Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Попытка подключения отклоняется, хотя должна быть принята

  • Используйте команду ping, чтобы убедиться в том, что имя узла разрешается в соответствующий IP-адрес. Проверка с помощью команды ping может быть неудачной из-за использования фильтров пакетов, запрещающих передачу входящих и исходящих сообщений протокола ICMP для VPN-сервера.
  • Убедитесь в том, что учетные данные VPN-клиента, состоящие из имени пользователя, пароля пользователя и имени домена, указаны верно и могут быть проверены VPN-сервером.
  • Убедитесь в том, что учетная запись VPN-клиента не является блокированной, отключенной, срок ее действия не истек. Также убедитесь, что подключение происходит во время, разрешенное для VPN-подключений. Если истек срок действия пароля учетной записи, то убедитесь в том, что VPN-клиент удаленного доступа использует протоколы MS-CHAP v1 или MS-CHAP v2. Данные протоколы являются единственными протоколами, поддерживаемыми Windows 2000, которые позволяют Вам изменять пароли во время процесса подключения. Чтобы изменить пароль учетной записи с административными полномочиями, используйте учетную запись другого администратора.
  • Убедитесь в том, что для данной учетной записи пользователя разрешен удаленный доступ.
  • Убедитесь в том, что на VPN-сервере запущена служба маршрутизации и удаленного доступа.
  • Убедитесь в том, что VPN-сервер настроен для использования в роли сервера удаленного доступа. Для этого откройте оснастку Маршрутизация и удаленный доступ, откройте свойства VPN-сервера и перейдите на вкладку Общие (General).
  • Убедитесь в том, что для входящих подключений удаленного доступа включены устройства Минипорт WAN (PPTP) (WAN Miniport (PPTP)) и Минипорт WAN (L2TP) (WAN Miniport (L2TP)). Для этого откройте оснастку Маршрутизация и удаленный доступ и откройте свойства объекта Порты (Ports).
  • Убедитесь в том, что VPN-клиент, VPN-сервер и политика удаленного доступа для VPN-подключений используют хотя бы один общий метод проверки подлинности.
  • Убедитесь в том, что VPN-клиент и политика удаленного доступа для VPN-подключений используют хотя бы один общий уровень стойкости шифрования.
  • Убедитесь в том, что параметры подключения соответствуют политике удаленного доступа. Для того чтобы подключение было установлено, его параметры должны соответствовать следующим условиям:
    • Отвечать всем условиям хотя бы одной политики удаленного доступа.
    • Для учетной записи пользователя должно быть предоставлено право удаленного доступа (соответствующий параметр имеет значение Разрешить доступ (Allow access)). Если параметр Разрешение на удаленный доступ (Remote Access Permission) учетной записи пользователя имеет значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), то разрешение на удаленный доступ в соответствующей политике должно иметь значение Предоставить право удаленного доступа (Grant remote access permission).
    • Соответствовать всем настройкам профиля.
    • Соответствовать всем настройкам свойств входящих звонков учетной записи пользователя.

    Чтобы выяснить имя политики удаленного доступа, отклонившей попытку подключения, найдите в журнале учета запись, соответствующую попытке подключения, и посмотрите содержащееся в ней имя политики.

  • Если Вы запускаете мастер установки сервера службы маршрутизации и удаленного доступа с учетными данными администратора домена, будет автоматически создана учетная запись компьютера в группе Серверы RAS и IAS (RAS and IAS Servers), которая имеет тип Группа безопасности – Локальная в домене (Security Group – Domain Local). Членство в данной группе обеспечивает компьютеру VPN-сервера доступ к информации учетных данных пользователей. Если VPN-сервер не может получить доступа к этой информации, убедитесь в том, что:
    • Учетная запись компьютера VPN-сервера является членом группы безопасности Серверы RAS и IAS (RAS and IAS Servers) во всех доменах, содержащих учетные записи пользователей, для которых VPN-сервер производит проверку подлинности удаленного доступа. Вы можете воспользоваться командой netsh ras show registeredserver для просмотра текущего состояния регистрации серверов. С помощью команды netsh ras add registeredserver Вы можете зарегистрировать сервер удаленного доступа (сервер RAS) в домене, членом которого является VPN-сервер, или в других доменах. Также, Вы или администратор домена можете добавить учетную запись компьютера VPN-сервера в группу безопасности Серверы RAS и IAS (RAS and IAS Servers)во всех доменах, содержащих учетные записи пользователей, для которых VPN-сервер производит проверку подлинности VPN-подключений удаленного доступа.
    • При добавлении и удалении компьютера VPN-сервера в группу безопасности Серверы RAS и IAS изменения вступают в силу спустя некоторое время (задержка связанна с особенностями кэширования информации Active Directory ОС Windows 2000). Чтобы изменения вступили в силу немедленно, необходимо перезагрузить компьютер VPN-сервера.
  • Для VPN-сервера, являющегося рядовым сервером домена смешанного или основного режима Windows 2000 и производящего проверку подлинности с помощью встроенных служб Windows убедитесь в том, что:
    • Группа безопасности Серверы RAS и IAS существует. В противном случае создайте указанную группу, укажите тип группы Группа безопасности (Security) и в качестве области действия группы укажите Локальная в домене (Domain local).
    • Члены группы безопасности Серверы RAS и IAS имеют разрешение Чтение (Read) для объекта службы каталогов RAS and IAS Servers Access Check.
  • Убедитесь в том, что для удаленного доступа на VPN-сервере включены протоколы локальной сети (TCP/IP, IPX, NetBEUI), используемые VPN-клиентами.
  • Убедитесь в том, что на VPN-сервере имеются свободные PPTP- или L2TP-порты. В случае необходимости увеличьте количество PPTP- или L2TP-портов. Для этого откройте оснастку Маршрутизация и удаленный доступ, откройте свойства объекта Порты (Ports) и укажите необходимое число одновременных подключений.
  • Убедитесь в том, что VPN-сервер поддерживает туннельный протокол, используемый VPN-клиентом. По умолчанию для VPN-клиентов удаленного доступа Windows 2000 параметр Тип VPN (VPN type) имеет значение Автоматический выбор (Automatic). Это означает, что сначала VPN-клиенты будут пытаться установить VPN-подключение L2TP/IPSec, а затем – PPTP-подключение. Если для параметра Тип VPN указано значение Туннельный протокол точка-точка (PPTP) (Point to Point Tunneling Protocol (PPTP)) или Туннельный протокол второго уровня (L2TP) (Layer-2 Tunneling Protocol (L2TP)), убедитесь в том, что VPN-сервер поддерживает выбранный туннельный протокол.

    По умолчанию для VPN-клиентов удаленного доступа Windows XP параметр Тип VPN (VPN type) имеет значение Автоматически (Automatic). Это означает, что сначала VPN-клиенты будут пытаться установить VPN-подключение PPTP, а затем – L2TP/IPSec -подключение. Если для параметра Тип VPN указано значение Туннельный протокол точка-точка (PPTP) (Point to Point Tunneling Protocol (PPTP)) или Туннельный протокол второго уровня (L2TP) (Layer-2 Tunneling Protocol (L2TP)), убедитесь в том, что VPN-сервер поддерживает выбранный туннельный протокол.

    В зависимости от параметров, указанных в мастере установки сервера маршрутизации и удаленного доступа, компьютер под управлением Windows 2000 Server с запущенной службой маршрутизации и удаленного доступа будет являться PPTP- или L2TP-сервером и иметь 5 или 128 PPTP- и 5 или 128 L2TP-портов. Чтобы создать сервер, работающий только с PPTP-подключениями, задайте число L2TP-портов, равное 0. Чтобы создать сервер, работающий только с L2TP-подключениями, укажите количество PPTP-портов равным 1 и отключите входящие подключения удаленного доступа и подключения по требованию. Для этого откройте оснастку Маршрутизация и удаленный доступ, откройте свойства объекта Порты (Ports), нажмите кнопку Настроить… (Settings) и снимите соответствующие флажки.

  • Для L2TP/IPSec-подключений убедитесь в том, что на VPN-клиенте и VPN-сервере установлены сертификаты компьютера.
  • Если VPN-сервер настроен на использование статического пула IP-адресов, убедитесь в том, что пул содержит достаточное количество адресов. Если все адреса статического пула распределены между подключенными VPN-клиентами, VPN-сервер не может выделить IP-адрес для подключений на основе протокола TCP/IP и попытка подключения отклоняется.
  • Если VPN-клиент настроен запрашивать собственный номер IPX-узла, убедитесь в том, что на VPN-сервере указан параметр Разрешить удаленным клиентам запрашивать номер IPX-узла.
  • Если в настройках VPN-сервера задан диапазон номеров сетей IPX, убедитесь в том, что данные номера сетей IPX не используются где-либо еще в Вашей сети IPX.
  • Для проверки учетных данных VPN-клиентов проверьте конфигурацию поставщика проверки подлинности. VPN-сервер может использовать службы ОС Windows или протокол RADIUS.
    • Если используется проверка подлинности при помощи протокола RADIUS, убедитесь в том, что VPN-сервер может подключиться к RADIUS-серверу.
    • Если VPN-сервер является членом домена Windows 2000 основного режима, убедитесь в том, что он подключен к домену.
    • Существует конфигурация, в которой VPN-сервер под управлением Windows NT 4.0 с установленным пакетом обновления (SP4) и более поздними, является членом домена смешанного режима Windows 2000, или VPN-сервер под управлением Windows 2000 является членом домена Windows NT 4.0 и обращается к учетным данным пользователей в доверенном домене Windows 2000. В этом случае с помощью команды net localgroup "Пред-Windows 2000 доступ" в группу Пред-Windows 2000 доступ (Pre-Windows 2000 Compatible Access) должна быть добавлена группа Все (Everyone). Если это не так, то выполните на контроллере домена команду localgroup "Пред-Windows 2000 доступ" everyone /add и затем перезагрузите его.
    • Если VPN-сервер под управлением Windows NT 4.0 с установленным пакетом обновления 3 (SP3) и более ранними является членом домена смешанного режима Windows 2000, убедитесь в том, что группа Все (Everyone) имеет следующие разрешения для корневого узла домена и всех его дочерних объектов: Список содержимого (List Contents), Чтение всех свойств (Read All Properties), Чтение разрешений (Read Permissions).
  • Для PPTP-подключений, использующих протокол MS-CHAP v1 и 40-битное шифрование, убедитесь в том, что пароль пользователя не превышает 14 знаков.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.