Como instalar e configurar um servidor de rede virtual privado no Windows Server 2003

  • Artigo

Este artigo passo a passo descreve como instalar a VPN (rede virtual privada) e como criar uma nova conexão VPN em servidores que estão executando o Windows Server 2003.

Para obter uma versão do Microsoft Windows XP deste artigo, consulte 314076.

Aplica-se a: Windows Server 2003
Número de KB original: 323441

Resumo

Com uma rede virtual privada, você pode conectar componentes de rede por meio de outra rede, como a Internet. Você pode tornar seu computador baseado no Windows Server 2003 um servidor de acesso remoto para que outros usuários possam se conectar a ele usando VPN e, em seguida, eles podem fazer logon na rede e acessar recursos compartilhados. As VPNs fazem isso "túnel" pela Internet ou por meio de outra rede pública de uma maneira que fornece a mesma segurança e recursos de uma rede privada. Os dados são enviados pela rede pública usando sua infraestrutura de roteamento, mas para o usuário, ele aparece como se os dados forem enviados por meio de um link privado dedicado.

Visão geral da VPN

Uma rede virtual privada é um meio de se conectar a uma rede privada (como sua rede de office) por meio de uma rede pública (como a Internet). Uma VPN combina as virtudes de uma conexão discada com um servidor discado com a facilidade e flexibilidade de uma conexão com a Internet. Usando uma conexão com a Internet, você pode viajar em todo o mundo e ainda, na maioria dos lugares, conectar-se ao seu escritório com uma chamada local para o número de telefone de acesso à Internet mais próximo. Se você tiver uma conexão com a Internet de alta velocidade (como cabo ou DSL) em seu computador e em seu escritório, poderá se comunicar com seu escritório a toda velocidade da Internet, que é muito mais rápida do que qualquer conexão discada que usa um modem analógico. Essa tecnologia permite que uma empresa se conecte a suas filiais ou a outras empresas por meio de uma rede pública, mantendo comunicações seguras. A conexão VPN na Internet funciona logicamente como um link de WAN (rede de ampla área) dedicado.

Redes virtuais privadas usam links autenticados para garantir que apenas usuários autorizados possam se conectar à sua rede. Para garantir que os dados sejam seguros à medida que viajam pela rede pública, uma conexão VPN usa o Protocolo de Túnel Ponto a Ponto (PPTP) ou Protocolo de Túnel de Camada Dois (L2TP) para criptografar dados.

Componentes de uma VPN

Uma VPN em servidores que executam o Windows Server 2003 é composta por um servidor VPN, um cliente VPN, uma conexão VPN (aquela parte da conexão em que os dados são criptografados) e o túnel (aquela parte da conexão em que os dados são encapsulados). O túnel é concluído por meio de um dos protocolos de túnel incluídos com servidores que executam o Windows Server 2003, ambos instalados com Roteamento e Acesso Remoto. O serviço de Roteamento e Acesso Remoto é instalado automaticamente durante a instalação do Windows Server 2003. Por padrão, no entanto, o serviço de Roteamento e Acesso Remoto está desativado.

Os dois protocolos de túnel incluídos no Windows são:

  • Protocolo de túnel ponto a ponto (PPTP): fornece criptografia de dados usando a Criptografia Ponto a Ponto da Microsoft.
  • Protocolo de Túnel da Camada Dois (L2TP): fornece criptografia de dados, autenticação e integridade usando IPSec.

Sua conexão com a Internet deve usar uma linha dedicada, como T1, T1 Fracionário ou Retransmissão de Quadros. O adaptador WAN deve ser configurado com o endereço IP e a máscara de sub-rede atribuída para seu domínio ou fornecida por um provedor de serviços de Internet (ISP). O adaptador WAN também deve ser configurado como o gateway padrão do roteador ISP.

Observação

Para ativar a VPN, você deve estar conectado usando uma conta que tenha direitos administrativos.

Como instalar e ativar um servidor VPN

Para instalar e ativar um servidor VPN, siga estas etapas:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.

  2. Clique no ícone do servidor que corresponde ao nome do servidor local no painel esquerdo do console. Se o ícone tiver um círculo vermelho no canto inferior esquerdo, o serviço de Roteamento e Acesso Remoto não será ativado. Se o ícone tiver uma seta verde apontando para cima no canto inferior esquerdo, o serviço de Roteamento e Acesso Remoto será ativado. Se o serviço de Roteamento e Acesso Remoto tiver sido ativado anteriormente, talvez você queira reconfigurar o servidor. Para reconfigurar o servidor:

    1. Clique com o botão direito do mouse no objeto do servidor e clique em Desabilitar Roteamento e Acesso Remoto. Clique em Sim para continuar quando você for solicitado com uma mensagem informativa.
    2. Clique com o botão direito do mouse no ícone do servidor e clique em Configurar e Habilitar Roteamento e Acesso Remoto para iniciar o Assistente de Configuração do Servidor de Roteamento e Acesso Remoto. Clique em Avançar para continuar.
    3. Clique em Acesso remoto (discagem ou VPN) para ativar computadores remotos para discar ou se conectar a essa rede por meio da Internet. Clique em Avançar para continuar.

  3. Clique para selecionar VPN ou Discagem , dependendo da função que você pretende atribuir a este servidor.

  4. Na janela Conexão VPN , clique na interface de rede conectada à Internet e clique em Avançar.

  5. Na janela Atribuição de Endereço IP , clique automaticamente se um servidor DHCP será usado para atribuir endereços a clientes remotos ou clique em De um intervalo especificado de endereços se os clientes remotos precisarem receber apenas um endereço de um pool pré-definido. Na maioria dos casos, a opção DHCP é mais simples de administrar. No entanto, se o DHCP não estiver disponível, você deverá especificar um intervalo de endereços estáticos. Clique em Avançar para continuar.

  6. Se você clicar em De um intervalo especificado de endereços, a caixa de diálogo Atribuição de Intervalo de Endereços será aberta. Clique em Novo. Digite o primeiro endereço IP no intervalo de endereços que você deseja usar na caixa Iniciar endereço IP . Digite o último endereço IP no intervalo na caixa endereço IP final . O Windows calcula o número de endereços automaticamente. Clique em OK para retornar à janela Atribuição de Intervalo de Endereços . Clique em Avançar para continuar.

  7. Aceite a configuração padrão de Não, use Roteamento e Acesso Remoto para autenticar solicitações de conexão e clique em Avançar para continuar. Clique em Concluir para ativar o serviço de Roteamento e Acesso Remoto e configurar o servidor como um servidor de Acesso Remoto.

Como configurar o servidor VPN

Para continuar a configurar o servidor VPN conforme necessário, siga estas etapas.

Como configurar o servidor de acesso remoto como um roteador

Para que o servidor de acesso remoto encaminhe o tráfego corretamente dentro de sua rede, você deve configurá-lo como um roteador com rotas estáticas ou protocolos de roteamento, para que todos os locais na intranet sejam acessíveis do servidor de acesso remoto.

Para configurar o servidor como um roteador:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.
  2. Clique com o botão direito do mouse no nome do servidor e clique em Propriedades.
  3. Clique na guia Geral e clique em selecionar Roteador em Habilitareste computador como um.
  4. Clique em LAN e roteamento de discagem de demanda e clique em OK para fechar a caixa de diálogo Propriedades.

Como modificar o número de conexões simultâneas

O número de conexões de modem discada depende do número de modems instalados no servidor. Por exemplo, se você tiver apenas um modem instalado no servidor, poderá ter apenas uma conexão de modem por vez.

O número de conexões VPN discadas depende do número de usuários simultâneos que você deseja permitir. Por padrão, ao executar o procedimento descrito neste artigo, você permite 128 conexões. Para alterar o número de conexões simultâneas, siga estas etapas:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.
  2. Clique duas vezes no objeto do servidor, clique com o botão direito do mouse em Portas e clique em Propriedades.
  3. Na caixa de diálogo Propriedades de Portas , clique em Wan Miniport (PPTP)>Configurar.
  4. Na caixa Portas máximas , digite o número de conexões VPN que você deseja permitir.
  5. Clique em OK>OK e, em seguida, feche Roteamento e Acces Remotos.

Como gerenciar endereços e servidores de nome

O servidor VPN deve ter endereços IP disponíveis para atribuí-los à interface virtual do servidor VPN e aos clientes VPN durante a fase de negociação do Protocolo de Controle IP (IPCP) do processo de conexão. O endereço IP atribuído ao cliente VPN é atribuído à interface virtual do cliente VPN.

Para servidores VPN baseados no Windows Server 2003, os endereços IP atribuídos aos clientes VPN são obtidos por padrão por DHCP. Você também pode configurar um pool de endereços IP estático. O servidor VPN também deve ser configurado com servidores de resolução de nomes, normalmente DNS e endereços de servidor WINS, para atribuir ao cliente VPN durante a negociação IPCP.

Como gerenciar o acesso

Configure as propriedades discadas em contas de usuário e políticas de acesso remoto para gerenciar o acesso para conexões de rede discada e VPN.

Observação

Por padrão, os usuários têm acesso negado à rede discada.

Acesso por conta de usuário

Para conceder acesso discado a uma conta de usuário se você estiver gerenciando o acesso remoto em uma base de usuário, siga estas etapas:

  1. Clique em Iniciar , aponte para Ferramentas Administrativas e clique em Usuários e Computadores do Active Directory .
  2. Clique com o botão direito do mouse na conta do usuário e clique em Propriedades.
  3. Clique na guia Discar .
  4. Clique em Permitir acesso para conceder a permissão do usuário para discar. Clique em OK.

Acesso por associação de grupo

Se você gerenciar o acesso remoto em grupo, siga estas etapas:

  1. Crie um grupo com membros que têm permissão para criar conexões VPN.
  2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.
  3. Na árvore do console, expanda Roteamento e Acesso Remoto, expanda o nome do servidor e clique em Políticas de Acesso Remoto.
  4. Clique com o botão direito do mouse em qualquer lugar no painel direito, aponte para Novo e clique em Política de Acesso Remoto.
  5. Clique em Avançar, digite o nome da política e clique em Avançar.
  6. Clique em VPN para o método de acesso virtual privado ou clique em Discar para acesso discado e clique em Avançar.
  7. Clique em Adicionar, digite o nome do grupo que você criou na etapa 1 e clique em Avançar.
  8. Siga as instruções na tela para concluir o assistente.

Se o servidor VPN já permitir serviços de acesso remoto de rede discada, não exclua a política padrão. Em vez disso, mova-a para que seja a última política a ser avaliada.

Como configurar uma conexão VPN de um computador cliente

Para configurar uma conexão com uma VPN, siga estas etapas. Para configurar um cliente para acesso à rede virtual privada, siga estas etapas na estação de trabalho do cliente:

Observação

Você deve estar conectado como membro do grupo Administradores para seguir estas etapas.

Como há diversas versões do Microsoft Windows, as seguintes etapas podem ser diferentes no computador. Se esse for o caso, consulte a documentação do produto para concluir essas etapas.

  1. No computador cliente, confirme se a conexão com a Internet está configurada corretamente.

  2. Clique em Iniciar>Painel de Controle>Network Connections. Clique em Criar uma nova conexão emTarefas de Rede e clique em Avançar.

  3. Clique em Conectar à rede no meu local de trabalho para criar a conexão discada. Clique em Avançar para continuar.

  4. Clique em Conexão de Rede Virtual Privada e clique em Avançar.

  5. Digite um nome descritivo para essa conexão na caixa de diálogo Nome da Empresa e clique em Avançar.

  6. Clique em Não discar a conexão inicial se o computador estiver permanentemente conectado à Internet. Se o computador se conectar à Internet por meio de um PROVEDOR de Serviços de Internet (ISP), clique em Discar automaticamente essa conexão inicial e clique no nome da conexão com o ISP. Clique em Próximo.

  7. Digite o endereço IP ou o nome do host do computador do servidor VPN (por exemplo, VPNServer.SampleDomain.com).

  8. Clique no uso de Qualquer pessoa se você quiser permitir que qualquer usuário que faça logon na estação de trabalho tenha acesso a essa conexão discada. Clique em Meu uso somente se você quiser que essa conexão esteja disponível apenas para o usuário conectado no momento. Clique em Próximo.

  9. Clique em Concluir para salvar a conexão.

  10. Clique em Iniciar>Painel de Controle>Network Connections.

  11. Clique duas vezes na nova conexão.

  12. Clique em Propriedades para continuar a configurar opções para a conexão. Para continuar a configurar opções para a conexão, siga estas etapas:

    • Se você estiver se conectando a um domínio, clique na guia Opções e clique para selecionar a caixa Incluir domínio de logon do Windows marcar para especificar se deseja solicitar informações de domínio de logon do Windows Server 2003 antes de tentar se conectar.
    • Se você quiser que a conexão seja redial se a linha for descartada, clique na guia Opções e clique para selecionar o Redial se a linha for descartada marcar caixa.

Para usar a conexão, siga estas etapas:

  1. Clique em Iniciar, aponte para Conectar e clique na nova conexão.

  2. Se você não tiver atualmente uma conexão com a Internet, o Windows se oferece para se conectar à Internet.

  3. Quando a conexão com a Internet é feita, o servidor VPN solicita seu nome de usuário e senha. Digite seu nome de usuário e senha e clique em Conectar. Seus recursos de rede devem estar disponíveis para você da mesma forma que quando você se conecta diretamente à rede.

    Observação

    Para se desconectar da VPN, clique com o botão direito do mouse no ícone de conexão e clique em Desconectar.

Solução de problemas

Solução de problemas de VPNs de acesso remoto

Não é possível estabelecer uma conexão VPN de acesso remoto

  • Causa: o nome do computador cliente é o mesmo que o nome de outro computador na rede.

    Solução: verifique se os nomes de todos os computadores na rede e computadores que se conectam à rede estão usando nomes de computador exclusivos.

  • Causa: o serviço de Roteamento e Acesso Remoto não é iniciado no servidor VPN.

    Solução: verifique o estado do serviço de Roteamento e Acesso Remoto no servidor VPN.

    Para obter mais informações sobre como monitorar o serviço de Roteamento e Acesso Remoto e como iniciar e parar o serviço de Roteamento e Acesso Remoto, consulte Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o acesso remoto não está ativado no servidor VPN.

    Solução: ativar o acesso remoto no servidor VPN.

    Para obter mais informações sobre como ativar o servidor de acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: as portas PPTP ou L2TP não estão ativadas para solicitações de acesso remoto de entrada.

    Solução: ative portas PPTP ou L2TP ou ambas para solicitações de acesso remoto de entrada.

    Para obter mais informações sobre como configurar portas para acesso remoto, consulte o Centro de Suporte e Ajuda do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: os protocolos LAN usados pelos clientes VPN não estão ativados para acesso remoto no servidor VPN.

    Solução: ative os protocolos LAN usados pelos clientes VPN para acesso remoto no servidor VPN.

    Para obter mais informações sobre como exibir propriedades do servidor de acesso remoto, consulte o Centro de Suporte e Ajuda do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: todas as portas PPTP ou L2TP no servidor VPN já estão sendo usadas por clientes de acesso remoto atualmente conectados ou roteadores de discagem por demanda.

    Solução: verifique se todas as portas PPTP ou L2TP no servidor VPN já estão sendo usadas. Para fazer isso, clique em Portas em Roteamento e Acesso Remoto. Se o número de portas PPTP ou L2TP permitidas não for alto o suficiente, altere o número de portas PPTP ou L2TP para permitir conexões mais simultâneas.

    Para obter mais informações sobre como adicionar portas PPTP ou L2TP, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o servidor VPN não dá suporte ao protocolo de túnel do cliente VPN.

    Por padrão, os clientes VPN de acesso remoto do Windows Server 2003 usam a opção Tipo de servidor automático, o que significa que eles tentam estabelecer uma conexão VPN baseada em L2TP por IPSec primeiro e, em seguida, tentam estabelecer uma conexão VPN baseada em PPTP. Se os clientes VPN usarem a opção de tipo de servidor PPTP (Protocolo de Túnel Ponto a Ponto) ou protocolo de túnel L2TP (Layer-2), verifique se o protocolo de túnel selecionado é compatível com o servidor VPN.

    Por padrão, um computador que executa o Windows Server 2003 Server e o serviço de Roteamento e Acesso Remoto é um servidor PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um servidor somente PPTP, defina o número de portas L2TP como zero. Para criar um servidor somente L2TP, defina o número de portas PPTP como zero.

    Solução: verifique se o número apropriado de portas PPTP ou L2TP está configurado.

    Para obter mais informações sobre como adicionar portas PPTP ou L2TP, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o cliente VPN e o servidor VPN em conjunto com uma política de acesso remoto não estão configurados para usar pelo menos um método de autenticação comum.

    Solução: configure o cliente VPN e o servidor VPN em conjunto com uma política de acesso remoto para usar pelo menos um método de autenticação comum.

    Para obter mais informações sobre como configurar a autenticação, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o cliente VPN e o servidor VPN em conjunto com uma política de acesso remoto não estão configurados para usar pelo menos um método de criptografia comum.

    Solução: configure o cliente VPN e o servidor VPN em conjunto com uma política de acesso remoto para usar pelo menos um método de criptografia comum.

    Para obter mais informações sobre como configurar a criptografia, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: a conexão VPN não tem as permissões apropriadas por meio de propriedades discadas da conta de usuário e políticas de acesso remoto.

    Solução: verifique se a conexão VPN tem as permissões apropriadas por meio de propriedades discadas da conta de usuário e das políticas de acesso remoto. Para que a conexão seja estabelecida, as configurações da tentativa de conexão devem:

    • Corresponda a todas as condições de pelo menos uma política de acesso remoto.
    • Seja concedida permissão de acesso remoto por meio da conta de usuário (definida como Permitir acesso) ou por meio da conta de usuário (definida como Controlar acesso por meio da Política de Acesso Remoto) e da permissão de acesso remoto correspondente da política de acesso remoto correspondente (definida como Conceder permissão de acesso remoto).
    • Corresponda a todas as configurações do perfil.
    • Corresponda a todas as configurações das propriedades discadas da conta de usuário.

    Para obter mais informações sobre uma introdução às políticas de acesso remoto e como aceitar uma tentativa de conexão, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: as configurações do perfil de política de acesso remoto estão em conflito com as propriedades do servidor VPN.

    As propriedades do perfil de política de acesso remoto e as propriedades do servidor VPN contêm configurações para:

    • Multilink.
    • Protocolo de alocação de largura de banda (BAP).
    • Protocolos de autenticação.

    Se as configurações do perfil da política de acesso remoto correspondente estiverem em conflito com as configurações do servidor VPN, a tentativa de conexão será rejeitada. Por exemplo, se o perfil de política de acesso remoto correspondente especificar que o protocolo de autenticação extensível – EAP-TLS (Transport Level Security) deve ser usado e o EAP não estiver habilitado no servidor VPN, a tentativa de conexão será rejeitada.

    Solução: verifique se as configurações do perfil de política de acesso remoto não estão em conflito com as propriedades do servidor VPN.

    Para obter mais informações sobre protocolos multilink, BAP e autenticação, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o roteador de resposta não pode validar as credenciais do roteador de chamada (nome de usuário, senha e nome de domínio).

    Solução: verifique se as credenciais do cliente VPN (nome de usuário, senha e nome de domínio) estão corretas e podem ser validadas pelo servidor VPN.

  • Causa: não há endereços suficientes no pool de endereços IP estático.

    Solução: se o servidor VPN estiver configurado com um pool de endereços IP estático, verifique se há endereços suficientes no pool. Se todos os endereços no pool estático tiverem sido alocados para clientes VPN conectados, o servidor VPN não poderá alocar um endereço IP e a tentativa de conexão será rejeitada. Se todos os endereços no pool estático tiverem sido alocados, modifique o pool.

    Para obter mais informações sobre o TCP/IP e o acesso remoto e como criar um pool de endereços IP estático, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o cliente VPN está configurado para solicitar seu próprio número de nó IPX e o servidor VPN não está configurado para permitir que clientes IPX solicitem seu próprio número de nó IPX.

    Solução: configure o servidor VPN para permitir que clientes IPX solicitem seu próprio número de nó IPX.

    Para obter mais informações sobre IPX e acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o servidor VPN está configurado com um intervalo de números de rede IPX que estão sendo usados em outros lugares em sua rede IPX.

    Solução: configure o servidor VPN com um intervalo de números de rede IPX exclusivos para sua rede IPX.

    Para obter mais informações sobre IPX e acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o provedor de autenticação do servidor VPN está configurado incorretamente.

    Solução: verifique a configuração do provedor de autenticação. Você pode configurar o servidor VPN para usar o Windows Server 2003 ou o RADIUS (Serviço de Usuário Discado de Autenticação Remota) para autenticar as credenciais do cliente VPN.

    Para obter mais informações sobre provedores de autenticação e contabilidade, consulte o Centro de Ajuda e Suporte do Windows Server 2003 e como usar a autenticação RADIUS. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o servidor VPN não pode acessar o Active Directory.

    Solução: para um servidor VPN que é um servidor membro em um domínio do Windows Server 2003 de modo misto ou de modo nativo configurado para autenticação do Windows Server 2003, verifique se:

    • O grupo de segurança RAS e IAS Servers existe. Caso contrário, crie o grupo e defina o tipo de grupo como Segurança e o escopo do grupo como Domínio local.

    • O grupo de segurança RAS e IAS Servers tem permissão de leitura para o objeto RAS e IAS Servers Access Check .

    • A conta de computador do computador do servidor VPN é membro do grupo de segurança RAS e IAS Servers . Você pode usar o netsh ras show registeredserver comando para exibir o registro atual. Você pode usar o netsh ras add registeredserver comando para registrar o servidor em um domínio especificado.

      Se você adicionar (ou remover) o computador do servidor VPN ao grupo de segurança RAS e IAS Servers, a alteração não entrará em vigor imediatamente (devido à maneira como o Windows Server 2003 armazena em cache informações do Active Directory). Para efetivar imediatamente essa alteração, reinicie o computador do servidor VPN.

    • O servidor VPN é um membro do domínio.

    Para obter mais informações sobre como adicionar um grupo, como verificar permissões para o grupo de segurança RAS e IAS e sobre netsh comandos para acesso remoto, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: um servidor VPN baseado em Windows NT 4.0 não pode validar solicitações de conexão.

    Solução: se os clientes VPN estiverem discando para um servidor VPN em execução Windows NT 4.0 que é membro de um domínio de modo misto do Windows Server 2003, verifique se o grupo Todos é adicionado ao grupo de Acesso Compatível pré-Windows 2000 com o seguinte comando:

    "net localgroup "Pre-Windows 2000 Compatible Access""

    Caso contrário, digite o seguinte comando em um prompt de comando em um computador controlador de domínio e reinicie o computador controlador de domínio:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Para obter mais informações sobre Windows NT servidor de acesso remoto 4.0 em um domínio do Windows Server 2003, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: o servidor VPN não pode se comunicar com o servidor RADIUS configurado.

    Solução: se você puder acessar o servidor RADIUS somente por meio da interface da Internet, faça um dos seguintes procedimentos:

    • Adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1812 (com base no RFC 2138, "RADIUS (Serviço de Usuário Discado de Autenticação Remota)"). -ou-
    • Adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1645 (para servidores RADIUS mais antigos), para autenticação RADIUS e porta UDP 1813 (com base em RFC 2139, "Contabilidade RADIUS"). -ou-
    • -ou- Adicionar um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1646 (para servidores RADIUS mais antigos) para a contabilidade RADIUS.

    Para obter mais informações sobre como adicionar um filtro de pacote, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: não é possível se conectar ao servidor VPN pela Internet usando o utilitário Ping.exe.

    Solução: devido à filtragem de pacotes PPTP e L2TP por IPSec configurada na interface da Internet do servidor VPN, os pacotes ICMP (Protocolo de Mensagem de Controle de Internet) usados pelo comando ping são filtrados. Para ativar o servidor VPN para responder a pacotes ICMP (ping), adicione um filtro de entrada e um filtro de saída que permita o tráfego para o protocolo IP 1 (tráfego ICMP).

    Para obter mais informações sobre como adicionar um filtro de pacote, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

Não é possível enviar e receber dados

  • Causa: a interface de discagem de demanda apropriada não foi adicionada ao protocolo que está sendo roteado.

    Solução: adicione a interface apropriada de discagem de demanda ao protocolo que está sendo roteado.

    Para obter mais informações sobre como adicionar uma interface de roteamento, consulte o Centro de Ajuda e Suporte do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: não há rotas em ambos os lados da conexão VPN roteador a roteador que dão suporte à troca bidirecional de tráfego.

    Solução: ao contrário de uma conexão VPN de acesso remoto, uma conexão VPN roteador a roteador não cria automaticamente uma rota padrão. Crie rotas em ambos os lados da conexão VPN roteador a roteador para que o tráfego possa ser roteado de e para o outro lado da conexão VPN roteador a roteador.

    Você pode adicionar rotas estáticas manualmente à tabela de roteamento ou adicionar rotas estáticas por meio de protocolos de roteamento. Para conexões VPN persistentes, você pode ativar o OSPF (Open Shortest Path First) ou o RIP (Protocolo de Informações de Roteamento) na conexão VPN. Para conexões VPN sob demanda, você pode atualizar automaticamente rotas por meio de uma atualização RIP estática automática. Para obter mais informações sobre como adicionar um protocolo de roteamento IP, como adicionar uma rota estática e como executar atualizações estáticas automáticas, consulte Ajuda online do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: iniciado de duas vias, o roteador de resposta como uma conexão de acesso remoto está interpretando a conexão VPN roteador a roteador.

    Solução: se o nome de usuário nas credenciais do roteador de chamada aparecer em Clientes De Discagem em Roteamento e Acesso Remoto, o roteador de resposta poderá interpretar o roteador de chamada como um cliente de acesso remoto. Verifique se o nome de usuário nas credenciais do roteador de chamada corresponde ao nome de uma interface demand-dial no roteador de resposta. Se o chamador de entrada for um roteador, a porta na qual a chamada foi recebida mostrará uma status do Active e a interface de discagem de demanda correspondente está em um estado Conectado.

    Para obter mais informações sobre como marcar o status da porta no roteador de resposta e como marcar o status da interface de discagem por demanda, consulte Ajuda online do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: os filtros de pacote nas interfaces de discagem por demanda do roteador de chamada e do roteador de resposta estão impedindo o fluxo de tráfego.

    Solução: verifique se não há filtros de pacote nas interfaces de discagem de demanda do roteador de chamada e do roteador de resposta que impedem o envio ou recebimento de tráfego. Você pode configurar cada interface de discagem de demanda com filtros de entrada e saída IPX e IPX para controlar a natureza exata do tráfego TCP/IP e IPX permitido dentro e fora da interface de discagem de demanda.

    Para obter mais informações sobre como gerenciar filtros de pacote, consulte Ajuda online do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.

  • Causa: os filtros de pacote no perfil da política de acesso remoto estão impedindo o fluxo de tráfego IP.

    Solução: verifique se não há filtros de pacote TCP/IP configurados nas propriedades de perfil das políticas de acesso remoto no servidor VPN (ou no servidor RADIUS se o Serviço de Autenticação da Internet for usado) que estejam impedindo o envio ou o recebimento de tráfego TCP/IP. Você pode usar políticas de acesso remoto para configurar filtros de pacote de entrada e saída TCP/IP que controlam a natureza exata do tráfego TCP/IP permitido na conexão VPN. Verifique se os filtros de pacote TCP/IP de perfil não estão impedindo o fluxo de tráfego.

    Para obter mais informações sobre como configurar opções de IP, consulte Ajuda online do Windows Server 2003. Clique em Iniciar para acessar o Centro de Ajuda e Suporte do Windows Server 2003.