Cara menginstal dan mengkonfigurasi Server jaringan privat Virtual pada Windows 2000

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 308208 - Melihat produk di mana artikel ini berlaku.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Jaringan privat virtual (VPN), memungkinkan Anda untuk menghubungkan komponen jaringan, melalui jaringan lain, seperti Internet. Anda dapat membuat komputer berbasis Windows 2000 Server server remote-akses sehingga pengguna lain dapat menyambung ke dengan menggunakan VPN, dan mengakses berbagi file pada drive lokal Anda atau pada jaringan Anda. Jaringan privat virtual mencapai ini dengan "Penerobosan" melalui Internet atau jaringan publik lain dengan cara yang menyediakan keamanan dan fitur yang sama sebagai jaringan pribadi. Dengan VPN, sambungan lintas jaringan publik dapat mentransfer data menggunakan infrastruktur Route Internet, tetapi untuk pengguna tampaknya seolah-olah data sedang dikirim melalui link pribadi khusus.

Artikel ini menjelaskan cara menginstal jaringan pribadi virtual (VPN) dan cara membuat sambungan VPN yang baru pada Windows 2000.

Ikhtisar VPN

Jaringan privat virtual (VPN) adalah cara untuk menghubungkan ke jaringan privat (seperti jaringan kantor Anda) dengan cara dari jaringan publik, seperti Internet. Ini menggabungkan kebajikan sambungan dial-up ke server dial-up dengan kemudahan dan fleksibilitas sambungan Internet. Dengan menggunakan koneksi Internet, Anda dapat melakukan perjalanan di seluruh dunia dan masih, hampir di semua tempat, menyambungkan ke kantor Anda dengan panggilan lokal ke nomor telepon akses Internet terdekat. Jika Anda memiliki koneksi Internet kecepatan tinggi (seperti kabel atau DSL) di komputer Anda (dan di kantor Anda), Anda dapat berkomunikasi dengan kantor Anda pada kecepatan Internet penuh, yang jauh lebih cepat daripada koneksi dial-up yang menggunakan analog modem.

VPN menggunakan link dikonfirmasi untuk memastikan bahwa hanya pengguna yang berwenang dapat terhubung ke jaringan Anda, dan mereka menggunakan enkripsi untuk memastikan bahwa data yang ditransfer melalui Internet tidak dapat disadap dan digunakan oleh orang lain. Windows mendapatkan keamanan ini dengan menggunakan protokol Penerobosan titik (PPTP) atau protokol Penerobosan lapis dua (L2TP).

VPN teknologi juga memungkinkan perusahaan untuk menghubungkan kantor cabang atau perusahaan lain melalui jaringan publik (seperti Internet) tetap menjaga aman komunikasi. Sambungan VPN lewat Internet secara logika beroperasi sebagai link jaringan wilayah luas (WAN) khusus.

Komponen VPN

VPN pada Windows 2000 terdiri dari VPN server klien VPN, sambungan VPN (bagian dari sambungan di mana data dienkripsi), dan terowongan (bagian sambungan di mana data dirumuskan). Penerowongan dilakukan melalui salah satu protokol penerowongan yang disertakan dengan Windows 2000, keduanya dipasang dengan Routing dan akses jauh. Dua protokol penerowongan yang disertakan dengan Windows 2000 adalah:
  • Protokol Penerobosan titik (PPTP): Menyediakan data enkripsi menggunakan Microsoft Point-to-Point enkripsi.
  • Lapisan dua Tunneling Protocol (L2TP): Menyediakan enkripsi data, otentikasi, dan integritas menggunakan IPSec.
Sambungan ke Internet harus menggunakan dedicated line seperti T1, Fractional T1 atau Frame Relay. Adaptor WAN harus dikonfigurasi dengan IP alamat dan subnet mask ditugaskan untuk domain atau disediakan oleh Internet service provider (ISP), serta gateway default ISP router.

CATATAN: Untuk mengaktifkan VPN, Anda harus log on menggunakan account yang memiliki hak administratif.

Cara menginstal dan mengaktifkan VPN

Menginstal dan mengaktifkan VPN server, ikuti langkah berikut:
  1. Pada komputer Microsoft Windows 2000 VPN, konfirmasi bahwa sambungan ke Internet dan sambungan ke jaringan area lokal (LAN) yang terkonfigurasi dengan benar.
  2. Klik Mulai, arahkan ke Alat administratif, lalu klik Routing dan Remote akses.
  3. Klik nama server di pohon, dan klik Mengkonfigurasi dan mengaktifkan Routing dan Remote akses pada Tindakan menu, dan kemudian klik Berikutnya.
  4. Dalam Konfigurasi umum kotak dialog, klik Virtual private network (VPN server), lalu klik Berikutnya.
  5. Dalam Remote protokol klien kotak dialog, mengkonfirmasi bahwa TCP/IP disertakan dalam daftar, klik Ya, semua protokol tersedia berada di daftar ini, lalu klik Berikutnya.
  6. Dalam Koneksi internet kotak dialog, pilih sambungan Internet yang akan menghubungkan ke Internet, dan kemudian klik Berikutnya.
  7. Dalam Alamat IP tugas kotak dialog, pilih Secara otomatis untuk menggunakan DHCP server pada subnet Anda untuk memberikan alamat IP untuk dialup klien dan server.
  8. Dalam Mengelola beberapa server akses jauh kotak dialog, mengkonfirmasi bahwa Tidak, aku tidak ingin mengatur server ini menggunakan jari-jari sekarang kotak centang dipilih.
  9. Klik Berikutnya, lalu klik Menyelesaikan.
  10. Klik kanan Port node, dan kemudian klik Properti.
  11. Dalam Port properti kotak dialog, klik perangkat WAN Miniport (PPTP), dan kemudian klik Mengkonfigurasi.
  12. Dalam Mengkonfigurasi perangkat - WAN Miniport (PPTP) kotak dialog, lakukan salah satu langkah berikut:
    • Jika Anda tidak ingin mendukung pengguna langsung dialup VPN ke modem diinstal pada server, klik untuk mengosongkan Permintaan-Dial Routing koneksi (Inbound dan Outbound) kotak centang.
    • Jika Anda ingin mendukung pengguna langsung dialup VPN ke modem diinstal pada server, klik untuk memilih Permintaan-Dial Routing koneksi (Inbound dan Outbound) kotak centang.
  13. Ketik jumlah maksimum koneksi simultan PPTP yang Anda ingin Izinkan di Maksimum port kotak teks. (Ini mungkin tergantung pada jumlah alamat IP yang tersedia.
  14. Ulangi langkah 11 13 untuk L2TP perangkat, dan kemudian klik Oke.

Bagaimana mengkonfigurasi VPN Server

Untuk lebih lanjut mengkonfigurasi VPN server sebagai diperlukan, ikuti langkah berikut.

Mengkonfigurasi Server akses jauh sebagai Router

Untuk server akses jauh ke depan lalu lintas dengan benar dalam jaringan Anda, Anda harus mengkonfigurasi sebagai router dengan rute statis atau protokol routing, sehingga semua lokasi di intranet dicapai dari akses remote server.

Untuk mengkonfigurasi server sebagai router:
  1. Klik Mulai, arahkan ke Alat administratif, lalu klik Routing dan Remote akses.
  2. Klik kanan nama server, dan kemudian klik Properti.
  3. Pada General tab, klik untuk memilih Mengaktifkan komputer ini sebagai Router.
  4. Pilih salah satu Jaringan area lokal (LAN) routing hanya atau LAN dan permintaan-dial routing, lalu klik Oke untuk menutup Properti kotak dialog.

Cara mengkonfigurasi PPTP port

Konfirmasi nomor port PPTP yang Anda butuhkan. Untuk memverifikasi jumlah port atau untuk menambahkan port, ikuti langkah berikut:
  1. Klik Mulai, arahkan ke Alat administratif, lalu klik Routing dan Remote akses.
  2. Pada pohon konsol, memperluas Routing dan Remote akses, memperluas nama server, dan kemudian klik Port.
  3. Klik kanan Port, lalu klik Properti.
  4. Dalam Port properti kotak dialog, klik WAN Miniport (PPTP), lalu klik Mengkonfigurasi.
  5. Dalam Mengkonfigurasi perangkat kotak dialog, pilih jumlah maksimum port untuk perangkat, dan kemudian pilih opsi untuk menentukan apakah perangkat menerima koneksi masuk hanya, atau koneksi masuk dan keluar.

Bagaimana mengelola alamat dan nama server

VPN server harus memiliki alamat IP yang tersedia untuk menetapkan mereka untuk antarmuka virtual VPN server dan VPN klien selama fase negosiasi protokol kontrol IP (IPCP) dari proses sambungan. Alamat IP yang ditetapkan untuk klien VPN ditugaskan ke antarmuka virtual klien VPN.

Untuk VPN berbasis Windows 2000 Server, alamat IP yang ditugaskan untuk klien VPN yang diperoleh melalui DHCP secara default. Anda juga dapat mengkonfigurasi kolam alamat IP statis. VPN server juga dapat dikonfigurasi dengan resolusi nama server, biasanya server DNS dan menang alamat, untuk menetapkan untuk klien VPN selama negosiasi IPCP.

Bagaimana mengelola akses

Mengkonfigurasi dial-in properti pada account pengguna dan akses remote kebijakan untuk mengelola akses jaringan dial-up dan sambungan VPN.

CATATAN: Secara default, pengguna yang diberi akses ke dial-up.

Akses oleh Account pengguna

Jika Anda mengelola akses remote secara pengguna, klik Memungkinkan akses pada Dial-In tab pengguna Properti kotak dialog account pengguna tersebut yang diperbolehkan untuk membuat sambungan VPN. Jika VPN server memungkinkan hanya sambungan VPN, menghapus kebijakan akses remote default yang disebut "Memungkinkan akses jika Dial-In izin diaktifkan." Kemudian membuat kebijakan akses remote baru dengan nama deskriptif, seperti VPN akses jika diizinkan oleh Account pengguna. Untuk informasi selengkapnya, baca Bantuan Windows 2000.

HATI-HATI: Setelah Anda menghapus kebijakan default, klien dial-up yang tidak cocok setidaknya salah satu kebijakan konfigurasi yang Anda buat akan diberi akses.

Jika VPN server juga memungkinkan layanan akses remote dial-up, jangan menghapus kebijakan default, tetapi bergerak sehingga kebijakan terakhir untuk dievaluasi.

Akses oleh keanggotaan grup

Jika Anda mengelola akses remote secara grup, klik Kontrol akses melalui kebijakan akses remote tombol radio di semua account pengguna dengan menggunakan Active Directory pengguna dan konsol komputer dalam alat-alat Administrator atau snap-in MMC membuat grup Windows 2000 dengan anggota yang diperbolehkan untuk membuat sambungan VPN. Jika VPN server memungkinkan hanya sambungan VPN, menghapus kebijakan akses remote default yang disebut memungkinkan akses jika Dial-In izin diaktifkan. Selanjutnya, membuat kebijakan akses remote baru dengan nama deskriptif seperti VPN Access If Member Of VPN-Allowed Group, dan kemudian menetapkan Windows 2000 kelompok kebijakan.

Jika VPN server juga memungkinkan layanan akses remote jaringan dial-up, jangan menghapus kebijakan default; Alih-alih memindahkannya sehingga kebijakan terakhir harus dievaluasi.

Cara mengkonfigurasi sambungan VPN dari komputer klien

Untuk membuat sambungan VPN:
  1. Pada komputer klien, konfirmasi bahwa sambungan ke Internet sudah terkonfigurasi dengan benar.
  2. Klik Mulai, arahkan ke Tataan, lalu klik Jaringan dan koneksi Dial-Up.
  3. Klik dua kali Membuat sambungan baru.
  4. Klik Berikutnya, lalu klik Terhubung ke jaringan privat melalui Internet, lalu klik Berikutnya.
  5. Lakukan salah satu dari berikut ini:
    • Jika Anda menggunakan sambungan dial-up untuk menyambungkan ke Internet, klik Secara otomatis menghubungi sambungan awal ini dan kemudian pilih sambungan Internet dial-up dari daftar.
    • Apabila Anda menggunakan sambungan penuh waktu (seperti kabel modem), klik Jangan putar sambungan awal.
  6. Klik Berikutnya.
  7. Ketik nama host (misalnya, Microsoft.com) atau alamat IP (misalnya, 123.123.123.123) komputer yang Anda ingin menghubungkan, dan kemudian klik Berikutnya.
  8. Klik untuk memilih Untuk semua pengguna Jika Anda ingin sambungan akan tersedia bagi siapa saja yang log on ke komputer, atau klik untuk memilih Hanya untuk diriku sendiri untuk membuatnya tersedia hanya bila Anda masuk ke komputer, dan kemudian klik Berikutnya.
  9. Ketik nama deskriptif Anda untuk sambungan, dan kemudian klik Menyelesaikan.

    CATATAN: Opsi ini tersedia hanya jika Anda log on sebagai anggota grup Administrator.
  10. Klik Mulai, arahkan ke Tataan, lalu klik Jaringan dan koneksi Dial-Up.
  11. Klik dua kali sambungan baru.
  12. Klik Properti untuk lebih lanjut mengkonfigurasi opsi untuk sambungan:
    • Jika Anda tersambung ke sebuah domain, klik Opsi tab, dan kemudian klik untuk memilih Termasuk Windows logon domain centang kotak untuk menentukan apakah akan meminta informasi domain logon Windows 2000 sebelum mencoba untuk terhubung.
    • Jika Anda ingin sambungan redialed jika terputus, klik Opsi tab, dan kemudian klik untuk memilih Putar ulang nomor jika sambungan terputus kotak centang.
Untuk menggunakan sambungan:
  1. Klik Mulai, arahkan ke Tataan, lalu klik Jaringan dan koneksi Dial-Up.
  2. Klik dua kali sambungan baru.
  3. Jika Anda saat ini tidak memiliki koneksi ke Internet, Windows menawarkan sambungan ke Internet.
  4. Setelah dibuat koneksi ke Internet, VPN server meminta nama pengguna dan sandi Anda. Masukkan nama pengguna dan sandi Anda, klik Menghubungkan, dan sumber jaringan Anda harus tersedia bagi Anda dengan cara yang sama mereka adalah ketika Anda tersambung langsung ke jaringan.CATATAN: Untuk memutuskan sambungan dari VPN, klik kanan ikon sambungan, dan kemudian klik Putus.

Pemecahan Masalah

Mengatasi masalah Remote akses VPN

Tidak dapat membuat sambungan VPN akses jauh
  • Penyebab: Mesin nama komputer klien adalah sama dengan nama mesin komputer lain pada jaringan.

    Solusi: Memverifikasi bahwa nama-nama mesin semua komputer pada jaringan dan terhubung ke jaringan menggunakan nama unik mesin.
  • Penyebab: Routing dan layanan akses jauh tidak dimulai pada VPN server.

    Solusi: Memverifikasi negara Routing dan layanan akses jauh pada VPN server.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara untuk memantau Routing dan layanan akses jauh, dan bagaimana untuk memulai dan menghentikan layanan Routing dan akses jauh.
  • Penyebab: Remote akses tidak diaktifkan pada VPN server.

    Solusi: Memungkinkan akses remote pada VPN server.

    Melihat Windows 2000 online membantu untuk informasi selengkapnya tentang cara mengaktifkan akses remote server.
  • Penyebab: Port PPTP atau L2TP tidak diaktifkan untuk permintaan akses remote inbound.

    Solusi: Mengaktifkan PPTP atau L2TP port, atau keduanya, untuk permintaan akses remote inbound.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara mengkonfigurasi port untuk akses remote.
  • Penyebab: LAN protokol yang digunakan oleh klien VPN tidak diaktifkan untuk akses remote pada VPN server.

    Solusi: Mengaktifkan LAN protokol yang digunakan oleh klien VPN untuk akses remote pada VPN server.

    Lihat bantuan online Windows 2000 untuk informasi lebih lanjut tentang bagaimana untuk melihat properti akses remote server.
  • Penyebab: Semua PPTP atau L2TP port pada VPN server yang sudah digunakan oleh klien saat ini terhubung akses remote atau permintaan-dial router.

    Solusi: Memverifikasi bahwa semua PPTP atau L2TP port pada VPN server tidak sudah digunakan dengan mengklik Port dalam Routing dan Remote Access. Jika perlu, mengubah jumlah PPTP atau L2TP port untuk memungkinkan koneksi lebih bersamaan.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan PPTP atau L2TP port.
  • Penyebab: VPN server mendukung tunneling protokol klien VPN.

    Secara default, Windows 2000 akses remote VPN klien menggunakan Otomatis Server jenis pilihan, yang berarti bahwa mereka mencoba untuk membangun L2TP melalui koneksi berbasis IPSec VPN pertama, dan kemudian mereka mencoba sambungan VPN berbasis PPTP. Jika klien VPN menggunakan salah Protokol Penerobosan titik (PPTP) atau Layer 2 Tunneling Protocol (L2TP) Server jenis pilihan, memverifikasi bahwa protokol penerowongan dipilih didukung oleh VPN server.

    Secara default, komputer yang menjalankan Windows 2000 Server dan Routing dan layanan akses jauh adalah server PPTP dan L2TP dengan lima L2TP pelabuhan dan lima PPTP pelabuhan. Untuk membuat hanya PPTP server, menetapkan jumlah L2TP port ke nol. Untuk membuat server hanya L2TP, menetapkan jumlah PPTP port ke nol.

    Solusi: Memverifikasi bahwa sesuai jumlah port PPTP atau L2TP dikonfigurasi.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan PPTP atau L2TP port.
  • Penyebab: Klien VPN dan server VPN dalam hubungannya dengan kebijakan akses remote tidak dikonfigurasi untuk menggunakan setidaknya satu metode otentikasi yang umum.

    Solusi: Mengkonfigurasi klien VPN dan VPN server dalam hubungannya dengan kebijakan akses remote menggunakan setidaknya satu metode otentikasi yang umum.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara mengkonfigurasi otentikasi.
  • Penyebab: Klien VPN dan server VPN dalam hubungannya dengan kebijakan akses remote tidak dikonfigurasi untuk menggunakan setidaknya satu metode enkripsi yang umum.

    Solusi: Mengkonfigurasi klien VPN dan VPN server dalam hubungannya dengan kebijakan akses remote menggunakan setidaknya satu metode enkripsi yang umum.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara mengkonfigurasi enkripsi.
  • Penyebab: Sambungan VPN tidak memiliki izin yang sesuai melalui dial-in properti account pengguna dan kebijakan akses remote.

    Solusi: Verifikasi bahwa sambungan VPN memiliki izin yang sesuai melalui dial-in properti account pengguna dan kebijakan akses remote. Dalam rangka untuk sambungan didirikan, pengaturan sambungan usaha harus:

    • Cocok semua kondisi setidaknya satu kebijakan akses remote.
    • Diberikan izin akses remote melalui account pengguna (diatur ke Memungkinkan akses) atau melalui account pengguna (diatur ke Kontrol akses melalui Remote akses kebijakan) dan izin akses remote kebijakan akses remote pencocokan (diatur ke Memberikan izin akses remote).
    • Cocok semua pengaturan profil.
    • Cocok semua pengaturan dial-in properti account pengguna.
    Melihat Windows 2000 online membantu untuk pengenalan kebijakan akses remote, dan untuk informasi lebih lanjut tentang cara untuk menerima hubungan usaha.
  • Penyebab: Pengaturan Profil kebijakan akses remote yang bertentangan dengan sifat-sifat VPN server.

    Sifat-sifat profil kebijakan akses remote dan sifat-sifat server VPN yang berisi pengaturan untuk:

    • Multilink
    • Protokol alokasi bandwidth
    • Protokol otentikasi
    Jika pengaturan profil kebijakan akses remote pencocokan konflik dengan pengaturan VPN server, usaha koneksi ditolak. Sebagai contoh, jika profil kebijakan akses remote pencocokan menentukan bahwa protokol otentikasi EAP-TLS harus digunakan dan EAP tidak diaktifkan pada VPN server, usaha koneksi ditolak.

    Solusi: Pastikan pengaturan profil kebijakan akses remote tidak bertentangan dengan sifat-sifat VPN server.

    Melihat Windows 2000 online membantu untuk informasi selengkapnya tentang cara mengaktifkan protokol otentikasi, dan cara mengkonfigurasi otentikasi.
  • Penyebab: Router menjawab tidak mampu memvalidasi kredensial router panggilan (nama pengguna, sandi, dan nama domain).

    Solusi: Memverifikasi kredensial klien VPN (nama pengguna, sandi, dan nama domain) benar dan dapat disahkan oleh VPN server.
  • Penyebab: Ada tidak cukup alamat di kolam alamat IP statis.

    Solusi: Jika VPN server dikonfigurasi dengan kolam alamat IP statis, pastikan ada cukup alamat di kolam renang. Jika semua alamat di kolam renang-statis telah dialokasikan untuk terhubung klien VPN, VPN server tidak dapat mengalokasikan alamat IP, dan usaha koneksi ditolak. Mengubah alamat IP statis renang jika diperlukan. Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang TCP/IP dan akses remote, dan cara membuat kolam alamat IP statis.
  • Penyebab: VPN klien dikonfigurasi untuk meminta sendiri IPX simpul nomor dan VPN server tidak dikonfigurasi untuk membolehkan IPX klien untuk meminta jumlah node IPX mereka sendiri.

    Solusi: Mengkonfigurasi server VPN untuk memungkinkan IPX klien untuk meminta jumlah node IPX mereka sendiri.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang IPX dan akses jauh.
  • Penyebab: VPN server dikonfigurasi dengan kisaran IPX nomor jaringan yang digunakan di tempat lain pada jaringan IPX Anda.

    Solusi: Mengkonfigurasi VPN server dengan nomor jaringan kisaran IPX yang unik untuk jaringan IPX Anda.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang IPX dan akses jauh.
  • Penyebab: Penyedia otentikasi VPN server dikonfigurasi tidak benar.

    Solusi: Verifikasi konfigurasi penyedia otentikasi. Anda dapat mengkonfigurasi server VPN menggunakan Windows 2000 atau jari-jari untuk mengotentikasi kredensial klien VPN.

    Lihat bantuan online Windows 2000 untuk informasi selengkapnya tentang otentikasi dan penyedia akuntansi, dan bagaimana menggunakan jari-jari otentikasi.
  • Penyebab: Server VPN tidak dapat mengakses direktori aktif.


    Solusi: Untuk server VPN yang adalah anggota server dalam modus campuran atau asli-modus domain Windows 2000 yang dikonfigurasi untuk Windows 2000 otentikasi, memverifikasi berikut:

    • The RAS dan IAS server grup keamanan ada. Jika tidak, membuat grup dan menetapkan tipe grup keamanan dan kelompok ruang lingkup untuk Domain lokal.
    • The RAS dan IAS server grup keamanan telah membaca izin untuk RAS dan IAS server akses Check objek.
    • Account komputer komputer server VPN adalah anggota RAS dan IAS server grup keamanan. Anda dapat menggunakan netsh ras menunjukkan registeredserver perintah untuk melihat pendaftaran saat ini. Anda dapat menggunakan perintah "netsh ras menambahkan registeredserver" untuk mendaftar server di domain tertentu.

      Jika Anda menambahkan (atau menghapus) komputer server VPN untuk RAS dan IAS server grup keamanan, perubahan tidak berlaku segera (karena cara bahwa Windows 2000 cache informasi direktori aktif). Untuk segera efek perubahan ini, Anda harus me-restart komputer server VPN.
    • Untuk domain asli-modus, VPN server telah bergabung dengan domain.
    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan grup, cara memverifikasi izin untuk RAS dan IAS grup keamanan, dan tentang NetShell perintah untuk akses remote.
  • Penyebab: Windows NT 4.0 VPN server tidak dapat memvalidasi permintaan sambungan.

    Solusi: Jika klien VPN panggilan di server VPN yang menjalankan Windows NT 4.0 yang adalah anggota domain Windows 2000 modus campuran, memverifikasi bahwa semua kelompok ditambahkan ke grup Pre-Windows 2000 kompatibel akses dengan perintah berikut:
    "bersih localgroup"Pre-Windows 2000 kompatibel "akses"
    Jika tidak, ketik perintah berikut pada prompt perintah pada domain controller komputer, dan kemudian restart komputer kontroler domain:
    net localgroup "Pre-Windows 2000 kompatibel akses" semua orang / add
    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang Windows NT 4.0 akses remote server di domain Windows 2000.
  • Penyebab: VPN server mampu berkomunikasi dengan server RADIUS dikonfigurasi.

    Solusi: Jika server RADIUS Anda hanya dapat dicapai melalui antarmuka Internet Anda, menambahkan penyaring masukan dan output filter ke antarmuka Internet untuk port UDP 1812 (berdasarkan RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"), atau port UDP 1645 (untuk lebih tua server RADIUS) untuk otentikasi RADIUS dan UDP port 1813 (berdasarkan RFC 2139, "RADIUS Accounting"), atau port UDP 1646 (untuk server RADIUS yang lebih tua) untuk jari-jari akuntansi.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan filter paket.
  • Penyebab: Tidak dapat tersambung ke VPN server melalui Internet menggunakan utilitas Ping.exe.

    Solusi: Karena untuk PPTP dan L2TP atas IPSec paket penyaringan yang dikonfigurasi pada antarmuka Internet server VPN, Internet kontrol Message Protocol (ICMP) paket-paket yang digunakan oleh perintah ping akan disaring keluar. Untuk mengaktifkan server VPN untuk menanggapi ICMP (ping) paket, Anda perlu menambahkan penyaring masukan dan filter output yang membolehkan lalu lintas untuk protokol IP 1 (ICMP lalu lintas).

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan filter paket.

Pemecahan masalah Router-Router VPN

Tidak dapat membuat sambungan VPN Router ke Router
  • Penyebab: Routing dan layanan akses jauh tidak dimulai pada klien VPN (router panggilan) dan server VPN (menjawab router).

    Solusi: Memverifikasi negara Routing dan layanan akses jauh pada klien VPN dan VPN server.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara untuk memantau Routing dan layanan akses jauh, dan bagaimana untuk memulai dan menghentikan layanan Routing dan akses jauh.
  • Penyebab: LAN dan WAN routing tidak diaktifkan pada router panggilan dan router menjawab.

    Solusi: Mengaktifkan Lokal dan remote routing (LAN dan WAN router) pada router panggilan dan router menjawab.

    Melihat Windows 2000 online membantu untuk informasi selengkapnya tentang cara mengaktifkan LAN dan WAN routing.
  • Penyebab: Port PPTP atau L2TP tidak diaktifkan untuk inbound dan outbound permintaan routing sambungan putar nomor.

    Solusi: Mengaktifkan PPTP atau L2TP port, atau keduanya, untuk inbound dan outbound permintaan routing sambungan putar nomor.

    Melihat Windows 2000 online membantu untuk informasi selengkapnya tentang cara mengaktifkan routing pada port.
  • Penyebab: Semua PPTP atau L2TP port di router panggilan atau menjawab sedang digunakan oleh klien akses remote terhubung atau permintaan-dial router.

    Solusi: Memverifikasi bahwa semua PPTP atau L2TP port pada VPN server tidak sudah digunakan dengan mengklik Port dalam Routing dan Remote Access. Jika perlu, mengubah jumlah PPTP atau L2TP port untuk memungkinkan koneksi lebih bersamaan.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan PPTP atau L2TP port.
  • Penyebab: Router menjawab tidak mendukung tunneling protokol yang digunakan oleh router panggilan.

    Secara default, Windows 2000 permintaan-dial antarmuka menggunakan Otomatis Server jenis pilihan, yang berarti bahwa mereka berusaha untuk mendirikan L2TP melalui koneksi berbasis IPSec VPN pertama, dan kemudian sambungan VPN berbasis PPTP. Jika panggilan router menggunakan salah Protokol Penerobosan titik (PPTP) atau Layer 2 Tunneling Protocol (L2TP) Server jenis pilihan, memverifikasi bahwa protokol penerowongan dipilih didukung oleh router menjawab.

    Secara default, komputer yang menjalankan Windows 2000 Server dan Routing dan layanan akses jauh adalah PPTP dan mampu L2TP permintaan dial router dengan lima L2TP pelabuhan dan lima PPTP pelabuhan. Untuk membuat hanya PPTP router, menetapkan jumlah L2TP port ke nol. Untuk membuat hanya L2TP router, menetapkan jumlah PPTP port ke nol.

    Solusi: Memverifikasi bahwa sesuai jumlah port PPTP atau L2TP dikonfigurasi pada router panggilan dan router menjawab.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan PPTP atau L2TP port.
  • Penyebab: Router panggilan dan router menjawab dalam hubungannya dengan kebijakan akses remote tidak dikonfigurasi untuk menggunakan setidaknya satu metode otentikasi yang umum.

    Solusi: Mengkonfigurasi router panggilan dan router menjawab dalam hubungannya dengan kebijakan akses remote menggunakan setidaknya satu metode otentikasi yang umum.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara mengkonfigurasi otentikasi.
  • Penyebab: Router panggilan dan router menjawab dalam hubungannya dengan kebijakan akses remote tidak dikonfigurasi untuk menggunakan setidaknya satu metode enkripsi yang umum.

    Solusi: Mengkonfigurasi router panggilan dan router menjawab dalam hubungannya dengan kebijakan akses remote menggunakan setidaknya satu metode enkripsi yang umum.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara mengkonfigurasi enkripsi.
  • Penyebab: Sambungan VPN tidak memiliki izin yang sesuai melalui dial-in properti account pengguna dan kebijakan akses remote.

    Solusi: Verifikasi bahwa sambungan VPN memiliki izin yang sesuai melalui dial-in properti account pengguna dan kebijakan akses remote. Dalam rangka untuk sambungan didirikan, pengaturan sambungan usaha harus:

    • Cocok semua kondisi setidaknya satu kebijakan akses remote.
    • Diberikan izin akses remote melalui account pengguna (diatur ke Memungkinkan akses) atau melalui account pengguna (diatur ke Kontrol akses melalui Remote akses kebijakan) dan izin akses remote kebijakan akses remote pencocokan (diatur ke Memberikan izin akses remote).
    • Cocok semua pengaturan profil.
    • Cocok semua pengaturan dial-in properti account pengguna.
    Melihat Windows 2000 online membantu untuk pengenalan kebijakan akses remote, dan untuk informasi lebih lanjut tentang cara untuk menerima hubungan usaha.
  • Penyebab: Pengaturan Profil kebijakan akses remote yang bertentangan dengan sifat-sifat router menjawab. Sifat-sifat profil kebijakan akses remote dan sifat-sifat router menjawab berisi pengaturan untuk:

    • Multilink
    • Protokol alokasi bandwidth
    • Protokol otentikasi
    Jika pengaturan profil kebijakan akses remote pencocokan konflik dengan pengaturan router menjawab, usaha koneksi ditolak. Sebagai contoh, jika profil kebijakan akses remote pencocokan menentukan bahwa protokol otentikasi EAP-TLS harus digunakan dan EAP tidak diaktifkan pada router menjawab, usaha koneksi ditolak.

    Solusi: Pastikan pengaturan profil kebijakan akses remote tidak bertentangan dengan sifat-sifat router akses remote.

    Melihat Windows 2000 online membantu untuk informasi selengkapnya tentang cara mengaktifkan protokol otentikasi, dan cara mengkonfigurasi otentikasi.
  • Penyebab: Kredensial router panggilan (nama pengguna, sandi, dan nama domain) tidak benar dan tidak divalidasi oleh router menjawab.

    Solusi: Memverifikasi kredensial router panggilan (nama pengguna, sandi, dan nama domain) benar dan dapat disahkan oleh router menjawab.
  • Penyebab: Ada tidak cukup alamat di kolam alamat IP statis.

    Solusi: Jika router menjawab dikonfigurasi dengan kolam alamat IP statis, pastikan ada cukup alamat di kolam renang. Jika semua alamat di kolam renang-statis telah dialokasikan untuk terhubung remote akses klien atau permintaan-dial router, router menjawab tidak dapat mengalokasikan alamat IP, dan usaha koneksi ditolak. Mengubah alamat IP statis renang jika diperlukan.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang TCP/IP dan akses remote, dan cara membuat kolam alamat IP statis.
  • Penyebab: Router menjawab dikonfigurasi dengan kisaran IPX jaringan angka-angka yang digunakan di tempat lain pada jaringan IPX Anda.

    Solusi: Mengkonfigurasi router menjawab dengan nomor jaringan kisaran IPX yang unik untuk jaringan IPX Anda.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang IPX dan akses jauh.
  • Penyebab: Penyedia otentikasi router menjawab salah dikonfigurasi.

    Solusi: Verifikasi konfigurasi penyedia otentikasi. Anda dapat mengkonfigurasi router menjawab untuk menggunakan Windows 2000 atau jari-jari untuk mengotentikasi kredensial klien VPN.

    Lihat bantuan online Windows 2000 untuk informasi selengkapnya tentang otentikasi dan penyedia akuntansi, dan bagaimana menggunakan jari-jari otentikasi.
  • Penyebab: Router menjawab tidak dapat mengakses direktori aktif.

    Solusi: Untuk menjawab router yang adalah anggota server dalam modus campuran atau asli-modus domain Windows 2000 yang dikonfigurasi untuk Windows 2000 otentikasi, memverifikasi bahwa:

    • The RAS dan IAS server grup keamanan ada. Jika tidak, kemudian Buat grup dan mengatur tipe grup Keamanan dan kelompok ruang lingkup untuk Domain lokal.
    • The RAS dan IAS server grup keamanan telah membaca izin untuk RAS dan IAS server akses Check objek.
    • Account komputer komputer router menjawab adalah anggota RAS dan IAS server grup keamanan. Anda dapat menggunakan perintah berikut untuk melihat pendaftaran saat ini:
      "netsh ras menunjukkan registeredserver"
      Anda dapat menggunakan perintah berikut untuk mendaftar server di domain tertentu:
      "netsh ras menambahkan registeredserver"
      Jika Anda menambahkan komputer router menjawab, atau menghapus komputer router menjawab dari RAS dan IAS server grup keamanan, perubahan tidak berlaku segera (karena cara bahwa Windows 2000 cache informasi direktori aktif). Untuk perubahan berlaku segera, Anda harus me-restart komputer router menjawab.
    • Untuk domain asli-modus, router menjawab telah bergabung dengan domain.
    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan grup, cara memverifikasi izin untuk RAS dan IAS grup keamanan, dan tentang perintah NetShell untuk akses remote.
  • Penyebab: Router menjawab menjalankan Windows NT 4.0 dengan Routing dan layanan akses jauh (RRAS) tidak dapat memvalidasi permintaan sambungan.

    Solusi: Jika router panggilan panggilan dalam menjawab router menjalankan Windows NT 4.0 dengan RRAS yang merupakan anggota dari domain Windows 2000 modus campuran, memverifikasi bahwa semua kelompok ditambahkan ke grup Pre-Windows 2000 kompatibel akses dengan perintah berikut:
    "bersih localgroup"Pre-Windows 2000 kompatibel "akses"
    Jika tidak, ketik perintah berikut pada prompt perintah pada domain controller komputer dan kemudian restart komputer kontroler domain:
    "bersih localgroup"Pre-Windows 2000 kompatibel akses"semua orang / add"
    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang Windows NT 4.0 akses remote server di domain Windows 2000.
  • Penyebab: Router menjawab tidak mampu berkomunikasi dengan server RADIUS dikonfigurasi.

    Solusi: Jika server RADIUS Anda hanya dapat dicapai melalui antarmuka Internet Anda, menambahkan penyaring masukan dan output filter antarmuka Internet untuk UDP port 1812 (berdasarkan RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") atau UDP port 1645 (untuk server RADIUS yang lebih tua) untuk otentikasi RADIUS dan UDP port 1813 (berdasarkan RFC 2139, "RADIUS Accounting") atau UDP port 1646 (untuk server RADIUS yang lebih tua) untuk jari-jari akuntansi.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan filter paket.
  • Penyebab: Tidak dapat terhubung ke router menjawab dari Internet dengan menggunakan utilitas Ping.exe.

    Solusi: Karena untuk PPTP dan L2TP atas IPSec opsi yang dikonfigurasi pada antarmuka Internet router menjawab, paket Internet Control Message Protocol (ICMP) yang digunakan oleh Ping perintah akan disaring. Untuk mengaktifkan router menjawab untuk menanggapi ICMP paket, Anda harus menambahkan filter masukan dan filter output yang membolehkan lalu lintas untuk protokol IP 1 (ICMP lalu lintas).

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan filter paket.
Tidak dapat mengirim dan menerima Data
  • Penyebab: Sesuai permintaan-antarmuka dial yang tidak ditambahkan ke protokol yang sedang diarahkan.

    Solusi: Tambahkan antarmuka sesuai permintaan-dial protokol yang sedang diarahkan.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara menambahkan sebuah antarmuka routing.
  • Penyebab: Ada tidak ada rute di kedua sisi dari router ke router sambungan VPN yang mendukung pertukaran lalu lintas dua arah.

    Solusi: Tidak seperti akses remote sambungan VPN, sambungan VPN router ke router tidak secara otomatis membuat standar rute. Anda perlu membuat rute di kedua sisi dari sambungan VPN router ke router sehingga lalu lintas dapat diarahkan ke dan dari sisi lain dari sambungan VPN router ke router.

    Anda dapat secara manual menambahkan rute statis untuk tabel routing, atau Anda dapat menambahkan rute statis melalui protokol routing. Untuk sambungan VPN gigih, Anda dapat mengaktifkan terbuka terpendek Path First (OSPF) atau Routing informasi Protocol (RIP) di sambungan VPN. Untuk on-demand sambungan VPN, Anda dapat secara otomatis memperbarui rute melalui auto-statis RIP update. Lihat bantuan online Windows 2000 untuk informasi lebih lanjut tentang cara menambahkan protokol IP routing, bagaimana menambahkan rute statis, dan bagaimana untuk melakukan pembaruan otomatis-statis
  • Penyebab: Dua arah dimulai, router menjawab sebagai sambungan akses remote adalah menafsirkan sambungan VPN router ke router.

    Solusi: Jika nama pengguna di kredensial router panggilan muncul di bawah Dial-In klien dalam Routing dan akses jauh, menjawab router dapat menafsirkan router panggilan sebagai klien akses remote. Pastikan bahwa nama pengguna di kredensial router panggilan sesuai nama antarmuka permintaan-dial di router menjawab. Jika pemanggil masuk router, pelabuhan yang panggilan diterima menunjukkan status Aktif dan antarmuka dial permintaan yang sesuai dalam Terhubung negara.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara untuk memeriksa status port di router menjawab, dan bagaimana untuk memeriksa status antarmuka dial permintaan.
  • Penyebab: Packet filter di antarmuka dial permintaan panggilan router dan menjawab router mencegah arus lalu lintas.

    Solusi: Verifikasi bahwa tidak ada filter paket pada antarmuka dial permintaan panggilan router dan menjawab router yang mencegah pengiriman atau menerima lalu lintas. Anda dapat mengkonfigurasi setiap permintaan-dial interface dengan IP dan IPX masukan dan keluaran filter untuk mengontrol sifat TCP/IP dan IPX lalu-lintas yang diperbolehkan masuk dan keluar dari antarmuka dial permintaan.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara mengelola paket filter.
  • Penyebab: Paket penyaring pada profil kebijakan akses remote mencegah aliran trafik IP.

    Solusi: Verifikasi bahwa tidak ada filter paket TCP/IP dikonfigurasi pada properti profil kebijakan akses remote pada VPN server (atau RADIUS server) jika layanan otentikasi Internet digunakan yang mencegah pengiriman atau menerima lalu lintas TCP/IP. Anda dapat menggunakan akses remote berlaku untuk mengkonfigurasi TCP/IP masukan dan keluaran filter paket yang mengontrol sifat lalulintas TCP/IP yang diizinkan pada sambungan VPN. Verifikasi bahwa filter paket profil TCP/IP tidak mencegah arus lalu lintas yang diperlukan.

    Melihat Windows 2000 online membantu untuk informasi lebih lanjut tentang cara mengkonfigurasi IP pilihan.



REFERENSI

Untuk informasi tambahan tentang cara membuat sambungan VPN dengan Windows XP, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
305550 Cara mengkonfigurasi sambungan VPN ke jaringan perusahaan Anda
Untuk informasi tambahan, klik nomor artikel di bawah ini untuk melihat artikel pada Basis Pengetahuan Microsoft:
255784Meningkatkan keamanan di Windows 2000 VPN Server
254018 Cara mengkonfigurasi penyaring masukan untuk layanan yang dijalankan di belakang network address translation
260926 Routing dan akses jauh Wizard untuk VPN Server menciptakan non-spesifik masukan dan keluaran filter








Properti

ID Artikel: 308208 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbhowto kbhowtomaster kbmt KB308208 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:308208

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com