COMO: Instalar e configurar um servidor de rede privada virtual no Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 323441 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve como instalar uma rede privada virtual (VPN, Virtual Private Networking) e como criar uma ligação VPN nova em servidores com o Windows Server 2003.

Através de uma rede privada virtual, é possível ligar componentes de rede através de outra rede como, por exemplo, a Internet. Pode tornar um computador baseado no Windows Server 2003 num servidor de acesso remoto para que outros utilizadores possam estabelecer ligação utilizando a VPN, e iniciar sessão na rede e aceder a recursos partilhados. Para o fazer, as VPN efectuam o "tunneling" através da Internet ou de outra rede pública para fornecerem níveis de segurança e funcionalidade iguais aos de uma rede privada. Os dados são enviados através da rede pública utilizando a respectiva infra-estrutura de encaminhamento; no entanto, na perspectiva do utilizador, os dados parecem ser enviados através de uma ligação privada dedicada.



Descrição geral de VPN

Uma rede privada virtual é uma forma de ligar a uma rede privada (como a rede do escritório) através de uma rede pública (como a Internet). A VPN associa as vantagens de uma ligação de acesso telefónico de um servidor de acesso telefónico à simplicidade e flexibilidade de uma ligação à Internet. Se utilizar uma ligação à Internet, pode viajar para qualquer parte do mundo e, na maioria dos locais, estabelecer ligação ao escritório através de uma chamada local para o número de telefone de acesso à Internet mais próximo. Se tiver uma ligação à Internet de alta velocidade (como, por exemplo, cabo ou DSL) no computador e no escritório, pode comunicar com o escritório à velocidade máxima da Internet, a qual é mais rápida do que qualquer ligação de acesso telefónico que utilize um modem analógico. Esta tecnologia permite que uma empresa estabeleça ligação com sucursais ou outras empresas através de uma rede pública, mantendo as comunicações seguras. A ligação VPN através da Internet funciona de forma lógica como uma ligação de rede de área alargada (WAN, Wide Area Network) dedicada.

As redes privadas virtuais utilizam ligações autenticadas para garantir que só os utilizadores autorizados estabelecem ligação com a rede. Para garantir a segurança dos dados durante a transmissão numa rede pública, a ligação VPN utiliza o protocolo de túnel ponto a ponto (PPTP, Point-to-Point Tunneling Protocol) ou o protocolo de túnel de camada 2 (L2TP, Layer Two Tunneling Protocol) para encriptar os dados.

Componentes de uma VPN

Uma VPN em servidores com o Windows Server 2003 é composta por um servidor VPN, um cliente VPN, uma ligação VPN (a parte da ligação na qual os dados são encriptados) e o túnel (a parte da ligação na qual os dados são encapsulados). O túnel é concluído através de um dos protocolos de túnel incluídos nos servidores com o Windows Server 2003, estando ambos instalados no Encaminhamento e acesso remoto. O serviço Encaminhamento e acesso remoto é instalado automaticamente durante a instalação do Windows Server 2003. No entanto, por predefinição, este serviço está desactivado.
Os dois protocolos de túnel incluídos no Windows são:
  • Protocolo de túnel ponto a ponto (PPTP): fornece a encriptação de dados utilizando a encriptação ponto a ponto da Microsoft.
  • Protocolo de túnel de camada 2 (L2TP): fornece a encriptação, autenticação e integridade de dados utilizando o IPSec.
A ligação à Internet deve utilizar uma linha dedicada como, por exemplo, T1, T1 fraccionário ou Frame Relay. A placa de WAN deve ser configurada com o endereço IP e a máscara de sub-rede atribuídos ao domínio ou fornecidos por um fornecedor de serviços Internet (ISP, Internet service provider). A placa de WAN deve também ser configurada como o gateway predefinido do router de ISP.

NOTA: para activar a VPN, deve ter sessão iniciada utilizando uma conta com direitos administrativos.

Como instalar e activar um servidor VPN

Para instalar e activar um servidor VPN, siga estes passos:
  1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Encaminhamento e acesso remoto.
  2. Clique no ícone do servidor que coincide com o nome do servidor local no painel esquerdo da consola. Se o ícone tiver um círculo vermelho no canto inferior esquerdo, o serviço Encaminhamento e acesso remoto não foi activado. Se o ícone tiver uma seta verde no canto inferior esquerdo, o serviço Encaminhamento e acesso remoto foi activado. Se o serviço Encaminhamento e acesso remoto foi activado anteriormente, poderá pretender reconfigurar o servidor. Para reconfigurar o servidor:
    1. Clique com o botão direito do rato no objecto de servidor e, em seguida, clique em Desactivar 'Encaminhamento e acesso remoto'. Clique em Sim para continuar quando for apresentada uma mensagem informativa.
    2. Clique com o botão direito do rato no ícone do servidor e, em seguida, clique em Configurar e activar 'Encaminhamento e acesso remoto' para iniciar o Assistente para configurar servidor de encaminhamento e acesso remoto. Clique em Seguinte para continuar.
    3. Clique em Acesso remoto (acesso telefónico ou VPN) para permitir aos computadores remotos o acesso telefónico ou a ligação a esta rede através da Internet. Clique em Seguinte para continuar.
  3. Clique para seleccionar VPN ou Acesso telefónico consoante a função que pretende atribuir a este servidor.
  4. Na janela Ligação VPN, clique na interface de rede ligada à Internet e, em seguida, clique em Seguinte.
  5. Na janela Atribuição de endereços IP, clique em Automaticamente se for utilizado um servidor DHCP para atribuir endereços a clientes remotos ou clique em A partir de um intervalo de endereços especificado se os endereços forem atribuídos aos clientes apenas a partir de um agrupamento predefinido. Na generalidade dos casos, a opção DHCP é mais simples de administrar. No entanto, caso o DHCP não esteja disponível, deverá especificar um intervalo de endereços estáticos. Clique em Seguinte para continuar.
  6. Se clicou em A partir de um intervalo de endereços especificado, é aberta a caixa de diálogo Atribuição de intervalo de endereços. Clique em Novo. Escreva o primeiro endereço IP do intervalo de endereços que pretende utilizar na caixa Endereço IP inicial. Escreva o último endereço IP do intervalo na caixa Endereço IP final. O Windows calcula o número de endereços automaticamente. Clique em OK para voltar à janela Atribuição de intervalo de endereços. Clique em Seguinte para continuar.
  7. Aceite a predefinição de Não, utilizar o 'Encaminhamento e acesso remoto' para autenticar pedidos de ligação e, em seguida, clique em Seguinte para continuar. Clique em Concluir para activar o serviço Encaminhamento e acesso remoto e para configurar o servidor como servidor de acesso remoto.

Como configurar o servidor VPN

Para continuar a configurar o servidor VPN correctamente, siga estes passos.

Como configurar o servidor de acesso remoto como um router

Para que o servidor de acesso remoto reencaminhe o tráfego correctamente na rede, tem de configurá-lo como um router com rotas estáticas ou protocolos de encaminhamento, para que todas as localizações na intranet possam ser acedidas a partir do servidor de acesso remoto.

Para configurar o servidor como um router:
  1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Encaminhamento e acesso remoto.
  2. Clique com o botão direito do rato no nome do servidor e, em seguida, clique em Propriedades.
  3. Clique no separador Geral e, em seguida, clique para seleccionar Router em Activar este computador como.
  4. Clique em Encaminhamento para marcação a pedido e LAN e, em seguida, clique em OK para fechar a caixa de diálogo Propriedades.

Como modificar o número de ligações simultâneas

O número de ligações de acesso telefónico por modem depende do número de modems instalados no servidor. Por exemplo, se tiver apenas um modem instalado no servidor, poderá dispor apenas de uma ligação por modem de cada vez.

O número de ligações de acesso telefónico VPN depende do número de utilizadores em simultâneo que pretende permitir. Por predefinição, ao executar o procedimento descrito neste artigo, permitirá 128 ligações. Para alterar o número de ligações em simultâneo, siga estes passos:
  1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Encaminhamento e acesso remoto.
  2. Faça duplo clique no objecto de servidor, clique com o botão direito do rato em Portas e, em seguida, clique em Propriedades.
  3. Na caixa de diálogo Propriedades de Portas, clique em WAN Miniport (PPTP) e, em seguida, clique em Configurar.
  4. Na caixa N.º máximo de portas, escreva o número de ligações VPN que pretende permitir.
  5. Clique em OK, clique em OK novamente e, em seguida, feche o Encaminhamento e acesso remoto.

Como gerir servidores de endereços e nomes

O servidor VPN deve ter endereços IP disponíveis para atribuição à interface virtual do servidor VPN e aos clientes VPN durante a fase de negociação do protocolo de controlo IP (IPCP, IP Control Protocol) do processo de ligação. O endereço IP atribuído ao cliente VPN é atribuído à interface virtual do cliente VPN.

Por predefinição, em servidores VPN baseados no Windows Server 2003, os endereços IP atribuídos aos clientes VPN são obtidos através do DHCP. Pode também configurar um agrupamento de endereços IP estáticos. O servidor VPN deve também ser configurado com os servidores de resolução de nomes, normalmente endereços de servidor de DNS e WINS, a atribuir ao cliente VPN durante a negociação do IPCP.

Como gerir o acesso

Configure a propriedades de acesso telefónico das contas de utilizador e as políticas de acesso remoto para gerir o acesso telefónico à rede e as ligações VPN.

NOTA: por predefinição, o acesso telefónico à rede é recusado aos utilizadores.

Acesso através da conta de utilizador

Para conceder o acesso telefónico a uma conta de utilizador caso esteja a gerir o acesso remoto com base no utilizador, siga estes passos:
  1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Utilizadores e computadores do Active Directory.
  2. Clique com o botão direito do rato na conta de utilizador e, em seguida, clique em Propriedades.
  3. Clique no separador Acesso telefónico.
  4. Clique em Permitir acesso para conceder permissão de acesso telefónico ao utilizador. Clique em OK.

Acesso através de membros de grupo

Se gerir o acesso remoto com base num grupo, siga estes passos:
  1. Crie um grupo com membros com permissão para criar ligações VPN.
  2. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Encaminhamento e acesso remoto.
  3. Na árvore da consola, expanda Encaminhamento e acesso remoto, expanda o nome do servidor e, em seguida, clique em Políticas de acesso remoto.
  4. Clique com o botão direito do rato em qualquer parte do painel da direita, aponte para Novo e, em seguida, clique em Política de acesso remoto.
  5. Clique em Seguinte, escreva o nome da política e, em seguida, clique em Seguinte.
  6. Clique em VPN para o método Acesso privado virtual ou clique em Acesso telefónico para o acesso telefónico e, em seguida, clique em Seguinte.
  7. Clique em Adicionar, escreva o nome do grupo criado no passo 1 e, em seguida, clique em Seguinte.
  8. Siga as instruções apresentadas no ecrã para concluir o assistente.


Se o servidor VPN já permitir os serviços de acesso remoto de acesso telefónico à rede, não elimine a política predefinida. Em vez disso, mova-a para que seja a última política a ser avaliada.

Como configurar uma ligação VPN a partir de um computador cliente

Para configurar uma ligação para uma VPN, siga estes passos. Para configurar um cliente para acesso de rede privada virtual, siga estes passos na estação de trabalho cliente:

NOTA: Tem de ter sessão iniciada como membro do grupo Administradores para seguir estes passos.

NOTA: Uma vez que existem várias versões do Microsoft Windows, os passos que se seguem poderão ser diferentes no seu computador. Se forem, consulte a documentação do produto para concluir estes passos.
  1. No computador cliente, confirme se a ligação à Internet está configurada correctamente.
  2. Clique em Iniciar, clique em Painel de controlo e, em seguida, clique em Ligações de rede. Em Tarefas de rede, clique em Criar uma nova ligação e, em seguida, clique em Seguinte.
  3. Clique em Ligar à rede no meu local de trabalho para criar a ligação de acesso telefónico. Clique em Seguinte para continuar.
  4. Clique em Ligação à rede privada virtual e, em seguida, clique em Seguinte.
  5. Escreva um nome descritivo para esta ligação na caixa de diálogo Nome da empresa e, em seguida, clique em Seguinte.
  6. Se o computador estiver permanentemente ligado à Internet, clique em Não marcar a ligação inicial. Se o computador ligar à Internet através de um fornecedor de serviços Internet (ISP, Internet Service Provider), clique em Marcar automaticamente esta ligação inicial e, em seguida, clique no nome da ligação ao ISP. Clique em Seguinte.
  7. Escreva o endereço IP ou o nome do anfitrião do computador servidor VPN (por exemplo, VPNServer.SampleDomain.com).
  8. Se pretender permitir o acesso a esta ligação de acesso telefónico a qualquer utilizador que inicie sessão na estação de trabalho, clique em Utilização por terceiros. Se pretender que esta ligação esteja disponível apenas para o utilizador com sessão iniciada actualmente, clique em Apenas utilização pessoal. Clique em Seguinte.
  9. Clique em Concluir para guardar a ligação.
  10. Clique em Iniciar, clique em Painel de controlo e, em seguida, clique em Ligações de rede.
  11. Faça duplo clique na nova ligação.
  12. Clique em Propriedades para continuar a configurar as opções de ligação. Para continuar a configurar as opções da ligação, siga estes passos:
    • Se estiver a estabelecer ligação com um domínio, clique no separador Opções e, em seguida, clique para seleccionar a caixa de verificação Incluir domínio de início de sessão do Windows para especificar se pretende pedir as informações do domínio de início de sessão do Windows Server 2003 antes de tentar estabelecer ligação.
    • Se a linha cair e pretender restabelecer a ligação através de uma nova marcação, clique no separador Opções e, em seguida, clique para seleccionar a caixa de verificação Marcar novamente se a linha cair.
Para utilizar a ligação, siga este passos:
  1. Clique em Iniciar, aponte para Ligar a e, em seguida, clique na nova ligação.
  2. Se não tiver uma ligação à Internet, o Windows propõe a ligação à Internet.
  3. Quando é estabelecida a ligação com a Internet, o servidor VPN pede-lhe o nome de utilizador e a palavra-passe. Escreva o nome de utilizador e a palavra-passe e, em seguida, clique em Ligar.
    Os recursos de rede têm de estar disponíveis tal como quando estabelece ligação directamente com a rede.NOTA: para desligar a ligação VPN, clique com o botão direito do rato no ícone da ligação e, em seguida, clique em Desligar.

Resolução de problemas

Resolução de problemas de VPN de acesso remoto

Não é possível estabelecer uma ligação VPN de acesso remoto
  • Causa: o nome do computador cliente é igual ao nome de outro computador na rede.

    Solução: verifique se os nome de todos os computadores na rede e dos computadores ligados à rede são nomes de computador exclusivos.
  • Causa: o serviço Encaminhamento e acesso remoto não é iniciado no servidor VPN.

    Solução: verifique o estado do serviço Encaminhamento e acesso remoto no servidor VPN.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como monitorizar, iniciar e parar o serviço Encaminhamento e acesso remoto. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o acesso remoto não está activado no servidor VPN.

    Solução: active o acesso remoto no servidor VPN.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como activar o servidor de acesso remoto. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: as portas PPTP ou L2TP não estão activadas para entrada de pedidos de acesso remoto.

    Solução: active as portas PPTP ou L2TP, ou ambas, para entrada de pedidos de acesso remoto.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como configurar as portas para acesso remoto. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: os protocolos LAN utilizados pelos clientes VPN não estão activados para acesso remoto no servidor VPN.

    Solução: active os protocolos LAN utilizados pelos clientes VPN para acesso remoto no servidor VPN.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como visualizar as propriedades do servidor de acesso remoto. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: todas as portas PPTP ou L2TP do servidor VPN já estão a ser utilizadas por routers de marcação a pedido ou por clientes de acesso remoto ligados.

    Solução: verifique se todas as portas PPTP ou L2TP do servidor VPN já estão a ser utilizadas. Para tal, em Encaminhamento e acesso remoto, clique em Portas. Se o número de portas PPTP ou L2TP permitido não for suficiente, altere o número de portas PPTP ou L2TP para permitir mais ligações concorrentes.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como adicionar portas PPTP ou L2TP. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o servidor VPN não suporta o protocolo de túnel do cliente VPN.

    Por predefinição, os clientes VPN de acesso remoto do Windows Server 2003 utilizam a opção de tipo de servidor Automático, o que significa que tentam estabelecer primeiro uma ligação VPN baseada em L2TP sobre IPSec e, em seguida, tentam estabelecer uma ligação VPN baseada em PPTP. Se os clientes VPN utilizarem a opção de tipo de servidor Protocolo de túnel ponto a ponto (PPTP) ou Protocolo de túnel de camada 2 (L2TP), verifique se o protocolo de túnel seleccionado é suportado pelo servidor VPN.

    Por predefinição, um computador com o servidor Windows Server 2003 e o serviço Encaminhamento e acesso remoto é um servidor PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um servidor apenas de PPTP, defina o número de portas L2TP para zero. Para criar um servidor apenas de L2TP, defina o número de portas PPTP para zero.

    Solução: verifique se está configurado o número de portas PPTP ou L2TP adequado.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como adicionar portas PPTP ou L2TP. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de autenticação comum.

    Solução: configure o cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, para utilizarem, pelo menos, um método de autenticação comum.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como configurar a autenticação. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de encriptação comum.

    Solução: configure o cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, para utilizarem, pelo menos, um método de encriptação comum.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como configurar a encriptação. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: a ligação VPN não tem as permissões adequadas disponibilizadas pelas propriedades de acesso telefónico da conta de utilizador e políticas de acesso remoto.

    Solução: verifique se a ligação VPN tem as permissões adequadas disponibilizadas pelas propriedades de acesso telefónico da conta de utilizador e políticas de acesso remoto. Para que a ligação seja estabelecida, as definições de tentativa de ligação devem:
    • Corresponder a todas as condições de, pelo menos, uma política de acesso remoto.
    • Ser-lhes concedida permissão de acesso remoto através da conta de utilizador (definida como Permitir acesso) ou através da conta de utilizador (definida como Controlar acesso através de política de acesso remoto) e da permissão de acesso remoto da política de acesso remoto correspondente (definida como Conceder permissão de acesso remoto).
    • Corresponder a todas as definições do perfil.
    • Corresponder a todas as definições das propriedades de acesso telefónico da conta de utilizador.
    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter uma introdução às políticas de acesso remoto e para obter mais informações sobre como aceitar uma tentativa de ligação. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: as definições do perfil da política de acesso remoto estão em conflito com as propriedades do servidor VPN.

    As propriedades do perfil da política de acesso remoto e as propriedades do servidor VPN contém definições para:
    • Multiligação.
    • Protocolo de atribuição de largura de banda (BAP, Bandwidth Allocation Protocol).
    • Protocolos de autenticação.
    Se as definições do perfil da política de acesso remoto correspondente estiverem em conflito com as definições do servidor VPN, a tentativa de ligação é rejeitada. Por exemplo, se o perfil da política de acesso remoto correspondente especificar que o protocolo de autenticação EAP-TLS (Extensible Authentication Protocol-Transport Level Security) deve ser utilizado e EAP não estiver activado no servidor VPN, a tentativa de ligação é rejeitada.

    Solução: verifique se as definições do perfil da política de acesso remoto estão em conflito com as propriedades do servidor VPN.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter informações adicionais sobre a multiligação, BAP e protocolos de autenticação. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o router de resposta não consegue validar as credenciais do router de chamada (nome de utilizador, palavra-passe e nome do domínio).

    Solução: verifique se as credenciais do cliente VPN (nome de utilizador, palavra-passe e nome do domínio) estão correctas e podem ser validadas pelo servidor VPN.
  • Causa: não existem endereços suficientes no agrupamento de endereços IP estáticos.

    Solução: se o servidor VPN estiver configurado com um agrupamento de endereços IP estáticos, verifique se existem endereços suficientes no agrupamento. Se todos os endereços no agrupamento estático tiverem sido atribuídos a clientes VPN ligados, o servidor VPN não consegue atribuir um endereço IP e a tentativa de ligação é rejeitada. Se tiverem sido atribuídos todos os endereços no agrupamento estático, modifique o agrupamento. Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre o TCP/IP e o acesso remoto, e sobre como criar um agrupamento de endereços IP estáticos. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o cliente VPN está configurado para pedir o próprio número de nó IPX e o servidor VPN não está configurado para permitir aos clientes IPX pedirem o próprio número de nó IPX.

    Solução: configure o servidor VPN para permitir aos clientes IPX pedirem o próprio número de nó IPX.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre o IPX e o acesso remoto. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o servidor VPN está configurado com um intervalo de números de rede IPX que está a ser utilizado noutro local na rede IPX.

    Solução: configure o servidor VPN com um intervalo de números de rede IPX exclusivo na rede IPX.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre o IPX e o acesso remoto. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o fornecedor de autenticação do servidor VPN não está configurado correctamente.

    Solução: verifique a configuração do fornecedor de autenticação. Pode configurar o servidor VPN para utilizar o Windows Server 2003 ou o serviço de utilizador de ligação telefónica por autenticação remota (RADIUS, Remote Authentication Dial-In User Service) para autenticar as credenciais do cliente VPN.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre fornecedores de autenticação e de contas, e sobre como utilizar a autenticação RADIUS. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o servidor VPN não consegue aceder ao Active Directory.


    Solução: para um servidor VPN que seja um servidor membro num domínio em modo misto ou modo nativo do Windows Server 2003 configurado para autenticação do Windows Server 2003, verifique se:
    • O grupo de segurança Servidores RAS e IAS existe. Se não for o caso, crie o grupo e defina o tipo como Segurança e o âmbito como Domínio local.
    • O grupo de segurança Servidores RAS e IAS tem permissão de leitura para o objecto Verificação de acesso de servidores de RAS e IAS.
    • A conta de computador do servidor VPN é um membro do grupo de segurança Servidores RAS e IAS. Pode utilizar o comando netsh ras show registeredserver para visualizar o registo actual. Pode utilizar o comando netsh ras add registeredserver para registar o servidor num determinado domínio.

      Se adicionar (ou remover) o computador servidor VPN do grupo de segurança Servidores RAS e IAS, a alteração não tem efeito imediato (devido ao modo como o Windows Server 2003 coloca em cache as informações do Active Directory). Para que esta alteração tenha efeito imediato, reinicie o computador servidor VPN.
    • O servidor VPN é um membro do domínio.
    Consulte o TAGCentro de ajuda e suporteTAG do Windows Server 2003 para obter mais informações sobre como adicionar um grupo, verificar as permissões do grupo de segurança RAS and IAS e sobre a utilização dos comandos netsh para acesso remoto. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: um servidor VPN baseado no Windows NT 4.0 não consegue validar os pedidos de ligação.

    Solução: se os clientes VPN estiverem a estabelecer ligação com um servidor VPN com o Windows NT 4.0, que seja membro de um domínio em modo misto do Windows Server 2003, verifique se o grupo Todos é adicionado ao grupo Acesso compatível com versões anteriores ao Windows 2000 através do seguinte comando:
    "net localgroup "Acesso compatível com versões anteriores ao Windows 2000""
    Caso contrário, escreva o seguinte comando na linha de comandos num computador do controlador de domínio e, em seguida, reinicie-o:
    net localgroup "Acesso compatível com versões anteriores ao Windows 2000" everyone /add
    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre o servidor de acesso remoto Windows NT 4.0 num domínio do Windows Server 2003. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o servidor VPN não consegue comunicar com o servidor RADIUS configurado.

    Solução: se só conseguir ligar ao servidor RADIUS através da interface da Internet, execute um dos seguintes procedimentos:
    • Adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1812 (com base no RFC 2138, serviço de utilizador de ligação telefónica por autenticação remota (RADIUS)). - ou -
    • Adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1645 (para servidores RADIUS mais antigos), para autenticação RADIUS e porta UDP 1813 (com base no RFC 2139, gestão de contas RADIUS). - ou -

    • Adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1646 (para servidores RADIUS mais antigos) para a gestão de contas RADIUS.
    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como adicionar um filtro de pacotes. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: não é possível estabelecer ligação com o servidor VPN através da Internet utilizando o utilitário Ping.exe.

    Solução: como a filtragem de pacotes PPTP e L2TP sobre IPSec está configurada na interface da Internet do servidor VPN, os pacotes do protocolo de mensagens de controlo da Internet (ICMP, Internet Control Message Protocol) utilizados pelo comando ping são filtrados. Para activar o servidor VPN para responder a pacotes ICMP (ping), adicione um filtro de entrada e um filtro de saída que permita o tráfego para o protocolo 1 IP (tráfego de ICMP).

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como adicionar um filtro de pacotes. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
Não é possível enviar e receber dados
  • Causa: a interface de marcação a pedido adequada não foi adicionada ao protocolo a ser encaminhado.

    Solução: adicione a interface de marcação a pedido adequada ao protocolo a ser encaminhado.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como adicionar uma interface de encaminhamento. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: não existem rotas em ambos os lados da ligação VPN de router para router que suportem a troca de tráfego nos dois sentidos.

    Solução: ao contrário do que acontece numa ligação VPN de acesso remoto, uma ligação VPN de router para router não cria automaticamente uma rota predefinida. Crie rotas em ambos os lados da ligação VPN de router para router para que o tráfego possa ser encaminhado de e para o outro lado da ligação VPN de router para router.

    Pode adicionar manualmente rotas estáticas à tabela de encaminhamento ou pode adicioná-las através de protocolos de encaminhamento. Para ligações VPN persistentes, pode activar Abrir o caminho mais curto primeiro (OSPF, Open Shortest Path First) ou o protocolo de informações de encaminhamento (RIP, Routing Information Protocol) na ligação VPN. Para ligações VPN a pedido, pode actualizar automaticamente as rotas através de uma actualização RIP auto-estática. Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como adicionar um protocolo de encaminhamento IP, adicionar uma rota estática e executar actualizações auto-estáticas. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: o router de resposta iniciado nos dois sentidos como ligação de acesso remoto é interpretado como sendo uma ligação VPN de router para router.

    Solução: se o nome de utilizador nas credenciais do router de chamada for apresentado em Clientes por acesso telefónico no Encaminhamento e acesso remoto, o router de resposta poderá interpretar o router de chamada como sendo um cliente de acesso remoto. Verifique se o nome de utilizador nas credenciais do router de chamada corresponde ao nome de uma interface de marcação a pedido no router de resposta. Se o chamador for um router, a porta na qual a chamada foi recebida apresentará o estado de Activo e a interface de marcação a pedido correspondente terá o estado de Ligado.

    Consulte o Centro de ajuda e suporte do Windows Server 2003 para obter mais informações sobre como verificar o estado da porta no router de resposta e o estado da interface de marcação a pedido. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: os filtros de pacotes das interfaces de marcação a pedido do router de chamada e do router de resposta estão a impedir o fluxo de tráfego.

    Solução: verifique se existem filtros de pacotes nas interfaces de marcação a pedido do router de chamada e do router de resposta que impedem o envio e a recepção de tráfego. Pode configurar cada interface de marcação a pedido com filtros de entrada e de saída IP e IPX para controlar a natureza exacta do tráfego de TCP/IP e IPX que é permitido entrar e sair da interface de marcação a pedido.

    Consulte a ajuda online do Windows Server 2003 para obter mais informações sobre como gerir filtros de pacotes. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.
  • Causa: os filtros de pacotes no perfil da política de acesso remoto estão a impedir o fluxo de tráfego IP.

    Solução: verifique se existem filtros de pacotes de TCP/IP configurados nas propriedades do perfil das políticas de acesso remoto no servidor VPN (ou no servidor RADIUS, se for utilizado o serviço de autenticação da Internet) que impedem o envio e a recepção de tráfego de TCP/IP. Pode utilizar as políticas de acesso remoto para configurar os filtros de pacotes de entrada e de saída de TCP/IP que controlam a natureza exacta do tráfego de TCP/IP permitido na ligação VPN. Verifique se os filtros de pacotes de TCP/IP do perfil não estão a impedir o fluxo de tráfego.

    Consulte a ajuda online do Windows Server 2003 para obter mais informações sobre como configurar as opções de IP. Clique em Iniciar para aceder ao Centro de ajuda e suporte do Windows Server 2003.



Propriedades

Artigo: 323441 - Última revisão: 8 de março de 2004 - Revisão: 8.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Palavras-chave: 
kbhowtomaster kbnetwork KB323441

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com