Comment faire pour installer et configurer un serveur de réseau privé virtuel Serveur sur Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 308208 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F308208
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

Un réseau privé virtuel (VPN) vous permet de connecter des composants à un réseau par l'intermédiaire d'un autre réseau tel qu'Internet. Vous pouvez transformer votre ordinateur Windows 2000 Server en un serveur d'accès distant de façon à ce que d'autres utilisateurs puissent s'y connecter à l'aide d'un VPN et accéder aux fichiers partagés présents sur vos lecteurs locaux ou votre réseau. Les réseaux privés virtuels parviennent à cela par " tunnellisation " à travers Internet ou un autre réseau public, d'une manière qui offre le même niveau de sécurité et les mêmes fonctionnalités qu'un réseau privé. Avec un réseau privé virtuel, des connexions établies à travers le réseau public peuvent assurer le transfert de données en utilisant l'infrastructure de routage d'Internet, alors que pour l'utilisateur, il semble que les données ont été envoyées via une liaison privée spécialisée.

Le présent article explique comment installer un réseau privé virtuel et créer une connexion VPN sur Windows 2000.

Présentation d'un réseau privé virtuel (VPN)

Un réseau privé virtuel est un moyen de se connecter à un réseau privé (comme votre réseau d'entreprise) par le biais d'un réseau public tel qu'Internet. Il allie les avantages d'une connexion d'accès à distance avec un serveur d'accès distant à la souplesse et la commodité d'une connexion Internet. En utilisant une connexion Internet, vous pouvez voyager dans le monde entier tout ayant la possibilité, dans la plupart des cas, de vous connecter à votre entreprise par un simple appel local au fournisseur d'accès Internet le plus proche. Si vous disposez d'une connexion Internet à haut débit (liaison par câble ou DSL, par exemple) sur votre ordinateur (et à votre bureau), vous pouvez communiquer avec votre entreprise au plein débit Internet, qui est beaucoup plus rapide que n'importe quelle connexion d'accès à distance à l'aide d'un modem analogique.

Les VPN utilisent des liaisons authentifiées qui garantissent que seuls les utilisateurs autorisés peuvent se connecter à votre réseau. De plus, ils utilisent le cryptage pour garantir que les données qui circulent sur Internet ne peuvent être interceptées et utilisées par d'autres personnes. Windows assure ce niveau de sécurité en utilisant le protocole PPTP (Point-to-Point Tunneling Protocol) ou le protocole L2TP (Layer Two Tunneling Protocol).

La technologie VPN permet également à une entreprise de se connecter à ses succursales ou à d'autres sociétés via un réseau public (comme Internet) tout en préservant la sécurité des communications. La connexion VPN via Internet fonctionne logiquement comme une liaison réseau à grande distance (WAN) spécialisée.

Composants d'un VPN

Dans Windows 2000, un réseau privé virtuel (VPN) est composé d'un serveur VPN, d'un client VPN, d'une connexion VPN (la partie de la connexion où les données sont cryptées) et du tunnel (la partie de la connexion où les données sont encapsulées). La tunnellisation est effectuée par le biais de l'un des protocoles de tunnellisation fournis avec Windows 2000, qui sont tous les deux installés avec le service Routage et accès distant. Les deux protocoles de tunnellisation fournis avec Windows 2000 sont les suivants :
  • PPTP (Point-to-Point Tunneling Protocol) : Assure le cryptage des données à l'aide du Cryptage point à point Microsoft
  • L2TP (Layer Two Tunneling Protocol) : Assure le cryptage, l'authentification et l'intégrité des données à l'aide du protocole IPSec
Il est recommandé que votre connexion à Internet utilise une ligne spécialisée de type T1, T1 fractionnel ou relais de trames. La carte WAN doit être configurée avec l'adresse IP et le masque de sous-réseau attribués à votre domaine ou fournis par un fournisseur de services Internet (ISP, Internet Service Provider), ainsi qu'avec la passerelle par défaut du routeur ISP.

REMARQUE : pour activer un VPN, vous devez ouvrir une session à l'aide d'un compte disposant des droits d'administration.

Installation et activation d'un VPN

Pour installer et activer un serveur VPN, procédez comme suit :
  1. Sur l'ordinateur VPN Microsoft Windows 2000, confirmez que la connexion à Internet et la connexion à votre réseau local (LAN, Local Area Network) sont toutes les deux correctement configurées.
  2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et accès distant.
  3. Cliquez sur le nom de serveur dans l'arborescence, puis sur Configurer et activer le routage et l'accès distant dans le menu Action. Cliquez sur Suivant.
  4. Dans la boîte de dialogue Configurations communes, cliquez sur Serveur de réseau privé virtuel (VPN), puis sur Suivant.
  5. Dans la boîte de dialogue Protocoles du client distant, confirmez que TCP/IP est inclus dans la liste, cliquez sur Oui, tous les protocoles requis sont dans cette liste, puis sur Suivant.
  6. Dans la boîte de dialogue Connexion Internet, sélectionnez la connexion Internet utilisée pour vous connecter à Internet, puis cliquez sur Suivant.
  7. Dans la boîte de dialogue Attribution d'adresses IP, sélectionnez Automatiquement pour utiliser le serveur DHCP de votre sous-réseau pour attribuer des adresses IP aux clients d'accès distant et au serveur.
  8. Dans la boîte de dialogue Gestion des serveurs d'accès à distance multiples, confirmez que la case à cocher Non, je ne veux pas configurer ce serveur pour utiliser RADIUS maintenant est activée.
  9. Cliquez sur Suivant, puis sur Terminer.
  10. Cliquez avec le bouton droit sur le noeud Ports, puis cliquez sur Propriétés.
  11. Dans la boîte de dialogue Propriétés de Ports, cliquez sur le périphérique Miniport WAN (PPTP), puis sur Configurer.
  12. Dans la boîte de dialogue Configurer le périphérique - Miniport WAN (PPTP), effectuez l'une des opérations suivantes :
    • Si vous ne voulez pas prendre en charge un VPN d'accès utilisateur distant direct aux modems installés sur le serveur, désactivez la case à cocher Connexions de routage à la demande (entrantes et sortantes).
    • Si vous voulez prendre en charge un VPN d'accès utilisateur distant direct aux modems installés sur le serveur, activez la case à cocher Connexions de routage à la demande (entrantes et sortantes).
  13. Tapez le nombre maximal de connexions PPTP simultanées que vous voulez autoriser dans la zone de texte Nombre maximum de ports. (Ce nombre peut dépendre du nombre d'adresses IP disponibles.)
  14. Répétez les étapes 11 à 13 pour le périphérique L2TP, puis cliquez sur OK.

Configuration du serveur VPN

Pour configurer le serveur VPN selon vos besoins, procédez comme décrit ci-après.

Configuration du serveur d'accès distant en tant que routeur

Pour que le serveur d'accès distant puisse acheminer le trafic correctement sur votre réseau, vous devez le configurer en tant que routeur avec soit des itinéraires statiques, soit des protocoles de routage, de façon à ce que tous les sites sur l'intranet soient joignables à partir du serveur d'accès distant.

Pour configurer le serveur en tant que routeur :
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et accès distant.
  2. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Propriétés.
  3. Sous l'onglet Général, activez la case à cocher Activer cet ordinateur en tant que routeur.
  4. Sélectionnez Uniquement le routage réseau local ou Routage réseau local et de numérotation à la demande, puis cliquez sur OK pour fermer la boîte de dialogue Propriétés.

Configuration des ports PPTP

Confirmez le nombre de ports PPTP dont vous avez besoin. Pour vérifier le nombre de ports ou pour ajouter des ports, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et accès distant.
  2. Dans l'arborescence de la console, développez Routage et accès distant, développez le nom du serveur, puis cliquez sur Ports.
  3. Cliquez avec le bouton droit sur Ports, puis cliquez sur Propriétés.
  4. Dans la boîte de dialogue Propriétés de Ports, cliquez sur Miniport WAN (PPTP), puis sur Configurer.
  5. Dans la boîte de dialogue Configurer le périphérique, sélectionnez le nombre maximal de ports pour le périphérique, puis sélectionnez les options permettant de spécifier si le périphérique accepte les connexions entrantes uniquement ou à la fois les connexions entrantes et sortantes.

Gestion des adresses et des serveurs de noms

Le serveur VPN doit avoir des adresses IP à disposition afin de les attribuer à l'interface virtuelle du serveur VPN et aux clients VPN au cours de la phase de négociation IPCP (IP Control Protocol) du processus de connexion. L'adresse IP attribuée au client VPN est attribuée à l'interface virtuelle du client VPN.

Pour les serveurs VPN Windows 2000, les adresses IP attribuées aux clients VPN sont obtenues par adressage DHCP par défaut. Vous pouvez également configurer un groupe d'adresses IP statiques. Le serveur VPN doit également être configuré avec des serveurs de résolution de noms (généralement des adresses de serveurs DNS et WINS) à attribuer au client VPN au cours de la négociation IPCP.

Gestion de l'accès

Configurez les propriétés d'appel entrant sur les comptes d'utilisateurs et les stratégies d'accès distant pour l'accès distant au réseau et les connexions VPN.

REMARQUE : par défaut, l'accès aux connexions d'accès à distance est refusé aux utilisateurs.

Accès par un compte d'utilisateur

Si vous gérez l'accès distant au niveau de l'utilisateur, cliquez sur Permettre l'accès sous l'onglet Appel entrant de la boîte de dialogue Propriétés de l'utilisateur pour les comptes d'utilisateurs qui sont autorisés à créer des connexions VPN. Si le serveur VPN autorise uniquement les connexions VPN, supprimez la stratégie d'accès distant par défaut appelée " Permet l'accès si l'autorisation d'entrée est activée ". Créez ensuite une nouvelle stratégie d'accès distant en lui attribuant un nom descriptif comme " Accès VPN si autorisé par le compte d'utilisateur ". Pour plus d'informations, consultez l'aide sur Windows 2000.

ATTENTION : après avoir supprimé la stratégie par défaut, l'accès sera refusé à tout client d'accès distant qui ne correspond pas à au moins une des configurations de stratégie que vous avez créées.

Si le serveur VPN autorise également les services d'accès distant, ne supprimez pas la stratégie par défaut, mais déplacez-la de façon à ce qu'elle soit la dernière à être évaluée.

Accès par appartenance à un groupe

Si vous gérez l'accès distant au niveau du groupe, activez la case d'option Contrôler l'accès via la Stratégie d'accès distant sur tous les comptes d'utilisateurs à l'aide de la console Utilisateurs et ordinateurs Active Directory disponible dans outils d'administration ou le composant logiciel enfichable MMC. Créez un groupe Windows 2000 avec les membres qui sont autorisés à créer des connexions VPN. Si le serveur VPN autorise uniquement les connexions VPN, supprimez la stratégie d'accès distant appelée " Permet l'accès si l'autorisation d'entrée est activée ". Ensuite, créez une nouvelle stratégie d'accès distant en lui attribuant un nom descriptif tel que " Accès VPN si membre d'un groupe à autorisation VPN ", puis affectez le groupe Windows 2000 à la stratégie.

Si le serveur VPN autorise également les services d'accès distant, ne supprimez pas la stratégie par défaut, mais déplacez-la de façon à ce qu'elle soit la dernière à être évaluée.

Configuration d'une connexion VPN à partir d'un ordinateur client

Pour configurer une connexion à un VPN :
  1. Sur l'ordinateur client, confirmez que la connexion à Internet est configurée correctement.
  2. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès à distance.
  3. Double-cliquez sur Établir une nouvelle connexion.
  4. Cliquez sur Suivant, puis sur Connexion à un réseau privé via Internet, puis à nouveau sur Suivant.
  5. Effectuez l'une des opérations suivantes :
    • Si vous utilisez une connexion d'accès distant pour vous connecter à Internet, cliquez sur Composer automatiquement pour cette connexion initiale, puis sélectionnez votre connexion d'accès distant à Internet dans la liste.
    • Si vous utilisez une connexion permanente (comme un modem câble), cliquez sur Ne pas composer automatiquement la connexion initiale.
  6. Cliquez sur Suivant.
  7. Tapez le nom d'hôte (par exemple, Microsoft.com) ou l'adresse IP (par exemple, 123.123.123.123) de l'ordinateur auquel vous souhaitez vous connecter, puis cliquez sur Suivant.
  8. Sélectionnez Pour tous les utilisateurs si vous souhaitez que la connexion soit disponible à toute personne qui ouvre une session sur l'ordinateur, ou sélectionnez Uniquement pour moi pour la rendre disponible uniquement lorsque vous ouvrez une session sur l'ordinateur. Cliquez sur Suivant.
  9. Attribuez un nom descriptif à la connexion, puis cliquez sur Terminer.

    REMARQUE : cette option n'est disponible que si vous avez ouvert une session en tant que membre du groupe Administrateurs.
  10. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès à distance.
  11. Double-cliquez sur la nouvelle connexion.
  12. Cliquez sur Propriétés pour configurer les options de la connexion :
    • Si vous vous connectez à un domaine, cliquez sur l'onglet Options, puis activez la case à cocher Inclure le domaine d'ouverture de session Windows pour spécifier si des informations relatives au domaine d'ouverture de session de Windows 2000 doivent être demandées avant de tenter d'établir une connexion.
    • Si vous voulez que la connexion soit retentée si la ligne a été raccrochée, cliquez sur l'onglet Options, puis activez la case à cocher Rappeler si la ligne a été raccrochée.
Pour utiliser la connexion :
  1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès à distance.
  2. Double-cliquez sur la nouvelle connexion.
  3. Si vous n'êtes pas connecté à Internet, Windows vous propose de le faire.
  4. Une fois la connexion à Internet établie, le serveur VPN vous invite à entrer votre nom d'utilisateur et votre mot de passe. Entrez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Connecter. Vos ressources réseau devraient disponibles comme si vous étiez directement connecté au réseau. REMARQUE : pour vous déconnecter du VPN, cliquez avec le bouton droit sur l'icône de la connexion, puis cliquez sur Déconnecter.

Résolution des problèmes

Résolution des problèmes des VPN d'accès distant

Impossible d'établir la connexion à un VPN d'accès distant
  • Cause : Le nom de machine de l'ordinateur client est le même que le nom de machine d'un autre ordinateur sur le réseau.

    Solution : Vérifiez que les noms de machine de tous les ordinateurs du réseau et de tous ceux qui se connectent au réseau sont uniques.
  • Cause : Le service Routage et accès distant n'est pas démarré sur le serveur VPN.

    Solution : Vérifiez l'état du service Routage et accès distant sur le serveur VPN.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur le suivi du service Routage et accès distant, ainsi que sur le démarrage et l'arrêt du service Routage et accès distant.
  • Cause : L'accès distant n'est pas activé sur le serveur VPN.

    Solution : Activez l'accès distant sur le serveur VPN.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du serveur d'accès distant.
  • Cause : Les ports PPTP ou L2TP ne sont pas activés pour les demandes d'accès distant entrant.

    Solution : Activez les ports PPTP et/ou L2TP pour les demandes d'accès distant entrant.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration des ports pour l'accès distant.
  • Cause : Les protocoles LAN utilisés par les clients VPN ne sont pas activés pour l'accès distant sur le serveur VPN.

    Solution : Activez les protocoles LAN utilisés par les clients VPN pour l'accès distant sur le serveur VPN.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'affichage des propriétés du serveur d'accès distant.
  • Cause : Tous les ports PPTP ou L2TP du serveur VPN sont déjà en cours d'utilisation par des clients d'accès distant ou des routeurs de numérotation à la demande actuellement connectés.

    Solution : Vérifiez que tous les ports PPTP ou L2TP du serveur VPN ne sont pas déjà en cours d'utilisation en cliquant sur Ports dans Routage et accès distant. Si nécessaire, modifiez le nombre de ports PPTP ou L2TP pour permettre un plus grand nombre de connexions simultanées.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports PPTP ou L2TP.
  • Cause : Le protocole de tunnellisation du client VPN n'est pas pris en charge par le serveur VPN.

    Par défaut, les clients VPN d'accès distant Windows 2000 utilisent l'option de type de serveur Automatique, ce qui signifie qu'ils essaient d'établir en premier une connexion VPN de type L2TP avec IPSec, puis une connexion VPN de type PPTP. Si les clients VPN utilisent l'option de type de serveur PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer-2 Tunneling Protocol), vérifiez que le protocole de tunnellisation sélectionné est pris en charge par le serveur VPN.

    Par défaut, un ordinateur exécutant Windows 2000 Server et utilisant le service Routage et accès distant est un serveur à capacité PPTP et L2TP avec cinq ports L2TP et cinq ports PPT. Pour créer un serveur de type PPTP uniquement, définissez le nombre de ports L2TP sur zéro. Pour créer un serveur de type L2TP uniquement, définissez le nombre de ports PPTP sur zéro.

    Solution : Vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports PPTP ou L2TP.
  • Cause : Le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant ne sont pas configurés pour utiliser au moins une méthode d'authentification commune.

    Solution : Configurez le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant pour qu'ils utilisent au moins une méthode d'authentification commune.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration de l'authentification.
  • Cause : Le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant ne sont pas configurés pour utiliser au moins une méthode de cryptage commune.

    Solution : Configurez le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant pour qu'ils utilisent au moins une méthode de cryptage commune.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration du cryptage.
  • Cause : La connexion VPN ne dispose pas des autorisations requises via les propriétés d'appel entrant du compte d'utilisateur et des stratégies d'accès distant.

    Solution : Vérifiez que la connexion VPN dispose des autorisations appropriées dans les propriétés d'appel entrant du compte d'utilisateur et les stratégies d'accès distant. Pour que la connexion puisse être établie, les paramètres de la tentative de connexion doivent :

    • satisfaire à toutes les conditions d'au moins une stratégie d'accès distant ;
    • disposer d'une autorisation d'accès distant via le compte d'utilisateur (défini sur Autoriser l'accès) ou via le compte d'utilisateur (défini sur Contrôler l'accès via la Stratégie d'accès distant) et de l'autorisation d'accès distant de la stratégie d'accès distant correspondante (définie sur Accorder l'autorisation d'accès distant) ;
    • correspondre à tous les paramètres du profil ;
    • correspondre à tous les paramètres des propriétés d'appel entrant du compte d'utilisateur.
    Reportez-vous à l'aide en ligne sur Windows 2000 pour consulter une présentation des stratégies d'accès distant et pour plus d'informations sur l'acceptation d'une tentative de connexion.
  • Cause : Les paramètres du profil des stratégies d'accès distant sont en conflit avec les propriétés du serveur VPN.

    Les propriétés du profil des stratégies d'accès distant et les propriétés du serveur VPN incluent toutes deux des paramètres pour :

    • le protocole de liaisons multiples (Multilink) ;
    • le protocole d'affectation de bande passante ;
    • les protocoles d'authentification.
    Si les paramètres du profil de la stratégie d'accès distant correspondante sont en conflit avec les paramètres du serveur VPN, la tentative de connexion est rejetée. Par exemple, si le profil de la stratégie d'accès distant correspondante spécifie que le protocole d'authentification EAP-TLS doit être utilisé et que le protocole EAP n'est pas activé sur le serveur VPN, la tentative de connexion est rejetée.

    Solution : Vérifiez que les paramètres du profil des stratégies d'accès distant ne sont pas en conflit avec les propriétés du serveur VPN.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation des protocoles d'authentification et la configuration de l'authentification.
  • Cause : Le routeur de réponse est dans l'incapacité de valider les informations d'identification du routeur d'appel (nom d'utilisateur, mot de passe et nom de domaine).

    Solution : Vérifiez que les informations d'identification du client VPN (nom d'utilisateur, mot de passe et nom de domaine) sont correctes et qu'elles peuvent être validées par le serveur VPN.
  • Cause : Il n'y a pas suffisamment d'adresses dans le groupe d'adresses IP statiques.

    Solution : Si le serveur VPN est configuré avec un groupe d'adresses IP statiques, vérifiez qu'il y a suffisamment d'adresses dans le groupe. Si toutes les adresses du groupe statique ont été attribuées aux clients VPN connectés, le serveur VPN est dans l'incapacité d'attribuer une adresse IP et la tentative de connexion est rejetée. Modifiez le groupe d'adresses IP statiques si besoin est. Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur TCP/IP et l'accès distant et sur la création d'un groupe d'adresses IP statiques.
  • Cause : Le client VPN est configuré pour demander son propre numéro de noeud IPX et le serveur VPN n'est pas configuré pour autoriser les clients IPX à demander leur propre numéro de noeud IPX.

    Solution : Configurez le serveur VPN pour qu'il autorise les clients IPX à demander leur propre numéro de noeud IPX.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur IPX et l'accès distant.
  • Cause : Le serveur VPN est configuré avec une plage de numéros de réseau IPX qui sont en cours d'utilisation ailleurs sur le réseau IPX.

    Solution : Configurez le serveur VPN avec une plage de numéros de réseau IPX spécifique à votre réseau IPX.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur IPX et l'accès distant.
  • Cause : Le fournisseur d'authentification du serveur VPN n'est pas correctement configuré.

    Solution : Vérifiez la configuration du fournisseur d'authentification. Vous pouvez configurer le serveur VPN pour qu'il utilise soit Windows 2000, soit RADIUS pour authentifier les informations d'identification du client VPN.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les fournisseurs d'authentification et de gestion de comptes et sur l'utilisation de l'authentification RADIUS.
  • Cause : Le serveur VPN ne peut pas accéder au service Active Directory.


    Solution : Pour un serveur VPN qui est membre d'un domaine Windows 2000 en mode mixte ou mode natif configuré pour l'authentification Windows 2000, vérifiez les points suivants :

    • le groupe de sécurité Serveurs RAS et IAS doit exister. Si ce n'est pas le cas, créez le groupe, puis définissez le type du groupe sur Sécurité et la portée du groupe sur Domaine local ;
    • le groupe de sécurité Serveurs RAS et IAS doit avoir une autorisation de lecture sur l'objet Contrôle d'accès aux serveurs RAS et IAS ;
    • le compte d'ordinateur du serveur VPN doit être membre du groupe de sécurité Serveurs RAS et IAS. Vous pouvez utiliser la commande netsh ras show registeredserver pour afficher l'inscription actuelle. Vous pouvez utiliser la commande " netsh ras add registeredserver " pour inscrire le serveur dans un domaine spécifié ;

      si vous ajoutez/supprimez le serveur VPN au/du groupe de sécurité Serveurs RAS et IAS, la modification n'est pas appliquée immédiatement (en raison de la procédure utilisée par Windows 2000 pour mettre en mémoire cache les informations du service Active Directory). Pour que cette modification soit appliquée immédiatement, vous devez redémarrer le serveur VPN ;
    • pour un domaine en mode natif, le serveur VPN doit avoir rejoint le domaine.
    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un groupe, sur la vérification des autorisations pour le groupe de sécurité Serveurs RAS et IAS, ainsi que sur les commandes NetShell pour l'accès distant.
  • Cause : Impossible pour un serveur VPN Windows NT 4.0 de valider les demandes de connexion.

    Solution : Si les clients VPN accèdent à distance à un serveur VPN exécutant Windows NT 4.0 qui est membre d'un domaine Windows 2000 en mode mixte, vérifiez que le groupe Tout le monde est ajouté au groupe Accès compatible pre-Windows 2000 avec la commande
    " net localgroup " Accès compatible pre-Windows 2000 " "
    Si ce n'est pas le cas, tapez la commande suivante à une invite de commandes sur un ordinateur contrôleur de domaine, puis redémarrez l'ordinateur contrôleur de domaine :
    net localgroup " Accès compatible pre-Windows 2000 " everyone / add.
    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les serveurs d'accès distant Windows NT 4.0 dans un domaine Windows 2000.
  • Cause : Le serveur VPN est dans l'incapacité de communiquer avec le serveur RADIUS configuré.

    Solution : Si votre serveur RADIUS est joignable uniquement via l'interface Internet, ajoutez un filtre d'entrée et un filtre de sortie à l'interface Internet pour le port UDP 1812 (sur la base de RFC 2138, " RADIUS (Remote Authentication Dial-In User Service) ") ou le port UDP 1645 (pour les serveurs RADIUS plus anciens) pour l'authentification RADIUS, et pour le port UDP 1813 (sur la base de RFC 2139, " Gestion de comptes RADIUS ") ou le port UDP 1646 (pour les serveurs RADIUS plus anciens) pour la gestion de comptes RADIUS.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre de paquets.
  • Cause : Impossible de se connecter au serveur VPN via Internet à l'aide de l'utilitaire Ping.exe.

    Solution : En raison du filtrage de paquets PPTP et L2TP avec IPSec qui est configuré sur l'interface Internet du serveur VPN, les paquets ICMP (Internet Control Message Protocol) utilisés par la commande de contrôle de connexion (" ping ") sont éliminés par filtrage. Pour permettre au serveur VPN de répondre aux paquets ICMP, vous devez ajouter un filtre d'entrée et un filtre de sortie qui autorisent le trafic pour le protocole IP 1 (trafic ICMP).

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre de paquets.

Résolution des problèmes des VPN de routeur à routeur

Impossible d'établir une connexion VPN de routeur à routeur
  • Cause : Le service Routage et accès distant n'est pas démarré ni sur le client VPN (le routeur d'appel) ni sur le serveur VPN (le routeur de réponse).

    Solution : Vérifiez l'état du service Routage et accès distant sur le client VPN et sur le serveur VPN.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur le suivi du service Routage et accès distant, ainsi que sur le démarrage et l'arrêt du service Routage et accès distant.
  • Cause : Le routage LAN et WAN n'est activé ni sur le routeur d'appel ni sur le routeur de réponse.

    Solution : Activez la fonctionnalité Routage local et distant (routeur LAN et WAN) sur le routeur d'appel et le routeur de réponse.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du routage LAN et WAN.
  • Cause : Les ports PPTP ou L2TP ne sont pas activés pour les connexions de routage de numérotation à la demande entrantes et sortantes.

    Solution : Activez les ports PPTP et/ou L2TP pour les connexions de routage de numérotation à la demande entrantes et sortantes.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du routage sur les ports.
  • Cause : Tous les ports PPTP ou L2TP du routeur d'appel ou de réponse sont déjà en cours d'utilisation par des clients d'accès distant ou des routeurs de numérotation à la demande actuellement connectés.

    Solution : Vérifiez que tous les ports PPTP ou L2TP du serveur VPN ne sont pas déjà en cours d'utilisation en cliquant sur Ports dans Routage et accès distant. Si nécessaire, modifiez le nombre de ports PPTP ou L2TP pour permettre un plus grand nombre de connexions simultanées.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports PPTP ou L2TP.
  • Cause : Le protocole de tunnellisation utilisé par le routeur d'appel n'est pas pris en charge par le routeur de réponse.

    Par défaut, les interfaces de numérotation à la demande de Windows 2000 utilisent l'option de type de serveur Automatique, ce qui signifie qu'ils essaient en premier d'établir une connexion VPN de type L2TP avec IPSec, puis une connexion VPN de type PPTP. Si les routeurs d'appel utilisent l'option de type de serveur PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer-2 Tunneling Protocol), vérifiez que le protocole de tunnellisation sélectionné est pris en charge par le routeur de réponse.

    Par défaut, un ordinateur exécutant Windows 2000 Server et utilisant le service Routage et accès distant est un routeur de numérotation à la demande à capacité PPTP et L2TP avec cinq ports L2TP et cinq ports PPTP. Pour créer un routeur de type PPTP uniquement, définissez le nombre de ports L2TP sur zéro. Pour créer un routeur de type L2TP uniquement, définissez le nombre de ports PPTP sur zéro.

    Solution : Vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré sur le routeur d'appel et le routeur de réponse.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports PPTP ou L2TP.
  • Cause : Le routeur d'appel et le routeur de réponse en conjonction avec une stratégie d'accès distant ne sont pas configurés pour utiliser au moins une méthode d'authentification commune.

    Solution : Configurez le routeur d'appel et le routeur de réponse avec une stratégie d'accès distant pour qu'ils utilisent au moins une méthode d'authentification commune.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration de l'authentification.
  • Cause : Le routeur d'appel et le routeur de réponse en conjonction avec une stratégie d'accès distant ne sont pas configurés pour utiliser au moins une méthode de cryptage commune.

    Solution : Configurez le routeur d'appel et le routeur de réponse avec une stratégie d'accès distant pour qu'ils utilisent au moins une méthode de cryptage commune.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration du cryptage.
  • Cause : La connexion VPN ne dispose pas des autorisations requises via les propriétés d'appel entrant du compte d'utilisateur et des stratégies d'accès distant.

    Solution : Vérifiez que la connexion VPN dispose des autorisations appropriées dans les propriétés d'appel entrant du compte d'utilisateur et les stratégies d'accès distant. Pour que la connexion puisse être établie, les paramètres de la tentative de connexion doivent :

    • satisfaire à toutes les conditions d'au moins une stratégie d'accès distant ;
    • disposer d'une autorisation d'accès distant via le compte d'utilisateur (défini sur Autoriser l'accès) ou via le compte d'utilisateur (défini sur Contrôler l'accès via la Stratégie d'accès distant) et de l'autorisation d'accès distant de la stratégie d'accès distant correspondante (définie sur Accorder l'autorisation d'accès distant).
    • correspondre à tous les paramètres du profil ;
    • correspondre à tous les paramètres des propriétés d'appel entrant du compte d'utilisateur.
    Reportez-vous à l'aide en ligne sur Windows 2000 pour consulter une présentation des stratégies d'accès distant et pour plus d'informations sur l'acceptation d'une tentative de connexion.
  • Cause : Les paramètres du profil des stratégies d'accès distant sont en conflit avec les propriétés du routeur de réponse. Les propriétés du profil des stratégies d'accès distant et les propriétés du routeur de réponse incluent toutes deux des paramètres pour :

    • le protocole de liaisons multiples (Multilink) ;
    • le protocole d'affectation de bande passante ;
    • les protocoles d'authentification.
    Si les paramètres du profil de la stratégie d'accès distant correspondante sont en conflit avec les paramètres du routeur de réponse, la tentative de connexion est rejetée. Par exemple, si le profil de la stratégie d'accès distant correspondante spécifie que le protocole d'authentification EAP-TLS doit être utilisé et que le protocole EAP n'est pas activé sur le routeur de réponse, la tentative de connexion est rejetée.

    Solution : Vérifiez que les paramètres du profil des stratégies d'accès distant ne sont pas en conflit avec les propriétés du routeur d'accès distant.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation des protocoles d'authentification et la configuration de l'authentification.
  • Cause : Les informations d'identification du routeur d'appel (nom d'utilisateur, mot de passe et nom de domaine) sont incorrectes et ne peuvent pas être validées par le routeur de réponse.

    Solution : Vérifiez que les informations d'identification du routeur d'appel (nom d'utilisateur, mot de passe et nom de domaine) sont correctes et qu'elles peuvent être validées par le routeur de réponse.
  • Cause : Il n'y a pas suffisamment d'adresses dans le groupe d'adresses IP statiques.

    Solution : Si le routeur de réponse est configuré avec un groupe d'adresses IP statiques, vérifiez qu'il y a suffisamment d'adresses dans le groupe. Si toutes les adresses du groupe d'adresses statiques ont été attribuées aux clients d'accès distant connectés ou aux routeurs de numérotation à la demande, le routeur de réponse est dans l'incapacité d'attribuer une adresse IP et la tentative de connexion est rejetée. Modifiez le groupe d'adresses IP statiques si besoin est.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur TCP/IP et l'accès distant, ainsi que sur la création d'un groupe d'adresses IP statiques.
  • Cause : Le routeur de réponse est configuré avec une plage de numéros de réseau IPX qui sont en cours d'utilisation ailleurs sur le réseau IPX.

    Solution : Configurez le routeur de réponse avec une plage de numéros de réseau IPX spécifiques à votre réseau IPX.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur IPX et l'accès distant.
  • Cause : Le fournisseur d'authentification du routeur de réponse n'est pas correctement configuré.

    Solution : Vérifiez la configuration du fournisseur d'authentification. Vous pouvez configurer le routeur de réponse pour qu'il utilise soit Windows 2000, soit RADIUS pour authentifier les informations d'identification du client VPN.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les fournisseurs d'authentification et de gestion de comptes et sur l'utilisation de l'authentification RADIUS.
  • Cause : Le routeur de réponse ne peut pas accéder au service Active Directory.

    Solution : Pour un routeur de réponse qui est membre d'un domaine Windows 2000 en mode mixte ou mode natif configuré pour l'authentification Windows 2000, vérifiez les points suivants :

    • le groupe de sécurité Serveurs RAS et IAS doit exister. Si ce n'est pas le cas, créez le groupe, puis définissez le type du groupe sur Sécurité et la portée du groupe sur Domaine local ;
    • le groupe de sécurité Serveurs RAS et IAS doit avoir une autorisation de lecture sur l'objet Contrôle d'accès aux serveurs RAS et IAS.
    • le compte d'ordinateur du routeur de réponse doit être membre du groupe de sécurité Serveurs RAS et IAS. Vous pouvez utiliser la commande suivante pour afficher l'inscription actuelle.
      " netsh ras show registeredserver "
      Vous pouvez utiliser la commande suivante pour inscrire le serveur dans un domaine spécifié :
      "netsh ras add registeredserver"
      Si vous ajoutez/supprimez l'ordinateur routeur de réponse au/du groupe de sécurité Serveurs RAS et IAS, la modification n'est pas appliquée immédiatement (en raison de la procédure utilisée par Windows 2000 pour mettre en mémoire cache les informations du service Active Directory). Pour que cette modification soit appliquée immédiatement, vous devez redémarrer l'ordinateur routeur de réponse ;
    • pour un domaine en mode natif, le routeur de réponse doit avoir rejoint le domaine.
    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un groupe, sur la vérification des autorisations pour le groupe de sécurité Serveurs RAS et IAS, ainsi que sur les commandes NetShell pour l'accès distant.
  • Cause : Un routeur de réponse qui exécute Windows NT 4.0 avec le Service Routage et accès distant (RRAS) ne peut pas valider de demandes de connexion.

    Solution : Si les routeurs d'appel accèdent à distance à un routeur de réponse exécutant Windows NT 4.0 avec le service RRAS qui est membre d'un domaine Windows 2000 en mode mixte, vérifiez que le groupe Tout le monde est ajouté au groupe Accès compatible pre-Windows 2000 avec la commande
    " net localgroup " Accès compatible pre-Windows 2000 " "
    Si ce n'est pas le cas, tapez la commande suivante à une invite de commandes sur un ordinateur contrôleur de domaine, puis redémarrez l'ordinateur contrôleur de domaine :
    " net localgroup " Accès compatible pre-Windows 2000 " everyone/add.
    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les serveurs d'accès distant Windows NT 4.0 dans un domaine Windows 2000.
  • Cause : Le routeur de réponse est dans l'incapacité de communiquer avec le serveur RADIUS configuré.

    Solution : Si votre serveur RADIUS est joignable uniquement via l'interface Internet, ajoutez un filtre d'entrée et un filtre de sortie à l'interface Internet pour le port UDP 1812 (sur la base de RFC 2138, " RADIUS (Remote Authentication Dial-In User Service) ") ou le port UDP 1645 (pour les serveurs RADIUS plus anciens) pour l'authentification RADIUS, et pour le port UDP 1813 (sur la base de RFC 2139, " Gestion de comptes RADIUS ") ou le port UDP 1646 (pour les serveurs RADIUS plus anciens) pour la gestion de comptes RADIUS.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre de paquets.
  • Cause : Impossible de se connecter au routeur de réponse via Internet à l'aide de l'utilitaire Ping.exe.

    Solution : En raison du filtrage de paquets PPTP et L2TP avec IPSec qui est configuré sur l'interface Internet du routeur de réponse, les paquets ICMP (Internet Control Message Protocol) utilisés par la commande ping sont éliminés par filtrage. Pour permettre au routeur de réponse de répondre aux paquets ICMP, vous devez ajouter un filtre d'entrée et un filtre de sortie qui autorisent le trafic pour le protocole IP 1 (trafic ICMP).

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre de paquets.
Impossible d'envoyer ou de recevoir des données
  • Cause : L'interface de numérotation à la demande appropriée n'a pas été ajoutée au protocole en cours de routage.

    Solution : Ajoutez l'interface de numérotation à la demande appropriée au protocole en cours de routage.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'une interface de routage.
  • Cause : Il n'y a aucun itinéraire des deux côtés de la connexion VPN de routeur à routeur qui prenne en charge l'échange bidirectionnel de trafic.

    Solution : À la différence d'une connexion VPN d'accès distant, une connexion VPN de routeur à routeur ne crée pas automatiquement un itinéraire par défaut. Vous devez créer des itinéraires sur les deux côtés de la connexion VPN de routeur à routeur de façon à ce que le trafic puisse être acheminé vers et depuis l'autre côté de ladite connexion.

    Vous pouvez ajouter manuellement des itinéraires à la table de routage, ou bien ajouter des itinéraires statiques par l'intermédiaire de protocoles de routage. Pour les connexions VPN persistantes, vous pouvez activer le protocole OSPF (Open Shortest Path First) ou RIP (Routing Information Protocol) sur la connexion VPN. Pour les connexions VPN à la demande, vous pouvez mettre à jour automatiquement les itinéraires par l'intermédiaire d'une mise à jour RIP statique automatique. Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un protocole de routage IP, sur l'ajout d'un itinéraire statique et sur l'exécution de mises à jour statiques automatiques.
  • Cause : Une connexion VPN de routeur à routeur à initiation bidirectionnelle est interprétée par le routeur de réponse comme une connexion d'accès distant.

    Solution : Si le nom d'utilisateur dans les informations d'identification du routeur d'appel apparaît sous Clients d'appel entrant dans le service Routage et accès distant, il se peut que le routeur de réponse interprète le routeur d'appel comme un client d'accès distant. Vérifiez que le nom d'utilisateur dans les informations d'identification du routeur d'appel correspond au nom d'une interface de numérotation à la demande du routeur de réponse. Si l'appelant entrant est un routeur, le port sur lequel l'appel a été reçu indique un état Actif et l'interface de numérotation à la demande correspondante est à l'état Connecté.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la vérification de l'état du port sur le routeur de réponse et sur la vérification de l'état de l'interface de numérotation à la demande.
  • Cause : Les filtres de paquets sur les interfaces de numérotation à la demande du routeur d'appel et du routeur de réponse empêchent l'acheminement du trafic.

    Solution : Vérifiez qu'il n'y a pas de filtres de paquets sur les interfaces de numérotation à la demande du routeur d'appel et du routeur de réponse qui empêchent l'envoi ou la réception de trafic. Vous pouvez configurer chaque interface de numérotation à la demande avec des filtres d'entrée et de sortie IP et IPX pour contrôler la nature exacte du trafic TCP/IP et IPX qui est autorisé en entrée et en sortie de l'interface de numérotation à la demande.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la gestion des filtres de paquets.
  • Cause : Les filtres de paquets sur le profil des stratégies d'accès distant empêchent l'acheminement du trafic IP.

    Solution : Vérifiez qu'aucun filtre de paquets TCP/IP n'est configuré dans les propriétés de profil des stratégies d'accès distant du serveur VPN (ou du serveur RADIUS en cas d'utilisation du service IAS) qui empêchent l'envoi et la réception de trafic TCP/IP. Vous pouvez utiliser les stratégies d'accès distant pour configurer des filtres de paquets d'entrée et de sortie TCP/IP qui contrôlent la nature exacte du trafic TCP/IP autorisé sur la connexion VPN. Vérifiez que les filtres de paquets TCP/IP du profil n'empêchent pas l'acheminement du trafic requis.

    Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration des options IP.



Références

Pour plus d'informations sur la création d'une connexion VPN dans Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
305550 Comment faire pour configurer une connexion VPN pour votre réseau d'entreprise dans Windows XP Professionnel
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
255784 Optimisation de la sécurité sur les serveurs VPN Windows 2000
254018 Comment faire pour configurer des filtres d'entrée pour les services qui s'exécutent derrière le système de traduction d'adresses réseau
260926 L'Assistant de routage et d'accès distant pour le serveur VPN crée des filtres d'entrée et de sortie non spécifiques








Propriétés

Numéro d'article: 308208 - Dernière mise à jour: mardi 21 décembre 2004 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionel
Mots-clés : 
kbhowto kbhowtomaster KB308208
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com