Installieren und Konfigurieren eines virtuellen privaten Netzwerkservers in Windows Server 2003

  • Artikel

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie virtuelle private Netzwerke (VPN) installieren und eine neue VPN-Verbindung auf Servern erstellen, auf denen Windows Server 2003 ausgeführt wird.

Eine Microsoft Windows XP-Version dieses Artikels finden Sie unter 314076.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 323441

Zusammenfassung

Mit einem virtuellen privaten Netzwerk können Sie Netzwerkkomponenten über ein anderes Netzwerk wie das Internet verbinden. Sie können Ihren Windows Server 2003-basierten Computer zu einem Ras-Server machen, damit andere Benutzer über vpn eine Verbindung damit herstellen können. Anschließend können sie sich beim Netzwerk anmelden und auf freigegebene Ressourcen zugreifen. VPNs tun dies, indem sie über das Internet oder über ein anderes öffentliches Netzwerk auf eine Weise tunneln, die die gleichen Sicherheit und Features wie ein privates Netzwerk bietet. Daten werden mithilfe der Routinginfrastruktur über das öffentliche Netzwerk gesendet, aber dem Benutzer scheint es so, als würden die Daten über eine dedizierte private Verbindung gesendet.

Übersicht über VPN

Ein virtuelles privates Netzwerk ist eine Möglichkeit zum Herstellen einer Verbindung mit einem privaten Netzwerk (z. B. Ihrem Büronetzwerk) über ein öffentliches Netzwerk (z. B. das Internet). Ein VPN kombiniert die Vorteile einer DFÜ-Verbindung mit einem DFÜ-Server mit der Leichtigkeit und Flexibilität einer Internetverbindung. Durch die Verwendung einer Internetverbindung können Sie weltweit reisen und trotzdem, an den meisten Orten, eine Verbindung mit Ihrem Büro mit einem Ortsgespräch mit der nächstgelegenen Internet-Zugangstelefonnummer herstellen. Wenn Sie über eine Hochgeschwindigkeits-Internetverbindung (z. B. Kabel oder DSL) am Computer und in Ihrem Büro verfügen, können Sie mit Ihrem Büro mit voller Internetgeschwindigkeit kommunizieren, was viel schneller ist als jede DFÜ-Verbindung, die ein analoges Modem verwendet. Diese Technologie ermöglicht es einem Unternehmen, sich über ein öffentliches Netzwerk mit seinen Zweigstellen oder anderen Unternehmen zu verbinden und gleichzeitig eine sichere Kommunikation aufrechtzuerhalten. Die VPN-Verbindung über das Internet funktioniert logisch als dedizierte WAN-Verbindung (Wide Area Network).

Virtuelle private Netzwerke verwenden authentifizierte Links, um sicherzustellen, dass nur autorisierte Benutzer eine Verbindung mit Ihrem Netzwerk herstellen können. Um sicherzustellen, dass Daten sicher sind, während sie über das öffentliche Netzwerk übertragen werden, verwendet eine VPN-Verbindung pptp (Point-to-Point Tunneling Protocol) oder L2TP (Layer Two Tunneling Protocol), um Daten zu verschlüsseln.

Komponenten eines VPN

Ein VPN auf Servern unter Windows Server 2003 besteht aus einem VPN-Server, einem VPN-Client, einer VPN-Verbindung (dem Teil der Verbindung, in dem die Daten verschlüsselt sind) und dem Tunnel (dem Teil der Verbindung, in dem die Daten gekapselt sind). Das Tunneling wird über eines der Tunnelprotokolle abgeschlossen, die auf Servern mit Windows Server 2003 enthalten sind, die beide mit Routing und Remotezugriff installiert sind. Der Routing- und RAS-Dienst wird während der Installation von Windows Server 2003 automatisch installiert. Standardmäßig ist der Routing- und RAS-Dienst jedoch deaktiviert.

Die beiden in Windows enthaltenen Tunnelprotokolle sind:

  • Point-to-Point Tunneling Protocol (PPTP): Ermöglicht die Datenverschlüsselung mithilfe der Punkt-zu-Punkt-Verschlüsselung von Microsoft.
  • Layer Two Tunneling Protocol (L2TP):Bietet Datenverschlüsselung, Authentifizierung und Integrität mithilfe von IPSec.

Ihre Verbindung mit dem Internet muss eine dedizierte Leitung wie T1, Bruch-T1 oder Framerelais verwenden. Der WAN-Adapter muss mit der IP-Adresse und Subnetzmaske konfiguriert werden, die Ihrer Domäne zugewiesen oder von einem Internetdienstanbieter (ISP) bereitgestellt wird. Der WAN-Adapter muss auch als Standardgateway des ISP-Routers konfiguriert werden.

Hinweis

Um VPN zu aktivieren, müssen Sie mit einem Konto angemeldet sein, das über Administratorrechte verfügt.

Installieren und Aktivieren eines VPN-Servers

Führen Sie die folgenden Schritte aus, um einen VPN-Server zu installieren und zu aktivieren:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Routing und RAS.

  2. Klicken Sie im linken Bereich der Konsole auf das Serversymbol, das mit dem Namen des lokalen Servers übereinstimmt. Wenn das Symbol in der unteren linken Ecke einen roten Kreis aufweist, wurde der Routing- und RAS-Dienst nicht aktiviert. Wenn das Symbol in der unteren linken Ecke einen grünen Pfeil nach oben zeigt, wurde der Routing- und RAS-Dienst aktiviert. Wenn der Routing- und RAS-Dienst zuvor aktiviert war, sollten Sie den Server neu konfigurieren. So konfigurieren Sie den Server neu:

    1. Klicken Sie mit der rechten Maustaste auf das Serverobjekt, und klicken Sie dann auf Routing und RAS deaktivieren. Klicken Sie auf Ja , um den Vorgang fortzusetzen, wenn Sie dazu aufgefordert werden, eine Informationsmeldung einzugeben.
    2. Klicken Sie mit der rechten Maustaste auf das Serversymbol, und klicken Sie dann auf Routing und RAS konfigurieren und aktivieren , um den Setup-Assistenten für Routing- und RAS-Server zu starten. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
    3. Klicken Sie auf Remotezugriff (DFÜ oder VPN), um Remotecomputer zum Einwählen oder Herstellen einer Verbindung mit diesem Netzwerk über das Internet zu aktivieren. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  3. Klicken Sie auf diese Option, um VPN oder DFÜ abhängig von der Rolle auszuwählen, die Sie diesem Server zuweisen möchten.

  4. Klicken Sie im Fenster VPN-Verbindung auf die Netzwerkschnittstelle, die mit dem Internet verbunden ist, und klicken Sie dann auf Weiter.

  5. Klicken Sie im Fenster IP-Adresszuweisung auf Automatisch , wenn ein DHCP-Server zum Zuweisen von Adressen zu Remoteclients verwendet wird, oder klicken Sie auf Aus einem angegebenen Adressbereich , wenn Remoteclients nur eine Adresse aus einem vordefinierten Pool erhalten darf. In den meisten Fällen ist die DHCP-Option einfacher zu verwalten. Wenn DHCP jedoch nicht verfügbar ist, müssen Sie einen Bereich statischer Adressen angeben. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  6. Wenn Sie auf Aus einem angegebenen Adressbereich geklickt haben, wird das Dialogfeld Adressbereichszuweisung geöffnet. Klicken Sie auf Neu. Geben Sie die erste IP-Adresse im Adressbereich, den Sie verwenden möchten, in das Feld START-IP-Adresse ein. Geben Sie im Feld End-IP-Adresse die letzte IP-Adresse im Bereich ein. Windows berechnet die Anzahl der Adressen automatisch. Klicken Sie auf OK , um zum Fenster Adressbereichszuweisung zurückzukehren. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  7. Übernehmen Sie die Standardeinstellung Nein, verwenden Sie Routing und Remotezugriff, um Verbindungsanforderungen zu authentifizieren, und klicken Sie dann auf Weiter , um fortzufahren. Klicken Sie auf Fertig stellen , um den Routing- und RAS-Dienst zu aktivieren und den Server als RAS-Server zu konfigurieren.

Konfigurieren des VPN-Servers

Führen Sie die folgenden Schritte aus, um den VPN-Server nach Bedarf zu konfigurieren.

Konfigurieren des RAS-Servers als Router

Damit der RAS-Server Datenverkehr ordnungsgemäß innerhalb Ihres Netzwerks weiterleiten kann, müssen Sie ihn als Router mit statischen Routen oder Routingprotokollen konfigurieren, damit alle Standorte im Intranet vom RAS-Server aus erreichbar sind.

So konfigurieren Sie den Server als Router:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Routing und RAS.
  2. Klicken Sie mit der rechten Maustaste auf den Servernamen, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Allgemein, und klicken Sie dann unter Diesen Computer als aktivieren auf Router.
  4. Klicken Sie auf LAN und Routing bei Bedarf, und klicken Sie dann auf OK , um das Dialogfeld Eigenschaften zu schließen.

Ändern der Anzahl gleichzeitiger Verbindungen

Die Anzahl der DFÜ-Modemverbindungen hängt von der Anzahl der modems ab, die auf dem Server installiert sind. Wenn sie beispielsweise nur ein Modem auf dem Server installiert haben, können Sie jeweils nur eine Modemverbindung haben.

Die Anzahl der DFÜ-VPN-Verbindungen hängt von der Anzahl gleichzeitiger Benutzer ab, die Sie zulassen möchten. Wenn Sie das in diesem Artikel beschriebene Verfahren ausführen, lassen Sie standardmäßig 128 Verbindungen zu. Führen Sie die folgenden Schritte aus, um die Anzahl der gleichzeitigen Verbindungen zu ändern:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Routing und RAS.
  2. Doppelklicken Sie auf das Serverobjekt, klicken Sie mit der rechten Maustaste auf Ports, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie im Dialogfeld Porteigenschaften auf WAN-Miniport (PPTP)>Konfigurieren.
  4. Geben Sie im Feld Maximale Ports die Anzahl der VPN-Verbindungen ein, die Sie zulassen möchten.
  5. Klicken Sie auf OK>OK, und schließen Sie dann Routing und Remotezugriff.

Verwalten von Adressen und Namenservern

Der VPN-Server muss über IP-Adressen verfügen, um sie der virtuellen Schnittstelle des VPN-Servers und VPN-Clients während der IPCP-Aushandlungsphase (IP Control Protocol) des Verbindungsprozesses zuzuweisen. Die dem VPN-Client zugewiesene IP-Adresse wird der virtuellen Schnittstelle des VPN-Clients zugewiesen.

Bei Windows Server 2003-basierten VPN-Servern werden die IP-Adressen, die VPN-Clients zugewiesen sind, standardmäßig über DHCP abgerufen. Sie können auch einen statischen IP-Adresspool konfigurieren. Der VPN-Server muss auch mit Namenauflösungsservern (in der Regel DNS- und WINS-Serveradressen) konfiguriert werden, um dem VPN-Client während der IPCP-Aushandlung zuzuweisen.

Verwalten des Zugriffs

Konfigurieren Sie die Einwahleigenschaften für Benutzerkonten und Remotezugriffsrichtlinien, um den Zugriff für DFÜ-Netzwerke und VPN-Verbindungen zu verwalten.

Hinweis

Standardmäßig wird Benutzern der Zugriff auf DFÜ-Netzwerke verweigert.

Zugriff nach Benutzerkonto

Führen Sie die folgenden Schritte aus, um einem Benutzerkonto Einwahlzugriff zu gewähren, wenn Sie den Remotezugriff auf Benutzerbasis verwalten:

  1. Click Start, point to Administrative Tools, and then click Active Directory Users and Computers.
  2. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Einwahl .
  4. Klicken Sie auf Zugriff zulassen , um dem Benutzer die Berechtigung zum Einwählen zu erteilen. Klicken Sie auf OK.

Zugriff nach Gruppenmitgliedschaft

Wenn Sie den Remotezugriff auf Gruppenbasis verwalten, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Gruppe mit Mitgliedern, die VPN-Verbindungen erstellen dürfen.
  2. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Routing und RAS.
  3. Erweitern Sie in der Konsolenstruktur Routing und Remotezugriff, erweitern Sie den Servernamen, und klicken Sie dann auf RAS-Richtlinien.
  4. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im rechten Bereich, zeigen Sie auf Neu, und klicken Sie dann auf RAS-Richtlinie.
  5. Klicken Sie auf Weiter, geben Sie den Richtliniennamen ein, und klicken Sie dann auf Weiter.
  6. Klicken Sie auf VPN für die Zugriffsmethode virtueller privater Zugriff, oder klicken Sie auf DFÜ für DFÜ-Zugriff, und klicken Sie dann auf Weiter.
  7. Klicken Sie auf Hinzufügen, geben Sie den Namen der Gruppe ein, die Sie in Schritt 1 erstellt haben, und klicken Sie dann auf Weiter.
  8. Befolgen Sie die Anweisungen auf dem Bildschirm, um den Assistenten abzuschließen.

Wenn der VPN-Server bereits Remotezugriffsdienste für DFÜ-Netzwerke zulässt, löschen Sie die Standardrichtlinie nicht. Verschieben Sie sie stattdessen so, dass es sich um die letzte auszuwertende Richtlinie handelt.

Konfigurieren einer VPN-Verbindung von einem Clientcomputer aus

Führen Sie die folgenden Schritte aus, um eine Verbindung mit einem VPN einzurichten. Führen Sie die folgenden Schritte auf der Clientarbeitsstation aus, um einen Client für den Zugriff auf virtuelles privates Netzwerk einzurichten:

Hinweis

Sie müssen als Mitglied der Gruppe Administratoren angemeldet sein, um diese Schritte ausführen zu können.

Da es verschiedene Microsoft Windows-Versionen gibt, können die folgenden Schritte auf Ihrem Computer anders aussehen. Lesen Sie in diesem Fall in Ihrer Produktdokumentation nach, wie diese Schritte auszuführen sind.

  1. Vergewissern Sie sich auf dem Clientcomputer, dass die Verbindung mit dem Internet ordnungsgemäß konfiguriert ist.

  2. Klicken Sie auf Start>Systemsteuerung>Netzwerk Connections. Klicken Sie unter Netzwerkaufgaben auf Neue Verbindung erstellen, und klicken Sie dann auf Weiter.

  3. Klicken Sie auf Mit dem Netzwerk an meinem Arbeitsplatz verbinden , um die DFÜ-Verbindung zu erstellen. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  4. Klicken Sie auf Virtual Private Network-Verbindung und dann auf Weiter.

  5. Geben Sie im Dialogfeld Firmenname einen beschreibenden Namen für diese Verbindung ein, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf Erstverbindung nicht wählen , wenn der Computer dauerhaft mit dem Internet verbunden ist. Wenn der Computer über einen Internetdienstanbieter (ISP) eine Verbindung mit dem Internet herstellt, klicken Sie auf Diese anfängliche Verbindung automatisch wählen, und klicken Sie dann auf den Namen der Verbindung mit dem Internetdienstanbieter. Klicken Sie auf Weiter.

  7. Geben Sie die IP-Adresse oder den Hostnamen des VPN-Servercomputers ein (z. B. VPNServer.SampleDomain.com).

  8. Klicken Sie auf Jeder verwenden , wenn Sie jedem Benutzer, der sich bei der Arbeitsstation anmeldet, Den Zugriff auf diese DFÜ-Verbindung gewähren möchten. Klicken Sie nur auf Meine Verwendung , wenn diese Verbindung nur für den aktuell angemeldeten Benutzer verfügbar sein soll. Klicken Sie auf Weiter.

  9. Klicken Sie auf Fertig stellen , um die Verbindung zu speichern.

  10. Klicken Sie auf Start>Systemsteuerung>Netzwerk Connections.

  11. Doppelklicken Sie auf die neue Verbindung.

  12. Klicken Sie auf Eigenschaften, um die Konfiguration der Optionen für die Verbindung fortzusetzen. Führen Sie die folgenden Schritte aus, um die Konfiguration der Optionen für die Verbindung fortzusetzen:

    • Wenn Sie eine Verbindung mit einer Domäne herstellen, klicken Sie auf die Registerkarte Optionen , und aktivieren Sie dann das Kontrollkästchen Windows-Anmeldedomäne einschließen , um anzugeben, ob Informationen zur Windows Server 2003-Anmeldedomäne vor dem Versuch, eine Verbindung herzustellen, anzufordern werden soll.
    • Wenn die Verbindung erneut verwendet werden soll, wenn die Zeile verworfen wird, klicken Sie auf die Registerkarte Optionen , und aktivieren Sie dann das Kontrollkästchen Bei Verworfener Zeile erneut wechseln.

Führen Sie die folgenden Schritte aus, um die Verbindung zu verwenden:

  1. Klicken Sie auf Start, zeigen Sie auf Verbinden mit, und klicken Sie dann auf die neue Verbindung.

  2. Wenn Sie derzeit keine Verbindung mit dem Internet haben, bietet Windows an, eine Verbindung mit dem Internet herzustellen.

  3. Wenn die Verbindung mit dem Internet hergestellt wird, fordert der VPN-Server Sie zur Eingabe Ihres Benutzernamens und Kennworts auf. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, und klicken Sie dann auf Verbinden. Ihre Netzwerkressourcen müssen Ihnen auf die gleiche Weise zur Verfügung stehen, wie Sie eine direkte Verbindung mit dem Netzwerk herstellen.

    Hinweis

    Um die Verbindung mit dem VPN zu trennen, klicken Sie mit der rechten Maustaste auf das Verbindungssymbol, und klicken Sie dann auf Trennen.

Problembehandlung

Problembehandlung bei Remotezugriffs-VPNs

Herstellen einer VPN-Verbindung mit Remotezugriff nicht möglich

  • Ursache: Der Name des Clientcomputers entspricht dem Namen eines anderen Computers im Netzwerk.

    Lösung: Stellen Sie sicher, dass die Namen aller Computer im Netzwerk und der Computer, die mit dem Netzwerk verbunden sind, eindeutige Computernamen verwenden.

  • Ursache: Der Routing- und RAS-Dienst wird auf dem VPN-Server nicht gestartet.

    Lösung: Überprüfen Sie den Status des Routing- und RAS-Diensts auf dem VPN-Server.

    Weitere Informationen zum Überwachen des Routing- und RAS-Diensts sowie zum Starten und Beenden des Routing- und RAS-Diensts finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der Remotezugriff ist auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie den Remotezugriff auf dem VPN-Server.

    Weitere Informationen zum Aktivieren des RAS-Servers finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: PPTP- oder L2TP-Ports sind für eingehende Remotezugriffsanforderungen nicht aktiviert.

    Lösung: Aktivieren Sie PPTP- oder L2TP-Ports oder beides für eingehende Remotezugriffsanforderungen.

    Weitere Informationen zum Konfigurieren von Ports für den Remotezugriff finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Die von den VPN-Clients verwendeten LAN-Protokolle sind für den Remotezugriff auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie die LAN-Protokolle, die von den VPN-Clients für den Remotezugriff auf den VPN-Server verwendet werden.

    Weitere Informationen zum Anzeigen der Eigenschaften des RAS-Servers finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Alle PPTP- oder L2TP-Ports auf dem VPN-Server werden bereits von derzeit verbundenen Remotezugriffsclients oder Bedarfswählroutern verwendet.

    Lösung: Vergewissern Sie sich, dass alle PPTP- oder L2TP-Ports auf dem VPN-Server bereits verwendet werden. Klicken Sie dazu unter Routing und RAS auf Ports . Wenn die Anzahl der zulässigen PPTP- oder L2TP-Ports nicht hoch genug ist, ändern Sie die Anzahl der PPTP- oder L2TP-Ports, um mehr gleichzeitige Verbindungen zuzulassen.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server unterstützt das Tunnelingprotokoll des VPN-Clients nicht.

    Standardmäßig verwenden Windows Server 2003-REMOTEzugriffs-VPN-Clients die Option Automatischer Servertyp. Dies bedeutet, dass sie zuerst versuchen, eine L2TP-über IPSec-basierte VPN-Verbindung herzustellen, und dann versuchen sie, eine PPTP-basierte VPN-Verbindung herzustellen. Wenn VPN-Clients entweder die Serveroption Point-to-Point Tunneling Protocol (PPTP) oder L2TP (Layer-2 Tunneling Protocol) verwenden, überprüfen Sie, ob das ausgewählte Tunnelprotokoll vom VPN-Server unterstützt wird.

    Standardmäßig ist ein Computer, auf dem Windows Server 2003 Server und der Routing- und RAS-Dienst ausgeführt wird, ein PPTP- und L2TP-Server mit fünf L2TP-Ports und fünf PPTP-Ports. Um einen reinen PPTP-Server zu erstellen, legen Sie die Anzahl der L2TP-Ports auf 0 (null) fest. Um einen reinen L2TP-Server zu erstellen, legen Sie die Anzahl der PPTP-Ports auf 0 (null) fest.

    Lösung: Überprüfen Sie, ob die entsprechende Anzahl von PPTP- oder L2TP-Ports konfiguriert ist.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Client und der VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie sind nicht für die Verwendung von mindestens einer gängigen Authentifizierungsmethode konfiguriert.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie, um mindestens eine gängige Authentifizierungsmethode zu verwenden.

    Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Client und der VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie sind nicht für die Verwendung von mindestens einer gängigen Verschlüsselungsmethode konfiguriert.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie, um mindestens eine gängige Verschlüsselungsmethode zu verwenden.

    Weitere Informationen zum Konfigurieren der Verschlüsselung finden Sie im Windows Server 2003-Hilfe- und Supportcenter. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Die VPN-Verbindung verfügt nicht über die entsprechenden Berechtigungen über Einwahleigenschaften des Benutzerkontos und remotezugriffsrichtlinien.

    Lösung: Überprüfen Sie, ob die VPN-Verbindung über die entsprechenden Berechtigungen verfügt, indem Sie die Einwahleigenschaften des Benutzerkontos und rassische Richtlinien verwenden. Damit die Verbindung hergestellt werden kann, müssen die Einstellungen des Verbindungsversuchs:

    • Entspricht allen Bedingungen von mindestens einer Remotezugriffsrichtlinie.
    • Erhalten Sie remotezugriffsberechtigungen über das Benutzerkonto (auf Zugriff zulassen festgelegt) oder über das Benutzerkonto (auf Zugriff über Remotezugriffsrichtlinie steuern festgelegt) und die Remotezugriffsberechtigung der entsprechenden Remotezugriffsrichtlinie (auf Remotezugriffsberechtigung erteilen festgelegt).
    • Stimmen Sie alle Einstellungen des Profils ab.
    • Stimmen Sie alle Einstellungen der Einwahleigenschaften des Benutzerkontos ab.

    Weitere Informationen zu einer Einführung in Remotezugriffsrichtlinien und zum Akzeptieren eines Verbindungsversuchs finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Die Einstellungen des Remotezugriffsrichtlinienprofils stehen in Konflikt mit den Eigenschaften des VPN-Servers.

    Die Eigenschaften des Remotezugriffsrichtlinienprofils und die Eigenschaften des VPN-Servers enthalten einstellungen für:

    • Multilink.
    • Bandbreitenzuordnungsprotokoll (Bandwidth Allocation Protocol, BAP).
    • Authentifizierungsprotokolle.

    Wenn die Einstellungen des Profils der übereinstimmenden Remotezugriffsrichtlinie mit den Einstellungen des VPN-Servers in Konflikt stehen, wird der Verbindungsversuch abgelehnt. Wenn beispielsweise das entsprechende Remotezugriffsrichtlinienprofil angibt, dass das Authentifizierungsprotokoll Extensible Authentication Protocol – Transport Level Security (EAP-TLS) verwendet werden muss und EAP auf dem VPN-Server nicht aktiviert ist, wird der Verbindungsversuch abgelehnt.

    Lösung: Stellen Sie sicher, dass die Einstellungen des Remotezugriffsrichtlinienprofils nicht mit den Eigenschaften des VPN-Servers in Konflikt stehen.

    Weitere Informationen zu Multilink-, BAP- und Authentifizierungsprotokollen finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der antwortende Router kann die Anmeldeinformationen des aufrufenden Routers (Benutzername, Kennwort und Domänenname) nicht überprüfen.

    Lösung: Überprüfen Sie, ob die Anmeldeinformationen des VPN-Clients (Benutzername, Kennwort und Domänenname) korrekt sind und vom VPN-Server überprüft werden können.

  • Ursache: Im statischen IP-Adresspool sind nicht genügend Adressen vorhanden.

    Lösung: Wenn der VPN-Server mit einem statischen IP-Adresspool konfiguriert ist, überprüfen Sie, ob genügend Adressen im Pool vorhanden sind. Wenn alle Adressen im statischen Pool verbundenen VPN-Clients zugeordnet wurden, kann der VPN-Server keine IP-Adresse zuweisen, und der Verbindungsversuch wird abgelehnt. Wenn alle Adressen im statischen Pool zugeordnet wurden, ändern Sie den Pool.

    Weitere Informationen zu TCP/IP und Remotezugriff sowie zum Erstellen eines statischen IP-Adresspools finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Client ist so konfiguriert, dass er eine eigene IPX-Knotennummer anfordert, und der VPN-Server ist nicht so konfiguriert, dass IPX-Clients ihre eigene IPX-Knotennummer anfordern können.

    Lösung: Konfigurieren Sie den VPN-Server so, dass IPX-Clients ihre eigene IPX-Knotennummer anfordern können.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server ist mit einem Bereich von IPX-Netzwerknummern konfiguriert, die an anderer Stelle in Ihrem IPX-Netzwerk verwendet werden.

    Lösung: Konfigurieren Sie den VPN-Server mit einem Bereich von IPX-Netzwerknummern, der für Ihr IPX-Netzwerk eindeutig ist.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der Authentifizierungsanbieter des VPN-Servers ist nicht ordnungsgemäß konfiguriert.

    Lösung: Überprüfen Sie die Konfiguration des Authentifizierungsanbieters. Sie können den VPN-Server für die Verwendung von Windows Server 2003 oder RADIUS (Remote Authentication Dial-In User Service) konfigurieren, um die Anmeldeinformationen des VPN-Clients zu authentifizieren.

    Weitere Informationen zu Authentifizierungs- und Buchhaltungsanbietern finden Sie im Hilfe- und Supportcenter für Windows Server 2003 und unter Verwenden der RADIUS-Authentifizierung. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server kann nicht auf Active Directory zugreifen.

    Lösung: Für einen VPN-Server, der ein Mitgliedsserver in einer Windows Server 2003-Domäne im gemischten oder einheitlichen Modus ist, die für die Windows Server 2003-Authentifizierung konfiguriert ist, überprüfen Sie Folgendes:

    • Die Sicherheitsgruppe RAS- und IAS-Server ist vorhanden. Falls nicht, erstellen Sie die Gruppe, und legen Sie den Gruppentyp auf Sicherheit und den Gruppenbereich auf Domäne lokal fest.

    • Die Sicherheitsgruppe RAS- und IAS-Server verfügt über die Berechtigung Lesen für das RAS- und IAS-Serverzugriffsprüfungsobjekt .

    • Das Computerkonto des VPN-Servercomputers ist Mitglied der Sicherheitsgruppe RAS- und IAS-Server . Sie können den netsh ras show registeredserver Befehl verwenden, um die aktuelle Registrierung anzuzeigen. Sie können den netsh ras add registeredserver Befehl verwenden, um den Server in einer angegebenen Domäne zu registrieren.

      Wenn Sie den VPN-Servercomputer der Sicherheitsgruppe RAS- und IAS-Server hinzufügen (oder entfernen), wird die Änderung nicht sofort wirksam (aufgrund der Art und Weise, wie Windows Server 2003 Active Directory-Informationen zwischenspeichert). Starten Sie den VPN-Servercomputer neu, um diese Änderung sofort zu bewirken.

    • Der VPN-Server ist Mitglied der Domäne.

    Weitere Informationen zum Hinzufügen einer Gruppe, zum Überprüfen von Berechtigungen für die RAS- und IAS-Sicherheitsgruppe und zu netsh Befehlen für den Remotezugriff finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Ein Windows NT 4.0-basierter VPN-Server kann Verbindungsanforderungen nicht überprüfen.

    Lösung: Wenn VPN-Clients sich bei einem VPN-Server unter Windows NT 4.0 einwählen, der Mitglied einer Windows Server 2003-Domäne im gemischten Modus ist, überprüfen Sie mit dem folgenden Befehl, ob die Gruppe Jeder der Gruppe Pre-Windows 2000 Compatible Access hinzugefügt wird:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Geben Sie andernfalls den folgenden Befehl an einer Eingabeaufforderung auf einem Domänencontrollercomputer ein, und starten Sie den Domänencontrollercomputer neu:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Weitere Informationen zum Windows NT 4.0-Remotezugriffsserver in einer Windows Server 2003-Domäne finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server kann nicht mit dem konfigurierten RADIUS-Server kommunizieren.

    Lösung: Wenn Sie Ihren RADIUS-Server nur über Ihre Internetschnittstelle erreichen können, führen Sie eine der folgenden Aktionen aus:

    • Fügen Sie der Internetschnittstelle für UDP-Port 1812 einen Eingabefilter und einen Ausgabefilter hinzu (basierend auf RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). -oder-
    • Fügen Sie der Internetschnittstelle einen Eingabefilter und einen Ausgabefilter für UDP-Port 1645 (für ältere RADIUS-Server), radius-Authentifizierung und UDP-Port 1813 (basierend auf RFC 2139, "RADIUS Accounting") hinzu. -oder-
    • Oder: Fügen Sie einen Eingabefilter und einen Ausgabefilter zur Internetschnittstelle für UDP-Port 1646 (für ältere RADIUS-Server) für die RADIUS-Kontoführung hinzu.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Mit dem Hilfsprogramm Ping.exe kann keine Verbindung mit dem VPN-Server über das Internet hergestellt werden.

    Lösung: Aufgrund der PPTP- und L2TP-Paketfilterung über IPSec, die auf der Internetschnittstelle des VPN-Servers konfiguriert ist, werden ICMP-Pakete (Internet Control Message Protocol), die vom Ping-Befehl verwendet werden, herausgefiltert. Um den VPN-Server für die Reaktion auf ICMP-Pakete (Ping) zu aktivieren, fügen Sie einen Eingabefilter und einen Ausgabefilter hinzu, die Datenverkehr für IP-Protokoll 1 (ICMP-Datenverkehr) zulassen.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

Senden und Empfangen von Daten nicht möglich

  • Ursache: Die entsprechende Bedarfswählschnittstelle wurde nicht zum Protokoll hinzugefügt, das weitergeleitet wird.

    Lösung: Fügen Sie dem weitergeleiteten Protokoll die entsprechende Bedarfswählschnittstelle hinzu.

    Weitere Informationen zum Hinzufügen einer Routingschnittstelle finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Es gibt keine Routen auf beiden Seiten der Router-zu-Router-VPN-Verbindung, die den bidirektionalen Austausch von Datenverkehr unterstützen.

    Lösung: Im Gegensatz zu einer VPN-Verbindung mit Remotezugriff erstellt eine Router-zu-Router-VPN-Verbindung nicht automatisch eine Standardroute. Erstellen Sie Routen auf beiden Seiten der Router-zu-Router-VPN-Verbindung, damit Datenverkehr an und von der anderen Seite der Router-zu-Router-VPN-Verbindung weitergeleitet werden kann.

    Sie können der Routingtabelle manuell statische Routen oder statische Routen über Routingprotokolle hinzufügen. Für persistente VPN-Verbindungen können Sie Open Shortest Path First (OSPF) oder Routing Information Protocol (RIP) über die VPN-Verbindung aktivieren. Bei bedarfsgesteuerten VPN-Verbindungen können Sie Routen automatisch über ein automatisch statisches RIP-Update aktualisieren. Weitere Informationen zum Hinzufügen eines IP-Routingprotokolls, zum Hinzufügen einer statischen Route und zum Ausführen automatisch statischer Updates finden Sie in der Onlinehilfe zu Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Ein bidirektionales Initiiertes, das der antwortende Router als Remotezugriffsverbindung interpretiert Router-zu-Router-VPN-Verbindung.

    Lösung: Wenn der Benutzername in den Anmeldeinformationen des aufrufenden Routers unter Einwahlclients unter Routing und RAS angezeigt wird, kann der anrufende Router den anrufenden Router als RAS-Client interpretieren. Vergewissern Sie sich, dass der Benutzername in den Anmeldeinformationen des aufrufenden Routers mit dem Namen einer Anrufbesprechungsschnittstelle auf dem anrufenden Router übereinstimmt. Wenn es sich bei dem eingehenden Anrufer um einen Router handelt, zeigt der Port, an dem der Anruf empfangen wurde, den status Aktiv an, und die entsprechende Bedarfswählschnittstelle befindet sich im Zustand Verbunden.

    Weitere Informationen zum Überprüfen der status des Ports auf dem antwortenden Router und zum Überprüfen der status der Benutzeroberfläche bei Bedarf finden Sie in der Onlinehilfe zu Windows Server 2003. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Paketfilter an den Schnittstellen für die Bedarfswählung des anrufenden routers und des antwortenden Routers verhindern den Datenverkehrsfluss.

    Lösung: Stellen Sie sicher, dass es keine Paketfilter für die Bedarfswählschnittstellen des anrufenden Routers und des anrufenden Routers gibt, die das Senden oder Empfangen von Datenverkehr verhindern. Sie können jede Bedarfswählschnittstelle mit IP- und IPX-Eingabe- und Ausgabefiltern konfigurieren, um die genaue Art des TCP/IP- und IPX-Datenverkehrs zu steuern, der in und aus der Schnittstelle mit Bedarfswählvorgängen zugelassen wird.

    Weitere Informationen zum Verwalten von Paketfiltern finden Sie in der Windows Server 2003-Onlinehilfe. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Paketfilter im Remotezugriffsrichtlinienprofil verhindern den Fluss von IP-Datenverkehr.

    Lösung: Stellen Sie sicher, dass keine TCP/IP-Paketfilter für die Profileigenschaften der Remotezugriffsrichtlinien auf dem VPN-Server (oder auf dem RADIUS-Server bei Verwendung des Internetauthentifizierungsdiensts) konfiguriert sind, die das Senden oder Empfangen von TCP/IP-Datenverkehr verhindern. Sie können Remotezugriffsrichtlinien verwenden, um TCP/IP-Eingabe- und Ausgabepaketfilter zu konfigurieren, die die genaue Art des für die VPN-Verbindung zulässigen TCP/IP-Datenverkehrs steuern. Stellen Sie sicher, dass die TCP/IP-Paketfilter des Profils den Datenverkehrsfluss nicht verhindern.

    Weitere Informationen zum Konfigurieren von IP-Optionen finden Sie in der Windows Server 2003-Onlinehilfe. Klicken Sie auf Start , um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.