Dieser Artikel wurde zuvor veröffentlicht unter D308208
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base: 308208
(http://support.microsoft.com/kb/308208/EN-US/
)
HOW TO: Install and Configure a Virtual Private Network Server in Windows 2000
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Ein virtuelles privates Netzwerk (Virtual Private Network, VPN) ermöglicht das Verbinden von Komponenten mit einem Netzwerk über ein anderes Netzwerk, z. B. das Internet. Sie können Ihren auf Windows 2000 Server basierenden Computer als RAS-Server definieren, damit andere Benutzer über das VPN Verbindungen zu diesem herstellen und dann auf freigegebene Dateien auf dem lokalen Laufwerk oder im Netzwerk zugreifen können. Bei einem VPN wird ein "Tunnel" über das Internet oder ein anderes öffentliches Netzwerk hergestellt, wobei dieser "Tunnel" die Sicherheit und Funktionen eines privaten Netzwerks bietet. Mit einem VPN können Verbindungen über das öffentliche Netzwerk Daten mithilfe der Routinginfrastruktur des Internets übertragen, dem Benutzer erscheint dieser Vorgang jedoch so, als würden die Daten über eine eigens eingerichtete private Verbindung gesendet.
Dieser Artikel beschreibt das Installieren eines VPNs (Virtual Private Networking) sowie das Erstellen einer neuen VPN-Verbindung in Windows 2000.
Mithilfe eines VPNs können Sie über ein öffentliches Netzwerk (z. B. das Internet) eine Verbindung zu einem privaten Netzwerk (z. B. zu Ihrem Büronetzwerk) herstellen. Auf diese Weise werden die Vorteile einer DFÜ-Verbindung zu einem DFÜ-Server mit der Einfachheit und Flexibilität einer Internetverbindung kombiniert. Mithilfe einer Internetverbindung können Sie sich von jedem Punkt der Welt aus mit Ressourcen oder mit Ihrem Büro verbinden. Hierzu reicht es in der Regel aus, wenn Sie sich am dem nächstgelegenen Internetzugangspunkt einwählen. Wenn Sie auf dem Computer und im Büro eine Hochgeschwindigkeitsverbindung ins Internet via Kabel oder DSL auf dem Computer verwenden, können Sie mit voller Internetgeschwindigkeit mit dem Büro kommunizieren. Dies ist deutlich schneller als jede modembasierte analoge DFÜ-Verbindung.
VPNs verwenden authentifizierte Verbindungen, um sicherzustellen, dass nur autorisierte Benutzer Verbindungen zum Netzwerk herstellen können, und sie setzen Verschlüsselungstechniken ein, um zu gewährleisten, dass über das Internet gesendete Daten nicht abgefangen und von anderen Benutzern verwendet werden können. Windows erreicht diese Sicherheit über PPTP (Point-to-Point Tunneling Protocol) oder L2TP (Layer Two Tunneling Protocol).
Die VPN-Technologie ermöglicht es Unternehmen außerdem, Verbindungen zu Zweigstellen oder anderen Firmen über ein öffentliches Netzwerk (z. B. über das Internet) aufzubauen und gleichzeitig die Sicherheit der Kommunikation zu gewährleisten. Die VPN-Verbindung über das Internet funktioniert logisch als dedizierte WAN-Verbindung (WAN = Wide Area Network).
Ein VPN in Windows 2000 besteht aus einem VPN-Server, einem VPN-Client, einer VPN-Verbindung (der Teil der Verbindung, in dem die Daten verschlüsselt werden) und dem Tunnel (der Teil der Verbindung, in dem die Daten eingekapselt werden). Das Tunneling erfolgt über eines der Tunnelingprotokolle, die in Windows 2000 enthalten sind. Beide Tunnelingprotokolle werden mit dem Routing und RAS-Dienst installiert. Im Lieferumfang von Windows 2000 sind die beiden folgenden Tunnelingprotokolle enthalten:
Point-to-Point Tunneling-Protokoll (PPTP): Bietet Datenverschlüsselung mittels Microsoft Punkt-zu-Punkt-Verschlüsselung.
Layer Two Tunneling-Protokoll (L2TP): Bietet Datenverschlüsselung, Authentifizierung und Integrität mittels IPSec.
Ihre Internetverbindung sollte eine nur diesem Zweck dienende (dedizierte) Leitung verwenden, wie z. B. T1, Fractional-T1 (FT-1) oder Frame Relay. Der WAN-Adapter muss mit der IP-Adresse und Subnetzmaske konfiguriert sein, die Ihrer Domäne zugewiesen wurden, oder diese von einem Internetdienstanbieter beziehen; außerdem muss die Konfiguration das Standardgateway des ISP-Routers umfassen.
Hinweis: Sie müssen mit einem Konto mit Administratorrechten angemeldet sein, um ein VPN aktivieren zu können.
Gehen Sie folgendermaßen vor, um einen VPN-Server zu installieren und zu aktivieren:
Überprüfen Sie auf dem Microsoft Windows 2000 VPN-Computer, ob die Verbindungen zum Internet sowie zum LAN (Local Area Network) einwandfrei konfiguriert sind.
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Routing und RAS.
Klicken Sie auf den Servernamen in der Struktur, klicken Sie im Menü Vorgang auf Routing und RAS konfigurieren und aktivieren, und klicken Sie danach auf Weiter.
Klicken Sie im Dialogfeld Allgemeine Konfigurationen auf VPN-Server, und klicken Sie dann auf Weiter.
Stellen Sie im Dialogfeld Remoteclientprotokolle sicher, dass TCP/IP in der Liste enthalten ist, klicken Sie auf Ja, alle verfügbaren Protokolle sind in der Liste und danach auf Weiter.
Wählen Sie im Dialogfeld Internetverbindung die Internetverbindung aus, die für das Internet verwendet wird, und klicken Sie dann auf Weiter.
Klicken Sie im Dialogfeld IP-Adresszuweisung auf die Option Automatisch, um den DHCP-Server im Subnetz zum Zuweisen von IP-Adressen zu DFÜ-Clients und zum Server zu verwenden.
Vergewissern Sie sich, dass im Dialogfeld Mehrere RAS-Server verwalten das Kontrollkästchen Nein, Server jetzt nicht für die Verwendung von RADIUS einrichten aktiviert ist.
Klicken Sie auf Next (Weiter) und anschließend auf Finish (Fertig stellen).
Klicken Sie mit der rechten Maustaste auf den Knoten Ports und anschließend mit der linken Maustaste auf Eigenschaften.
Klicken Sie im Dialogfeld Eigenschaften von Ports auf das Gerät WAN Miniport (PPTP), und klicken Sie dann auf Konfigurieren.
Führen Sie im Dialogfeld Gerät konfigurieren - WAN Miniport (PPTP) eine der folgenden Aktionen aus:
Deaktivieren Sie das Kontrollkästchen Bei Bedarf herzustellende Routingverbindungen (ein- und ausgehend), wenn Sie direkte DFÜ-VPNs zu auf dem Server installierten Modems durch Benutzer nicht unterstützen möchten.
Aktivieren Sie das Kontrollkästchen Bei Bedarf herzustellende Routingverbindungen (ein- und ausgehend), wenn Sie direkte DFÜ-VPNs zu auf dem Server installierten Modems durch Benutzer unterstützen möchten.
Geben Sie im Textfeld Maximale Anzahl Ports die maximal zulässige Anzahl gleichzeitiger PPTP-Verbindungen ein. (Diese Einstellung kann von der Anzahl der verfügbaren IP-Adressen abhängen.)
Wiederholen Sie die Schritte 11 bis 13 für das L2TP-Gerät, und klicken Sie dann auf OK.
Gehen Sie folgendermaßen vor, um den VPN-Server weiter zu konfigurieren:
Konfigurieren des RAS-Servers als Router
Damit der RAS-Server Datenverkehr in Ihrem Netzwerk einwandfrei weiterleitet und alle Pfade im Intranet vom RAS-Server aus erreichbar sind, müssen Sie diesen als Router mit statischen Routen oder mit Routingprotokollen konfigurieren.
Gehen Sie folgendermaßen vor, um den RAS-Server als Router zu konfigurieren:
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Routing und RAS.
Klicken Sie mit der rechten Maustaste auf den Servernamen, und klicken Sie auf Eigenschaften.
Aktivieren Sie auf der Registerkarte Allgemein die Option Diesen Computer aktivieren als: Router.
Wählen Sie entweder die Option Nur LAN-Routing oder die Option LAN und bei Bedarf wählendes Routing, und klicken Sie danach auf OK, um das Dialogfeld Eigenschaften zu schließen.
Konfigurieren von PPTP-Ports
Überprüfen Sie die Anzahl der benötigten PPTP-Ports. Führen Sie die folgenden Schritte aus, um die Anzahl der Ports zu überprüfen oder Ports hinzuzufügen:
Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Routing und RAS.
Erweitern Sie in der Konsolenstruktur die Option Routing und RAS, erweitern Sie den Servernamen, und klicken Sie dann auf Ports.
Klicken Sie mit der rechten Maustaste auf Ports, und klicken Sie auf Eigenschaften.
Klicken Sie im Dialogfeld Porteigenschaften auf WAN-Miniport (PPTP), und klicken Sie auf Konfigurieren.
Wählen Sie im Dialogfeld Gerät konfigurieren die maximale Anzahl an Ports für das Gerät aus, und legen Sie dann mithilfe der Optionen fest, ob das Gerät nur eingehende Verbindungen oder sowohl eingehende als auch ausgehende Verbindungen akzeptiert.
Verwalten von Adressen und Namenservern
Der VPN-Server muss IP-Adressen bereitstellen können, damit diese während der IPCP (IP Control Protocol)-Verhandlungsphase des Verbindungsvorgangs sowohl der virtuellen Schnittstelle des VPN-Servers als auch dem VPN-Client zugewiesen werden können. Die dem VPN-Client zugewiesene IP-Adresse wird der virtuellen Schnittstelle des VPN-Clients zugewiesen.
Bei VPN-Servern auf Windows 2000-Basis werden die den VPN-Clients zugewiesenen IP-Adressen standardmäßig über DHCP bezogen. Sie können auch einen Pool mit statischen IP-Adressen konfigurieren. Der VPN-Server muss in seiner Konfiguration Namenauflösungsserver enthalten (normalerweise DNS- und WINS-Serveradressen), damit diese dem VPN-Client während der IPCP-Aushandlung zugewiesen werden können.
Verwalten des Zugriffs
Konfigurieren Sie die DFÜ-Eigenschaften für Benutzerkonten und Richtlinien für den Remotezugriff (RAS-Richtlinien), um den Zugriff für DFÜ-Netzwerke und VPN-Verbindungen zu verwalten.
Hinweis: Standardmäßig wird Benutzern der Zugriff auf DFÜ verweigert.
Zugriff über Benutzerkonten
Wenn Sie den Remotezugriff auf Benutzerbasis verwalten, klicken Sie auf der Registerkarte Einwählen des Dialogfelds Eigenschaften des Benutzers für diejenigen Benutzerkonten, denen das Herstellen von VPN-Verbindungen erlaubt ist, auf Zugriff gestatten. Wenn der VPN-Server nur VPN-Verbindungen zulässt, löschen Sie die Standardrichtlinie für den Remotezugriff mit dem Namen "Zugriff zulassen, wenn Einwählrechte erteilt worden sind". Erstellen Sie anschließend eine neue Richtlinie für den Remotezugriff mit einem beschreibenden Namen, z. B. "VPN-Zugriff, wenn vom Benutzerkonto erlaubt". Weitere Informationen finden Sie in der Windows 2000-Hilfe.
Achtung: Nachdem Sie die Standardrichtlinie gelöscht haben, wird jedem DFÜ-Client, der nicht mindestens einer der von Ihnen erstellten Richtlinienkonfigurationen entspricht, der Zugriff verweigert.
Wenn der VPN-Server außerdem RAS-Dienste über DFÜ erlaubt, löschen Sie die Standardrichtlinie nicht, sondern verschieben Sie sie so, dass sie die letzte Richtlinie ist, die ausgewertet wird.
Zugriff über Gruppenmitgliedschaft
Falls Sie den Remotezugriff auf Gruppenebene steuern, klicken Sie für alle Benutzerkonten auf das Optionsfeld Zugriff über RAS-Richtlinien steuern (entweder über das Snap-In "Microsoft Active Directory-Benutzer und -Computer" oder über das MMC-Snap-In). Erstellen Sie eine Windows 2000-Gruppe mit Mitgliedern, die VPN-Verbindungen erstellen dürfen. Wenn der VPN-Server nur VPN-Verbindungen zulässt, löschen Sie die Standardrichtlinie für den Remotezugriff namens "Zugriff zulassen, wenn Einwählrechte erteilt worden sind". Erstellen Sie dann eine neue Richtlinie für den Remotezugriff mit einem beschreibenden Namen, z. B. "VPN-Zugriff, wenn Mitglied einer VPN-aktivierten Gruppe", und weisen Sie die Windows 2000-Gruppe dann der Richtlinie zu.
Wenn der VPN-Server außerdem RAS-Dienste über DFÜ-Netzwerke erlaubt, löschen Sie die Standardrichtlinie nicht, sondern verschieben Sie sie so, dass sie die letzte Richtlinie ist, die ausgewertet wird.
Konfigurieren einer VPN-Verbindung von einem Clientcomputer aus
Einrichten einer Verbindung zu einem VPN:
Überprüfen Sie auf dem Clientcomputer, ob die Verbindung zum Internet einwandfrei konfiguriert ist.
Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Netzwerk- und DFÜ-Verbindungen.
Doppelklicken Sie auf Neue Verbindung erstellen.
Klicken Sie auf Weiter, klicken Sie auf Verbindung mit einem privaten Netzwerk über das Internet herstellen, und klicken Sie dann auf Weiter.
Führen Sie einen der folgenden Schritte aus:
Wenn Sie eine Einwählverbindung zum Internet verwenden, klicken Sie auf Automatisch diese Anfangsverbindung wählen, und wählen Sie dann die DFÜ-Internetverbindung aus der Liste aus.
Wenn Sie eine Standleitung verwenden (z. B. ein Kabelmodem), klicken Sie auf Keine Anfangsverbindung automatisch wählen.
Klicken Sie auf Weiter.
Geben Sie den Hostnamen (z. B. "Microsoft.com") oder die IP-Adresse (z. B. 123.123.123.123) des Computers ein, zu dem Sie eine Verbindung herstellen möchten, und klicken Sie dann auf Weiter.
Aktivieren Sie das Kontrollkästchen Für alle Benutzer verwenden, wenn die Verbindung für alle Benutzer verfügbar sein soll, die sich bei dem Computer anmelden, oder aktivieren Sie die Option Nur selbst verwenden, wenn die Verbindung nur bei Ihrer Anmeldung am Computer verfügbar sein soll, und klicken Sie auf Weiter.
Geben Sie einen beschreibenden Namen für die Verbindung ein, und klicken Sie dann auf Fertig stellen.
Hinweis: Diese Option ist nur verfügbar, wenn Sie als Mitglied der Gruppe "Administratoren" angemeldet sind.
Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Netzwerk- und DFÜ-Verbindungen.
Doppelklicken Sie auf die neue Verbindung.
Klicken Sie auf Eigenschaften, um weitere Optionen für die Verbindung zu konfigurieren:
Wenn Sie eine Verbindung mit einer Domäne herstellen, klicken Sie auf die Registerkarte Optionen, und aktivieren Sie dann das Kontrollkästchen Windows-Anmeldedomäne einbeziehen, falls vor dem Herstellen der Verbindung Windows 2000-Domänenanmeldeinformationen angefordert werden sollen.
Wenn die Verbindung nach einer Trennung erneut angewählt werden soll, aktivieren Sie auf der Registerkarte Optionen das Kontrollkästchen Wählvorgang wiederholen, falls Verbindung getrennt wurde.
Gehen Sie folgendermaßen vor, um die Verbindung zu verwenden:
Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Netzwerk- und DFÜ-Verbindungen.
Doppelklicken Sie auf die neue Verbindung.
Wenn aktuell keine Internetverbindung besteht, bietet Windows an, eine Verbindung zum Internet herzustellen.
Nachdem die Verbindung zum Internet hergestellt wurde, fordert der VPN-Server Sie zur Eingabe des Benutzernamens und des Kennworts auf. Geben Sie Ihren Benutzernamen und das Kennwort ein, und klicken Sie auf Verbinden. Die Netzwerkressourcen sollten Ihnen dann auf die gleiche Weise wie bei einer direkten Netzwerkverbindung zur Verfügung stehen.Hinweis: Klicken Sie mit der rechten Maustaste auf das Symbol der Verbindung und dann auf Trennen, um die Verbindung mit dem VPN zu trennen.
Ursache: Der Computername des Clientcomputers ist mit dem Computernamen eines anderen Computers im Netzwerk identisch.
Lösung: Stellen Sie sicher, dass alle Computer im Netzwerk sowie die Computer, die eine Verbindung zum Netzwerk herstellen, eindeutige Computernamen verwenden.
Ursache: Der Routing- und RAS-Dienst wird auf dem VPN-Server nicht gestartet.
Lösung: Überprüfen Sie den Status des Routing- und RAS-Dienstes auf dem VPN-Server.
Sehen Sie in der Windows 2000-Onlinehilfe nach. Dort finden Sie weitere Informationen zum Überwachen, Starten und Beenden des Routing und RAS-Dienstes.
Ursache: Der Remotezugriff ist auf dem VPN-Server nicht aktiviert.
Lösung: Aktivieren Sie den Remotezugriff auf dem VPN-Server.
Weitere Informationen zum Aktivieren des RAS-Servers finden Sie in der Onlinehilfe von Windows 2000.
Ursache: PPTP- oder L2TP-Ports sind nicht für eingehende RAS-Anforderungen aktiviert.
Lösung: Aktivieren Sie die PPTP- oder L2TP-Ports (oder Ports beider Typen) für eingehende RAS-Anforderungen.
Weitere Informationen zum Konfigurieren von Ports auf den Remotezugriff finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Die von den VPN-Clients verwendeten LAN-Protokolle für den Remotezugriff sind auf dem VPN-Server nicht aktiviert.
Lösung: Aktivieren Sie die von den VPN-Clients für den Remotezugriff verwendeten LAN-Protokolle auf dem VPN-Server.
Weitere Informationen zum Einsehen der Eigenschaften eines RAS-Servers finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Alle PPTP- oder L2TP-Ports auf dem VPN-Server werden bereits von zurzeit verbundenen RAS-Clients oder Routern für "Wählen bei Bedarf" verwendet.
Lösung: Überprüfen Sie, ob bereits alle PPTP- oder L2TP-Ports auf dem VPN-Server verwendet werden, indem Sie in Routing und RAS auf Ports klicken. Ändern Sie ggf. die Anzahl der PPTP- oder L2TP-Ports, um eine größere Anzahl gleichzeitiger Verbindungen zu erlauben.
Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Das Tunnelingprotokoll des VPN-Clients wird vom VPN-Server nicht unterstützt.
Standardmäßig verwenden VPN-Clients für RAS in Windows 2000 die Servertypoption Automatisch; dies bedeutet, dass zuerst versucht wird, eine L2TP-Verbindung über eine IPSec-basierte VPN-Verbindung herzustellen, dann wird versucht, eine auf PPTP basierende VPN-Verbindung herzustellen. Stellen Sie sicher, dass das ausgewählte Tunnelingprotokoll vom VPN-Server unterstützt wird, wenn VPN-Clients die Servertypoption Point-to-Point Tunneling-Protokoll (PPTP) oder Layer-2 Tunneling-Protokoll (L2TP) verwenden.
Standardmäßig ist ein Computer, der Windows 2000 Server und den Routing- und RAS-Dienst ausführt, ein PPTP- und L2TP-Server mit fünf L2TP-Ports und fünf PPTP-Ports. Setzen Sie die Anzahl der L2TP-Ports auf null, wenn Sie einen Server erstellen möchten, der nur PPTP verwendet. Setzen Sie die Anzahl der PPTP-Ports auf null, wenn Sie einen Server erstellen möchten, der nur L2TP verwendet.
Lösung: Stellen Sie sicher, dass die richtige Anzahl an PPTP- oder L2TP-Ports konfiguriert wurde.
Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Auf dem VPN-Client und dem VPN-Server sowie in der RAS-Richtlinie sind keine identischen Authentifizierungsmethoden konfiguriert.
Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server sowie eine RAS-Richtlinie so, dass mindestens eine gemeinsame Authentifizierungsmethode verwendet werden kann.
Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Auf dem VPN-Client und dem VPN-Server sowie der RAS-Richtlinie sind keine identischen Verschlüsselungsmethoden konfiguriert.
Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server sowie eine RAS-Richtlinie so, dass mindestens eine gemeinsame Verschlüsselungsmethode verwendet werden kann.
Weitere Informationen zum Konfigurieren der Verschlüsselung finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Die VPN-Verbindung verfügt nicht über die entsprechenden Berechtigungen in den DFÜ-Eigenschaften des Benutzerkontos und den RAS-Richtlinien.
Lösung: Stellen Sie sicher, dass die VPN-Verbindung über die entsprechenden Berechtigungen in den DFÜ-Eigenschaften des Benutzerkontos und den RAS-Richtlinien verfügt. Damit eine Verbindung hergestellt werden kann, muss auf die Einstellungen des Verbindungsversuchs Folgendes zutreffen:
Sie müssen allen Anforderungen mindestens einer RAS-Richtlinie genügen.
RAS-Berechtigungen müssen über das Benutzerkonto (Einstellung Zugriff gestatten) oder über das Benutzerkonto (Einstellung Zugriff über RAS-Richtlinien steuern) sowie die RAS-Berechtigung der entsprechenden RAS-Richtlinie (Einstellung RAS-Berechtigung erteilen) erteilt worden sein.
Sie müssen allen Einstellungen des Profils entsprechen.
Sie müssen allen Einstellungen der DFÜ-Eigenschaften des Benutzerkontos entsprechen.
Eine Einführung in die Arbeit mit Remotezugriffsrichtlinien und weitere Informationen zum Entgegennehmen von Verbindungsanforderungen finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Die Einstellungen des Profils der RAS-Richtlinie stehen in Konflikt mit Eigenschaften des VPN-Servers.
Die Einstellungen des Profils der RAS-Richtlinie und die Eigenschaften des VPN-Servers enthalten beide Einstellungen für folgende Dinge:
Multilink
Bandwidth Allocation-Protokoll (BAP)
Authentifizierungsprotokolle
Wenn die Einstellungen des Profils der entsprechenden RAS-Richtlinie in Konflikt mit den Einstellungen des VPN-Servers stehen, wird der Verbindungsversuch zurückgewiesen. Wenn das entsprechende Profil der Richtlinie für den Remotezugriff z. B. angibt, dass das EAP-TLS-Authentifizierungsprotokoll verwendet werden muss, und EAP auf dem VPN-Server nicht aktiviert ist, wird der Verbindungsversuch zurückgewiesen.
Lösung: Stellen Sie sicher, dass die Einstellungen des Profils der RAS-Richtlinie nicht in Konflikt mit Eigenschaften des VPN-Servers stehen.
Weitere Informationen zum Aktivieren von Authentifizierungsprotokollen finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der antwortende Router kann die Anmeldeinformationen des anrufenden Routers (Benutzername, Kennwort und Domänenname) nicht überprüfen.
Lösung: Stellen Sie sicher, dass die Anmeldeinformationen des VPN-Clients (Benutzername, Kennwort und Domänenname) korrekt sind und vom VPN-Server überprüft werden können.
Ursache: Der Pool statischer IP-Adressen enthält nicht genügend Adressen.
Lösung: Wenn der VPN-Server mit einem statischen IP-Adresspool konfiguriert ist, stellen Sie sicher, dass der Pool genügend Adressen enthält. Wenn alle Adressen im statischen Pool verbundenen VPN-Clients zugewiesen wurden, kann der VPN-Server keine weiteren IP-Adressen zuweisen, und der Verbindungsversuch wird zurückgewiesen. Bearbeiten Sie ggf. den statischen IP-Adresspool. Weitere Informationen zu TCP/IP und Remotezugriff sowie zum Erstellen eines statischen IP-Adresspools finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der VPN-Client ist für das Anfordern einer eigenen IPX-Knotennummer konfiguriert, und der VPN-Server ist nicht dafür konfiguriert, IPX-Clients das Anfordern einer eigenen IPX-Knotennummer zu erlauben.
Lösung: Konfigurieren Sie den VPN-Server so, dass er IPX-Clients das Anfordern einer eigenen IPX-Knotennummer erlaubt.
Weitere Informationen zu IPX und Remotezugriff finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der VPN-Server ist mit einem Bereich von IPX-Netzwerknummern konfiguriert, die an anderer Stelle im IPX-Netzwerk verwendet werden.
Lösung: Konfigurieren Sie den VPN-Server mit einem Bereich von IPX-Netzwerknummern, die nur in Ihrem IPX-Netzwerk verwendet werden.
Weitere Informationen zu IPX und Remotezugriff finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der Authentifizierungsanbieter des VPN-Servers ist nicht korrekt konfiguriert.
Lösung: Überprüfen Sie die Konfiguration des Authentifizierungsanbieters. Sie können den VPN-Server entweder für die Verwendung von Windows 2000 oder von RADIUS für die Authentifizierung der Anmeldeinformationen des VPN-Clients konfigurieren.
Weitere Informationen zu Authentifizierungs- und Buchhaltungsanbietern sowie zum Einsatz der RADIUS-Authentifizierung finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der VPN-Server kann nicht auf Active Directory zugreifen.
Lösung: Stellen Sie für einen VPN-Server, der Mitgliedsserver in einer Windows 2000-Domäne im gemischten oder einheitlichen Modus ist und für die Windows 2000-Authentifizierung konfiguriert wurde, sicher, dass die folgenden Bedingungen erfüllt sind:
Die Sicherheitsgruppe RAS- und IAS-Server existiert. Wenn dies nicht der Fall ist, erstellen Sie die Gruppe, und setzen Sie anschließend den Gruppentyp auf "Sicherheit" und den Gruppenbereich auf "Lokale Domäne".
Die Sicherheitsgruppe RAS- und IAS-Server verfügt über die Leseberechtigung für das Objekt RAS- und IAS-Serverzugriffsprüfung.
Das Computerkonto des VPN-Servercomputers ist Mitglied der Sicherheitsgruppe RAS- und IAS-Server. Sie können den Befehl netsh ras show registeredserver verwenden, um die aktuelle Registrierung anzuzeigen. Sie können den Befehl "netsh ras add registeredserver" zum Registrieren des Servers in einer bestimmten Domäne verwenden.
Wenn Sie den VPN-Servercomputer der Sicherheitsgruppe RAS- und IAS-Server hinzufügen (oder ihn aus dieser Gruppe entfernen), wird diese Änderung nicht sofort wirksam (wegen der Zwischenspeicherung von Active Directory-Informationen in Windows 2000). Sie müssen den VPN-Servercomputer neu starten, damit diese Änderung sofort wirksam wird.
Bei Domänen im einheitlichen Modus ist der VPN-Server der Domäne beigetreten.
Sehen Sie in der Windows 2000-Onlinehilfe nach. Dort finden Sie weitere Informationen zum Überprüfen der Berechtigungen für die RAS- und ISA-Sicherheitsgruppe sowie zu den NetShell-Befehlen für den Remotezugriff.
Ursache: Ein Windows NT 4.0 VPN-Server kann Verbindungsanforderungen nicht überprüfen.
Lösung: Wenn sich VPN-Clients in einen VPN-Server einwählen, der Windows NT 4.0 ausführt und Mitglied einer Windows 2000-Domäne im gemischten Modus ist, stellen Sie sicher, dass die Gruppe Jeder der Gruppe Prä-Windows 2000 kompatibler Zugriff mit dem folgenden Befehl hinzugefügt wurde:
Falls dies nicht der Fall ist, geben Sie an einer Eingabeaufforderung auf einem Domänencontroller den folgenden Befehl ein, drücken Sie die [EINGABETASTE], und starten Sie anschließend den Domänencontroller neu:
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
Weitere Informationen zu Windows NT 4.0-RAS-Servern in einer Windows 2000-Domäne finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der VPN-Server kann nicht mit dem konfigurierten RADIUS-Server kommunizieren.
Lösung: Wenn der RADIUS-Server nur über die Internetschnittstelle erreichbar ist, fügen Sie der Internetschnittstelle einen Eingabe- und einen Ausgabefilter für UDP-Port 1812 (basierend auf RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") oder UDP-Port 1645 (für ältere RADIUS-Server) für RADIUS-Authentifizierung und UDP-Port 1813 (basierend auf RFC 2139, "RADIUS Accounting") oder einen UDP-Port 1646 (für ältere RADIUS-Server) für RADIUS-Kontoführung hinzu.
Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Mit dem Dienstprogramm "Ping.exe" kann keine Verbindung zum VPN-Server über das Internet hergestellt werden.
Lösung: Durch die PPTP- und L2TP- über IPSec-Paketfilterung, die für die Internetschnittstelle des VPN-Servers konfiguriert ist, werden ICMP (Internet Control Message Protocol)-Pakete, die vom Befehl "ping" verwendet werden, ausgefiltert. Sie müssen einen Eingabe- und einen Ausgabefilter hinzufügen, die Datenverkehr für das IP-Protokoll 1 (ICMP-Datenverkehr) ermöglichen, um den VPN-Server für Antworten auf ICMP-Pakete (ping) zu aktivieren.
Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie in der Onlinehilfe von Windows 2000.
Problembehandlung bei Router-zu-Router-VPNs
Router-zu-Router-VPN-Verbindung kann nicht hergestellt werden
Ursache: Der Routing und RAS-Dienst wird auf dem VPN-Server (dem anrufenden Router) und dem VPN-Server (dem antwortenden Router) nicht gestartet.
Lösung: Überprüfen Sie den Status des Routing- und RAS-Dienstes auf dem VPN-Client und dem VPN-Server.
Sehen Sie in der Windows 2000-Onlinehilfe nach. Dort finden Sie weitere Informationen zum Überwachen, Starten und Beenden des Routing und RAS-Dienstes.
Ursache: LAN- und WAN-Routing ist auf dem anrufenden Router und dem antwortenden Router nicht aktiviert.
Lösung: Aktivieren Sie die Option LAN- und WAN-Routing auf dem anrufenden Router und dem antwortenden Router.
Weitere Informationen zum Aktivieren von LAN- und WAN-Routing finden Sie in der Onlinehilfe von Windows 2000.
Ursache: PPTP- oder L2TP-Ports sind für bei Bedarf herzustellende eingehende und ausgehende Routingverbindungen nicht aktiviert.
Lösung: Aktivieren Sie PPTP- oder L2TP-Ports (oder beide Porttypen) für bei Bedarf herzustellende eingehende und ausgehende Routingverbindungen.
Weitere Informationen zum Aktivieren von Routing für bestimmte Ports finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Alle PPTP- oder L2TP-Ports auf dem anrufenden oder antwortenden Router werden bereits von zurzeit verbundenen RAS-Clients oder Routern für "Wählen bei Bedarf" verwendet.
Lösung: Überprüfen Sie, ob bereits alle PPTP- oder L2TP-Ports auf dem VPN-Server verwendet werden, indem Sie in Routing und RAS auf Ports klicken. Ändern Sie ggf. die Anzahl der PPTP- oder L2TP-Ports, um eine größere Anzahl gleichzeitiger Verbindungen zu erlauben.
Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der antwortende Router unterstützt das vom anrufenden Router verwendete Tunnelingprotokoll nicht.
Standardmäßig verwenden Schnittstellen für "Wählen bei Bedarf" in Windows 2000 die Servertypoption Automatisch; dies bedeutet, dass zuerst versucht wird, eine L2TP-Verbindung über eine IPSec-basierte VPN-Verbindung herzustellen. Dann wird versucht, eine auf PPTP basierende VPN-Verbindung herzustellen. Stellen Sie sicher, dass das ausgewählte Tunnelingprotokoll vom antwortenden Router unterstützt wird, wenn anrufende Router die Servertypoption Point-to-Point Tunneling-Protokoll (PPTP) oder Layer-2 Tunneling-Protokoll (L2TP) verwenden.
Standardmäßig ist ein Computer, der Windows 2000 Server und den Routing- und RAS-Dienst ausführt, ein PPTP- und L2TP-fähiger Router für "Wählen bei Bedarf" mit fünf L2TP-Ports und fünf PPTP-Ports. Setzen Sie die Anzahl der L2TP-Ports auf den Wert null, wenn Sie einen Router erstellen möchten, der nur PPTP verwendet. Setzen Sie die Anzahl der PPTP-Ports auf den Wert Null, wenn Sie einen Router erstellen möchten, der nur L2TP verwendet.
Lösung: Stellen Sie sicher, dass die richtige Anzahl von PPTP- oder L2TP-Ports auf dem anrufenden und dem antwortenden Router konfiguriert wurde.
Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der anrufende Router und der antwortende Router sowie eine RAS-Richtlinie sind nicht für die Verwendung mindestens einer gemeinsamen Authentifizierungsmethode konfiguriert.
Lösung: Konfigurieren Sie den anrufenden und den antwortenden Router sowie eine RAS-Richtlinie für die Verwendung mindestens einer gemeinsamen Authentifizierungsmethode.
Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der anrufende Router und der antwortende Router sowie eine RAS-Richtlinie sind nicht für die Verwendung mindestens einer gemeinsamen Verschlüsselungsmethode konfiguriert.
Lösung: Konfigurieren Sie den anrufenden und den antwortenden Router sowie eine RAS-Richtlinie für die Verwendung mindestens einer gemeinsamen Verschlüsselungsmethode.
Weitere Informationen zum Konfigurieren der Verschlüsselung finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Die VPN-Verbindung verfügt nicht über die entsprechenden Berechtigungen in den DFÜ-Eigenschaften des Benutzerkontos und den RAS-Richtlinien.
Lösung: Stellen Sie sicher, dass die VPN-Verbindung über die entsprechenden Berechtigungen in den DFÜ-Eigenschaften des Benutzerkontos und den RAS-Richtlinien verfügt. Damit eine Verbindung hergestellt werden kann, muss auf die Einstellungen des Verbindungsversuchs Folgendes zutreffen:
Sie müssen allen Anforderungen mindestens einer RAS-Richtlinie genügen.
RAS-Berechtigungen müssen über das Benutzerkonto (Einstellung Zugriff gestatten) oder über das Benutzerkonto (Einstellung Zugriff über RAS-Richtlinien steuern) sowie die RAS-Berechtigung der entsprechenden RAS-Richtlinie (Einstellung RAS-Berechtigung erteilen) erteilt worden sein.
Sie müssen allen Einstellungen des Profils entsprechen.
Sie müssen allen Einstellungen der DFÜ-Eigenschaften des Benutzerkontos entsprechen.
Eine Einführung in die Arbeit mit Remotezugriffsrichtlinien und weitere Informationen zum Entgegennehmen von Verbindungsanforderungen finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Die Einstellungen des Profils der RAS-Richtlinie stehen in Konflikt mit den Eigenschaften des antwortenden Routers. Die Einstellungen des Profils der RAS-Richtlinie und die Eigenschaften des antwortenden Routers enthalten beide Einstellungen für Folgendes:
Multilink
Bandwidth Allocation-Protokoll (BAP)
Authentifizierungsprotokolle
Wenn die Einstellungen des Profils der entsprechenden RAS-Richtlinie in Konflikt mit den Einstellungen des antwortenden Routers stehen, wird der Verbindungsversuch zurückgewiesen. Wenn das entsprechende Profil der Richtlinie für Remotezugriff z. B. angibt, dass das EAP-TLS-Authentifizierungsprotokoll verwendet werden muss, und EAP auf dem antwortenden Router nicht aktiviert ist, wird der Verbindungsversuch zurückgewiesen.
Lösung: Stellen Sie sicher, dass die Einstellungen des Profils der RAS-Richtlinie nicht in Konflikt mit den Eigenschaften des RAS-Routers stehen.
Weitere Informationen zum Aktivieren von Authentifizierungsprotokollen finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Die Anmeldeinformationen des anrufenden Routers (Benutzername, Kennwort und Domänenname) sind nicht korrekt und können vom antwortenden Router nicht überprüft werden.
Lösung: Stellen Sie sicher, dass die Anmeldeinformationen des anrufenden Routers (Benutzername, Kennwort und Domänenname) korrekt sind und vom antwortenden Router überprüft werden können.
Ursache: Der Pool statischer IP-Adressen enthält nicht genügend Adressen.
Lösung: Wenn der antwortende Router mit einem Pool statischer IP-Adressen konfiguriert ist, stellen Sie sicher, dass der Pool genügend Adressen enthält. Wenn alle Adressen im statischen Pool verbundenen RAS-Clients oder Routern für "Wählen bei Bedarf" zugewiesen wurden, kann der antwortende Router keine weiteren IP-Adressen zuweisen, und der Verbindungsversuch wird zurückgewiesen. Bearbeiten Sie ggf. den statischen IP-Adresspool.
Weitere Informationen zu TCP/IP und Remotezugriff sowie zum Erstellen eines statischen IP-Adresspools finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der antwortende Router ist mit einem Bereich von IPX-Netzwerknummern konfiguriert, die bereits andernorts im IPX-Netzwerk verwendet werden.
Lösung: Konfigurieren Sie den antwortenden Router mit einem Bereich von IPX-Netzwerknummern, die nur in Ihrem IPX-Netzwerk verwendet werden.
Weitere Informationen zu IPX und Remotezugriff finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der Authentifizierungsanbieter des antwortenden Routers ist falsch konfiguriert.
Lösung: Überprüfen Sie die Konfiguration des Authentifizierungsanbieters. Sie können den antwortenden Router entweder für die Verwendung von Windows 2000 oder von RADIUS zur Authentifizierung der Anmeldeinformationen des VPN-Clients konfigurieren.
Weitere Informationen zu Authentifizierungs- und Buchhaltungsanbietern sowie zum Einsatz der RADIUS-Authentifizierung finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der antwortende Router kann nicht auf Active Directory zugreifen.
Lösung: Stellen Sie bei einem antwortenden Router, der Mitgliedsserver in einer Windows 2000-Domäne im gemischten oder einheitlichen Modus ist und für Windows 2000-Authentifizierung konfiguriert wurde, sicher, dass die folgenden Bedingungen erfüllt sind:
Die Sicherheitsgruppe RAS- und IAS-Server existiert. Wenn dies nicht der Fall ist, erstellen Sie die Gruppe, und legen Sie dann für den Gruppentyp Sicherheit und für den Gruppenbereich Lokale Domäne fest.
Die Sicherheitsgruppe RAS- und IAS-Server verfügt über die Leseberechtigung für das Objekt RAS- und IAS-Serverzugriffsprüfung.
Das Computerkonto des antwortenden Routercomputers ist Mitglied der Sicherheitsgruppe RAS- und IAS-Server. Sie können den folgenden Befehl verwenden, um die aktuelle Registrierung einzusehen:
"netsh ras show registeredserver"
Sie können den folgenden Befehl verwenden, um den Server in einer bestimmten Domäne zu registrieren:
"netsh ras add registeredserver"
Wenn Sie den antwortenden Routercomputer der Sicherheitsgruppe RAS- und IAS-Server hinzufügen (oder ihn aus dieser Gruppe entfernen), wird diese Änderung nicht sofort wirksam (wegen der Zwischenspeicherung von Active Directory-Informationen in Windows 2000). Damit diese Änderung sofort wirksam wird, müssen Sie den antwortenden Routercomputer neu starten.
Bei Domänen im einheitlichen Modus ist der antwortende Router der Domäne beigetreten.
Sehen Sie in der Windows 2000-Onlinehilfe nach. Dort finden Sie weitere Informationen Hinzufügen einer Gruppe, zum Überprüfen der Berechtigungen für die RAS- und ISA-Sicherheitsgruppe sowie zu den NetShell-Befehlen für den Remotezugriff.
Ursache: Ein antwortender Router, der Windows NT 4.0 mit RRAS (Routing- und RAS-Dienst) ausführt, kann Verbindungsanforderungen nicht überprüfen.
Lösung: Wenn sich anrufende Router in einen antwortenden Router einwählen, der Windows NT 4.0 mit RRAS ausführt und Mitglied einer Windows 2000-Domäne im gemischten Modus ist, stellen Sie sicher, dass die Gruppe Jeder der Gruppe Prä-Windows 2000 kompatibler Zugriff mit dem folgenden Befehl hinzugefügt wurde:
Sollte dies nicht der Fall sein, geben Sie in einer Eingabeaufforderung auf dem Domänencontroller den folgenden Befehl ein, und starten Sie dann den Domänencontroller neu:
Weitere Informationen zu Windows NT 4.0-RAS-Servern in einer Windows 2000-Domäne finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Der antwortende Router kann nicht mit dem konfigurierten RADIUS-Server kommunizieren.
Lösung: Wenn der RADIUS-Server nur über die Internetschnittstelle erreichbar ist, fügen Sie der Internetschnittstelle einen Eingabe- und einen Ausgabefilter für UDP-Port 1812 (basierend auf RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") oder UDP-Port 1645 (für ältere RADIUS-Server) für RADIUS-Authentifizierung und UDP-Port 1813 (basierend auf RFC 2139, "RADIUS Accounting") oder einen UDP-Port 1646 (für ältere RADIUS-Server) für RADIUS-Kontoführung hinzu.
Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Mit dem Dienstprogramm "Ping.exe" kann keine Verbindung zum antwortenden Router über das Internet hergestellt werden.
Lösung: Durch die PPTP- und L2TP- über IPSec-Paketfilterung, die für die Internetschnittstelle des antwortenden Routers konfiguriert ist, werden ICMP (Internet Control Message Protocol)-Pakete, die vom Befehl Ping verwendet werden, ausgefiltert. Sie müssen einen Eingabe- und einen Ausgabefilter hinzufügen, die Datenverkehr für das IP-Protokoll 1 (ICMP-Datenverkehr) ermöglichen, um den antwortenden Router für Antworten auf ICMP-Pakete zu aktivieren.
Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie in der Onlinehilfe von Windows 2000.
Daten können nicht gesendet und empfangen werden
Ursache: Die entsprechende Schnittstelle für "Wählen bei Bedarf" wurde nicht zu dem aktuellen Routingprotokoll hinzugefügt.
Lösung: Fügen Sie die entsprechende Schnittstelle für "Wählen bei Bedarf" zu dem aktuellen Routingprotokoll hinzu.
Weitere Informationen zum Hinzufügen einer Routingschnittstelle finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Auf beiden Seiten der Router-zu-Router-VPN-Verbindung sind keine Routen vorhanden, die den bidirektionalen Austausch von Datenverkehr unterstützen.
Lösung: Im Gegensatz zu einer VPN-RAS-Verbindung wird bei einer Router-zu-Router-VPN-Verbindung nicht automatisch eine Standardroute erstellt. Sie müssen auf beiden Seiten der Router-zu-Router-VPN-Verbindung Routen erstellen, damit der Datenverkehr an die und von der anderen Seite der Router-zu-Router-VPN-Verbindung geroutet werden kann.
Sie können der Routingtabelle manuell statische Routen hinzufügen, oder Sie können über Routingprotokolle Routen hinzufügen. Für dauerhafte VPN-Verbindungen können Sie OSPF (Open Shortest Path First) oder RIP (Routing Information Protocol) für die VPN-Verbindung aktivieren. Bei VPN-Verbindungen bei Bedarf können Sie Routen automatisch über eine autostatische RIP-Aktualisierung aktualisieren. Sehen Sie in der Windows 2000-Onlinehilfe nach. Dort finden Sie weitere Informationen zum Hinzufügen eines IP-Routingprotokolls und einer statischen Route sowie zur Ausführung automatischer Aktualisierungen.
Ursache: Eine bidirektional eingeleitete Router-zu-Router-VPN-Verbindung wird vom antwortenden Router als RAS-Verbindung interpretiert.
Lösung: Wenn der Benutzername in den Anmeldeinformationen des anrufenden Routers in Routing und RAS unter Einwählclients erscheint, interpretiert der antwortende Router den anrufenden Router möglicherweise als RAS-Client. Stellen Sie sicher, dass der Benutzername in den Anmeldeinformationen des anrufenden Routers dem Namen einer Schnittstelle für "Wählen bei Bedarf" auf dem antwortenden Router entspricht. Wenn der eingehende Anruf von einem Router stammt, zeigt der Port, an dem der Anruf empfangen wurde, den Status Aktiv an, und die entsprechende Schnittstelle für "Wählen bei Bedarf" befindet sich im Zustand Verbunden.
Sehen Sie in der Windows 2000-Onlinehilfe nach. Dort finden Sie weitere Informationen dazu, wie Sie den Status des Ports auf dem antwortenden Router und den Status der Schnittstelle für "Wählen bei Bedarf" überprüfen können.
Ursache: Paketfilter auf den Schnittstellen für "Wählen bei Bedarf" des anrufenden und des antwortenden Routers verhindern den Fluss des Datenverkehrs.
Lösung: Stellen Sie sicher, dass auf den Schnittstellen für "Wählen bei Bedarf" des anrufenden und des antwortenden Routers keine Paketfilter vorhanden sind, die das Senden oder Empfangen von Datenverkehr verhindern. Sie können jede Schnittstelle für "Wählen bei Bedarf" mit IP- und IPX-Eingabe- und Ausgabefiltern konfigurieren, um die genaue Art des TCP/IP- und IPX-Datenverkehrs zu steuern, der über die Schnittstelle für "Wählen bei Bedarf" zulässig ist (Eingabe und Ausgabe).
Weitere Informationen zum Verwalten von Paketfiltern finden Sie in der Onlinehilfe von Windows 2000.
Ursache: Paketfilter im Profil der RAS-Richtlinie verhindern den Fluss des IP-Datenverkehrs.
Lösung: Stellen Sie sicher, dass keine TCP/IP-Paketfilter für die Profileigenschaften der RAS-Richtlinien auf dem VPN-Server (oder dem RADIUS-Server, wenn der Internetauthentifizierungsdienst verwendet wird) konfiguriert sind, die das Senden oder Empfangen von TCP/IP-Datenverkehr verhindern. Sie können Richtlinien für den Remotezugriff zum Konfigurieren der TCP/IP-Eingabe- und -Ausgabepaketfilter verwenden, die die genaue Art des TCP/IP-Datenverkehrs steuern, der über die VPN-Verbindung zulässig ist. Stellen Sie sicher, dass die TCP/IP-Paketfilter des Profils nicht den Fluss des erforderlichen Datenverkehrs verhindern.
Weitere Informationen zum Konfigurieren von IP-Optionen finden Sie in der Onlinehilfe von Windows 2000.
Weitere Informationen zum Erstellen einer VPN-Verbindung in Windows XP finden Sie in folgendem Artikel der Microsoft Knowledge Base:
305550
(http://support.microsoft.com/kb/305550/DE/
)
SO WIRD'S GEMACHT: Konfigurieren einer VPN-Verbindung zu Ihrem Firmennetzwerk in Windows XP Professional
Weitere Informationen finden Sie in folgenden Artikeln der Microsoft Knowledge Base:
255784
(http://support.microsoft.com/kb/255784/DE/
)
Increasing security on Windows 2000 VPN Server
254018
(http://support.microsoft.com/kb/254018/DE/
)
Konfiguration von Eingabefiltern für Dienste, die hinter der Netzwerkadressübersetzung laufen
260926
(http://support.microsoft.com/kb/260926/DE/
)
Assistent für das Konfigurieren von Routing und RAS für VPN-Server erstellt nicht spezifische Ein- und Ausgabefilter
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Bitte geben Sie Ihr Feedback zu diesem Artikel ab
Hat dieser Artikel bei der Lösung Ihres Problems geholfen?
Ja
Nein
Ich weiß nicht
Waren die Informationen für Ihr Problem relevant?
Ja
Nein
Wie könnte man den Artikelinhalt verbessern?
Hinweis: Leider können wir keine Kommentare persönlich beantworten.
Danke! Dieses Feedback hilft uns dabei, die Supportartikel weiter zu verbessern. Weitere Informationen finden Sie auf der Hilfe und Support-Startseite.
Zum Anfang
