Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Попытка подключения отклоняется, хотя должна быть принята

  • Для отвечающего маршрутизатора, являющегося рядовым сервером домена смешанного или основного режима Windows 2000 и производящего проверку подлинности средствами Windows:
    • Убедитесь, что существует группа безопасности Серверы RAS и IAS (RAS and IAS Servers). Если этой группы не существует, создайте ее, укажите тип группы Группа безопасности (Security) и область действия группы Локальная в домене (Domain local).
    • Убедитесь, что группа безопасности Серверы RAS и IAS (RAS and IAS Servers) имеет разрешение Чтение (Read) для объекта службы каталогов RAS and IAS Servers Access Check.
  • Убедитесь, что протоколы локальной сети (TCP/IP и IPX), используемые для маршрутизации VPN-подключений между маршрутизаторами, задействованы для маршрутизации как на вызывающем, так и на отвечающем маршрутизаторах.
  • Убедитесь, что на вызывающем и отвечающем маршрутизаторах есть свободные PPTP- и L2TP-порты. При необходимости увеличьте число PPTP- и L2TP-портов, чтобы обеспечить большее число одновременных подключений. Для этого в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) откройте свойства объекта Порты (Ports) и укажите необходимое количество PPTP- и L2TP-портов.
  • Убедитесь, что отвечающий маршрутизатор поддерживает туннельный протокол вызывающего маршрутизатора. По умолчанию интерфейс вызова по требованию Windows 2000 с типом сети VPN, имеющим значение Автоматический выбор (Automatic), в первую очередь будет пытаться установить VPN-подключение L2TP/IPSec, а затем – PPTP-подключение. Если же при настройке интерфейса вызова по требованию был указан тип сети VPN Туннельный протокол точка-точка (PPTP) (Point to Point Tunneling Protocol (PPTP)) или Туннельный протокол второго уровня (L2TP) (Layer-2 Tunneling Protocol (L2TP)), убедитесь, что этот протокол поддерживается отвечающим маршрутизатором.

    В зависимости от Вашего выбора во время настройки VPN-маршрутизатора, компьютер под управлением Windows 2000 Server с запущенной службой маршрутизации и удаленного доступа будет являться PPTP- или L2TP-сервером и иметь 5 или 128 PPTP- и 5 или 128 L2TP-портов. Чтобы создать сервер, работающий только с PPTP-подключениями, укажите число L2TP-портов, равное 0. Чтобы создать сервер, работающий только с L2TP-подключениями, в оснастке Маршрутизация и удаленный доступ (and Remote Access) откройте свойства объекта Порты (Ports), укажите число PPTP-портов, равное 1, и отключите входящие подключения удаленного доступа (Remote access connections) и подключения по требованию (Demand-dial routing connections) для устройства Минипорт WAN (PPTP).

  • Для подключений L2TP/IPSec убедитесь, что на вызывающем и отвечающем маршрутизаторах установлены сертификаты компьютера.

    Убедитесь, что на вызывающем маршрутизаторе установлен действующий сертификат компьютера, выпущенный центром сертификации (ЦС) из действующей цепочки, которую можно проследить до корневого ЦС, который является доверенным для отвечающего маршрутизатора. Убедитесь также, что на отвечающем маршрутизаторе установлен действующий сертификат компьютера, выпущенный центром сертификации из действующей цепочки, которую можно проследить до корневого ЦС, который является доверенным для вызывающего маршрутизатора.

  • Проверьте настройки поставщика служб проверки подлинности. Отвечающий маршрутизатор может производить проверку подлинности учетных данных вызывающего маршрутизатора с помощью служб ОС Windows или RADIUS.
    • В случае использования RADIUS убедитесь, что компьютер отвечающего маршрутизатора может подключиться к RADIUS-серверу.
    • Если отвечающий маршрутизатор является членом домена основного режима Windows 2000, убедитесь, что он присоединен к домену.
    • Для RRAS-сервера под управлением ОС Windows NT 4.0 с установленными пакетом обновлений SP4 (или более поздним), являющегося членом домена, работающего в смешанном режиме Windows 2000, а также для отвечающего маршрутизатора под управлением ОС Windows 2000, являющегося членом домена Windows NT 4.0, которым требуется доступ к свойствам учетной записи пользователя, принадлежащей доверенному домену Windows 2000, проверьте следующее:
    • С помощью команды net localgroup "Pre-Windows 2000 Compatible Access" в группу Пред-Windows 2000 доступ (Pre-Windows 2000 Compatible Access)должна быть добавлена группа Все (Everyone).
    • Если это не так, выполните команду netlocalgroup "Pre-Windows 2000 Compatible Access" everyone /add на контроллере домена и перезапустите его.
    • Для RRAS-сервера под управлением ОС Windows NT 4.0 с установленными пакетом обновлений SP 3 (или более ранним), являющегося членом домена, работающего в смешанном режиме Windows 2000, убедитесь, что группа Все (Everyone) имеет следующие разрешения для корневого узла домена и всех его дочерних объектов: Список содержимого (List Contents), Чтение всех свойств (Read All Properties), Чтение разрешений (Read Permissions).
  • Для PPTP-подключений на основе протокола MS-CHAP, использующих 40-битное MPPE-шифрование, убедитесь, что длина пароля вызывающего маршрутизатора не превышает 14 знаков.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.