Condividi tramite

Come installare e configurare un server di rete privata virtuale in Windows Server 2003

Questo articolo dettagliato descrive come installare la rete privata virtuale (VPN) e come creare una nuova connessione VPN nei server che eseguono Windows Server 2003.

Per una versione di Microsoft Windows XP di questo articolo, vedere 314076.

Si applica a: Windows Server 2003
Numero KB originale: 323441

Riepilogo

Con una rete privata virtuale è possibile connettere i componenti di rete tramite un'altra rete, ad esempio Internet. È possibile rendere il computer basato su Windows Server 2003 un server di accesso remoto in modo che altri utenti possano connettersi tramite VPN, quindi possono accedere alla rete e accedere alle risorse condivise. Le VPN lo eseguono "tunneling" attraverso Internet o tramite un'altra rete pubblica in modo da garantire la stessa sicurezza e funzionalità di una rete privata. I dati vengono inviati attraverso la rete pubblica usando l'infrastruttura di routing, ma all'utente vengono visualizzati come se i dati vengano inviati tramite un collegamento privato dedicato.

Panoramica della VPN

Una rete privata virtuale è un mezzo per connettersi a una rete privata (ad esempio la rete dell'ufficio) tramite una rete pubblica (ad esempio Internet). Una VPN combina le virtù di una connessione remota a un server di connessione remota con la facilità e la flessibilità di una connessione Internet. Utilizzando una connessione Internet, è possibile viaggiare in tutto il mondo e ancora, nella maggior parte dei luoghi, connettersi all'ufficio con una chiamata locale al numero di telefono di accesso Internet più vicino. Se si dispone di una connessione Internet ad alta velocità (ad esempio cavo o DSL) al computer e all'ufficio, è possibile comunicare con l'ufficio a piena velocità Internet, che è molto più veloce di qualsiasi connessione remota che utilizza un modem analogico. Questa tecnologia consente a un'azienda di connettersi alle succursali o ad altre aziende tramite una rete pubblica mantenendo al contempo comunicazioni sicure. La connessione VPN in Internet opera logicamente come collegamento WAN (Wide Area Network) dedicato.

Le reti private virtuali usano collegamenti autenticati per assicurarsi che solo gli utenti autorizzati possano connettersi alla rete. Per assicurarsi che i dati siano sicuri quando passano attraverso la rete pubblica, una connessione VPN usa il protocollo PPTP (Point-to-Point Tunneling Protocol) o Il protocollo L2TP (Layer Two Tunneling Protocol) per crittografare i dati.

Componenti di una VPN

Una VPN nei server che eseguono Windows Server 2003 è costituita da un server VPN, un client VPN, una connessione VPN (quella parte della connessione in cui vengono crittografati i dati) e il tunnel (quella parte della connessione in cui sono incapsulati i dati). Il tunneling viene completato tramite uno dei protocolli di tunneling inclusi nei server che eseguono Windows Server 2003, entrambi installati con Routing e Accesso remoto. Il servizio Routing e Accesso remoto viene installato automaticamente durante l'installazione di Windows Server 2003. Per impostazione predefinita, tuttavia, il servizio Routing e Accesso remoto è disattivato.

I due protocolli di tunneling inclusi in Windows sono:

  • Protocollo PPTP (Point-to-Point Tunneling Protocol): fornisce la crittografia dei dati tramite la crittografia da punto a punto di Microsoft.
  • Protocollo L2TP (Layer Two Tunneling Protocol): fornisce la crittografia dei dati, l'autenticazione e l'integrità tramite IPSec.

La connessione a Internet deve usare una linea dedicata, ad esempio T1, Fractional T1 o Frame Relay. La scheda WAN deve essere configurata con l'indirizzo IP e la subnet mask assegnati per il dominio o forniti da un provider di servizi Internet (ISP). La scheda WAN deve essere configurata anche come gateway predefinito del router ISP.

Note

Per attivare la VPN, è necessario essere connessi usando un account con diritti amministrativi.

Come installare e attivare un server VPN

Per installare e attivare un server VPN, seguire questa procedura:

  1. Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Routing e accesso remoto.

  2. Fare clic sull'icona del server corrispondente al nome del server locale nel riquadro sinistro della console. Se l'icona ha un cerchio rosso nell'angolo inferiore sinistro, il servizio Routing e Accesso remoto non è stato attivato. Se l'icona ha una freccia verde che punta verso l'alto nell'angolo inferiore sinistro, il servizio Routing e Accesso remoto è stato attivato. Se il servizio Routing e Accesso remoto è stato attivato in precedenza, è possibile riconfigurare il server. Per riconfigurare il server:

    1. Fare clic con il pulsante destro del mouse sull'oggetto server e quindi scegliere Disabilita routing e accesso remoto. Fare clic su per continuare quando viene richiesto un messaggio informativo.
    2. Fare clic con il pulsante destro del mouse sull'icona del server, quindi scegliere Configura e abilita routing e accesso remoto per avviare l'Installazione guidata server di routing e accesso remoto. Fare clic su Avanti per continuare.
    3. Fare clic su Accesso remoto (connessione remota o VPN) per attivare i computer remoti per connettersi o connettersi a questa rete tramite Internet. Fare clic su Avanti per continuare.

  3. Fare clic per selezionare VPN o Connessione remota a seconda del ruolo che si intende assegnare a questo server.

  4. Nella finestra Connessione VPN fare clic sull'interfaccia di rete connessa a Internet e quindi fare clic su Avanti.

  5. Nella finestra Assegnazione indirizzi IP fare clic su Automaticamente se verrà usato un server DHCP per assegnare indirizzi ai client remoti oppure fare clic su Da un intervallo di indirizzi specificato se ai client remoti deve essere assegnato solo un indirizzo da un pool predefinito. Nella maggior parte dei casi, l'opzione DHCP è più semplice da amministrare. Tuttavia, se DHCP non è disponibile, è necessario specificare un intervallo di indirizzi statici. Fare clic su Avanti per continuare.

  6. Se si fa clic su Da un intervallo di indirizzi specificato, verrà visualizzata la finestra di dialogo Assegnazione intervallo di indirizzi. Fai clic su Nuovo. Digitare il primo indirizzo IP nell'intervallo di indirizzi da usare nella casella Indirizzo IP iniziale. Digitare l'ultimo indirizzo IP nell'intervallo nella casella Indirizzo IP finale. Windows calcola automaticamente il numero di indirizzi. Fare clic su OK per tornare alla finestra Assegnazione intervallo di indirizzi. Fare clic su Avanti per continuare.

  7. Accettare l'impostazione predefinita No, usare Routing e Accesso remoto per autenticare le richieste di connessione e quindi fare clic su Avanti per continuare. Fare clic su Fine per attivare il servizio Routing e Accesso remoto e configurare il server come server di accesso remoto.

Come configurare il server VPN

Per continuare a configurare il server VPN in base alle esigenze, seguire questa procedura.

Come configurare il server di accesso remoto come router

Per consentire al server di accesso remoto di inoltrare correttamente il traffico all'interno della rete, è necessario configurarlo come router con route statiche o protocolli di routing, in modo che tutte le posizioni nella Intranet siano raggiungibili dal server di accesso remoto.

Per configurare il server come router:

  1. Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Routing e accesso remoto.
  2. Fare clic con il pulsante destro del mouse sul nome del server e quindi scegliere Proprietà.
  3. Fare clic sulla scheda Generale e quindi fare clic su Per selezionare Router in Abilita il computer come.
  4. Fare clic su LAN e routing con chiamata alla richiesta, quindi fare clic su OK per chiudere la finestra di dialogo Proprietà.

Come modificare il numero di connessioni simultanee

Il numero di connessioni modem remote dipende dal numero di modem installati nel server. Ad esempio, se nel server è installato un solo modem, è possibile avere una sola connessione modem alla volta.

Il numero di connessioni VPN remote dipende dal numero di utenti simultanei che si desidera consentire. Per impostazione predefinita, quando si esegue la procedura descritta in questo articolo, si consentono 128 connessioni. Per modificare il numero di connessioni simultanee, seguire questa procedura:

  1. Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Routing e accesso remoto.
  2. Fare doppio clic sull'oggetto server, fare clic con il pulsante destro del mouse su Porte e quindi scegliere Proprietà.
  3. Nella finestra di dialogo Proprietà porte fare clic su Miniport WAN (PPTP)>Configura.
  4. Nella casella Porte massime digitare il numero di connessioni VPN che si desidera consentire.
  5. Fare clic su OK>, quindi chiudere Routing e Accessoremoto.

Come gestire indirizzi e server dei nomi

Il server VPN deve disporre di indirizzi IP disponibili per assegnarli all'interfaccia virtuale del server VPN e ai client VPN durante la fase di negoziazione IPCP (IPCP) del processo di connessione. L'indirizzo IP assegnato al client VPN viene assegnato all'interfaccia virtuale del client VPN.

Per i server VPN basati su Windows Server 2003, gli indirizzi IP assegnati ai client VPN vengono ottenuti tramite DHCP per impostazione predefinita. È anche possibile configurare un pool di indirizzi IP statici. Il server VPN deve essere configurato anche con server di risoluzione dei nomi, in genere DNS e indirizzi del server WINS, da assegnare al client VPN durante la negoziazione IPCP.

Come gestire l'accesso

Configurare le proprietà di accesso esterno per gli account utente e i criteri di accesso remoto per gestire l'accesso per le connessioni VPN e di rete remota.

Note

Per impostazione predefinita, agli utenti viene negato l'accesso alla rete remota.

Accesso in base all'account utente

Per concedere l'accesso esterno a un account utente se si gestisce l'accesso remoto in base all'utente, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Utenti e computer di Active Directory.
  2. Fare clic con il pulsante destro del mouse sull'account utente e quindi scegliere Proprietà.
  3. Fare clic sulla scheda Accesso esterno .
  4. Fare clic su Consenti l'accesso per concedere all'utente l'autorizzazione per l'accesso esterno. Scegliere OK.

Accesso in base all'appartenenza al gruppo

Se si gestisce l'accesso remoto in base a un gruppo, seguire questa procedura:

  1. Creare un gruppo con membri autorizzati a creare connessioni VPN.
  2. Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Routing e accesso remoto.
  3. Nell'albero della console espandere Routing e Accesso remoto, espandere il nome del server e quindi fare clic su Criteri di accesso remoto.
  4. Fare clic con il pulsante destro del mouse in un punto qualsiasi del riquadro destro, scegliere Nuovo e quindi fare clic su Criteri di accesso remoto.
  5. Fare clic su Avanti, digitare il nome del criterio e quindi fare clic su Avanti.
  6. Fare clic su VPN per il metodo di accesso privato virtuale oppure su Accesso esterno per l'accesso esterno, quindi fare clic su Avanti.
  7. Fare clic su Aggiungi, digitare il nome del gruppo creato nel passaggio 1 e quindi fare clic su Avanti.
  8. Segui le istruzioni sullo schermo per completare la procedura guidata.

Se il server VPN consente già servizi di accesso remoto di rete remota, non eliminare i criteri predefiniti. Spostarlo in modo che sia l'ultimo criterio da valutare.

Come configurare una connessione VPN da un computer client

Per configurare una connessione a una VPN, seguire questa procedura. Per configurare un client per l'accesso alla rete privata virtuale, seguire questa procedura nella workstation client:

Note

Per seguire questa procedura, è necessario essere connessi come membro del gruppo Administrators.

Considerando l'esistenza di diverse versioni di Microsoft Windows, la procedura potrebbe variare da computer a computer. In questo caso, fare riferimento alla documentazione del prodotto per completare la procedura.

  1. Nel computer client verificare che la connessione a Internet sia configurata correttamente.

  2. Fare clic su Start> Pannello di controllo> Rete Connessioni. Fare clic su Crea una nuova connessione in Attività di rete e quindi su Avanti.

  3. Fare clic su Connetti alla rete nell'area di lavoro per creare la connessione remota. Fare clic su Avanti per continuare.

  4. Fare clic su Connessione di rete privata virtuale e quindi su Avanti.

  5. Digitare un nome descrittivo per questa connessione nella finestra di dialogo Nome società e quindi fare clic su Avanti.

  6. Fare clic su Non comporre la connessione iniziale se il computer è connesso in modo permanente a Internet. Se il computer si connette a Internet tramite un provider di servizi Internet (ISP), fare clic su Comporre automaticamente questa connessione iniziale e quindi fare clic sul nome della connessione all'ISP. Fare clic su Avanti.

  7. Digitare l'indirizzo IP o il nome host del computer server VPN, ad esempio VPNServer.SampleDomain.com.

  8. Fare clic su Chiunque se si desidera consentire a qualsiasi utente che accede alla workstation di accedere a questa connessione remota. Fare clic su Utilizzo personale solo se si desidera che questa connessione sia disponibile solo per l'utente attualmente connesso. Fare clic su Avanti.

  9. Fare clic su Fine per salvare la connessione.

  10. Fare clic su Start> Pannello di controllo> Rete Connessioni.

  11. Fare doppio clic sulla nuova connessione.

  12. Fare clic su Proprietà per continuare a configurare le opzioni per la connessione. Per continuare a configurare le opzioni per la connessione, seguire questa procedura:

    • Se ci si connette a un dominio, fare clic sulla scheda Opzioni e quindi fare clic per selezionare la casella di controllo Includi dominio di accesso Di Windows per specificare se richiedere informazioni sul dominio di accesso di Windows Server 2003 prima di provare a connettersi.
    • Se si desidera che la connessione venga ridistribuita se la riga viene eliminata, fare clic sulla scheda Opzioni e quindi fare clic per selezionare la casella di controllo Redial se la riga viene eliminata .

Per usare la connessione, seguire questa procedura:

  1. Fare clic su Start, scegliere Connetti a, quindi fare clic sulla nuova connessione.

  2. Se attualmente non si dispone di una connessione a Internet, Windows offre la connessione a Internet.

  3. Quando viene stabilita la connessione a Internet, il server VPN richiede il nome utente e la password. Digitare il nome utente e la password e quindi fare clic su Connetti. Le risorse di rete devono essere disponibili allo stesso modo in cui si connettono direttamente alla rete.

    Note

    Per disconnettersi dalla VPN, fare clic con il pulsante destro del mouse sull'icona di connessione e quindi scegliere Disconnetti.

Risoluzione dei problemi

Risoluzione dei problemi relativi alle VPN di accesso remoto

Non è possibile stabilire una connessione VPN di accesso remoto

  • Causa: il nome del computer client corrisponde al nome di un altro computer in rete.

    Soluzione: verificare che i nomi di tutti i computer della rete e dei computer che si connettono alla rete usino nomi di computer univoci.

  • Causa: il servizio Routing e Accesso remoto non viene avviato nel server VPN.

    Soluzione: verificare lo stato del servizio Routing e Accesso remoto nel server VPN.

    Per altre informazioni su come monitorare il servizio Routing e Accesso remoto e su come avviare e arrestare il servizio Routing e Accesso remoto, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: l'accesso remoto non è attivato sul server VPN.

    Soluzione: attivare l'accesso remoto nel server VPN.

    Per altre informazioni su come attivare il server di accesso remoto, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: le porte PPTP o L2TP non sono attivate per le richieste di accesso remoto in ingresso.

    Soluzione: attivare le porte PPTP o L2TP o entrambe per le richieste di accesso remoto in ingresso.

    Per altre informazioni su come configurare le porte per l'accesso remoto, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: i protocolli LAN usati dai client VPN non sono attivati per l'accesso remoto nel server VPN.

    Soluzione: attivare i protocolli LAN usati dai client VPN per l'accesso remoto nel server VPN.

    Per altre informazioni su come visualizzare le proprietà del server di accesso remoto, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: tutte le porte PPTP o L2TP nel server VPN sono già in uso da client di accesso remoto attualmente connessi o router con connessione su richiesta.

    Soluzione: verificare che tutte le porte PPTP o L2TP nel server VPN siano già in uso. A tale scopo, fare clic su Porte in Routing e accesso remoto. Se il numero di porte PPTP o L2TP consentite non è sufficientemente elevato, modificare il numero di porte PPTP o L2TP per consentire più connessioni simultanee.

    Per altre informazioni su come aggiungere porte PPTP o L2TP, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il server VPN non supporta il protocollo di tunneling del client VPN.

    Per impostazione predefinita, i client VPN di accesso remoto di Windows Server 2003 usano l'opzione Tipo di server automatico, il che significa che tentano di stabilire prima una connessione VPN basata su L2TP tramite IPSec e quindi tentano di stabilire una connessione VPN basata su PPTP. Se i client VPN usano l'opzione del tipo di server PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer-2 Tunneling Protocol), verificare che il protocollo di tunneling selezionato sia supportato dal server VPN.

    Per impostazione predefinita, un computer che esegue Windows Server 2003 Server e il servizio Routing e Accesso remoto è un server PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un server solo PPTP, impostare il numero di porte L2TP su zero. Per creare un server solo L2TP, impostare il numero di porte PPTP su zero.

    Soluzione: verificare che sia configurato il numero appropriato di porte PPTP o L2TP.

    Per altre informazioni su come aggiungere porte PPTP o L2TP, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il client VPN e il server VPN in combinazione con un criterio di accesso remoto non sono configurati per l'uso di almeno un metodo di autenticazione comune.

    Soluzione: configurare il client VPN e il server VPN in combinazione con un criterio di accesso remoto per usare almeno un metodo di autenticazione comune.

    Per altre informazioni su come configurare l'autenticazione, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il client VPN e il server VPN in combinazione con un criterio di accesso remoto non sono configurati per l'uso di almeno un metodo di crittografia comune.

    Soluzione: configurare il client VPN e il server VPN insieme a un criterio di accesso remoto per usare almeno un metodo di crittografia comune.

    Per altre informazioni su come configurare la crittografia, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: la connessione VPN non dispone delle autorizzazioni appropriate tramite le proprietà di accesso esterno dell'account utente e dei criteri di accesso remoto.

    Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate tramite le proprietà di accesso esterno dell'account utente e dei criteri di accesso remoto. Affinché la connessione venga stabilita, le impostazioni del tentativo di connessione devono:

    • Corrisponde a tutte le condizioni di almeno un criterio di accesso remoto.
    • Concedere l'autorizzazione di accesso remoto tramite l'account utente (impostato su Consenti l'accesso) o tramite l'account utente (impostato su Controllare l'accesso tramite criteri di accesso remoto) e l'autorizzazione di accesso remoto corrispondente (impostata su Concedi autorizzazione di accesso remoto).
    • Trova la corrispondenza con tutte le impostazioni del profilo.
    • Trova la corrispondenza con tutte le impostazioni delle proprietà di accesso esterno dell'account utente.

    Per altre informazioni su un'introduzione ai criteri di accesso remoto e su come accettare un tentativo di connessione, vedere guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: le impostazioni del profilo dei criteri di accesso remoto sono in conflitto con le proprietà del server VPN.

    Le proprietà del profilo dei criteri di accesso remoto e le proprietà del server VPN contengono entrambe le impostazioni per:

    • Multilink.
    • Protocollo BAP (Bandwidth Allocation Protocol).
    • Protocolli di autenticazione.

    Se le impostazioni del profilo dei criteri di accesso remoto corrispondenti sono in conflitto con le impostazioni del server VPN, il tentativo di connessione viene rifiutato. Ad esempio, se il profilo dei criteri di accesso remoto corrispondente specifica che il protocollo di autenticazione Extensible Authentication Protocol - Transport Level Security (EAP-TLS) deve essere usato e EAP non è abilitato nel server VPN, il tentativo di connessione viene rifiutato.

    Soluzione: verificare che le impostazioni del profilo dei criteri di accesso remoto non siano in conflitto con le proprietà del server VPN.

    Per altre informazioni sui protocolli multilink, BAP e di autenticazione, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il router di risposta non può convalidare le credenziali del router chiamante (nome utente, password e nome di dominio).

    Soluzione: verificare che le credenziali del client VPN (nome utente, password e nome di dominio) siano corrette e possano essere convalidate dal server VPN.

  • Causa: nel pool di indirizzi IP statici non sono presenti indirizzi sufficienti.

    Soluzione: se il server VPN è configurato con un pool di indirizzi IP statici, verificare che nel pool siano presenti indirizzi sufficienti. Se tutti gli indirizzi nel pool statico sono stati allocati ai client VPN connessi, il server VPN non può allocare un indirizzo IP e il tentativo di connessione viene rifiutato. Se tutti gli indirizzi nel pool statico sono stati allocati, modificare il pool.

    Per altre informazioni su TCP/IP e accesso remoto e su come creare un pool di indirizzi IP statici, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il client VPN è configurato per richiedere il proprio numero di nodo IPX e il server VPN non è configurato per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Soluzione: configurare il server VPN per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Per altre informazioni su IPX e accesso remoto, vedere guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il server VPN è configurato con un intervallo di numeri di rete IPX usati altrove nella rete IPX.

    Soluzione: configurare il server VPN con un intervallo di numeri di rete IPX univoci per la rete IPX.

    Per altre informazioni su IPX e accesso remoto, vedere guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il provider di autenticazione del server VPN non è configurato correttamente.

    Soluzione: verificare la configurazione del provider di autenticazione. È possibile configurare il server VPN per usare Windows Server 2003 o Remote Authentication Dial-In User Service (RADIUS) per autenticare le credenziali del client VPN.

    Per altre informazioni sull'autenticazione e sui provider di contabilità, vedere guida e supporto tecnico di Windows Server 2003 e come usare l'autenticazione RADIUS. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il server VPN non può accedere ad Active Directory.

    Soluzione: per un server VPN che è un server membro in un dominio Windows Server 2003 in modalità mista o in modalità nativa configurato per l'autenticazione di Windows Server 2003, verificare che:

    • Esiste il gruppo di sicurezza RAS e IAS Servers . In caso contrario, creare il gruppo e impostare il tipo di gruppo su Sicurezza e ambito gruppo su Dominio locale.

    • Il gruppo di sicurezza RAS e IAS Server dispone dell'autorizzazione di lettura per l'oggetto Controllo di accesso ai server RAS e IAS.

    • L'account computer del computer server VPN è membro del gruppo di sicurezza SERVER RAS e IAS. È possibile usare il netsh ras show registeredserver comando per visualizzare la registrazione corrente. È possibile usare il netsh ras add registeredserver comando per registrare il server in un dominio specificato.

      Se si aggiunge (o si rimuove) il computer server VPN al gruppo di sicurezza RAS e IAS Servers, la modifica non diventa effettiva immediatamente (a causa del modo in cui Windows Server 2003 memorizza nella cache le informazioni di Active Directory). Per applicare immediatamente questa modifica, riavviare il computer server VPN.

    • Il server VPN è un membro del dominio.

    Per altre informazioni su come aggiungere un gruppo, su come verificare le autorizzazioni per il gruppo di sicurezza RAS e IAS e sui netsh comandi per l'accesso remoto, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: un server VPN basato su Windows NT 4.0 non può convalidare le richieste di connessione.

    Soluzione: se i client VPN accedono a un server VPN che esegue Windows NT 4.0 membro di un dominio in modalità mista di Windows Server 2003, verificare che il gruppo Everyone venga aggiunto al gruppo Accesso compatibile di Pre-Windows 2000 con il comando seguente:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    In caso contrario, digitare il comando seguente al prompt dei comandi in un computer controller di dominio e quindi riavviare il computer controller di dominio:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Per altre informazioni sul server di accesso remoto windows NT 4.0 in un dominio di Windows Server 2003, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il server VPN non può comunicare con il server RADIUS configurato.

    Soluzione: se è possibile raggiungere il server RADIUS solo tramite l'interfaccia Internet, eseguire una delle operazioni seguenti:

    • Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1812 (in base a RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). oppure
    • Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1645 (per i server RADIUS meno recenti), per l'autenticazione RADIUS e la porta UDP 1813 (basata su RFC 2139, "Accounting RADIUS"). oppure
    • -oppure- Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1646 (per i server RADIUS meno recenti) per la contabilità RADIUS.

    Per altre informazioni su come aggiungere un filtro pacchetti, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: non è possibile connettersi al server VPN tramite Internet usando l'utilità Ping.exe.

    Soluzione: a causa del filtro di pacchetti PPTP e L2TP su IPSec configurato nell'interfaccia Internet del server VPN, i pacchetti ICMP (Internet Control Message Protocol) usati dal comando ping vengono filtrati. Per attivare il server VPN per rispondere ai pacchetti ICMP (ping), aggiungere un filtro di input e un filtro di output che consenta il traffico per il protocollo IP 1 (traffico ICMP).

    Per altre informazioni su come aggiungere un filtro pacchetti, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

Non è possibile inviare e ricevere dati

  • Causa: l'interfaccia di composizione della richiesta appropriata non è stata aggiunta al protocollo indirizzato.

    Soluzione: aggiungere l'interfaccia di composizione della richiesta appropriata al protocollo indirizzato.

    Per altre informazioni su come aggiungere un'interfaccia di routing, vedere la Guida e il Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: non ci sono route su entrambi i lati della connessione VPN da router a router che supportano lo scambio bidirezionale del traffico.

    Soluzione: a differenza di una connessione VPN di accesso remoto, una connessione VPN da router a router non crea automaticamente una route predefinita. Creare route su entrambi i lati della connessione VPN da router a router in modo che il traffico possa essere instradato da e verso l'altro lato della connessione VPN da router a router.

    È possibile aggiungere manualmente route statiche alla tabella di routing oppure aggiungere route statiche tramite protocolli di routing. Per le connessioni VPN persistenti, è possibile attivare Open Shortest Path First (OSPF) o ROUTING Information Protocol (RIP) attraverso la connessione VPN. Per le connessioni VPN su richiesta, è possibile aggiornare automaticamente le route tramite un aggiornamento rip statico automatico. Per altre informazioni su come aggiungere un protocollo di routing IP, su come aggiungere una route statica e su come eseguire aggiornamenti statici automatici, vedere la Guida online di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: un router bidirezionale avviato, il router di risposta come connessione di accesso remoto sta interpretando la connessione VPN da router a router.

    Soluzione: se il nome utente nelle credenziali del router chiamante viene visualizzato in Client con accesso esterno in Routing e accesso remoto, il router di risposta può interpretare il router chiamante come client di accesso remoto. Verificare che il nome utente nelle credenziali del router chiamante corrisponda al nome di un'interfaccia di composizione richiesta nel router di risposta. Se il chiamante in ingresso è un router, la porta su cui è stata ricevuta la chiamata mostra lo stato Attivo e l'interfaccia di composizione della richiesta corrispondente si trova in uno stato Connesso .

    Per altre informazioni su come controllare lo stato della porta nel router di risposta e su come controllare lo stato dell'interfaccia di composizione della richiesta, vedere la Guida online di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: i filtri dei pacchetti sulle interfacce di composizione su richiesta del router chiamante e del router di risposta impediscono il flusso del traffico.

    Soluzione: verificare che non siano presenti filtri di pacchetto sulle interfacce di composizione su richiesta del router chiamante e del router di risposta che impediscono l'invio o la ricezione del traffico. È possibile configurare ogni interfaccia di composizione della richiesta con filtri di input e input IPX e output IPX per controllare la natura esatta del traffico TCP/IP e IPX consentito all'interno e all'esterno dell'interfaccia di composizione della richiesta.

    Per altre informazioni su come gestire i filtri dei pacchetti, vedere la Guida online di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: i filtri pacchetti nel profilo dei criteri di accesso remoto impediscono il flusso del traffico IP.

    Soluzione: verificare che non siano presenti filtri di pacchetti TCP/IP configurati nelle proprietà del profilo dei criteri di accesso remoto nel server VPN (o nel server RADIUS se viene usato il servizio di autenticazione Internet) che impediscono l'invio o la ricezione del traffico TCP/IP. È possibile usare i criteri di accesso remoto per configurare i filtri dei pacchetti di input e output TCP/IP che controllano la natura esatta del traffico TCP/IP consentito nella connessione VPN. Verificare che i filtri dei pacchetti TCP/IP del profilo non impediscano il flusso del traffico.

    Per altre informazioni su come configurare le opzioni IP, vedere la Guida online di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.