HOW TO: Installare e configurare un server VPN (Virtual Private Network) in Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 323441 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come installare reti private virtuali (VPN) e come creare una nuova connessione VPN in server che eseguono Windows 2003.

Con una rete privata virtuale Ŕ possibile collegare componenti di rete attraverso un'altra rete, ad esempio Internet. ╚ possibile trasformare un computer che esegue Windows Server 2003 in un server di accesso remoto in modo da consentire ad altri utenti di collegarsi a esso utilizzando la rete VPN e quindi di connettersi alla rete e accedere alle risorse condivise. Le reti VPN utilizzano a questo scopo il "tunneling" attraverso Internet o un'altra rete pubblica offrendo lo stesso livello di protezione e le stesse funzionalitÓ di una rete privata. I dati vengono inviati sulla rete pubblica utilizzando la relativa infrastruttura di routing ma agli utenti sembrerÓ che siano stati inviati su un collegamento privato dedicato.



Informazioni generali sulle reti private virtuali (VPN)

Una rete privata virtuale (VPN) consente di effettuare la connessione a una rete privata, ad esempio la rete aziendale, mediante una rete pubblica, ad esempio Internet, combinando quindi i vantaggi di una connessione a un server di connessione remota con la flessibilitÓ e la semplicitÓ di utilizzo di una connessione Internet. Utilizzando una connessione Internet, Ŕ possibile viaggiare e spostarsi ed essere comunque in grado, nella maggior parte dei casi, di effettuare la connessione al proprio ufficio con una chiamata locale al numero telefonico del punto di accesso Internet pi¨ vicino. Se si dispone di una connessione Internet ad alta velocitÓ (ad esempio via cavo o DSL) al proprio computer e ai computer aziendali, Ŕ possibile comunicare con il proprio ufficio o la propria azienda sfruttando la massima velocitÓ di Internet, che Ŕ superiore rispetto a qualsiasi connessione remota effettuata mediante modem analogico. Questa tecnologia consente a un'azienda di collegarsi alle proprie filiali o ad altre societÓ su una rete pubblica garantendo comunque la protezione delle comunicazioni. La connessione VPN su Internet funziona a livello logico come un collegamento WAN (Wide Area Network) dedicato.

Le reti private virtuali utilizzano collegamenti autenticati per garantire che alla rete accedano solo gli utenti autorizzati. Per assicurare la protezione dei dati trasmessi sulla rete pubblica, le connessioni VPN utilizzano il protocollo PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer Two Tunneling Protocol) per la crittografia.

Componenti di una rete VPN

Una rete VPN su server che eseguono Windows Server 2003 Ŕ costituita da un server VPN, un client VPN, una connessione VPN (la parte della connessione in cui i dati sono crittografati) e il tunnel (la parte della connessione in cui i dati sono incapsulati). Il tunneling viene effettuato mediante uno dei protocolli di tunneling inclusi nei server che eseguono Windows Server 2003, entrambi installati con Routing e Accesso remoto. Il servizio di Routing e Accesso remoto viene installato automaticamente durante l'installazione di Windows Server 2003. Per impostazione predefinita, tuttavia, tale servizio Ŕ disattivato.
I due protocolli di tunneling inclusi in Windows sono:
  • PPTP (Point-to-Point Tunneling Protocol): consente di crittografare i dati utilizzando Crittografia Microsoft Point-to-Point.
  • L2TP (Layer Two Tunneling Protocol): consente di crittografare i dati, autenticarli e conservare l'integritÓ utilizzando IPSec.
Per la connessione a Internet Ŕ necessario utilizzare una linea dedicata, quale T1, Fractional T1 o Frame Relay. ╚ necessario che la scheda WAN sia configurata con l'indirizzo IP e la subnet mask assegnati al dominio e forniti da un provider di servizi Internet (ISP). ╚ necessario inoltre che la scheda WAN sia configurata come gateway predefinito del router ISP.

NOTA: per attivare la rete VPN, Ŕ necessario effettuare l'accesso utilizzando un account con diritti amministrativi.

Installazione e attivazione di un server VPN

Per installare e attivare un server VPN, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Routing e Accesso remoto.
  2. Nel riquadro sinistro della console fare clic sull'icona del server corrispondente al nome del server locale. Se l'icona Ŕ contraddistinta da un cerchio rosso nell'angolo inferiore sinistro, il servizio Routing e Accesso remoto non Ŕ stato attivato. Se l'icona Ŕ contraddistinta da una freccia verde rivolta verso l'alto nell'angolo inferiore sinistro, il servizio Routing e Accesso remoto Ŕ stato attivato. Se il servizio Routing e Accesso remoto Ŕ stato attivato in precedenza, potrebbe essere utile riconfigurare il server. Per riconfigurare il server:
    1. Fare clic con il pulsante destro del mouse sull'oggetto server, quindi scegliere Disabilita Routing e Accesso remoto. Scegliere per continuare quando viene visualizzato un messaggio informativo.
    2. Fare clic con il pulsante destro del mouse sull'icona del server, quindi scegliere Configura e abilita Routing e Accesso remoto per avviare la Configurazione guidata server di Routing e Accesso remoto. Scegliere Avanti per continuare.
    3. Scegliere Accesso remoto (connessione remota o VPN) per attivare la connessione remota o la connessione a questa rete tramite Internet per i computer remoti. Scegliere Avanti per continuare.
  3. Selezionare VPN oppure Connessione remota a seconda del ruolo che si intende assegnare al server.
  4. Nella finestra Connessione VPN fare clic sull'interfaccia di rete connessa a Internet, quindi scegliere Avanti.
  5. Nella finestra Assegnazione indirizzo IP fare clic su Automaticamente se si utilizzerÓ un server DHCP per assegnare indirizzi ai client remoti oppure fare clic su Da un intervallo di indirizzi specificato se ai client remoti dovranno essere assegnati unicamente indirizzi appartenenti a un gruppo predefinito. Nella maggior parte dei casi l'opzione DHCP risulta pi¨ semplice da gestire. Se tuttavia DHCP non Ŕ disponibile, sarÓ necessario specificare un intervallo di indirizzi statici. Scegliere Avanti per continuare.
  6. Se Ŕ stata selezionata l'opzione Da un intervallo di indirizzi specificato verrÓ visualizzata la finestra di dialogo Assegnazione dell'intervallo di indirizzi. Scegliere Nuovo. Digitare il primo indirizzo IP dell'intervallo da utilizzare nella casella Indirizzo IP iniziale. Digitare l'ultimo indirizzo IP dell'intervallo nella casella Indirizzo IP finale. Il numero di indirizzi verrÓ calcolato automaticamente. Scegliere OK per tornare alla finestra di dialogo Assegnazione dell'intervallo di indirizzi. Scegliere Avanti per continuare.
  7. Accettare l'impostazione predefinita No, utilizza Routing e Accesso remoto per autenticare le richieste di connessione, quindi scegliere Avanti per continuare. Scegliere Fine per attivare il servizio Routing e Accesso remoto e per configurare il server come server di accesso remoto.

Configurazione del server VPN

Per proseguire la configurazione del server VPN come richiesto, attenersi alla procedura descritta di seguito.

Configurare il server di Accesso remoto come router

AffinchÚ il server di accesso remoto possa inoltrare il traffico correttamente all'interno della rete, Ŕ necessario configurarlo come router con route statiche o protocolli di routing, in modo che tutti i percorsi nella rete Intranet siano raggiungibili dal server di accesso remoto.

Per configurare il server come router:
  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
  2. Fare clic con il pulsante destro del mouse sul nome del server, quindi scegliere ProprietÓ.
  3. Fare clic sulla scheda Generale e selezionare Router nella sezione Abilita questo computer come.
  4. Fare clic su Routing LAN e connessioni a richiesta, quindi scegliere OK per chiudere la finestra di dialogo ProprietÓ.

Modificare il numero di connessioni simultanee

Il numero di connessioni modem di accesso remoto dipende dal numero di modem installati nel server. Ad esempio, se nel server Ŕ installato un solo modem sarÓ possibile disporre di una sola connessione per volta.

Il numero di connessioni VPN di accesso remoto dipende dal numero di utenti simultanei autorizzati. Per impostazione predefinita, la procedura descritta in questo articolo consente di attivare 128 connessioni. Per modificare il numero di connessioni simultanee, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
  2. Fare doppio clic sull'oggetto server, fare clic con il pulsante destro del mouse su Porte, quindi scegliere ProprietÓ.
  3. Nella finestra di dialogo relativa alle proprietÓ delle porte fare clic su WAN Miniport (PPTP), quindi scegliere Configura.
  4. Nella casella Numero massimo di porte digitare il numero di connessioni VPN che si desidera autorizzare.
  5. Scegliere OK, scegliere di nuovo OK, quindi chiudere la finestra Routing e Accesso remoto.

Gestire i server dei nomi e degli indirizzi

╚ necessario che il server VPN contenga indirizzi IP disponibili da assegnare all'interfaccia virtuale del server VPN e ai client VPN durante la fase di negoziazione IPCP (IP Control Protocol) del processo di connessione. L'indirizzo IP assegnato al client VPN Ŕ assegnato all'interfaccia virtuale del client VPN.

Per i server VPN basati su Windows Server 2003, gli indirizzi IP assegnati ai client VPN vengono ottenuti tramite DHCP per impostazione predefinita. ╚ inoltre possibile configurare un pool di indirizzi IP statici. ╚ necessario inoltre che il server VPN sia configurato con server di risoluzione dei nomi, solitamente indirizzi relativi a server DNS e WINS, per l'assegnazione al client VPN durante la negoziazione IPCP.

Gestire l'accesso

Configurare le proprietÓ di accesso remoto in account utente e criteri di accesso remoto per gestire l'accesso per connessioni remote e connessioni VPN.

NOTA: in base all'impostazione predefinita, agli utenti viene negato l'accesso alle funzionalitÓ di accesso remoto.

Accesso effettuato da account utente

Per concedere l'accesso remoto a un account utente se l'accesso remoto viene gestito a livello di singoli utenti, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Utenti e computer di Active Directory.
  2. Fare clic con il pulsante destro del mouse sull'account utente, quindi scegliere ProprietÓ.
  3. Fare clic sulla scheda Chiamate in ingresso.
  4. Fare clic su Consenti accesso per autorizzare l'utente ad effettuare chiamate in ingresso. Scegliere OK.

Accesso effettuato da gruppi

Se l'accesso remoto viene gestito a livello di gruppi, attenersi alla seguente procedura:
  1. Creare un gruppo con membri a cui Ŕ consentito creare connessioni VPN.
  2. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
  3. Nella struttura della console espandere Routing e Accesso remoto, espandere il nome del server, quindi fare clic su Criteri di accesso remoto.
  4. Fare clic con il pulsante destro del mouse in un punto qualsiasi all'interno del riquadro di destra, scegliere Nuovo, quindi Criteri di accesso remoto.
  5. Scegliere Avanti, digitare il nome del criterio, quindi scegliere Avanti.
  6. Fare clic su VPN per il metodo di accesso privato virtuale oppure fare clic su Connessione remota per l'accesso tramite connessione remota, quindi scegliere Avanti.
  7. Fare clic su Aggiungi, digitare il nome del gruppo creato nel passaggio 1, quindi scegliere Avanti.
  8. Seguire le istruzioni visualizzate per completare la procedura guidata.


Se il server VPN consente giÓ l'utilizzo di servizi di accesso remoto tramite connessione remota, non eliminare il criterio predefinito, ma spostarlo in modo che venga valutato per ultimo.

Configurazione di una connessione VPN da un computer client

Per impostare una connessione a una rete VPN, attenersi alla seguente procedura: Per impostare un client per l'accesso a una rete privata virtuale, effettuare le seguenti operazioni sulla workstation client:

NOTA: per effettuare questa procedura Ŕ necessario effettuare l'accesso come membro del gruppo Administrators.

NOTA: data l'esistenza di varie versioni di Microsoft Windows, la procedura descritta di seguito potrebbe risultare diversa da computer a computer. In questo caso, fare riferimento alla documentazione del prodotto per completare la procedura.
  1. Nel computer client assicurarsi che la connessione a Internet sia configurata correttamente.
  2. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Connessioni di rete. Fare clic su Crea una nuova connessione in Operazioni di rete, quindi scegliere Avanti.
  3. Fare clic su Connessione alla rete aziendale per creare la connessione remota. Scegliere Avanti per continuare.
  4. Fare clic su Connessione VPN, quindi scegliere Avanti.
  5. Digitare un nome descrittivo da assegnare alla connessione nella finestra di dialogo Nome societÓ, quindi scegliere Avanti.
  6. Fare clic su Non effettuare prima alcuna connessione se il computer Ŕ sempre connesso a Internet. Se la connessione a Internet viene effettuata tramite un provider di servizi Internet (ISP), fare clic su Connetti automaticamente a, quindi selezionare il nome della connessione al provider ISP. Scegliere Avanti.
  7. Digitare l'indirizzo IP o il nome host del computer server VPN, ad esempio VPNServer.SampleDomain.com.
  8. Scegliere L'uso da parte di tutti se si desidera consentire a tutti gli utenti che accedono alla workstation di utilizzare questa connessione remota. Scegliere Solo uso personale se si desidera che la connessione sia disponibile solo per l'utente correntemente collegato. Scegliere Avanti.
  9. Scegliere Fine per salvare la connessione.
  10. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Connessioni di rete.
  11. Fare doppio clic sulla nuova connessione.
  12. Scegliere ProprietÓ per proseguire la configurazione delle opzioni relative alla connessione. Per proseguire la configurazione delle impostazioni relative alla connessione, attenersi alla seguente procedura:
    • Se viene stabilita la connessione a un dominio, scegliere la scheda Opzioni, quindi selezionare la casella di controllo Includi dominio di accesso Windows per specificare se richiedere informazioni sul dominio di accesso di Windows Server 2003 prima di effettuare la connessione.
    • Se si desidera che venga ristabilita la connessione in caso di caduta della linea, scegliere la scheda Opzioni, quindi selezionare la casella di controllo Ricomponi se cade la linea.
Per utilizzare la connessione, attenersi alla procedura seguente:
  1. Fare clic sul pulsante Start, scegliere Connettersi a e fare clic sulla nuova connessione.
  2. Se non si dispone di una connessione a Internet, in Windows esiste la possibilitÓ di effettuare tale connessione.
  3. Una volta creata la connessione a Internet, il server VPN richiede il nome utente e la password. Digitare nome utente e password, quindi scegliere Connetti.
    Le risorse di rete devono risultare disponibili nello stesso modo in cui lo sono quando ci si connette direttamente alla rete. NOTA: per disconnettersi dalla rete VPN, fare clic con il pulsante destro del mouse sull'icona della connessione, quindi scegliere Disconnetti.

Risoluzione dei problemi

Risoluzione dei problemi relativi ai server VPN di accesso remoto

Impossibile stabilire una connessione VPN di accesso remoto
  • Causa: il nome del computer client Ŕ uguale al nome di un altro computer sulla rete.

    Soluzione: verificare che tutti i computer in rete e tutti i computer che effettuano connessioni alla rete utilizzino nomi univoci.
  • Causa: il servizio Routing e Accesso remoto non Ŕ stato avviato sul server VPN.

    Soluzione: verificare lo stato del servizio Routing e Accesso remoto sul server VPN.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sul monitoraggio del servizio Routing e Accesso remoto e sull'avvio e l'interruzione di tale servizio. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: l'accesso remoto non Ŕ stato attivato sul server VPN.

    Soluzione: attivare l'accesso remoto sul server VPN.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sull'attivazione del server di accesso remoto. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: le porte PPTP o L2TP non sono attivate per le richieste di accesso remoto in ingresso.

    Soluzione: attivare la porta PPTP o L2TP o entrambe per le richieste di accesso remoto in ingresso.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sulla configurazione delle porte per l'accesso remoto. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: i protocolli LAN utilizzati dai client VPN non sono stati attivati per l'accesso remoto sul server VPN.

    Soluzione: attivare i protocolli LAN utilizzati dai client VPN per l'accesso remoto sul server VPN.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sulla visualizzazione delle proprietÓ del server di accesso remoto. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: tutte le porte PPTP o L2TP nel server VPN sono giÓ utilizzate da client di accesso remoto o da router di connessione a richiesta correntemente connessi.

    Soluzione: verificare che tutte le porte PPTP o L2TP sul server VPN siano giÓ in uso. A questo scopo, fare clic su Porte in Routing e Accesso remoto. Se il numero di porte PPTP o L2TP consentito non Ŕ sufficiente, modificare tale numero per autorizzare pi¨ connessioni contemporanee.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sull'aggiunta di porte PPTP o L2TP. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il server VPN non supporta i protocollo di tunneling del client VPN.

    Per impostazione predefinita, i client VPN di accesso remoto di Windows Server 2003 utilizzano l'opzione Automatico per il tipo di server. In altre parole, tentano di stabilire prima una connessione VPN basata su L2TP su IPSec, quindi una connessione VPN basata su PPTP. Se i client VPN utilizzano l'opzione PPTP (Point-to-Point Tunneling Protocol) o Layer-2 Tunneling Protocol (L2TP) per il tipo di server, verificare che il protocollo di tunneling selezionato sia supportato dal server VPN.

    Per impostazione predefinita, un computer che esegue Windows Server 2003 e il servizio Routing e Accesso remoto Ŕ un server PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un server che utilizzi solo il protocollo PPTP, impostare il numero di porte L2TP su zero. Per creare un server che utilizzi solo il protocollo L2TP, impostare il numero di porte PPTP su zero.

    Soluzione: verificare che sia stato configurato il numero appropriato di porte PPTP o L2TP.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sull'aggiunta di porte PPTP o L2TP. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il client VPN e il server VPN, unitamente a un criterio di accesso remoto, non sono configurati per l'utilizzo di almeno un metodo di autenticazione comune.

    Soluzione: configurare il client VPN e il server VPN, unitamente a un criterio di accesso remoto, per l'utilizzo di almeno un metodo di autenticazione comune.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sulla configurazione dell'autenticazione. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il client VPN e il server VPN, unitamente a un criterio di accesso remoto, non sono configurati per l'utilizzo di almeno un metodo di crittografia comune.

    Soluzione: configurare il client VPN e il server VPN, unitamente a un criterio di accesso remoto, per l'utilizzo di almeno un metodo di crittografia comune.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sulla configurazione della crittografia. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: la connessione VPN non dispone delle autorizzazioni appropriate mediante le proprietÓ delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto.

    Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate mediante le proprietÓ delle chiamate in ingresso dell'account utente e di criteri di accesso remoto. Per stabilire la connessione, Ŕ necessario che le impostazioni della connessione:
    • Corrispondano a tutte le condizioni di almeno un criterio di accesso remoto.
    • Ricevano l'autorizzazione di accesso remoto attraverso l'account utente (impostato su Consenti accesso) o attraverso l'account utente (impostato su Controlla accesso tramite Criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
    • Corrispondano a tutte le impostazioni del profilo.
    • Corrispondano a tutte le impostazioni delle proprietÓ delle chiamate in ingresso dell'account utente.
    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per un'introduzione ai criteri di accesso remoto e per ulteriori informazioni sull'accettazione di un tentativo di connessione. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: le impostazioni del profilo relativo al criterio di accesso remoto sono in conflitto con le proprietÓ del server VPN.

    Le proprietÓ del profilo relativo al criterio di accesso remoto e le proprietÓ del server VPN contengono entrambe impostazioni relative a:
    • Connessione multipla.
    • Protocollo BAP (Bandwidth Allocation Protocol).
    • Protocolli di autenticazione.
    Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con le impostazioni del server VPN, il tentativo di connessione verrÓ respinto. Se ad esempio nel profilo relativo al criterio di accesso remoto corrispondente Ŕ specificato che Ŕ necessario utilizzare il protocollo EAP-TLS (Extensible Authentication Protocol - Transport Level Security) e se il protocollo EAP non Ŕ stato attivato nel server VPN, il tentativo di connessione verrÓ respinto.

    Soluzione: verificare che le impostazioni del profilo relativo al criterio di accesso remoto non siano in conflitto con le proprietÓ del server VPN.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni su connessioni multiple, protocollo BAP e protocolli di autenticazione. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il router di risposta non Ŕ in grado di convalidare le credenziali del router di chiamata (nome utente, password e nome dominio).

    Soluzione: verificare che le credenziali del client VPN (nome utente, password e nome dominio) siano corrette e possano essere convalidate dal server VPN.
  • Causa: gli indirizzi presenti nel pool di indirizzi IP statici non sono sufficienti.

    Soluzione: se il server VPN Ŕ configurato con un pool di indirizzi IP statici, verificare che il pool contenga un numero di indirizzi sufficiente. Se tutti gli indirizzi nel pool di indirizzi IP statici sono stati allocati a client VPN connessi, il server VPN non Ŕ in grado di allocare un indirizzo IP e il tentativo di connessione verrÓ respinto. Se sono stati allocati tutti gli indirizzi nel pool di indirizzi statici, modificare il pool. Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sul protocollo TCP/IP e l'accesso remoto e sulla creazione di un pool di indirizzi IP statici. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il client VPN Ŕ configurato per richiedere il proprio numero di nodo IPX e il server VPN non Ŕ configurato per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Soluzione: configurare il server VPN in modo da consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni su IPX e l'accesso remoto. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il server VPN Ŕ configurato con un intervallo di numeri di rete IPX utilizzati in un altro punto della rete IPX.

    Soluzione: configurare il server VPN con un intervallo di numeri di rete IPX univoco per la propria rete IPX.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni su IPX e l'accesso remoto. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il provider delle autenticazioni del server VPN non Ŕ stato configurato correttamente.

    Soluzione: verificare la configurazione del provider delle autenticazioni. ╚ possibile configurare il server VPN per l'utilizzo di Windows Server 2003 o di RADIUS (Remote Authentication Dial-In User Service) per l'autenticazione delle credenziali del client VPN.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sui provider di autenticazioni e amministrazione e sull'utilizzo dell'autenticazione RADIUS. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il server VPN non Ŕ in grado di effettuare l'accesso ad Active Directory.


    Soluzione: per un server VPN membro di un dominio Windows Server 2003 in modalitÓ mista o in modalitÓ originale configurato per l'autenticazione in Windows Server 2003, verificare che:
    • Sia presente il gruppo di protezione Server RAS e IAS. In caso contrario, creare il gruppo e impostare il tipo di gruppo su Protezione e l'ambito del gruppo su Locale al dominio.
    • Il gruppo di protezione Server RAS e IAS disponga dell'autorizzazione di lettura per l'oggetto RAS and IAS Servers Access Check.
    • L'account computer del computer server VPN sia un membro del gruppo di protezione Server RAS e IAS. ╚ possibile utilizzare il comando netsh ras show registeredserver per visualizzare la registrazione corrente. ╚ possibile utilizzare il comando netsh ras add registeredserver per registrare il server in un dominio specifico.

      Aggiungendo o rimuovendo il computer server VPN nel gruppo di protezione Server RAS e IAS, la modifica non sarÓ attiva immediatamente a causa del modo in cui le informazioni relative ad Active Directory vengono memorizzate nella cache da Windows Server 2003. AffinchÚ questa modifica venga applicata immediatamente, Ŕ necessario riavviare il computer server VPN.
    • Il server VPN Ŕ un membro del dominio.
    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sull'aggiunta di un gruppo, sulla verifica delle autorizzazioni per il gruppo di protezione RAS e IAS e sui comandi netsh per l'accesso remoto. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: un server VPN basato su Windows NT 4.0 non Ŕ in grado di convalidare le richieste di connessione.

    Soluzione: se i client VPN effettuano chiamate in ingresso a un server VPN che esegue Windows NT 4.0 ed Ŕ membro di un dominio Windows Server 2003 in modalitÓ mista, verificare che il gruppo Everyone sia stato aggiunto al gruppo Accesso compatibile precedente a Windows 2000 con il seguente comando:
    "net localgroup "Pre-Windows 2000 Compatible Access""
    In caso contrario, digitare il comando riportato di seguito al prompt dei comandi in un computer controller di dominio, quindi riavviare quest'ultimo computer:
    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sul server di accesso remoto con Windows NT 4.0 in un dominio Windows Server 2003. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: il server VPN non Ŕ in grado di comunicare con il server RADIUS configurato.

    Soluzione: se il server RADIUS Ŕ raggiungibile solo attraverso l'interfaccia Internet, effettuare una delle seguenti operazioni:
    • Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1812 (in base alla specifica RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). Oppure
    • Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1645 (per i server RADIUS meno recenti), per l'autenticazione RADIUS e la porta UDP 1813 (sulla base della specifica RFC 2139, "Amministrazione RADIUS"). Oppure

    • Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1646 (per i server RADIUS meno recenti) per l'amministrazione RADIUS.
    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sull'aggiunta di un filtro di pacchetti. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: impossibile connettersi al server VPN su Internet mediante l'utilitÓ Ping.exe.

    Soluzione: a causa del filtro di pacchetti PPTP e L2TP su IPSec configurato nell'interfaccia Internet del server VPN, i pacchetti ICMP (Internet Control Message Protocol) utilizzati dal comando ping vengono scartati. Per abilitare il server VPN alla risposta ai pacchetti ICMP (ping), Ŕ necessario aggiungere un filtro di input e un filtro di output che consentano il traffico per il protocollo IP 1 (traffico ICMP).

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sull'aggiunta di un filtro di pacchetti. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
Impossibile inviare e ricevere dati
  • Causa: l'interfaccia di connessione a richiesta appropriata non Ŕ stata aggiunta al protocollo instradato.

    Soluzione: aggiungere l'interfaccia di connessione a richiesta appropriata al protocollo instradato.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sull'aggiunta un'interfaccia di routing. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: non esistono route su entrambi i lati della connessione VPN da router a router che supportino lo scambio bidirezionale di traffico.

    Soluzione: a differenza di una connessione VPN di accesso remoto, una connessione VPN da router a router non consente di creare automaticamente una route predefinita. Creare route su entrambi i lati della connessione VPN da router a router affinchÚ il traffico possa essere instradato da e verso l'altro lato di tale connessione.

    ╚ possibile aggiungere manualmente route statiche alla tabella di routing o aggiungere route statiche mediante protocolli di routing. Per connessioni VPN permanenti, Ŕ possibile attivare il protocollo OSPF (Open Shortest Path First) o RIP (Routing Information Protocol) sulla connessione VPN. Per connessioni VPN su richiesta, Ŕ possibile aggiornare automaticamente le route mediante un aggiornamento RIP statico automatico. Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sull'aggiunta di un protocollo di routing IP, sull'aggiunta di una route statica e sull'esecuzione di aggiornamenti statici automatici. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: una connessione VPN bidirezionale da router a router viene interpretata dal router di risposta come una connessione di accesso remoto.

    Soluzione: se il nome utente nelle credenziali del router di chiamata viene visualizzato in corrispondenza dei client chiamate in ingresso in Routing e Accesso remoto, Ŕ possibile che il router di risposta interpreti il router di chiamata come un client di accesso remoto. Verificare che il nome utente nelle credenziali del router di chiamata corrisponda al nome dell'interfaccia di connessione a richiesta nel router di risposta. Se il chiamante in ingresso Ŕ un router, lo stato della porta in corrispondenza della quale Ŕ stata ricevuta la chiamata Ŕ Attivo e lo stato dell'interfaccia di connessione a richiesta corrispondente Ŕ Connesso.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sullo stato della porta del router di risposta e sulla verifica dello stato dell'interfaccia di connessione a richiesta. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: i filtri dei pacchetti nelle interfacce di connessione a richiesta del router di chiamata e del router di risposta impediscono il flusso del traffico.

    Soluzione: verificare che non vi siano filtri dei pacchetti nelle interfacce di connessione a richiesta del router di chiamata e del router di risposta che impediscano l'invio o la ricezione del traffico. ╚ possibile configurare ogni interfaccia di connessione a richiesta con filtri di input e output IP e IPX per controllare l'esatta natura del traffico TCP/IP e IPX in ingresso e in uscita dall'interfaccia di connessione a richiesta.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sulla gestione dei filtri di pacchetti. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.
  • Causa: i filtri dei pacchetti nel profilo relativo al criterio di accesso remoto impediscono il flusso del traffico IP.

    Soluzione: verificare che non vi siano filtri dei pacchetti TCP/IP configurati nelle proprietÓ del profilo dei criteri di accesso remoto sul server VPN (o sul server RADIUS se viene utilizzato Servizio di autenticazione Internet) che impediscano l'invio o la ricezione del traffico TCP/IP. ╚ possibile utilizzare criteri di accesso remoto per configurare filtri dei pacchetti di input e output TCP/IP che controllino l'esatta natura del traffico TCP/IP consentito per la connessione VPN. Verificare che i filtri dei pacchetti TCP/IP relativi al profilo non impediscano il flusso del traffico.

    Vedere Guida in linea e supporto tecnico di Windows Server 2003 per ulteriori informazioni sulla configurazione delle opzioni IP. Fare clic sul pulsante Start per accedere a Guida in linea e supporto tecnico di Windows Server 2003.



ProprietÓ

Identificativo articolo: 323441 - Ultima modifica: domenica 29 febbraio 2004 - Revisione: 8.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Chiavi:á
kbhowtomaster KB323441
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com