Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Попытка подключения отклоняется, хотя должна быть принята

  • Убедитесь, что учетные данные вызывающего маршрутизатора, включающие в себя имя пользователя, пароль пользователя и имя домена, являются правильными и могут быть проверены отвечающим маршрутизатором.
  • Убедитесь, что учетная запись пользователя вызывающего маршрутизатора не заблокирована, не отключена и ее срок действия не истек. Также убедитесь, что подключение происходит во время, разрешенное для VPN-подключений.
  • Убедитесь, что для учетной записи пользователя вызывающего маршрутизатора не задана смена пароля при следующем входе в систему, и что срок действия пароля не истек. Во время процесса подключения вызывающий маршрутизатор не может изменять пароль с истекшим сроком действия, поэтому попытка подключения отклоняется.
  • Убедитесь, что не произошла блокировка учетной записи пользователя при удаленном доступе. Для получения дополнительной информации обратитесь к разделу Блокировка учетной записи (Account lockout) встроенной справки Windows 2000.
  • Убедитесь, что служба маршрутизации и удаленного доступа запущена на отвечающем маршрутизаторе.
  • Откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в диалоговом окне свойств VPN-маршрутизатора перейдите на вкладку Общие (General) и убедитесь, что компьютер используется как маршрутизатор локальной сети и вызова по требованию (LAN and demand-dial routing).
  • Откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access) и в диалоговом окне свойств объекта Порты (Ports) убедитесь, что устройства Минипорт WAN (PPTP) и Минипорт WAN (L2TP) используются для подключений по требованию (входящие и исходящие) (demand-dial routing connections (inbound and outbound)).
  • Убедитесь, что вызывающий маршрутизатор, отвечающий маршрутизатор и политика удаленного доступа, соответствующая VPN-подключениям "маршрутизатор-маршрутизатор", настроены на использование хотя бы одного общего метода проверки подлинности.
  • Убедитесь, что вызывающий маршрутизатор и политика удаленного доступа, соответствующая VPN-подключениям "маршрутизатор-маршрутизатор", настроены на использование хотя бы одного общего уровня стойкости шифрования. Если вызывающий маршрутизатор не способен использовать 128-битное шифрование, а в политике удаленного доступа задан уровень шифрования Самое стойкое (Strongest), попытка подключения отклоняется.
  • Убедитесь, что все параметры подключения проходят авторизацию политик удаленного доступа. Для того, чтобы подключение могло быть установлено, параметры попытки подключения должны:
    • Соответствовать всем условиям хотя бы одной из политик удаленного доступа.
    • Иметь разрешение на удаленный доступ в учетной записи пользователя (соответствующий параметр имеет значение Разрешить доступ (Allow access)). Если параметр Разрешение на удаленный доступ (Remote Access Permission) учетной записи пользователя имеет значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), то разрешение на удаленный доступ в соответствующей политике должно иметь значение Предоставить право удаленного доступа (Grant remote access permission).
    • Соответствовать всем настройкам профиля политики удаленного доступа.
    • Соответствовать всем настройкам свойств удаленного подключения учетной записи пользователя.
    • Чтобы выяснить имя политики удаленного доступа, отклонившей попытку подключения, найдите в журнале учета запись, соответствующую попытке подключения, и посмотрите содержащееся в ней имя политики.
  • Если Вы запускаете мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) из-под учетной записи с правами администратора домена, мастер автоматически добавляет учетную запись компьютера группы безопасности Серверы RAS и IAS (RAS and IAS Servers), которая имеет тип Группа безопасности – Локальная в домене (Security Group – Domain Local). Принадлежность к этой группе позволяет компьютеру отвечающего маршрутизатора получать доступ к информации учетной записи пользователя. Если отвечающий маршрутизатор не может получить доступ к этой информации, убедитесь, что:
    • Учетная запись компьютера отвечающего маршрутизатора является членом группы безопасности Серверы RAS и IAS (RAS and IAS Servers) во всех доменах, содержащих учетные записи пользователей, для которых отвечающий маршрутизатор производит проверку подлинности удаленного доступа. Вы можете воспользоваться командой netsh ras show registeredserver для просмотра текущего состояния регистрации серверов. С помощью команды netsh ras add registeredserver Вы можете зарегистрировать сервер удаленного доступа (сервер RAS) в домене, членом которого является отвечающий маршрутизатор, или в других доменах. Также, Вы или администратор домена можете добавить учетную запись компьютера отвечающего маршрутизатора в группу безопасности Серверы RAS и IAS (RAS and IAS Servers) во всех доменах, содержащих учетные записи пользователей, для которых отвечающий маршрутизатор производит проверку подлинности VPN-подключений "маршрутизатор-маршрутизатор".
    • Если Вы добавите или удалите компьютер отвечающего маршрутизатора из группы Серверы RAS и IAS (RAS and IAS Servers), изменения не вступят в силу немедленно (из-за особенностей кэширования информации Active Directory операционной системой Windows 2000). Чтобы изменения вступили в силу немедленно, необходимо перезагрузить компьютер отвечающего маршрутизатора.
  • Для подключений по требованию на основе EAP-TLS с использованием сертификатов маршрутизаторов (автономный запрос) убедитесь, что вызывающий и отвечающий маршрутизаторы правильно настроены.

    Убедитесь, что на вызывающем маршрутизаторе в качестве протокола проверки подлинности используется протокол EAP (вкладка Безопасность (Security) в диалоговом окне свойств интерфейса вызова по требованию). Проверьте значения параметров в свойствах выбранного типа EAP Смарт-карта или иной сертификат (шифрование включено) (Smart Card or other Certificate (encryption enabled)). Убедитесь, что при настройке учетных данных интерфейса вызова по требованию был выбран действующий сертификат маршрутизатора (автономный запрос).

    Убедитесь, что на отвечающем маршрутизаторе в качестве протокола проверки подлинности используется протокол EAP, а в соответствующей политике удаленного доступа используется EAP-TLS. Убедитесь, что в параметрах настройки типа EAP Смарт-карта или иной сертификат (шифрование включено) (Smart Card or other Certificate (encryption enabled)) соответствующей политики удаленного доступа выбран действующий сертификат маршрутизатора (автономный запрос) сервера, выполняющего проверку подлинности (отвечающий маршрутизатор или IAS-сервер).

    Убедитесь, что сертификат пользователя вызывающего маршрутизатора был выпущен центром сертификации (ЦС) из действующей цепочки, которую можно проследить до корневого ЦС, который является доверенным для отвечающего маршрутизатора. Убедитесь также, что сертификат компьютера отвечающего маршрутизатора был выпущен центром сертификации из действующей цепочки, которую можно проследить до корневого ЦС, который является доверенным для вызывающего маршрутизатора.

    Во время проверки подлинности вызывающего маршрутизатора отвечающий маршрутизатор по умолчанию проверяет список отзыва сертификатов (Certificate Revocation List, CRL). Если список отзыва сертификатов доступен локально, он может быть проверен. В некоторых конфигурациях этот список может быть проверен только после того, как соединение установлено. Список отзыва сертификатов хранится в корневом ЦС и дополнительно может храниться в службе каталогов Active Directory. Для маршрутизатора удаленного офиса, который выступает в качестве отвечающего маршрутизатора сайта, не содержащего корневого ЦС, существует два способа устранения данной проблемы:

    1. Опубликуйте список отзыва сертификатов в службе каталогов Active Directory. Для получения дополнительной информации обратитесь к разделам Расписание публикации списка отзывов сертификатов (Schedule the publication of the certificate revocation list) или Публикация списка отзыва сертификатов вручную (To manually publish the certificate revocation list) встроенной справки Windows 2000. После того, как список отзыва сертификатов опубликован, по завершении синхронизации Active Directory локальный контроллер домена сайта будет иметь последний список CRL.
    2. На маршрутизаторе удаленного офиса установите в "1" следующий параметр реестра:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\EAP\13\IgnoreRevocationOffline
      
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.