虛擬專用網絡服務器VPN疑難解答
繼上文如何安裝和配置虛擬專用網絡服務器之后,本文繼續介紹虛擬專用網絡服務器VPN疑難解答。
疑難解答
遠程訪問VPN的疑難解答
無法建立遠程訪問VPN連接
·原因:客戶計算機的名稱與網絡上另一臺計算機的名稱相同。
解決方案:驗證網絡上的所有計算機和連接到網絡的計算機是否都使用唯一的計算機名稱。
·原因:VPN服務器上未啟動“路由和遠程訪問”服務。
解決方案:驗證VPN服務器上“路由和遠程訪問”服務的狀態。
·原因:VPN服務器上未啟用遠程訪問。
解決方案:在VPN服務器上啟用遠程訪問。
·原因:未為入站遠程訪問請求打開PPTP或L2TP端口。
解決方案:為入站遠程訪問請求打開PPTP或L2TP端口,或同時打開兩個端口。
·原因:在VPN服務器上未啟用VPN客戶端使用的LAN協議來支持遠程訪問。
解決方案:在VPN服務器上啟用VPN客戶端使用的LAN協議以支持遠程訪問。
·原因:VPN服務器上的所有PPTP或L2TP端口已被當前連接的遠程訪問客戶端或請求撥號路由器使用。
解決方案:驗證VPN服務器上的所有PPTP或L2TP端口是否都已被使用。為此,請在“路由和遠程訪問”中單擊端口。如果允許的PPTP或L2TP端口的數目不夠高,則可以更改PPTP或L2TP端口的數目以允許更多的同時連接。
·原因:VPN服務器不支持VPN客戶端的隧道協議。
默認情況下,WindowsServer2003的遠程訪問VPN客戶端使用自動服務器類型選項,這意味著他們試圖首先建立一個基于IPSsec的L2TPVPN連接,然后試圖建立一個基于PPTP的VPN連接。如果VPN客戶端使用點對點隧道協議(PPTP)或第2層隧道協議(L2TP)兩者中的一種服務器類型選項,請驗證選中的隧道協議是否受VPN服務器支持。
默認情況下,一臺運行WindowsServer2003和“路由和遠程訪問”服務的計算機就是一個有五個L2TP端口和五個PPTP端口的PPTP和L2TP服務器。若要使創建的服務器只為PPTP服務器,請將L2TP端口的數量設置為零。若要使創建的服務只為L2TP服務器,請將PPTP端口的數量設置為零。
解決方案:驗證是否配置了相應數目的PPTP或L2TP端口。
·原因:VPN客戶端和VPN服務器以及遠程訪問策略未配置為至少使用一種通用身份驗證方法。
解決方案:將VPN客戶端和VPN服務器以及遠程訪問策略配置為至少使用一種通用身份驗證方法。
·原因:VPN客戶端和VPN服務器以及遠程訪問策略未配置為至少使用一種通用加密方法。
解決方案:將VPN客戶端和VPN服務器以及遠程訪問策略配置為至少使用一種通用加密方法。
·原因:VPN連接在用戶帳戶撥入屬性以及在遠程訪問策略中沒有適當的權限。
解決方案:驗證VPN連接在用戶帳戶撥入屬性以及在遠程訪問策略中是否有適當的權限。若要建立連接,連接嘗試的設置必須:
至少滿足一種遠程訪問策略的所有條件。
通過用戶帳戶(設置為允許訪問)或通過用戶帳戶(設置為“通過遠程訪問策略控制訪問”)授予遠程訪問權限,并授予匹配的遠程訪問策略的遠程訪問權限(設置為“授予遠程訪問權限”)。
與該配置文件的所有設置匹配。
與該用戶帳戶的撥入屬性的所有設置相匹配。
·原因:遠程訪問策略配置文件的設置與VPN服務器的屬性沖突。
遠程訪問策略配置文件的屬性和VPN服務器的屬性都包含下列設置:
多重鏈接。帶寬分配協議(BAP)。
身份驗證協議。
如果相應的遠程訪問策略的配置文件的設置與VPN服務器的設置沖突,則連接嘗試將被拒絕。例如,如果相應的遠程訪問策略配置文件指定必須使用可擴展身份驗證協議—傳輸層安全性(EAP-TLS)身份驗證協議,而VPN服務器上未啟用EAP,則連接嘗試將被拒絕。
解決方案:驗證遠程訪問策略配置文件的設置以確保不與VPN服務器的屬性沖突。
·原因:應答路由器無法驗證呼叫路由器的憑據(用戶名、密碼和域名)。
解決方案:驗證VPN客戶端的憑據(用戶名、密碼和域名)是否正確以及是否可被VPN服務器驗證。
·原因:在靜態IP地址池中沒有足夠的地址。
解決方案:如果VPN服務器配置了靜態IP地址池,請驗證池中是否有足夠的地址。如果靜態池中的所有地址都已分配給已連接的VPN客戶端,則VPN服務器將無法分配IP地址,連接嘗試將被拒絕。如果已分配了靜態池中的所有地址,則修改池。
·原因:VPN客戶端配置為可請求其自己的IPX節點編號,而VPN服務器配置為不允許IPX客戶端請求它們自己的IPX節點編號。
解決方案:配置VPN服務器使之允許IPX客戶端請求它們自己的IPX節點編號。
·原因:給VPN服務器配置了一段IPX網絡上其他地方正在使用的IPX網絡編號范圍。
解決方案:給VPN服務器配置一個在IPX網絡上唯一的IPX網絡編號范圍。
·原因:VPN服務器的身份驗證提供程序配置不正確。
解決方案:驗證身份驗證提供程序的配置是否正確。您可以配置VPN服務器使用WindowsServer2003或遠程身份驗證撥入用戶服務(RADIUS)來驗證VPN客戶端的憑據。
·原因:VPN服務器無法訪問ActiveDirectory。
解決方案:如果VPN服務器是混合模式或本機模式WindowsServer2003域的一個成員服務器而且配置為使用WindowsServer2003身份驗證,則請驗證:
“RAS和IAS服務器”安全組是否存在。如果不存在,請創建該組并將組類型設置為“安全”并將組作用域設置為“本地域”。
“RAS和IAS服務器”安全組對“RAS和IAS服務器訪問檢查”對象有讀取權限。
VPN服務器計算機的計算機帳戶是“RAS和IAS服務器”安全組中的一個成員。可以使用“netshrasshowregisteredserver”命令查看當前注冊。可以使用“netshrasaddregisteredserver”命令在指定的域中注冊服務器。
如果您向RAS和IAS服務器安全組添加(或從中去除)VPN服務器計算機,則此更改不會立即生效(這是由WindowsServer2003緩存ActiveDirectory信息的方式決定的)。若要使更改立即生效,請重新啟動VPN服務器計算機。
VPN服務器是該域的一個成員。
·原因:基于WindowsNT4.0的VPN服務器無法驗證連接請求。
解決方案:如果VPN客戶端正在撥入到運行著WindowsNT4.0的VPN服務器,而此服務器是WindowsServer2003混合模式域的成員,則請使用下列命令驗證Everyone組是否已添加到Pre-Windows2000CompatibleAccess組中:
"netlocalgroup"Pre-Windows2000CompatibleAccess""
如果沒有,則請在域控制器計算機上的命令提示符處鍵入下列命令,然后重新啟動域控制器計算機:
netlocalgroup"Pre-Windows2000CompatibleAccess"everyone/add
·原因:VPN服務器無法與配置的RADIUS服務器通訊。
解決方案:如果只能通過Internet接口訪問RADIUS服務器,則執行以下操作之一:
為UDP端口1812的Internet接口添加一個輸入過濾器和一個輸出過濾器(依據RFC2138“遠程身份驗證撥入用戶服務(RADIUS)”)。–或-
為UDP端口1645(針對較早的RADIUS服務器)以及RADIUS身份驗證和UDP端口1813(基于RFC2139“RADIUS計帳”)的Internet接口添加一個輸入篩選器和一個輸出篩選器。-或-
為用于RADIUS計帳的UDP端口1646(針對較早的RADIUS服務器)的Internet接口添加一個輸入篩選器和一個輸出篩選器。
·原因:無法使用Ping.exe實用程序通過Internet連接到VPN服務器。
解決方案:由于在VPN服務器的Internet接口上配置了基于IPSec的PPTP和L2TP數據包篩選,ping命令使用的Internet控制消息協議(ICMP)數據包被篩選掉了。若要讓VPN服務器能夠響應ICMP(ping)數據包,請添加允許IP協議1通信量(ICMP通信量)的輸入篩選器和輸出篩選器。
“無法發送和接收數據”
·原因:未給被路由的協議添加適當的請求撥號接口。
解決方案:給被路由的協議添加適當的請求撥號接口。
·原因:路由器對路由器VPN連接的兩端都沒有支持雙向通信量交換的路由。
解決方案:與遠程訪問VPN連接不同,路由器對路由器VPN連接不會自動創建默認路由。在路由器對路由器VPN連接的兩端都創建路由,以便路由器對路由器VPN連接兩端的通信量都可以路由到對方。
您可以手動向路由表中添加靜態路由,也可以通過路由協議添加靜態路由。對于持續性VPN連接,您可以在VPN連接上啟用“開放式最短路徑優先(OSPF)”或“路由信息協議(RIP)”。對于請求VPN連接,可以通過自動靜態RIP更新來自動更新路由。
·原因:雙向初始化的應答路由器作為遠程訪問連接,正在解釋路由器對路由器的VPN連接。
解決方案:如果呼叫路由器的憑據中的用戶名出現在“路由和遠程訪問”中的撥入客戶端下,則應答路由器將把呼叫路由器解釋為遠程訪問客戶端。請驗證呼叫路由器的憑據中的用戶名是否與應答路由器上請求撥號接口的名稱匹配。如果傳入呼叫方是一個路由器,則接收呼叫的端口將顯示為活動狀態,而且相應的請求撥號接口處于連接狀態。
·原因:呼叫路由器和應答路由器的請求撥號接口上的數據包篩選器使通信量不能傳輸。
解決方案:驗證以確保呼叫路由器和應答路由器的請求撥號接口上不存在阻止通信量傳輸的數據包篩選器。可以給各請求撥號接口配置IP和IPX輸入和輸出篩選器,以精確控制允許進出該請求撥號接口的TCP/IP和IPX通信量的性質。
·原因:遠程訪問策略配置文件中的數據包篩選器阻止了IP通信量的傳輸。
解決方案:驗證以確保VPN服務器(如果使用了Internet身份驗證服務則是RADIUS服務器)上的遠程訪問策略的配置文件屬性上未配置阻止TCP/IP通信量接發的TCP/IP數據包篩選器。您可以使用遠程訪問策略來配置TCP/IP輸入和輸出數據包篩選器,以精確控制VPN連接上允許的TCP/IP通信量的性質。驗證以確保配置文件TCP/IP數據包篩選器未阻止通信量的傳輸。
希望本文介紹的虛擬專用網絡服務器VPN的疑難解答能夠對讀者有所幫助。
【編輯推薦】
