Installazione e configurazione di un server VPN (Virtual Private Network) in Windows Server 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 308208 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato precedentemente pubblicato con il codice di riferimento I308208
Avviso
Questo articolo si riferisce a Windows 2000. Il supporto per Windows 2000 termina il 13 luglio 2010. Il Centro di supporto relativo al termine del supporto di Windows 2000 Ŕ un punto di inizio per pianificare la strategia di migrazione da Windows 2000. Per ulteriori informazioni vedere la politica Microsoft Support Lifecycle.
Avviso
Questo articolo si riferisce a Windows 2000. Il supporto per Windows 2000 termina il 13 luglio 2010. Il Centro di supporto relativo al termine del supporto di Windows 2000 Ŕ un punto di inizio per pianificare la strategia di migrazione da Windows 2000. Per ulteriori informazioni vedere la politica Microsoft Support Lifecycle.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Una rete privata virtuale (VPN), consente di connettere componenti a una rete mediante un'altra rete, come ad esempio Internet. ╚ possibile trasformare un computer basato su Windows 2000 Server in un server di accesso remoto affinchÚ altri utenti possano connettersi ad esso mediante VPN e quindi accedere a file condivisi nelle unitÓ locali o in rete. Le reti private virtuali utilizzano a questo scopo il "tunneling" attraverso Internet o un'altra rete pubblica offrendo lo stesso livello di sicurezza e le stesse funzionalitÓ di una rete privata. Con una VPN, le connessioni in una rete pubblica consentono di trasferire dati utilizzando l'infrastruttura di routing di Internet, anche se all'utente l'invio dei dati appare come effettuato mediante un collegamento privato dedicato.

In questo articolo viene descritto come installare reti private virtuali (VPN) e come creare una nuova connessione VPN in Windows 2000.

Panoramica della VPN

Una rete privata virtuale (VPN) consente di effettuare la connessione a una rete privata (ad esempio la rete aziendale) mediante una rete pubblica, come ad esempio Internet, combinando quindi i vantaggi di una connessione remota a un server di connessione remota con la flessibilitÓ e la semplicitÓ di utilizzo di una connessione Internet. Utilizzando una connessione Internet, Ŕ possibile viaggiare e spostarsi ed essere comunque in grado, nella maggior parte dei casi, di effettuare la connessione al proprio ufficio con una telefonata locale al numero telefonico dell'accesso Internet pi¨ vicino. Se si dispone di una connessione Internet ad alta velocitÓ (ad esempio via cavo o DSL) al proprio computer (e ai computer aziendali), Ŕ possibile comunicare con il proprio ufficio o la propria azienda sfruttando l'elevata velocitÓ di Internet rispetto a qualsiasi connessione remota effettuata mediante un modem analogico.

Le reti VPN consentono di utilizzare collegamenti autenticati per garantire che solo gli utenti autorizzati siano in grado di accedere alla rete e impiegano sistemi crittografici per verificare che i dati inviati in Internet non possano essere intercettati e utilizzati da altri utenti. In Windows questo livello di sicurezza viene ottenuto mediante l'utilizzo dei protocolli PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer Two Tunneling Protocol).

La tecnologia VPN consente inoltre alle aziende di connettersi alle proprie filiali o ad altre imprese in una rete pubblica (come ad esempio Internet) mantenendo al contempo comunicazioni protette. La connessione VPN su Internet funziona a livello logico come un collegamento WAN (Wide Area Network) dedicato.

Componenti di una VPN

Una rete VPN in Windows 2000 Ŕ costituita da un server VPN, un client VPN, una connessione VPN (la parte della connessione in cui i dati sono crittografati) e il tunnel (la parte della connessione in cui i dati sono incapsulati). Il tunneling viene effettuato mediante uno dei protocolli di tunneling inclusi in Windows 2000, installati con Routing e Accesso remoto. I due protocolli di tunneling inclusi in Windows 2000 sono:
  • PPTP (Point-to-Point Tunneling Protocol): consente di crittografare i dati utilizzando Crittografia Microsoft Point-to-Point.
  • L2TP (Layer Two Tunneling Protocol): consente di crittografare i dati, autenticarli e conservare l'integritÓ utilizzando IPSec.
La connessione a Internet dovrebbe sfruttare una linea dedicata, quale T1, Fractional T1 o Frame Relay. ╚ necessario che la scheda WAN sia configurata con l'indirizzo IP e la subnet mask assegnati al dominio o forniti da un provider di servizi Internet (ISP), come anche il gateway predefinito del router ISP.

NOTA: per attivare una connessione VPN, Ŕ necessario effettuare l'accesso utilizzando un account che disponga di diritti di amministrazione.

Installazione e attivazione di una VPN

Per installare e attivare un server VPN, attenersi alla seguente procedura:
  1. Nel computer VPN Microsoft Windows 2000 confermare che sia la connessione a Internet sia la connessione alla rete locale (LAN) sono configurate correttamente.
  2. Fare clic su Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
  3. Fare clic sul nome del server nell'albero e scegliere Configura e abilita Routing e Accesso remoto nel menu Azione e scegliere Avanti.
  4. Nella finestra di dialogo Configurazioni comuni, fare clic su Rete privata virtuale (server VPN) e scegliere Avanti.
  5. Nella finestra di dialogo Protocolli client remoto, confermare che il protocollo TCP/IP sia incluso nell'elenco e scegliere Si, tutti i protocolli disponibili sono presenti nell'elenco e fare clic su Avanti.
  6. Nella finestra di dialogo Connessione Internet, selezionare la connessione Internet per connettersi a Internet e scegliere Avanti.
  7. Nella finestra di dialogo Assegnazione indirizzi IP, selezionare Automaticamente per utilizzare il server DHCP nella subnet per l'assegnazione di indirizzi IP a client remoti e al server.
  8. Nella finestra di dialogo Gestione di pi¨ server di Accesso remoto, confermare che la casella di controllo No, non configurare ora il server per l'utilizzo di RADIUS sia selezionata.
  9. Scegliere Avanti, quindi Fine.
  10. Fare clic con il pulsante destro del mouse sul nodo Porte, quindi scegliere ProprietÓ.
  11. Nella finestra di dialogo ProprietÓ porte scegliere la periferica WAN Miniport (PPTP), quindi Configura.
  12. Nella finestra di dialogo Configura periferica - WAN Miniport (PPTP), effettuare una delle seguenti operazioni:
    • Se non si desidera supportare VPN di accesso remoto dirette per utenti a modem installati nel server, deselezionare la casella di controllo Routing con connessioni a richiesta (in ingresso e in uscita).
    • Se si desidera supportare VPN di accesso remoto dirette per utenti a modem installati nel server, deselezionare la casella di controllo Routing con connessioni a richiesta (in ingresso e in uscita).
  13. Digitare il numero massimo di connessioni PPTP simultanee che Ŕ possibile effettuare nella casella di testo Numero massimo di porte. (Ci˛ potrebbe dipendere dal numero di indirizzi IP disponibili).
  14. Ripetere i passaggi 11-13 per la periferica L2TP, quindi scegliere OK.

Configurazione del server VPN

Per configurare il server VPN come richiesto, attenersi alla procedura descritta di seguito.

Configurazione del server di Accesso remoto come router

AffinchÚ il server di accesso remoto possa inoltrare il traffico correttamente all'interno della rete, Ŕ necessario configurarlo come router con route statiche o protocolli di routing, in modo che tutti i percorsi nella rete Intranet siano raggiungibili dal server di accesso remoto.

Per configurare il server come router:
  1. Fare clic su Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
  2. Fare clic con il pulsante destro del mouse sul nome del server, quindi scegliere ProprietÓ.
  3. Nella scheda Generale, scegliere Abilita questo computer come router.
  4. Selezionare Solo routing LAN o Routing LAN e connessioni a richiesta e scegliere OK per chiudere la finestra di dialogo ProprietÓ.

Configurazione di porte PPTP

Confermare il numero di porte PPTP desiderate. Per verificare il numero di porte o per aggiungere altre porte, attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
  2. Nella struttura della console espandere Routing e Accesso remoto, espandere il nome del server e fare clic su Porte.
  3. Fare clic con il pulsante destro del mouse su Porte, quindi scegliere ProprietÓ.
  4. Nella finestra di dialogo ProprietÓ della porta scegliere WAN Miniport (PPTP), quindi Configura.
  5. Nella finestra di dialogo Configura periferica selezionare il numero massimo di porte per la periferica, quindi selezionare le opzioni per specificare se la periferica accetta solo connessioni in ingresso o sia connessioni in ingresso che in uscita.

Gestione dei nomi e degli indirizzi dei server

╚ necessario che il server VPN disponga di indirizzi IP disponibili per poterli assegnare all'interfaccia virtuale del server VPN e ai client VPN durante la fase di negoziazione IPCP (IP Control Protocol) del processo di connessione. L'indirizzo IP assegnato al client VPN Ŕ assegnato all'interfaccia virtuale del client VPN.

Per i server VPN basati su Windows 2000, gli indirizzi IP assegnati ai client VPN vengono ottenuti tramite DHCP in base all'impostazione predefinita. ╚ inoltre possibile configurare un pool di indirizzi IP statici. ╚ necessario inoltre che il server VPN sia configurato con server di risoluzione dei nomi, solitamente indirizzi relativi a server DNS e WINS, per l'assegnazione al client VPN durante la negoziazione IPCP.

Gestione dell'accesso

Configurare le proprietÓ di accesso remoto in account utente e criteri di accesso remoto per gestire l'accesso per connessioni remote e connessioni VPN.

NOTA: in base all'impostazione predefinita agli utenti viene negato l'accesso alle funzionalitÓ di accesso remoto.

Accesso tramite account utente

Se l'accesso remoto viene gestito su una base per utente, fare clic su Consenti accesso nella scheda Chiamate in ingresso della finestra di dialogo ProprietÓ dell'utente per gli account utente a cui Ŕ consentito creare connessioni VPN. Se il server VPN consente solo connessioni VPN, eliminare il criterio di accesso remoto predefinito denominato "Consenti accesso se l'autorizzazione chiamate in ingresso Ŕ abilitata". Creare quindi un nuovo criterio di accesso remoto con un nome descrittivo, quale ad esempio Accesso VPN se consentito da account utente. Per ulteriori informazioni, vedere la Guida di Windows 2000.

ATTENZIONE: dopo avere eliminato il criterio predefinito, sarÓ negato l'accesso a un client di accesso remoto che non corrisponda ad almeno una delle configurazioni dei criteri creati.

Se il server VPN consente anche servizi di accesso remoto, non eliminare il criterio predefinito ma limitarsi a spostarlo, in modo che sia l'ultimo criterio ad essere preso in esame.

Accesso tramite appartenenza a gruppo

Se l'accesso remoto viene gestito su una base per gruppo, fare clic sul pulsante di opzione Controlla accesso tramite Criteri di accesso remoto su tutti gli account utente utilizzando lo snap-in Utenti e computer di Active Directory di MMC (Microsoft Management Console) o degli strumenti di amministrazione. Creare un gruppo Windows 2000 con membri a cui Ŕ consentito creare connessioni VPN. Se il server VPN consente solo connessioni VPN, eliminare il criterio di accesso remoto predefinito denominato Consenti accesso se l'autorizzazione chiamate in ingresso Ŕ abilitata. Creare un nuovo criterio di accesso remoto con un nome descrittivo, quale ad esempio Accesso VPN se membro di un gruppo con abilitazione VPN, quindi assegnare il gruppo Windows 2000 al criterio.

Se il server VPN consente anche servizi di accesso remoto, non eliminare il criterio predefinito ma limitarsi a spostarlo, in modo che sia l'ultimo criterio ad essere preso in esame.

Configurazione di una connessione VPN da un computer client

Per impostare una connessione a una rete VPN:
  1. Nel computer client assicurarsi che la connessione a Internet sia configurata correttamente.
  2. Fare clic su Start, scegliere Impostazioni, quindi Rete e connessioni remote.
  3. Fare doppio clic su Crea nuova connessione.
  4. Fare clic su Avanti, quindi su Connessione a una rete privata attraverso Internet e scegliere Avanti.
  5. Eseguire una delle seguenti operazioni:
    • Se si utilizza una connessione remota per connettersi a Internet, fare clic su Connetti automaticamente a, quindi selezionare la connessione Internet dall'elenco.
    • Se si utilizza una connessione dedicata, quale ad esempio con un modem via cavo, fare clic su Non effettuare prima alcuna connessione.
  6. Scegliere Avanti.
  7. Digitare il nome host (ad esempio, Microsoft.com) o l'indirizzo IP (ad esempio, 123.123.123.123) del computer al quale si desidera effettuare la connessione, quindi fare clic su Avanti.
  8. Fare clic su Per tutti gli utenti se si desidera che la connessione sia disponibile a tutti gli utenti che accedono al computer oppure fare clic su Solo uso personale per renderla disponibile esclusivamente per uso personale quando si accede al computer, quindi scegliere Avanti.
  9. Digitare un nome descrittivo per la connessione, quindi scegliereFine.

    NOTA: questa opzione Ŕ disponibile solo se si effettua l'accesso come membro del gruppo Administrators.
  10. Fare clic su Start, scegliere Impostazioni, quindi Rete e connessioni remote.
  11. Fare doppio clic sulla nuova connessione.
  12. Scegliere ProprietÓ per configurare ulteriori opzioni relative alla connessione:
    • Se ci si connette a un dominio, fare clic sulla scheda Opzioni, quindi selezionare la casella di controllo Includi dominio di accesso Windows per specificare se richiedere informazioni sul dominio di accesso Windows prima di effettuare la connessione.
    • Se si desidera che il computer ristabilisca la connessione nel caso cada la linea, fare clic sulla scheda Opzioni, quindi selezionare la casella di controllo Ricomponi se cade la linea.
Per utilizzare la connessione:
  1. Fare clic su Start, scegliere Impostazioni, quindi Rete e connessioni remote.
  2. Fare doppio clic sulla nuova connessione.
  3. Se non si dispone di una connessione a Internet, in Windows esiste la possibilitÓ di effettuare tale connessione.
  4. Una volta creata la connessione a Internet, nome utente e password vengono richiesti dal server VPN. Inserire nome utente e password, fare clic su Connetti, le risorse di rete dovrebbero essere disponibili nello stesso modo in cui sono disponibili connettendosi direttamente alla rete.NOTA: per disconnettersi dalla rete VPN, fare clic con il pulsante destro del mouse sull'icona della connessione, quindi scegliere Disconnetti.

Risoluzione dei problemi

Risoluzione dei problemi relativi alle reti VPN di accesso remoto

Impossibile stabilire una connessione VPN di accesso remoto
  • Causa: il nome del computer client Ŕ uguale al nome di un altro computer in rete.

    Soluzione: verificare che tutti i computer in rete e tutti i computer che effettuano connessioni alla rete utilizzino nomi univoci.
  • Causa: il servizio Routing e Accesso remoto non Ŕ stato avviato sul server VPN.

    Soluzione: verificare lo stato del servizio Routing e Accesso remoto sul server VPN.

    Per ulteriori informazioni sul monitoraggio del servizio Routing e Accesso remoto e sull'avvio e l'interruzione di tale servizio, consultare la Guida in linea di Windows 2000.
  • Causa: l'accesso remoto non Ŕ stato attivato nel server VPN.

    Soluzione: attivare l'accesso remoto nel server VPN.

    Per ulteriori informazioni su come attivare l'accesso remoto al server, consultare la Guida in linea di Windows 2000.
  • Causa: le porte PPTP o L2TP non sono state abilitate per le richieste di accesso remoto in ingresso.

    Soluzione: abilitare le porte PPTP o L2TP, oppure entrambe, per le richieste di accesso remoto in ingresso.

    Per ulteriori informazioni su come configurare le porte per l'acceso remoto, consultare la Guida in linea di Windows 2000.
  • Causa: i protocolli LAN utilizzati dai client VPN non sono stati abilitati per l'accesso remoto nel server VPN.

    Soluzione: abilitare i protocolli LAN utilizzati dai client VPN per l'accesso remoto nel server VPN.

    Per ulteriori informazioni su come visualizzare le proprietÓ del server di accesso remoto, consultare la Guida in linea di Windows 2000.
  • Causa: tutte le porte PPTP o L2TP nel server VPN sono giÓ utilizzate da client di accesso remoto o da router di connessione a richiesta correntemente connessi.

    Soluzione: verificare che tutte le porte PPTP o L2TP nel server VPN non siano giÓ utilizzate facendo clic su Porte in Routing e Accesso remoto. Se necessario, modificare il numero di porte PPTP o L2TP per consentire pi¨ connessioni simultanee.

    Per ulteriori informazioni su come aggiungere le porte PPTP o L2TP, consultare la Guida in linea di Windows 2000.
  • Causa: il server VPN non supporta il protocollo di tunneling del client VPN.

    Per impostazione predefinita, i client VPN di accesso remoto di Windows 2000 utilizzano l'opzione tipo server Automatico, mediante la quale tentano di stabilire prima una connessione VPN basata su L2TP con IPSec, poi una connessione VPN basata su PPTP. Se i client VPN utilizzano l'opzione tipo server PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer-2 Tunneling Protocol), verificare che il protocollo di tunneling selezionato sia supportato dal server VPN.

    Per impostazione predefinita, un computer che esegue Windows 2000 Server e il servizio Routing e Accesso remoto Ŕ un server PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un server che utilizzi solo il protocollo PPTP, impostare il numero di porte L2TP su zero. Per creare un server che utilizzi solo il protocollo L2TP, impostare il numero di porte PPTP su zero.

    Soluzione: verificare che sia stato configurato il numero appropriato di porte PPTP o L2TP.

    Per ulteriori informazioni su come aggiungere le porte PPTP o L2TP, consultare la Guida in linea di Windows 2000.
  • Causa: il client VPN e il server VPN, unitamente a un criterio di accesso remoto, non sono configurati per l'utilizzo di almeno un metodo di autenticazione comune.

    Soluzione: configurare il client VPN e il server VPN, unitamente a un criterio di accesso remoto, per l'utilizzo di almeno un metodo di autenticazione comune.

    Per ulteriori informazioni sulla configurazione dell'autenticazione, consultare la Guida in linea di Windows 2000.
  • Causa: il client VPN e il server VPN, unitamente a un criterio di accesso remoto, non sono configurati per l'utilizzo di almeno un metodo di crittografia comune.

    Soluzione: configurare il client VPN e il server VPN, unitamente a un criterio di accesso remoto, per l'utilizzo di almeno un metodo di crittografia comune.

    Per ulteriori informazioni sulla configurazione della crittografia, consultare la Guida in linea di Windows 2000.
  • Causa: la connessione VPN non dispone delle autorizzazioni appropriate mediante le proprietÓ delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto.

    Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate mediante le proprietÓ delle chiamate in ingresso dell'account utente e di criteri di accesso remoto. Per stabilire la connessione, Ŕ necessario che le impostazioni della connessione:

    • Corrispondano a tutte le condizioni di almeno un criterio di accesso remoto.
    • Assicurarsi di concedere l'autorizzazione di accesso remoto attraverso l'account utente (impostato su Consenti accesso) o attraverso l'account utente (impostato su Controlla accesso tramite Criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
    • Corrispondano a tutte le impostazioni del profilo.
    • Corrispondano a tutte le impostazioni delle proprietÓ delle chiamate in ingresso dell'account utente.
    Per un'introduzione ai criteri di accesso remoto e per ulteriori informazioni sull'accettazione di un tentativo di connessione, consultare la Guida in linea di Windows 2000.
  • Causa: le impostazioni del profilo relativo al criterio di accesso remoto sono in conflitto con le proprietÓ del server VPN.

    Le proprietÓ del profilo relativo al criterio di accesso remoto e le proprietÓ del server VPN contengono entrambe impostazioni relative a:

    • Connessione multipla
    • Protocollo di allocazione della larghezza di banda
    • Protocolli di autenticazione
    Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con le impostazioni del server VPN, il tentativo di connessione verrÓ respinto. Se ad esempio il profilo relativo al criterio di accesso remoto corrispondente specifica che Ŕ necessario utilizzare il protocollo di autenticazione EAP-TLS e EAP non Ŕ stato attivato nel server VPN, il tentativo di connessione verrÓ respinto.

    Soluzione: verificare che le impostazioni del profilo relativo al criterio di accesso remoto non siano in conflitto con le proprietÓ del server VPN.

    Per ulteriori informazioni sull'attivazione dei protocolli di autenticazione e sulla configurazione dell'autenticazione, consultare la Guida in linea di Windows 2000.
  • Causa: il router di risposta non Ŕ in grado di convalidare le credenziali del router di chiamata (nome utente, password e nome dominio).

    Soluzione: verificare che le credenziali del client VPN (nome utente, password e nome dominio) siano corrette e possano essere convalidate dal server VPN.
  • Causa: gli indirizzi presenti nel pool di indirizzi IP statici non sono sufficienti.

    Soluzione: se il server VPN Ŕ configurato con un pool di indirizzi IP statici, verificare che il pool contenga un numero di indirizzi sufficiente. Se tutti gli indirizzi nel pool di indirizzi IP statici sono stati allocati a client VPN connessi, il server VPN non Ŕ in grado di allocare un indirizzo IP e il tentativo di connessione verrÓ respinto. Se necessario, modificare il pool di indirizzi IP statici. Per ulteriori informazioni sul protocollo TCP/IP e l'accesso remoto e sulla creazione di un pool di indirizzi IP statici, consultare la Guida in linea di Windows 2000.
  • Causa: il client VPN Ŕ configurato per richiedere il proprio numero di nodo IPX e il server VPN non Ŕ configurato per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Soluzione: configurare il server VPN per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Per ulteriori informazioni su IPX e l'accesso remoto, consultare la Guida in linea di Windows 2000.
  • Causa: il server VPN Ŕ configurato con un intervallo di numeri di rete IPX utilizzati in un altro punto della rete IPX.

    Soluzione: configurare il server VPN con un intervallo di numeri di rete IPX univoco per la propria rete IPX.

    Per ulteriori informazioni su IPX e l'accesso remoto, consultare la Guida in linea di Windows 2000.
  • Causa: il provider delle autenticazioni del server VPN non Ŕ stato configurato correttamente.

    Soluzione: verificare la configurazione del provider delle autenticazioni. ╚ possibile configurare il server VPN per l'utilizzo di Windows 2000 o RADIUS per l'autenticazione delle credenziali del client VPN.

    Per ulteriori informazioni sui provider di autenticazione e amministrazione e sull'utilizzo dell'autenticazione RADIUS, consultare la Guida in linea di Windows 2000.
  • Causa: il server VPN non Ŕ in grado di effettuare l'accesso ad Active Directory.


    Soluzione: per un server VPN membro di un dominio Windows 2000 in modalitÓ mista o in modalitÓ originale configurato per l'autenticazione Windows 2000, verificare che:

    • Il gruppo dei server di sicurezza RAS e IAS esiste. In caso contrario, creare il gruppo e impostare il tipo di gruppo su Protezione e l'ambito del gruppo su Locale al dominio.
    • Il gruppo dei server di sicurezza RAS e IAS dispone dell'autorizzazione di lettura per l'oggetto Controllo accesso dei server RAS e IAS.
    • L'account computer del computer server VPN sia un membro del gruppo di sicurezza dei server RAS e IAS. Sia possibile utilizzare il comando netsh ras show registeredserver per visualizzare la registrazione corrente. ╚ possibile utilizzare il comando "netsh ras add registeredserver" per la registrazione del server in un dominio specifico.

      Aggiungendo (o rimuovendo) il computer server VPN al gruppo di sicurezza Server RAS e IAS la modifica non sarÓ attiva immediatamente (a causa del modo in cui le informazioni relative a Active Directory vengono memorizzate nella cache da Windows 2000). PerchÚ questa modifica sia immediatamente attiva, Ŕ necessario riavviare il computer server VPN.
    • Per un dominio in modalitÓ originale, il server VPN sia aggiunto al dominio.
    Per ulteriori informazioni su come aggiungere un gruppo, verificare le autorizzazioni per il gruppo di sicurezza RAS e IAS e sui comandi NetShell per l'accesso remoto, consultare la Guida in linea di Windows 2000.
  • Causa: un server VPN Windows NT 4.0 non Ŕ in grado di convalidare le richieste di connessione.

    Soluzione: se i client VPN effettuano chiamate in ingresso a un server VPN che esegue Windows NT 4.0 ed Ŕ membro di un dominio Windows 2000 in modalitÓ mista, verificare che il gruppo Everyone sia stato aggiunto al gruppo Accesso compatibile precedente a Windows 2000 con il seguente comando:
    "net localgroup "Pre-Windows 2000 Compatible Access""
    In caso contrario, digitare il comando riportato di seguito al prompt dei comandi in un computer controller di dominio, quindi riavviare quest'ultimo computer:
    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    Per ulteriori informazioni sul server di accesso remoto Windows NT 4.0 in un dominio Windows 2000, consultare la Guida in linea di Windows 2000.
  • Causa: il server VPN non Ŕ in grado di comunicare con il server RADIUS configurato.

    Soluzione: se il server RADIUS Ŕ raggiungibile unicamente attraverso l'interfaccia Internet, aggiungere un filtro input e un filtro output all'interfaccia Internet per la porta UDP 1812 (sulla base della specifica RFC 2138 "Remote Authentication Dial-In User Service (RADIUS)") o per la porta UDP 1645 (per i server RADIUS meno recenti) per l'autenticazione RADIUS e la porta UDP 1813 (sulla base della specifica RFC 2139 "Amministrazione RADIUS") o per la porta UDP 1646 (per i server RADIUS meno recenti) per l'amministrazione RADIUS.

    Per ulteriori informazioni sull'aggiunta di un filtro dei pacchetti, consultare la Guida in linea di Windows 2000.
  • Causa: impossibile connettere il server VPN a Internet mediante l'utilitÓ Ping.exe.

    Soluzione: a causa dei filtri dei pacchetti PPTP e L2TP su IPSec configurati nell'interfaccia Internet del server VPN, i pacchetti ICMP (Internet Control Message Protocol) utilizzati dal comando ping vengono scartati. Per abilitare il server VPN alla risposta ai pacchetti ICMP (ping), Ŕ necessario aggiungere un filtro input e un filtro output che consentano il traffico per il protocollo IP 1 (traffico ICMP).

    Per ulteriori informazioni sull'aggiunta di un filtro dei pacchetti, consultare la Guida in linea di Windows 2000.

Risoluzione dei problemi relativi alle connessioni VPN da router a router

Impossibile stabilire una connessione VPN da router a router
  • Causa: il servizio Routing e Accesso remoto non Ŕ stato avviato nel client VPN (il router di chiamata) e nel server VPN (il router di risposta).

    Soluzione: verificare lo stato del servizio Routing e Accesso remoto nel client VPN e nel server VPN.

    Per ulteriori informazioni sul monitoraggio del servizio Routing e Accesso remoto e sull'avvio e l'interruzione di tale servizio, consultare la Guida in linea di Windows 2000.
  • Causa: il routing LAN e WAN non Ŕ stato abilitato nel router di chiamata e nel router di risposta.

    Soluzione: Attivare il Routing locale e remoto (router LAN e WAN) nel router di chiamata e nel router di risposta.

    Per ulteriori informazioni sull'abilitazione del routing LAN e WAN, consultare la Guida in linea di Windows 2000.
  • Causa: le porte PPTP o L2TP non sono abilitate per connessioni relative al routing con connessione a richiesta in ingresso e in uscita.

    Soluzione: abilitare le porte PPTP o L2TP, oppure entrambe, per connessioni relative al routing con connessione a richiesta in ingresso e in uscita.

    Per ulteriori informazioni sull'abilitazione del routing nelle porte, consultare la Guida in linea di Windows 2000.
  • Causa: tutte le porte PPTP o L2TP nel router di chiamata o di risposta sono correntemente utilizzate da client di accesso remoto o da router di connessione a richiesta connessi.

    Soluzione: verificare che tutte le porte PPTP o L2TP nel server VPN non siano giÓ utilizzate facendo clic su Porte in Routing e Accesso remoto. Se necessario, modificare il numero di porte PPTP o L2TP per consentire pi¨ connessioni simultanee.

    Per ulteriori informazioni su come aggiungere le porte PPTP o L2TP, consultare la Guida in linea di Windows 2000.
  • Causa: Il protocollo di tunneling utilizzato dal router di chiamata non Ŕ supportato dal router di risposta.

    Per impostazione predefinita, le interfacce di connessione a richiesta di Windows 2000 utilizzano l'opzione tipo server Automatico mediante la quale tentano di stabilire prima una connessione VPN basata su L2TP con IPSec e poi una connessione VPN basata su PPTP. Se i router di chiamata utilizzano l'opzione tipo server PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer-2 Tunneling Protocol), verificare che il protocollo di tunneling selezionato sia supportato dal router di risposta.

    Per impostazione predefinita, un computer che esegue Windows 2000 Server e il servizio Routing e Accesso remoto Ŕ un router di connessione a richiesta abilitato per PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un router che utilizzi solo il protocollo PPTP, impostare il numero di porte L2TP su zero. Per creare un router che utilizzi solo il protocollo L2TP, impostare il numero di porte PPTP su zero.

    Soluzione: verificare che nel router di chiamata e nel router di risposta sia stato configurato il numero appropriato di porte PPTP o L2TP.

    Per ulteriori informazioni su come aggiungere le porte PPTP o L2TP, consultare la Guida in linea di Windows 2000.
  • Causa: il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto non sono configurati per l'utilizzo di almeno un metodo di autenticazione comune.

    Soluzione: configurare il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto per l'utilizzo di almeno un metodo di autenticazione comune.

    Per ulteriori informazioni sulla configurazione dell'autenticazione, consultare la Guida in linea di Windows 2000.
  • Causa: il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto non sono configurati per l'utilizzo di almeno un metodo di crittografia comune.

    Soluzione: configurare il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto per l'utilizzo di almeno un metodo di crittografia comune.

    Per ulteriori informazioni sulla configurazione della crittografia, consultare la Guida in linea di Windows 2000
  • Causa: la connessione VPN non dispone delle autorizzazioni appropriate mediante le proprietÓ delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto.

    Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate mediante le proprietÓ delle chiamate in ingresso dell'account utente e di criteri di accesso remoto. Per stabilire la connessione, Ŕ necessario che le impostazioni della connessione:

    • Corrispondano a tutte le condizioni di almeno un criterio di accesso remoto.
    • Ricevano l'autorizzazione di accesso remoto attraverso l'account utente (impostato su Consenti accesso) o attraverso l'account utente (impostato su Controlla accesso tramite Criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
    • Corrispondano a tutte le impostazioni del profilo.
    • Corrispondano a tutte le impostazioni delle proprietÓ delle chiamate in ingresso dell'account utente.
    Per un'introduzione ai criteri di accesso remoto e per ulteriori informazioni sull'accettazione di un tentativo di connessione, consultare la Guida in linea di Windows 2000.
  • Causa: le impostazioni del profilo relativo al criterio di accesso remoto sono in conflitto con le proprietÓ del router di risposta. Le proprietÓ del profilo relativo al criterio di accesso remoto e le proprietÓ del router di risposta contengono entrambe impostazioni relative a:

    • Connessione multipla
    • Protocollo di allocazione della larghezza di banda
    • Protocolli di autenticazione
    Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con le impostazioni del router di risposta, il tentativo di connessione verrÓ respinto. Se ad esempio il profilo relativo al criterio di accesso remoto corrispondente specifica che Ŕ necessario utilizzare il protocollo di autenticazione EAP-TLS e EAP non Ŕ stato attivato nel router di risposta, il tentativo di connessione verrÓ respinto.

    Soluzione: verificare che le impostazioni del profilo relativo al criterio di accesso remoto non siano in conflitto con le proprietÓ del router di accesso remoto.

    Per ulteriori informazioni sull'attivazione dei protocolli di autenticazione e sulla configurazione dell'autenticazione, consultare la Guida in linea di Windows 2000.
  • Causa: le credenziali del router di chiamata (nome utente, password e nome dominio) non sono corrette e non possono essere convalidate dal router di risposta.

    Soluzione: verificare che le credenziali del router di chiamata (nome utente, password e nome dominio) siano corrette e possano essere convalidate dal router di risposta.
  • Causa: gli indirizzi presenti nel pool di indirizzi IP statici non sono sufficienti.

    Soluzione: se il router di risposta Ŕ configurato con un pool di indirizzi IP statici, verificare che nel pool vi siano sufficienti indirizzi. Se tutti gli indirizzi nel pool di indirizzi IP statici sono stati allocati a client di accesso remoto o router di connessione a richiesta connessi, il router di risposta non Ŕ in grado di allocare un indirizzo IP e il tentativo di connessione verrÓ respinto. Se necessario, modificare il pool di indirizzi IP statici.

    Per ulteriori informazioni sul protocollo TCP/IP e l'accesso remoto e sulla creazione di un pool di indirizzi IP statici, consultare la Guida in linea di Windows 2000.
  • Causa: il router di risposta Ŕ configurato con un intervallo di numeri di rete IPX utilizzato in un altro punto della rete IPX.

    Soluzione: configurare il router di risposta con un intervallo di numeri di rete IPX univoci per la propria rete IPX.

    Per ulteriori informazioni su IPX e l'accesso remoto, consultare la Guida in linea di Windows 2000.
  • Causa: Il provider delle autenticazioni del router di risposta non Ŕ stato configurato correttamente.

    Soluzione: verificare la configurazione del provider delle autenticazioni. ╚ possibile configurare il router di risposta per l'utilizzo di Windows 2000 o RADIUS per l'autenticazione delle credenziali del client VPN.

    Per ulteriori informazioni sui provider di autenticazione e amministrazione e sull'utilizzo dell'autenticazione RADIUS, consultare la Guida in linea di Windows 2000.
  • Causa: il router di risposta non Ŕ in grado di accedere ad Active Directory.

    Soluzione: per un router di risposta membro di un dominio Windows 2000 in modalitÓ mista o in modalitÓ originale configurato per l'autenticazione Windows 2000, verificare che:

    • Il gruppo di sicurezza Server RAS e IAS esiste. In caso contrario, creare il gruppo e impostare il tipo di gruppo su Sicurezza e l'ambito del gruppo su Dominio locale.
    • Il gruppo di sicurezza Server RAS e IAS dispone dell'autorizzazione di lettura per l'oggetto Controllo accesso dei server RAS e IAS.
    • L'account computer del computer router di risposta sia un membro del gruppo di sicurezza Server RAS e IAS. ╚ possibile utilizzare il seguente comando per visualizzare la registrazione corrente:
      "netsh ras show registeredserver"
      ╚ possibile utilizzare il seguente comando per la registrazione del server in un dominio specifico:
      "netsh ras add registeredserver"
      Aggiungendo il computer router di risposta o rimuovendolo dal gruppo di sicurezza Server RAS e IAS, la modifica non sarÓ attiva immediatamente (a causa del modo in cui le informazioni relative a Active Directory vengono memorizzate nella cache da Windows 2000). AffinchÚ la modifica sia attiva immediatamente, Ŕ necessario riavviare il computer router di risposta.
    • Per un dominio in modalitÓ originale, il router di risposta sia aggiunto al dominio.
    Per ulteriori informazioni su come aggiungere un gruppo, verificare le autorizzazioni per il gruppo di sicurezza RAS e IAS e sui comandi NetShell per l'accesso remoto, consultare la Guida in linea di Windows 2000.
  • Causa: un router di risposta che esegue Windows NT 4.0 con RRAS (Routing and Remote Access Service) non Ŕ in grado di convalidare richieste di connessione.

    Soluzione: se i router di chiamata effettuano chiamate in ingresso verso un router di risposta che esegue Windows NT 4.0 con RRAS che Ŕ membro di un dominio Windows 2000 in modalitÓ mista, verificare che il gruppo Everyone venga aggiunto al gruppo Accesso compatibile precedente a Windows 2000 con il seguente comando:
    "net localgroup "Pre-Windows 2000 Compatible Access""
    In caso contrario, digitare il comando riportato di seguito al prompt dei comandi in un computer controller di dominio, quindi riavviare quest'ultimo computer:
    "net localgroup "Pre-Windows 2000 Compatible Access" everyone /add"
    Per ulteriori informazioni sul server di accesso remoto Windows NT 4.0 in un dominio Windows 2000, consultare la Guida in linea di Windows 2000.
  • Causa: il router di risposta non Ŕ in grado di comunicare con il server RADIUS configurato.

    Soluzione: se il server RADIUS Ŕ raggiungibile unicamente attraverso l'interfaccia Internet, aggiungere un filtro input e un filtro output all'interfaccia Internet per la porta UDP 1812 (sulla base della specifica RFC 2138 "Remote Authentication Dial-In User Service (RADIUS)"), o alla porta UDP 1645 (per i server RADIUS meno recenti) per l'autenticazione RADIUS e la porta UDP 1813 (sulla base della specifica RFC 2139 "Amministrazione RADIUS") o alla porta UDP 1646 (per i server RADIUS meno recenti) per l'amministrazione RADIUS.

    Per ulteriori informazioni sull'aggiunta di un filtro dei pacchetti, consultare la Guida in linea di Windows 2000.
  • Causa: impossibile connettersi al router di risposta da Internet mediante l'utilitÓ Ping.exe.

    Soluzione: a causa dei filtri dei pacchetti PPTP e L2TP su IPSec configurati nell'interfaccia Internet del router di risposta, i pacchetti ICMP (Internet Control Message Protocol) utilizzati dal comando Ping, vengono scartati. Per abilitare il router di risposta alla risposta ai pacchetti ICMP, Ŕ necessario aggiungere un filtro input e un filtro output che consentano il traffico per il protocollo IP 1 (traffico ICMP).

    Per ulteriori informazioni sull'aggiunta di un filtro dei pacchetti, consultare la Guida in linea di Windows 2000.
Impossibile inviare e ricevere dati
  • Causa: l'interfaccia di connessione a richiesta appropriata non Ŕ stata aggiunta al protocollo instradato.

    Soluzione: aggiungere l'interfaccia di connessione a richiesta appropriata al protocollo instradato.

    Per ulteriori informazioni sull'aggiunta di un'interfaccia di routing, consultare la Guida in linea di Windows 2000.
  • Causa: non esistono route su entrambi i lati della connessione VPN da router a router che supportino lo scambio bidirezionale di traffico.

    Soluzione: a differenza di una connessione VPN di accesso remoto, una connessione VPN da router a router non consente di creare automaticamente una route predefinita. ╚ necessario creare route su entrambi i lati della connessione VPN da router a router affinchÚ il traffico possa essere instradato da e verso l'altro lato di tale connessione.

    ╚ possibile aggiungere manualmente route statiche alla tabella di routing o aggiungere route statiche mediante protocolli di routing. Per connessioni VPN permanenti, Ŕ possibile attivare OSPF (Open Shortest Path First) o RIP (Routing Information Protocol) nella connessione VPN. Per connessioni VPN su richiesta, Ŕ possibile aggiornare automaticamente le route mediante un aggiornamento RIP statico automatico. Per ulteriori informazioni sull'aggiunta di un protocollo di routing IP, sull'aggiunta di una route statica e sull'esecuzione di aggiornamenti statici automatici, consultare la Guida in linea di Windows 2000.
  • Causa: una connessione VPN bidirezionale da router a router viene interpretata dal router di risposta come una connessione di accesso remoto.

    Soluzione: se il nome utente nelle credenziali del router di chiamata viene visualizzato in Client chiamate in ingresso in Routing e Accesso remoto, Ŕ possibile che il router di risposta interpreti il router di chiamata come client di accesso remoto. Verificare che il nome utente nelle credenziali del router di chiamata corrisponda al nome dell'interfaccia di connessione a richiesta nel router di risposta. Se il chiamante in ingresso Ŕ un router, lo stato della porta in corrispondenza della quale Ŕ stata ricevuta la chiamata Ŕ Attivo e lo stato dell'interfaccia di connessione a richiesta corrispondente Ŕ Connesso.

    Per ulteriori informazioni sullo stato della porta del router di risposta e sulla verifica dello stato dell'interfaccia di connessione a richiesta, consultare la Guida in linea di Windows 2000.
  • Causa: i filtri dei pacchetti nelle interfacce di connessione a richiesta del router di chiamata e del router di risposta impediscono il flusso del traffico.

    Soluzione: verificare che non vi siano filtri dei pacchetti nelle interfacce di connessione a richiesta del router di chiamata e del router di risposta che impediscano l'invio o la ricezione del traffico. ╚ possibile configurare ogni interfaccia di connessione a richiesta con filtri input e output IP e IPX per controllare l'esatta natura del traffico TCP/IP e IPX in ingresso e in uscita dall'interfaccia di connessione a richiesta.

    Per ulteriori informazioni sulla gestione dei filtri di pacchetti, consultare la Guida in linea di Windows 2000.
  • Causa: i filtri dei pacchetti nel profilo relativo al criterio di accesso remoto impediscono il flusso del traffico IP.

    Soluzione: verificare che non vi siano filtri dei pacchetti TCP/IP configurati nelle proprietÓ del profilo dei criteri di accesso remoto sul server VPN (o sul server RADIUS se viene utilizzato Servizio di autenticazione Internet) che impediscano l'invio o la ricezione del traffico TCP/IP. ╚ possibile utilizzare criteri di accesso remoto per configurare filtri dei pacchetti input e output TCP/IP che controllino l'esatta natura del traffico TCP/IP consentito per la connessione VPN. Verificare che i filtri dei pacchetti TCP/IP relativi al profilo non impediscano il flusso del traffico necessario.

    Per ulteriori informazioni sulla configurazione delle opzioni IP, consultare la Guida in linea di Windows 2000.



Riferimenti

Per ulteriori informazioni sulla creazione di una connessione VPN in Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
305550 Configurazione di una connessione VPN alla rete aziendale
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
255784 Incremento della sicurezza in un server VPN Windows 2000
254018 Configurazione dei filtri di input per i servizi eseguiti in corrispondenza di NAT (Network Address Translation)
260926 La configurazione guidata di Routing e Accesso remoto per server VPN, genera filtri di input e di output non specifici.








Nota: questo Ŕ un articolo a "PUBBLICAZIONE RAPIDA", creato direttamente all'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono fornite "cosý come sono" in risposta alle problematiche riscontrate. A causa della rapiditÓ con cui vengono resi disponibili, i materiali possono contenere errori di battitura e sono soggetti a modifica senza preavviso, in qualsiasi momento. Per altre considerazioni, vedere le Condizioni per l'utilizzo.

ProprietÓ

Identificativo articolo: 308208 - Ultima modifica: venerdý 29 marzo 2013 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Chiavi:á
kbhowto kbhowtomaster KB308208
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com