Comment installer et configurer un serveur de réseau privé virtuel dans Windows Server 2003

  • Article

Cet article pas à pas explique comment installer un réseau privé virtuel (VPN) et comment créer une connexion VPN sur les serveurs qui exécutent Windows Server 2003.

Pour obtenir une version Microsoft Windows XP de cet article, consultez 314076.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 323441

Résumé

Avec un réseau privé virtuel, vous pouvez connecter des composants réseau via un autre réseau, tel qu’Internet. Vous pouvez faire de votre ordinateur Windows Server 2003 un serveur d’accès à distance afin que d’autres utilisateurs puissent s’y connecter à l’aide d’un VPN, puis se connecter au réseau et accéder aux ressources partagées. Les VPN le font en « tunneling » via Internet ou via un autre réseau public d’une manière qui offre la même sécurité et les mêmes fonctionnalités qu’un réseau privé. Les données sont envoyées sur le réseau public à l’aide de son infrastructure de routage, mais pour l’utilisateur, il semble que les données soient envoyées via une liaison privée dédiée.

Vue d’ensemble du VPN

Un réseau privé virtuel est un moyen de se connecter à un réseau privé (tel que le réseau de votre bureau) par le biais d’un réseau public (tel qu’Internet). Un VPN combine les vertus d’une connexion d’accès à distance à un serveur d’accès à distance avec la facilité et la flexibilité d’une connexion Internet. En utilisant une connexion Internet, vous pouvez voyager dans le monde entier et toujours, dans la plupart des endroits, vous connecter à votre bureau avec un appel local au numéro de téléphone d’accès à Internet le plus proche. Si vous disposez d’une connexion Internet haut débit (par exemple, câble ou DSL) sur votre ordinateur et au bureau, vous pouvez communiquer avec votre bureau à pleine vitesse Internet, ce qui est beaucoup plus rapide que n’importe quelle connexion d’accès à distance utilisant un modem analogique. Cette technologie permet à une entreprise de se connecter à ses succursales ou à d’autres entreprises via un réseau public tout en conservant des communications sécurisées. La connexion VPN sur Internet fonctionne logiquement comme une liaison de réseau étendu (WAN) dédiée.

Les réseaux privés virtuels utilisent des liens authentifiés pour s’assurer que seuls les utilisateurs autorisés peuvent se connecter à votre réseau. Pour s’assurer que les données sont sécurisées pendant qu’elles transitent sur le réseau public, une connexion VPN utilise le protocole PPTP (Point-to-Point Tunneling Protocol) ou le protocole L2TP (Layer Two Tunneling Protocol) pour chiffrer les données.

Composants d’un VPN

Un VPN dans les serveurs exécutant Windows Server 2003 est constitué d’un serveur VPN, d’un client VPN, d’une connexion VPN (partie de la connexion dans laquelle les données sont chiffrées) et du tunnel (partie de la connexion dans laquelle les données sont encapsulées). Le tunneling est effectué via l’un des protocoles de tunneling inclus avec les serveurs exécutant Windows Server 2003, tous deux installés avec routage et accès à distance. Le service Routage et accès à distance est installé automatiquement pendant l’installation de Windows Server 2003. Toutefois, par défaut, le service Routage et accès à distance est désactivé.

Les deux protocoles de tunneling inclus avec Windows sont les suivants :

  • Protocole PPTP (Point-to-Point Tunneling Protocol) : fournit le chiffrement des données à l’aide du chiffrement point à point Microsoft.
  • Protocole L2TP (Layer Two Tunneling Protocol) : fournit le chiffrement, l’authentification et l’intégrité des données à l’aide d’IPSec.

Votre connexion à Internet doit utiliser une ligne dédiée telle que T1, Fractional T1 ou Frame Relay. L’adaptateur WAN doit être configuré avec l’adresse IP et le masque de sous-réseau attribués pour votre domaine ou fournis par un fournisseur de services Internet (ISP). L’adaptateur WAN doit également être configuré en tant que passerelle par défaut du routeur du fournisseur de services Internet.

Remarque

Pour activer le VPN, vous devez être connecté à l’aide d’un compte disposant de droits d’administration.

Comment installer et activer un serveur VPN

Pour installer et activer un serveur VPN, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Routage et accès à distance.

  2. Cliquez sur l’icône de serveur qui correspond au nom du serveur local dans le volet gauche de la console. Si l’icône comporte un cercle rouge dans le coin inférieur gauche, le service Routage et accès à distance n’a pas été activé. Si l’icône comporte une flèche verte pointant vers le haut dans le coin inférieur gauche, le service Routage et accès à distance a été activé. Si le service Routage et accès à distance a été précédemment activé, vous souhaiterez peut-être reconfigurer le serveur. Pour reconfigurer le serveur :

    1. Cliquez avec le bouton droit sur l’objet serveur, puis cliquez sur Désactiver le routage et l’accès à distance. Cliquez sur Oui pour continuer lorsque vous êtes invité à envoyer un message d’information.
    2. Cliquez avec le bouton droit sur l’icône du serveur, puis cliquez sur Configurer et activer le routage et l’accès à distance pour démarrer l’Assistant Configuration du serveur de routage et d’accès à distance. Cliquez sur Suivant pour continuer.
    3. Cliquez sur Accès à distance (accès à distance ou VPN) pour activer les ordinateurs distants pour qu’ils composent ou se connectent à ce réseau via Internet. Cliquez sur Suivant pour continuer.

  3. Cliquez pour sélectionner VPN ou Accès à distance en fonction du rôle que vous envisagez d’attribuer à ce serveur.

  4. Dans la fenêtre Connexion VPN , cliquez sur l’interface réseau connectée à Internet, puis cliquez sur Suivant.

  5. Dans la fenêtre Attribution d’adresses IP , cliquez sur Automatiquement si un serveur DHCP est utilisé pour attribuer des adresses à des clients distants, ou cliquez sur À partir d’une plage d’adresses spécifiée si les clients distants doivent uniquement recevoir une adresse provenant d’un pool prédéfini. Dans la plupart des cas, l’option DHCP est plus simple à administrer. Toutefois, si DHCP n’est pas disponible, vous devez spécifier une plage d’adresses statiques. Cliquez sur Suivant pour continuer.

  6. Si vous avez cliqué sur À partir d’une plage d’adresses spécifiée, la boîte de dialogue Attribution de plage d’adresses s’ouvre. Cliquez sur Nouveau. Tapez la première adresse IP de la plage d’adresses que vous souhaitez utiliser dans la zone Adresse IP de démarrage . Tapez la dernière adresse IP de la plage dans la zone Adresse IP de fin . Windows calcule automatiquement le nombre d’adresses. Cliquez sur OK pour revenir à la fenêtre Attribution de plage d’adresses . Cliquez sur Suivant pour continuer.

  7. Acceptez le paramètre par défaut Non, utilisez Routage et accès à distance pour authentifier les demandes de connexion, puis cliquez sur Suivant pour continuer. Cliquez sur Terminer pour activer le service Routage et accès à distance et configurer le serveur en tant que serveur d’accès à distance.

Comment configurer le serveur VPN

Pour continuer à configurer le serveur VPN en fonction des besoins, procédez comme suit.

Comment configurer le serveur d’accès à distance en tant que routeur

Pour que le serveur d’accès à distance transfère correctement le trafic à l’intérieur de votre réseau, vous devez le configurer en tant que routeur avec des itinéraires statiques ou des protocoles de routage, afin que tous les emplacements de l’intranet soient accessibles à partir du serveur d’accès à distance.

Pour configurer le serveur en tant que routeur :

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Routage et accès à distance.
  2. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Propriétés.
  3. Cliquez sur l’onglet Général , puis sélectionnez Routeur sous Activer cet ordinateur en tant que.
  4. Cliquez sur LAN et routage de numérotation à la demande, puis cliquez sur OK pour fermer la boîte de dialogue Propriétés.

Comment modifier le nombre de connexions simultanées

Le nombre de connexions de modem d’accès à distance dépend du nombre de modems installés sur le serveur. Par exemple, si vous n’avez qu’un seul modem installé sur le serveur, vous ne pouvez avoir qu’une seule connexion de modem à la fois.

Le nombre de connexions VPN d’accès à distance dépend du nombre d’utilisateurs simultanés que vous souhaitez autoriser. Par défaut, lorsque vous exécutez la procédure décrite dans cet article, vous autorisez 128 connexions. Pour modifier le nombre de connexions simultanées, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Routage et accès à distance.
  2. Double-cliquez sur l’objet serveur, cliquez avec le bouton droit sur Ports, puis cliquez sur Propriétés.
  3. Dans la boîte de dialogue Propriétés des ports , cliquez sur WAN Miniport (PPTP)>Configurer.
  4. Dans la zone Nombre maximal de ports , tapez le nombre de connexions VPN que vous souhaitez autoriser.
  5. Cliquez sur OK>, puis fermez Routage et accès distant.

Comment gérer les adresses et les serveurs de noms

Le serveur VPN doit disposer d’adresses IP disponibles pour les affecter à l’interface virtuelle du serveur VPN et aux clients VPN pendant la phase de négociation IPCP (IP Control Protocol) du processus de connexion. L’adresse IP affectée au client VPN est affectée à l’interface virtuelle du client VPN.

Pour les serveurs VPN Windows Server 2003, les adresses IP attribuées aux clients VPN sont obtenues par défaut via DHCP. Vous pouvez également configurer un pool d’adresses IP statiques. Le serveur VPN doit également être configuré avec des serveurs de résolution de noms, généralement des adresses dns et WINS, à attribuer au client VPN pendant la négociation IPCP.

Comment gérer l’accès

Configurez les propriétés d’accès rendez-vous sur les comptes d’utilisateur et les stratégies d’accès à distance pour gérer l’accès pour la mise en réseau d’accès à distance et les connexions VPN.

Remarque

Par défaut, les utilisateurs se voient refuser l’accès à la mise en réseau d’accès à distance.

Accès par compte d’utilisateur

Pour accorder l’accès rendez-vous à un compte d’utilisateur si vous gérez l’accès à distance sur une base utilisateur, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
  2. Cliquez avec le bouton droit sur le compte d’utilisateur, puis cliquez sur Propriétés.
  3. Cliquez sur l’onglet Rendez-vous .
  4. Cliquez sur Autoriser l’accès pour accorder à l’utilisateur l’autorisation de se connecter. Cliquez sur OK.

Accès par appartenance au groupe

Si vous gérez l’accès à distance sur une base de groupe, procédez comme suit :

  1. Créez un groupe avec les membres autorisés à créer des connexions VPN.
  2. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Routage et accès à distance.
  3. Dans l’arborescence de la console, développez Routage et accès à distance, développez le nom du serveur, puis cliquez sur Stratégies d’accès à distance.
  4. Cliquez avec le bouton droit n’importe où dans le volet droit, pointez sur Nouveau, puis cliquez sur Stratégie d’accès à distance.
  5. Cliquez sur Suivant, tapez le nom de la stratégie, puis cliquez sur Suivant.
  6. Cliquez sur VPN pour la méthode d’accès privé virtuel, ou cliquez sur Accès à distance pour accéder à distance, puis cliquez sur Suivant.
  7. Cliquez sur Ajouter, tapez le nom du groupe que vous avez créé à l’étape 1, puis cliquez sur Suivant.
  8. Suivez les instructions à l’écran pour terminer l’Assistant.

Si le serveur VPN autorise déjà les services d’accès à distance réseau à distance, ne supprimez pas la stratégie par défaut. Au lieu de cela, déplacez-le afin qu’il soit la dernière stratégie à être évaluée.

Comment configurer une connexion VPN à partir d’un ordinateur client

Pour configurer une connexion à un VPN, procédez comme suit. Pour configurer un client pour l’accès au réseau privé virtuel, procédez comme suit sur la station de travail cliente :

Remarque

Vous devez être connecté en tant que membre du groupe Administrateurs pour suivre ces étapes.

Étant donné qu’il existe plusieurs versions de Microsoft Windows, la procédure peut être différente pour votre ordinateur. Si tel est le cas, reportez-vous à la documentation de votre produit pour exécuter cette procédure.

  1. Sur l’ordinateur client, vérifiez que la connexion à Internet est correctement configurée.

  2. Cliquez sur Démarrer>Panneau de configuration>Mise en réseau Connections. Cliquez sur Créer une connexion sous Tâches réseau, puis cliquez sur Suivant.

  3. Cliquez sur Se connecter au réseau sur mon espace de travail pour créer la connexion d’accès à distance. Cliquez sur Suivant pour continuer.

  4. Cliquez sur Connexion de réseau privé virtuel, puis sur Suivant.

  5. Tapez un nom descriptif pour cette connexion dans la boîte de dialogue Nom de la société , puis cliquez sur Suivant.

  6. Cliquez sur Ne pas composer la connexion initiale si l’ordinateur est connecté de manière permanente à Internet. Si l’ordinateur se connecte à Internet via un fournisseur de services Internet (ISP), cliquez sur Composer automatiquement cette connexion initiale, puis sur le nom de la connexion au fournisseur de services Internet. Cliquez sur Suivant.

  7. Tapez l’adresse IP ou le nom d’hôte de l’ordinateur serveur VPN (par exemple, VPNServer.SampleDomain.com).

  8. Cliquez sur Utiliser tout le monde si vous souhaitez permettre à tout utilisateur qui se connecte à la station de travail d’avoir accès à cette connexion d’accès à distance. Cliquez sur Mon utilisation uniquement si vous souhaitez que cette connexion soit disponible uniquement pour l’utilisateur actuellement connecté. Cliquez sur Suivant.

  9. Cliquez sur Terminer pour enregistrer la connexion.

  10. Cliquez sur Démarrer>Panneau de configuration>Mise en réseau Connections.

  11. Double-cliquez sur la nouvelle connexion.

  12. Cliquez sur Propriétés pour continuer à configurer les options de la connexion. Pour continuer à configurer les options de la connexion, procédez comme suit :

    • Si vous vous connectez à un domaine, cliquez sur l’onglet Options, puis sélectionnez la zone Inclure le domaine d’ouverture de session Windows case activée pour spécifier s’il faut demander les informations de domaine d’ouverture de session Windows Server 2003 avant de tenter de vous connecter.
    • Si vous souhaitez que la connexion soit redialisée si la ligne est supprimée, cliquez sur l’onglet Options, puis sélectionnez la case à cocher Réinitialiser si la ligne est supprimée case activée zone.

Pour utiliser la connexion, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Se connecter à, puis cliquez sur la nouvelle connexion.

  2. Si vous n’avez pas de connexion à Internet, Windows propose de vous connecter à Internet.

  3. Lorsque la connexion à Internet est établie, le serveur VPN vous invite à entrer votre nom d’utilisateur et votre mot de passe. Tapez votre nom d’utilisateur et votre mot de passe, puis cliquez sur Se connecter. Vos ressources réseau doivent être disponibles de la même façon que lorsque vous vous connectez directement au réseau.

    Remarque

    Pour vous déconnecter du VPN, cliquez avec le bouton droit sur l’icône de connexion, puis cliquez sur Déconnecter.

Résolution des problèmes

Résolution des problèmes de VPN d’accès à distance

Impossible d’établir une connexion VPN d’accès à distance

  • Cause : le nom de l’ordinateur client est identique au nom d’un autre ordinateur sur le réseau.

    Solution : vérifiez que les noms de tous les ordinateurs du réseau et des ordinateurs qui se connectent au réseau utilisent des noms d’ordinateurs uniques.

  • Cause : Le service routage et accès à distance n’est pas démarré sur le serveur VPN.

    Solution : Vérifiez l’état du service Routage et accès à distance sur le serveur VPN.

    Pour plus d’informations sur la surveillance du service Routage et accès à distance, ainsi que sur le démarrage et l’arrêt du service Routage et accès à distance, voir Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : L’accès à distance n’est pas activé sur le serveur VPN.

    Solution : Activez l’accès à distance sur le serveur VPN.

    Pour plus d’informations sur l’activation du serveur d’accès à distance, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : les ports PPTP ou L2TP ne sont pas activés pour les demandes d’accès à distance entrantes.

    Solution : Activez les ports PPTP ou L2TP, ou les deux, pour les demandes d’accès à distance entrantes.

    Pour plus d’informations sur la configuration des ports pour l’accès à distance, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : les protocoles LAN utilisés par les clients VPN ne sont pas activés pour l’accès à distance sur le serveur VPN.

    Solution : Activez les protocoles LAN utilisés par les clients VPN pour l’accès à distance sur le serveur VPN.

    Pour plus d’informations sur l’affichage des propriétés du serveur d’accès à distance, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : tous les ports PPTP ou L2TP sur le serveur VPN sont déjà utilisés par les clients d’accès à distance ou les routeurs de numérotation à la demande actuellement connectés.

    Solution : vérifiez que tous les ports PPTP ou L2TP sur le serveur VPN sont déjà utilisés. Pour ce faire, cliquez sur Ports dans Routage et accès à distance. Si le nombre de ports PPTP ou L2TP autorisés n’est pas suffisamment élevé, modifiez le nombre de ports PPTP ou L2TP pour autoriser davantage de connexions simultanées.

    Pour plus d’informations sur l’ajout de ports PPTP ou L2TP, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : le serveur VPN ne prend pas en charge le protocole de tunneling du client VPN.

    Par défaut, les clients VPN d’accès à distance Windows Server 2003 utilisent l’option Type de serveur automatique, ce qui signifie qu’ils essaient d’établir d’abord une connexion VPN L2TP sur IPSec, puis qu’ils essaient d’établir une connexion VPN basée sur PPTP. Si les clients VPN utilisent l’option de type de serveur PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer-2 Tunneling Protocol), vérifiez que le protocole de tunneling sélectionné est pris en charge par le serveur VPN.

    Par défaut, un ordinateur exécutant Windows Server 2003 Server et le service Routage et accès à distance est un serveur PPTP et L2TP avec cinq ports L2TP et cinq ports PPTP. Pour créer un serveur PPTP uniquement, définissez le nombre de ports L2TP sur zéro. Pour créer un serveur L2TP uniquement, définissez le nombre de ports PPTP sur zéro.

    Solution : vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré.

    Pour plus d’informations sur l’ajout de ports PPTP ou L2TP, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : le client VPN et le serveur VPN conjointement avec une stratégie d’accès à distance ne sont pas configurés pour utiliser au moins une méthode d’authentification courante.

    Solution : Configurez le client VPN et le serveur VPN conjointement avec une stratégie d’accès à distance pour utiliser au moins une méthode d’authentification courante.

    Pour plus d’informations sur la configuration de l’authentification, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Le client VPN et le serveur VPN conjointement avec une stratégie d’accès à distance ne sont pas configurés pour utiliser au moins une méthode de chiffrement courante.

    Solution : configurez le client VPN et le serveur VPN conjointement avec une stratégie d’accès à distance pour utiliser au moins une méthode de chiffrement courante.

    Pour plus d’informations sur la configuration du chiffrement, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : la connexion VPN ne dispose pas des autorisations appropriées via les propriétés d’accès entrant du compte d’utilisateur et des stratégies d’accès à distance.

    Solution : vérifiez que la connexion VPN dispose des autorisations appropriées via les propriétés d’accès entrant du compte d’utilisateur et des stratégies d’accès à distance. Pour que la connexion soit établie, les paramètres de la tentative de connexion doivent :

    • Faire correspondre toutes les conditions d’au moins une stratégie d’accès à distance.
    • Bénéficiez de l’autorisation d’accès à distance via le compte d’utilisateur (défini sur Autoriser l’accès) ou via le compte d’utilisateur (défini sur Contrôler l’accès via la stratégie d’accès à distance) et l’autorisation d’accès à distance de la stratégie d’accès à distance correspondante (définie sur Accorder l’autorisation d’accès à distance).
    • Faire correspondre tous les paramètres du profil.
    • Faire correspondre tous les paramètres des propriétés de numérotation du compte d’utilisateur.

    Pour plus d’informations sur une présentation des stratégies d’accès à distance et sur l’acceptation d’une tentative de connexion, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Les paramètres du profil de stratégie d’accès à distance sont en conflit avec les propriétés du serveur VPN.

    Les propriétés du profil de stratégie d’accès à distance et les propriétés du serveur VPN contiennent les paramètres suivants :

    • Liaisons multiples.
    • Protocole D’allocation de bande passante (BAP).
    • Protocoles d’authentification.

    Si les paramètres du profil de la stratégie d’accès à distance correspondante sont en conflit avec les paramètres du serveur VPN, la tentative de connexion est rejetée. Par exemple, si le profil de stratégie d’accès à distance correspondant spécifie que le protocole d’authentification EAP-TLS (Extensible Authentication Protocol - Transport Level Security) doit être utilisé et qu’EAP n’est pas activé sur le serveur VPN, la tentative de connexion est rejetée.

    Solution : vérifiez que les paramètres du profil de stratégie d’accès à distance ne sont pas en conflit avec les propriétés du serveur VPN.

    Pour plus d’informations sur les protocoles multilink, BAP et d’authentification, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Le routeur répondeurs ne peut pas valider les informations d’identification du routeur appelant (nom d’utilisateur, mot de passe et nom de domaine).

    Solution : vérifiez que les informations d’identification du client VPN (nom d’utilisateur, mot de passe et nom de domaine) sont correctes et peuvent être validées par le serveur VPN.

  • Cause : Il n’y a pas assez d’adresses dans le pool d’adresses IP statiques.

    Solution : si le serveur VPN est configuré avec un pool d’adresses IP statiques, vérifiez qu’il y a suffisamment d’adresses dans le pool. Si toutes les adresses du pool statique ont été allouées à des clients VPN connectés, le serveur VPN ne peut pas allouer d’adresse IP et la tentative de connexion est rejetée. Si toutes les adresses du pool statique ont été allouées, modifiez le pool.

    Pour plus d’informations sur TCP/IP et l’accès à distance, et pour savoir comment créer un pool d’adresses IP statiques, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Le client VPN est configuré pour demander son propre numéro de nœud IPX et le serveur VPN n’est pas configuré pour permettre aux clients IPX de demander leur propre numéro de nœud IPX.

    Solution : configurez le serveur VPN pour permettre aux clients IPX de demander leur propre numéro de nœud IPX.

    Pour plus d’informations sur IPX et l’accès à distance, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : le serveur VPN est configuré avec une plage de numéros de réseau IPX utilisés ailleurs sur votre réseau IPX.

    Solution : Configurez le serveur VPN avec une plage de numéros de réseau IPX propres à votre réseau IPX.

    Pour plus d’informations sur IPX et l’accès à distance, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : le fournisseur d’authentification du serveur VPN n’est pas correctement configuré.

    Solution : vérifiez la configuration du fournisseur d’authentification. Vous pouvez configurer le serveur VPN pour utiliser Windows Server 2003 ou le service RADIUS (Remote Authentication Dial-In User Service) pour authentifier les informations d’identification du client VPN.

    Pour plus d’informations sur les fournisseurs d’authentification et de comptabilité, consultez le Centre d’aide et de support Windows Server 2003 et comment utiliser l’authentification RADIUS. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Le serveur VPN ne peut pas accéder à Active Directory.

    Solution : Pour un serveur VPN qui est un serveur membre dans un domaine Windows Server 2003 en mode mixte ou natif configuré pour l’authentification Windows Server 2003, vérifiez que :

    • Le groupe de sécurité Serveurs RAS et IAS existe. Si ce n’est pas le cas, créez le groupe et définissez le type de groupe sur Sécurité et l’étendue du groupe sur Domaine local.

    • Le groupe de sécurité Serveurs RAS et IAS dispose de l’autorisation Lecture sur l’objet De vérification d’accès aux serveurs RAS et IAS .

    • Le compte d’ordinateur de l’ordinateur serveur VPN est membre du groupe de sécurité Serveurs RAS et IAS . Vous pouvez utiliser la netsh ras show registeredserver commande pour afficher l’inscription actuelle. Vous pouvez utiliser la netsh ras add registeredserver commande pour inscrire le serveur dans un domaine spécifié.

      Si vous ajoutez (ou supprimez) l’ordinateur serveur VPN au groupe de sécurité Serveurs RAS et IAS, la modification ne prend pas effet immédiatement (en raison de la façon dont Windows Server 2003 met en cache les informations Active Directory). Pour appliquer immédiatement cette modification, redémarrez l’ordinateur serveur VPN.

    • Le serveur VPN est membre du domaine.

    Pour plus d’informations sur l’ajout d’un groupe, la vérification des autorisations pour le groupe de sécurité RAS et IAS et sur netsh les commandes pour l’accès à distance, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Un serveur VPN Windows NT 4.0 ne peut pas valider les demandes de connexion.

    Solution : Si les clients VPN se composent vers un serveur VPN exécutant Windows NT 4.0 membre d’un domaine Windows Server 2003 en mode mixte, vérifiez que le groupe Tout le monde est ajouté au groupe Accès compatible Pré-Windows 2000 avec la commande suivante :

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Si ce n’est pas le cas, tapez la commande suivante à une invite de commandes sur un ordinateur contrôleur de domaine, puis redémarrez l’ordinateur du contrôleur de domaine :

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Pour plus d’informations sur le serveur d’accès à distance Windows NT 4.0 dans un domaine Windows Server 2003, consultez le Centre d’aide et de support Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Le serveur VPN ne peut pas communiquer avec le serveur RADIUS configuré.

    Solution : Si vous pouvez atteindre votre serveur RADIUS uniquement via votre interface Internet, effectuez l’une des opérations suivantes :

    • Ajoutez un filtre d’entrée et un filtre de sortie à l’interface Internet pour le port UDP 1812 (basé sur RFC 2138, « SERVICE RADIUS (Remote Authentication Dial-In User Service) »). - ou -
    • Ajoutez un filtre d’entrée et un filtre de sortie à l’interface Internet pour le port UDP 1645 (pour les serveurs RADIUS plus anciens), pour l’authentification RADIUS et le port UDP 1813 (basé sur RFC 2139, « Radius Accounting »). - ou -
    • -ou- Ajoutez un filtre d’entrée et un filtre de sortie à l’interface Internet pour le port UDP 1646 (pour les serveurs RADIUS plus anciens) pour la comptabilité RADIUS.

    Pour plus d’informations sur l’ajout d’un filtre de paquets, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Impossible de se connecter au serveur VPN via Internet à l’aide de l’utilitaire Ping.exe.

    Solution : En raison du filtrage de paquets PPTP et L2TP sur IPSec configuré sur l’interface Internet du serveur VPN, les paquets ICMP (Internet Control Message Protocol) utilisés par la commande ping sont filtrés. Pour activer le serveur VPN afin qu’il réponde aux paquets ICMP (ping), ajoutez un filtre d’entrée et un filtre de sortie qui autorisent le trafic pour le protocole IP 1 (trafic ICMP).

    Pour plus d’informations sur l’ajout d’un filtre de paquets, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

Impossible d’envoyer et de recevoir des données

  • Cause : L’interface de numérotation à la demande appropriée n’a pas été ajoutée au protocole routé.

    Solution : ajoutez l’interface de numérotation à la demande appropriée au protocole routé.

    Pour plus d’informations sur l’ajout d’une interface de routage, consultez le Centre d’aide et de support windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Il n’existe aucun itinéraire des deux côtés de la connexion VPN de routeur à routeur qui prend en charge l’échange bidirectionnel du trafic.

    Solution : Contrairement à une connexion VPN d’accès à distance, une connexion VPN de routeur à routeur ne crée pas automatiquement d’itinéraire par défaut. Créez des itinéraires des deux côtés de la connexion VPN de routeur à routeur afin que le trafic puisse être routé vers et depuis l’autre côté de la connexion VPN de routeur à routeur.

    Vous pouvez ajouter manuellement des itinéraires statiques à la table de routage, ou vous pouvez ajouter des itinéraires statiques via des protocoles de routage. Pour les connexions VPN persistantes, vous pouvez activer OSPF (Open Shortest Path First) ou RIP (Routing Information Protocol) sur la connexion VPN. Pour les connexions VPN à la demande, vous pouvez mettre à jour automatiquement les itinéraires via une mise à jour RIP statique automatique. Pour plus d’informations sur l’ajout d’un protocole de routage IP, l’ajout d’un itinéraire statique et l’exécution de mises à jour statiques automatiques, consultez l’aide en ligne de Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Initié dans les deux sens, le routeur répondeur en tant que connexion d’accès à distance interprète la connexion VPN de routeur à routeur.

    Solution : si le nom d’utilisateur dans les informations d’identification du routeur appelant apparaît sous Clients rendez-vous dans Routage et accès à distance, le routeur répondeur peut interpréter le routeur appelant comme un client d’accès à distance. Vérifiez que le nom d’utilisateur dans les informations d’identification du routeur appelant correspond au nom d’une interface de numérotation à la demande sur le routeur répondeur. Si l’appelant entrant est un routeur, le port sur lequel l’appel a été reçu affiche une status active et l’interface de numérotation à la demande correspondante est dans un état Connecté.

    Pour plus d’informations sur la façon de case activée l’status du port sur le routeur répondeur et sur la façon de case activée l’status de l’interface de numérotation à la demande, consultez l’aide en ligne de Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Les filtres de paquets sur les interfaces de numérotation à la demande du routeur appelant et du routeur répondeur empêchent le flux du trafic.

    Solution : Vérifiez qu’il n’existe aucun filtre de paquets sur les interfaces de numérotation à la demande du routeur appelant et du routeur de réponse qui empêchent l’envoi ou la réception du trafic. Vous pouvez configurer chaque interface de numérotation à la demande avec des filtres d’entrée et de sortie IP et IPX pour contrôler la nature exacte du trafic TCP/IP et IPX autorisé à l’entrée et à l’extérieur de l’interface de numérotation à la demande.

    Pour plus d’informations sur la gestion des filtres de paquets, consultez l’aide en ligne de Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.

  • Cause : Les filtres de paquets sur le profil de stratégie d’accès à distance empêchent le flux du trafic IP.

    Solution : Vérifiez qu’il n’existe aucun filtre de paquets TCP/IP configuré sur les propriétés de profil des stratégies d’accès à distance sur le serveur VPN (ou le serveur RADIUS si le service d’authentification Internet est utilisé) qui empêche l’envoi ou la réception du trafic TCP/IP. Vous pouvez utiliser des stratégies d’accès à distance pour configurer des filtres de paquets d’entrée et de sortie TCP/IP qui contrôlent la nature exacte du trafic TCP/IP autorisé sur la connexion VPN. Vérifiez que les filtres de paquets TCP/IP de profil n’empêchent pas le flux du trafic.

    Pour plus d’informations sur la configuration des options IP, consultez l’aide en ligne de Windows Server 2003. Cliquez sur Démarrer pour accéder au Centre d’aide et de support Windows Server 2003.