Come installare e configurare un server di rete privata virtuale in Windows Server 2003

  • Articolo

Questo articolo dettagliato descrive come installare la rete privata virtuale (VPN) e come creare una nuova connessione VPN nei server che eseguono Windows Server 2003.

Per una versione di Microsoft Windows XP di questo articolo, vedere 314076.

Si applica a: Windows Server 2003
Numero KB originale: 323441

Riepilogo

Con una rete privata virtuale, è possibile connettere i componenti di rete tramite un'altra rete, ad esempio Internet. È possibile rendere il computer basato su Windows Server 2003 un server di accesso remoto in modo che altri utenti possano connettersi ad esso tramite VPN e quindi accedere alla rete e accedere alle risorse condivise. Le VPN eseguono questa operazione tramite il "tunneling" attraverso Internet o un'altra rete pubblica in modo da garantire la stessa sicurezza e le stesse funzionalità di una rete privata. I dati vengono inviati attraverso la rete pubblica usando la relativa infrastruttura di routing, ma all'utente viene visualizzato come se i dati vengano inviati tramite un collegamento privato dedicato.

Panoramica della VPN

Una rete privata virtuale è un mezzo per connettersi a una rete privata (ad esempio la rete dell'ufficio) tramite una rete pubblica (ad esempio Internet). Una VPN combina le virtù di una connessione dial-up a un server di accesso remoto con la facilità e la flessibilità di una connessione Internet. Utilizzando una connessione Internet, è possibile viaggiare in tutto il mondo e, nella maggior parte dei casi, connettersi al proprio ufficio con una chiamata locale al numero di telefono di accesso a Internet più vicino. Se si dispone di una connessione Internet ad alta velocità (ad esempio cavo o DSL) nel computer e in ufficio, è possibile comunicare con l'ufficio a tutta velocità Internet, che è molto più veloce di qualsiasi connessione dial-up che utilizza un modem analogico. Questa tecnologia consente a un'azienda di connettersi alle proprie succursali o ad altre aziende tramite una rete pubblica mantenendo al tempo stesso comunicazioni sicure. La connessione VPN attraverso Internet funziona logicamente come collegamento WAN (Wide Area Network) dedicato.

Le reti private virtuali usano collegamenti autenticati per assicurarsi che solo gli utenti autorizzati possano connettersi alla rete. Per assicurarsi che i dati siano sicuri durante il viaggio nella rete pubblica, una connessione VPN usa PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer Two Tunneling Protocol) per crittografare i dati.

Componenti di una VPN

Una VPN nei server che eseguono Windows Server 2003 è costituita da un server VPN, un client VPN, una connessione VPN (quella parte della connessione in cui i dati vengono crittografati) e il tunnel (quella parte della connessione in cui i dati sono incapsulati). Il tunneling viene completato tramite uno dei protocolli di tunneling inclusi nei server che eseguono Windows Server 2003, entrambi installati con Routing e Accesso remoto. Il servizio Routing e Accesso remoto viene installato automaticamente durante l'installazione di Windows Server 2003. Per impostazione predefinita, tuttavia, il servizio Routing e Accesso remoto è disattivato.

I due protocolli di tunneling inclusi in Windows sono:

  • PPTP (Point-to-Point Tunneling Protocol): fornisce la crittografia dei dati tramite Microsoft Point-to-Point Encryption.
  • L2TP (Layer Two Tunneling Protocol): fornisce la crittografia, l'autenticazione e l'integrità dei dati tramite IPSec.

La connessione a Internet deve usare una linea dedicata, ad esempio T1, Fractional T1 o Frame Relay. La scheda WAN deve essere configurata con l'indirizzo IP e la subnet mask assegnati per il dominio o forniti da un provider di servizi Internet (ISP). La scheda WAN deve essere configurata anche come gateway predefinito del router ISP.

Nota

Per attivare la VPN, è necessario accedere usando un account con diritti amministrativi.

Come installare e attivare un server VPN

Per installare e attivare un server VPN, seguire questa procedura:

  1. Fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Routing e accesso remoto.

  2. Fare clic sull'icona del server corrispondente al nome del server locale nel riquadro sinistro della console. Se nell'angolo inferiore sinistro dell'icona è presente un cerchio rosso, il servizio Routing e Accesso remoto non è stato attivato. Se l'icona ha una freccia verde rivolta verso l'alto nell'angolo inferiore sinistro, il servizio Routing e Accesso remoto è stato attivato. Se il servizio Routing e Accesso remoto era attivato in precedenza, è possibile riconfigurare il server. Per riconfigurare il server:

    1. Fare clic con il pulsante destro del mouse sull'oggetto server e quindi scegliere Disabilita routing e accesso remoto. Fare clic su per continuare quando viene richiesto un messaggio informativo.
    2. Fare clic con il pulsante destro del mouse sull'icona del server e quindi scegliere Configura e Abilita routing e accesso remoto per avviare l'installazione guidata del server routing e accesso remoto. Fare clic su Avanti per continuare.
    3. Fare clic su Accesso remoto (accesso remoto o VPN) per attivare i computer remoti per accedere o connettersi a questa rete tramite Internet. Fare clic su Avanti per continuare.

  3. Fare clic per selezionare VPN o Accesso remoto a seconda del ruolo che si intende assegnare al server.

  4. Nella finestra Connessione VPN fare clic sull'interfaccia di rete connessa a Internet e quindi fare clic su Avanti.

  5. Nella finestra Assegnazione indirizzi IP fare clic su Automaticamente se verrà usato un server DHCP per assegnare indirizzi ai client remoti oppure fare clic su Da un intervallo specificato di indirizzi se ai client remoti deve essere assegnato solo un indirizzo da un pool predefinito. Nella maggior parte dei casi, l'opzione DHCP è più semplice da amministrare. Tuttavia, se DHCP non è disponibile, è necessario specificare un intervallo di indirizzi statici. Fare clic su Avanti per continuare.

  6. Se si fa clic su Da un intervallo specificato di indirizzi, verrà visualizzata la finestra di dialogo Assegnazione intervallo di indirizzi. Fare clic su Nuova regola. Digitare il primo indirizzo IP nell'intervallo di indirizzi che si desidera usare nella casella Avvia indirizzo IP . Digitare l'ultimo indirizzo IP nell'intervallo nella casella Indirizzo IP finale . Windows calcola automaticamente il numero di indirizzi. Fare clic su OK per tornare alla finestra Assegnazione intervallo di indirizzi . Fare clic su Avanti per continuare.

  7. Accettare l'impostazione predefinita No, usare Routing e Accesso remoto per autenticare le richieste di connessione e quindi fare clic su Avanti per continuare. Fare clic su Fine per attivare il servizio Routing e Accesso remoto e per configurare il server come server di Accesso remoto.

Come configurare il server VPN

Per continuare a configurare il server VPN in base alle esigenze, seguire questa procedura.

Come configurare il server di accesso remoto come router

Per consentire al server di accesso remoto di inoltrare correttamente il traffico all'interno della rete, è necessario configurarlo come router con route statiche o protocolli di routing, in modo che tutte le posizioni nella Intranet siano raggiungibili dal server di accesso remoto.

Per configurare il server come router:

  1. Fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Routing e accesso remoto.
  2. Fare clic con il pulsante destro del mouse sul nome del server e quindi scegliere Proprietà.
  3. Fare clic sulla scheda Generale e quindi selezionare Router in Abilita il computer come .
  4. Fare clic su LAN e routing a richiesta, quindi fare clic su OK per chiudere la finestra di dialogo Proprietà.

Come modificare il numero di connessioni simultanee

Il numero di connessioni modem remote dipende dal numero di modem installati nel server. Ad esempio, se nel server è installato un solo modem, è possibile avere una sola connessione modem alla volta.

Il numero di connessioni VPN remote dipende dal numero di utenti simultanei che si desidera consentire. Per impostazione predefinita, quando si esegue la procedura descritta in questo articolo, si consentono 128 connessioni. Per modificare il numero di connessioni simultanee, seguire questa procedura:

  1. Fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Routing e accesso remoto.
  2. Fare doppio clic sull'oggetto server, fare clic con il pulsante destro del mouse su Porte e quindi scegliere Proprietà.
  3. Nella finestra di dialogo Proprietà porte fare clic su WAN Miniport (PPTP)>Configura.
  4. Nella casella Porte massime digitare il numero di connessioni VPN che si desidera consentire.
  5. Fare clic su OK>, quindi chiudere Routing e Accesso remoto.

Come gestire indirizzi e server dei nomi

Il server VPN deve avere indirizzi IP disponibili per assegnarli all'interfaccia virtuale del server VPN e ai client VPN durante la fase di negoziazione IPCP (IP Control Protocol) del processo di connessione. L'indirizzo IP assegnato al client VPN viene assegnato all'interfaccia virtuale del client VPN.

Per i server VPN basati su Windows Server 2003, gli indirizzi IP assegnati ai client VPN vengono ottenuti tramite DHCP per impostazione predefinita. È anche possibile configurare un pool di indirizzi IP statici. Il server VPN deve essere configurato anche con server di risoluzione dei nomi, in genere DNS e indirizzi server WINS, da assegnare al client VPN durante la negoziazione IPCP.

Come gestire l'accesso

Configurare le proprietà di accesso remoto negli account utente e nei criteri di accesso remoto per gestire l'accesso per la rete remota e le connessioni VPN.

Nota

Per impostazione predefinita, agli utenti viene negato l'accesso alla rete di accesso remoto.

Accesso per account utente

Per concedere l'accesso remoto a un account utente se si gestisce l'accesso remoto su base utente, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Utenti e computer di Active Directory.
  2. Fare clic con il pulsante destro del mouse sull'account utente e quindi scegliere Proprietà.
  3. Fare clic sulla scheda Accesso condizionale .
  4. Fare clic su Consenti accesso per concedere all'utente l'autorizzazione per l'accesso. Fare clic su OK.

Accesso in base all'appartenenza al gruppo

Se si gestisce l'accesso remoto su base di gruppo, seguire questa procedura:

  1. Creare un gruppo con membri a cui è consentito creare connessioni VPN.
  2. Fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Routing e accesso remoto.
  3. Nell'albero della console espandere Routing e Accesso remoto, espandere il nome del server e quindi fare clic su Criteri di accesso remoto.
  4. Fare clic con il pulsante destro del mouse in un punto qualsiasi del riquadro destro, scegliere Nuovoe quindi fare clic su Criteri di accesso remoto.
  5. Fare clic su Avanti, digitare il nome del criterio e quindi fare clic su Avanti.
  6. Fare clic su VPN per il metodo di accesso privato virtuale oppure fare clic su Accesso remoto per l'accesso remoto e quindi fare clic su Avanti.
  7. Fare clic su Aggiungi, digitare il nome del gruppo creato nel passaggio 1 e quindi fare clic su Avanti.
  8. Seguire le istruzioni visualizzate per completare la procedura guidata.

Se il server VPN consente già i servizi di accesso remoto di rete remota, non eliminare i criteri predefiniti. Spostarlo invece in modo che sia l'ultimo criterio da valutare.

Come configurare una connessione VPN da un computer client

Per configurare una connessione a una VPN, seguire questa procedura. Per configurare un client per l'accesso alla rete privata virtuale, seguire questa procedura nella workstation client:

Nota

Per eseguire questa procedura, è necessario essere connessi come membri del gruppo Administrators.

Considerando l'esistenza di diverse versioni di Microsoft Windows, la procedura potrebbe variare da computer a computer. In questo caso, fare riferimento alla documentazione del prodotto per completare la procedura.

  1. Nel computer client verificare che la connessione a Internet sia configurata correttamente.

  2. Fare clic su Start>Pannello di controllo>Rete Connections. Fare clic su Crea una nuova connessione in Attività di rete e quindi su Avanti.

  3. Fare clic su Connetti alla rete nell'area di lavoro per creare la connessione di accesso automatico. Fare clic su Avanti per continuare.

  4. Fare clic su Connessione di rete privata virtuale e quindi su Avanti.

  5. Digitare un nome descrittivo per questa connessione nella finestra di dialogo Nome società e quindi fare clic su Avanti.

  6. Fare clic su Non comporre la connessione iniziale se il computer è connesso in modo permanente a Internet. Se il computer si connette a Internet tramite un provider di servizi Internet (ISP), fare clic su Chiama automaticamente questa connessione iniziale e quindi fare clic sul nome della connessione all'ISP. Scegliere Avanti.

  7. Digitare l'indirizzo IP o il nome host del computer server VPN , ad esempio VPNServer.SampleDomain.com.

  8. Fare clic su Uso di chiunque se si vuole consentire a qualsiasi utente che accede alla workstation di accedere a questa connessione di accesso esterno. Fare clic su Utilizzo personale solo se si vuole che la connessione sia disponibile solo per l'utente attualmente connesso. Scegliere Avanti.

  9. Fare clic su Fine per salvare la connessione.

  10. Fare clic su Start>Pannello di controllo>Rete Connections.

  11. Fare doppio clic sulla nuova connessione.

  12. Fare clic su Proprietà per continuare a configurare le opzioni per la connessione. Per continuare a configurare le opzioni per la connessione, seguire questa procedura:

    • Se ci si connette a un dominio, fare clic sulla scheda Opzioni e quindi selezionare la casella di controllo Includi dominio di accesso a Windows per specificare se richiedere le informazioni sul dominio di accesso a Windows Server 2003 prima di provare a connettersi.
    • Se si vuole ricomposizione della connessione se la riga viene eliminata, fare clic sulla scheda Opzioni e quindi selezionare la casella di controllo Ricomposizione se la riga viene eliminata .

Per usare la connessione, seguire questa procedura:

  1. Fare clic su Start, scegliere Connetti a e quindi fare clic sulla nuova connessione.

  2. Se attualmente non si ha una connessione a Internet, Windows offre la connessione a Internet.

  3. Quando viene stabilita la connessione a Internet, il server VPN richiede il nome utente e la password. Digitare il nome utente e la password e quindi fare clic su Connetti. Le risorse di rete devono essere disponibili nello stesso modo in cui si connettono direttamente alla rete.

    Nota

    Per disconnettersi dalla VPN, fare clic con il pulsante destro del mouse sull'icona di connessione e quindi scegliere Disconnetti.

Risoluzione dei problemi

Risoluzione dei problemi relativi alle VPN di accesso remoto

Non è possibile stabilire una connessione VPN di accesso remoto

  • Causa: il nome del computer client è uguale al nome di un altro computer in rete.

    Soluzione: verificare che i nomi di tutti i computer della rete e dei computer che si connettono alla rete utilizzino nomi di computer univoci.

  • Causa: il servizio Routing e Accesso remoto non viene avviato nel server VPN.

    Soluzione: verificare lo stato del servizio Routing e Accesso remoto nel server VPN.

    Per altre informazioni su come monitorare il servizio Routing e Accesso remoto e su come avviare e arrestare il servizio Routing e Accesso remoto, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: l'accesso remoto non è attivato sul server VPN.

    Soluzione: attivare l'accesso remoto nel server VPN.

    Per altre informazioni su come attivare il server di accesso remoto, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: le porte PPTP o L2TP non sono attivate per le richieste di accesso remoto in ingresso.

    Soluzione: attivare le porte PPTP o L2TP, o entrambe, per le richieste di accesso remoto in ingresso.

    Per altre informazioni su come configurare le porte per l'accesso remoto, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: i protocolli LAN usati dai client VPN non sono attivati per l'accesso remoto nel server VPN.

    Soluzione: attivare i protocolli LAN usati dai client VPN per l'accesso remoto nel server VPN.

    Per altre informazioni su come visualizzare le proprietà del server di accesso remoto, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: tutte le porte PPTP o L2TP nel server VPN sono già in uso dai client di accesso remoto attualmente connessi o dai router di connessione a richiesta.

    Soluzione: verificare che tutte le porte PPTP o L2TP nel server VPN siano già in uso. A tale scopo, fare clic su Porte in Routing e accesso remoto. Se il numero di porte PPTP o L2TP consentite non è sufficientemente elevato, modificare il numero di porte PPTP o L2TP per consentire più connessioni simultanee.

    Per altre informazioni su come aggiungere porte PPTP o L2TP, vedere Guida e Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il server VPN non supporta il protocollo di tunneling del client VPN.

    Per impostazione predefinita, i client VPN di accesso remoto di Windows Server 2003 usano l'opzione Tipo di server automatico, ovvero provano a stabilire prima una connessione VPN basata su L2TP tramite IPSec e quindi provano a stabilire una connessione VPN basata su PPTP. Se i client VPN usano l'opzione tipo di server PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer-2 Tunneling Protocol), verificare che il protocollo di tunneling selezionato sia supportato dal server VPN.

    Per impostazione predefinita, un computer che esegue Windows Server 2003 Server e il servizio Routing e Accesso remoto è un server PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un server solo PPTP, impostare il numero di porte L2TP su zero. Per creare un server solo L2TP, impostare il numero di porte PPTP su zero.

    Soluzione: verificare che sia configurato il numero appropriato di porte PPTP o L2TP.

    Per altre informazioni su come aggiungere porte PPTP o L2TP, vedere Guida e Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il client VPN e il server VPN in combinazione con un criterio di accesso remoto non sono configurati per l'uso di almeno un metodo di autenticazione comune.

    Soluzione: configurare il client VPN e il server VPN in combinazione con un criterio di accesso remoto per usare almeno un metodo di autenticazione comune.

    Per altre informazioni su come configurare l'autenticazione, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il client VPN e il server VPN in combinazione con un criterio di accesso remoto non sono configurati per l'uso di almeno un metodo di crittografia comune.

    Soluzione: configurare il client VPN e il server VPN insieme a un criterio di accesso remoto per usare almeno un metodo di crittografia comune.

    Per altre informazioni su come configurare la crittografia, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: la connessione VPN non dispone delle autorizzazioni appropriate tramite le proprietà di accesso remoto dell'account utente e dei criteri di accesso remoto.

    Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate tramite le proprietà di accesso remoto dell'account utente e dei criteri di accesso remoto. Per stabilire la connessione, le impostazioni del tentativo di connessione devono:

    • Corrisponde a tutte le condizioni di almeno un criterio di accesso remoto.
    • Ottenere l'autorizzazione di accesso remoto tramite l'account utente (impostato su Consenti accesso) o tramite l'account utente (impostato su Controlla l'accesso tramite criteri di accesso remoto) e l'autorizzazione di accesso remoto dei criteri di accesso remoto corrispondenti (impostata su Concedi autorizzazione di accesso remoto).
    • Corrisponde a tutte le impostazioni del profilo.
    • Corrisponde a tutte le impostazioni delle proprietà di accesso automatico dell'account utente.

    Per altre informazioni su un'introduzione ai criteri di accesso remoto e su come accettare un tentativo di connessione, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: le impostazioni del profilo dei criteri di accesso remoto sono in conflitto con le proprietà del server VPN.

    Le proprietà del profilo dei criteri di accesso remoto e le proprietà del server VPN contengono entrambe le impostazioni per:

    • Multilink.
    • Protocollo di allocazione della larghezza di banda (BAP).
    • Protocolli di autenticazione.

    Se le impostazioni del profilo dei criteri di accesso remoto corrispondenti sono in conflitto con le impostazioni del server VPN, il tentativo di connessione viene rifiutato. Ad esempio, se il profilo dei criteri di accesso remoto corrispondente specifica che è necessario usare il protocollo di autenticazione Extensible Authentication Protocol - Transport Level Security (EAP-TLS) e EAP non è abilitato nel server VPN, il tentativo di connessione viene rifiutato.

    Soluzione: verificare che le impostazioni del profilo dei criteri di accesso remoto non siano in conflitto con le proprietà del server VPN.

    Per altre informazioni sui protocolli multilink, BAP e autenticazione, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il router di risposta non può convalidare le credenziali del router chiamante (nome utente, password e nome di dominio).

    Soluzione: verificare che le credenziali del client VPN (nome utente, password e nome di dominio) siano corrette e possano essere convalidate dal server VPN.

  • Causa: gli indirizzi nel pool di indirizzi IP statici non sono sufficienti.

    Soluzione: se il server VPN è configurato con un pool di indirizzi IP statici, verificare che nel pool siano presenti indirizzi sufficienti. Se tutti gli indirizzi nel pool statico sono stati allocati ai client VPN connessi, il server VPN non può allocare un indirizzo IP e il tentativo di connessione viene rifiutato. Se tutti gli indirizzi nel pool statico sono stati allocati, modificare il pool.

    Per altre informazioni su TCP/IP e accesso remoto e su come creare un pool di indirizzi IP statici, vedere Guida e Supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il client VPN è configurato per richiedere il proprio numero di nodo IPX e il server VPN non è configurato per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Soluzione: configurare il server VPN per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

    Per altre informazioni su IPX e accesso remoto, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il server VPN è configurato con un intervallo di numeri di rete IPX usati altrove nella rete IPX.

    Soluzione: configurare il server VPN con un intervallo di numeri di rete IPX univoci per la rete IPX.

    Per altre informazioni su IPX e accesso remoto, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il provider di autenticazione del server VPN non è configurato correttamente.

    Soluzione: verificare la configurazione del provider di autenticazione. È possibile configurare il server VPN per l'uso di Windows Server 2003 o del servizio RADIUS (Remote Authentication Dial-In User Service) per autenticare le credenziali del client VPN.

    Per altre informazioni sui provider di autenticazione e contabilità, vedere Guida e supporto tecnico di Windows Server 2003 e come usare l'autenticazione RADIUS. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il server VPN non può accedere ad Active Directory.

    Soluzione: per un server VPN che è un server membro in un dominio Windows Server 2003 in modalità mista o nativa configurato per l'autenticazione di Windows Server 2003, verificare che:

    • Il gruppo di sicurezza Server RAS e IAS esiste. In caso contrario, creare il gruppo e impostare il tipo di gruppo su Sicurezza e l'ambito del gruppo su Dominio locale.

    • Il gruppo di sicurezza Server RAS e IAS dispone dell'autorizzazione lettura per l'oggetto Controllo di accesso dei server RAS e IAS .

    • L'account computer del computer server VPN è membro del gruppo di sicurezza Server RAS e IAS . È possibile usare il netsh ras show registeredserver comando per visualizzare la registrazione corrente. È possibile usare il netsh ras add registeredserver comando per registrare il server in un dominio specificato.

      Se si aggiunge (o si rimuove) il computer server VPN al gruppo di sicurezza Server RAS e IAS, la modifica non verrà applicata immediatamente (a causa del modo in cui Windows Server 2003 memorizza nella cache le informazioni di Active Directory). Per applicare immediatamente questa modifica, riavviare il computer server VPN.

    • Il server VPN è un membro del dominio.

    Per altre informazioni su come aggiungere un gruppo, su come verificare le autorizzazioni per il gruppo di sicurezza RAS e IAS e sui netsh comandi per l'accesso remoto, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: un server VPN basato su Windows NT 4.0 non può convalidare le richieste di connessione.

    Soluzione: se i client VPN accedono a un server VPN che esegue Windows NT 4.0 membro di un dominio in modalità mista di Windows Server 2003, verificare che il gruppo Everyone venga aggiunto al gruppo Accesso compatibile pre-Windows 2000 con il comando seguente:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    In caso contrario, digitare il comando seguente al prompt dei comandi in un computer controller di dominio e quindi riavviare il computer del controller di dominio:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Per altre informazioni sul server di accesso remoto di Windows NT 4.0 in un dominio di Windows Server 2003, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: il server VPN non può comunicare con il server RADIUS configurato.

    Soluzione: se è possibile raggiungere il server RADIUS solo tramite l'interfaccia Internet, eseguire una delle operazioni seguenti:

    • Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1812 (in base a RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). -oppure-
    • Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1645 (per i server RADIUS meno recenti), per l'autenticazione RADIUS e la porta UDP 1813 (basata su RFC 2139, "RADIUS Accounting"). -oppure-
    • -oppure- Aggiungere un filtro di input e un filtro di output all'interfaccia Internet per la porta UDP 1646 (per i server RADIUS meno recenti) per la contabilità RADIUS.

    Per altre informazioni su come aggiungere un filtro di pacchetti, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: non è possibile connettersi al server VPN tramite Internet usando l'utilità Ping.exe.

    Soluzione: a causa del filtro dei pacchetti PPTP e L2TP su IPSec configurato nell'interfaccia Internet del server VPN, i pacchetti ICMP (Internet Control Message Protocol) usati dal comando ping vengono filtrati. Per attivare il server VPN per rispondere ai pacchetti ICMP (ping), aggiungere un filtro di input e un filtro di output che consentono il traffico per il traffico ICMP (IP Protocol 1).

    Per altre informazioni su come aggiungere un filtro di pacchetti, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

Non è possibile inviare e ricevere dati

  • Causa: l'interfaccia di chiamata a richiesta appropriata non è stata aggiunta al protocollo instradato.

    Soluzione: aggiungere l'interfaccia di chiamata a richiesta appropriata al protocollo instradato.

    Per altre informazioni su come aggiungere un'interfaccia di routing, vedere Guida e supporto tecnico di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: non sono presenti route su entrambi i lati della connessione VPN da router a router che supportano lo scambio bidirezionale del traffico.

    Soluzione: a differenza di una connessione VPN di accesso remoto, una connessione VPN da router a router non crea automaticamente una route predefinita. Creare route su entrambi i lati della connessione VPN da router a router in modo che il traffico possa essere instradato da e verso l'altro lato della connessione VPN da router a router.

    È possibile aggiungere manualmente route statiche alla tabella di routing oppure aggiungere route statiche tramite protocolli di routing. Per le connessioni VPN persistenti, è possibile attivare Open Shortest Path First (OSPF) o Routing Information Protocol (RIP) nella connessione VPN. Per le connessioni VPN su richiesta, è possibile aggiornare automaticamente le route tramite un aggiornamento RIP statico automatico. Per altre informazioni su come aggiungere un protocollo di routing IP, su come aggiungere una route statica e su come eseguire aggiornamenti statici automatici, vedere la Guida online di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: un router bidirezionale avviato come connessione di accesso remoto interpreta la connessione VPN da router a router.

    Soluzione: se il nome utente nelle credenziali del router chiamante viene visualizzato in Client di accesso remoto in Routing e accesso remoto, il router di risposta può interpretare il router chiamante come client di accesso remoto. Verificare che il nome utente nelle credenziali del router chiamante corrisponda al nome di un'interfaccia di chiamata a richiesta nel router di risposta. Se il chiamante in ingresso è un router, la porta su cui è stata ricevuta la chiamata mostra lo stato Attivo e l'interfaccia della chiamata a richiesta corrispondente si trova in uno stato Connesso .

    Per altre informazioni su come controllare lo stato della porta nel router di risposta e su come controllare lo stato dell'interfaccia di chiamata a richiesta, vedere La Guida online di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: i filtri dei pacchetti sulle interfacce di chiamata a richiesta del router chiamante e del router di risposta impediscono il flusso del traffico.

    Soluzione: verificare che non siano presenti filtri di pacchetto nelle interfacce di chiamata a richiesta del router chiamante e del router di risposta che impediscono l'invio o la ricezione del traffico. È possibile configurare ogni interfaccia di chiamata a richiesta con filtri di input e output IP e IPX per controllare la natura esatta del traffico TCP/IP e IPX consentito all'interno e all'esterno dell'interfaccia di chiamata a richiesta.

    Per altre informazioni su come gestire i filtri dei pacchetti, vedere Guida online di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.

  • Causa: i filtri dei pacchetti nel profilo dei criteri di accesso remoto impediscono il flusso del traffico IP.

    Soluzione: verificare che non siano presenti filtri di pacchetti TCP/IP configurati nelle proprietà del profilo dei criteri di accesso remoto nel server VPN (o nel server RADIUS se viene usato il servizio di autenticazione Internet) che impediscono l'invio o la ricezione del traffico TCP/IP. È possibile usare i criteri di accesso remoto per configurare i filtri dei pacchetti di input e output TCP/IP che controllano la natura esatta del traffico TCP/IP consentito nella connessione VPN. Verificare che i filtri dei pacchetti TCP/IP del profilo non impediscano il flusso del traffico.

    Per altre informazioni su come configurare le opzioni IP, vedere La Guida online di Windows Server 2003. Fare clic su Start per accedere alla Guida e al Supporto tecnico di Windows Server 2003.