技術診斷分析:處理VPN連接故障
用戶不能訪問文件服務器
如果這個用戶可以通過IP地址但不能通過名稱來訪問文件服務器,最有可能的原因是域名解析的問題。可能會是NetBIOS 或者DNS主機名解析有問題。如果客戶端操作系統使用NetBIOS,VPN服務器就應該為該VPN客戶端分配一個內網主機名。
如果使用DNS來為VPN用戶解析內部網主機名,一定要確保這些客戶端能夠正確解析企業網絡中所使用的域名。如果無域的計算機試圖使用DNS來解析位于VPN服務器后面的內網服務器域名,就經常會遇到這個問題。
用戶不能訪問企業網的任何內容
有時候用戶能夠連接到遠程VPN服務器,但是不能夠連接到企業網絡內的任何資源。它們不能解析主機名,甚至也不能ping通企業網絡里的資源。
這個問題最常見的原因是該用戶連接到的網絡同VPN服務器后面的企業網絡使用的是同樣的網絡ID。例如,該用戶連接到一個賓館寬帶網絡中,該網絡使用的ID是10.0.0.0/24。如果企業網也使用了10.0.0.0/24這個ID,它們就不能連接,因為VPN客戶端機器會把目標地址當作本地網絡地址,所以就不會通過VPN界面連接到遠程網絡上。
另一個常見的通訊失敗的原因是VPN客戶端連接到的VPN服務器/防火墻設備上的規則不允許該客戶端訪問企業網絡里的資源。解決的方法是修改防火墻的配置,允許VPN客戶端訪問適當的網絡資源。
用戶不能從NAT設備后連接到VPN服務器
絕大部分防火墻和NAT路由器支持NAT設備后面的PPTP VPN協議。然而,一些高端的網絡設備供應商卻并沒有為PPTP VPN協議設置NAT編輯器。如果用戶是在這樣一個設備后面,使用PPTP進行VPN連接就會失敗,而使用VPN協議則可以成功。
所有的NAT設備和防火墻都支持基于IPSec的VPN協議IPSecpassthrough。這些VPN協議包括IPSec渠道模式和兼容RFC的L2TP/IPSec。這些VPN協議可以支持NAT,IPSec通信被壓縮成UDP報頭在網絡中往返。
如果你的VPN客戶端和服務器支持NAT,客戶端嘗試使用L2TP/IPSec穿過一個NAT連接一臺兼容NAT-T的VPN服務器,那么出現這種問題最有可能的原因是客戶端使用了Windows XP Service Pack 2。Service Pack 2阻止了L2TP/IPSec VPN 客戶端的NAT通信。如果想解決這個問題,你可以按照Microsoft Knowledge Base article 885407中的指導,對VPN客戶端機器注冊表進行修改。
用戶抱怨速度太慢
性能差是最難解決的問題之一。有很多種可能的原因,重要的是要獲得用戶的準確而詳細的描述,說清楚他們在做什么,以及什么時候發現速度慢的。
VPN客戶端覺得速度慢最常見的一個原因是這些客戶端位于一個使用PPPoE的DSL網絡后面。這些網絡連接經常會遇到最大傳輸單元(MTU)問題,這個問題會造成連接和性能兩方面的影響。如果想了解更多的關于微軟客戶端MTU問題的信息,請參看Microsoft Knowledge Base article 283165。
【編輯推薦】
