Compartilhar via

Como instalar e configurar um servidor de rede virtual privada no Windows Server 2003

Este artigo passo a passo descreve como instalar a VPN (rede virtual privada) e como criar uma nova conexão VPN em servidores que executam o Windows Server 2003.

Para obter uma versão deste artigo para o Microsoft Windows XP, consulte 314076.

Aplica-se a: Windows Server 2003
Número original da base de conhecimento: 323441

Resumo

Com uma rede virtual privada, você pode conectar componentes de rede por meio de outra rede, como a Internet. Você pode tornar seu computador baseado no Windows Server 2003 um servidor de acesso remoto para que outros usuários possam se conectar a ele usando VPN e, em seguida, fazer logon na rede e acessar recursos compartilhados. As VPNs fazem isso "tunelando" pela Internet ou por outra rede pública de uma maneira que forneça a mesma segurança e recursos de uma rede privada. Os dados são enviados pela rede pública usando sua infraestrutura de roteamento, mas para o usuário, parece que os dados são enviados por um link privado dedicado.

Visão geral da VPN

Uma rede privada virtual é um meio de se conectar a uma rede privada (como a rede do escritório) por meio de uma rede pública (como a Internet). Uma VPN combina as virtudes de uma conexão dial-up com um servidor dial-up com a facilidade e flexibilidade de uma conexão com a Internet. Ao usar uma conexão com a Internet, você pode viajar pelo mundo e ainda, na maioria dos lugares, conectar-se ao seu escritório com uma chamada local para o número de telefone de acesso à Internet mais próximo. Se você tiver uma conexão de Internet de alta velocidade (como cabo ou DSL) em seu computador e em seu escritório, poderá se comunicar com seu escritório em velocidade máxima da Internet, que é muito mais rápida do que qualquer conexão dial-up que use um modem analógico. Essa tecnologia permite que uma empresa se conecte a suas filiais ou a outras empresas por meio de uma rede pública, mantendo comunicações seguras. A conexão VPN na Internet opera logicamente como um link de rede de longa distância (WAN) dedicado.

As redes virtuais privadas usam links autenticados para garantir que apenas usuários autorizados possam se conectar à sua rede. Para garantir que os dados estejam seguros à medida que trafegam pela rede pública, uma conexão VPN usa o PPTP (Point-to-Point Tunneling Protocol) ou o L2TP (Layer Two Tunneling Protocol) para criptografar os dados.

Componentes de uma VPN

Uma VPN em servidores que executam o Windows Server 2003 é composta por um servidor VPN, um cliente VPN, uma conexão VPN (a parte da conexão na qual os dados são criptografados) e o túnel (a parte da conexão na qual os dados são encapsulados). O túnel é concluído por meio de um dos protocolos de túnel incluídos nos servidores que executam o Windows Server 2003, ambos instalados com o Roteamento e Acesso Remoto. O serviço de Roteamento e Acesso Remoto é instalado automaticamente durante a instalação do Windows Server 2003. Por padrão, no entanto, o serviço de Roteamento e Acesso Remoto está desativado.

Os dois protocolos de encapsulamento incluídos no Windows são:

  • PPTP (Point-to-Point Tunneling Protocol): fornece criptografia de dados usando a criptografia ponto a ponto da Microsoft.
  • Layer Two Tunneling Protocol (L2TP): Fornece criptografia, autenticação e integridade de dados usando IPSec.

Sua conexão com a Internet deve usar uma linha dedicada, como T1, T1 fracionário ou Frame Relay. O adaptador WAN deve ser configurado com o endereço IP e a máscara de sub-rede atribuídos ao seu domínio ou fornecidos por um provedor de serviços de Internet (ISP). O adaptador WAN também deve ser configurado como o gateway padrão do roteador ISP.

Observação

Para ativar a VPN, você deve estar conectado usando uma conta que tenha direitos administrativos.

Como instalar e ativar um servidor VPN

Para instalar e ativar um servidor VPN, siga estas etapas:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.

  2. Clique no ícone do servidor que corresponde ao nome do servidor local no painel esquerdo do console. Se o ícone tiver um círculo vermelho no canto inferior esquerdo, o serviço de Roteamento e Acesso Remoto não foi ativado. Se o ícone tiver uma seta verde apontando para cima no canto inferior esquerdo, o serviço de Roteamento e Acesso Remoto foi ativado. Se o serviço de Roteamento e Acesso Remoto foi ativado anteriormente, talvez você queira reconfigurar o servidor. Para reconfigurar o servidor:

    1. Clique com o botão direito do mouse no objeto do servidor e clique em Desabilitar Roteamento e Acesso Remoto. Clique em Sim para continuar quando for solicitada uma mensagem informativa.
    2. Clique com o botão direito do mouse no ícone do servidor e clique em Configurar e Habilitar Roteamento e Acesso Remoto para iniciar o Assistente de Configuração do Servidor de Roteamento e Acesso Remoto. Clique em Avançar para continuar.
    3. Clique em Acesso remoto (dial-up ou VPN) para ativar computadores remotos para discar ou conectar-se a esta rede pela Internet. Clique em Avançar para continuar.

  3. Clique para selecionar VPN ou Dial-up , dependendo da função que você pretende atribuir a este servidor.

  4. Na janela Conexão VPN, clique no adaptador de rede conectado à Internet e clique em Avançar.

  5. Na janela Atribuição de Endereço IP, clique em Automaticamente se um servidor DHCP for usado para atribuir endereços a clientes remotos ou clique em De um intervalo especificado de endereços se os clientes remotos precisarem receber apenas um endereço de um pool predefinido. Na maioria dos casos, a opção DHCP é mais simples de administrar. No entanto, se o DHCP não estiver disponível, você deverá especificar um intervalo de endereços estáticos. Clique em Avançar para continuar.

  6. Se você clicou em De um intervalo especificado de endereços, a caixa de diálogo Atribuição de Intervalo de Endereços será aberta. Clique em Novo. Digite o primeiro endereço IP no intervalo de endereços que você deseja usar na caixa Endereço IP inicial. Digite o último endereço IP no intervalo na caixa Endereço IP final. O Windows calcula o número de endereços automaticamente. Clique em OK para retornar à janela Atribuição de Intervalo de Endereços . Clique em Avançar para continuar.

  7. Aceite a configuração padrão de Não, use Roteamento e Acesso Remoto para autenticar solicitações de conexão e clique em Avançar para continuar. Clique em Concluir para ativar o serviço de Roteamento e Acesso Remoto e configurar o servidor como um servidor de Acesso Remoto.

Como configurar o servidor VPN

Para continuar a configurar o servidor VPN conforme necessário, siga estas etapas.

Como configurar o servidor de acesso remoto como um roteador

Para que o servidor de acesso remoto encaminhe o tráfego corretamente dentro da rede, você deve configurá-lo como um roteador com rotas estáticas ou protocolos de roteamento, para que todos os locais na intranet possam ser acessados a partir do servidor de acesso remoto.

Para configurar o servidor como um roteador:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.
  2. Clique com o botão direito do mouse no nome do servidor e clique em Propriedades.
  3. Clique na guia Geral e, em seguida, clique para selecionar Roteador em Habilitar este computador como um.
  4. Clique em LAN e roteamento de discagem por demanda e clique em OK para fechar a caixa de diálogo Propriedades.

Como modificar o número de conexões simultâneas

O número de conexões de modem dial-up depende do número de modems instalados no servidor. Por exemplo, se você tiver apenas um modem instalado no servidor, poderá ter apenas uma conexão de modem por vez.

O número de conexões VPN dial-up depende do número de usuários simultâneos que você deseja permitir. Por padrão, ao executar o procedimento descrito neste artigo, você permite 128 conexões. Para alterar o número de conexões simultâneas, siga estas etapas:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.
  2. Clique duas vezes no objeto do servidor, clique com o botão direito do mouse em Portas e clique em Propriedades.
  3. Na caixa de diálogo Propriedades de portas, clique em Miniporta WAN (PPTP)>Configurar.
  4. Na caixa Máximo de portas, digite o número de conexões VPN que você deseja permitir.
  5. Clique em OK>OK e feche Roteamento e Acesso Remoto.

Como gerenciar endereços e servidores de nomes

O servidor VPN deve ter endereços IP disponíveis para atribuí-los à interface virtual do servidor VPN e aos clientes VPN durante a fase de negociação do protocolo IPCP (IP Control Protocol) do processo de conexão. O endereço IP atribuído ao cliente VPN é atribuído à interface virtual do cliente VPN.

Para servidores VPN baseados no Windows Server 2003, os endereços IP atribuídos aos clientes VPN são obtidos por meio do DHCP por padrão. Você também pode configurar um pool de endereços IP estáticos. O servidor VPN também deve ser configurado com servidores de resolução de nomes, normalmente endereços de servidor DNS e WINS, para atribuir ao cliente VPN durante a negociação do IPCP.

Como gerenciar o acesso

Configure as propriedades de discagem em contas de usuário e diretivas de acesso remoto para gerenciar o acesso para redes dial-up e conexões VPN.

Observação

Por padrão, os usuários têm acesso negado à rede dial-up.

Acesso por conta de usuário

Para conceder acesso discado a uma conta de usuário se você estiver gerenciando o acesso remoto por usuário, siga estas etapas:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Usuários e Computadores do Active Directory.
  2. Clique com o botão direito do mouse na conta de usuário e clique em Propriedades.
  3. Clique na guia Discar .
  4. Clique em Permitir acesso para conceder ao usuário permissão para discar. Clique em OK.

Acesso por associação de grupo

Se você gerencia o acesso remoto em grupo, siga estas etapas:

  1. Crie um grupo com membros que têm permissão para criar conexões VPN.
  2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.
  3. Na árvore de console, expanda Roteamento e Acesso Remoto, expanda o nome do servidor e clique em Diretivas de Acesso Remoto.
  4. Clique com o botão direito do mouse em qualquer lugar no painel direito, aponte para Novo e clique em Diretiva de Acesso Remoto.
  5. Clique em Avançar, digite o nome da política e clique em Avançar.
  6. Clique em VPN para o método de acesso Virtual Private Access ou clique em Dial-up para acesso dial-up e clique em Avançar.
  7. Clique em Adicionar, digite o nome do grupo que você criou na etapa 1 e clique em Avançar.
  8. Siga as instruções na tela para concluir o assistente.

Se o servidor VPN já permitir serviços de acesso remoto de rede dial-up, não exclua a diretiva padrão. Em vez disso, mova-o para que seja a última política a ser avaliada.

Como configurar uma conexão VPN de um computador cliente

Para configurar uma conexão com uma VPN, siga estas etapas. Para configurar um cliente para acesso à rede virtual privada, siga estas etapas na estação de trabalho do cliente:

Observação

Você deve estar conectado como membro do grupo Administradores para seguir estas etapas.

Como há diversas versões do Microsoft Windows, as seguintes etapas podem ser diferentes no computador. Se esse for o caso, consulte a documentação do produto para concluir essas etapas.

  1. No computador cliente, confirme se a conexão com a Internet está configurada corretamente.

  2. Clique em Iniciar>Conexões de Rede do Painel>de Controle. Clique em Criar uma nova conexão em Tarefas de Rede e clique em Avançar.

  3. Clique em Conectar-se à rede no meu local de trabalho para criar a conexão dial-up. Clique em Avançar para continuar.

  4. Clique em Conexão de Rede Virtual Privada e clique em Avançar.

  5. Digite um nome descritivo para essa conexão na caixa de diálogo Nome da empresa e clique em Avançar.

  6. Clique em Não discar a conexão inicial se o computador estiver permanentemente conectado à Internet. Se o computador se conectar à Internet por meio de um ISP (Provedor de Serviços de Internet), clique em Discar automaticamente esta conexão inicial e, em seguida, clique no nome da conexão com o ISP. Clique em Avançar.

  7. Digite o endereço IP ou o nome do host do computador servidor VPN (por exemplo, VPNServer.SampleDomain.com).

  8. Clique em Uso de qualquer pessoa se desejar permitir que qualquer usuário que faça logon na estação de trabalho tenha acesso a essa conexão dial-up. Clique em Meu uso somente se desejar que essa conexão esteja disponível apenas para o usuário conectado no momento. Clique em Avançar.

  9. Clique em Concluir para salvar a conexão.

  10. Clique em Iniciar>Conexões de Rede do Painel>de Controle.

  11. Clique duas vezes na nova conexão.

  12. Clique em Propriedades para continuar a configurar as opções para a conexão. Para continuar a configurar as opções para a conexão, siga estas etapas:

    • Se você estiver se conectando a um domínio, clique na guia Opções e marque a caixa de seleção Incluir domínio de logon do Windows para especificar se deseja solicitar informações de domínio de logon do Windows Server 2003 antes de tentar se conectar.
    • Se você quiser que a conexão seja rediscada se a linha for descartada, clique na guia Opções e clique para marcar a caixa de seleção Rediscar se a linha for descartada .

Para usar a conexão, siga estas etapas:

  1. Clique em Iniciar, aponte para Conectar a e clique na nova conexão.

  2. Se você não tiver uma conexão com a Internet no momento, o Windows se oferecerá para se conectar à Internet.

  3. Quando a conexão com a Internet é feita, o servidor VPN solicita seu nome de usuário e senha. Digite seu nome de usuário e senha e clique em Conectar. Seus recursos de rede devem estar disponíveis para você da mesma forma que quando você se conecta diretamente à rede.

    Observação

    Para se desconectar da VPN, clique com o botão direito do mouse no ícone de conexão e clique em Desconectar.

Solução de problemas

Solução de problemas de VPNs de acesso remoto

Não é possível estabelecer uma conexão VPN de acesso remoto

  • Causa: O nome do computador cliente é o mesmo que o nome de outro computador na rede.

    Solução: verifique se os nomes de todos os computadores na rede e os computadores que se conectam à rede estão usando nomes de computador exclusivos.

  • Causa: o serviço de Roteamento e Acesso Remoto não é iniciado no servidor VPN.

    Solução: verifique o estado do serviço de Roteamento e Acesso Remoto no servidor VPN.

    Para obter mais informações sobre como monitorar o serviço de Roteamento e Acesso Remoto e como iniciar e parar o serviço de Roteamento e Acesso Remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o acesso remoto não está ativado no servidor VPN.

    Solução: ative o acesso remoto no servidor VPN.

    Para obter mais informações sobre como ativar o servidor de acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: as portas PPTP ou L2TP não estão ativadas para solicitações de acesso remoto de entrada.

    Solução: ative as portas PPTP ou L2TP, ou ambas, para solicitações de acesso remoto de entrada.

    Para obter mais informações sobre como configurar portas para acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: os protocolos de LAN usados pelos clientes VPN não estão ativados para acesso remoto no servidor VPN.

    Solução: ative os protocolos de LAN usados pelos clientes VPN para acesso remoto no servidor VPN.

    Para obter mais informações sobre como exibir as propriedades do servidor de acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: todas as portas PPTP ou L2TP no servidor VPN já estão sendo usadas por clientes de acesso remoto ou roteadores de discagem por demanda conectados no momento.

    Solução: verifique se todas as portas PPTP ou L2TP no servidor VPN já estão sendo usadas. Para fazer isso, clique em Portas em Roteamento e Acesso Remoto. Se o número de portas PPTP ou L2TP permitidas não for alto o suficiente, altere o número de portas PPTP ou L2TP para permitir mais conexões simultâneas.

    Para obter mais informações sobre como adicionar portas PPTP ou L2TP, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o servidor VPN não dá suporte ao protocolo de encapsulamento do cliente VPN.

    Por padrão, os clientes VPN de acesso remoto do Windows Server 2003 usam a opção Tipo de servidor automático, o que significa que eles tentam estabelecer uma conexão VPN baseada em L2TP sobre IPSec primeiro e, em seguida, tentam estabelecer uma conexão VPN baseada em PPTP. Se os clientes VPN usarem a opção de tipo de servidor PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer-2 Tunneling Protocol), verifique se o protocolo de encapsulamento selecionado é suportado pelo servidor VPN.

    Por padrão, um computador que executa o Windows Server 2003 Server e o serviço de Roteamento e Acesso Remoto é um servidor PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um servidor somente PPTP, defina o número de portas L2TP como zero. Para criar um servidor somente L2TP, defina o número de portas PPTP como zero.

    Solução: verifique se o número apropriado de portas PPTP ou L2TP está configurado.

    Para obter mais informações sobre como adicionar portas PPTP ou L2TP, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o cliente VPN e o servidor VPN em conjunto com uma diretiva de acesso remoto não estão configurados para usar pelo menos um método de autenticação comum.

    Solução: configure o cliente VPN e o servidor VPN em conjunto com uma diretiva de acesso remoto para usar pelo menos um método de autenticação comum.

    Para obter mais informações sobre como configurar a autenticação, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o cliente VPN e o servidor VPN em conjunto com uma diretiva de acesso remoto não estão configurados para usar pelo menos um método de criptografia comum.

    Solução: configure o cliente VPN e o servidor VPN em conjunto com uma diretiva de acesso remoto para usar pelo menos um método de criptografia comum.

    Para obter mais informações sobre como configurar a criptografia, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: a conexão VPN não tem as permissões apropriadas por meio das propriedades de discagem da conta de usuário e das diretivas de acesso remoto.

    Solução: verifique se a conexão VPN tem as permissões apropriadas por meio das propriedades de discagem da conta de usuário e das diretivas de acesso remoto. Para que a conexão seja estabelecida, as configurações da tentativa de conexão devem:

    • Corresponder a todas as condições de pelo menos uma diretiva de acesso remoto.
    • Receber permissão de acesso remoto por meio da conta de usuário (definida como Permitir acesso) ou por meio da conta de usuário (definida como Controlar acesso por meio da Diretiva de Acesso Remoto) e a permissão de acesso remoto da diretiva de acesso remoto correspondente (definida como Conceder permissão de acesso remoto).
    • Corresponda a todas as configurações do perfil.
    • Corresponda a todas as configurações das propriedades de discagem da conta de usuário.

    Para obter mais informações sobre uma introdução às diretivas de acesso remoto e como aceitar uma tentativa de conexão, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: as configurações do perfil de diretiva de acesso remoto estão em conflito com as propriedades do servidor VPN.

    As propriedades do perfil de diretiva de acesso remoto e as propriedades do servidor VPN contêm configurações para:

    • Ligação múltipla.
    • Protocolo de alocação de largura de banda (BAP).
    • Protocolos de autenticação.

    Se as configurações do perfil da diretiva de acesso remoto correspondente estiverem em conflito com as configurações do servidor VPN, a tentativa de conexão será rejeitada. Por exemplo, se o perfil de diretiva de acesso remoto correspondente especificar que o protocolo de autenticação EAP-TLS (Extensible Authentication Protocol - Transport Level Security) deve ser usado e o EAP não estiver habilitado no servidor VPN, a tentativa de conexão será rejeitada.

    Solução: verifique se as configurações do perfil de diretiva de acesso remoto não estão em conflito com as propriedades do servidor VPN.

    Para obter mais informações sobre protocolos de autenticação múltipla, BAP e multilink, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o roteador de resposta não pode validar as credenciais do roteador de chamada (nome de usuário, senha e nome de domínio).

    Solução: verifique se as credenciais do cliente VPN (nome de usuário, senha e nome de domínio) estão corretas e podem ser validadas pelo servidor VPN.

  • Causa: não há endereços suficientes no pool de endereços IP estáticos.

    Solução: se o servidor VPN estiver configurado com um pool de endereços IP estáticos, verifique se há endereços suficientes no pool. Se todos os endereços no pool estático tiverem sido alocados para clientes VPN conectados, o servidor VPN não poderá alocar um endereço IP e a tentativa de conexão será rejeitada. Se todos os endereços no pool estático tiverem sido alocados, modifique o pool.

    Para obter mais informações sobre TCP/IP e acesso remoto e como criar um pool de endereços IP estáticos, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o cliente VPN está configurado para solicitar seu próprio número de nó IPX e o servidor VPN não está configurado para permitir que os clientes IPX solicitem seu próprio número de nó IPX.

    Solução: configure o servidor VPN para permitir que os clientes IPX solicitem seu próprio número de nó IPX.

    Para obter mais informações sobre IPX e acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o servidor VPN está configurado com um intervalo de números de rede IPX que estão sendo usados em outro lugar na rede IPX.

    Solução: configure o servidor VPN com um intervalo de números de rede IPX exclusivo para sua rede IPX.

    Para obter mais informações sobre IPX e acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o provedor de autenticação do servidor VPN está configurado incorretamente.

    Solução: verifique a configuração do provedor de autenticação. Você pode configurar o servidor VPN para usar o Windows Server 2003 ou o RADIUS (Remote Authentication Dial-In User Service) para autenticar as credenciais do cliente VPN.

    Para obter mais informações sobre provedores de autenticação e estatística, consulte o Centro de Ajuda e Suporte do Windows Server 2003 e como usar a autenticação RADIUS. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o servidor VPN não pode acessar o Active Directory.

    Solução: para um servidor VPN que seja um servidor membro em um domínio do Windows Server 2003 de modo misto ou nativo configurado para autenticação do Windows Server 2003, verifique se:

    • O grupo de segurança Servidores RAS e IAS existe. Caso contrário, crie o grupo e defina o tipo de grupo como Segurança e o escopo do grupo como Domínio local.

    • O grupo de segurança Servidores RAS e IAS tem permissão Leitura para o objeto Verificação de Acesso aos Servidores RAS e IAS.

    • A conta de computador do computador servidor VPN é membro do grupo de segurança Servidores RAS e IAS. Você pode usar o netsh ras show registeredserver comando para exibir o registro atual. Você pode usar o netsh ras add registeredserver comando para registrar o servidor em um domínio especificado.

      Se você adicionar (ou remover) o computador servidor VPN ao grupo de segurança Servidores RAS e IAS, a alteração não entrará em vigor imediatamente (devido à maneira como o Windows Server 2003 armazena em cache as informações do Active Directory). Para efetuar essa alteração imediatamente, reinicie o computador do servidor VPN.

    • O servidor VPN é um membro do domínio.

    Para obter mais informações sobre como adicionar um grupo, como verificar permissões para o grupo de segurança RAS e IAS e sobre netsh comandos para acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: um servidor VPN baseado no Windows NT 4.0 não pode validar solicitações de conexão.

    Solução: se os clientes VPN estiverem discando para um servidor VPN que executa o Windows NT 4.0 que seja membro de um domínio de modo misto do Windows Server 2003, verifique se o grupo Todos foi adicionado ao grupo Acesso Compatível com Pré-Windows 2000 com o seguinte comando:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Caso contrário, digite o seguinte comando em um prompt de comando em um computador controlador de domínio e reinicie o computador controlador de domínio:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Para obter mais informações sobre o servidor de acesso remoto do Windows NT 4.0 em um domínio do Windows Server 2003, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o servidor VPN não pode se comunicar com o servidor RADIUS configurado.

    Solução: se você puder acessar o servidor RADIUS somente por meio da interface da Internet, siga um destes procedimentos:

    • Adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1812 (com base no RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). -ou-
    • Adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1645 (para servidores RADIUS mais antigos), para autenticação RADIUS e porta UDP 1813 (com base na RFC 2139, "Contabilidade RADIUS"). -ou-
    • -ou- Adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1646 (para servidores RADIUS mais antigos) para contabilidade RADIUS.

    Para obter mais informações sobre como adicionar um filtro de pacotes, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: Não é possível conectar-se ao servidor VPN pela Internet usando o utilitário Ping.exe.

    Solução: devido à filtragem de pacotes PPTP e L2TP sobre IPSec configurada na interface da Internet do servidor VPN, os pacotes ICMP usados pelo comando ping são filtrados. Para ativar o servidor VPN para responder a pacotes ICMP (ping), adicione um filtro de entrada e um filtro de saída que permitam o tráfego para o protocolo IP 1 (tráfego ICMP).

    Para obter mais informações sobre como adicionar um filtro de pacotes, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

Não é possível enviar e receber dados

  • Causa: a interface de discagem por demanda apropriada não foi adicionada ao protocolo que está sendo roteado.

    Solução: adicione a interface de discagem por demanda apropriada ao protocolo que está sendo roteado.

    Para obter mais informações sobre como adicionar uma interface de roteamento, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: não há rotas em ambos os lados da conexão VPN de roteador a roteador que ofereçam suporte à troca bidirecional de tráfego.

    Solução: ao contrário de uma conexão VPN de acesso remoto, uma conexão VPN de roteador a roteador não cria automaticamente uma rota padrão. Crie rotas em ambos os lados da conexão VPN de roteador a roteador para que o tráfego possa ser roteado de e para o outro lado da conexão VPN de roteador a roteador.

    Você pode adicionar rotas estáticas manualmente à tabela de roteamento ou pode adicionar rotas estáticas por meio de protocolos de roteamento. Para conexões VPN persistentes, você pode ativar o OSPF (Open Shortest Path First) ou o RIP (Routing Information Protocol) na conexão VPN. Para conexões VPN sob demanda, você pode atualizar automaticamente as rotas por meio de uma atualização de RIP autoestática. Para obter mais informações sobre como adicionar um protocolo de roteamento IP, como adicionar uma rota estática e como executar atualizações estáticas automáticas, consulte a Ajuda online do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: Iniciado bidirecionalmente, o roteador de resposta como uma conexão de acesso remoto está interpretando a conexão VPN de roteador a roteador.

    Solução: Se o nome de usuário nas credenciais do roteador de chamada aparecer em Clientes de discagem em Roteamento e acesso remoto, o roteador de resposta poderá interpretar o roteador de chamada como um cliente de acesso remoto. Verifique se o nome de usuário nas credenciais do roteador de chamada corresponde ao nome de uma interface de discagem por demanda no roteador de resposta. Se o chamador de entrada for um roteador, a porta na qual a chamada foi recebida mostrará um status de Ativo e a interface de discagem por demanda correspondente estará em um estado Conectado.

    Para obter mais informações sobre como verificar o status da porta no roteador de resposta e como verificar o status da interface de discagem por demanda, consulte a Ajuda online do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: os filtros de pacotes nas interfaces de discagem por demanda do roteador de chamada e do roteador de resposta estão impedindo o fluxo de tráfego.

    Solução: verifique se não há filtros de pacotes nas interfaces de discagem por demanda do roteador de chamada e do roteador de resposta que impeçam o envio ou o recebimento de tráfego. Você pode configurar cada interface de discagem por demanda com filtros de entrada e saída IP e IPX para controlar a natureza exata do tráfego TCP/IP e IPX permitido para dentro e para fora da interface de discagem por demanda.

    Para obter mais informações sobre como gerenciar filtros de pacotes, consulte a Ajuda online do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: os filtros de pacotes no perfil de diretiva de acesso remoto estão impedindo o fluxo de tráfego IP.

    Solução: verifique se não há filtros de pacotes TCP/IP configurados nas propriedades de perfil das diretivas de acesso remoto no servidor VPN (ou no servidor RADIUS, se o Serviço de Autenticação da Internet for usado) que estejam impedindo o envio ou recebimento de tráfego TCP/IP. Você pode usar diretivas de acesso remoto para configurar filtros de pacotes de entrada e saída TCP/IP que controlam a natureza exata do tráfego TCP/IP permitido na conexão VPN. Verifique se os filtros de pacotes TCP/IP do perfil não estão impedindo o fluxo de tráfego.

    Para obter mais informações sobre como configurar opções de IP, consulte a Ajuda online do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.