Udostępnij za pośrednictwem

Jak zainstalować i skonfigurować wirtualny serwer sieci prywatnej w systemie Windows Server 2003

W tym artykule krok po kroku opisano sposób instalowania wirtualnej sieci prywatnej (VPN) i tworzenia nowego połączenia sieci VPN na serwerach z systemem Windows Server 2003.

Aby zapoznać się z wersją tego artykułu dla systemu Microsoft Windows XP, zobacz 314076.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 323441

Podsumowanie

Wirtualna sieć prywatna umożliwia łączenie składników sieciowych za pośrednictwem innej sieci, takiej jak Internet. Komputer z systemem Windows Server 2003 może być serwerem dostępu zdalnego, aby inni użytkownicy mogli się z nim połączyć przy użyciu sieci VPN, a następnie zalogować się do sieci i uzyskać dostęp do zasobów udostępnionych. Sieci VPN robią to przez "tunelowanie" przez Internet lub za pośrednictwem innej sieci publicznej w sposób zapewniający takie same zabezpieczenia i funkcje jak sieć prywatna. Dane są wysyłane przez sieć publiczną przy użyciu infrastruktury routingu, ale użytkownikowi wygląda na to, że dane są wysyłane za pośrednictwem dedykowanego łącza prywatnego.

Omówienie sieci VPN

Wirtualna sieć prywatna to sposób łączenia się z siecią prywatną (taką jak sieć biurowa) za pomocą sieci publicznej (takiej jak Internet). Sieć VPN łączy zalety połączenia telefonicznego z serwerem wybierania numerów z łatwością i elastycznością połączenia internetowego. Korzystając z połączenia internetowego, można podróżować na całym świecie i nadal, w większości miejsc, połączyć się z biurem za pomocą lokalnego połączenia z najbliższym numerem telefonu dostępu do Internetu. Jeśli masz szybkie połączenie internetowe (takie jak lub DSL) na komputerze i w biurze, możesz komunikować się z biurem z pełną szybkością Internetu, co jest znacznie szybsze niż każde połączenie telefoniczne korzystające z modemu analogowego. Ta technologia umożliwia przedsiębiorstwu łączenie się z oddziałami lub innymi firmami za pośrednictwem sieci publicznej przy zachowaniu bezpiecznej komunikacji. Połączenie sieci VPN przez Internet logicznie działa jako dedykowany link sieci rozległej (WAN).

Wirtualne sieci prywatne używają uwierzytelnionych linków, aby upewnić się, że tylko autoryzowani użytkownicy mogą łączyć się z siecią. Aby upewnić się, że dane są bezpieczne podczas podróży przez sieć publiczną, połączenie sieci VPN używa protokołu tunelowania punkt-punkt (PPTP) lub Protokołu L2TP (Layer Two Tunneling Protocol) w celu szyfrowania danych.

Składniki sieci VPN

Sieć VPN na serwerach z systemem Windows Server 2003 składa się z serwera sieci VPN, klienta sieci VPN, połączenia sieci VPN (tej części połączenia, w którym dane są szyfrowane) i tunelu (tej części połączenia, w którym dane są hermetyzowane). Tunelowanie jest wykonywane za pomocą jednego z protokołów tunelowania dołączonych do serwerów z systemem Windows Server 2003, z których oba są zainstalowane z routingiem i dostępem zdalnym. Usługa Routing i dostęp zdalny jest instalowana automatycznie podczas instalacji systemu Windows Server 2003. Domyślnie jednak usługa routingu i dostępu zdalnego jest wyłączona.

Dwa protokoły tunelowania dołączone do systemu Windows to:

  • Protokół tunelowania punkt-punkt (PPTP): zapewnia szyfrowanie danych przy użyciu szyfrowania punkt-punkt.
  • Protokół L2TP (Layer Two Tunneling Protocol): zapewnia szyfrowanie, uwierzytelnianie i integralność danych przy użyciu protokołu IPSec.

Połączenie z Internetem musi używać dedykowanej linii, takiej jak T1, Fractional T1 lub Frame Relay. Karta sieci WAN musi być skonfigurowana przy użyciu adresu IP i maski podsieci przypisanej dla domeny lub dostarczonej przez usługodawcę internetowego (ISP). Karta sieci WAN musi być również skonfigurowana jako brama domyślna routera usługodawcy isp.

Uwaga 16.

Aby włączyć sieć VPN, musisz zalogować się przy użyciu konta z uprawnieniami administracyjnymi.

Jak zainstalować i włączyć serwer sieci VPN

Aby zainstalować i włączyć serwer sieci VPN, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Routing i dostęp zdalny.

  2. Kliknij ikonę serwera zgodną z nazwą serwera lokalnego w okienku po lewej stronie konsoli. Jeśli ikona ma czerwone kółko w lewym dolnym rogu, usługa Routing i dostęp zdalny nie została włączona. Jeśli ikona ma zieloną strzałkę wskazującą w lewym dolnym rogu, usługa Routing i dostęp zdalny została włączona. Jeśli wcześniej włączono usługę Routing i dostęp zdalny, możesz ponownie skonfigurować serwer. Aby ponownie skonfigurować serwer:

    1. Kliknij prawym przyciskiem myszy obiekt serwera, a następnie kliknij polecenie Wyłącz routing i dostęp zdalny. Kliknij przycisk Tak , aby kontynuować po wyświetleniu monitu z komunikatem informacyjnym.
    2. Kliknij prawym przyciskiem myszy ikonę serwera, a następnie kliknij polecenie Konfiguruj i włącz routing i dostęp zdalny, aby uruchomić Kreatora instalacji serwera routingu i dostępu zdalnego. Kliknij przycisk Dalej, aby kontynuować.
    3. Kliknij pozycję Dostęp zdalny (dial-up lub VPN), aby włączyć komputery zdalne do wybierania lub nawiązywania połączenia z tą siecią za pośrednictwem Internetu. Kliknij przycisk Dalej, aby kontynuować.

  3. Kliknij, aby wybrać sieć VPN lub dial-up w zależności od roli, którą chcesz przypisać do tego serwera.

  4. W oknie Połączenie sieci VPN kliknij interfejs sieciowy połączony z Internetem, a następnie kliknij przycisk Dalej.

  5. W oknie Przypisywanie adresów IP kliknij przycisk Automatycznie, jeśli serwer DHCP będzie używany do przypisywania adresów do klientów zdalnych, lub kliknij pozycję Z określonego zakresu adresów, jeśli klienci zdalni muszą mieć tylko adres ze wstępnie zdefiniowanej puli. W większości przypadków opcja DHCP jest prostsza do administrowania. Jeśli jednak protokół DHCP nie jest dostępny, musisz określić zakres adresów statycznych. Kliknij przycisk Dalej, aby kontynuować.

  6. Jeśli klikniesz pozycję Z określonego zakresu adresów, zostanie otwarte okno dialogowe Przypisywanie zakresu adresów. Kliknij przycisk Nowy. Wpisz pierwszy adres IP w zakresie adresów, których chcesz użyć w polu Początkowy adres IP. Wpisz ostatni adres IP w zakresie w polu Końcowy adres IP. System Windows oblicza liczbę adresów automatycznie. Kliknij przycisk OK, aby powrócić do okna Przypisania zakresu adresów. Kliknij przycisk Dalej, aby kontynuować.

  7. Zaakceptuj domyślne ustawienie Nie, użyj opcji Routing i dostęp zdalny, aby uwierzytelnić żądania połączeń, a następnie kliknij przycisk Dalej , aby kontynuować. Kliknij przycisk Zakończ , aby włączyć usługę Routing i dostęp zdalny oraz skonfigurować serwer jako serwer dostępu zdalnego.

Jak skonfigurować serwer sieci VPN

Aby kontynuować konfigurowanie serwera sieci VPN zgodnie z wymaganiami, wykonaj następujące kroki.

Jak skonfigurować serwer dostępu zdalnego jako router

Aby serwer dostępu zdalnego prawidłowo przekazywać ruch wewnątrz sieci, należy skonfigurować go jako router ze statycznymi trasami lub protokołami routingu, aby wszystkie lokalizacje w intranecie były dostępne z serwera dostępu zdalnego.

Aby skonfigurować serwer jako router:

  1. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Routing i dostęp zdalny.
  2. Kliknij prawym przyciskiem myszy nazwę serwera, a następnie kliknij polecenie Właściwości.
  3. Kliknij kartę Ogólne, a następnie kliknij, aby wybrać pozycję Router w obszarze Włącz ten komputer jako.
  4. Kliknij pozycję LAN i routing na żądanie, a następnie kliknij przycisk OK , aby zamknąć okno dialogowe Właściwości.

Jak zmodyfikować liczbę równoczesnych połączeń

Liczba połączeń modemu telefonicznego zależy od liczby modemów zainstalowanych na serwerze. Jeśli na przykład na serwerze jest zainstalowany tylko jeden modem, możesz mieć tylko jedno połączenie modemowe naraz.

Liczba połączeń sieci VPN wybierania numerów zależy od liczby równoczesnych użytkowników, na które chcesz zezwolić. Domyślnie po uruchomieniu procedury opisanej w tym artykule zezwalasz na 128 połączeń. Aby zmienić liczbę równoczesnych połączeń, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Routing i dostęp zdalny.
  2. Kliknij dwukrotnie obiekt serwera, kliknij prawym przyciskiem myszy pozycję Porty, a następnie kliknij polecenie Właściwości.
  3. W oknie dialogowym Właściwości portów kliknij pozycję WAN Miniport (PPTP)>Konfiguruj.
  4. W polu Maksymalna liczba portów wpisz liczbę połączeń sieci VPN, które chcesz zezwolić.
  5. Kliknij przycisk OK>, a następnie zamknij pozycję Routing i dostęp zdalny.

Jak zarządzać adresami i serwerami nazw

Serwer sieci VPN musi mieć dostępne adresy IP, aby przypisać je do interfejsu wirtualnego serwera sieci VPN i do klientów sieci VPN podczas fazy negocjacji protokołu IP Control Protocol (IPCP) procesu połączenia. Adres IP przypisany do klienta sieci VPN jest przypisywany do interfejsu wirtualnego klienta sieci VPN.

W przypadku serwerów sieci VPN opartych na systemie Windows Server 2003 adresy IP przypisane do klientów sieci VPN są domyślnie uzyskiwane za pośrednictwem protokołu DHCP. Można również skonfigurować pulę statycznych adresów IP. Serwer sieci VPN musi być również skonfigurowany z serwerami rozpoznawania nazw, zazwyczaj adresami DNS i serwerami WINS, aby przypisać go do klienta sieci VPN podczas negocjacji protokołu IPCP.

Jak zarządzać dostępem

Skonfiguruj właściwości wybierania numerów na kontach użytkowników i zasadach dostępu zdalnego, aby zarządzać dostępem do sieci telefonicznej i połączeń sieci VPN.

Uwaga 16.

Domyślnie użytkownicy nie mają dostępu do sieci telefonicznej.

Dostęp według konta użytkownika

Aby udzielić dostępu telefonicznego do konta użytkownika, jeśli zarządzasz dostępem zdalnym na podstawie użytkownika, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij przycisk Użytkownicy i komputery usługi Active Directory.
  2. Kliknij prawym przyciskiem myszy konto użytkownika, a następnie kliknij polecenie Właściwości.
  3. Kliknij kartę Wybieranie numerów .
  4. Kliknij pozycję Zezwalaj na dostęp , aby udzielić użytkownikowi uprawnień do wybierania numerów. Kliknij przycisk OK.

Dostęp według członkostwa w grupie

Jeśli zarządzasz dostępem zdalnym na podstawie grupy, wykonaj następujące kroki:

  1. Utwórz grupę z członkami, którzy mogą tworzyć połączenia sieci VPN.
  2. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Routing i dostęp zdalny.
  3. W drzewie konsoli rozwiń węzeł Routing i dostęp zdalny, rozwiń nazwę serwera, a następnie kliknij pozycję Zasady dostępu zdalnego.
  4. Kliknij prawym przyciskiem myszy w dowolnym miejscu w okienku po prawej stronie, wskaż polecenie Nowy, a następnie kliknij pozycję Zasady dostępu zdalnego.
  5. Kliknij przycisk Dalej, wpisz nazwę zasad, a następnie kliknij przycisk Dalej.
  6. Kliknij pozycję SIEĆ VPN dla metody dostępu do wirtualnego dostępu prywatnego lub kliknij pozycję Dial-up w celu uzyskania dostępu do połączeń telefonicznych, a następnie kliknij przycisk Dalej.
  7. Kliknij przycisk Dodaj, wpisz nazwę grupy utworzonej w kroku 1, a następnie kliknij przycisk Dalej.
  8. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby zakończyć pracę kreatora.

Jeśli serwer sieci VPN już zezwala na usługi dostępu zdalnego do sieci telefonicznej, nie usuwaj zasad domyślnych. Zamiast tego przenieś ją tak, aby była to ostatnia zasada do oceny.

Jak skonfigurować połączenie sieci VPN z komputera klienckiego

Aby skonfigurować połączenie z siecią VPN, wykonaj następujące kroki. Aby skonfigurować klienta na potrzeby dostępu do wirtualnej sieci prywatnej, wykonaj następujące kroki na stacji roboczej klienta:

Uwaga 16.

Aby wykonać te kroki, musisz zalogować się jako członek grupy Administratorzy.

Ponieważ istnieje wiele wersji systemu Microsoft Windows, poniższe kroki mogą się różnić na poszczególnych komputerach. W takim wypadku, aby wykonać te kroki, należy skorzystać z dokumentacji danego produktu.

  1. Na komputerze klienckim upewnij się, że połączenie z Internetem jest poprawnie skonfigurowane.

  2. Kliknij przycisk Start> Panel sterowania> Sieć Połączenia sieciowe. Kliknij pozycję Utwórz nowe połączenie w obszarze Zadania sieciowe, a następnie kliknij przycisk Dalej.

  3. Kliknij pozycję Połącz z siecią w moim miejscu pracy , aby utworzyć połączenie telefoniczne. Kliknij przycisk Dalej, aby kontynuować.

  4. Kliknij pozycję Połączenie wirtualnej sieci prywatnej, a następnie kliknij przycisk Dalej.

  5. Wpisz opisową nazwę tego połączenia w oknie dialogowym Nazwa firmy, a następnie kliknij przycisk Dalej.

  6. Kliknij przycisk Nie wybieraj połączenia początkowego, jeśli komputer jest trwale połączony z Internetem. Jeśli komputer łączy się z Internetem za pośrednictwem usługodawcy internetowego (ISP), kliknij przycisk Automatycznie wybierz to połączenie początkowe, a następnie kliknij nazwę połączenia z usługodawcą internetowym. Kliknij przycisk Dalej.

  7. Wpisz adres IP lub nazwę hosta komputera serwera sieci VPN (na przykład VPNServer.SampleDomain.com).

  8. Kliknij pozycję Każdy użytkownik, którego użyjesz , jeśli chcesz zezwolić dowolnym użytkownikom, którzy logowali się na stacji roboczej, aby mieć dostęp do tego połączenia telefonicznego. Kliknij pozycję Moje użycie tylko wtedy, gdy chcesz, aby to połączenie było dostępne tylko dla aktualnie zalogowanego użytkownika. Kliknij przycisk Dalej.

  9. Kliknij przycisk Zakończ , aby zapisać połączenie.

  10. Kliknij przycisk Start> Panel sterowania> Sieć Połączenia sieciowe.

  11. Kliknij dwukrotnie nowe połączenie.

  12. Kliknij pozycję Właściwości, aby kontynuować konfigurowanie opcji połączenia. Aby kontynuować konfigurowanie opcji połączenia, wykonaj następujące kroki:

    • Jeśli łączysz się z domeną, kliknij kartę Opcje , a następnie kliknij, aby zaznaczyć pole wyboru Uwzględnij domenę logowania systemu Windows, aby określić, czy zażądać informacji o domenie logowania systemu Windows Server 2003 przed próbą nawiązania połączenia.
    • Jeśli chcesz ponownie zmienić połączenie, jeśli wiersz zostanie porzucony, kliknij kartę Opcje , a następnie kliknij, aby zaznaczyć pole wyboru Redial, jeśli wiersz zostanie porzucony .

Aby użyć połączenia, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż polecenie Połącz z, a następnie kliknij nowe połączenie.

  2. Jeśli obecnie nie masz połączenia z Internetem, system Windows oferuje połączenie z Internetem.

  3. Po nawiązaniu połączenia z Internetem serwer sieci VPN wyświetli monit o podanie nazwy użytkownika i hasła. Wpisz nazwę użytkownika i hasło, a następnie kliknij przycisk Połącz. Zasoby sieciowe muszą być dostępne w taki sam sposób, jak podczas nawiązywania połączenia bezpośrednio z siecią.

    Uwaga 16.

    Aby odłączyć się od sieci VPN, kliknij prawym przyciskiem myszy ikonę połączenia, a następnie kliknij polecenie Rozłącz.

Rozwiązywanie problemów

Rozwiązywanie problemów z sieciami VPN dostępu zdalnego

Nie można ustanowić połączenia sieci VPN dostępu zdalnego

  • Przyczyna: Nazwa komputera klienckiego jest taka sama jak nazwa innego komputera w sieci.

    Rozwiązanie: Sprawdź, czy nazwy wszystkich komputerów w sieci i komputerach łączących się z siecią używają unikatowych nazw komputerów.

  • Przyczyna: Usługa routingu i dostępu zdalnego nie została uruchomiona na serwerze sieci VPN.

    Rozwiązanie: sprawdź stan usługi Routing i dostęp zdalny na serwerze sieci VPN.

    Aby uzyskać więcej informacji na temat monitorowania usługi Routing i dostęp zdalny oraz jak uruchomić i zatrzymać usługę Routing i dostęp zdalny, zobacz Windows Server 2003 Help and Support Center (Centrum pomocy i obsługi technicznej systemu Windows Server 2003). Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Dostęp zdalny nie jest włączony na serwerze sieci VPN.

    Rozwiązanie: włącz dostęp zdalny na serwerze sieci VPN.

    Aby uzyskać więcej informacji na temat włączania serwera dostępu zdalnego, zobacz Centrum pomocy i pomocy technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Porty PPTP lub L2TP nie są włączone dla przychodzących żądań dostępu zdalnego.

    Rozwiązanie: włącz porty PPTP lub L2TP albo oba te porty dla przychodzących żądań dostępu zdalnego.

    Aby uzyskać więcej informacji na temat konfigurowania portów na potrzeby dostępu zdalnego, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Protokoły SIECI LAN używane przez klientów sieci VPN nie są włączone na potrzeby dostępu zdalnego na serwerze sieci VPN.

    Rozwiązanie: włącz protokoły LAN używane przez klientów sieci VPN na potrzeby dostępu zdalnego na serwerze sieci VPN.

    Aby uzyskać więcej informacji na temat wyświetlania właściwości serwera dostępu zdalnego, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Wszystkie porty PPTP lub L2TP na serwerze sieci VPN są już używane przez aktualnie połączonych klientów dostępu zdalnego lub routerów wybierania żądań.

    Rozwiązanie: Sprawdź, czy wszystkie porty PPTP lub L2TP na serwerze sieci VPN są już używane. W tym celu kliknij pozycję Porty w obszarze Routing i dostęp zdalny. Jeśli dozwolona liczba portów PPTP lub L2TP jest niewystarczająca, zmień liczbę portów PPTP lub L2TP, aby zezwolić na więcej połączeń współbieżnych.

    Aby uzyskać więcej informacji na temat dodawania portów PPTP lub L2TP, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Serwer sieci VPN nie obsługuje protokołu tunelowania klienta sieci VPN.

    Domyślnie klienci sieci VPN dostępu zdalnego systemu Windows Server 2003 korzystają z opcji Typ serwera automatycznego, co oznacza, że próbują ustanowić protokół L2TP za pośrednictwem połączenia sieci VPN opartego na protokole IPSec, a następnie próbują ustanowić połączenie sieci VPN oparte na protokole PPTP. Jeśli klienci sieci VPN używają opcji Typu serwera Protokołu TUNELowania punkt-punkt (PPTP) lub Protokołu tunelowania warstwy 2 (L2TP), sprawdź, czy wybrany protokół tunelowania jest obsługiwany przez serwer sieci VPN.

    Domyślnie komputer z systemem Windows Server 2003 Server, a usługa Routing i dostęp zdalny jest serwerem PPTP i L2TP z pięcioma portami L2TP i pięcioma portami PPTP. Aby utworzyć serwer tylko PPTP, ustaw liczbę portów L2TP na zero. Aby utworzyć serwer tylko L2TP, ustaw liczbę portów PPTP na zero.

    Rozwiązanie: Sprawdź, czy skonfigurowano odpowiednią liczbę portów PPTP lub L2TP.

    Aby uzyskać więcej informacji na temat dodawania portów PPTP lub L2TP, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Klient sieci VPN i serwer sieci VPN w połączeniu z zasadami dostępu zdalnego nie są skonfigurowane do używania co najmniej jednej typowej metody uwierzytelniania.

    Rozwiązanie: skonfiguruj klienta sieci VPN i serwer sieci VPN w połączeniu z zasadami dostępu zdalnego, aby użyć co najmniej jednej wspólnej metody uwierzytelniania.

    Aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Klient sieci VPN i serwer sieci VPN w połączeniu z zasadami dostępu zdalnego nie są skonfigurowane do używania co najmniej jednej wspólnej metody szyfrowania.

    Rozwiązanie: Skonfiguruj klienta sieci VPN i serwer sieci VPN w połączeniu z zasadami dostępu zdalnego, aby użyć co najmniej jednej typowej metody szyfrowania.

    Aby uzyskać więcej informacji na temat konfigurowania szyfrowania, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Połączenie sieci VPN nie ma odpowiednich uprawnień za pośrednictwem właściwości wybierania numerów konta użytkownika i zasad dostępu zdalnego.

    Rozwiązanie: Sprawdź, czy połączenie sieci VPN ma odpowiednie uprawnienia za pośrednictwem właściwości wybierania numerów konta użytkownika i zasad dostępu zdalnego. Aby nawiązać połączenie, ustawienia próby połączenia muszą:

    • Dopasuj wszystkie warunki co najmniej jednej zasady dostępu zdalnego.
    • Należy udzielić uprawnień dostępu zdalnego za pośrednictwem konta użytkownika (ustawionego na Zezwalaj na dostęp) lub za pośrednictwem konta użytkownika (ustaw opcję Kontrola dostępu za pośrednictwem zasad dostępu zdalnego) i uprawnienia dostępu zdalnego pasującego zasad dostępu zdalnego (ustaw opcję Udziel uprawnień dostępu zdalnego).
    • Dopasuj wszystkie ustawienia profilu.
    • Dopasuj wszystkie ustawienia właściwości wybierania numerów konta użytkownika.

    Aby uzyskać więcej informacji na temat wprowadzenia do zasad dostępu zdalnego i sposobu akceptowania próby połączenia, zobacz Centrum pomocy i pomocy technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Ustawienia profilu zasad dostępu zdalnego są w konflikcie z właściwościami serwera sieci VPN.

    Właściwości profilu zasad dostępu zdalnego i właściwości serwera sieci VPN zawierają ustawienia dla:

    • Wiele łączy.
    • Protokół alokacji przepustowości (BAP).
    • Protokoły uwierzytelniania.

    Jeśli ustawienia profilu pasujących zasad dostępu zdalnego są w konflikcie z ustawieniami serwera sieci VPN, próba połączenia zostanie odrzucona. Jeśli na przykład pasujący profil zasad dostępu zdalnego określa, że protokół uwierzytelniania extensible Authentication Protocol — Transport Level Security (EAP-TLS) musi być używany, a protokół EAP nie jest włączony na serwerze sieci VPN, próba połączenia zostanie odrzucona.

    Rozwiązanie: Sprawdź, czy ustawienia profilu zasad dostępu zdalnego nie są w konflikcie z właściwościami serwera sieci VPN.

    Aby uzyskać więcej informacji na temat protokołów wielolinkowych, BAP i uwierzytelniania, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Router odpowiedzi nie może zweryfikować poświadczeń routera wywołującego (nazwy użytkownika, hasła i nazwy domeny).

    Rozwiązanie: Sprawdź, czy poświadczenia klienta sieci VPN (nazwa użytkownika, hasło i nazwa domeny) są poprawne i można je zweryfikować przez serwer sieci VPN.

  • Przyczyna: w puli statycznych adresów IP nie ma wystarczającej liczby adresów.

    Rozwiązanie: Jeśli serwer sieci VPN jest skonfigurowany z pulą statycznych adresów IP, sprawdź, czy w puli jest wystarczająca liczba adresów. Jeśli wszystkie adresy w puli statycznej zostały przydzielone do połączonych klientów sieci VPN, serwer sieci VPN nie może przydzielić adresu IP, a próba połączenia zostanie odrzucona. Jeśli przydzielono wszystkie adresy w puli statycznej, zmodyfikuj pulę.

    Aby uzyskać więcej informacji na temat protokołu TCP/IP i dostępu zdalnego oraz sposobu tworzenia puli statycznych adresów IP, zobacz Centrum pomocy i pomocy technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Klient sieci VPN jest skonfigurowany do żądania własnego numeru węzła IPX, a serwer sieci VPN nie jest skonfigurowany do zezwalania klientom IPX na żądanie własnego numeru węzła IPX.

    Rozwiązanie: Skonfiguruj serwer sieci VPN, aby zezwolić klientom IPX na żądanie własnego numeru węzła IPX.

    Aby uzyskać więcej informacji na temat środowiska IPX i dostępu zdalnego, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Serwer sieci VPN jest skonfigurowany z zakresem numerów sieci IPX, które są używane gdzie indziej w sieci IPX.

    Rozwiązanie: Skonfiguruj serwer sieci VPN z zakresem numerów sieci IPX unikatowych dla sieci IPX.

    Aby uzyskać więcej informacji na temat środowiska IPX i dostępu zdalnego, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Dostawca uwierzytelniania serwera sieci VPN jest nieprawidłowo skonfigurowany.

    Rozwiązanie: Sprawdź konfigurację dostawcy uwierzytelniania. Serwer sieci VPN można skonfigurować do uwierzytelniania poświadczeń klienta sieci VPN przy użyciu systemu Windows Server 2003 lub uwierzytelniania zdalnego połączenia telefonicznego (RADIUS).

    Aby uzyskać więcej informacji na temat dostawców uwierzytelniania i księgowości, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003 oraz sposób korzystania z uwierzytelniania usługi RADIUS. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Serwer sieci VPN nie może uzyskać dostępu do usługi Active Directory.

    Rozwiązanie: W przypadku serwera sieci VPN, który jest serwerem członkowskim w trybie mieszanym lub natywnym domenie systemu Windows Server 2003 skonfigurowanej do uwierzytelniania systemu Windows Server 2003, sprawdź, czy:

    • Grupa zabezpieczeń SERWERY RAS i IAS istnieje. Jeśli tak nie jest, utwórz grupę i ustaw typ grupy na Zabezpieczenia i zakres grupy na Domena lokalna.

    • Grupa zabezpieczeń SERWERY RAS i IAS ma uprawnienie odczyt do obiektu KONTROLI dostępu do serwerów RAS i IAS.

    • Konto komputera serwera sieci VPN jest członkiem grupy zabezpieczeń RAS i IAS Servers . Możesz użyć netsh ras show registeredserver polecenia , aby wyświetlić bieżącą rejestrację. Możesz użyć netsh ras add registeredserver polecenia , aby zarejestrować serwer w określonej domenie.

      Jeśli dodasz (lub usuniesz) komputer serwera sieci VPN do grupy zabezpieczeń RAS i serwerów IAS, zmiana nie zostanie natychmiast w życie (ze względu na sposób buforowania informacji usługi Active Directory przez system Windows Server 2003). Aby natychmiast zmienić tę zmianę, uruchom ponownie komputer serwera sieci VPN.

    • Serwer sieci VPN jest członkiem domeny.

    Aby uzyskać więcej informacji na temat dodawania grupy, weryfikowania uprawnień dla grupy zabezpieczeń RAS i IAS oraz poleceń netsh dotyczących dostępu zdalnego, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Serwer sieci VPN oparty na systemie Windows NT 4.0 nie może zweryfikować żądań połączenia.

    Rozwiązanie: Jeśli klienci sieci VPN są wybierani do serwera sieci VPN z systemem Windows NT 4.0, który jest członkiem domeny systemu Windows Server 2003 w trybie mieszanym, sprawdź, czy grupa Wszyscy jest dodawana do grupy Dostęp zgodny z systemem Windows 2000 za pomocą następującego polecenia:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Jeśli nie, wpisz następujące polecenie w wierszu polecenia na komputerze kontrolera domeny, a następnie uruchom ponownie komputer kontrolera domeny:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Aby uzyskać więcej informacji o serwerze dostępu zdalnego systemu Windows NT 4.0 w domenie systemu Windows Server 2003, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Serwer sieci VPN nie może komunikować się ze skonfigurowanym serwerem RADIUS.

    Rozwiązanie: Jeśli możesz nawiązać połączenie z serwerem RADIUS tylko za pośrednictwem interfejsu internetowego, wykonaj jedną z następujących czynności:

    • Dodaj filtr wejściowy i filtr wyjściowy do interfejsu internetowego dla portu UDP 1812 (na podstawie protokołu RFC 2138 "Remote Authentication Dial-In User Service (RADIUS)"). — lub —
    • Dodaj filtr wejściowy i filtr wyjściowy do interfejsu internetowego dla portu UDP 1645 (dla starszych serwerów RADIUS) dla uwierzytelniania usługi RADIUS i portu UDP 1813 (na podstawie RFC 2139"Ewidencjonowanie aktywności usługi RADIUS"). — lub —
    • -or- Dodaj filtr wejściowy i filtr wyjściowy do interfejsu internetowego dla portu UDP 1646 (dla starszych serwerów RADIUS) dla ewidencjonowania aktywności usługi RADIUS.

    Aby uzyskać więcej informacji na temat dodawania filtru pakietów, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Nie można nawiązać połączenia z serwerem sieci VPN przez Internet przy użyciu narzędzia Ping.exe.

    Rozwiązanie: Z powodu filtrowania pakietów PPTP i L2TP za pośrednictwem protokołu IPSec skonfigurowanego w interfejsie internetowym serwera sieci VPN pakiety protokołu ICMP (Internet Control Message Protocol) używane przez polecenie ping są filtrowane. Aby włączyć serwer sieci VPN w celu reagowania na pakiety ICMP (ping), dodaj filtr wejściowy i filtr wyjściowy, który zezwala na ruch dla protokołu IP 1 (ICMP).

    Aby uzyskać więcej informacji na temat dodawania filtru pakietów, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

Nie można wysyłać i odbierać danych

  • Przyczyna: Odpowiedni interfejs wybierania żądań nie został dodany do kierowanego protokołu.

    Rozwiązanie: Dodaj odpowiedni interfejs wybierania numeru żądania do kierowanego protokołu.

    Aby uzyskać więcej informacji na temat dodawania interfejsu routingu, zobacz Centrum pomocy i obsługi technicznej systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Po obu stronach połączenia sieci VPN router-router nie ma tras obsługujących dwukierunkową wymianę ruchu.

    Rozwiązanie: W przeciwieństwie do połączenia sieci VPN dostępu zdalnego połączenie sieci VPN router-router nie tworzy automatycznie trasy domyślnej. Utwórz trasy po obu stronach połączenia sieci VPN router-router, aby ruch mógł być kierowany do i z drugiej strony połączenia sieci VPN router-router.

    Możesz ręcznie dodać trasy statyczne do tabeli routingu lub dodać trasy statyczne za pomocą protokołów routingu. W przypadku trwałych połączeń sieci VPN można włączyć opcję Open Shortest Path First (OSPF) lub Routing Information Protocol (RIP) w połączeniu sieci VPN. W przypadku połączeń sieci VPN na żądanie można automatycznie aktualizować trasy za pośrednictwem automatycznej statycznej aktualizacji RIP. Aby uzyskać więcej informacji o dodawaniu protokołu routingu IP, dodawaniu trasy statycznej i sposobie wykonywania aktualizacji automatycznych statycznych, zobacz Pomoc online systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Zainicjowane dwukierunkowo router odpowiedzi jako połączenie dostępu zdalnego interpretuje połączenie sieci VPN router-router.

    Rozwiązanie: Jeśli nazwa użytkownika w poświadczeniach routera wywołującego pojawi się w obszarze Klienci wybierania numerów w routingu i dostępie zdalnym, router odpowiedzi może interpretować router wywołujący jako klient dostępu zdalnego. Sprawdź, czy nazwa użytkownika w poświadczeniach routera wywołującego jest zgodna z nazwą interfejsu wybierania numerów na żądanie na routerze odpowiedzi. Jeśli obiekt wywołujący przychodzący jest routerem, port, na którym odebrano wywołanie, pokazuje stan Aktywne , a odpowiedni interfejs wybierania numeru żądania jest w stanie Połączono .

    Aby uzyskać więcej informacji na temat sprawdzania stanu portu na routerze odpowiedzi i sprawdzania stanu interfejsu wybierania na żądanie, zobacz Pomoc online systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Filtry pakietów w interfejsach wybierania na żądanie routera wywołującego i routera odpowiedzi uniemożliwiają przepływ ruchu.

    Rozwiązanie: Sprawdź, czy nie ma filtrów pakietów dla interfejsów wybierania na żądanie routera wywołującego i routera odpowiedzi, które uniemożliwiają wysyłanie lub odbieranie ruchu. Każdy interfejs wybierania numerów na żądanie można skonfigurować za pomocą filtrów wejściowych i wyjściowych IP i IPX ip, aby kontrolować dokładny charakter ruchu TCP/IP i IPX, który jest dozwolony do i z interfejsu wybierania numeru na żądanie.

    Aby uzyskać więcej informacji na temat zarządzania filtrami pakietów, zobacz Pomoc online systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.

  • Przyczyna: Filtry pakietów w profilu zasad dostępu zdalnego uniemożliwiają przepływ ruchu IP.

    Rozwiązanie: Sprawdź, czy nie ma skonfigurowanych filtrów pakietów TCP/IP we właściwościach profilu zasad dostępu zdalnego na serwerze sieci VPN (lub serwerze RADIUS, jeśli jest używana usługa uwierzytelniania internetowego), które uniemożliwiają wysyłanie lub odbieranie ruchu TCP/IP. Za pomocą zasad dostępu zdalnego można skonfigurować filtry pakietów wejściowych TCP/IP i wyjściowych, które kontrolują dokładny charakter ruchu TCP/IP dozwolonego w połączeniu sieci VPN. Sprawdź, czy filtry pakietów TCP/IP profilu nie uniemożliwiają przepływu ruchu.

    Aby uzyskać więcej informacji na temat konfigurowania opcji adresów IP, zobacz Pomoc online systemu Windows Server 2003. Kliknij przycisk Start , aby uzyskać dostęp do Centrum pomocy i obsługi technicznej systemu Windows Server 2003.