Come installare e configurare un Server di rete privata virtuale in Windows 2000

In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina il 13 luglio 2010. Il Centro fine del supporto di Windows 2000 è un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.
In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina il 13 luglio 2010. Il Centro fine del supporto di Windows 2000 è un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.

Riepilogo

Una rete privata virtuale (VPN), consente di connettere componenti a una rete, tramite un'altra rete, ad esempio Internet. È possibile rendere il computer basato su Windows 2000 Server un server di accesso remoto in modo che altri utenti possano connettersi ad esso mediante VPN e quindi accedere a file condivisi nelle unità locali o in rete. Reti private virtuali a questo scopo il "tunneling" attraverso Internet o un'altra rete pubblica in modo che fornisce la stessa protezione e funzionalità di una rete privata. Con una rete VPN, connessioni di rete pubblica di trasferire dati utilizzando l'infrastruttura di routing di Internet, ma all'utente viene visualizzata come se i dati sono stati inviati su un collegamento privato dedicato.


In questo articolo viene descritto come installare reti private virtuali (VPN) e come creare una nuova connessione VPN in Windows 2000.

Panoramica delle VPN

Una rete privata virtuale (VPN) è un mezzo per connettersi a una rete privata (ad esempio una rete aziendale) attraverso una rete pubblica, ad esempio Internet. Combinando quindi di una connessione remota a un server remoto con la semplicità e flessibilità di una connessione Internet. Utilizzando una connessione a Internet, è possibile viaggiare e, nella maggior parte dei casi, effettuare la connessione al proprio ufficio con una chiamata locale per il numero telefonico dell'accesso Internet più vicino. Se si dispone di una connessione Internet ad alta velocità (via cavo o DSL) al proprio computer (e in ufficio), è possibile comunicare con l'ufficio alla massima velocità di Internet, che è molto più veloce rispetto a qualsiasi connessione remota utilizzando un modem analogico.


Le reti VPN utilizzano collegamenti autenticati per garantire che solo gli utenti autorizzati possono connettersi alla rete e impiegano sistemi crittografici per assicurare che i dati che viaggiano su Internet non possono essere intercettati e utilizzati da altri utenti. In Windows viene ottenuto per la protezione utilizzando il protocollo Point to Point Tunneling Protocol (PPTP) o Layer Two Tunneling Protocol (L2TP).


La tecnologia VPN consente inoltre alle aziende di connettersi alle proprie filiali o ad altre imprese in una rete pubblica (ad esempio Internet) mantenendo al contempo comunicazioni protette. La connessione VPN attraverso Internet funziona a livello logico come un collegamento di dedicato wide area network (WAN).

Componenti di una rete VPN

Una connessione VPN in Windows 2000 è costituito da un server VPN, un client VPN, una connessione VPN (la parte della connessione in cui i dati vengono crittografati) e il tunnel (la parte della connessione in cui i dati vengono incapsulati). Il tunneling viene effettuato mediante uno dei protocolli di tunneling inclusi in Windows 2000, che vengono installati con Routing e accesso remoto. I due protocolli di tunneling inclusi in Windows 2000 sono:

  • -To-Point Tunneling Protocol (PPTP): fornisce la crittografia dei dati utilizzando Microsoft Point to Point Encryption.
  • Layer Two Tunneling Protocol (L2TP): fornisce la crittografia dei dati, autenticazione e integrità utilizzando IPSec.
La connessione a Internet è necessario utilizzare una linea dedicata, quale T1, Fractional T1 o Frame Relay. La scheda WAN deve essere configurata con l'indirizzo IP e subnet mask assegnati al dominio o forniti da un provider di servizi Internet (ISP), anche il gateway predefinito del router ISP.

Nota: per attivare una connessione VPN, è necessario essere connessi utilizzando un account che disponga di diritti amministrativi.

Come installare e attivare una connessione VPN

Per installare e attivare un server VPN, attenersi alla seguente procedura:

  1. Nel computer VPN Microsoft Windows 2000, verificare che la connessione a Internet e la connessione alla rete locale (LAN) siano configurati correttamente.
  2. Fare clic su Start, scegliere Strumentidi amministrazione e quindi fare clic su Routing e accesso remoto.
  3. Fare clic sul nome del server nella struttura, fare clic su Configura e abilita Routing e accesso remoto dal menu azione e quindi fare clic su Avanti.
  4. Nella finestra di dialogo Configurazioni comuni , fare clic su rete privata virtuale (server VPN)e quindi fare clic su Avanti.
  5. Nella finestra di dialogo Protocolli Client remoto , verificare che TCP/IP è incluso nell'elenco, fare clic su Sì, tutti i protocolli disponibili sono inclusi in questo elencoe quindi fare clic su Avanti.
  6. Nella finestra di dialogo Connessione a Internet , selezionare la connessione Internet di connettersi a Internet e quindi fare clic su Avanti.
  7. Nella finestra di dialogo Assegnazione indirizzo IP , selezionare automaticamente per utilizzare il server DHCP nella subnet per assegnare gli indirizzi IP ai client di accesso remoto e al server.
  8. Nella finestra di dialogo Gestione di più server di accesso remoto , verificare che sia selezionata la casella di controllo No, non si desidera impostare il server per l'utilizzo di RADIUS ora .
  9. Fare clic su Avanti e quindi fare clic su Fine.
  10. Fare clic con il pulsante destro del nodo di porte e quindi scegliere proprietà.
  11. Nella finestra di dialogo Proprietà-porte , fare clic sulla periferica WAN Miniport (PPTP) e quindi fare clic su Configura.
  12. Nella finestra di dialogo Configura periferica - WAN Miniport (PPTP) , effettuare una delle seguenti operazioni:
    • Se si desidera supportare diretta dell'utente remoto VPN a modem installati nel server, fare clic per deselezionare la casella di controllo Connessioni di Routing a richiesta (in ingresso e in uscita) .
    • Se si desidera supportare diretta dell'utente remoto VPN a modem installati nel server, fare clic per selezionare la casella di controllo Connessioni di Routing a richiesta (in ingresso e in uscita) .
  13. Digitare il numero massimo di connessioni PPTP simultanee che si desidera consentire nella casella di testo Numero massimo di porte . (Può dipendere dal numero di indirizzi IP disponibili.
  14. Ripetere i passaggi da 11 a 13 per il dispositivo di L2TP e quindi fare clic su OK.

Come configurare il Server VPN

Per configurare il server VPN come richiesto, seguire questi passaggi.

Configurazione del Server di accesso remoto come Router

Per il server di accesso remoto per inoltrare il traffico correttamente all'interno della rete, è necessario configurarlo come router con route statiche o protocolli di routing, in modo che tutti i percorsi nella rete intranet siano raggiungibili dal server di accesso remoto.



Per configurare il server come router:

  1. Fare clic su Start, scegliere Strumentidi amministrazione e quindi fare clic su Routing e accesso remoto.
  2. Pulsante destro del mouse sul nome del server e quindi scegliere proprietà.
  3. Nella scheda Generale , fare clic per selezionare Abilita questo Computer come Router.
  4. Selezionare solo il routing di rete locale (LAN) o routing LAN e connessione a richiestae quindi fare clic su OK per chiudere la finestra di dialogo proprietà .

Come configurare le porte PPTP

Confermare il numero di porte PPTP necessarie. Per verificare il numero di porte o per aggiungere porte, attenersi alla seguente procedura:

  1. Fare clic su Start, scegliere Strumentidi amministrazione e quindi fare clic su Routing e accesso remoto.
  2. Nella struttura della console, espandere Routing e accesso remoto, espandere il nome del server e quindi fare clic su porte.
  3. Destro delle portee quindi scegliere proprietà.
  4. Nella finestra di dialogo Proprietà-porte , fare clic su WAN Miniport (PPTP)e quindi fare clic su Configura.
  5. Nella finestra di dialogo Configura periferica , selezionare il numero massimo di porte del dispositivo e quindi selezionare le opzioni per specificare se la periferica accetta solo connessioni in ingresso o le connessioni in ingresso e in uscita.

Come gestire gli indirizzi di server dei nomi e

Il server VPN deve disporre di indirizzi IP disponibili per assegnarli all'interfaccia virtuale del server VPN e ai client VPN durante la fase di negoziazione del protocollo IPCP (IP Control) del processo di connessione. L'indirizzo IP assegnato al client VPN viene assegnato all'interfaccia virtuale del client VPN.

Per i server VPN basati su Windows 2000, gli indirizzi IP assegnati ai client VPN vengono ottenuti tramite DHCP per impostazione predefinita. È inoltre possibile configurare un pool di indirizzi IP statici. Il server VPN deve essere configurato anche con i server di risoluzione dei nomi, in genere indirizzi server DNS e WINS, per assegnare ai client VPN durante la negoziazione IPCP.


Come gestire l'accesso

Configurare le proprietà di accesso remoto sugli account utente e criteri di accesso remoto per gestire l'accesso per connessioni VPN e connessioni remote.

Nota: per impostazione predefinita, agli utenti vengono negati l'accesso a remote.


Accesso da Account utente

Se si gestisce l'accesso remoto per utente, fare clic su Consenti accesso nella scheda Connessione remota della finestra di dialogo proprietà dell'utente per gli account utente che sono autorizzati a creare connessioni VPN. Se il server VPN consente solo connessioni VPN, eliminare il criterio di accesso remoto predefinito denominato "Consenti accesso se l'autorizzazione di accesso remoto è attivato." Creare un nuovo criterio di accesso remoto con un nome descrittivo, come VPN se consentito dall'utente Account di accesso. Per ulteriori informazioni, vedere la Guida in linea di Windows 2000.

Attenzione: dopo aver eliminato il criterio predefinito, un client di accesso remoto che non corrispondono ad almeno una delle configurazioni dei criteri si crea l'accesso verrà negato.


Se il server VPN consente anche servizi di accesso remoto, non eliminare il criterio predefinito, ma spostarlo in modo che sia l'ultimo criterio da valutare.


Accesso in base all'appartenenza ai gruppi

Se si gestisce l'accesso remoto in base ai gruppi, fare clic sul pulsante di opzione Controlla accesso tramite criteri di accesso remoto per tutti gli account utente utilizzando gli strumenti di amministrazione di Active Directory Console utenti e computer o snap-in MMC di creare un gruppo di Windows 2000 con membri autorizzati a creare connessioni VPN. Se il server VPN consente solo connessioni VPN, eliminare il criterio di accesso remoto predefinito denominato Consenti accesso se Dial-In autorizzazione è abilitata. Successivamente, creare un nuovo criterio di accesso remoto con un nome descrittivo come gruppo VPN e quindi assegnare al gruppo di Windows 2000 per il criterio.


Se il server VPN consente anche servizi di accesso remoto dial-up, non eliminare il criterio predefinito; ma spostarlo in modo che sia l'ultimo criterio da valutare.


Come configurare una connessione VPN da un Computer Client

Per impostare una connessione a una rete VPN:

  1. Sul computer client, verificare che la connessione a Internet sia configurata correttamente.
  2. Fare clic su Start, scegliere Impostazionie quindi fare clic su Connessioni di rete e connessioni remote.
  3. Fare doppio clic su Crea nuova connessione.
  4. Fare clic su Avanti, quindi fare clic su Connettersi a una rete privata attraverso Internete quindi fare clic su Avanti.
  5. Effettuare una delle seguenti operazioni:
    • Se si utilizza una connessione remota per connettersi a Internet, fare clic su Automaticamente comporre questa connessione iniziale , quindi selezionare la connessione remota a Internet dall'elenco.
    • Se si utilizza una connessione dedicata (ad esempio un modem via cavo), fare clic su Tale non remoto la connessione iniziale.
  6. Fare clic su Avanti.
  7. Digitare il nome host (ad esempio, Microsoft.com) o l'indirizzo IP (ad esempio, 123.123.123.123) del computer a cui si desidera connettersi e quindi fare clic su Avanti.
  8. Selezionare Per tutti gli utenti se si desidera che la connessione sia disponibile per chiunque acceda al computer oppure fare clic per selezionare Solo per uso personale per renderlo disponibile solo quando si accedere al computer e quindi fare clic su Avanti.
  9. Digitare un nome descrittivo per la connessione e quindi fare clic su Fine.

    Nota: questa opzione è disponibile solo se si è connessi come membro del gruppo Administrators.
  10. Fare clic su Start, scegliere Impostazionie quindi fare clic su Connessioni di rete e connessioni remote.
  11. Fare doppio clic su nuova connessione.
  12. Fare clic su proprietà per configurare ulteriori opzioni per la connessione:
    • Se ci si connette a un dominio, fare clic sulla scheda Opzioni e quindi fare clic per selezionare la casella di controllo Windows Includi dominio di accesso per specificare se richiedere informazioni sul dominio di accesso di Windows 2000 prima di tentare di connettersi.
    • Se si desidera che la connessione al caso in cui cada la linea venga scollegata, fare clic sulla scheda Opzioni e quindi fare clic per selezionare la casella di controllo Ricomponi se cade di riga .


Per utilizzare la connessione:

  1. Fare clic su Start, scegliere Impostazionie quindi fare clic su Connessioni di rete e connessioni remote.
  2. Fare doppio clic su nuova connessione.
  3. Se non si dispone di una connessione a Internet, Windows consente di connettersi a Internet.
  4. Una volta effettuata la connessione a Internet, il server VPN richiede il nome utente e la password. Immettere il nome utente e password, fare clic su Connettie della rete le risorse devono essere disponibili nello stesso modo che sono quando ci si connette direttamente alla rete. Nota: per disconnettersi dalla rete VPN, fare clic sull'icona della connessione e quindi fare clic su Disconnetti.

Risoluzione dei problemi

Risoluzione dei problemi delle connessioni VPN di accesso remoto

Impossibile stabilire una connessione VPN di accesso remoto
  • Causa: il nome del computer client è lo stesso nome del computer di un altro computer della rete.


    Soluzione: verificare che i nomi dei computer di tutti i computer sulla rete e la connessione alla rete utilizzino nomi di computer univoco.
  • Causa: il servizio Routing e accesso remoto non è stato avviato il server VPN.


    Soluzione: verificare lo stato del servizio Routing e accesso remoto sul server VPN.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come monitorare il servizio Routing e accesso remoto e come avviare e arrestare il servizio Routing e accesso remoto.
  • Causa: accesso remoto non è abilitato sul server VPN.


    Soluzione: attivare l'accesso remoto sul server VPN.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come abilitare il server di accesso remoto.
  • Causa: porte PPTP o L2TP non sono abilitate per le richieste di accesso remoto in ingresso.


    Soluzione: abilitare le porte PPTP o L2TP oppure entrambe, per le richieste di accesso remoto in ingresso.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come configurare le porte per accesso remoto.
  • Causa: protocolli della LAN utilizzati dai client VPN non sono abilitati per l'accesso remoto sul server VPN.


    Soluzione: abilitare i protocolli LAN utilizzati dai client VPN di accesso remoto sul server VPN.

    Vedere la Guida in linea di Windows 2000 per ulteriori informazioni su come visualizzare le proprietà del server di accesso remoto.
  • Causa: tutte le porte PPTP o L2TP sul server VPN siano stati già utilizzate dai client di accesso remoto o router di connessione a richiesta.


    Soluzione: verificare che tutte le porte PPTP o L2TP sul server VPN non siano già utilizzate facendo clic su porte in Routing e accesso remoto. Se necessario, modificare il numero di porte PPTP o L2TP per consentire più connessioni simultanee.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere porte PPTP o L2TP.
  • Causa: il server VPN non supporta il protocollo di tunneling del client VPN.

    Per impostazione predefinita, i client VPN di accesso remoto Windows 2000 utilizzano l'opzione tipo server automatico , il che significa che si tenta di stabilire innanzitutto un L2TP su connessione VPN basata su IPSec, e successivamente una connessione VPN basate su PPTP. Se i client VPN utilizzano sia il Point to Point Tunneling Protocol (PPTP) o Layer 2 Tunneling Protocol (L2TP) come tipo di server, verificare che il protocollo di tunneling selezionato sia supportato dal server VPN.

    Per impostazione predefinita, un computer che esegue Windows 2000 Server e il servizio Routing e accesso remoto è un server PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un server solo PPTP, impostare il numero di porte L2TP su zero. Per creare un server solo L2TP, impostare il numero di PPTP porte su zero.


    Soluzione: verificare che sia configurato il numero appropriato di porte PPTP o L2TP.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere porte PPTP o L2TP.
  • Causa: il client e il server VPN, insieme a un criterio di accesso remoto non sono configurati per utilizzare almeno un metodo di autenticazione comune.


    Soluzione: configurare il client e il server VPN insieme a un criterio di accesso remoto per utilizzare almeno un metodo di autenticazione comune.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come configurare l'autenticazione.
  • Causa: il client e il server VPN, insieme a un criterio di accesso remoto non sono configurati per utilizzare almeno un metodo di crittografia comune.


    Soluzione: configurare il client e il server VPN insieme a un criterio di accesso remoto per utilizzare almeno un metodo di crittografia comune.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come configurare la crittografia.
  • Causa: la connessione VPN non dispone delle autorizzazioni appropriate attraverso le proprietà di connessione dell'account utente e criteri di accesso remoto.


    Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate attraverso le proprietà di connessione dell'account utente e criteri di accesso remoto. Affinché la connessione venga stabilita, è necessario che le impostazioni del tentativo di connessione:

    • Corrisponde a tutte le condizioni di almeno un criterio di accesso remoto.
    • Concedere autorizzazioni di accesso remoto attraverso l'account utente (impostato su Consenti accesso) o attraverso l'account utente (impostato su Controlla accesso tramite criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
    • Corrisponde a tutte le impostazioni del profilo.
    • Corrisponde a tutte le impostazioni delle proprietà alle chiamate in ingresso dell'account utente.
    Vedere Windows 2000 la Guida in linea per un'introduzione ai criteri di accesso remoto e per ulteriori informazioni su come accettare un tentativo di connessione.
  • Causa: le impostazioni del profilo del criterio di accesso remoto sono in conflitto con le proprietà del server VPN.


    Le proprietà del profilo del criterio di accesso remoto e le proprietà del server VPN per che contengono entrambe le impostazioni:

    • Connessione multipla
    • Protocollo BACP
    • Protocolli di autenticazione


    Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con le impostazioni del server VPN, viene rifiutato il tentativo di connessione. Ad esempio, se il profilo del criterio di accesso remoto corrispondente specifica che deve essere utilizzato il protocollo di autenticazione EAP-TLS ed EAP non è abilitato sul server VPN, viene rifiutato il tentativo di connessione.


    Soluzione: verificare che le impostazioni del profilo del criterio di accesso remoto non siano in conflitto con le proprietà del server VPN.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come abilitare i protocolli di autenticazione e come configurare l'autenticazione.
  • Causa: il router di risposta non è in grado di convalidare le credenziali del router di chiamata (nome utente, password e nome di dominio).


    Soluzione: verificare che le credenziali del client VPN (nome utente, password e nome di dominio) siano corrette e che possono essere convalidate dal server VPN.
  • Causa: non vi siano sufficienti indirizzi nel pool di indirizzi IP statici.


    Soluzione: se il server VPN è configurato con un pool di indirizzi IP statici, verificare che vi siano sufficienti indirizzi nel pool. Se tutti gli indirizzi nel pool statico sono stati allocati a client VPN connessi, il server VPN non è in grado di allocare un indirizzo IP e la connessione viene rifiutata. Se necessario, modificare il pool di indirizzi IP statici. Vedere Windows 2000 la Guida in linea per ulteriori informazioni su TCP/IP e accesso remoto e su come creare un pool di indirizzi IP statici.
  • Causa: la VPN client è configurato per richiedere il proprio numero di nodo IPX e il server VPN non è configurato per consentire ai client IPX di richiedere il proprio numero di nodo IPX.


    Soluzione: configurare il server VPN per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su IPX e accesso remoto.
  • Causa: il server VPN è configurato con un intervallo rete di numeri di IPX utilizzato altrove sulla rete IPX.


    Soluzione: configurare il server VPN con un intervallo di IPX rete di numeri univoca per la propria rete IPX.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su IPX e accesso remoto.
  • Causa: il provider di autenticazione del server VPN è configurato correttamente.


    Soluzione: verificare la configurazione del provider di autenticazione. È possibile configurare il server VPN per l'utilizzo di Windows 2000 o RADIUS per autenticare le credenziali del client VPN.

    Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui provider di autenticazione e accounting e come utilizzare l'autenticazione RADIUS.
  • Causa: il server VPN non può accedere ad Active Directory.



    Soluzione: server per una VPN che è un server membro in un dominio Windows 2000 in modalità nativa o mista è configurato per l'autenticazione di Windows 2000, verificare quanto segue:

    • Esiste il gruppo di protezione server RAS e IAS . In caso contrario, creare il gruppo e impostare il tipo di gruppo per la sicurezza e l'ambito del gruppo al dominio locale.
    • Il gruppo di protezione server RAS e IAS dispone di autorizzazione di lettura per l'oggetto server RAS e IAS Servers Access Check .
    • L'account computer del server VPN è un membro del gruppo di protezione server RAS e IAS . È possibile utilizzare il comando netsh ras show registeredserver per visualizzare la registrazione corrente. È possibile utilizzare il comando "netsh ras add registeredserver" per registrare il server in un dominio specificato.

      Se si aggiunge (o rimuovere) il server VPN al gruppo di protezione server RAS e IAS , la modifica non ha effetto immediatamente (a causa del modo che Windows 2000 memorizza nella cache le informazioni di Active Directory). Per rendere immediatamente effettiva questa modifica, è necessario riavviare il server VPN.
    • Per un dominio in modalità nativa, il server VPN si è unito al dominio.
    Consultare la Guida in linea per ulteriori informazioni su come aggiungere un gruppo di Windows 2000 come verificare le autorizzazioni per il gruppo di protezione RAS e IAS e sui comandi NetShell per l'accesso remoto.
  • Causa: un server VPN di Windows NT 4.0 non è in grado di convalidare le richieste di connessione.


    Soluzione: se i client VPN effettuano chiamate in un server VPN che eseguono Windows NT 4.0 che è un membro di un dominio di Windows 2000 in modalità mista, verificare che il gruppo Everyone viene aggiunto al gruppo Accesso compatibile Windows 2000 con il seguente comando:

    "net localgroup"Pre-Windows 2000 Compatible Access""
    In caso contrario, digitare il seguente comando al prompt dei comandi su un controller di dominio e quindi riavviare il computer del controller di dominio:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    Vedere Windows 2000 la Guida in linea per ulteriori informazioni sui server di accesso remoto di Windows NT 4.0 in un dominio Windows 2000.
  • Causa: il server VPN non è in grado di comunicare con il server RADIUS configurato.


    Soluzione: se il server RADIUS è raggiungibile solo attraverso l'interfaccia Internet, aggiungere un filtro di input e un filtro output all'interfaccia Internet per la porta UDP 1812 (basato su RFC 2138, "RADIUS Remote Authentication Dial-In User Service ()") o la porta UDP 1645 (per server RADIUS meno recenti) per l'autenticazione RADIUS e la porta UDP 1813 (basato su RFC 2139 "RADIUS Accounting") oppure la porta UDP 1646 (per server RADIUS meno recenti) per l'accounting RADIUS.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere un filtro di pacchetto.
  • Causa: Impossibile connettersi al server VPN su Internet utilizzando Ping.exe. exe.


    Soluzione: per PPTP e L2TP sul filtraggio dei pacchetti IPSec configurato sull'interfaccia Internet del server VPN, vengono filtrati i pacchetti ICMP Internet Control Message Protocol () utilizzati dal comando ping. Per attivare il server VPN alla risposta ai pacchetti ICMP (ping), è necessario aggiungere un filtro input e un output che consentano il traffico per il protocollo IP 1 (traffico ICMP).

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere un filtro di pacchetto.

Risoluzione dei problemi delle connessioni VPN Router-to-Router

Impossibile stabilire una connessione VPN Router-to-Router
  • Causa: il servizio Routing e accesso remoto non è stato avviato sul client VPN (router di chiamata) e il server VPN (router di risposta).


    Soluzione: verificare lo stato del servizio Routing e accesso remoto sul client VPN e il server VPN.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come monitorare il servizio Routing e accesso remoto e come avviare e arrestare il servizio Routing e accesso remoto.
  • Causa: routing LAN e WAN non è abilitato sul router di chiamata e il router di risposta.


    Soluzione: abilitare routing locale e remoto (router LAN e WAN) sul router di chiamata e il router di risposta.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come abilitare i routing LAN e WAN.
  • Causa: porte PPTP o L2TP non sono attivate per le connessioni di routing di connessione a richiesta in ingresso e in uscita.


    Soluzione: abilitare le porte PPTP o L2TP oppure entrambe, per le connessioni di routing di connessione a richiesta in ingresso e in uscita.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come abilitare il routing sulle porte.
  • Causa: tutte le porte PPTP o L2TP sul router chiamante o ricevente sono attualmente utilizzati da client di accesso remoto connessi o router di connessione.


    Soluzione: verificare che tutte le porte PPTP o L2TP sul server VPN non siano già utilizzate facendo clic su porte in Routing e accesso remoto. Se necessario, modificare il numero di porte PPTP o L2TP per consentire più connessioni simultanee.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere porte PPTP o L2TP.
  • Causa: il router di risposta non supporta il protocollo di tunneling utilizzato dal router di chiamata.



    Per impostazione predefinita, le interfacce di connessione a richiesta di Windows 2000 utilizzano l'opzione tipo server automatico , il che significa che tentano di stabilire innanzitutto un L2TP su connessione VPN basata su IPSec, quindi una connessione VPN basate su PPTP. Se il router di chiamata utilizzano sia il Point to Point Tunneling Protocol (PPTP) o Layer 2 Tunneling Protocol (L2TP) come tipo di server, verificare che il protocollo di tunneling è supportato dal router di risposta.

    Per impostazione predefinita, un computer che esegue Windows 2000 Server e il servizio Routing e accesso remoto è un router di connessione a richiesta PPTP e L2TP compatibili con cinque porte L2TP e cinque porte PPTP. Per creare un router solo PPTP, impostare il numero di porte L2TP su zero. Per creare un router solo L2TP, impostare il numero di PPTP porte su zero.

    Soluzione: verificare che il numero appropriato di porte PPTP o L2TP è configurato sul router di chiamata e il router di risposta.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere porte PPTP o L2TP.
  • Causa: il router di chiamata e il router di risposta insieme a un criterio di accesso remoto non sono configurati per utilizzare almeno un metodo di autenticazione comune.


    Soluzione: configurare il router di chiamata e il router di risposta insieme a un criterio di accesso remoto per utilizzare almeno un metodo di autenticazione comune.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come configurare l'autenticazione.
  • Causa: il router di chiamata e il router di risposta insieme a un criterio di accesso remoto non sono configurati per utilizzare almeno un metodo di crittografia comune.


    Soluzione: configurare il router di chiamata e il router di risposta insieme a un criterio di accesso remoto per utilizzare almeno un metodo di crittografia comune.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come configurare la crittografia.
  • Causa: la connessione VPN non dispone delle autorizzazioni appropriate attraverso le proprietà di connessione dell'account utente e criteri di accesso remoto.


    Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate attraverso le proprietà di connessione dell'account utente e criteri di accesso remoto. Affinché la connessione venga stabilita, è necessario che le impostazioni del tentativo di connessione:

    • Corrisponde a tutte le condizioni di almeno un criterio di accesso remoto.
    • Concedere autorizzazioni di accesso remoto attraverso l'account utente (impostato su Consenti accesso) o attraverso l'account utente (impostato su Controlla accesso tramite criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
    • Corrisponde a tutte le impostazioni del profilo.
    • Corrisponde a tutte le impostazioni delle proprietà alle chiamate in ingresso dell'account utente.

    Vedere Windows 2000 la Guida in linea per un'introduzione ai criteri di accesso remoto e per ulteriori informazioni su come accettare un tentativo di connessione.
  • Causa: le impostazioni del profilo del criterio di accesso remoto sono in conflitto con le proprietà del router di risposta. Le proprietà del profilo del criterio di accesso remoto e le proprietà del router di risposta per che contengono entrambe le impostazioni:

    • Connessione multipla
    • Protocollo BACP
    • Protocolli di autenticazione


    Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con quelle del router di risposta, la connessione viene rifiutata. Ad esempio, se il profilo del criterio di accesso remoto corrispondente specifica che deve essere utilizzato il protocollo di autenticazione EAP-TLS ed EAP non è abilitato sul router di risposta, la connessione viene rifiutata.


    Soluzione: verificare che le impostazioni del profilo del criterio di accesso remoto non siano in conflitto con le proprietà del router di accesso remoto.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come abilitare i protocolli di autenticazione e come configurare l'autenticazione.
  • Causa: le credenziali del router di chiamata (nome utente, password e nome di dominio) non sono corrette e non può essere convalidate dal router di risposta.


    Soluzione: verificare che le credenziali del router di chiamata (nome utente, password e nome di dominio) siano corrette e che possono essere convalidate dal router di risposta.
  • Causa: non vi siano sufficienti indirizzi nel pool di indirizzi IP statici.


    Soluzione: se il router di risposta è configurato con un pool di indirizzi IP statici, verificare che vi siano sufficienti indirizzi nel pool. Se tutti gli indirizzi nel pool statico sono stati allocati ai client di accesso remoto connessi o router di connessione, il router di risposta non è in grado di allocare un indirizzo IP e la connessione viene rifiutata. Se necessario, modificare il pool di indirizzi IP statici.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su TCP/IP e accesso remoto e su come creare un pool di indirizzi IP statici.
  • Causa: il router di risposta è configurato con un intervallo rete di numeri IPX utilizzati altrove sulla rete IPX.


    Soluzione: configurare il router di risposta con un intervallo di IPX rete di numeri di rete IPX.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su IPX e accesso remoto.
  • Causa: il provider di autenticazione del router di risposta è configurato correttamente.


    Soluzione: verificare la configurazione del provider di autenticazione. È possibile configurare il router di risposta per l'utilizzo di Windows 2000 o RADIUS per autenticare le credenziali del client VPN.

    Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui provider di autenticazione e accounting e come utilizzare l'autenticazione RADIUS.
  • Causa: il router di risposta non può accedere ad Active Directory.


    Soluzione: per un router di risposta è un server membro di dominio di Windows 2000 in modalità nativa o mista configurato per l'autenticazione di Windows 2000, verificare che:

    • Esiste il gruppo di protezione server RAS e IAS . In caso contrario, creare il gruppo e impostare il tipo di gruppo per la sicurezza e l'ambito del gruppo al dominio locale.
    • Il gruppo di protezione server RAS e IAS dispone di autorizzazione di lettura per l'oggetto server RAS e IAS Servers Access Check .
    • L'account computer del computer del router ricevente è un membro del gruppo di protezione server RAS e IAS . È possibile utilizzare il comando seguente per visualizzare la registrazione corrente:

      "netsh ras show registeredserver"
      È possibile utilizzare il comando seguente per registrare il server in un dominio specificato:

      "netsh ras add registeredserver"
      Se si aggiungere il computer router di risposta o rimuoverne il computer router di risposta dal gruppo di protezione server RAS e IAS , la modifica non ha effetto immediatamente (a causa del modo che Windows 2000 memorizza nella cache le informazioni di Active Directory). Per rendere immediatamente effettive, è necessario riavviare il computer router di risposta.
    • Per un dominio in modalità nativa, il router di risposta ha aggiunto al dominio.


    Consultare la Guida in linea per ulteriori informazioni su come aggiungere un gruppo di Windows 2000 come verificare le autorizzazioni per il gruppo di protezione RAS e IAS e sui comandi NetShell per l'accesso remoto.
  • Causa: un router che esegue Windows NT 4.0 con il Routing e accesso remoto (RRAS) non può convalidare le richieste di connessione.


    Soluzione: se il router di chiamata per la connessione a un router che esegue Windows NT 4.0 con RRAS che è un membro di un dominio di Windows 2000 in modalità mista, verificare che il gruppo Everyone viene aggiunto al gruppo Accesso compatibile Windows 2000 con il seguente comando:
    "net localgroup"Pre-Windows 2000 Compatible Access""
    In caso contrario, digitare il seguente comando al prompt dei comandi su un controller di dominio e quindi riavviare il computer del controller di dominio:

    "net localgroup"Pre-Windows 2000 Compatible Access"everyone /add"
    Vedere Windows 2000 la Guida in linea per ulteriori informazioni sui server di accesso remoto di Windows NT 4.0 in un dominio Windows 2000.
  • Causa: il router di risposta non è in grado di comunicare con il server RADIUS configurato.


    Soluzione: se il server RADIUS è raggiungibile solo attraverso l'interfaccia Internet, aggiungere un filtro di input e un filtro output all'interfaccia Internet per la porta UDP 1812 (basato su RFC 2138, "RADIUS Remote Authentication Dial-In User Service ()") o alla porta UDP 1645 (per server RADIUS meno recenti) per l'autenticazione RADIUS e la porta UDP 1813 (basato su RFC 2139 "RADIUS Accounting") o a UDP porta 1646 (per server RADIUS meno recenti) per l'accounting RADIUS.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere un filtro di pacchetto.
  • Causa: Impossibile connettersi al router di risposta da Internet utilizzando Ping.exe. exe.


    Soluzione: per PPTP e L2TP sul filtraggio dei pacchetti IPSec configurato sull'interfaccia Internet del router di risposta, vengono filtrati i pacchetti ICMP Internet Control Message Protocol () utilizzati dal comando Ping . Per abilitare il router di risposta alla risposta ai pacchetti ICMP, è necessario aggiungere un filtro input e un output che consentano il traffico per il protocollo IP 1 (traffico ICMP).

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere un filtro di pacchetto.
Impossibile inviare e ricevere dati
  • Causa: non è stato aggiunto l'interfaccia di connessione a richiesta appropriata al protocollo instradato.


    Soluzione: aggiungere l'interfaccia di connessione a richiesta appropriata al protocollo instradato.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come aggiungere un'interfaccia di routing.
  • Causa: non esistono route su entrambi i lati della connessione VPN router-to-router che supportano lo scambio bidirezionale di traffico.


    Soluzione: a differenza di una connessione VPN di accesso remoto, una connessione VPN router-to-router non crea automaticamente una route predefinita. È necessario creare route su entrambi i lati della connessione VPN router-to-router in modo che il traffico possa essere instradato da e verso l'altro lato della connessione VPN router-to-router.

    È possibile aggiungere manualmente route statiche alla tabella di routing oppure è possibile aggiungere route statiche mediante protocolli di routing. Per connessioni VPN permanenti, è possibile attivare OSPF Open Shortest Path First () o informazioni RIP (Routing Protocol) attraverso la connessione VPN. Per le connessioni VPN su richiesta, è possibile aggiornare automaticamente le route tramite un aggiornamento RIP statico automatico. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni su come aggiungere un protocollo di routing IP, come aggiungere una route statica e come eseguire gli aggiornamenti statici automatici
  • Causa: un ad attivazione bidirezionale, il router di risposta come connessione VPN router-to-router interpreta una connessione di accesso remoto.


    Soluzione: se il nome utente nelle credenziali del router di chiamata viene visualizzato sotto I client di accesso remoto in Routing e accesso remoto, il router di risposta può interpretare il router di chiamata come client di accesso remoto. Verificare che il nome utente nelle credenziali del router di chiamata corrisponda al nome di un'interfaccia di connessione a richiesta sul router di risposta. Se il chiamante è un router, l'interfaccia di connessione a richiesta corrispondente è connesso alla porta su cui è stata ricevuta la chiamata viene visualizzato lo stato attivo .

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come controllare lo stato della porta sul router di risposta e controllare lo stato dell'interfaccia richiesta.
  • Causa: filtri di pacchetti nelle interfacce di connessione a richiesta del router di chiamata e router di risposta impediscono il flusso del traffico.


    Soluzione: verificare che vi siano filtri di pacchetti le interfacce di connessione a richiesta del router di chiamata e router di risposta che impediscono l'invio o ricezione del traffico. È possibile configurare ogni interfaccia di connessione a richiesta con IP e IPX input e output filtri per controllare l'esatta natura del traffico TCP/IP e IPX consentito all'interno e all'esterno dell'interfaccia di connessione a richiesta.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come gestire i filtri di pacchetti.
  • Causa: filtri di pacchetti nel profilo del criterio di accesso remoto impediscono il flusso del traffico IP.


    Soluzione: verificare che non siano senza filtri di pacchetti TCP/IP configurati nelle proprietà del profilo dei criteri di accesso remoto sul server VPN (o il server RADIUS Se viene utilizzato il servizio di autenticazione Internet) che impediscono l'invio o la ricezione del traffico TCP/IP. È possibile utilizzare criteri di accesso remoto per configurare TCP/IP di input e output dei filtri di pacchetti che controllino l'esatta natura del traffico TCP/IP consentito sulla connessione VPN. Verificare che i filtri di pacchetti TCP/IP di profilo non impediscano il flusso del traffico necessario.

    Vedere Windows 2000 la Guida in linea per ulteriori informazioni su come configurare le opzioni IP.



Riferimenti

Per ulteriori informazioni su come creare una connessione VPN con Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base:

305550 come configurare una connessione VPN alla rete aziendale
Per ulteriori informazioni, fare clic sui numeri seguenti per visualizzare gli articoli della Microsoft Knowledge Base:

255784 di incrementare la protezione sul Server VPN di Windows 2000

254018 come configurare i filtri di input per i servizi eseguiti dietro il protocollo NAT

260926 di Routing e configurazione guidata accesso remoto per il Server VPN crea non specifico di input e output filtri









Proprietà

ID articolo: 308208 - Ultima revisione: 30 gen 2017 - Revisione: 2

Feedback