Dela via

Installera och konfigurera en virtuell privat nätverksserver i Windows Server 2003

Den här stegvisa artikeln beskriver hur du installerar virtuella privata nätverk (VPN) och hur du skapar en ny VPN-anslutning på servrar som kör Windows Server 2003.

En Microsoft Windows XP-version av den här artikeln finns i 314076.

Gäller för: Windows Server 2003
Ursprungligt KB-nummer: 323441

Sammanfattning

Med ett virtuellt privat nätverk kan du ansluta nätverkskomponenter via ett annat nätverk, till exempel Internet. Du kan göra din Windows Server 2003-baserade dator till en fjärråtkomstserver så att andra användare kan ansluta till den med hjälp av VPN och sedan logga in på nätverket och komma åt delade resurser. VPN gör detta genom att "tunneltrafik" via Internet eller via ett annat offentligt nätverk på ett sätt som ger samma säkerhet och funktioner som ett privat nätverk. Data skickas över det offentliga nätverket med hjälp av dess routningsinfrastruktur, men för användaren verkar det som om data skickas via en dedikerad privat länk.

Översikt över VPN

Ett virtuellt privat nätverk är ett sätt att ansluta till ett privat nätverk (till exempel ditt kontorsnätverk) via ett offentligt nätverk (till exempel Internet). Ett VPN kombinerar fördelarna med en uppringningsanslutning till en uppringningsserver med den enkla och flexibla Internetanslutningen. Genom att använda en Internetanslutning kan du resa över hela världen och ändå, på de flesta ställen, ansluta till ditt kontor med ett lokalt samtal till närmaste internetåtkomsttelefonnummer. Om du har en höghastighetsanslutning till Internet (till exempel kabel eller DSL) på datorn och på kontoret kan du kommunicera med kontoret med full Internethastighet, vilket är mycket snabbare än någon uppringningsanslutning som använder ett analogt modem. Med den här tekniken kan ett företag ansluta till sina filialkontor eller till andra företag via ett offentligt nätverk samtidigt som säker kommunikation upprätthålls. VPN-anslutningen över Internet fungerar logiskt som en dedikerad WAN-länk (Wide Area Network).

Virtuella privata nätverk använder autentiserade länkar för att se till att endast behöriga användare kan ansluta till nätverket. För att säkerställa att data är säkra när de färdas över det offentliga nätverket använder en VPN-anslutning punkt-till-punkt-tunnelprotokoll (PPTP) eller Layer Two Tunneling Protocol (L2TP) för att kryptera data.

Komponenter i ett VPN

Ett VPN på servrar som kör Windows Server 2003 består av en VPN-server, en VPN-klient, en VPN-anslutning (den delen av anslutningen där data krypteras) och tunneln (den del av anslutningen där data kapslas in). Tunnlarna slutförs via ett av tunnelprotokollen som ingår i servrar som kör Windows Server 2003, som båda är installerade med routning och fjärråtkomst. Tjänsten Routning och fjärråtkomst installeras automatiskt under installationen av Windows Server 2003. Som standard är routnings- och fjärråtkomsttjänsten inaktiverad.

De två tunnelprotokollen som ingår i Windows är:

  • Punkt-till-punkt-tunnelprotokoll (PPTP): Tillhandahåller datakryptering med microsofts punkt-till-punkt-kryptering.
  • Layer Two Tunneling Protocol (L2TP): Tillhandahåller datakryptering, autentisering och integritet med IPSec.

Anslutningen till Internet måste använda en dedikerad rad som T1, Fractional T1 eller Frame Relay. WAN-adaptern måste konfigureras med IP-adressen och nätmasken som tilldelats för din domän eller som tillhandahålls av en Internetleverantör (ISP). WAN-adaptern måste också konfigureras som standardgateway för ISP-routern.

Kommentar

Om du vill aktivera VPN måste du vara inloggad med ett konto som har administrativa rättigheter.

Installera och aktivera en VPN-server

Följ dessa steg för att installera och aktivera en VPN-server:

  1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Routning och fjärråtkomst.

  2. Klicka på serverikonen som matchar det lokala servernamnet i konsolens vänstra fönster. Om ikonen har en röd cirkel i det nedre vänstra hörnet har tjänsten Routning och fjärråtkomst inte aktiverats. Om ikonen har en grön pil som pekar uppåt i det nedre vänstra hörnet har tjänsten Routning och fjärråtkomst aktiverats. Om tjänsten Routning och fjärråtkomst tidigare var aktiverad kanske du vill konfigurera om servern. Konfigurera om servern:

    1. Högerklicka på serverobjektet och klicka sedan på Inaktivera routning och fjärråtkomst. Klicka på Ja för att fortsätta när du uppmanas att ange ett informationsmeddelande.
    2. Högerklicka på serverikonen och klicka sedan på Konfigurera och aktivera routning och fjärråtkomst för att starta installationsguiden för routning och fjärråtkomstserver. Klicka på Nästa för att fortsätta.
    3. Klicka på Fjärråtkomst (uppringning eller VPN) för att aktivera fjärrdatorer för att ringa in eller ansluta till det här nätverket via Internet. Klicka på Nästa för att fortsätta.

  3. Klicka om du vill välja VPN eller Uppringning beroende på vilken roll du tänker tilldela den här servern.

  4. I fönstret VPN-anslutning klickar du på nätverksgränssnittet som är anslutet till Internet och klickar sedan på Nästa.

  5. I fönstret IP-adresstilldelning klickar du på Automatiskt om en DHCP-server ska användas för att tilldela adresser till fjärrklienter, eller klicka på Från ett angivet adressintervall om fjärrklienter bara får en adress från en fördefinierad pool. I de flesta fall är DHCP-alternativet enklare att administrera. Men om DHCP inte är tillgängligt måste du ange ett intervall med statiska adresser. Klicka på Nästa för att fortsätta.

  6. Om du klickade på Från ett angivet adressintervall öppnas dialogrutan Tilldelning av adressintervall. Klicka på Ny. Ange den första IP-adressen i adressintervallet som du vill använda i rutan Starta IP-adress . Skriv den sista IP-adressen i intervallet i rutan Slut-IP-adress . Windows beräknar antalet adresser automatiskt. Klicka på OK för att återgå till fönstret Tilldelning av adressintervall. Klicka på Nästa för att fortsätta.

  7. Acceptera standardinställningen Nej, använd Routning och fjärråtkomst för att autentisera anslutningsbegäranden och klicka sedan på Nästa för att fortsätta. Klicka på Slutför för att aktivera tjänsten Routning och fjärråtkomst och för att konfigurera servern som en fjärråtkomstserver.

Så här konfigurerar du VPN-servern

Följ dessa steg om du vill fortsätta att konfigurera VPN-servern efter behov.

Konfigurera fjärråtkomstservern som en router

För att fjärråtkomstservern ska kunna vidarebefordra trafik korrekt i nätverket måste du konfigurera den som en router med antingen statiska vägar eller routningsprotokoll, så att alla platser i intranätet kan nås från fjärråtkomstservern.

Så här konfigurerar du servern som en router:

  1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Routning och fjärråtkomst.
  2. Högerklicka på servernamnet och klicka sedan på Egenskaper.
  3. Klicka på fliken Allmänt och klicka sedan på Router under Aktivera den här datorn som en.
  4. Klicka på LAN och routning av uppringning på begäran och klicka sedan på OK för att stänga dialogrutan Egenskaper.

Så här ändrar du antalet samtidiga anslutningar

Antalet uppringda modemanslutningar beror på antalet modem som är installerade på servern. Om du till exempel bara har ett modem installerat på servern kan du bara ha en modemanslutning i taget.

Antalet VPN-anslutningar med uppringning är beroende av antalet samtidiga användare som du vill tillåta. När du kör proceduren som beskrivs i den här artikeln tillåter du som standard 128 anslutningar. Följ dessa steg om du vill ändra antalet samtidiga anslutningar:

  1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Routning och fjärråtkomst.
  2. Dubbelklicka på serverobjektet, högerklicka på Portar och klicka sedan på Egenskaper.
  3. I dialogrutan Portegenskaper klickar du på WAN Miniport (PPTP)>Konfigurera.
  4. I rutan Maximalt antal portar anger du det antal VPN-anslutningar som du vill tillåta.
  5. Klicka på OK>OK och stäng sedan Routning och fjärranslutningar.

Hantera adresser och namnservrar

VPN-servern måste ha IP-adresser tillgängliga för att tilldela dem till VPN-serverns virtuella gränssnitt och till VPN-klienter under IPCP-förhandlingsfasen (IP Control Protocol) i anslutningsprocessen. IP-adressen som tilldelats VPN-klienten tilldelas till VPN-klientens virtuella gränssnitt.

För Windows Server 2003-baserade VPN-servrar hämtas IP-adresserna som tilldelats VPN-klienter via DHCP som standard. Du kan också konfigurera en statisk IP-adresspool. VPN-servern måste också konfigureras med namnmatchningsservrar, vanligtvis DNS- och WINS-serveradresser, för att tilldela till VPN-klienten under IPCP-förhandling.

Hantera åtkomst

Konfigurera egenskaperna för uppringning på användarkonton och principer för fjärråtkomst för att hantera åtkomst för uppringningsnätverk och VPN-anslutningar.

Kommentar

Som standard nekas användare åtkomst till uppringningsnätverk.

Åtkomst efter användarkonto

Följ dessa steg om du vill bevilja uppringningsåtkomst till ett användarkonto om du hanterar fjärråtkomst på användarbasis:

  1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Active Directory - användare och datorer.
  2. Högerklicka på användarkontot och klicka sedan på Egenskaper.
  3. Klicka på fliken Uppringning .
  4. Klicka på Tillåt åtkomst för att ge användaren behörighet att ringa in. Klicka på OK.

Åtkomst efter gruppmedlemskap

Om du hanterar fjärråtkomst på gruppbasis följer du dessa steg:

  1. Skapa en grupp med medlemmar som har behörighet att skapa VPN-anslutningar.
  2. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Routning och fjärråtkomst.
  3. I konsolträdet expanderar du Routning och fjärråtkomst, expanderar servernamnet och klickar sedan på Fjärråtkomstprinciper.
  4. Högerklicka var som helst i den högra rutan, peka på Ny och klicka sedan på Fjärråtkomstprincip.
  5. Klicka på Nästa, skriv principnamnet och klicka sedan på Nästa.
  6. Klicka på VPN för åtkomstmetod för virtuell privat åtkomst eller klicka på Uppringning för uppringningsåtkomst och klicka sedan på Nästa.
  7. Klicka på Lägg till, skriv namnet på den grupp som du skapade i steg 1 och klicka sedan på Nästa.
  8. Följ instruktionerna på skärmen för att slutföra guiden.

Om VPN-servern redan tillåter fjärråtkomsttjänster för fjärråtkomst till uppringning ska du inte ta bort standardprincipen. Flytta den i stället så att den är den sista principen som ska utvärderas.

Konfigurera en VPN-anslutning från en klientdator

Följ dessa steg för att konfigurera en anslutning till ett VPN. Om du vill konfigurera en klient för åtkomst till virtuellt privat nätverk följer du dessa steg på klientarbetsstationen:

Kommentar

Du måste vara inloggad som medlem i gruppen Administratörer för att kunna följa dessa steg.

Eftersom det finns flera versioner av Microsoft Windows gäller nedanstående instruktioner kanske inte din dator. I så fall hittar du anvisningar i produktdokumentationen.

  1. Bekräfta att anslutningen till Internet är korrekt konfigurerad på klientdatorn.

  2. Klicka på Start> Kontrollpanelen> Nätverksanslutningar. Klicka på Skapa en ny anslutning under Nätverksuppgifter och klicka sedan på Nästa.

  3. Klicka på Anslut till nätverket på min arbetsplats för att skapa uppringningsanslutningen. Klicka på Nästa för att fortsätta.

  4. Klicka på Anslutning till virtuellt privat nätverk och klicka sedan på Nästa.

  5. Skriv ett beskrivande namn för den här anslutningen i dialogrutan Företagsnamn och klicka sedan på Nästa.

  6. Klicka på Slå inte den första anslutningen om datorn är permanent ansluten till Internet. Om datorn ansluter till Internet via en Internetleverantör (ISP) klickar du på Slå den första anslutningen automatiskt och klickar sedan på namnet på anslutningen till Internetleverantören. Klicka på Nästa.

  7. Ange IP-adressen eller värdnamnet för VPN-serverdatorn (till exempel VPNServer.SampleDomain.com).

  8. Klicka på Allas användning om du vill tillåta att användare som loggar in på arbetsstationen har åtkomst till den här uppringningsanslutningen. Klicka baraMin användning om du vill att den här anslutningen endast ska vara tillgänglig för den inloggade användaren. Klicka på Nästa.

  9. Spara anslutningen genom att klicka på Slutför .

  10. Klicka på Start> Kontrollpanelen> Nätverksanslutningar.

  11. Dubbelklicka på den nya anslutningen.

  12. Klicka på Egenskaper för att fortsätta konfigurera alternativ för anslutningen. Följ dessa steg om du vill fortsätta att konfigurera alternativ för anslutningen:

    • Om du ansluter till en domän klickar du på fliken Alternativ och klickar sedan på kryssrutan Inkludera Windows-inloggningsdomän för att ange om du vill begära domäninformation för Windows Server 2003-inloggning innan du försöker ansluta.
    • Om du vill att anslutningen ska vara omialerad om raden tas bort klickar du på fliken Alternativ och klickar sedan på kryssrutan Redial if line is dropped (Redial if line is dropped ).

Följ dessa steg för att använda anslutningen:

  1. Klicka på Start, peka på Anslut till och klicka sedan på den nya anslutningen.

  2. Om du för närvarande inte har någon anslutning till Internet erbjuder Windows att ansluta till Internet.

  3. När anslutningen till Internet görs uppmanar VPN-servern dig att ange ditt användarnamn och lösenord. Skriv ditt användarnamn och lösenord och klicka sedan på Anslut. Dina nätverksresurser måste vara tillgängliga för dig på samma sätt som när du ansluter direkt till nätverket.

    Kommentar

    Om du vill koppla från VPN högerklickar du på anslutningsikonen och klickar sedan på Koppla från.

Felsökning

Felsöka VPN för fjärråtkomst

Det går inte att upprätta en VPN-anslutning för fjärråtkomst

  • Orsak: Namnet på klientdatorn är samma som namnet på en annan dator i nätverket.

    Lösning: Kontrollera att namnen på alla datorer i nätverket och datorer som ansluter till nätverket använder unika datornamn.

  • Orsak: Tjänsten Routning och fjärråtkomst har inte startats på VPN-servern.

    Lösning: Kontrollera tillståndet för tjänsten Routning och fjärråtkomst på VPN-servern.

    Mer information om hur du övervakar tjänsten Routning och fjärråtkomst och hur du startar och stoppar tjänsten Routning och fjärråtkomst finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: Fjärråtkomst är inte aktiverat på VPN-servern.

    Lösning: Aktivera fjärråtkomst på VPN-servern.

    Mer information om hur du aktiverar fjärråtkomstservern finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: PPTP- eller L2TP-portar är inte aktiverade för inkommande fjärråtkomstbegäranden.

    Lösning: Aktivera PPTP- eller L2TP-portar, eller båda, för inkommande fjärråtkomstbegäranden.

    Mer information om hur du konfigurerar portar för fjärråtkomst finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: LAN-protokollen som används av VPN-klienterna är inte aktiverade för fjärråtkomst på VPN-servern.

    Lösning: Aktivera DE LAN-protokoll som används av VPN-klienterna för fjärråtkomst på VPN-servern.

    Mer information om hur du visar egenskaper för fjärråtkomstservern finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: Alla PPTP- eller L2TP-portar på VPN-servern används redan av anslutna fjärråtkomstklienter eller routrar för uppringning på begäran.

    Lösning: Kontrollera att alla PPTP- eller L2TP-portar på VPN-servern redan används. Om du vill göra det klickar du på Portar i Routning och fjärråtkomst. Om antalet tillåtna PPTP- eller L2TP-portar inte är tillräckligt högt ändrar du antalet PPTP- eller L2TP-portar så att fler samtidiga anslutningar tillåts.

    Mer information om hur du lägger till PPTP- eller L2TP-portar finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-servern stöder inte vpn-klientens tunnelprotokoll.

    Som standard använder Windows Server 2003 vpn-klienter med automatisk servertyp, vilket innebär att de försöker upprätta en L2TP över IPSec-baserad VPN-anslutning först och sedan försöker de upprätta en PPTP-baserad VPN-anslutning. Om VPN-klienter använder antingen punkt-till-punkt-tunnelprotokollet (PPTP) eller servertypen Layer-2 Tunneling Protocol (L2TP) kontrollerar du att det valda tunnelprotokollet stöds av VPN-servern.

    Som standard är en dator som kör Windows Server 2003 Server och tjänsten Routning och fjärråtkomst en PPTP- och L2TP-server med fem L2TP-portar och fem PPTP-portar. Om du vill skapa en PPTP-server anger du antalet L2TP-portar till noll. Om du vill skapa en L2TP-server anger du antalet PPTP-portar till noll.

    Lösning: Kontrollera att rätt antal PPTP- eller L2TP-portar har konfigurerats.

    Mer information om hur du lägger till PPTP- eller L2TP-portar finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-klienten och VPN-servern tillsammans med en fjärråtkomstprincip är inte konfigurerade för att använda minst en vanlig autentiseringsmetod.

    Lösning: Konfigurera VPN-klienten och VPN-servern tillsammans med en fjärråtkomstprincip för att använda minst en gemensam autentiseringsmetod.

    Mer information om hur du konfigurerar autentisering finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-klienten och VPN-servern tillsammans med en fjärråtkomstprincip är inte konfigurerade för att använda minst en vanlig krypteringsmetod.

    Lösning: Konfigurera VPN-klienten och VPN-servern tillsammans med en fjärråtkomstprincip för att använda minst en vanlig krypteringsmetod.

    Mer information om hur du konfigurerar kryptering finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-anslutningen har inte rätt behörigheter via uppringningsegenskaper för användarkontot och principer för fjärråtkomst.

    Lösning: Kontrollera att VPN-anslutningen har rätt behörigheter via uppringningsegenskaper för användarkontot och principer för fjärråtkomst. För att anslutningen ska upprättas måste inställningarna för anslutningsförsöket:

    • Matcha alla villkor för minst en fjärråtkomstprincip.
    • Beviljas fjärråtkomstbehörighet via användarkontot (inställt på Tillåt åtkomst) eller via användarkontot (ställ in på Kontrollera åtkomst via fjärråtkomstprincip) och fjärråtkomstbehörigheten för den matchande fjärråtkomstprincipen (inställd på Bevilja fjärråtkomstbehörighet).
    • Matcha alla inställningar för profilen.
    • Matcha alla inställningar för uppringningsegenskaperna för användarkontot.

    Mer information om en introduktion till principer för fjärråtkomst och hur du accepterar ett anslutningsförsök finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: Inställningarna för principprofilen för fjärråtkomst står i konflikt med VPN-serverns egenskaper.

    Egenskaperna för fjärråtkomstprincipprofilen och egenskaperna för VPN-servern innehåller båda inställningarna för:

    • Multilink.
    • Bandbreddsallokeringsprotokoll (BAP).
    • Autentiseringsprotokoll.

    Om inställningarna för profilen för den matchande fjärråtkomstprincipen står i konflikt med VPN-serverns inställningar avvisas anslutningsförsöket. Om den matchande principprofilen för fjärråtkomst till exempel anger att autentiseringsprotokollet Extensible Authentication Protocol – Transport Level Security (EAP-TLS) måste användas och EAP inte är aktiverat på VPN-servern, avvisas anslutningsförsöket.

    Lösning: Kontrollera att inställningarna för principprofilen för fjärråtkomst inte är i konflikt med VPN-serverns egenskaper.

    Mer information om protokoll för multilink, BAP och autentisering finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: Svarsroutern kan inte verifiera autentiseringsuppgifterna för den anropande routern (användarnamn, lösenord och domännamn).

    Lösning: Kontrollera att autentiseringsuppgifterna för VPN-klienten (användarnamn, lösenord och domännamn) är korrekta och kan verifieras av VPN-servern.

  • Orsak: Det finns inte tillräckligt med adresser i den statiska IP-adresspoolen.

    Lösning: Om VPN-servern har konfigurerats med en statisk IP-adresspool kontrollerar du att det finns tillräckligt med adresser i poolen. Om alla adresser i den statiska poolen har allokerats till anslutna VPN-klienter kan VPN-servern inte allokera en IP-adress och anslutningsförsöket avvisas. Om alla adresser i den statiska poolen har allokerats ändrar du poolen.

    Mer information om TCP/IP och fjärråtkomst och hur du skapar en statisk IP-adresspool finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-klienten är konfigurerad för att begära ett eget IPX-nodnummer och VPN-servern är inte konfigurerad för att tillåta IPX-klienter att begära ett eget IPX-nodnummer.

    Lösning: Konfigurera VPN-servern så att IPX-klienter kan begära ett eget IPX-nodnummer.

    Mer information om IPX och fjärråtkomst finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-servern är konfigurerad med ett antal IPX-nätverksnummer som används någon annanstans i ditt IPX-nätverk.

    Lösning: Konfigurera VPN-servern med ett antal IPX-nätverksnummer som är unika för ditt IPX-nätverk.

    Mer information om IPX och fjärråtkomst finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-serverns autentiseringsprovider är felaktigt konfigurerad.

    Lösning: Verifiera konfigurationen av autentiseringsprovidern. Du kan konfigurera VPN-servern så att den använder antingen Windows Server 2003 eller Remote Authentication Dial-In User Service (RADIUS) för att autentisera VPN-klientens autentiseringsuppgifter.

    Mer information om autentiserings- och redovisningsleverantörer finns i hjälp- och supportcentret för Windows Server 2003 och hur du använder RADIUS-autentisering. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-servern kan inte komma åt Active Directory.

    Lösning: För en VPN-server som är en medlemsserver i en Windows Server 2003-domän i blandat läge eller internt läge som har konfigurerats för Windows Server 2003-autentisering kontrollerar du att:

    • Säkerhetsgruppen RAS- och IAS-servrar finns. Om inte skapar du gruppen och anger grupptypen till Säkerhet och gruppomfånget till Domänlokal.

    • Säkerhetsgruppen RAS- och IAS-servrar har läsbehörighet till ras- och IAS-servrarnas åtkomstkontrollobjekt.

    • Datorkontot för VPN-serverdatorn är medlem i säkerhetsgruppen RAS- och IAS-servrar . Du kan använda netsh ras show registeredserver kommandot för att visa den aktuella registreringen. Du kan använda netsh ras add registeredserver kommandot för att registrera servern i en angiven domän.

      Om du lägger till (eller tar bort) VPN-serverdatorn i säkerhetsgruppen RAS- och IAS-servrar börjar ändringen inte gälla omedelbart (på grund av hur Windows Server 2003 cachelagrar Active Directory-information). Starta om VPN-serverdatorn om du vill utföra den här ändringen omedelbart.

    • VPN-servern är medlem i domänen.

    Mer information om hur du lägger till en grupp, hur du verifierar behörigheter för RAS- och IAS-säkerhetsgruppen och om netsh kommandon för fjärråtkomst finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: En Windows NT 4.0-baserad VPN-server kan inte verifiera anslutningsbegäranden.

    Lösning: Om VPN-klienter ringer in till en VPN-server som kör Windows NT 4.0 som är medlem i en Windows Server 2003-domän i blandat läge kontrollerar du att gruppen Alla läggs till i gruppen För Windows 2000-kompatibel åtkomst med följande kommando:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Annars skriver du följande kommando i en kommandotolk på en domänkontrollantdator och startar sedan om domänkontrollantdatorn:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Mer information om Fjärråtkomstserver för Windows NT 4.0 i en Windows Server 2003-domän finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: VPN-servern kan inte kommunicera med den konfigurerade RADIUS-servern.

    Lösning: Om du bara kan nå RADIUS-servern via ditt Internetgränssnitt gör du något av följande:

    • Lägg till ett indatafilter och ett utdatafilter i Internetgränssnittet för UDP-port 1812 (baserat på RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). -eller-
    • Lägg till ett indatafilter och ett utdatafilter i Internetgränssnittet för UDP-port 1645 (för äldre RADIUS-servrar), för RADIUS-autentisering och UDP-port 1813 (baserat på RFC 2139, "RADIUS Accounting"). -eller-
    • -or- Lägg till ett indatafilter och ett utdatafilter i Internetgränssnittet för UDP-port 1646 (för äldre RADIUS-servrar) för RADIUS-redovisning.

    Mer information om hur du lägger till ett paketfilter finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: Det går inte att ansluta till VPN-servern via Internet med hjälp av verktyget Ping.exe.

    Lösning: På grund av filtrering av PPTP- och L2TP-paket via IPSec som har konfigurerats i INTERNET-gränssnittet för VPN-servern filtreras ICMP-paket (Internet Control Message Protocol) som används av pingkommandot bort. Om du vill aktivera VPN-servern för att svara på ICMP-paket (ping) lägger du till ett indatafilter och ett utdatafilter som tillåter trafik för IP-protokoll 1 (ICMP-trafik).

    Mer information om hur du lägger till ett paketfilter finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

Det går inte att skicka och ta emot data

  • Orsak: Rätt gränssnitt för uppringning på begäran har inte lagts till i protokollet som dirigeras.

    Lösning: Lägg till lämpligt gränssnitt för uppringning på begäran i protokollet som dirigeras.

    Mer information om hur du lägger till ett routningsgränssnitt finns i Hjälp- och supportcenter för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: Det finns inga vägar på båda sidor av VPN-anslutningen router-till-router som stöder dubbelriktad trafikutbyte.

    Lösning: Till skillnad från en VPN-anslutning för fjärråtkomst skapar en VPN-anslutning från router till router inte automatiskt en standardväg. Skapa vägar på båda sidor av VPN-anslutningen router-till-router så att trafik kan dirigeras till och från den andra sidan av VPN-anslutningen router-till-router.

    Du kan lägga till statiska vägar manuellt i routningstabellen eller lägga till statiska vägar via routningsprotokoll. För beständiga VPN-anslutningar kan du aktivera Open Shortest Path First (OSPF) eller Routing Information Protocol (RIP) över VPN-anslutningen. För VPN-anslutningar på begäran kan du automatiskt uppdatera vägar via en automatisk statisk RIP-uppdatering. Mer information om hur du lägger till ett IP-routningsprotokoll, hur du lägger till en statisk väg och hur du utför autostatiska uppdateringar finns i Onlinehjälp för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: En dubbelriktad initierad, svarar routern som en fjärråtkomstanslutning tolkar router-till-router VPN-anslutning.

    Lösning: Om användarnamnet i autentiseringsuppgifterna för den anropande routern visas under Uppringningsklienter i Routning och fjärråtkomst kan den svarande routern tolka den anropande routern som en fjärråtkomstklient. Kontrollera att användarnamnet i autentiseringsuppgifterna för den anropande routern matchar namnet på ett gränssnitt för uppringning på begäran på den besvarande routern. Om den inkommande anroparen är en router visar porten där samtalet togs emot statusen Aktiv och motsvarande gränssnitt för uppringning på begäran är i anslutet tillstånd.

    Mer information om hur du kontrollerar status för porten på svarsroutern och hur du kontrollerar status för gränssnittet för uppringning på begäran finns i Onlinehjälp för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: Paketfilter på gränssnitten för uppringning på begäran för den anropande routern och svarsroutern förhindrar trafikflödet.

    Lösning: Kontrollera att det inte finns några paketfilter i gränssnitten för uppringning på begäran för den anropande routern och svarsroutern som förhindrar att trafik skickas eller tas emot. Du kan konfigurera varje gränssnitt för uppringning på begäran med IP- och IPX-indata- och utdatafilter för att kontrollera den exakta typen av TCP/IP- och IPX-trafik som tillåts till och från gränssnittet för uppringning på begäran.

    Mer information om hur du hanterar paketfilter finns i Onlinehjälp för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.

  • Orsak: Paketfilter på profilen för fjärråtkomstprincip förhindrar flödet av IP-trafik.

    Lösning: Kontrollera att det inte finns några konfigurerade TCP/IP-paketfilter på profilegenskaperna för fjärråtkomstprinciperna på VPN-servern (eller RADIUS-servern om Internet Authentication Service används) som förhindrar att TCP/IP-trafik skickas eller tas emot. Du kan använda principer för fjärråtkomst för att konfigurera filter för TCP/IP-indata och utdatapaket som styr den exakta typen av TCP/IP-trafik som tillåts på VPN-anslutningen. Kontrollera att profilenS TCP/IP-paketfilter inte förhindrar trafikflödet.

    Mer information om hur du konfigurerar IP-alternativ finns i Onlinehjälp för Windows Server 2003. Klicka på Start för att komma åt hjälp- och supportcentret för Windows Server 2003.