les clients VPN pour l’accès à distance sur le serveur VPN.

  Pour plus d’informations sur la façon d’afficher les propriétés du serveur d’accès à distance, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : tous les ports PPTP ou L2TP sur le serveur VPN sont déjà utilisés par les clients d’accès à distance actuellement connectés ou les routeurs de numérotation à la demande.

  Solution : vérifiez que tous les ports PPTP ou L2TP sur le serveur VPN sont déjà utilisés. Pour ce faire, cliquez sur Ports dans le routage et l’accès à distance. Si le nombre de ports PPTP ou L2TP autorisés n’est pas suffisamment élevé, modifiez le nombre de ports PPTP ou L2TP pour autoriser davantage de connexions simultanées.

  Pour plus d’informations sur l’ajout de ports PPTP ou L2TP, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le serveur VPN ne prend pas en charge le protocole de tunneling du client VPN.

  Par défaut, les clients VPN d’accès à distance Windows Server 2003 utilisent l’option type de serveur automatique, ce qui signifie qu’ils essaient d’établir une connexion VPN basée sur IPSec en premier, puis qu’ils essaient d’établir une connexion VPN BASÉE sur PPTP. Si les clients VPN utilisent l’option de type de serveur PPTP (Point-to-Point Tunneling Protocol) ou Layer-2 Tunneling Protocol (L2TP), vérifiez que le protocole de tunneling sélectionné est pris en charge par le serveur VPN.

  Par défaut, un ordinateur exécutant Windows Server 2003 Server et le service routage et accès à distance est un serveur PPTP et L2TP avec cinq ports L2TP et cinq ports PPTP. Pour créer un serveur PPTP uniquement, définissez le nombre de ports L2TP sur zéro. Pour créer un serveur L2TP uniquement, définissez le nombre de ports PPTP sur zéro.

  Solution : vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré.

  Pour plus d’informations sur l’ajout de ports PPTP ou L2TP, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le client VPN et le serveur VPN conjointement avec une stratégie d’accès à distance ne sont pas configurés pour utiliser au moins une méthode d’authentification commune.

  Solution : Configurez le client VPN et le serveur VPN conjointement avec une stratégie d’accès à distance pour utiliser au moins une méthode d’authentification commune.

  Pour plus d’informations sur la configuration de l’authentification, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le client VPN et le serveur VPN conjointement avec une stratégie d’accès à distance ne sont pas configurés pour utiliser au moins une méthode de chiffrement commune.

  Solution : configurez le client VPN et le serveur VPN conjointement avec une stratégie d’accès à distance pour utiliser au moins une méthode de chiffrement commune.

  Pour plus d’informations sur la configuration du chiffrement, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : la connexion VPN n’a pas les autorisations appropriées via les propriétés de numérotation du compte d’utilisateur et des stratégies d’accès à distance.

  Solution : vérifiez que la connexion VPN dispose des autorisations appropriées via les propriétés de numérotation du compte d’utilisateur et des stratégies d’accès à distance. Pour que la connexion soit établie, les paramètres de la tentative de connexion doivent :

  • Correspond à toutes les conditions d’au moins une stratégie d’accès à distance.
  • Accorder l’autorisation d’accès à distance via le compte d’utilisateur (défini sur Autoriser l’accès) ou via le compte d’utilisateur (défini sur Contrôler l’accès via la stratégie d’accès à distance) et l’autorisation d’accès à distance de la stratégie d’accès à distance correspondante (définie pour accorder l’autorisation d’accès à distance).
  • Correspond à tous les paramètres du profil.
  • Correspond à tous les paramètres des propriétés de numérotation du compte d’utilisateur.

  Pour plus d’informations sur une présentation des stratégies d’accès à distance et sur la façon d’accepter une tentative de connexion, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : Les paramètres du profil de stratégie d’accès à distance sont en conflit avec les propriétés du serveur VPN.

  Les propriétés du profil de stratégie d’accès à distance et les propriétés du serveur VPN contiennent tous deux des paramètres pour :

  • Liaison multiple.
  • Protocole d’allocation de bande passante (BAP).
  • Protocoles d’authentification.

  Si les paramètres du profil de la stratégie d’accès à distance correspondante sont en conflit avec les paramètres du serveur VPN, la tentative de connexion est rejetée. Par exemple, si le profil de stratégie d’accès à distance correspondant spécifie que le protocole d’authentification EXTENSIBLE Authentication Protocol - TRANSPORT Level Security (EAP-TLS) doit être utilisé et EAP n’est pas activé sur le serveur VPN, la tentative de connexion est rejetée.

  Solution : vérifiez que les paramètres du profil de stratégie d’accès à distance ne sont pas en conflit avec les propriétés du serveur VPN.

  Pour plus d’informations sur les protocoles d’authentification, BAP et multilink, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le routeur de réponse ne peut pas valider les informations d’identification du routeur appelant (nom d’utilisateur, mot de passe et nom de domaine).

  Solution : vérifiez que les informations d’identification du client VPN (nom d’utilisateur, mot de passe et nom de domaine) sont correctes et peuvent être validées par le serveur VPN.

• Cause : il n’y a pas suffisamment d’adresses dans le pool d’adresses IP statiques.

  Solution : si le serveur VPN est configuré avec un pool d’adresses IP statiques, vérifiez qu’il y a suffisamment d’adresses dans le pool. Si toutes les adresses du pool statique ont été allouées aux clients VPN connectés, le serveur VPN ne peut pas allouer d’adresse IP et la tentative de connexion est rejetée. Si toutes les adresses du pool statique ont été allouées, modifiez le pool.

  Pour plus d’informations sur l’accès TCP/IP et à distance et sur la création d’un pool d’adresses IP statiques, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le client VPN est configuré pour demander son propre numéro de nœud IPX et le serveur VPN n’est pas configuré pour permettre aux clients IPX de demander leur propre numéro de nœud IPX.

  Solution : configurez le serveur VPN pour permettre aux clients IPX de demander leur propre numéro de nœud IPX.

  Pour plus d’informations sur IPX et l’accès à distance, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le serveur VPN est configuré avec une plage de numéros de réseau IPX utilisés ailleurs sur votre réseau IPX.

  Solution : Configurez le serveur VPN avec une plage de numéros de réseau IPX uniques à votre réseau IPX.

  Pour plus d’informations sur IPX et l’accès à distance, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le fournisseur d’authentification du serveur VPN est configuré de manière incorrecte.

  Solution : vérifiez la configuration du fournisseur d’authentification. Vous pouvez configurer le serveur VPN pour utiliser Windows Server 2003 ou le service d’utilisateur rendez-vous d’authentification à distance (RADIUS) pour authentifier les informations d’identification du client VPN.

  Pour plus d’informations sur l’authentification et les fournisseurs de comptabilité, consultez le Centre d’aide et de support Windows Server 2003, ainsi que sur l’utilisation de l’authentification RADIUS. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le serveur VPN ne peut pas accéder à Active Directory.

  Solution : Pour un serveur VPN qui est un serveur membre dans un domaine Windows Server 2003 en mode mixte ou en mode natif configuré pour l’authentification Windows Server 2003, vérifiez que :

  • Le groupe de sécurité ras et serveurs IAS existe. Si ce n’est pas le cas, créez le groupe et définissez le type de groupe sur Sécurité et l’étendue du groupe sur Domaine local.

  • Le groupe de sécurité RAS et IAS Servers a l’autorisation Lecture à l’objet RAS et IAS Servers Access Check .

  • Le compte d’ordinateur de l’ordinateur serveur VPN est membre du groupe de sécurité RAS et SERVEURs IAS. Vous pouvez utiliser la netsh ras show registeredserver commande pour afficher l’inscription actuelle. Vous pouvez utiliser la netsh ras add registeredserver commande pour inscrire le serveur dans un domaine spécifié.

    Si vous ajoutez (ou supprimez) l’ordinateur du serveur VPN au groupe de sécurité ras et serveurs IAS, la modification n’est pas prise en compte immédiatement (en raison de la façon dont Windows Server 2003 met en cache les informations Active Directory). Pour appliquer immédiatement cette modification, redémarrez l’ordinateur du serveur VPN.

  • Le serveur VPN est membre du domaine.

  Pour plus d’informations sur l’ajout d’un groupe, la vérification des autorisations pour le groupe de sécurité RAS et IAS et sur netsh les commandes d’accès à distance, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : un serveur VPN Windows NT 4.0 ne peut pas valider les demandes de connexion.

  Solution : si les clients VPN se composent d’un serveur VPN exécutant Windows NT 4.0 membre d’un domaine en mode mixte Windows Server 2003, vérifiez que le groupe Tout le monde est ajouté au groupe d’accès compatible Pré-Windows 2000 avec la commande suivante :

  "net localgroup "Pre-Windows 2000 Compatible Access""
  

  Si ce n’est pas le cas, tapez la commande suivante à l’invite de commandes sur un ordinateur de contrôleur de domaine, puis redémarrez l’ordinateur du contrôleur de domaine :

  net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
  

  Pour plus d’informations sur le serveur d’accès à distance Windows NT 4.0 dans un domaine Windows Server 2003, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : le serveur VPN ne peut pas communiquer avec le serveur RADIUS configuré.

  Solution : Si vous pouvez atteindre votre serveur RADIUS uniquement via votre interface Internet, effectuez l’une des opérations suivantes :

  • Ajoutez un filtre d’entrée et un filtre de sortie à l’interface Internet pour le port UDP 1812 (basé sur RFC 2138, « Service utilisateur rendez-vous à distance (RADIUS) ». -ou-
  • Ajoutez un filtre d’entrée et un filtre de sortie à l’interface Internet pour le port UDP 1645 (pour les serveurs RADIUS plus anciens), pour l’authentification RADIUS et le port UDP 1813 (basé sur RFC 2139, « RADIUS Accounting »). -ou-
  • -ou- Ajoutez un filtre d’entrée et un filtre de sortie à l’interface Internet pour le port UDP 1646 (pour les serveurs RADIUS plus anciens) pour la comptabilité RADIUS.

  Pour plus d’informations sur l’ajout d’un filtre de paquets, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : Impossible de se connecter au serveur VPN via Internet à l’aide de l’utilitaire Ping.exe.

  Solution : en raison du filtrage de paquets PPTP et L2TP sur IPSec configuré sur l’interface Internet du serveur VPN, les paquets ICMP (Internet Control Message Protocol) utilisés par la commande ping sont filtrés. Pour activer le serveur VPN pour répondre aux paquets ICMP (ping), ajoutez un filtre d’entrée et un filtre de sortie qui autorisent le trafic pour le protocole IP 1 (trafic ICMP).

  Pour plus d’informations sur l’ajout d’un filtre de paquets, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

Impossible d’envoyer et de recevoir des données

• Cause : l’interface de numérotation à la demande appropriée n’a pas été ajoutée au protocole routé.

  Solution : ajoutez l’interface de numérotation à la demande appropriée au protocole routé.

  Pour plus d’informations sur l’ajout d’une interface de routage, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : il n’existe pas d’itinéraires sur les deux côtés de la connexion VPN routeur à routeur qui prennent en charge l’échange bidirectionnel du trafic.

  Solution : contrairement à une connexion VPN d’accès à distance, une connexion VPN de routeur à routeur ne crée pas automatiquement un itinéraire par défaut. Créez des itinéraires sur les deux côtés de la connexion VPN routeur-à-routeur afin que le trafic puisse être acheminé vers et depuis l’autre côté de la connexion VPN routeur-à-routeur.

  Vous pouvez ajouter manuellement des itinéraires statiques à la table de routage, ou ajouter des itinéraires statiques via des protocoles de routage. Pour les connexions VPN persistantes, vous pouvez activer Open Shortest Path First (OSPF) ou RIP (Routing Information Protocol) sur la connexion VPN. Pour les connexions VPN à la demande, vous pouvez mettre à jour automatiquement des itinéraires via une mise à jour RIP statique automatique. Pour plus d’informations sur l’ajout d’un protocole de routage IP, l’ajout d’un itinéraire statique et l’exécution de mises à jour statiques automatiques, consultez l’aide en ligne de Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : une connexion VPN bidirectionnel lancée par le routeur de réponse en tant que connexion d’accès à distance interprète la connexion VPN de routeur à routeur.

  Solution : si le nom d’utilisateur dans les informations d’identification du routeur appelant s’affiche sous Clients rendez-vous dans le routage et l’accès à distance, le routeur de réponse peut interpréter le routeur appelant en tant que client d’accès à distance. Vérifiez que le nom d’utilisateur dans les informations d’identification du routeur appelant correspond au nom d’une interface de numérotation à la demande sur le routeur de réponse. Si l’appelant entrant est un routeur, le port sur lequel l’appel a été reçu affiche l’état Actif et l’interface de numérotation à la demande correspondante est dans un état connecté .

  Pour plus d’informations sur la vérification de l’état du port sur le routeur de réponse et sur la vérification de l’état de l’interface de numérotation à la demande, consultez l’aide en ligne de Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : les filtres de paquets sur les interfaces de numérotation à la demande du routeur appelant et du routeur de réponse empêchent le flux de trafic.

  Solution : vérifiez qu’il n’existe aucun filtre de paquets sur les interfaces de numérotation à la demande du routeur appelant et du routeur de réponse qui empêchent l’envoi ou la réception du trafic. Vous pouvez configurer chaque interface de numérotation à la demande avec des filtres d’entrée et de sortie IPX IP et IPX pour contrôler la nature exacte du trafic TCP/IP et IPX autorisé dans et hors de l’interface de numérotation à la demande.

  Pour plus d’informations sur la gestion des filtres de paquets, consultez l’aide en ligne de Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

• Cause : les filtres de paquets sur le profil de stratégie d’accès à distance empêchent le flux du trafic IP.

  Solution : vérifiez qu’il n’existe aucun filtre de paquet TCP/IP configuré sur les propriétés de profil des stratégies d’accès à distance sur le serveur VPN (ou le serveur RADIUS si le service d’authentification Internet est utilisé) qui empêchent l’envoi ou la réception du trafic TCP/IP. Vous pouvez utiliser des stratégies d’accès à distance pour configurer les filtres d’entrée et de sortie TCP/IP qui contrôlent la nature exacte du trafic TCP/IP autorisé sur la connexion VPN. Vérifiez que les filtres de paquets TCP/IP de profil n’empêchent pas le flux de trafic.

  Pour plus d’informations sur la configuration des options IP, consultez l’aide en ligne de Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.