Установка и настройка сервера виртуальной частной сети в Windows Server 2003

В этой пошаговой статье описано, как установить виртуальную частную сеть (VPN) и как создать новое VPN-подключение на серверах под управлением Windows Server 2003.

Сведения о версии microsoft Windows XP этой статьи см. в разделе 314076.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 323441

Сводка

С помощью виртуальной частной сети можно подключать сетевые компоненты через другую сеть, например Через Интернет. Вы можете сделать компьютер под управлением Windows Server 2003 сервером удаленного доступа, чтобы другие пользователи могли подключиться к нему с помощью VPN, а затем войти в сеть и получить доступ к общим ресурсам. Vpn делают это путем туннелирования через Интернет или другую общедоступную сеть таким образом, чтобы обеспечить ту же безопасность и функции, что и частная сеть. Данные отправляются через общедоступную сеть с помощью инфраструктуры маршрутизации, но для пользователя они выглядят так, как будто данные отправляются по выделенному приватному каналу.

Общие сведения о VPN

Виртуальная частная сеть — это способ подключения к частной сети (например, офисной сети) через общедоступную сеть (например, Интернет). VPN сочетает в себе преимущества коммутируемого подключения к серверу удаленного доступа с легкостью и гибкостью подключения к Интернету. Используя подключение к Интернету, вы можете путешествовать по всему миру и по-прежнему, в большинстве мест, подключиться к вашему офису с помощью местного звонка на ближайший номер телефона с доступом в Интернет. Если у вас есть высокоскоростное подключение к Интернету (например, кабельное или DSL) на компьютере и в офисе, вы можете общаться с офисом на полной скорости Интернета, что гораздо быстрее, чем любое коммутируемое подключение, использующее аналоговый модем. Эта технология позволяет предприятию подключаться к филиалам или другим компаниям через общедоступную сеть при сохранении безопасной связи. VPN-подключение через Интернет логически работает как канал выделенной глобальной сети (WAN).

Виртуальные частные сети используют проверенные ссылки, чтобы убедиться, что только авторизованные пользователи могут подключаться к вашей сети. Чтобы обеспечить безопасность данных при перемещении по общедоступной сети, VPN-подключение использует протокол PPTP или протокол L2TP для шифрования данных.

Компоненты VPN

VPN на серверах под управлением Windows Server 2003 состоит из VPN-сервера, VPN-клиента, VPN-подключения (той части подключения, в которой шифруются данные) и туннеля (той части подключения, в которой инкапсулированы данные). Туннелирование выполняется с помощью одного из протоколов туннелирования, входящих в состав серверов под управлением Windows Server 2003, которые устанавливаются с маршрутизацией и удаленным доступом. Служба маршрутизации и удаленного доступа устанавливается автоматически во время установки Windows Server 2003. Однако по умолчанию служба маршрутизации и удаленного доступа отключена.

В Состав Windows входят два протокола туннелирования:

• Протокол туннелирования типа "точка — точка" (PPTP): обеспечивает шифрование данных с помощью шифрования "точка — точка" (Майкрософт).
• Протокол туннелирования уровня 2 (L2TP): обеспечивает шифрование, проверку подлинности и целостность данных с помощью IPSec.

Подключение к Интернету должно использовать выделенную линию, например T1, дробный T1 или ретранслятор кадров. Адаптер глобальной сети должен быть настроен с IP-адресом и маской подсети, назначенными вашему домену или предоставленными поставщиком услуг Интернета. Адаптер глобальной сети также должен быть настроен в качестве шлюза по умолчанию маршрутизатора isp.

Установка и включение VPN-сервера

Чтобы установить и включить VPN-сервер, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Маршрутизация и удаленный доступ.

2. Щелкните значок сервера, соответствующий имени локального сервера, в левой области консоли. Если значок содержит красный круг в левом нижнем углу, служба маршрутизации и удаленного доступа не включена. Если значок имеет зеленую стрелку, указывающую вверх в левом нижнем углу, служба маршрутизации и удаленного доступа включена. Если служба маршрутизации и удаленного доступа была включена ранее, может потребоваться перенастроить сервер. Чтобы перенастроить сервер, выполните следующие действия:

   1. Щелкните правой кнопкой мыши объект сервера и выберите отключить маршрутизацию и удаленный доступ. Нажмите кнопку Да , чтобы продолжить, когда вам будет предложено получить информационное сообщение.
   2. Щелкните правой кнопкой мыши значок сервера и выберите настроить и включить маршрутизацию и удаленный доступ , чтобы запустить мастер установки сервера маршрутизации и удаленного доступа. Для продолжения нажмите кнопку Далее.
   3. Щелкните Удаленный доступ (коммутируемый или VPN), чтобы включить удаленные компьютеры для подключения или подключения к этой сети через Интернет. Для продолжения нажмите кнопку Далее.

3. Щелкните, чтобы выбрать VPN или Dial-up в зависимости от роли, которую вы планируете назначить этому серверу.

4. В окне VPN-подключение щелкните сетевой интерфейс, подключенный к Интернету, и нажмите кнопку Далее.

5. В окне Назначение IP-адресов щелкните Автоматически , если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, или щелкните Из указанного диапазона адресов , если удаленным клиентам должен быть предоставлен только адрес из предварительно определенного пула. В большинстве случаев параметр DHCP проще администрировать. Однако если DHCP недоступен, необходимо указать диапазон статических адресов. Для продолжения нажмите кнопку Далее.

6. Если щелкнуть Из указанного диапазона адресов, откроется диалоговое окно Назначение диапазона адресов . Нажмите кнопку Создать. Введите первый IP-адрес в диапазоне адресов, который вы хотите использовать, в поле Пуск IP-адрес . Введите последний IP-адрес в диапазоне в поле Конечный IP-адрес . Windows автоматически вычисляет количество адресов. Нажмите кнопку ОК , чтобы вернуться в окно Назначение диапазона адресов . Для продолжения нажмите кнопку Далее.

7. Примите значение по умолчанию Нет, используйте маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку Далее , чтобы продолжить. Нажмите кнопку Готово , чтобы включить службу маршрутизации и удаленного доступа и настроить сервер в качестве сервера удаленного доступа.

Настройка VPN-сервера

Чтобы продолжить настройку VPN-сервера по мере необходимости, выполните следующие действия.

Настройка сервера удаленного доступа в качестве маршрутизатора

Чтобы сервер удаленного доступа правильно перенаправил трафик внутри сети, необходимо настроить его в качестве маршрутизатора со статическими маршрутами или протоколами маршрутизации, чтобы все расположения в интрасети были доступны с сервера удаленного доступа.

Чтобы настроить сервер в качестве маршрутизатора, выполните следующие действия:

1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Маршрутизация и удаленный доступ.
2. Щелкните правой кнопкой мыши имя сервера и выберите пункт Свойства.
3. Перейдите на вкладку Общие , а затем выберите Маршрутизатор в разделе Включить этот компьютер в качестве.
4. Выберите локальная сеть и маршрутизация по запросу, а затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства.

Изменение количества одновременных подключений

Количество подключений модемов коммутируемого доступа зависит от количества модемов, установленных на сервере. Например, если на сервере установлен только один модем, одновременно можно установить только одно подключение к модему.

Количество VPN-подключений с телефонным подключением зависит от количества одновременных пользователей, которые вы хотите разрешить. По умолчанию при выполнении процедуры, описанной в этой статье, разрешается 128 подключений. Чтобы изменить количество одновременных подключений, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Маршрутизация и удаленный доступ.
2. Дважды щелкните объект сервера, щелкните правой кнопкой мыши пункт Порты и выберите пункт Свойства.
3. В диалоговом окне Свойства портов щелкните Минипорт глобальной сети (PPTP)>Настроить.
4. В поле Максимальное число портов введите количество VPN-подключений, которые требуется разрешить.
5. Нажмите кнопку ОК>, а затем закройте маршрутизацию и удаленный доступ.

Управление адресами и серверами имен

VPN-сервер должен иметь доступные IP-адреса, чтобы назначить их виртуальному интерфейсу VPN-сервера и VPN-клиентам на этапе согласования протокола IPCP процесса подключения. IP-адрес, назначенный VPN-клиенту, назначается виртуальному интерфейсу VPN-клиента.

Для VPN-серверов под управлением Windows Server 2003 IP-адреса, назначенные VPN-клиентам, по умолчанию получаются через DHCP. Вы также можете настроить пул статических IP-адресов. VPN-сервер также должен быть настроен с серверами разрешения имен, как правило, DNS и WINS-адресами серверов, чтобы назначать VPN-клиенту во время согласования IPCP.

Управление доступом

Настройте свойства телефонного подключения в учетных записях пользователей и политиках удаленного доступа для управления доступом к сети коммутируемого доступа и VPN-подключений.

Доступ по учетной записи пользователя

Чтобы предоставить доступ к учетной записи пользователя с телефонным подключением, если вы управляете удаленным доступом на основе пользователя, выполните следующие действия.

1. В меню Пуск выберите пункт Администрирование и затем пункт Active Directory — пользователи и компьютеры.
2. Щелкните правой кнопкой мыши учетную запись пользователя и выберите пункт Свойства.
3. Перейдите на вкладку Dial-in (Телефонный вызов ).
4. Щелкните Разрешить доступ , чтобы предоставить пользователю разрешение на вызов. Нажмите кнопку OK.

Доступ по членству в группах

Если вы управляете удаленным доступом на основе группы, выполните следующие действия.

1. Создайте группу с участниками, которым разрешено создавать VPN-подключения.
2. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Маршрутизация и удаленный доступ.
3. В дереве консоли разверните узел Маршрутизация и удаленный доступ, разверните имя сервера и щелкните Политики удаленного доступа.
4. Щелкните правой кнопкой мыши в любом месте области справа, наведите указатель мыши на пункт Создать, а затем выберите пункт Политика удаленного доступа.
5. Нажмите кнопку Далее, введите имя политики и нажмите кнопку Далее.
6. Выберите VPN для виртуального частного доступа или выберите Пункт Коммутируемая связь для удаленного доступа, а затем нажмите кнопку Далее.
7. Нажмите кнопку Добавить, введите имя группы, созданной на шаге 1, а затем нажмите кнопку Далее.
8. Следуйте инструкциям на экране, чтобы завершить работу мастера.

Если VPN-сервер уже разрешает коммутируемые сетевые службы удаленного доступа, не удаляйте политику по умолчанию. Вместо этого переместите его так, чтобы это была последняя политика для оценки.

Настройка VPN-подключения с клиентского компьютера

Чтобы настроить подключение к VPN, выполните следующие действия. Чтобы настроить клиент для доступа к виртуальной частной сети, выполните следующие действия на клиентской рабочей станции:

1. На клиентском компьютере убедитесь, что подключение к Интернету настроено правильно.

2. Щелкните Пуск>панель управления>Сеть Connections. Щелкните Создать подключение в разделе Сетевые задачи, а затем нажмите кнопку Далее.

3. Щелкните Подключиться к сети на моем рабочем месте , чтобы создать коммутируемую связь. Для продолжения нажмите кнопку Далее.

4. Щелкните Подключение к виртуальной частной сети и нажмите кнопку Далее.

5. Введите описательное имя для этого подключения в диалоговом окне Название компании и нажмите кнопку Далее.

6. Щелкните Не набирать начальное подключение , если компьютер постоянно подключен к Интернету. Если компьютер подключается к Интернету через поставщика услуг Интернета (ISP), щелкните Автоматически набирать это начальное подключение, а затем выберите имя подключения к поставщику услуг Интернета. Нажмите кнопку Далее.

7. Введите IP-адрес или имя узла компьютера VPN-сервера (например, VPNServer.SampleDomain.com).

8. Выберите Любой пользователь, если хотите разрешить любому пользователю, который входит на рабочую станцию, доступ к этому коммутируемому подключению. Выберите Использовать только в том случае, если требуется, чтобы это подключение было доступно только для текущего вошедшего в систему пользователя. Нажмите кнопку Далее.

9. Нажмите кнопку Готово , чтобы сохранить подключение.

10. Щелкните Пуск>панель управления>Сеть Connections.

11. Дважды щелкните новое подключение.

12. Щелкните Свойства, чтобы продолжить настройку параметров подключения. Чтобы продолжить настройку параметров подключения, выполните следующие действия.

    • Если вы подключаетесь к домену, перейдите на вкладку Параметры, а затем выберите поле Включить домен входа Windows проверка, чтобы указать, следует ли запрашивать сведения о домене входа в Windows Server 2003 перед попыткой подключения.
    • Если вы хотите, чтобы подключение было повторно отброшено, перейдите на вкладку Параметры, а затем выберите поле Перезапустить, если строка удалена, проверка.

Чтобы использовать подключение, выполните следующие действия.

1. Нажмите кнопку Пуск, наведите указатель мыши на пункт Подключиться к и выберите новое подключение.

2. Если у вас нет подключения к Интернету, Windows предлагает подключение к Интернету.

3. При подключении к Интернету VPN-сервер запрашивает имя пользователя и пароль. Введите имя пользователя и пароль, а затем нажмите кнопку Подключить. Сетевые ресурсы должны быть доступны вам так же, как и при подключении непосредственно к сети.

   Примечание.

   Чтобы отключиться от VPN, щелкните правой кнопкой мыши значок подключения и выберите пункт Отключить.

Устранение неполадок

Устранение неполадок VPN с удаленным доступом

Не удается установить VPN-подключение удаленного доступа

• Причина. Имя клиентского компьютера совпадает с именем другого компьютера в сети.

  Решение. Убедитесь, что имена всех компьютеров в сети и компьютеров, подключенных к сети, используют уникальные имена компьютеров.

• Причина. Служба маршрутизации и удаленного доступа не запущена на VPN-сервере.

  Решение. Проверьте состояние службы маршрутизации и удаленного доступа на VPN-сервере.

  Дополнительные сведения о мониторинге службы маршрутизации и удаленного доступа, а также о запуске и остановке службы маршрутизации и удаленного доступа см. в разделе Центр справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Удаленный доступ не включен на VPN-сервере.

  Решение. Включите удаленный доступ на VPN-сервере.

  Дополнительные сведения о включении сервера удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Порты PPTP или L2TP не включено для входящих запросов удаленного доступа.

  Решение. Включите порты PPTP или L2TP или оба порта для входящих запросов удаленного доступа.

  Дополнительные сведения о настройке портов для удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Протоколы локальной сети, используемые VPN-клиентами, не поддерживаются для удаленного доступа к VPN-серверу.

  Решение. Включите протоколы локальной сети, используемые VPN-клиентами для удаленного доступа к VPN-серверу.

  Дополнительные сведения о просмотре свойств сервера удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Все порты PPTP или L2TP на VPN-сервере уже используются подключенными клиентами удаленного доступа или маршрутизаторами по требованию.

  Решение. Убедитесь, что все порты PPTP или L2TP на VPN-сервере уже используются. Для этого щелкните Порты в разделе Маршрутизация и удаленный доступ. Если количество разрешенных портов PPTP или L2TP недостаточно, измените количество портов PPTP или L2TP, чтобы разрешить больше одновременных подключений.

  Дополнительные сведения о добавлении портов PPTP или L2TP см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-сервер не поддерживает протокол туннелирования VPN-клиента.

  По умолчанию VPN-клиенты удаленного доступа Windows Server 2003 используют параметр Автоматический тип сервера. Это означает, что сначала они пытаются установить VPN-подключение по протоколу L2TP через IPSec, а затем установить VPN-подключение на основе PPTP. Если VPN-клиенты используют тип сервера PPTP или L2TP, убедитесь, что выбранный протокол туннелирования поддерживается VPN-сервером.

  По умолчанию компьютер под управлением Windows Server 2003 Server и службы маршрутизации и удаленного доступа является сервером PPTP и L2TP с пятью портами L2TP и пятью портами PPTP. Чтобы создать сервер только PPTP, задайте для числа портов L2TP нулевое значение. Чтобы создать сервер только L2TP, задайте для числа портов PPTP нулевое значение.

  Решение. Убедитесь, что настроено соответствующее количество портов PPTP или L2TP.

  Дополнительные сведения о добавлении портов PPTP или L2TP см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены для использования хотя бы одного распространенного метода проверки подлинности.

  Решение. Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать по крайней мере один распространенный метод проверки подлинности.

  Дополнительные сведения о настройке проверки подлинности см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены для использования по крайней мере одного общего метода шифрования.

  Решение. Настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать по крайней мере один общий метод шифрования.

  Дополнительные сведения о настройке шифрования см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-подключение не имеет соответствующих разрешений с помощью свойств коммутируемого подключения учетной записи пользователя и политик удаленного доступа.

  Решение. Убедитесь, что VPN-подключение имеет соответствующие разрешения с помощью свойств удаленного подключения учетной записи пользователя и политик удаленного доступа. Чтобы установить подключение, параметры попытки подключения должны:

  • Соответствуют всем условиям по крайней мере одной политики удаленного доступа.
  • Разрешение на удаленный доступ предоставляется через учетную запись пользователя (для параметра Разрешить доступ) или через учетную запись пользователя (для параметра Управление доступом с помощью политики удаленного доступа) и разрешение удаленного доступа соответствующей политики удаленного доступа (задайте для параметра Предоставление разрешения на удаленный доступ).
  • Соответствуют всем параметрам профиля.
  • Соответствуют всем параметрам свойств телефонного подключения учетной записи пользователя.

  Дополнительные сведения о введении в политики удаленного доступа и о том, как принять попытку подключения, см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Параметры профиля политики удаленного доступа конфликтуют со свойствами VPN-сервера.

  Свойства профиля политики удаленного доступа и СВОЙСТВА VPN-сервера содержат параметры для:

  • Мультисвязь.
  • Протокол распределения пропускной способности (BAP).
  • Протоколы проверки подлинности.

  Если параметры профиля соответствующей политики удаленного доступа конфликтуют с параметрами VPN-сервера, попытка подключения отклоняется. Например, если соответствующий профиль политики удаленного доступа указывает, что необходимо использовать протокол проверки подлинности EAP-TLS и EAP не включен на VPN-сервере, попытка подключения отклоняется.

  Решение. Убедитесь, что параметры профиля политики удаленного доступа не конфликтуют со свойствами VPN-сервера.

  Дополнительные сведения о протоколах многосвязной связи, BAP и аутентификации см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Маршрутизатор ответа не может проверить учетные данные вызывающего маршрутизатора (имя пользователя, пароль и доменное имя).

  Решение. Убедитесь, что учетные данные VPN-клиента (имя пользователя, пароль и доменное имя) верны и могут быть проверены VPN-сервером.

• Причина. В пуле статических IP-адресов недостаточно адресов.

  Решение. Если VPN-сервер настроен с пулом статических IP-адресов, убедитесь, что в пуле достаточно адресов. Если все адреса в статичном пуле были выделены подключенным VPN-клиентам, VPN-сервер не может выделить IP-адрес и попытка подключения отклоняется. Если все адреса в статичном пуле выделены, измените пул.

  Дополнительные сведения о TCP/IP и удаленном доступе, а также о создании пула статических IP-адресов см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-клиент настроен для запроса собственного номера узла IPX, а VPN-сервер не настроен на разрешение IPX-клиентам запрашивать собственный номер узла IPX.

  Решение. Настройте VPN-сервер, чтобы разрешить IPX-клиентам запрашивать собственный номер узла IPX.

  Дополнительные сведения об IPX и удаленном доступе см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-сервер настроен с диапазоном сетевых номеров IPX, которые используются в другом месте в сети IPX.

  Решение. Настройте VPN-сервер с диапазоном сетевых номеров IPX, которые являются уникальными для вашей сети IPX.

  Дополнительные сведения об IPX и удаленном доступе см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Поставщик проверки подлинности VPN-сервера настроен неправильно.

  Решение. Проверьте конфигурацию поставщика проверки подлинности. Vpn-сервер можно настроить для использования Windows Server 2003 или службы radius для проверки подлинности учетных данных VPN-клиента.

  Дополнительные сведения о поставщиках проверки подлинности и бухгалтерского учета см. в разделе Центр справки и поддержки Windows Server 2003 и использование проверки подлинности RADIUS. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-сервер не может получить доступ к Active Directory.

  Решение. Для VPN-сервера, который является рядовым сервером в смешанном или собственном режиме домена Windows Server 2003, настроенного для проверки подлинности Windows Server 2003, убедитесь, что:

  • Существует группа безопасности серверов RAS и IAS . Если это не так, создайте группу и задайте для типа группы значение Безопасность, а для группы область — локальный домен.

  • Группа безопасности серверов RAS и IAS имеет разрешение на чтение объекта RAS и IAS Server Access Check .

  • Учетная запись компьютера VPN-сервера входит в группу безопасности серверов RAS и IAS . Для просмотра текущей netsh ras show registeredserver регистрации можно использовать команду . Для регистрации сервера в указанном домене netsh ras add registeredserver можно использовать команду .

    Если вы добавляете (или удаляете) компьютер VPN-сервера в группу безопасности RAS и IAS-серверы, изменение не вступит в силу сразу (из-за того, что Windows Server 2003 кэширует сведения Active Directory). Чтобы немедленно применить это изменение, перезагрузите компьютер VPN-сервера.

  • VPN-сервер является членом домена.

  Дополнительные сведения о добавлении группы, проверке разрешений для группы безопасности RAS и IAS, а также о netsh командах для удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-сервер на основе Windows NT 4.0 не может проверить запросы на подключение.

  Решение. Если VPN-клиенты набирают vpn-сервер под управлением Windows NT 4.0, который является членом домена Windows Server 2003 смешанного режима, убедитесь, что группа Все добавлена в группу Совместимого доступа до Windows 2000 с помощью следующей команды:

  "net localgroup "Pre-Windows 2000 Compatible Access""
  

  Если нет, введите следующую команду в командной строке на компьютере контроллера домена, а затем перезагрузите компьютер контроллера домена:

  net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
  

  Дополнительные сведения о сервере удаленного доступа Windows NT 4.0 в домене Windows Server 2003 см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. VPN-сервер не может взаимодействовать с настроенным сервером RADIUS.

  Решение. Если вы можете связаться с сервером RADIUS только через интернет-интерфейс, выполните одно из следующих действий.

  • Добавьте фильтр входных и выходных данных в интернет-интерфейс для порта UDP 1812 (на основе RFC 2138, "Служба удаленной проверки подлинности пользователей с телефонным подключением (RADIUS)"). -или-
  • Добавьте фильтр ввода и выходной фильтр в интернет-интерфейс для порта UDP 1645 (для более старых radius-серверов), для проверки подлинности RADIUS и порта UDP 1813 (на основе RFC 2139, "УЧЕТ RADIUS"). -или-
  • -или- Добавьте фильтр ввода и выходной фильтр в интернет-интерфейс для порта UDP 1646 (для старых серверов RADIUS) для учета RADIUS.

  Дополнительные сведения о добавлении фильтра пакетов см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Не удается подключиться к VPN-серверу через Интернет с помощью служебной программы Ping.exe.

  Решение. Из-за фильтрации пакетов PPTP и L2TP через IPSec, настроенной в интернет-интерфейсе VPN-сервера, пакеты ICMP, используемые командой ping, отфильтровываются. Чтобы включить VPN-сервер для реагирования на пакеты ICMP (ping), добавьте фильтр ввода и выходной фильтр, разрешающий трафик по ПРОТОКОЛу IP 1 (трафик ICMP).

  Дополнительные сведения о добавлении фильтра пакетов см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

Не удается отправить и получить данные

• Причина. Соответствующий интерфейс вызова по запросу не добавлен в маршрутивируемый протокол.

  Решение. Добавьте соответствующий интерфейс вызова по запросу в маршрутируемый протокол.

  Дополнительные сведения о добавлении интерфейса маршрутизации см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. По обе стороны VPN-подключения между маршрутизаторами отсутствуют маршруты, поддерживающие двусторонний обмен трафиком.

  Решение. В отличие от VPN-подключения удаленного доступа VPN-подключение между маршрутизаторами не создает маршрут по умолчанию автоматически. Создайте маршруты по обе стороны VPN-подключения между маршрутизаторами, чтобы трафик можно было направлять в другую сторону VPN-подключения между маршрутизаторами и с другой стороны.

  Вы можете вручную добавить статические маршруты в таблицу маршрутизации или добавить статические маршруты с помощью протоколов маршрутизации. Для постоянных VPN-подключений можно включить параметр Open Shortest Path First (OSPF) или Routing Information Protocol (RIP) через VPN-подключение. Для VPN-подключений по запросу можно автоматически обновлять маршруты с помощью автоматического статического обновления RIP. Дополнительные сведения о добавлении протокола IP-маршрутизации, добавлении статического маршрута и выполнении автоматических статических обновлений см. в справке Windows Server 2003 в Интернете. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Двусторонний инициированный маршрутизатор-ответ в качестве подключения удаленного доступа интерпретирует VPN-подключение между маршрутизаторами.

  Решение. Если имя пользователя в учетных данных вызывающего маршрутизатора отображается в разделе Клиенты с телефонным подключением в разделе Маршрутизация и удаленный доступ, маршрутизатор-ответ может интерпретировать вызывающий маршрутизатор как клиент удаленного доступа. Убедитесь, что имя пользователя в учетных данных вызывающего маршрутизатора соответствует имени интерфейса вызова по запросу на маршрутизаторе-ответе. Если входящий вызывающий объект является маршрутизатором, порт, на котором был получен вызов, отображает состояние Активный , а соответствующий интерфейс вызова по запросу находится в состоянии Подключено .

  Дополнительные сведения о том, как проверка состояние порта на маршрутизаторе-ответе и как проверка состояние интерфейса вызова по запросу, см. в справке windows Server 2003 в Интернете. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Фильтры пакетов в интерфейсах набора по запросу вызывающего маршрутизатора и маршрутизатора ответов препятствуют потоку трафика.

  Решение. Убедитесь, что в интерфейсах вызова и ответов нет фильтров пакетов, которые препятствуют отправке или приему трафика. Вы можете настроить каждый интерфейс вызова по запросу с помощью фильтров ввода и вывода IP и IPX, чтобы управлять точной природой трафика TCP/IP и IPX, который разрешен в интерфейсе вызова по запросу и из него.

  Дополнительные сведения об управлении фильтрами пакетов см. в справке Windows Server 2003 в Интернете. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.

• Причина. Фильтры пакетов в профиле политики удаленного доступа препятствуют потоку IP-трафика.

  Решение. Убедитесь, что нет настроенных фильтров пакетов TCP/IP в свойствах профиля политик удаленного доступа на VPN-сервере (или radius-сервере, если используется служба проверки подлинности в Интернете), которые препятствуют отправке или получению трафика TCP/IP. Политики удаленного доступа можно использовать для настройки фильтров входных и выходных пакетов TCP/IP, которые управляют точной природой трафика TCP/IP, разрешенного для VPN-подключения. Убедитесь, что фильтры пакетов TCP/IP профиля не препятствуют потоку трафика.

  Дополнительные сведения о настройке параметров IP-адресов см. в справке Windows Server 2003 в Интернете. Нажмите кнопку Пуск , чтобы открыть центр справки и поддержки Windows Server 2003.