虛擬專用網(wǎng)絡(luò)服務(wù)器VPN疑難解答
繼上文如何安裝和配置虛擬專用網(wǎng)絡(luò)服務(wù)器之后,本文繼續(xù)介紹虛擬專用網(wǎng)絡(luò)服務(wù)器VPN疑難解答。
疑難解答
遠(yuǎn)程訪問VPN的疑難解答
無法建立遠(yuǎn)程訪問VPN連接
·原因:客戶計(jì)算機(jī)的名稱與網(wǎng)絡(luò)上另一臺(tái)計(jì)算機(jī)的名稱相同。
解決方案:驗(yàn)證網(wǎng)絡(luò)上的所有計(jì)算機(jī)和連接到網(wǎng)絡(luò)的計(jì)算機(jī)是否都使用唯一的計(jì)算機(jī)名稱。
·原因:VPN服務(wù)器上未啟動(dòng)“路由和遠(yuǎn)程訪問”服務(wù)。
解決方案:驗(yàn)證VPN服務(wù)器上“路由和遠(yuǎn)程訪問”服務(wù)的狀態(tài)。
·原因:VPN服務(wù)器上未啟用遠(yuǎn)程訪問。
解決方案:在VPN服務(wù)器上啟用遠(yuǎn)程訪問。
·原因:未為入站遠(yuǎn)程訪問請(qǐng)求打開PPTP或L2TP端口。
解決方案:為入站遠(yuǎn)程訪問請(qǐng)求打開PPTP或L2TP端口,或同時(shí)打開兩個(gè)端口。
·原因:在VPN服務(wù)器上未啟用VPN客戶端使用的LAN協(xié)議來支持遠(yuǎn)程訪問。
解決方案:在VPN服務(wù)器上啟用VPN客戶端使用的LAN協(xié)議以支持遠(yuǎn)程訪問。
·原因:VPN服務(wù)器上的所有PPTP或L2TP端口已被當(dāng)前連接的遠(yuǎn)程訪問客戶端或請(qǐng)求撥號(hào)路由器使用。
解決方案:驗(yàn)證VPN服務(wù)器上的所有PPTP或L2TP端口是否都已被使用。為此,請(qǐng)?jiān)?ldquo;路由和遠(yuǎn)程訪問”中單擊端口。如果允許的PPTP或L2TP端口的數(shù)目不夠高,則可以更改PPTP或L2TP端口的數(shù)目以允許更多的同時(shí)連接。
·原因:VPN服務(wù)器不支持VPN客戶端的隧道協(xié)議。
默認(rèn)情況下,WindowsServer2003的遠(yuǎn)程訪問VPN客戶端使用自動(dòng)服務(wù)器類型選項(xiàng),這意味著他們?cè)噲D首先建立一個(gè)基于IPSsec的L2TPVPN連接,然后試圖建立一個(gè)基于PPTP的VPN連接。如果VPN客戶端使用點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)或第2層隧道協(xié)議(L2TP)兩者中的一種服務(wù)器類型選項(xiàng),請(qǐng)驗(yàn)證選中的隧道協(xié)議是否受VPN服務(wù)器支持。
默認(rèn)情況下,一臺(tái)運(yùn)行WindowsServer2003和“路由和遠(yuǎn)程訪問”服務(wù)的計(jì)算機(jī)就是一個(gè)有五個(gè)L2TP端口和五個(gè)PPTP端口的PPTP和L2TP服務(wù)器。若要使創(chuàng)建的服務(wù)器只為PPTP服務(wù)器,請(qǐng)將L2TP端口的數(shù)量設(shè)置為零。若要使創(chuàng)建的服務(wù)只為L(zhǎng)2TP服務(wù)器,請(qǐng)將PPTP端口的數(shù)量設(shè)置為零。
解決方案:驗(yàn)證是否配置了相應(yīng)數(shù)目的PPTP或L2TP端口。
·原因:VPN客戶端和VPN服務(wù)器以及遠(yuǎn)程訪問策略未配置為至少使用一種通用身份驗(yàn)證方法。
解決方案:將VPN客戶端和VPN服務(wù)器以及遠(yuǎn)程訪問策略配置為至少使用一種通用身份驗(yàn)證方法。
·原因:VPN客戶端和VPN服務(wù)器以及遠(yuǎn)程訪問策略未配置為至少使用一種通用加密方法。
解決方案:將VPN客戶端和VPN服務(wù)器以及遠(yuǎn)程訪問策略配置為至少使用一種通用加密方法。
·原因:VPN連接在用戶帳戶撥入屬性以及在遠(yuǎn)程訪問策略中沒有適當(dāng)?shù)臋?quán)限。
解決方案:驗(yàn)證VPN連接在用戶帳戶撥入屬性以及在遠(yuǎn)程訪問策略中是否有適當(dāng)?shù)臋?quán)限。若要建立連接,連接嘗試的設(shè)置必須:
至少滿足一種遠(yuǎn)程訪問策略的所有條件。
通過用戶帳戶(設(shè)置為允許訪問)或通過用戶帳戶(設(shè)置為“通過遠(yuǎn)程訪問策略控制訪問”)授予遠(yuǎn)程訪問權(quán)限,并授予匹配的遠(yuǎn)程訪問策略的遠(yuǎn)程訪問權(quán)限(設(shè)置為“授予遠(yuǎn)程訪問權(quán)限”)。
與該配置文件的所有設(shè)置匹配。
與該用戶帳戶的撥入屬性的所有設(shè)置相匹配。
·原因:遠(yuǎn)程訪問策略配置文件的設(shè)置與VPN服務(wù)器的屬性沖突。
遠(yuǎn)程訪問策略配置文件的屬性和VPN服務(wù)器的屬性都包含下列設(shè)置:
多重鏈接。帶寬分配協(xié)議(BAP)。
身份驗(yàn)證協(xié)議。
如果相應(yīng)的遠(yuǎn)程訪問策略的配置文件的設(shè)置與VPN服務(wù)器的設(shè)置沖突,則連接嘗試將被拒絕。例如,如果相應(yīng)的遠(yuǎn)程訪問策略配置文件指定必須使用可擴(kuò)展身份驗(yàn)證協(xié)議—傳輸層安全性(EAP-TLS)身份驗(yàn)證協(xié)議,而VPN服務(wù)器上未啟用EAP,則連接嘗試將被拒絕。
解決方案:驗(yàn)證遠(yuǎn)程訪問策略配置文件的設(shè)置以確保不與VPN服務(wù)器的屬性沖突。
·原因:應(yīng)答路由器無法驗(yàn)證呼叫路由器的憑據(jù)(用戶名、密碼和域名)。
解決方案:驗(yàn)證VPN客戶端的憑據(jù)(用戶名、密碼和域名)是否正確以及是否可被VPN服務(wù)器驗(yàn)證。
·原因:在靜態(tài)IP地址池中沒有足夠的地址。
解決方案:如果VPN服務(wù)器配置了靜態(tài)IP地址池,請(qǐng)驗(yàn)證池中是否有足夠的地址。如果靜態(tài)池中的所有地址都已分配給已連接的VPN客戶端,則VPN服務(wù)器將無法分配IP地址,連接嘗試將被拒絕。如果已分配了靜態(tài)池中的所有地址,則修改池。
·原因:VPN客戶端配置為可請(qǐng)求其自己的IPX節(jié)點(diǎn)編號(hào),而VPN服務(wù)器配置為不允許IPX客戶端請(qǐng)求它們自己的IPX節(jié)點(diǎn)編號(hào)。
解決方案:配置VPN服務(wù)器使之允許IPX客戶端請(qǐng)求它們自己的IPX節(jié)點(diǎn)編號(hào)。
·原因:給VPN服務(wù)器配置了一段IPX網(wǎng)絡(luò)上其他地方正在使用的IPX網(wǎng)絡(luò)編號(hào)范圍。
解決方案:給VPN服務(wù)器配置一個(gè)在IPX網(wǎng)絡(luò)上唯一的IPX網(wǎng)絡(luò)編號(hào)范圍。
·原因:VPN服務(wù)器的身份驗(yàn)證提供程序配置不正確。
解決方案:驗(yàn)證身份驗(yàn)證提供程序的配置是否正確。您可以配置VPN服務(wù)器使用WindowsServer2003或遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)來驗(yàn)證VPN客戶端的憑據(jù)。
·原因:VPN服務(wù)器無法訪問ActiveDirectory。
解決方案:如果VPN服務(wù)器是混合模式或本機(jī)模式WindowsServer2003域的一個(gè)成員服務(wù)器而且配置為使用WindowsServer2003身份驗(yàn)證,則請(qǐng)驗(yàn)證:
“RAS和IAS服務(wù)器”安全組是否存在。如果不存在,請(qǐng)創(chuàng)建該組并將組類型設(shè)置為“安全”并將組作用域設(shè)置為“本地域”。
“RAS和IAS服務(wù)器”安全組對(duì)“RAS和IAS服務(wù)器訪問檢查”對(duì)象有讀取權(quán)限。
VPN服務(wù)器計(jì)算機(jī)的計(jì)算機(jī)帳戶是“RAS和IAS服務(wù)器”安全組中的一個(gè)成員。可以使用“netshrasshowregisteredserver”命令查看當(dāng)前注冊(cè)。可以使用“netshrasaddregisteredserver”命令在指定的域中注冊(cè)服務(wù)器。
如果您向RAS和IAS服務(wù)器安全組添加(或從中去除)VPN服務(wù)器計(jì)算機(jī),則此更改不會(huì)立即生效(這是由WindowsServer2003緩存ActiveDirectory信息的方式?jīng)Q定的)。若要使更改立即生效,請(qǐng)重新啟動(dòng)VPN服務(wù)器計(jì)算機(jī)。
VPN服務(wù)器是該域的一個(gè)成員。
·原因:基于WindowsNT4.0的VPN服務(wù)器無法驗(yàn)證連接請(qǐng)求。
解決方案:如果VPN客戶端正在撥入到運(yùn)行著WindowsNT4.0的VPN服務(wù)器,而此服務(wù)器是WindowsServer2003混合模式域的成員,則請(qǐng)使用下列命令驗(yàn)證Everyone組是否已添加到Pre-Windows2000CompatibleAccess組中:
"netlocalgroup"Pre-Windows2000CompatibleAccess""
如果沒有,則請(qǐng)?jiān)谟蚩刂破饔?jì)算機(jī)上的命令提示符處鍵入下列命令,然后重新啟動(dòng)域控制器計(jì)算機(jī):
netlocalgroup"Pre-Windows2000CompatibleAccess"everyone/add
·原因:VPN服務(wù)器無法與配置的RADIUS服務(wù)器通訊。
解決方案:如果只能通過Internet接口訪問RADIUS服務(wù)器,則執(zhí)行以下操作之一:
為UDP端口1812的Internet接口添加一個(gè)輸入過濾器和一個(gè)輸出過濾器(依據(jù)RFC2138“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)”)。–或-
為UDP端口1645(針對(duì)較早的RADIUS服務(wù)器)以及RADIUS身份驗(yàn)證和UDP端口1813(基于RFC2139“RADIUS計(jì)帳”)的Internet接口添加一個(gè)輸入篩選器和一個(gè)輸出篩選器。-或-
為用于RADIUS計(jì)帳的UDP端口1646(針對(duì)較早的RADIUS服務(wù)器)的Internet接口添加一個(gè)輸入篩選器和一個(gè)輸出篩選器。
·原因:無法使用Ping.exe實(shí)用程序通過Internet連接到VPN服務(wù)器。
解決方案:由于在VPN服務(wù)器的Internet接口上配置了基于IPSec的PPTP和L2TP數(shù)據(jù)包篩選,ping命令使用的Internet控制消息協(xié)議(ICMP)數(shù)據(jù)包被篩選掉了。若要讓VPN服務(wù)器能夠響應(yīng)ICMP(ping)數(shù)據(jù)包,請(qǐng)?zhí)砑釉试SIP協(xié)議1通信量(ICMP通信量)的輸入篩選器和輸出篩選器。
“無法發(fā)送和接收數(shù)據(jù)”
·原因:未給被路由的協(xié)議添加適當(dāng)?shù)恼?qǐng)求撥號(hào)接口。
解決方案:給被路由的協(xié)議添加適當(dāng)?shù)恼?qǐng)求撥號(hào)接口。
·原因:路由器對(duì)路由器VPN連接的兩端都沒有支持雙向通信量交換的路由。
解決方案:與遠(yuǎn)程訪問VPN連接不同,路由器對(duì)路由器VPN連接不會(huì)自動(dòng)創(chuàng)建默認(rèn)路由。在路由器對(duì)路由器VPN連接的兩端都創(chuàng)建路由,以便路由器對(duì)路由器VPN連接兩端的通信量都可以路由到對(duì)方。
您可以手動(dòng)向路由表中添加靜態(tài)路由,也可以通過路由協(xié)議添加靜態(tài)路由。對(duì)于持續(xù)性VPN連接,您可以在VPN連接上啟用“開放式最短路徑優(yōu)先(OSPF)”或“路由信息協(xié)議(RIP)”。對(duì)于請(qǐng)求VPN連接,可以通過自動(dòng)靜態(tài)RIP更新來自動(dòng)更新路由。
·原因:雙向初始化的應(yīng)答路由器作為遠(yuǎn)程訪問連接,正在解釋路由器對(duì)路由器的VPN連接。
解決方案:如果呼叫路由器的憑據(jù)中的用戶名出現(xiàn)在“路由和遠(yuǎn)程訪問”中的撥入客戶端下,則應(yīng)答路由器將把呼叫路由器解釋為遠(yuǎn)程訪問客戶端。請(qǐng)驗(yàn)證呼叫路由器的憑據(jù)中的用戶名是否與應(yīng)答路由器上請(qǐng)求撥號(hào)接口的名稱匹配。如果傳入呼叫方是一個(gè)路由器,則接收呼叫的端口將顯示為活動(dòng)狀態(tài),而且相應(yīng)的請(qǐng)求撥號(hào)接口處于連接狀態(tài)。
·原因:呼叫路由器和應(yīng)答路由器的請(qǐng)求撥號(hào)接口上的數(shù)據(jù)包篩選器使通信量不能傳輸。
解決方案:驗(yàn)證以確保呼叫路由器和應(yīng)答路由器的請(qǐng)求撥號(hào)接口上不存在阻止通信量傳輸?shù)臄?shù)據(jù)包篩選器。可以給各請(qǐng)求撥號(hào)接口配置IP和IPX輸入和輸出篩選器,以精確控制允許進(jìn)出該請(qǐng)求撥號(hào)接口的TCP/IP和IPX通信量的性質(zhì)。
·原因:遠(yuǎn)程訪問策略配置文件中的數(shù)據(jù)包篩選器阻止了IP通信量的傳輸。
解決方案:驗(yàn)證以確保VPN服務(wù)器(如果使用了Internet身份驗(yàn)證服務(wù)則是RADIUS服務(wù)器)上的遠(yuǎn)程訪問策略的配置文件屬性上未配置阻止TCP/IP通信量接發(fā)的TCP/IP數(shù)據(jù)包篩選器。您可以使用遠(yuǎn)程訪問策略來配置TCP/IP輸入和輸出數(shù)據(jù)包篩選器,以精確控制VPN連接上允許的TCP/IP通信量的性質(zhì)。驗(yàn)證以確保配置文件TCP/IP數(shù)據(jù)包篩選器未阻止通信量的傳輸。
希望本文介紹的虛擬專用網(wǎng)絡(luò)服務(wù)器VPN的疑難解答能夠?qū)ψx者有所幫助。
【編輯推薦】
