SO WIRD'S GEMACHT: Installieren und Konfigurieren eines VPN-Servers in Windows Server 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 323441 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
323441 HOW TO: Install and Configure a Virtual Private Network Server in Windows Server 2003
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Schritt für Schritt, wie Sie VPN (Virtual Private Networking) installieren und eine neue VPN-Verbindung in Windows Server 2003-basierten Servern erstellen.

Ein VPN (Virtual Private Network) ermöglicht das Verbinden von Netzwerkkomponenten über ein anderes Netzwerk, wie das Internet. Sie können Ihren Windows Server 2003-Computer als RAS-Server definieren, sodass andere Benutzer über VPN eine Verbindung zu diesem herstellen können. Damit können sie sich bei dem Netzwerk anmelden und auf freigegebene Ressourcen zugreifen. Bei einem VPN wird ein "Tunnel" über das Internet oder ein anderes öffentliches Netzwerk hergestellt, wobei dieselbe Sicherheit und dieselben Funktionen wie bei einem privaten Netzwerk zur Verfügung stehen. Die Datenübertragung erfolgt über das öffentliche Netzwerk mithilfe von dessen Routing-Infrastruktur. Bei diesem Vorgang hat der Benutzer den Eindruck, als würden die Daten über eine speziell zu diesem Zweck eingerichtete ("dedizierte") private Verbindung gesendet.



Überblick über VPN

Mithilfe eines virtuellen privaten Netzwerks (VPN) können Sie über ein öffentliches Netzwerk (wie das Internet) eine Verbindung mit einem privaten Netzwerk (zum Beispiel Ihr Büronetzwerk) herstellen. Ein VPN kombiniert die Vorteile einer DFÜ-Verbindung zu einem DFÜ-Server mit der Einfachheit und Flexibilität einer Internetverbindung. Mithilfe einer Internetverbindung können Sie von praktisch jedem Punkt der Welt aus die Verbindung zu Ihrem Büro herstellen. Hierzu reicht es in der Regel aus, die nächste lokale Einwahlnummer zum Internet zu wählen. Wenn Sie auf Ihrem Computer und im Büro eine Hochgeschwindigkeitsverbindung ins Internet (zum Beispiel via Kabel oder DSL) verwenden, können Sie mit voller Internetgeschwindigkeit mit Ihrem Büro kommunizieren. Dies ist deutlich schneller als jede modembasierte analoge DFÜ-Verbindung. Die VPN-Technologie ermöglicht es Unternehmen, Verbindungen zu Zweigstellen oder anderen Firmen über ein öffentliches Netzwerk aufzubauen und gleichzeitig die Sicherheit der Kommunikation zu gewährleisten. Die VPN-Verbindung über das Internet funktioniert logisch als dedizierte WAN-Verbindung (WAN = Wide Area Network).

Virtuelle private Netzwerke verwenden authentifizierte Verbindungen, um sicherzustellen, dass nur autorisierte Benutzer die Verbindung zu Ihrem Netzwerk herstellen können. Zur Gewährleistung der Sicherheit bei der Übertragung von Daten über das öffentliche Netzwerk nutzt eine VPN-Verbindung das PPTP (Point-to-Point Tunneling-Protokoll) oder das L2TP (Layer Two Tunneling-Protokoll), um Daten zu verschlüsseln.

Komponenten eines VPN

Ein VPN bei Windows Server 2003-basierten Servern besteht aus einem VPN-Server, einem VPN-Client, einer VPN-Verbindung (der Teil der Verbindung, in dem die Daten verschlüsselt werden) und dem Tunnel (der Teil der Verbindung, in dem die Daten eingekapselt werden). Das Tunneling erfolgt über eines der Tunnelingprotokolle, die in Windows Server 2003-basierten Servern enthalten sind. Beide Tunnelingprotokolle werden mit Routing und RAS (RRAS) installiert. Der Routing- und RAS-Dienst wird automatisch während der Installation von Windows 2003 Server installiert, ist jedoch standardmäßig deaktiviert.
In Windows sind die beiden folgenden Tunnelingprotokolle enthalten:
  • Point-to-Point Tunneling-Protokoll (PPTP): Bietet Datenverschlüsselung mittels Microsoft Punkt-zu-Punkt-Verschlüsselung.
  • Layer Two Tunneling-Protokoll (L2TP): Bietet Datenverschlüsselung, Authentifizierung und Integrität mittels IPSec.
Ihre Internetverbindung muss eine dedizierte Leitung verwenden, wie beispielsweise T1, Teil-T1 oder Frame Relay. Der WAN-Adapter muss mit der IP-Adresse und Subnetzmaske konfiguriert sein, die Ihrer Domäne zugewiesen oder von einem Internetdienstanbieter bereitgestellt wurden. Außerdem muss die Konfiguration das Standardgateway des ISP-Routers umfassen.

Hinweis: Sie müssen mit einem Konto mit Administratorrechten angemeldet sein, um VPN aktivieren zu können.

Installieren und Aktivieren eines VPN-Servers

Gehen Sie folgendermaßen vor, um einen VPN-Server zu installieren und zu aktivieren:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Routing und RAS.
  2. Klicken Sie im linken Fensterbereich der Konsole auf das Serversymbol, das dem lokalen Servernamen entspricht. Wenn in der linken unteren Ecke ein roter Kreis angezeigt wird, ist der Routing- und RAS-Dienst nicht aktiviert. Wenn in der linken unteren Ecke ein nach oben weisender grüner Pfeil angezeigt wird, ist der Routing- und RAS-Dienst aktiviert. Wenn der Routing- und RAS-Dienst zuvor aktiviert war, sollten Sie den Server eventuell neu konfigurieren. Gehen Sie folgendermaßen vor, um den Server neu zu konfigurieren:
    1. Klicken Sie mit der rechten Maustaste auf das Serverobjekt, und klicken Sie auf Routing und RAS deaktivieren. Klicken Sie auf Ja, um fortzufahren, wenn eine Informationsmeldung angezeigt wird.
    2. Klicken Sie mit der rechten Maustaste auf das Serversymbol, und klicken Sie auf Routing und RAS konfigurieren und aktivieren, um den Setup-Assistenten für den Routing- und RAS-Server zu starten. Klicken Sie auf Weiter, um fortzufahren.
    3. Klicken Sie auf RAS (DFÜ oder VPN), um Remotecomputern die Verbindung zu diesem Netzwerk über das Internet oder per Einwahl zu ermöglichen. Klicken Sie auf Weiter, um fortzufahren.
  3. Klicken Sie auf VPN oder DFÜ, je nachdem, welche Rolle Sie dem Server zuweisen möchten.
  4. Klicken Sie im Fenster VPN-Verbindung auf die Netzwerkschnittstelle, die mit dem Internet verbunden ist, und klicken Sie auf Weiter.
  5. Klicken Sie im Fenster IP-Adresszuweisung auf Automatisch, wenn ein DHCP-Server zum Zuweisen von Adressen zu Remoteclients verwendet wird, oder klicken Sie auf Aus einem angegebenen Adressbereich, wenn Remoteclients nur eine Adresse aus einem vordefinierten Pool zugewiesen werden soll. In den meisten Fällen ist die DHCP-Option einfacher zu verwalten. Wenn DHCP jedoch nicht verfügbar ist, müssen Sie einen Bereich statischer Adressen angeben. Klicken Sie auf Weiter, um fortzufahren.
  6. Wenn Sie auf Aus einem angegebenen Adressbereich geklickt haben, wird das Dialogfeld Adressbereichzuweisung geöffnet. Klicken Sie auf Neu. Geben Sie die erste IP-Adresse des Adressbereichs, den Sie verwenden möchten, in das Feld Start-IP-Adresse ein. Geben Sie die letzte IP-Adresse des Bereichs in das Feld End-IP-Adresse ein. Windows berechnet die Anzahl der Adressen automatisch. Klicken Sie auf OK, um zum Fenster Adressbereichzuweisung zurückzugehen. Klicken Sie auf Weiter, um fortzufahren.
  7. Akzeptieren Sie die Standardeinstellung Nein, Routing und RAS zum Authentifizieren von Verbindungsanforderungen verwenden, und klicken Sie auf Weiter, um fortzufahren. Klicken Sie auf Fertig stellen, um den Routing- und RAS-Dienst zu aktivieren und den Server als RAS-Server zu konfigurieren.

Konfigurieren des VPN-Servers

Gehen Sie folgendermaßen vor, um mit der Konfiguration des VPN-Servers fortzufahren.

Konfigurieren des RAS-Servers als Router

Damit der RAS-Server Datenverkehr in Ihrem Netzwerk einwandfrei weiterleitet und alle Pfade im Intranet vom RAS-Server aus erreichbar sind, müssen Sie diesen als Router mit statischen Routen oder mit Routingprotokollen konfigurieren.

Gehen Sie folgendermaßen vor, um den RAS-Server als Router zu konfigurieren:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Routing und RAS.
  2. Klicken Sie mit der rechten Maustaste auf den Servernamen, und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Allgemein, und wählen Sie unter Diesen Computer aktivieren als die Option Router aus.
  4. Klicken Sie auf LAN und bei Bedarf wählendes Routing, und klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.

Ändern der Anzahl gleichzeitiger Verbindungen

Die Anzahl der DFÜ-Modemverbindungen hängt von der Anzahl der auf dem Server installierten Modems ab. Wenn beispielsweise nur ein Modem auf dem Server installiert ist, können Sie jeweils nur eine Modemverbindung einrichten.

Die Anzahl der DFÜ-VPN-Verbindungen hängt von der Anzahl der gleichzeitigen Benutzer ab, die Sie zulassen möchten. Wenn Sie die in diesem Artikel beschriebenen Schritte durchführen, lassen Sie standardmäßig 128 Verbindungen zu. Gehen Sie folgendermaßen vor, um die Anzahl gleichzeitiger Verbindungen zu ändern:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Routing und RAS.
  2. Doppelklicken Sie auf das Serverobjekt, klicken Sie mit der rechten Maustaste auf Ports, und klicken Sie auf Eigenschaften.
  3. Klicken Sie im Dialogfeld Porteigenschaften auf WAN-Miniport (PPTP), und klicken Sie auf Konfigurieren.
  4. Geben Sie im Dialogfeld Maximale Portanzahl die Anzahl der VPN-Verbindungen ein, die Sie maximal zulassen möchten.
  5. Klicken Sie auf OK, klicken Sie erneut auf OK, und beenden Sie Routing und RAS.

Verwalten von Adressen und Namenservern

Der VPN-Server muss IP-Adressen bereitstellen können, damit diese während der IPCP-Aushandlungsphase (IP Control Protocol) des Verbindungsvorgangs sowohl der virtuellen Schnittstelle des VPN-Servers als auch den VPN-Clients zugewiesen werden können. Die dem VPN-Client zugewiesene IP-Adresse wird der virtuellen Schnittstelle des VPN-Clients zugewiesen.

Bei Windows 2003 Server-basierten VPN-Servern werden die den VPN-Clients zugewiesenen IP-Adressen standardmäßig über DHCP bezogen. Sie können auch einen Pool mit statischen IP-Adressen konfigurieren. Der VPN-Server muss in seiner Konfiguration Namenauflösungsserver enthalten (normalerweise DNS- und WINS-Serveradressen), damit diese dem VPN-Client während der IPCP-Aushandlung zugewiesen werden können.

Verwalten des Zugriffs

Konfigurieren Sie die DFÜ-Eigenschaften für Benutzerkonten und Richtlinien für den Remotezugriff (RAS-Richtlinien), um den Zugriff für DFÜ-Netzwerke und VPN-Verbindungen zu verwalten.

Hinweis: Standardmäßig wird Benutzern der Zugriff auf DFÜ verweigert.

Zugriff über Benutzerkonten

Gehen Sie folgendermaßen vor, um einem Benutzerkonto den DFÜ-Zugriff zu gewähren, wenn Sie den Remotezugriff auf Benutzerbasis verwalten:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Einwählen.
  4. Klicken Sie auf Zugriff erlauben, um dem Benutzer die Einwählberechtigung zu gewähren. Klicken Sie dann auf OK .

Zugriff über Gruppenmitgliedschaft

Gehen Sie folgendermaßen vor, wenn Sie den Remotezugriff auf Gruppenbasis verwalten:
  1. Erstellen Sie eine Gruppe mit Mitgliedern, die VPN-Verbindungen erstellen dürfen.
  2. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Routing und RAS.
  3. Erweitern Sie in der Konsolenstruktur Routing und RAS, erweitern Sie den Servernamen, und klicken Sie auf RAS-Richtlinien.
  4. Klicken Sie mit der rechten Maustaste in den rechten Fensterbereich, zeigen Sie auf Neu, und klicken Sie auf RAS-Richtlinie.
  5. Klicken Sie auf Weiter, geben Sie den Richtliniennamen ein, und klicken Sie auf Weiter.
  6. Klicken Sie auf VPN für VPN-Zugriff oder auf DFÜ für DFÜ-Zugriff, und klicken Sie auf Weiter.
  7. Klicken Sie auf Hinzufügen, geben Sie den Namen der in Schritt 1 erstellten Gruppe ein, und klicken Sie auf Weiter.
  8. Folgen Sie den Anweisungen auf dem Bildschirm, um den Assistenten abzuschließen.


Wenn der VPN-Server bereits die DFÜ-Einwahl bei RAS erlaubt, sollten Sie diese Standardrichtlinie nicht löschen Stattdessen sollten Sie diese Richtlinie auf die letze Stelle der zu überprüfenden Richtlinien setzen.

Konfigurieren einer VPN-Verbindung von einem Clientcomputer aus

Gehen Sie folgendermaßen vor, um eine Verbindung zu einem VPN einzurichten. Führen Sie die folgenden Schritte auf dem Clientcomputer aus, um einen Client für VPN-Zugriff einzurichten:

Hinweis: Sie müssen als Mitglied der Gruppe "Administratoren" angemeldet sein, um diese Schritte durchführen zu können.

Hinweis: Da es verschiedene Windows-Versionen gibt, können die folgenden Schritte auf Ihrem Computer anders aussehen. Lesen Sie in diesem Fall in Ihrer Produktdokumentation nach, wie diese Schritte auszuführen sind.
  1. Überprüfen Sie auf dem Clientcomputer, ob die Verbindung zum Internet einwandfrei konfiguriert ist.
  2. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, und klicken Sie auf Netzwerkverbindungen. Klicken Sie unter Netzwerkaufgaben auf Neue Verbindung erstellen, und klicken Sie auf Weiter.
  3. Klicken Sie auf Verbindung mit dem Netzwerk am Arbeitsplatz herstellen, um die DFÜ-Verbindung zu erstellen. Klicken Sie auf Weiter, um fortzufahren.
  4. Klicken Sie auf VPN-Verbindung und anschließend auf Weiter.
  5. Geben Sie einen beschreibenden Namen für diese Verbindung in das Dialogfeld Firmenname ein, und klicken Sie auf Weiter.
  6. Klicken Sie auf Keine Anfangsverbindung automatisch wählen, wenn der Computer permanent mit dem Internet verbunden ist. Wenn der Computer die Verbindung zum Internet über einen Internetdienstanbieter herstellt, klicken Sie auf Automatisch diese Anfangsverbindung wählen, und klicken Sie auf den Namen der Verbindung zum Internetdienstanbieter. Klicken Sie auf Weiter.
  7. Geben Sie die IP-Adresse oder den Hostnamen des VPN-Servercomputers (zum Beispiel VPNServer.Beispieldomäne.com) ein.
  8. Klicken Sie auf Alle Benutzer, wenn Sie jedem Benutzer, der sich bei dem Computer anmeldet, den Zugriff auf diese DFÜ-Verbindung gewähren möchten. Klicken Sie auf Eigene Verwendung, wenn diese Verbindung nur für den aktuell angemeldeten Benutzer verfügbar sein soll. Klicken Sie auf Weiter.
  9. Klicken Sie auf Fertig stellen, um die Verbindung zu speichern.
  10. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, und klicken Sie auf Netzwerkverbindungen.
  11. Doppelklicken Sie auf die neue Verbindung.
  12. Klicken Sie auf Eigenschaften, um weitere Optionen für die Verbindung zu konfigurieren. Gehen Sie folgendermaßen vor, um die Konfiguration von Optionen für die Verbindung fortzusetzen:
    • Wenn Sie eine Verbindung mit einer Domäne herstellen, klicken Sie auf die Registerkarte Optionen. Aktivieren Sie das Kontrollkästchen Windows-Anmeldedomäne einbeziehen, wenn vor dem Verbindungsversuch Domänenanmeldeinformationen von Windows Server 2003 angefordert werden sollen.
    • Wenn die Verbindung nach einer Trennung erneut angewählt werden soll, aktivieren Sie auf der Registerkarte Optionen das Kontrollkästchen Wählvorgang wiederholen, falls Verbindung getrennt wurde.
Gehen Sie folgendermaßen vor, um diese Verbindung zu verwenden:
  1. Klicken Sie auf Start, zeigen Sie auf Verbinden mit, und klicken Sie auf die neue Verbindung.
  2. Wenn aktuell keine Internetverbindung besteht, bietet Windows an, eine Verbindung zum Internet herzustellen.
  3. Nachdem die Verbindung zum Internet hergestellt wurde, fordert der VPN-Server Sie auf, Benutzernamen und Kennwort einzugeben. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, und klicken Sie auf Verbinden.
    Ihre Netzwerkressourcen sollten für Sie nun ebenso verfügbar sein wie bei einer direkten Verbindung mit dem Netzwerk.Hinweis: Klicken Sie mit der rechten Maustaste auf das Symbol der Verbindung und anschließend auf Trennen, um die Verbindung mit dem VPN zu trennen.

Problembehandlung

Problembehandlung bei RAS-VPNs

RAS-VPN-Verbindung kann nicht eingerichtet werden
  • Ursache: Der Name des Clientcomputers stimmt mit dem Namen eines anderen Computers im Netzwerk überein.

    Lösung: Stellen Sie sicher, dass alle Computer im Netzwerk und Computer, die eine Verbindung zum Netzwerk herstellen, eindeutige Computernamen verwenden.
  • Ursache: Der Routing- und RAS-Dienst wird auf dem VPN-Server nicht gestartet.

    Lösung: Überprüfen Sie den Status des Routing- und RAS-Dienstes auf dem VPN-Server.

    Weitere Informationen zum Überwachen, Starten und Beenden des Routing und RAS-Dienstes finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Der Remotezugriff ist auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie den Remotezugriff auf dem VPN-Server.

    Weitere Informationen zum Aktivieren des RAS-Servers finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: PPTP- oder L2TP-Ports sind nicht für eingehende RAS-Anforderungen aktiviert.

    Lösung: Aktivieren Sie PPTP- oder L2TP-Ports (oder beide Porttypen) für eingehende RAS-Anforderungen.

    Weitere Informationen zum Konfigurieren von Ports für den Remotezugriff finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Die von den VPN-Clients verwendeten LAN-Protokolle für den Remotezugriff sind auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie die von den VPN-Clients für den Remotezugriff verwendeten LAN-Protokolle auf dem VPN-Server.

    Weitere Informationen zum Anzeigen der Eigenschaften des RAS-Servers finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Alle PPTP- oder L2TP-Ports auf dem VPN-Server werden bereits von zurzeit verbundenen RAS-Clients oder Routern für "Wählen bei Bedarf" verwendet.

    Lösung: Stellen Sie sicher, dass alle PPTP- oder L2TP-Ports auf dem VPN-Server verwendet werden. Klicken Sie dazu in Routing und RAS auf Ports. Falls die Anzahl der zulässigen PPTP- oder L2TP-Ports nicht ausreicht, ändern Sie diese Anzahl, um mehr gleichzeitige Verbindungen zu ermöglichen.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Das Tunnelingprotokoll des VPN-Clients wird vom VPN-Server nicht unterstützt.

    In Windows Server 2003 verwenden VPN-Clients standardmäßig die Servertypoption Automatisch; dies bedeutet, dass zunächst versucht wird, eine L2TP über IPSec-basierte VPN-Verbindung herzustellen. Anschließend wird versucht, eine PPTP-basierte VPN-Verbindung herzustellen. Stellen Sie sicher, dass das ausgewählte Tunnelingprotokoll vom VPN-Server unterstützt wird, wenn VPN-Clients die Servertypoption Point-to-Point Tunneling-Protokoll (PPTP) oder Layer-2 Tunneling-Protokoll (L2TP) verwenden.

    Standardmäßig ist ein Computer, der Windows 2003 Server und den Routing- und RAS-Dienst ausführt, ein PPTP- und L2TP-Server mit fünf L2TP-Ports und fünf PPTP-Ports. Setzen Sie die Anzahl der L2TP-Ports auf null, wenn Sie einen Server erstellen möchten, der nur PPTP verwendet. Setzen Sie die Anzahl der PPTP-Ports auf null, wenn Sie einen Server erstellen möchten, der nur L2TP verwendet.

    Lösung: Stellen Sie sicher, dass die richtige Anzahl an PPTP- oder L2TP-Ports konfiguriert wurde.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Auf dem VPN-Client und dem VPN-Server sowie in der RAS-Richtlinie sind keine identischen Authentifizierungsmethoden konfiguriert.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server sowie eine RAS-Richtlinie so, dass mindestens eine gemeinsame Authentifizierungsmethode verwendet werden kann.

    Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Auf dem VPN-Client und dem VPN-Server sowie der RAS-Richtlinie sind keine identischen Verschlüsselungsmethoden konfiguriert.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server sowie eine RAS-Richtlinie so, dass mindestens eine gemeinsame Verschlüsselungsmethode verwendet werden kann.

    Weitere Informationen zum Konfigurieren der Verschlüsselung finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Die VPN-Verbindung verfügt nicht über die entsprechenden Berechtigungen in den DFÜ-Eigenschaften des Benutzerkontos und den RAS-Richtlinien.

    Lösung: Stellen Sie sicher, dass die VPN-Verbindung über die entsprechenden Berechtigungen in den DFÜ-Eigenschaften des Benutzerkontos und den RAS-Richtlinien verfügt. Damit eine Verbindung hergestellt werden kann, muss auf die Einstellungen des Verbindungsversuchs Folgendes zutreffen:
    • Sie müssen allen Anforderungen mindestens einer RAS-Richtlinie genügen.
    • RAS-Berechtigungen müssen über das Benutzerkonto (Einstellung Zugriff gestatten) oder über das Benutzerkonto (Einstellung Zugriff über RAS-Richtlinien steuern) sowie die RAS-Berechtigung der entsprechenden RAS-Richtlinie (Einstellung RAS-Berechtigung erteilen) erteilt worden sein.
    • Sie müssen allen Einstellungen des Profils entsprechen.
    • Sie müssen allen Einstellungen der DFÜ-Eigenschaften des Benutzerkontos entsprechen.
    Eine Einführung in die Arbeit mit RAS-Richtlinien und weitere Informationen zum Akzeptieren von Verbindungsversuchen finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Die Einstellungen des Profils der RAS-Richtlinie stehen in Konflikt mit Eigenschaften des VPN-Servers.

    Die Einstellungen des Profils der RAS-Richtlinie und die Eigenschaften des VPN-Servers enthalten beide Einstellungen für folgende Dinge:
    • Multilink
    • Bandwidth Allocation-Protokoll (BAP)
    • Authentifizierungsprotokolle
    Wenn die Einstellungen des Profils der entsprechenden RAS-Richtlinie in Konflikt mit den Einstellungen des VPN-Servers stehen, wird der Verbindungsversuch zurückgewiesen. Wenn das Profil der entsprechenden RAS-Richtlinie beispielsweise angibt, dass das EAP-TLS-Authentifizierungsprotokoll verwendet werden muss, und EAP auf dem VPN-Server nicht aktiviert ist, wird der Verbindungsversuch zurückgewiesen.

    Lösung: Stellen Sie sicher, dass die Einstellungen des Profils der RAS-Richtlinie nicht in Konflikt mit Eigenschaften des VPN-Servers stehen.

    Weitere Informationen zu Multilink, BAP und Authentifizierungsprotokollen finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Der antwortende Router kann die Anmeldeinformationen des anrufenden Routers (Benutzername, Kennwort und Domänenname) nicht überprüfen.

    Lösung: Stellen Sie sicher, dass die Anmeldeinformationen des VPN-Clients (Benutzername, Kennwort und Domänenname) korrekt sind und vom VPN-Server überprüft werden können.
  • Ursache: Der Pool statischer IP-Adressen enthält nicht genügend Adressen.

    Lösung: Wenn der VPN-Server mit einem statischen IP-Adresspool konfiguriert ist, stellen Sie sicher, dass der Pool genügend Adressen enthält. Wenn alle Adressen im statischen Pool verbundenen VPN-Clients zugewiesen wurden, kann der VPN-Server keine weiteren IP-Adressen zuweisen, und der Verbindungsversuch wird zurückgewiesen. Wenn alle Adressen im statischen Pool zugewiesen wurden, ändern Sie den Pool. Weitere Informationen zu TCP/IP und Remotezugriff sowie zum Erstellen eines Pools statischer IP-Adressen finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Der VPN-Client ist für das Anfordern einer eigenen IPX-Knotennummer konfiguriert, und der VPN-Server ist nicht darauf konfiguriert, IPX-Clients das Anfordern einer eigenen IPX-Knotennummer zu gestatten.

    Lösung: Konfigurieren Sie den VPN-Server darauf, IPX-Clients das Anfordern einer eigenen IPX-Knotennummer zu gestatten.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Der VPN-Server ist mit einem Bereich von IPX-Netzwerknummern konfiguriert, die an anderer Stelle im IPX-Netzwerk verwendet werden.

    Lösung: Konfigurieren Sie den VPN-Server mit einem Bereich von IPX-Netzwerknummern, die nur in Ihrem IPX-Netzwerk verwendet werden.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Der Authentifizierungsanbieter des VPN-Servers ist nicht korrekt konfiguriert.

    Lösung: Überprüfen Sie die Konfiguration des Authentifizierungsanbieters. Sie können den VPN-Server darauf konfigurieren, entweder Windows Server 2003 oder RADIUS für die Authentifizierung der Anmeldeinformationen des VPN-Clients zu verwenden.

    Weitere Informationen zu Authentifizierungs- und Kontoführungsanbietern sowie zum Verwenden der RADIUS-Authentifizierung finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Der VPN-Server kann nicht auf Active Directory zugreifen.


    Lösung: Stellen Sie für einen VPN-Server, der Mitgliedsserver in einer Windows Server 2003-Domäne im gemischten oder einheitlichen Modus und für Windows Server 2003-Authentifizierung konfiguriert ist, Folgendes sicher:
    • Die Sicherheitsgruppe RAS- und IAS-Server existiert. Wenn dies nicht der Fall ist, erstellen Sie die Gruppe, und setzen Sie anschließend den Gruppentyp auf "Sicherheit" und den Gruppenbereich auf "Lokale Domäne".
    • Die Sicherheitsgruppe RAS- und IAS-Server verfügt über die Leseberechtigung für das Objekt RAS- und IAS-Serverzugriffsprüfung.
    • Das Computerkonto des VPN-Servercomputers ist Mitglied der Sicherheitsgruppe RAS- und IAS-Server. Sie können den Befehl netsh ras show registeredserver verwenden, um die aktuelle Registrierung anzuzeigen. Sie können den Befehl netsh ras add registeredserver verwenden, um den Server in einer bestimmten Domäne zu registrieren.

      Wenn Sie den VPN-Servercomputer zu der Sicherheitsgruppe RAS- und IAS-Server hinzufügen (oder aus dieser Gruppe entfernen), wird diese Änderung nicht sofort wirksam (aufgrund der Art und Weise, wie Active Directory-Informationen in Windows Server 2003 zwischengespeichert werden). Starten Sie den VPN-Servercomputer neu, damit diese Änderung sofort wirksam wird.
    • Der VPN-Server ist Mitglied der Domäne.
    Weitere Informationen zum Hinzufügen einer Gruppe, zum Überprüfen der Berechtigungen für die RAS- und ISA-Sicherheitsgruppe und zu netsh-Befehlen für den Remotezugriff finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Ein Windows NT 4.0-basierter VPN-Server kann Verbindungsanforderungen nicht überprüfen.

    Lösung: Wenn sich VPN-Clients in einen VPN-Server einwählen, der Windows NT 4.0 ausführt und Mitglied einer Windows Server 2003-Domäne im gemischten Modus ist, stellen Sie sicher, dass die Gruppe "Jeder" mit dem folgenden Befehl zu der Gruppe "Prä-Windows 2000 kompatibler Zugriff" hinzugefügt wurde:
    "net localgroup "Pre-Windows 2000 Compatible Access""
    Falls dies nicht der Fall ist, geben Sie an einer Eingabeaufforderung auf einem Domänencontroller den folgenden Befehl ein, drücken Sie die [EINGABETASTE], und starten Sie anschließend den Domänencontroller neu:
    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    Weitere Informationen zu Windows NT 4.0-basierten RAS-Servern in einer Windows Server 2003-Domäne finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Der VPN-Server kann nicht mit dem konfigurierten RADIUS-Server kommunizieren.

    Lösung: Wenn der RADIUS-Server nur über die Internetschnittstelle erreichbar ist, führen Sie eine der folgenden Prozeduren durch:
    • Fügen Sie der Internetschnittstelle einen Eingabe- und einen Ausgabefilter für UDP-Port 1812 (basierend auf RFC 2138, "Remote Authentication Dial-In User Service [RADIUS]") hinzu. -oder-
    • Fügen Sie der Internetschnittstelle einen Eingabe- und einen Ausgabefilter für UDP-Port 1645 (für ältere RADIUS-Server) für RADIUS-Authentifizierung und UDP-Port 1813 (basierend auf RFC 2139, "RADIUS Accounting") hinzu. -oder-

    • -oder- Fügen Sie der Internetschnittstelle einen Eingabe- und einen Ausgabefilter für UDP-Port 1646 (für ältere RADIUS-Server) für RADIUS-Kontoführung hinzu.
    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Mit dem Dienstprogramm "Ping.exe" kann keine Verbindung zum VPN-Server über das Internet hergestellt werden.

    Lösung: Durch die PPTP- und L2TP über IPSec-Paketfilterung, die für die Internetschnittstelle des VPN-Servers konfiguriert ist, werden vom Ping-Befehl verwendete ICMP-Pakete (Internet Control Message Protocol) herausgefiltert. Sie müssen einen Eingabe- und einen Ausgabefilter hinzufügen, die Datenverkehr für das IP-Protokoll 1 (ICMP-Datenverkehr) ermöglichen, um den VPN-Server für Antworten auf ICMP-Pakete (Ping) zu aktivieren.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
Daten können nicht gesendet und empfangen werden
  • Ursache: Die entsprechende Schnittstelle für "Wählen bei Bedarf" wurde nicht zu dem aktuellen Routingprotokoll hinzugefügt.

    Lösung: Fügen Sie die entsprechende Schnittstelle für "Wählen bei Bedarf" zu dem aktuellen Routingprotokoll hinzu.

    Weitere Informationen zum Hinzufügen einer Routingschnittstelle finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Auf beiden Seiten der Router-zu-Router-VPN-Verbindung sind keine Routen vorhanden, die den bidirektionalen Austausch von Datenverkehr unterstützen.

    Lösung: Im Gegensatz zu einer VPN-RAS-Verbindung wird bei einer Router-zu-Router-VPN-Verbindung nicht automatisch eine Standardroute erstellt. Erstellen Sie auf beiden Seiten der Router-zu-Router-VPN-Verbindung Routen, damit der Datenverkehr an die und von der anderen Seite der Router-zu-Router-VPN-Verbindung weitergeleitet werden kann.

    Sie können der Routingtabelle manuell statische Routen hinzufügen, oder Sie können über Routingprotokolle Routen hinzufügen. Bei permanenten VPN-Verbindungen können Sie OSPF (Open Shortest Path First) oder RIP (Routing Information Protocol) für die VPN-Verbindung aktivieren. Bei VPN-Verbindungen bei Bedarf können Sie Routen automatisch über eine autostatische RIP-Aktualisierung aktualisieren. Weitere Informationen zum Hinzufügen eines IP-Routingprotokolls und einer statischen Route sowie zur Ausführung autostatischer Aktualisierungen finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Eine bidirektional eingeleitete Router-zu-Router-VPN-Verbindung wird vom antwortenden Router als RAS-Verbindung interpretiert.

    Lösung: Wenn der Benutzername in den Anmeldeinformationen des anrufenden Routers in Routing und RAS unter Einwählclients erscheint, interpretiert der antwortende Router den anrufenden Router möglicherweise als RAS-Client. Stellen Sie sicher, dass der Benutzername in den Anmeldeinformationen des anrufenden Routers dem Namen einer Schnittstelle für "Wählen bei Bedarf" auf dem antwortenden Router entspricht. Wenn der eingehende Anruf von einem Router stammt, zeigt der Port, an dem der Anruf empfangen wurde, den Status Aktiv an, und die entsprechende Schnittstelle für "Wählen bei Bedarf" befindet sich im Zustand Verbunden.

    Weitere Informationen zum Überprüfen des Status des Ports auf dem antwortenden Router und des Status der Schnittstelle für "Wählen bei Bedarf" finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Paketfilter auf den Schnittstellen für "Wählen bei Bedarf" des anrufenden und des antwortenden Routers verhindern die korrekte Datenübertragung.

    Lösung: Stellen Sie sicher, dass auf den Schnittstellen für "Wählen bei Bedarf" des anrufenden und des antwortenden Routers keine Paketfilter vorhanden sind, die das Senden oder Empfangen von Datenverkehr verhindern. Sie können jede Schnittstelle für "Wählen bei Bedarf" mit IP- und IPX-Eingabe- und Ausgabefiltern konfigurieren, um genau zu steuern, welche Art von eingehendem und ausgehendem TCP/IP- und IPX-Datenverkehr über die Schnittstelle für "Wählen bei Bedarf" zulässig ist.

    Weitere Informationen zum Verwalten von Paketfiltern finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.
  • Ursache: Paketfilter im Profil der RAS-Richtlinie verhindern den Fluss des IP-Datenverkehrs.

    Lösung: Stellen Sie sicher, dass keine TCP/IP-Paketfilter für die Profileigenschaften der RAS-Richtlinien auf dem VPN-Server (oder dem RADIUS-Server, wenn der Internetauthentifizierungsdienst verwendet wird) konfiguriert sind, die das Senden oder Empfangen von TCP/IP-Datenverkehr verhindern. Sie können RAS-Richtlinien verwenden, um TCP/IP-Eingabe- und -Ausgabepaketfilter zu konfigurieren, die die genaue Art des TCP/IP-Datenverkehrs steuern, der über die VPN-Verbindung zulässig ist. Stellen Sie sicher, dass die TCP/IP-Paketfilter des Profils den Fluss des Datenverkehrs nicht verhindern.

    Weitere Informationen zum Konfigurieren von IP-Optionen finden Sie im Hilfe- und Supportcenter von Windows Server 2003. Klicken Sie auf Start, um auf das Hilfe- und Supportcenter von Windows Server 2003 zuzugreifen.



Eigenschaften

Artikel-ID: 323441 - Geändert am: Montag, 3. Dezember 2007 - Version: 8.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbhowto kbhowtomaster kbnetwork KB323441
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com