Instalación y configuración de un servidor de red privada virtual en Windows Server 2003

  • Artículo

En este artículo paso a paso se describe cómo instalar redes privadas virtuales (VPN) y cómo crear una nueva conexión VPN en servidores que ejecutan Windows Server 2003.

Para obtener una versión de Microsoft Windows XP de este artículo, consulte 314076.

Se aplica a: Windows Server 2003
Número de KB original: 323441

Resumen

Con una red privada virtual, puede conectar componentes de red a través de otra red, como Internet. Puede convertir el equipo basado en Windows Server 2003 en un servidor de acceso remoto para que otros usuarios puedan conectarse a él mediante VPN y, a continuación, puedan iniciar sesión en la red y acceder a recursos compartidos. Las VPN hacen esto mediante la "tunelización" a través de Internet o a través de otra red pública de una manera que proporciona la misma seguridad y características que una red privada. Los datos se envían a través de la red pública mediante su infraestructura de enrutamiento, pero al usuario, parece como si los datos se enviaran a través de un vínculo privado dedicado.

Información general de VPN

Una red privada virtual es un medio para conectarse a una red privada (como la red de oficina) a través de una red pública (como Internet). Una VPN combina las virtudes de una conexión de acceso telefónico a un servidor de acceso telefónico local con la facilidad y flexibilidad de una conexión a Internet. Mediante el uso de una conexión a Internet, puede viajar por todo el mundo y aún así, en la mayoría de los lugares, conectarse a su oficina con una llamada local al número de teléfono de acceso a Internet más cercano. Si tiene una conexión a Internet de alta velocidad (como cable o DSL) en su ordenador y en su oficina, puede comunicarse con su oficina a toda velocidad de Internet, lo que es mucho más rápido que cualquier conexión de acceso telefónico que use un módem analógico. Esta tecnología permite a una empresa conectarse a sus sucursales o a otras empresas a través de una red pública, a la vez que mantiene comunicaciones seguras. La conexión VPN a través de Internet funciona lógicamente como un vínculo de red de área extensa (WAN) dedicada.

Las redes privadas virtuales usan vínculos autenticados para asegurarse de que solo los usuarios autorizados puedan conectarse a la red. Para asegurarse de que los datos son seguros a medida que viajan a través de la red pública, una conexión VPN usa el protocolo de tunelización de punto a punto (PPTP) o el protocolo de tunelización de nivel dos (L2TP) para cifrar los datos.

Componentes de una VPN

Una VPN en servidores que ejecutan Windows Server 2003 se compone de un servidor VPN, un cliente VPN, una conexión VPN (esa parte de la conexión en la que se cifran los datos) y el túnel (esa parte de la conexión en la que se encapsulan los datos). La tunelización se completa a través de uno de los protocolos de tunelización incluidos con servidores que ejecutan Windows Server 2003, ambos instalados con enrutamiento y acceso remoto. El servicio enrutamiento y acceso remoto se instala automáticamente durante la instalación de Windows Server 2003. Sin embargo, de forma predeterminada, el servicio enrutamiento y acceso remoto está desactivado.

Los dos protocolos de tunelización incluidos con Windows son:

  • Protocolo de tunelización de punto a punto (PPTP): proporciona cifrado de datos mediante el cifrado de punto a punto de Microsoft.
  • Protocolo de tunelización de nivel dos (L2TP): proporciona cifrado de datos, autenticación e integridad mediante IPSec.

La conexión a Internet debe usar una línea dedicada como T1, Fractional T1 o Frame Relay. El adaptador wan debe configurarse con la dirección IP y la máscara de subred asignadas para el dominio o proporcionadas por un proveedor de servicios de Internet (ISP). El adaptador de WAN también debe configurarse como la puerta de enlace predeterminada del enrutador ISP.

Nota:

Para activar la VPN, debe iniciar sesión con una cuenta que tenga derechos administrativos.

Instalación y activación de un servidor VPN

Para instalar y activar un servidor VPN, siga estos pasos:

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Enrutamiento y acceso remoto.

  2. Haga clic en el icono del servidor que coincida con el nombre del servidor local en el panel izquierdo de la consola. Si el icono tiene un círculo rojo en la esquina inferior izquierda, el servicio enrutamiento y acceso remoto no se ha activado. Si el icono tiene una flecha verde que apunta hacia arriba en la esquina inferior izquierda, se ha activado el servicio enrutamiento y acceso remoto. Si el servicio enrutamiento y acceso remoto se ha activado anteriormente, es posible que quiera volver a configurar el servidor. Para volver a configurar el servidor:

    1. Haga clic con el botón derecho en el objeto de servidor y, a continuación, haga clic en Deshabilitar enrutamiento y acceso remoto. Haga clic en para continuar cuando se le pida un mensaje informativo.
    2. Haga clic con el botón derecho en el icono del servidor y, a continuación, haga clic en Configurar y habilitar el enrutamiento y el acceso remoto para iniciar el Asistente para configurar el servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
    3. Haga clic en Acceso remoto (acceso telefónico o VPN) para activar los equipos remotos para marcar o conectarse a esta red a través de Internet. Haga clic en Siguiente para continuar.

  3. Haga clic para seleccionar VPN o Acceso telefónico, en función del rol que quiera asignar a este servidor.

  4. En la ventana Conexión VPN , haga clic en la interfaz de red que está conectada a Internet y, a continuación, haga clic en Siguiente.

  5. En la ventana Asignación de direcciones IP , haga clic en Automáticamente si se usará un servidor DHCP para asignar direcciones a clientes remotos o haga clic en Desde un intervalo de direcciones especificado si solo se debe proporcionar una dirección a los clientes remotos desde un grupo predefinido. En la mayoría de los casos, la opción DHCP es más sencilla de administrar. Sin embargo, si DHCP no está disponible, debe especificar un intervalo de direcciones estáticas. Haga clic en Siguiente para continuar.

  6. Si ha hecho clic en Desde un intervalo de direcciones especificado, se abre el cuadro de diálogo Asignación de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera dirección IP en el intervalo de direcciones que desea usar en el cuadro Iniciar dirección IP . Escriba la última dirección IP del intervalo en el cuadro Dirección IP final . Windows calcula automáticamente el número de direcciones. Haga clic en Aceptar para volver a la ventana Asignación de intervalo de direcciones . Haga clic en Siguiente para continuar.

  7. Acepte la configuración predeterminada de No, use Enrutamiento y acceso remoto para autenticar las solicitudes de conexión y, a continuación, haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio enrutamiento y acceso remoto y configurar el servidor como servidor de acceso remoto.

Configuración del servidor VPN

Para seguir configurando el servidor VPN según sea necesario, siga estos pasos.

Configuración del servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenvíe el tráfico correctamente dentro de la red, debe configurarlo como enrutador con rutas estáticas o protocolos de enrutamiento, de modo que todas las ubicaciones de la intranet sean accesibles desde el servidor de acceso remoto.

Para configurar el servidor como enrutador:

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Enrutamiento y acceso remoto.
  2. Haga clic con el botón derecho en el nombre del servidor y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña General y, a continuación, haga clic para seleccionar Enrutador en Habilitar este equipo como.
  4. Haga clic en LAN y enrutamiento de marcado a petición y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.

Cómo modificar el número de conexiones simultáneas

El número de conexiones de módem de acceso telefónico local depende del número de módems instalados en el servidor. Por ejemplo, si solo tiene un módem instalado en el servidor, solo puede tener una conexión de módem a la vez.

El número de conexiones VPN de acceso telefónico local depende del número de usuarios simultáneos que quiera permitir. De forma predeterminada, al ejecutar el procedimiento descrito en este artículo, se permiten 128 conexiones. Para cambiar el número de conexiones simultáneas, siga estos pasos:

  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Enrutamiento y acceso remoto.
  2. Haga doble clic en el objeto de servidor, haga clic con el botón derecho en Puertos y, a continuación, haga clic en Propiedades.
  3. En el cuadro de diálogo Propiedades de puertos , haga clic en Minipuerto WAN (PPTP)>Configurar.
  4. En el cuadro Puertos máximos , escriba el número de conexiones VPN que desea permitir.
  5. Haga clic en Aceptar>y, a continuación, cierre Enrutamiento y Accesos remotos.

Administración de direcciones y servidores de nombres

El servidor VPN debe tener direcciones IP disponibles para asignarlas a la interfaz virtual del servidor VPN y a los clientes VPN durante la fase de negociación del protocolo de control de IP (IPCP) del proceso de conexión. La dirección IP asignada al cliente VPN se asigna a la interfaz virtual del cliente VPN.

En el caso de los servidores VPN basados en Windows Server 2003, las direcciones IP asignadas a los clientes VPN se obtienen a través de DHCP de forma predeterminada. También puede configurar un grupo de direcciones IP estáticas. El servidor VPN también debe configurarse con servidores de resolución de nombres, normalmente DNS y direcciones de servidor WINS, para asignarlo al cliente VPN durante la negociación de IPCP.

Cómo administrar el acceso

Configure las propiedades de acceso telefónico local en las cuentas de usuario y las directivas de acceso remoto para administrar el acceso para redes de acceso telefónico local y conexiones VPN.

Nota:

De forma predeterminada, a los usuarios se les deniega el acceso a las redes de acceso telefónico local.

Acceso por cuenta de usuario

Para conceder acceso telefónico local a una cuenta de usuario si está administrando el acceso remoto por parte del usuario, siga estos pasos:

  1. Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
  2. Haga clic con el botón derecho en la cuenta de usuario y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña Acceso telefónico local.
  4. Haga clic en Permitir acceso para conceder al usuario permiso para marcar. Haga clic en Aceptar.

Acceso por pertenencia a grupos

Si administra el acceso remoto de forma grupal, siga estos pasos:

  1. Cree un grupo con miembros a los que se les permita crear conexiones VPN.
  2. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Enrutamiento y acceso remoto.
  3. En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y, a continuación, haga clic en Directivas de acceso remoto.
  4. Haga clic con el botón derecho en cualquier lugar del panel derecho, seleccione Nuevo y, a continuación, haga clic en Directiva de acceso remoto.
  5. Haga clic en Siguiente, escriba el nombre de la directiva y, a continuación, haga clic en Siguiente.
  6. Haga clic en VPN para el método de acceso privado virtual o haga clic en Acceso telefónico local para acceso telefónico local y, a continuación, haga clic en Siguiente.
  7. Haga clic en Agregar, escriba el nombre del grupo que creó en el paso 1 y, a continuación, haga clic en Siguiente.
  8. Siga las instrucciones en pantalla para completar el asistente.

Si el servidor VPN ya permite servicios de acceso remoto de redes de acceso telefónico local, no elimine la directiva predeterminada. En su lugar, muévalo para que sea la última directiva que se va a evaluar.

Configuración de una conexión VPN desde un equipo cliente

Para configurar una conexión a una VPN, siga estos pasos. Para configurar un cliente para el acceso a la red privada virtual, siga estos pasos en la estación de trabajo cliente:

Nota:

Debe iniciar sesión como miembro del grupo Administradores para seguir estos pasos.

Puesto que hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en su equipo. Si son diferentes, consulte la documentación de su producto para completar estos pasos.

  1. En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.

  2. Haga clic en Inicio>Panel de control>Red Connections. Haga clic en Crear una nueva conexión en Tareas de red y, a continuación, haga clic en Siguiente.

  3. Haga clic en Conectar a la red en mi lugar de trabajo para crear la conexión de acceso telefónico local. Haga clic en Siguiente para continuar.

  4. Haga clic en Conexión de red privada virtual y, a continuación, haga clic en Siguiente.

  5. Escriba un nombre descriptivo para esta conexión en el cuadro de diálogo Nombre de la empresa y, a continuación, haga clic en Siguiente.

  6. Haga clic en No marcar la conexión inicial si el equipo está conectado permanentemente a Internet. Si el equipo se conecta a Internet a través de un proveedor de servicios de Internet (ISP), haga clic en Marcar automáticamente esta conexión inicial y, a continuación, haga clic en el nombre de la conexión al ISP. Haga clic en Siguiente.

  7. Escriba la dirección IP o el nombre de host del equipo servidor VPN (por ejemplo, VPNServer.SampleDomain.com).

  8. Haga clic en Cualquiera que use si desea permitir que cualquier usuario que inicie sesión en la estación de trabajo tenga acceso a esta conexión de acceso telefónico local. Haga clic en Mi uso solo si desea que esta conexión esté disponible solo para el usuario que ha iniciado sesión actualmente. Haga clic en Siguiente.

  9. Haga clic en Finalizar para guardar la conexión.

  10. Haga clic en Inicio>Panel de control>Red Connections.

  11. Haga doble clic en la nueva conexión.

  12. Haga clic en Propiedades para seguir configurando las opciones de la conexión. Para seguir configurando opciones para la conexión, siga estos pasos:

    • Si se va a conectar a un dominio, haga clic en la pestaña Opciones y, a continuación, haga clic para activar la casilla Incluir dominio de inicio de sesión de Windows para especificar si desea solicitar información de dominio de inicio de sesión de Windows Server 2003 antes de intentar conectarse.
    • Si desea volver a marcar la conexión si se quita la línea, haga clic en la pestaña Opciones y, a continuación, haga clic para activar la casilla Volver a marcar si se quita la línea .

Para usar la conexión, siga estos pasos:

  1. Haga clic en Inicio, seleccione Conectarse a y, a continuación, haga clic en la nueva conexión.

  2. Si actualmente no tiene una conexión a Internet, Windows ofrece conectarse a Internet.

  3. Cuando se establece la conexión a Internet, el servidor VPN le pide su nombre de usuario y contraseña. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Conectar. Los recursos de red deben estar disponibles de la misma manera que cuando se conectan directamente a la red.

    Nota:

    Para desconectarse de la VPN, haga clic con el botón derecho en el icono de conexión y, a continuación, haga clic en Desconectar.

Solución de problemas

Solución de problemas de VPN de acceso remoto

No se puede establecer una conexión VPN de acceso remoto

  • Causa: el nombre del equipo cliente es el mismo que el nombre de otro equipo de la red.

    Solución: compruebe que los nombres de todos los equipos de la red y los equipos que se conectan a la red usan nombres de equipo únicos.

  • Causa: el servicio enrutamiento y acceso remoto no se inicia en el servidor VPN.

    Solución: compruebe el estado del servicio de enrutamiento y acceso remoto en el servidor VPN.

    Para obtener más información sobre cómo supervisar el servicio de enrutamiento y acceso remoto y cómo iniciar y detener el servicio de enrutamiento y acceso remoto, vea Centro de soporte técnico y ayuda de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El acceso remoto no está activado en el servidor VPN.

    Solución: active el acceso remoto en el servidor VPN.

    Para obtener más información sobre cómo activar el servidor de acceso remoto, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Los puertos PPTP o L2TP no están activados para las solicitudes de acceso remoto entrantes.

    Solución: active los puertos PPTP o L2TP, o ambos, para las solicitudes de acceso remoto entrantes.

    Para obtener más información sobre cómo configurar puertos para el acceso remoto, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Los protocolos LAN usados por los clientes VPN no están activados para el acceso remoto en el servidor VPN.

    Solución: active los protocolos LAN usados por los clientes VPN para el acceso remoto en el servidor VPN.

    Para obtener más información sobre cómo ver las propiedades del servidor de acceso remoto, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Todos los puertos PPTP o L2TP del servidor VPN ya están siendo utilizados por los clientes de acceso remoto conectados actualmente o los enrutadores de marcado de demanda.

    Solución: compruebe que todos los puertos PPTP o L2TP del servidor VPN ya se están usando. Para ello, haga clic en Puertos en Enrutamiento y acceso remoto. Si el número de puertos PPTP o L2TP permitidos no es lo suficientemente alto, cambie el número de puertos PPTP o L2TP para permitir más conexiones simultáneas.

    Para obtener más información sobre cómo agregar puertos PPTP o L2TP, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El servidor VPN no admite el protocolo de tunelización del cliente VPN.

    De forma predeterminada, los clientes VPN de acceso remoto de Windows Server 2003 usan la opción Tipo de servidor automático, lo que significa que primero intentan establecer una conexión VPN basada en L2TP a través de IPSec y, a continuación, intentan establecer una conexión VPN basada en PPTP. Si los clientes VPN usan la opción de tipo de servidor Protocolo de tunelización de punto a punto (PPTP) o Protocolo de tunelización de capa 2 (L2TP), compruebe que el servidor VPN admite el protocolo de tunelización seleccionado.

    De forma predeterminada, un equipo que ejecuta Windows Server 2003 Server y el servicio de enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un servidor de solo PPTP, establezca el número de puertos L2TP en cero. Para crear un servidor solo L2TP, establezca el número de puertos PPTP en cero.

    Solución: compruebe que está configurado el número adecuado de puertos PPTP o L2TP.

    Para obtener más información sobre cómo agregar puertos PPTP o L2TP, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para usar al menos un método de autenticación común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para usar al menos un método de autenticación común.

    Para obtener más información sobre cómo configurar la autenticación, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para usar al menos un método de cifrado común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para usar al menos un método de cifrado común.

    Para obtener más información sobre cómo configurar el cifrado, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: La conexión VPN no tiene los permisos adecuados a través de las propiedades de acceso telefónico local de la cuenta de usuario y las directivas de acceso remoto.

    Solución: compruebe que la conexión VPN tiene los permisos adecuados a través de las propiedades de acceso telefónico local de la cuenta de usuario y las directivas de acceso remoto. Para que se establezca la conexión, la configuración del intento de conexión debe:

    • Coincide con todas las condiciones de al menos una directiva de acceso remoto.
    • Se le concederá permiso de acceso remoto a través de la cuenta de usuario (establecida en Permitir acceso) o a través de la cuenta de usuario (establecida en Control del acceso a través de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto coincidente (establecida en Conceder permiso de acceso remoto).
    • Coincide con toda la configuración del perfil.
    • Coincide con toda la configuración de las propiedades de acceso telefónico local de la cuenta de usuario.

    Para obtener más información sobre una introducción a las directivas de acceso remoto y cómo aceptar un intento de conexión, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: la configuración del perfil de directiva de acceso remoto está en conflicto con las propiedades del servidor VPN.

    Las propiedades del perfil de directiva de acceso remoto y las propiedades del servidor VPN contienen la configuración para:

    • Multivínculo.
    • Protocolo de asignación de ancho de banda (BAP).
    • Protocolos de autenticación.

    Si la configuración del perfil de la directiva de acceso remoto coincidente está en conflicto con la configuración del servidor VPN, se rechaza el intento de conexión. Por ejemplo, si el perfil de directiva de acceso remoto coincidente especifica que se debe usar el protocolo de autenticación Protocolo de autenticación extensible - Seguridad de nivel de transporte (EAP-TLS) y EAP no está habilitado en el servidor VPN, se rechaza el intento de conexión.

    Solución: compruebe que la configuración del perfil de directiva de acceso remoto no entra en conflicto con las propiedades del servidor VPN.

    Para obtener más información sobre los protocolos de autenticación, BAP y multilink, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El enrutador de respuesta no puede validar las credenciales del enrutador que realiza la llamada (nombre de usuario, contraseña y nombre de dominio).

    Solución: compruebe que las credenciales del cliente VPN (nombre de usuario, contraseña y nombre de dominio) son correctas y que el servidor VPN puede validarlas.

  • Causa: No hay suficientes direcciones en el grupo de direcciones IP estáticas.

    Solución: si el servidor VPN está configurado con un grupo de direcciones IP estáticas, compruebe que hay suficientes direcciones en el grupo. Si todas las direcciones del grupo estático se han asignado a clientes VPN conectados, el servidor VPN no puede asignar una dirección IP y se rechaza el intento de conexión. Si se han asignado todas las direcciones del grupo estático, modifique el grupo.

    Para obtener más información sobre TCP/IP y el acceso remoto, y cómo crear un grupo de direcciones IP estáticas, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El cliente VPN está configurado para solicitar su propio número de nodo IPX y el servidor VPN no está configurado para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Solución: configure el servidor VPN para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Para obtener más información sobre IPX y el acceso remoto, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: el servidor VPN está configurado con un intervalo de números de red IPX que se usan en otro lugar de la red IPX.

    Solución: configure el servidor VPN con un intervalo de números de red IPX que sea único para la red IPX.

    Para obtener más información sobre IPX y el acceso remoto, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El proveedor de autenticación del servidor VPN no está configurado correctamente.

    Solución: compruebe la configuración del proveedor de autenticación. Puede configurar el servidor VPN para que use Windows Server 2003 o el servicio de usuario de acceso telefónico local (RADIUS) de autenticación remota para autenticar las credenciales del cliente VPN.

    Para obtener más información sobre la autenticación y los proveedores de contabilidad, consulta el Centro de ayuda y soporte técnico de Windows Server 2003 y cómo usar la autenticación RADIUS. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El servidor VPN no puede acceder a Active Directory.

    Solución: para un servidor VPN que sea un servidor miembro en un dominio de Windows Server 2003 en modo mixto o en modo nativo configurado para la autenticación de Windows Server 2003, compruebe lo siguiente:

    • Existe el grupo de seguridad Servidores RAS e IAS . Si no es así, cree el grupo y establezca el tipo de grupo en Seguridad y el ámbito del grupo en Dominio local.

    • El grupo de seguridad Servidores RAS e IAS tiene permiso de lectura para el objeto de comprobación de acceso de servidores RAS e IAS .

    • La cuenta de equipo del equipo servidor VPN es miembro del grupo de seguridad servidores RAS e IAS . Puede usar el netsh ras show registeredserver comando para ver el registro actual. Puede usar el netsh ras add registeredserver comando para registrar el servidor en un dominio especificado.

      Si agrega (o quita) el equipo servidor VPN al grupo de seguridad servidores RAS e IAS, el cambio no surte efecto inmediatamente (debido a la forma en que Windows Server 2003 almacena en caché la información de Active Directory). Para aplicar inmediatamente este cambio, reinicie el equipo del servidor VPN.

    • El servidor VPN es miembro del dominio.

    Para obtener más información sobre cómo agregar un grupo, cómo comprobar los permisos para el grupo de seguridad RAS e IAS y sobre netsh los comandos para el acceso remoto, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: un servidor VPN basado en Windows NT 4.0 no puede validar las solicitudes de conexión.

    Solución: Si los clientes VPN llaman a un servidor VPN que ejecuta Windows NT 4.0 que es miembro de un dominio de modo mixto de Windows Server 2003, compruebe que el grupo Todos se agrega al grupo Acceso compatible anterior a Windows 2000 con el siguiente comando:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Si no es así, escriba el siguiente comando en un símbolo del sistema en un equipo de controlador de dominio y reinicie el equipo del controlador de dominio:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Para obtener más información sobre el servidor de acceso remoto de Windows NT 4.0 en un dominio de Windows Server 2003, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: El servidor VPN no puede comunicarse con el servidor RADIUS configurado.

    Solución: Si puede llegar al servidor RADIUS solo a través de la interfaz de Internet, realice una de las siguientes acciones:

    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1812 (basado en RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). o:
    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1645 (para servidores RADIUS anteriores), para la autenticación RADIUS y el puerto UDP 1813 (basado en RFC 2139, "Contabilidad radius"). o:
    • -o bien- Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1646 (para servidores RADIUS anteriores) para la contabilidad radius.

    Para obtener más información sobre cómo agregar un filtro de paquetes, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: no se puede conectar al servidor VPN a través de Internet mediante la utilidad Ping.exe.

    Solución: Debido al filtrado de paquetes PPTP y L2TP sobre IPSec configurado en la interfaz de Internet del servidor VPN, los paquetes del Protocolo de mensajes de control de Internet (ICMP) usados por el comando ping se filtran. Para activar el servidor VPN para responder a los paquetes ICMP (ping), agregue un filtro de entrada y un filtro de salida que permitan el tráfico para el protocolo IP 1 (tráfico ICMP).

    Para obtener más información sobre cómo agregar un filtro de paquetes, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

No se pueden enviar ni recibir datos

  • Causa: La interfaz de marcado de demanda adecuada no se ha agregado al protocolo que se está enrutando.

    Solución: agregue la interfaz de marcado de demanda adecuada al protocolo que se enruta.

    Para obtener más información sobre cómo agregar una interfaz de enrutamiento, consulta el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: No hay rutas en ambos lados de la conexión VPN de enrutador a enrutador que admita el intercambio bidireccional de tráfico.

    Solución: a diferencia de una conexión VPN de acceso remoto, una conexión VPN de enrutador a enrutador no crea automáticamente una ruta predeterminada. Cree rutas en ambos lados de la conexión VPN de enrutador a enrutador para que el tráfico se pueda enrutar hacia y desde el otro lado de la conexión VPN de enrutador a enrutador.

    Puede agregar manualmente rutas estáticas a la tabla de enrutamiento o puede agregar rutas estáticas a través de protocolos de enrutamiento. Para las conexiones VPN persistentes, puede activar Open Shortest Path First (OSPF) o Routing Information Protocol (RIP) en la conexión VPN. En el caso de las conexiones VPN a petición, puede actualizar automáticamente las rutas a través de una actualización de RIP autoestática. Para obtener más información sobre cómo agregar un protocolo de enrutamiento IP, cómo agregar una ruta estática y cómo realizar actualizaciones estáticas automáticas, consulta Ayuda en línea de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: iniciado bidireccionalmente, el enrutador de respuesta como una conexión de acceso remoto interpreta la conexión VPN de enrutador a enrutador.

    Solución: Si el nombre de usuario en las credenciales del enrutador que realiza la llamada aparece en Clientes de acceso telefónico local en Enrutamiento y acceso remoto, el enrutador de respuesta puede interpretar al enrutador que realiza la llamada como un cliente de acceso remoto. Compruebe que el nombre de usuario en las credenciales del enrutador que realiza la llamada coincide con el nombre de una interfaz de marcado a petición en el enrutador de respuesta. Si el llamador entrante es un enrutador, el puerto en el que se recibió la llamada muestra un estado activo y la interfaz de marcado de demanda correspondiente está en un estado conectado .

    Para obtener más información sobre cómo comprobar el estado del puerto en el enrutador de respuesta y cómo comprobar el estado de la interfaz de marcado a petición, vea Ayuda en línea de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Los filtros de paquetes en las interfaces de marcado a petición del router que realiza la llamada y el enrutador de respuesta impiden el flujo del tráfico.

    Solución: compruebe que no hay filtros de paquetes en las interfaces de marcado a petición del router que realiza la llamada y el enrutador de respuesta que impiden el envío o la recepción del tráfico. Puede configurar cada interfaz de marcado a petición con filtros de entrada y salida IP y IPX para controlar la naturaleza exacta del tráfico TCP/IP e IPX que se permite dentro y fuera de la interfaz de marcado a petición.

    Para obtener más información sobre cómo administrar filtros de paquetes, consulta Ayuda en línea de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.

  • Causa: Los filtros de paquetes en el perfil de directiva de acceso remoto impiden el flujo de tráfico IP.

    Solución: compruebe que no hay filtros de paquetes TCP/IP configurados en las propiedades de perfil de las directivas de acceso remoto en el servidor VPN (o el servidor RADIUS si se usa el servicio de autenticación de Internet) que impidan el envío o la recepción del tráfico TCP/IP. Puede usar directivas de acceso remoto para configurar filtros de paquetes de entrada y salida TCP/IP que controlan la naturaleza exacta del tráfico TCP/IP permitido en la conexión VPN. Compruebe que los filtros de paquetes TCP/IP del perfil no impiden el flujo de tráfico.

    Para obtener más información sobre cómo configurar las opciones de IP, vea Ayuda en línea de Windows Server 2003. Haga clic en Iniciar para acceder al Centro de ayuda y soporte técnico de Windows Server 2003.