Установка и настройка сервера виртуальной частной сети в Windows Server 2003

В этой пошаговой статье описывается, как установить виртуальную частную сеть (VPN) и как создать новое VPN-подключение на серверах под управлением Windows Server 2003.

Сведения о версии Microsoft Windows XP этой статьи см . в 314076.

Область применения: Windows Server 2003
Исходный номер базы знаний: 323441

Итоги

С помощью виртуальной частной сети можно подключить сетевые компоненты через другую сеть, например Интернет. Компьютер под управлением Windows Server 2003 можно сделать сервером удаленного доступа, чтобы другие пользователи могли подключаться к нему с помощью VPN, а затем входить в сеть и получать доступ к общим ресурсам. Это делается путем туннелирования через Интернет или через другую общедоступную сеть таким образом, чтобы обеспечить ту же безопасность и функции, что и частная сеть. Данные отправляются через общедоступную сеть с помощью инфраструктуры маршрутизации, но пользователю кажется, что данные отправляются по выделенной частной ссылке.

Общие сведения о VPN

Виртуальная частная сеть — это средство подключения к частной сети (например, вашей офисной сети) через общедоступную сеть (например, Интернет). VPN объединяет преимущества подключения с телефонным подключением к серверу с легкостью и гибкостью подключения к Интернету. Используя подключение к Интернету, вы можете путешествовать по всему миру и по-прежнему, в большинстве мест, подключиться к офису с помощью локального звонка к ближайшему номеру телефона для доступа к Интернету. Если у вас есть высокоскоростное подключение к Интернету (например, кабель или DSL) на компьютере и в офисе, вы можете взаимодействовать с офисом по полной скорости Интернета, что гораздо быстрее, чем любое подключение с телефонным подключением, использующим аналоговый модем. Эта технология позволяет предприятиям подключаться к филиалам или другим компаниям через общедоступную сеть, сохраняя безопасные коммуникации. VPN-подключение через Интернет логически работает как канал выделенной широкой сети (WAN).

Виртуальные частные сети используют прошедшие проверку подлинности ссылки, чтобы убедиться, что только авторизованные пользователи могут подключаться к сети. Чтобы убедиться, что данные защищены по мере перемещения по общедоступной сети, VPN-подключение использует протокол PPTP или протокол L2TP для шифрования данных.

Компоненты VPN

VPN на серверах под управлением Windows Server 2003 состоит из VPN-сервера, VPN-клиента, VPN-подключения (это часть подключения, в котором зашифрованы данные), а также туннель (эта часть подключения, в которой инкапсулируются данные). Туннелирование выполняется через один из протоколов туннелирования, включенных в серверы под управлением Windows Server 2003, оба из которых установлены с маршрутизацией и удаленным доступом. Служба маршрутизации и удаленного доступа устанавливается автоматически во время установки Windows Server 2003. Однако по умолчанию служба маршрутизации и удаленного доступа отключена.

Два протокола туннелирования, включенные в Windows:

• Протокол туннелирования точек (PPTP): обеспечивает шифрование данных с помощью шифрования точек к точкам.
• Протокол L2TP: обеспечивает шифрование данных, проверку подлинности и целостность с помощью IPSec.

Подключение к Интернету должно использовать выделенную строку, например T1, Дробный T1 или Ретранслятор кадров. Адаптер глобальной сети должен быть настроен с IP-адресом и маской подсети, назначенной для вашего домена или предоставленным поставщиком услуг Интернета (ISP). Адаптер глобальной сети также должен быть настроен в качестве шлюза по умолчанию маршрутизатора ISP.

Примечание.

Чтобы включить VPN, необходимо войти в систему с помощью учетной записи с правами администратора.

Установка и включение VPN-сервера

Чтобы установить и включить VPN-сервер, выполните следующие действия.

1. Нажмите кнопку "Пуск", выберите пункт "Администрирование" и выберите пункт "Маршрутизация" и "Удаленный доступ".

2. Щелкните значок сервера, соответствующий имени локального сервера в левой области консоли. Если значок имеет красный круг в левом нижнем углу, служба маршрутизации и удаленного доступа не включена. Если значок имеет зеленую стрелку, указывающую в левом нижнем углу, служба маршрутизации и удаленного доступа включена. Если служба маршрутизации и удаленного доступа была включена ранее, может потребоваться перенастроить сервер. Чтобы перенастроить сервер, выполните следующие действия.

   1. Щелкните правой кнопкой мыши объект сервера и выберите пункт "Отключить маршрутизацию и удаленный доступ". Нажмите кнопку "Да" , чтобы продолжить, когда появится запрос на информационное сообщение.
   2. Щелкните правой кнопкой мыши значок сервера и нажмите кнопку "Настройка и включение маршрутизации и удаленного доступа ", чтобы запустить мастер настройки сервера маршрутизации и удаленного доступа. Нажмите кнопку Next (Далее), чтобы продолжить.
   3. Щелкните удаленный доступ (телефонный доступ или VPN), чтобы включить удаленные компьютеры для подключения или подключения к этой сети через Интернет. Нажмите кнопку Next (Далее), чтобы продолжить.

3. Щелкните, чтобы выбрать VPN или абонентскую связь в зависимости от роли, которую вы планируете назначить этому серверу.

4. В окне VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, и нажмите кнопку "Далее".

5. В окне назначения IP-адресов щелкните "Автоматически", если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, или щелкните "Из указанного диапазона адресов", если удаленные клиенты должны быть предоставлены только адрес из предварительно определенного пула. В большинстве случаев параметр DHCP проще администрировать. Однако если DHCP недоступен, необходимо указать диапазон статических адресов. Нажмите кнопку Next (Далее), чтобы продолжить.

6. Если щелкнуть из указанного диапазона адресов, откроется диалоговое окно "Назначение диапазона адресов". Нажмите кнопку Создать. Введите первый IP-адрес в диапазоне адресов, которые вы хотите использовать в поле "Начальный IP-адрес ". Введите последний IP-адрес в диапазоне в поле "Конечный IP-адрес ". Windows вычисляет количество адресов автоматически. Нажмите кнопку "ОК ", чтобы вернуться в окно назначения диапазона адресов. Нажмите кнопку Next (Далее), чтобы продолжить.

7. Примите параметр no по умолчанию, используйте маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку "Далее " для продолжения. Нажмите кнопку "Готово ", чтобы включить службу маршрутизации и удаленного доступа и настроить сервер в качестве сервера удаленного доступа.

Настройка VPN-сервера

Чтобы продолжить настройку VPN-сервера по мере необходимости, выполните следующие действия.

Настройка сервера удаленного доступа в качестве маршрутизатора

Чтобы сервер удаленного доступа правильно перенаправляет трафик внутри сети, необходимо настроить его как маршрутизатор со статическими маршрутами или протоколами маршрутизации, чтобы все расположения в интрасети были доступны с сервера удаленного доступа.

Чтобы настроить сервер в качестве маршрутизатора, выполните следующие действия.

1. Нажмите кнопку "Пуск", выберите пункт "Администрирование" и выберите пункт "Маршрутизация" и "Удаленный доступ".
2. Щелкните правой кнопкой мыши имя сервера и выберите пункт "Свойства".
3. Перейдите на вкладку "Общие" и выберите "Маршрутизатор" в разделе "Включить этот компьютер в качестве".
4. Нажмите кнопку " Локальная сеть" и "Маршрутизация по запросу", а затем нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства".

Изменение количества одновременных подключений

Число модемных подключений к телефону зависит от количества модемов, установленных на сервере. Например, если на сервере установлен только один модем, можно одновременно подключиться только к одному модему.

Количество VPN-подключений для подключения к телефону зависит от количества одновременных пользователей, которых требуется разрешить. По умолчанию при выполнении процедуры, описанной в этой статье, можно разрешить 128 подключений. Чтобы изменить количество одновременных подключений, выполните следующие действия.

1. Нажмите кнопку "Пуск", выберите пункт "Администрирование" и выберите пункт "Маршрутизация" и "Удаленный доступ".
2. Дважды щелкните объект сервера, щелкните правой кнопкой мыши порты и выберите пункт "Свойства".
3. В диалоговом окне "Свойства портов" нажмите кнопку "Минипорт глобальной сети" (PPTP)>Configure.
4. В поле "Максимальное количество портов" введите количество разрешенных VPN-подключений.
5. Нажмите кнопку ОК ОК>, а затем закройте маршрутизацию и удаленные acces s.

Управление адресами и серверами имен

VPN-сервер должен иметь IP-адреса, доступные для назначения их виртуальному интерфейсу VPN-сервера и VPN-клиентам во время этапа согласования протокола УПРАВЛЕНИЯ IP-адресами процесса подключения. IP-адрес, назначенный VPN-клиенту, назначается виртуальному интерфейсу VPN-клиента.

Для VPN-серверов на основе Windows Server 2003 IP-адреса, назначенные VPN-клиентам, по умолчанию получаются через DHCP. Вы также можете настроить пул статических IP-адресов. VPN-сервер также должен быть настроен с серверами разрешения имен, как правило, DNS и адресами серверов WINS, чтобы назначить VPN-клиенту во время согласования IPCP.

Управление доступом

Настройте свойства телефонного подключения в учетных записях пользователей и политиках удаленного доступа для управления доступом к сети и VPN-подключениям.

Примечание.

По умолчанию пользователям запрещен доступ к сети с телефонным подключением.

Доступ по учетной записи пользователя

Чтобы предоставить доступ к учетной записи пользователя с телефонным подключением, если вы управляете удаленным доступом на основе пользователя, выполните следующие действия.

1. Щелкните Пуск, наведите курсор на Администрированиеи нажмите Active Directory - пользователи и компьютеры.
2. Щелкните правой кнопкой мыши учетную запись пользователя и выберите пункт "Свойства".
3. Перейдите на вкладку "Телефонный подключение".
4. Нажмите кнопку "Разрешить доступ" , чтобы предоставить пользователю разрешение на вызов. Нажмите кнопку ОК.

Доступ по членству в группах

Если вы управляете удаленным доступом на основе группы, выполните следующие действия.

1. Создайте группу с участниками, которым разрешено создавать VPN-подключения.
2. Нажмите кнопку "Пуск", выберите пункт "Администрирование" и выберите пункт "Маршрутизация" и "Удаленный доступ".
3. В дереве консоли разверните узел "Маршрутизация и удаленный доступ", разверните имя сервера и щелкните "Политики удаленного доступа".
4. Щелкните правой кнопкой мыши в любом месте правой панели, наведите указатель мыши на "Создать" и выберите пункт "Политика удаленного доступа".
5. Нажмите кнопку "Далее", введите имя политики и нажмите кнопку "Далее".
6. Щелкните VPN для метода доступа к виртуальному частному доступу или нажмите кнопку "Телефонный доступ" для доступа к телефону и нажмите кнопку "Далее".
7. Нажмите кнопку "Добавить", введите имя группы, созданной на шаге 1, и нажмите кнопку "Далее".
8. Следуйте инструкциям на экране, чтобы выполнить мастер.

Если VPN-сервер уже разрешает службы удаленного доступа к телефонным подключениям, не удаляйте политику по умолчанию. Вместо этого переместите его таким образом, чтобы она была последней политикой для оценки.

Настройка VPN-подключения с клиентского компьютера

Чтобы настроить подключение к VPN, выполните следующие действия. Чтобы настроить клиент для доступа к виртуальной частной сети, выполните следующие действия на рабочей станции клиента:

Примечание.

Для выполнения этих действий необходимо войти в систему в качестве члена группы администраторов.

Приведенные ниже действия могут отличаться в зависимости от установленной на компьютере версии операционной системы Windows. В этом случае для выполнения таких действий следует обратиться к документации к продукту.

1. На клиентском компьютере убедитесь, что подключение к Интернету правильно настроено.

2. Нажмите кнопку "Пуск>"панель управления> Network Connections. Нажмите кнопку "Создать новое подключение " в разделе "Задачи сети" и нажмите кнопку "Далее".

3. Нажмите кнопку "Подключиться к сети" на моем рабочем месте , чтобы создать подключение к телефону. Нажмите кнопку Next (Далее), чтобы продолжить.

4. Нажмите кнопку "Подключение виртуальной частной сети" и нажмите кнопку "Далее".

5. Введите описательное имя этого подключения в диалоговом окне "Имя компании" и нажмите кнопку "Далее".

6. Нажмите кнопку " Не набирать начальное подключение ", если компьютер постоянно подключен к Интернету. Если компьютер подключается к Интернету через поставщика услуг Интернета (ISP), нажмите кнопку "Автоматически подключиться к этому начальному подключению", а затем щелкните имя подключения к поставщику услуг Интернета. Нажмите кнопку Далее.

7. Введите IP-адрес или имя узла компьютера VPN-сервера (например, VPNServer.SampleDomain.com).

8. Нажмите кнопку "Любой пользователь" , если вы хотите разрешить любому пользователю, который входит в рабочую станцию, иметь доступ к этому подключению с телефонным подключением. Нажмите кнопку "Мой" только в том случае, если вы хотите, чтобы это подключение было доступно только для пользователя, вошедшего в систему. Нажмите кнопку Далее.

9. Нажмите кнопку " Готово ", чтобы сохранить подключение.

10. Нажмите кнопку "Пуск>"панель управления> Network Connections.

11. Дважды щелкните новое подключение.

12. Нажмите кнопку "Свойства", чтобы продолжить настройку параметров подключения. Чтобы продолжить настройку параметров подключения, выполните следующие действия.

    • Если вы подключаетесь к домену, перейдите на вкладку "Параметры " и установите флажок "Включить домен входа в Windows", чтобы указать, следует ли запрашивать сведения о домене входа Windows Server 2003 перед попыткой подключения.
    • Если вы хотите, чтобы соединение было переизданным, если линия удалена, щелкните вкладку "Параметры " и установите флажок "Redial", если линия удалена .

Чтобы использовать подключение, выполните следующие действия.

1. Нажмите кнопку "Пуск", наведите указатель мыши на подключение и щелкните новое подключение.

2. Если у вас нет подключения к Интернету, Windows предлагает подключиться к Интернету.

3. При подключении к Интернету VPN-сервер запрашивает имя пользователя и пароль. Введите имя пользователя и пароль, а затем нажмите кнопку "Подключить". Сетевые ресурсы должны быть доступны вам так же, как и при подключении непосредственно к сети.

   Примечание.

   Чтобы отключиться от VPN, щелкните правой кнопкой мыши значок подключения и нажмите кнопку "Отключить".

Устранение неполадок

Устранение неполадок с виртуальными сетями удаленного доступа

Не удается установить VPN-подключение удаленного доступа

• Причина. Имя клиентского компьютера совпадает с именем другого компьютера в сети.

  Решение. Убедитесь, что имена всех компьютеров в сети и компьютерах, подключенных к сети, используют уникальные имена компьютеров.

• Причина. Служба маршрутизации и удаленного доступа не запущена на VPN-сервере.

  Решение. Проверьте состояние службы маршрутизации и удаленного доступа на VPN-сервере.

  Дополнительные сведения о мониторинге службы маршрутизации и удаленного доступа, а также о запуске и остановке службы маршрутизации и удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Удаленный доступ не включен на VPN-сервере.

  Решение. Включите удаленный доступ на VPN-сервере.

  Дополнительные сведения о включении сервера удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина: порты PPTP или L2TP не включены для входящих запросов удаленного доступа.

  Решение. Включите порты PPTP или L2TP или оба типа для входящих запросов на удаленный доступ.

  Дополнительные сведения о настройке портов для удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Протоколы локальной сети, используемые VPN-клиентами, не включены для удаленного доступа на VPN-сервере.

  Решение. Включите протоколы локальной сети, используемые VPN-клиентами для удаленного доступа на VPN-сервере.

  Дополнительные сведения о просмотре свойств сервера удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Все порты PPTP или L2TP на VPN-сервере уже используются подключенными клиентами удаленного доступа или маршрутизаторами по запросу.

  Решение. Убедитесь, что все порты PPTP или L2TP на VPN-сервере уже используются. Для этого щелкните "Порты " в разделе "Маршрутизация" и "Удаленный доступ". Если количество разрешенных портов PPTP или L2TP недостаточно, измените количество портов PPTP или L2TP, чтобы разрешить более параллельные подключения.

  Дополнительные сведения о добавлении портов PPTP или L2TP см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-сервер не поддерживает протокол туннелирования VPN-клиента.

  По умолчанию vpn-клиенты удаленного доступа Windows Server 2003 используют параметр "Автоматический тип сервера", что означает, что сначала они пытаются установить VPN-подключение на основе IPSec на основе IPSec, а затем пытаются установить VPN-подключение на основе PPTP. Если VPN-клиенты используют параметр типа сервера "Точка — точка — точка" (PPTP) или "Протокол 2 туннелирования" (L2TP), убедитесь, что выбранный протокол туннелирования поддерживается VPN-сервером.

  По умолчанию компьютер под управлением Сервера Windows Server 2003 и службы маршрутизации и удаленного доступа — это сервер PPTP и L2TP с пятью портами L2TP и пятью портами PPTP. Чтобы создать сервер, доступный только для PPTP, задайте для числа портов L2TP нулевое значение. Чтобы создать сервер только L2TP, задайте для числа портов PPTP нулевое значение.

  Решение. Убедитесь, что настроено соответствующее количество портов PPTP или L2TP.

  Дополнительные сведения о добавлении портов PPTP или L2TP см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены на использование хотя бы одного общего метода проверки подлинности.

  Решение. Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать по крайней мере один распространенный метод проверки подлинности.

  Дополнительные сведения о настройке проверки подлинности см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены на использование хотя бы одного общего метода шифрования.

  Решение. Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать по крайней мере один общий метод шифрования.

  Дополнительные сведения о настройке шифрования см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-подключение не имеет соответствующих разрешений с помощью свойств учетной записи пользователя и политик удаленного доступа.

  Решение. Убедитесь, что VPN-подключение имеет соответствующие разрешения с помощью свойств учетной записи пользователя и политик удаленного доступа. Чтобы установить подключение, необходимо задать параметры попытки подключения:

  • Соответствует всем условиям по крайней мере одной политики удаленного доступа.
  • Предоставление разрешения удаленного доступа через учетную запись пользователя (для параметра "Разрешить доступ") или с помощью учетной записи пользователя (для управления доступом с помощью политики удаленного доступа) и разрешения удаленного доступа для соответствующей политики удаленного доступа (задайте для предоставления разрешения удаленного доступа).
  • Соответствует всем параметрам профиля.
  • Сопоставляйте все параметры свойств учетной записи пользователя с телефонным подключением.

  Дополнительные сведения о политиках удаленного доступа и о том, как принять попытку подключения, см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Параметры профиля политики удаленного доступа конфликтуют со свойствами VPN-сервера.

  Свойства профиля политики удаленного доступа и свойства VPN-сервера содержат параметры:

  • Многоуровневая связь.
  • Протокол распределения пропускной способности (BAP).
  • Протоколы проверки подлинности.

  Если параметры профиля соответствующей политики удаленного доступа конфликтуют с параметрами VPN-сервера, попытка подключения отклоняется. Например, если соответствующий профиль политики удаленного доступа указывает, что протокол проверки подлинности Extensible Authentication - Transport Level Security (EAP-TLS) должен использоваться, и EAP не включен на VPN-сервере, попытка подключения отклоняется.

  Решение. Убедитесь, что параметры профиля политики удаленного доступа не конфликтуют со свойствами VPN-сервера.

  Дополнительные сведения о протоколах многоуровневой связи, BAP и аутентификации см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина: маршрутизатор ответа не может проверить учетные данные вызывающего маршрутизатора (имя пользователя, пароль и доменное имя).

  Решение. Убедитесь, что учетные данные VPN-клиента (имя пользователя, пароль и доменное имя) верны и могут быть проверены VPN-сервером.

• Причина. В пуле статических IP-адресов недостаточно адресов.

  Решение. Если VPN-сервер настроен с пулом статических IP-адресов, убедитесь, что в пуле достаточно адресов. Если для подключенных VPN-клиентов выделены все адреса статического пула, VPN-сервер не может выделить IP-адрес, а попытка подключения отклоняется. Если все адреса в статичном пуле выделены, измените пул.

  Дополнительные сведения о TCP/IP и удаленном доступе и создании пула статических IP-адресов см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-клиент настроен для запроса собственного номера узла IPX, и VPN-сервер не настроен, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.

  Решение. Настройте VPN-сервер, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.

  Дополнительные сведения о IPX и удаленном доступе см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-сервер настраивается с диапазоном сетевых номеров IPX, которые используются в других местах в сети IPX.

  Решение. Настройте VPN-сервер с диапазоном сетевых номеров IPX, уникальных для сети IPX.

  Дополнительные сведения о IPX и удаленном доступе см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Поставщик проверки подлинности VPN-сервера неправильно настроен.

  Решение. Проверка конфигурации поставщика проверки подлинности. Vpn-сервер можно настроить для использования Windows Server 2003 или службы пользователей с удаленной проверкой подлинности (RADIUS) для проверки подлинности учетных данных VPN-клиента.

  Дополнительные сведения о поставщиках проверки подлинности и учета см. в центре справки и поддержки Windows Server 2003, а также о том, как использовать проверку подлинности RADIUS. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-сервер не может получить доступ к Active Directory.

  Решение. Для VPN-сервера, являющегося сервером-членом в смешанном или собственном режиме домена Windows Server 2003, настроенного для проверки подлинности Windows Server 2003, убедитесь, что:

  • Существует группа безопасности серверов RAS и IAS. Если нет, создайте группу и задайте для типа группы значение "Безопасность" и область группы в качестве локальной области домена.

  • Группа безопасности серверов RAS и IAS имеет разрешение на чтение объекта RAS и IAS Server Access Check .

  • Учетная запись компьютера VPN-сервера входит в группу безопасности серверов RAS и IAS Server . Для просмотра текущей netsh ras show registeredserver регистрации можно использовать команду. С помощью netsh ras add registeredserver команды можно зарегистрировать сервер в указанном домене.

    При добавлении (или удалении) компьютера VPN-сервера в группу безопасности СЕРВЕРОВ RAS и IAS изменения не вступают в силу немедленно (из-за того, что Windows Server 2003 кэширует сведения Active Directory). Чтобы немедленно повлиять на это изменение, перезапустите компьютер VPN-сервера.

  • VPN-сервер является членом домена.

  Дополнительные сведения о добавлении группы, проверке разрешений для группы безопасности RAS и IAS и netsh командах удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-сервер на основе Windows NT 4.0 не может проверять запросы на подключение.

  Решение. Если VPN-клиенты набираются на VPN-сервер под управлением Windows NT 4.0, являющегося членом домена смешанного режима Windows Server 2003, убедитесь, что группа "Все" добавляется в группу доступа с поддержкой Windows 2000 с помощью следующей команды:

  "net localgroup "Pre-Windows 2000 Compatible Access""
  

  В противном случае введите следующую команду в командной строке на компьютере контроллера домена и перезапустите компьютер контроллера домена:

  net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
  

  Дополнительные сведения о сервере удаленного доступа Windows NT 4.0 в домене Windows Server 2003 см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. VPN-сервер не может взаимодействовать с настроенным сервером RADIUS.

  Решение. Если вы можете связаться с сервером RADIUS только через интернет-интерфейс, выполните одно из следующих действий:

  • Добавьте входной фильтр и выходной фильтр в интернет-интерфейс для порта UDP 1812 (на основе RFC 2138 , "Служба пользователей удаленной проверки подлинности (RADIUS)"). –или–
  • Добавьте входной фильтр и выходной фильтр в интернет-интерфейс для порта UDP 1645 (для старых серверов RADIUS) для проверки подлинности RADIUS и порта UDP 1813 (на основе RFC 2139, "УЧЕТ RADIUS"). –или–
  • -или- Добавьте входной фильтр и выходной фильтр в интерфейс Интернета для порта UDP 1646 (для старых серверов RADIUS) для учета RADIUS.

  Дополнительные сведения о добавлении фильтра пакетов см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Не удается подключиться к VPN-серверу через Интернет с помощью программы Ping.exe.

  Решение. Из-за фильтрации пакетов PPTP и L2TP через IPSec, настроенных на интерфейсе VPN-сервера, пакеты протокола ICMP, используемые командой ping, отфильтровываются. Чтобы включить VPN-сервер для реагирования на пакеты ICMP (ping), добавьте входной фильтр и выходной фильтр, разрешающий трафик ip-протокола 1 (ТРАФИК ICMP).

  Дополнительные сведения о добавлении фильтра пакетов см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

Не удается отправлять и получать данные

• Причина. Соответствующий интерфейс набора запросов не был добавлен в маршрутируемый протокол.

  Решение. Добавьте соответствующий интерфейс набора запросов в маршрутируемый протокол.

  Дополнительные сведения о добавлении интерфейса маршрутизации см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Нет маршрутов на обеих сторонах VPN-подключения маршрутизатора к маршрутизатору, поддерживающего двусторонний обмен трафиком.

  Решение. В отличие от VPN-подключения удаленного доступа, VPN-подключение маршрутизатора к маршрутизатору не создает маршрут по умолчанию. Создайте маршруты на обеих сторонах VPN-подключения маршрутизатора к маршрутизатору, чтобы трафик можно было направлять в другую сторону VPN-подключения маршрутизатора к маршрутизатору.

  Вы можете вручную добавить статические маршруты в таблицу маршрутизации или добавить статические маршруты с помощью протоколов маршрутизации. Для постоянных VPN-подключений можно включить открытый кратчайший путь (OSPF) или протокол RIP через VPN-подключение. Для VPN-подключений по запросу можно автоматически обновлять маршруты с помощью автоматического обновления RIP. Дополнительные сведения о добавлении протокола IP-маршрутизации, добавлении статического маршрута и выполнении автоматических обновлений см. в справке по Windows Server 2003 в Интернете. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Двустороннее инициирование маршрутизатора в качестве подключения удаленного доступа интерпретирует VPN-подключение маршрутизатора к маршрутизатору.

  Решение. Если имя пользователя в учетных данных вызывающего маршрутизатора отображается в разделе "Клиенты с телефонным подключением в маршрутизации и удаленном доступе", маршрутизатор ответа может интерпретировать маршрутизатор вызова как клиент удаленного доступа. Убедитесь, что имя пользователя в учетных данных вызывающего маршрутизатора соответствует имени интерфейса с телефонным подключением по запросу на маршрутизаторе ответа. Если входящий вызывающий объект является маршрутизатором, порт, на котором был получен вызов, отображает состояние "Активный", а соответствующий интерфейс с телефонным подключением находится в подключенном состоянии.

  Дополнительные сведения о том, как проверить состояние порта на маршрутизаторе ответа и как проверить состояние интерфейса вызова по запросу, см. в справке по Windows Server 2003 в Интернете. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Фильтры пакетов по интерфейсам вызова маршрутизатора и ответа маршрутизатора по запросу препятствуют потоку трафика.

  Решение. Убедитесь, что на интерфейсах вызова маршрутизатора и маршрутизатора с ответами на них нет фильтров пакетов, которые препятствуют отправке или получению трафика. Вы можете настроить каждый интерфейс набора запросов с помощью входных и выходных фильтров IPX, чтобы управлять точным характером трафика TCP/IPX, который разрешен в интерфейсе вызова по запросу и вне него.

  Дополнительные сведения об управлении фильтрами пакетов см. в справке по Windows Server 2003 в Интернете. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.

• Причина. Фильтры пакетов в профиле политики удаленного доступа препятствуют потоку IP-трафика.

  Решение. Убедитесь, что не настроены фильтры пакетов TCP/IP в свойствах профиля политик удаленного доступа на VPN-сервере (или сервере RADIUS, если используется служба проверки подлинности Интернета), которые препятствуют отправке или получению трафика TCP/IP. Политики удаленного доступа можно использовать для настройки фильтров входных и выходных пакетов TCP/IP, которые управляют точным характером трафика TCP/IP, разрешенного в VPN-подключении. Убедитесь, что фильтры пакетов TCP/IP профиля не препятствуют потоку трафика.

  Дополнительные сведения о настройке параметров IP-адресов см. в справке по Windows Server 2003 в Интернете. Нажмите кнопку " Пуск ", чтобы получить доступ к Центру справки и поддержки Windows Server 2003.