Release-info bij de upgrade Microsoft Windows 95 Externe toegang 1.4

Disclaimer voor KB-inhoud ingetrokken

Dit artikel gaat over producten waarvoor Microsoft niet langer ondersteuning biedt. Daarom wordt dit artikel aangeboden 'as is' en wordt het niet langer bijgewerkt.

Samenvatting

OPMERKING: dit artikel is uitsluitend informatief en bevat geen informatie over het oplossen van problemen. Als u op zoek bent naar informatie voor het oplossen van problemen die niet in dit artikel worden genoemd, is het raadzaam nogmaals de Microsoft Knowledge Base te doorzoeken met behulp van de trefwoorden die voorkomen in het volgende Microsoft Knowledge Base-artikel:

242450 De Microsoft Knowledge Base doorzoeken met behulp van trefwoorden


Raadpleeg voor meer informatie over het verkrijgen van de upgrade Externe toegang 1.4 het volgende artikel in de Microsoft Knowledge Base:

285189 Dial-Up Networking 1.4 Upgrade Is Available

Meer informatie

Release-info bij de upgrade Microsoft Windows 95 Externe toegang 1.4

1. Inleiding

De upgrade Externe toegang 1.4 (DUN 1.4) bevat aanvullende functies voor de onderdelen van Externe toegang die voor het eerst werden opgenomen in Windows 95. De 1.4-release omvat alle functies van alle eerdere DUN-releases, alsmede de functies van de ISDN 1.1-release. Nieuwe functies in DUN 1.4 zijn ondersteuning van PPTP-clients, 128-bits codering, ondersteuning voor interne ISDN-adapters, multilink-ondersteuning en verbindingsscripts voor het automatiseren van niet-standaard aanmeldingsverbindingen. De DUN 1.4-upgrade kan worden toegepast op elke versie van Windows 95. De upgrade kan niet worden geïnstalleerd voor andere versies van Windows, zoals Windows 98.


1.1 Nieuwe functies in DUN 1.4
 • Ondersteuning van 128-bits codering met de upgrade Externe toegang 1.4.
 • De upgrade Externe toegang 1.4 bevat verschillende correcties voor het verbeteren van de stabiliteit van PPTP-verbindingen.
 • De upgrade bevat een millenniumcorrectie voor de DHCP-client.
1.2 Installatieopmerkingen

Voer het bestand MSDUN14.exe uit en volg de aanwijzingen. Voor een juiste installatie moet de computer opnieuw worden opgestart. Wellicht moet u ook de installatie-cd van Windows 95 plaatsen (als u Windows 95 hebt geïnstalleerd vanaf cd). Als een dialoogvenster wordt weergegeven met de vraag of u de nieuwere versie van een bestand wilt behouden, moet u dit altijd doen.


Als de installatie is voltooid, kunt u de upgrade Externe toegang 1.4 verwijderen via het tabblad Installeren en verwijderen van de optie 'Software' in het Configuratiescherm. Hierdoor worden alle onderdelen van Externe toegang van uw computer verwijderd. Vervolgens kunt u de oorspronkelijke Windows 95-versie van Externe toegang installeren via het tabblad Windows Setup van de optie 'Software'. U kunt ook de 1.4-upgrade opnieuw installeren door het bestand MSDUN14.exe uit te voeren.


Opmerking: het verwijderen van de upgrade Externe toegang 1.4 heeft tot gevolg dat alle onderdelen van Externe toegang van uw computer worden verwijderd, dus ook alle functies die gebruikmaken van Externe toegang. Het verwijderen van de upgrade betekent bijvoorbeeld dat ook Directe kabelverbinding en Virtual Private Networking (VPN) worden verwijderd en dat u niet meer kunt uitbellen via modems of ISDN-apparaten. Als u een ISDN-apparaat hebt geïnstalleerd, wordt dit apparaat uiteraard verwijderd wanneer u Externe toegang verwijdert. Hetzelfde geldt voor alle gegevens die u voor het apparaat hebt ingevoerd. Deze gegevens worden niet hersteld wanneer u Externe toegang opnieuw installeert.


Gebruik altijd de optie 'Software' in het Configuratiescherm om Externe toegang toe te voegen aan of te verwijderen van de computer. Gebruik nooit de optie Netwerk in het Configuratiescherm of het tabblad Apparaatbeheer van de optie Systeem om afzonderlijke onderdelen van de Externe-toegangsadapter of de VPN-adapter toe te voegen of te verwijderen.


OPMERKING: de upgrade Externe toegang 1.4 maakt gebruik van functies in een meer recente versie van de Microsoft TCP/IP-stack. Om die reden wordt tijdens de installatie van de upgrade uw huidige TCP/IP-protocolstack vervangen (of wordt de stack toegevoegd als deze nog niet is geïnstalleerd.) Als u toepassingen hebt die gebruikmaken van een stack van een andere leverancier, is het misschien beter deze upgrade niet te installeren. Als u de upgrade toch uitvoert, en bepaalde toepassingen niet meer werken, moet u deze toepassingen opnieuw laden.

2. Functieoverzicht

2.1 ISDN-ondersteuning

MSDUN bevat de ondersteuning voor interne ISDN-adapters die eerder was opgenomen in het ISDN 1.1 Accelerator Pack. Het configuratieproces kan eenvoudig worden uitgevoerd via een ISDN-configuratiewizard die automatisch wordt toegevoegd aan het menu Start (Start>Programma's>Bureau-accessoires>ISDN-werkset).


2.2 Multilink-ondersteuning

Via multilink-ondersteuning is het mogelijk twee communicatiepoorten van uw computer te gebruiken als één poort met dubbele bandbreedte. Multilink kan worden ingeschakeld via de optie Eigenschappen van een verbindingspictogram in de map Externe toegang.


2.3 Scripting

Bij sommige Internet-providers is bij het tot stand brengen van een inbelverbinding terminal-interactie met de gebruiker noodzakelijk. Via de Scripting-functie in deze upgrade van Externe toegang kunt u deze interactie automatiseren. Scripting kan worden ingeschakeld via de optie Eigenschappen van een verbindingspictogram in de map Externe toegang.


2.4 PPTP-client

2.4.1 PPTP-tunnels In Windows Externe toegang wordt standaard het voor Internet ontwikkelde Point-to-Point Protocol (PPP) gebruikt om een veilige netwerkverbinding voor verschillende protocollen over kieslijnen mogelijk te maken. PPTP voegt de mogelijkheid toe om een point-to-point inbelverbinding met het Internet tot stand te brengen. Alle gegevens die over deze verbinding worden verzonden, kunnen worden gecodeerd en gecomprimeerd. Daarnaast is het mogelijk verschillende netwerkprotocollen (TCP/IP, NetBEUI en IPX) tegelijkertijd uit te voeren. Beveiliging in Windows NT op basis van domeinaanmelding wordt ook via het Internet ondersteund. PPTP kan tevens worden gebruikt om verbinding te maken met een intranet dat in andere opzichten is geïsoleerd van het Internet, zelfs als dit intranet conflicten veroorzaakt met betrekking tot Internet-adresruimten.


PPTP kan worden gekozen als een nieuw modemtype (VPN-adapter) wanneer u een verbinding instelt via de map Externe toegang. Het type VPN-adapter kan nergens anders in het systeem worden gekozen. Aangezien gegevensstromen door PPTP worden ingesloten in het PPP-protocol, is voor VPN een tweede inbeladapter nodig. Deze tweede inbeladapter voor VPN wordt toegevoegd tijdens de installatiefase van de upgrade, naast de eerste inbeladapter die PPP-ondersteuning biedt voor de analoge modem of ISDN-modem.


2.4.2 PPTP-verbindingen

Met de wizard 'Nieuwe verbinding maken' (in de map Externe toegang) kunt u stapsgewijs de procedure uitvoeren voor het toevoegen van verbindingspictogrammen voor gewone inbelverbindingen (modem) of PPTP-verbindingen (via VPN). U geeft aan dat u PPTP wilt gebruiken door in plaats van een modem VPN te selecteren als apparaattype.


2.4.2.1 PPTP-inbelverbindingen

Het meestgebruikte PPTP-scenario omvat een PPP-inbelverbinding met het Internet, gevolgd door een afzonderlijke PPTP-verbinding met een externe tunnelserver. Voor dit scenario zijn twee verbindingspictogrammen in de map Externe toegang nodig en twee 'kies'acties door de gebruiker. Het resultaat van een succesvolle tunnel over het Internet bestaat uit twee netwerkverbindingen op uw computer: één met het Internet en één met het netwerk dat beschikbaar wordt gesteld door de tunnelserver.


2.4.2.2 Op LAN-gebaseerde PPTP-verbindingen

Een tweede toepassing van PPTP omvat een tunnel over een LAN waarop uw computer al is aangesloten. In dit geval is maar één verbindingspictogram vereist en hoeft maar één keer te worden 'gekozen' om de tunnel tot stand te brengen. Bij dit scenario is het niet nodig een inbelverbinding met het Internet te hebben om PPTP te ondersteunen. De mogelijkheid om pakketten op de juiste manier over een IP-netwerk naar de PPTP-tunnelserver te routeren, is de enige vereiste voor een PPTP-verbinding.


2.5 Specifieke coderingsinstellingen per verbinding

Met de upgrade DUN 1.4 is het mogelijk codering in te schakelen voor een bepaalde verbinding. Via een nieuw selectievakje op het tabblad Server van het eigenschappenvenster van de verbinding kunt u aangeven dat codering vereist is voor een succesvolle verbinding. Als door de server 40-bits codering wordt voorgesteld, reageert de client met een verzoek om 128-bits codering. Dit verzoek kan alleen worden geaccepteerd door een server die ondersteuning biedt voor 128-bits codering. Een server die alleen ondersteuning biedt voor 40-bits codering kan dus geen verzoek accepteren voor 128-bits codering. Het gevolg is dat het verbindingsverzoek wordt afgewezen en er geen verbinding tot stand wordt gebracht.


2.6 Andere functies in DUN 1.4
 • Beperkte serverfunctionaliteit voor een Point to Point-inbelverbinding via IP is ingeschakeld.
 • Er is extra informatie beschikbaar in het venster met de verbindingsstatus. U kunt na het tot stand komen van een verbinding op 'Details' klikken om te zien wat voor type verificatie er is gebruikt en of gegevenscodering, softwarecompressie of multilink beschikbaar is.
 • Het is mogelijk per verbinding een verbeterde optie voor het vastleggen van PPP-gegevens in te schakelen. De gegevens worden opgeslagen in het bestand PPPLOG.TXT in de Windows-map.

3. Productbeperkingen en verwante problemen

Bekende problemen met netwerkrouting en productbeperkingen hebben invloed op de werking van het netwerk wanneer u inbelt met Windows 95 Externe toegang. Problemen met routing op het netwerk worden beschreven in het gedeelte 'Netwerkroutering' verderop in dit artikel. In dit gedeelte komen productbeperkingen en verwante problemen aan de orde.


3.1 Problemen met naamomzetting

In de oorspronkelijke release van Windows 95 Externe toegang was de ondersteuning voor WINS- en DNS-naamomzetting in situaties waar een computer was aangesloten op verschillende netwerken niet optimaal. In de upgrade Externe toegang 1.4 zijn alle problemen met WINS verholpen en is een Winsock-upgrade verwerkt om de resterende DNS-beperkingen weg te nemen.


Microsoft heeft bovendien Winsock2 vrijgegeven, een volledig nieuw ontwerp van de Winsock-architectuur. Winsock2 is volledig compatibel met de upgrade Externe toegang 1.4. Als Winsock2 reeds is geïnstalleerd, wordt de bestaande versie niet overschreven door de upgrade Externe toegang 1.4. Als u Winsock2 wilt installeren, kunt u het stuurprogramma downloaden van de volgende Microsoft-website
Windows Socket 2 Update.


3.2 Statisch IP-adres en WINS- en DNS-instellingen

In bijna alle gevallen is het belangrijk dat het IP-adres van uw computer wordt vastgesteld door het netwerk. Daarnaast moeten de adressen van WINS- en DNS-servers automatisch worden bepaald. Dit gebeurt wanneer u de computer opstart in een LAN of wanneer u met succes een PPP- of PPTP-verbinding tot stand brengt met een extern netwerk. In de uitzonderlijke gevallen waarin een Internet-provider of systeembeheerder eist dat u zelf een IP-adres instelt of adressen definieert voor WINS- en/of DNS-servers, moet u dit doen via het juiste verbindingspictogram. (Klik hiervoor op de knop TCP/IP-instellingen op het tabblad Servertype van het eigenschappenvenster van de verbinding.)


In het algemeen is het zo dat u TCP/IP-eigenschappen voor inbeladapters niet mag instellen via de optie Netwerk van het Configuratiescherm. Waarden die u instelt via het Configuratiescherm zijn namelijk algemene instellingen die worden gebruikt in plaats van de instellingen voor specifieke verbindingen. Hierdoor kunnen dynamische gegevens worden overschreven die worden vastgelegd tijdens een inbel- of PPTP-verbinding. Het instellen van een statisch WINS-adres voor een LAN-adapter heeft bijvoorbeeld tot gevolg dat voor inbel- of PPTP-verbindingen WINS-adressen niet dynamisch kunnen worden toegewezen. Als u een statisch DNS-adres instelt voor een LAN-adapter, is het nog wel mogelijk automatisch DNS-adressen toe te wijzen. Bij een succesvolle verbinding met een extern netwerk worden dan ook extra DNS-adressen toegewezen.


OPMERKING: in de installatie-instructies van bepaalde kabelmodems staat dat de gebruiker of installateur via de optie Netwerk in het Configuratiescherm een DNS-server moet definiëren en een zoekvolgorde voor DNS-domeinachtervoegsels moet opgeven voor de LAN-kaart die met de kabelmodem is verbonden. (Deze gegevens kunt u vinden in het venster met TCP/IP-eigenschappen voor de desbetreffende LAN-kaart.) Het opgeven van een zoekvolgorde voor DNS-achtervoegsels heeft tot gevolg dat er time-outvertragingen optreden wanneer een tunnel wordt gebruikt voor toegang tot een ander netwerk, tenzij het achtervoegsel voor dat netwerk boven aan de lijst staat.


3.3 Externe toegang na het fysiek verbreken van een LAN-verbinding

Er kan een probleem met de adressering optreden wanneer een computer die rechtstreeks is verbonden met een particulier TCP/IP-netwerk, fysiek wordt losgekoppeld en er vervolgens wordt geprobeerd een inbel- of PPTP-verbinding tot stand te brengen. (Dit is bijvoorbeeld het geval wanneer de gebruiker van een laptop een Ethernet-aansluiting met het bedrijfsnetwerk verbreekt en vervolgens probeert thuis in te bellen.) Als de netwerkkaart nog is geïnstalleerd, kan TCP/IP zo worden geconfigureerd dat de computers die bereikbaar waren via de netwerkkaart, dit nog steeds zijn. Zelfs nadat een nieuwe modemverbinding (via Externe toegang) of PPTP-verbinding met het netwerk tot stand is gebracht, worden alle gegevens voor computers in het lokale netwerk door TCP/IP verzonden via de netwerkkaart.


Een tijdelijke oplossing, die alleen mogelijk is als de computer in eerste instantie is opgestart via DHCP, is het uitvoeren van het hulpprogramma winipcfg en de optie Release te selecteren. Als het probleem hiermee niet kan worden opgelost, is de netwerkkaart mogelijk handmatig geconfigureerd via het Configuratiescherm en moet de kaart ook via het Configuratiescherm worden uitgeschakeld.


3.4 Toegang tot netwerkshares via particuliere netwerken

In het speciale geval waar voor twee netwerken in verschillende, niet-vertrouwde domeinen de beveiligingsvoorziening van Windows NT voor domeinaanmelding is ingeschakeld, is het niet mogelijk vanuit het ene netwerk via een tunnel toegang te krijgen tot hosts of servers in het andere netwerk. Windows 95 brengt een aanmelding tot stand bij het eerste domein en kan vervolgens geen aanmelding tot stand brengen bij een tweede domein. De tijdelijke oplossing bestaat eruit de eerste domeinaanmelding over te slaan (via de knop Annuleren) en een aanmelding bij het tweede netwerk tot stand te brengen wanneer de PPTP-verbinding tot stand is gebracht.


Aangezien op het Internet geen beveiligingsvoorziening is geïmplementeerd op basis van domeinaanmelding, treedt dit probleem niet op bij tunnels via het Internet.


3.5 Multi-homed IPX-ondersteuning in Client voor Microsoft-netwerken

Op een computer met Client voor Microsoft-netwerken kunnen problemen optreden bij de communicatie met een extern IPX-netwerk over PPTP als IPX tegelijkertijd is gebonden aan een LAN-adapter. Deze problemen treden niet op bij een gewone inbelverbinding. Deze problemen treden evenmin op bij een computer waarop Client voor NetWare-netwerken wordt uitgevoerd.


3.6 Stuurprogramma's in ISDN1.0 Accelerator Pack

Windows 95 biedt nu ondersteuning voor ISDN NDISWAN-stuurprogramma's die compatibel zijn met Windows NT. Dit is het geval sinds de release van het ISDN Accelerator Pack 1.1, waarvoor het gebruik van Windows NT-compatibele ISDN 1.1-stuurprogramma's een vereiste was. De meeste ISDN-leveranciers leveren daarom nu ISDN 1.1-stuurprogramma's bij hun hardware. Stuurprogramma's die compatibel zijn met het Windows 95 ISDN Accelerator Pack 1.0, werken niet meer.


Zie
http://www.microsoft.com/windows/getisdnvoor een lijst met ondersteunde stuurprogramma's.


3.7 Installatie ISDN-stuurprogramma

ISDN-apparaten worden dikwijls geleverd met installatie-cd's waarop naast de eigen stuurprogramma's ook het oude ISDN1.1 Accelerator Pack is opgenomen. De reden hiervoor is een vereenvoudiging van het installatieproces. Als de installatieprocedure van een leverancier echter wordt uitgevoerd op een computer die is opgewaardeerd met DUN 1.4, bestaat de kans dat sommige bijgewerkte bestanden worden overschreven en dat bepaalde onderdelen van de computer instabiel worden. Meestal wordt tijdens de installatieprocedure gevraagd of het akkoord is ISDN 1.0 of ISDN 1.1 te installeren. In dat geval moet u aangeven dat dit niet is toegestaan.


Als u meent dat tijdens de installatie het onderdeel Externe toegang is overschreven, moet u de installatie van de upgrade Externe toegang 1.4 direct opnieuw uitvoeren.


3.8 Multilink gebruiken

Nadat de extra apparaten zijn geconfigureerd met de procedure uit het vorige gedeelte, kunt u de multilink-verbinding gaan gebruiken. Wanneer u de verbinding kiest, wordt het primaire nummer gebeld van het primaire apparaat dat voor de verbinding is opgegeven. Als de eerste verbinding tot stand is gebracht, worden de andere apparaten gebeld die zijn opgenomen in de lijst Extra apparaten.


Zodra de verbindingen tot stand zijn gebracht, kunt u statusgegevens van de verbinding bekijken door te dubbelklikken op het pictogram voor 'communicerende computers' op de taakbalk. U kunt de verbinding ook verbreken via dit pictogram. De statusgegevens bestaan uit het aantal verzonden en ontvangen bytes, de netwerkprotocollen die voor de verbinding worden gebruikt en een keuzelijst met de verschillende extra apparaten. Als u een apparaat selecteert in de keuzelijst, wordt de knop 'Stand-by' of 'Doorgaan' weergegeven. Als de knop Stand-by wordt weergegeven, is het apparaat nu in gebruik via de multilink-verbinding. Klik op de knop om de desbetreffende lijn te verbreken en te verwijderen uit de samengevoegde verbinding. Als de knop 'Doorgaan' wordt weergegeven, klikt u op deze knop om de verbinding opnieuw te bellen en de lijn toe te voegen aan de multilink-verbinding. U kunt afzonderlijke lijnen op stand-by zetten en hervatten zonder de verbinding te verbreken.


3.9 IP-IP-inbelserver met beperkte functionaliteit

Voorheen kon Windows 95 alleen als een inbelserver voor IPX- en NetBEUI-verkeer worden gebruikt. Met deze nieuwe functie kan op een computer met Windows 95 een inbeloproep worden beantwoord voor geavanceerde communicatietoepassingen zoals Microsoft NetMeeting (dat ondersteuning biedt voor het delen van toepassingen, chatten, videovergaderingen en IP-telefonie). De inbelclient krijgt altijd het adres 192.168.55.2 en de server 192.168.55.1. De Point to Point IP-server wordt standaard ingeschakeld en kan worden ingeschakeld/uitgeschakeld via het venster met geavanceerde eigenschapen voor de inbeladapter.

4. Beveiligingskwesties

PPTP maakt gebruik van bestaande PPP-functies om voor geselecteerde clients op het Internet beveiligde, gecodeerde toegang te bieden tot een particulier netwerk. Op deze manier wordt voorkomen dat alle potentiële clients op het Internet toegang kunnen krijgen tot het netwerk. De PPTP-tunnelserver beheert deze toegang door verbindingsverzoeken te verifiëren van clients die een tunnelverbinding met het particuliere netwerk willen opzetten. De beveiliging kan verder worden verbeterd door statische PPTP-filtering in te schakelen op de tunnelserver, door de tunnelserver te beschermen met een firewall of door IP-filtering in te schakelen op een Windows NT4-tunnelserver met de service Routing and Remote Access (RAS). Raadpleeg de
User and Administrator Guide on Installing, Configuring and Using PPTP with Microsoft Clients and Servers
op:
http://www.microsoft.com/netherlands/windows/windows2000/server/default.aspvoor meer informatie.


4.1 MSCHAP V2

Deze release ondersteunt een nieuwe MSCHAP (MSCHAP V2), die de volgende beveiligingsfuncties bevat:
 • Wederzijdse verificatie, gebaseerd op willekeurige challenges van zowel de server als de client
 • Krachtigere initiële sleutels voor gegevenscodering, gegenereerd aan de hand van zowel het wachtwoord van de gebruiker als de willekeurige challenges van de server en de client
 • Afzonderlijke initiële coderingssleutels voor het coderen van de verzend- en ontvangstpaden
 • Geen ondersteuning meer voor de MSCHAP-wachtwoordwijziging V1
 • Geen ondersteuning meer voor LMHASH-codering van het wachtwoord
Een bijgewerkte DUN-client probeert eerst een verbinding tot stand te brengen via MSCHAP V2 voordat gebruik wordt gemaakt van de oorspronkelijke MSCHAP. Verificatie door de Windows NT 4.0-server zal bij voorkeur ook verlopen via MSCHAP V2, wat betekent dat netwerken met bijgewerkte clients en servers volledig gebruik zullen maken van verificatie met MSCHAP V2. U kunt voorkomen dat clients hun aanmelding verifiëren met behulp van MSCHAP, door op de server in te stellen dat MSCHAP V2 is vereist. Hierdoor kunnen niet-bijgewerkte clients hun referenties niet meer aanbieden via een MSCHAP- of PAP- of CHAP-uitwisseling en beschikt u over een configuratie die geschikt is voor netwerken waarvoor een zeer strikte verificatiemethode gewenst is.


4.2 PPTP-verbindingen via firewalls

In sommige netwerken worden GRE-berichten gebruikt voor interne bewerkingen en zijn de routers zo ingesteld dat GRE-pakketten het netwerk niet kunnen binnenkomen of verlaten. PPTP-verkeer loopt via TCP-poort 1723 en routingprotocol 47. Als de PPTP-tunnel goed is geconfigureerd maar geen gegevens verzendt, is het mogelijk dat uw Internet-provider GRE-pakketten screent of dat de benodigde poort is geblokkeerd. Neem contact op met uw Internet-provider om dit probleem op te lossen.


5 Netwerkrouting

Voor alle TCP/IP-host-computers (inclusief uw computer met Windows 95) geldt een beperking ten aanzien van routing die van belang is voor gebruikers van inbel- en PPTP-verbindingen die toegang willen tot externe TCP/IP-netwerken. Host-computers maken gebruik van een routingschema dat de standaard-gatewayrouting wordt genoemd. Het schema is gebaseerd op een eenvoudig mechanisme: om een computer te bereiken die zich niet in het lokale netwerk bevindt, en die niet wordt omschreven in andere vermeldingen in de routingtabel, wordt het verkeer doorgestuurd naar een vooraf ingestelde standaard-gatewayrouter. De gatewayrouter beschikt doorgaans over de juiste gegevens om het verkeer op de juiste manier door te sturen. Dit mechanisme heeft als voordeel dat uw Windows 95-computer verbinding kan maken met miljoenen andere computers zonder dat complexe routingtabellen nodig zijn. Het nadeel is dat het mechanisme er vanuit gaat dat er maar één verbinding is om toegang te krijgen tot alle gewenste externe netwerken.


Het concept van een standaardgateway werkt bijzonder goed voor een zelfstandige computer die inbelt op een extern netwerk. Wanneer een inbelverbinding tot stand is gebracht, wordt een standaardgateway toegewezen om het verkeer via die verbinding te routeren.


Het concept geeft problemen wanneer uw computer al een standaardgateway heeft en er door Externe toegang een tweede standaardgateway wordt toegewezen om een nieuw netwerk te bereiken. Dit is bijvoorbeeld het geval als op uw computer een standaardroute is gedefinieerd voor het LAN en vervolgens een extra verbinding tot stand wordt gebracht met een extern netwerk. Het probleem kan ook optreden als vanaf uw computer is ingebeld naar het Internet en vervolgens een tweede PPTP-verbinding wordt gemaakt met een externe tunnelserver. In beide gevallen wordt de eerste gateway vervangen door de meest recente gateway en zijn computers die bereikbaar waren via de eerste gateway niet meer zichtbaar. Het is mogelijk dat een van de niet langer zichtbare computers een DNS- of WINS-naamserver is. Het gevolg hiervan is dat het niet meer mogelijk is namen om te zetten op het desbetreffende netwerk.


Het komt er dus op neer dat standaard-gatewayrouting over TCP/IP bedoeld is voor computers die verbinding maken met slechts één netwerk. Een PPTP-verbinding over een kieslijn of een inbelverbinding vanaf een computer in een LAN resulteert in twee netwerkverbindingen. In beide gevallen wijst de standaardroute naar de meest recente verbinding. Wanneer de PPTP- of inbelverbinding wordt vrijgegeven, wordt alle connectiviteit met het eerste netwerk hersteld.

6 Aanvullende informatie voor geavanceerde gebruikers

6.1 LMhash onderdrukken

Deze release bevat een registervariabele waarmee wordt voorkomen dat clients een LM-respons verzenden naar een challenge van een oudere MSCHAP-versie, zoals hieronder beschreven. Deze variabele is standaard afwezig, wat betekent dat de client de LM-respons moet verzenden (voor compatibiliteit met niet-bijgewerkte servers). De waarde van deze variabele wordt gecontroleerd net voordat een verbinding tot stand wordt gebracht.


OPMERKING: de meeste gebruikers hoeven deze registervariabele niet te gebruiken. De nieuwe en uiterst veilige MSCHAP V2 verstuurt geen LMHash-respons, wat betekent dat deze registerwaarde alleen belangrijk is bij het maken van een verbinding met oudere toegangsservers die gebruikmaken van de oorspronkelijke MSCHAP.

HKLM\System\CurrentControlSet\Services\RemoteAccess

DWORD: UseLmPassword
Default: 0x00000001

0x00000000 = Geen respons voor LM-challenge verzenden (alleen respons voor NT-challenge)
0x00000001 = Respons voor LM-challenge verzenden
6.2 De vlag SecureVPN

Als er speciale omstandigheden zijn waarin u er zeker van wilt zijn dat op uw computer alleen de nieuwste MSCHAP V2 wordt gebruikt voor alle verbindingspogingen met een VPN, kunt u op de client een nieuwe registervlag, SecureVPN genaamd, gebruiken om dit gedrag af te dwingen. Wanneer deze vlag is ingesteld, wordt voor alle VPN-verbindingen alleen verificatie via MSCHAP V2 geaccepteerd. Het instellen van deze vlag heeft daarnaast tot gevolg dat voor alle VPN-verbindingen gegevenscodering moet worden gebruikt. De vlag heeft geen invloed op inbelverbindingen.


OPMERKING: de meeste gebruikers hoeven de vlag SecureVPN niet te gebruiken. Deze vlag moet zorgvuldig worden gebruikt, aangezien de instelling invloed heeft op de werking van alle VPN-verbindingen vanaf uw computer. In het algemeen is het eenvoudiger het vereiste gebruik van MSCHAP V2 en gegevenscodering af te dwingen vanaf de server.


Hieronder wordt de registerinstelling beschreven waardoor op een Windows 95-client alleen de nieuwe veilige modus van MSCHAP V2 kan worden gebruikt en gegevenscodering voor PPTP-verbindingen vereist is. Deze registervariabele is standaard afwezig, wat inhoudt dat er geen veilige modus hoeft te worden afgedwongen voor PPTP-verbindingen. De waarde van deze variabele wordt gecontroleerd net voordat een verbinding tot stand wordt gebracht.

HKLM\System\CurrentControlSet\Services\RemoteAccess
Default: 0x00000000

DWORD: SecureVPN
Value: 0x00000001 == Veilige modus afdwingen (MSCHAP V2 plus gegevenscodering) voor alle PPTP-verbindingen
Value: 0x00000000 == Geen veilige modus afdwingen voor PPTP-verbindingen
6.3 De vlag ForceStrongEncryption

Er is een nieuwe registerwaarde toegevoegd, ForceStrongEncryption, om krachtige codering op de client af te dwingen. De bijbehorende registervlag wordt hieronder toegelicht. De vlag is standaard afwezig. De waarde van deze vlag wordt gecontroleerd net voordat een verbinding tot stand wordt gebracht.

HKLM\System\CurrentControlSet\Services\RemoteAccess

DWORD: ForceStrongEncryption
Default: 0x00000000

0x00000000 = Geen effect; er wordt geen krachtige codering afgedwongen
0x00000001 = 128-bits codering voor alle verbindingen waarvoor al codering is ingesteld
Het type gegevenscodering wordt bepaald tijdens de CCP-fase (Compression Control Protocol) van de verbinding. In het eigenschappenvenster van een verbinding moet daarom compressie of codering zijn ingeschakeld om de onderhandeling over de te gebruiken codering te laten slagen. Dit is zelden een probleem aangezien compressie standaard is ingeschakeld.


6.4 PPTP-verbinding zonder geschiedenis

Er is een modus beschikbaar voor codering en compressie over PPTP-verbindingen waarin geen geschiedenis wordt bijgehouden. Met deze modus worden prestatieproblemen opgelost die optreden wanneer PPTP wordt gebruikt in netwerken met een lange wachttijd of netwerken waarin veel gegevenspakketten verloren gaan. Deze modus kan alleen worden ingeschakeld als zowel de PPTP-client als de server de nieuwe modus ondersteunen. Als de nieuwe modus door de client of server wordt geweigerd, wordt gebruikgemaakt van gewone MPPE-compressie en -codering. Servers die ondersteuning bieden voor clients waarop geen geschiedenis wordt bijgehouden, moeten gebruikmaken van Windows NT 4.0 Service Pack 3 of hoger, of Windows 2000.


6.5 Toegang tot modemgroep

PPTP kan ook worden gebruikt om vanaf een computer die deel uitmaakt van een LAN, een inbelverbinding tot stand te brengen met een externe computer of netwerk via een modemgroep die is verbonden met een daarvoor geconfigureerde toegangsserver. Een dergelijke verbinding kan worden gerealiseerd door een PPTP-verbinding tot stand te brengen waarvan het tunneladres is ingesteld als 'Toegangsserver telefoonnummer'. Toegangsserver is de DNS-naam of het IP-adres van de toegangsserver met PPTP-ondersteuning; telefoonnummer is het nummer dat moet worden gekozen om de andere locatie te bereiken. De toegangsserver gebruikt het ingevoerde telefoonnummer om een PPP-inbelverbinding tot stand te brengen. Bij verbinding werkt uw computer alsof rechtstreeks is ingebeld op de externe locatie. Verificatie wordt uitgevoerd door de externe site.


Opmerking: deze functie is alleen mogelijk bij toegangsservers die ondersteuning bieden voor 'verplichte tunneling'. Dit zijn servers die een gewone oproep voor een PPP-inbelverbinding ontvangen, een tunnel instellen voor de verbinding en vervolgens het PPP-verkeer doorsturen naar de tunnel. Windows NT RAS biedt op dit moment geen ondersteuning voor deze functie.


6.6 Aanpassing van pakketgrootte

De grootte van IP-pakketten voor inbelverbindingen wordt automatisch aangepast op basis van de verbindingssnelheid. De instelling is 'Klein' (576) voor inbelverbindingen van 128kbps en lager en 'Groot' (1500) voor snellere inbelverbindingen of LAN-verbindingen. Daarnaast wordt de grootte van PPTP-frames aangepast op basis van de Maximum Transit Unit (MTU). Dit is om fragmentatie te voorkomen. De MTU-grootte voor zowel inbelverbindingen als PPTP-verbindingen kunt u handmatig instellen op de gewenste omvang. Gebruik hiervoor het venster met geavanceerde eigenschappen van de inbeladapter.

De informatie in dit document kan zonder voorafgaande kennisgeving worden gewijzigd en wordt
uitsluitend verstrekt ter informatie. De gebruiker is volledig aansprakelijk voor de gevolgen van het gebruik of
de resultaten van het gebruik van dit document. Microsoft
Corporation verleent dan ook geen enkele expliciete of impliciete garantie. De namen van
bedrijven, producten, mensen, symbolen en/of gegevens in dit document zijn
fictief en hebben geen enkele relatie met bestaande individuen,
bedrijven, producten of gebeurtenissen, tenzij anders vermeld. De gebruiker moet zich
houden aan de toepasselijke auteurswetgeving. Niets uit deze uitgave
mag worden verveelvoudigd en/of openbaar gemaakt door middel van
druk, fotokopie, microfilm, of op welke andere wijze dan ook en evenmin in een gegevens-opzoeksysteem
worden opgeslagen zonder voorafgaande schriftelijke toestemming van Microsoft Corporation.

Microsoft is mogelijk in het bezit van octrooien, aanvragen voor octrooien,
handelsmerken, auteursrechten of andere intellectuele eigendomsrechten met betrekking tot materiaal
in dit document. De verschaffing van dit document geeft u geen licentie ten aanzien van deze octrooien,
handelsmerken, auteursrechten of andere intellectuele eigendomsrechten, tenzij
expliciet vermeld in een schriftelijke gebruiksrechtovereenkomst
van Microsoft.

Copyright 2001 Microsoft Corporation. Alle rechten voorbehouden.

Microsoft, MS-DOS, MS, Windows, Windows NT, Windows 2000 zijn handelsmerken of
geregistreerde handelsmerken van Microsoft Corporation in de V.S.
en/of andere landen.

De Windows 95 PPTP-client is gebaseerd op code die is ontwikkeld door 3Com Corp.

Andere hier vermelde namen van producten en bedrijven kunnen handelsmerken
zijn van de respectieve eigenaren.
Eigenschappen

Artikel-id: 297774 - Laatst bijgewerkt: 16 okt. 2003 - Revisie: 1

Feedback