Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...

Приложение В. Устранение неполадок

Текущий рейтинг: 4 (проголосовало 2)
 Посетителей: 3701 | Просмотров: 5667 (сегодня 0)  Шрифт: - +
Club logo

На этой странице

  Инструменты устранения неполадок
  Устранение неполадок в работе VPN-подключений «маршрутизатор-маршрутизатор»

Инструменты устранения неполадок

Windows 2000 содержит следующие инструменты диагностики и устранения неполадок в работе VPN-подключений:

Инструменты устранения неполадок в работе TCP/IP
Ведение журнала запросов проверки подлинности пользователей и учета
Причина недостижимости
Журнал событий
Журнал событий IAS
Журнал протокола PPP
Трассировка
Сетевой монитор (Network Monitor)

Инструменты устранения неполадок в работе TCP/IP

Служебные программы Ping, Tracert и Pathping посылают сообщения эхо (Echo) и сообщения эхо-ответов (Echo Reply) протокола ICMP для проверки возможности соединения, отображения маршрута к узлу назначения, а также для проверки целостности маршрута. Команда route print может использоваться для отображения таблицы IP-маршрутов. Для этого Вы также можете использовать команду netsh routing ip show rtmroutes или оснастку Маршрутизация и удаленный доступ (Routing and Remote Access). В дополнение к стандартным инструментам TCP/IP используйте средство диагностики сети Netdiag для проверки и отображения конфигурации Вашей сети.

Ведение журнала запросов проверки подлинности пользователей и учета

При включенных проверке подлинности Windows или Windows-учете VPN-маршрутизаторы под управлением Windows 2000 поддерживают регистрацию запросов проверки подлинности и учета VPN-подключений, записывая данные в локальные файлы. Запросы проверки подлинности и учета регистрируются отдельно от событий, записывающихся в журнал системных событий. Вы можете использовать эту информацию для слежения за использованием подключений между маршрутизаторами и запросами проверки подлинности. Регистрация запросов проверки подлинности и учетных данных особенно полезна для диагностики неполадок в работе политик удаленного доступа. Для каждого запроса проверки подлинности записывается имя политики удаленного доступа, которая приняла или отклонила попытку подключения.

В случае, если для проверки подлинности и учета используются встроенные службы Windows, Вы можете включить регистрацию запросов проверки подлинности и учета, открыв папку Ведение журнала удаленного доступа (Remote Access Logging) в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) и перейдя на вкладку Параметры (Settings) в свойствах объекта Локальный файл (Local File). Если же для проверки подлинности и учета используется RADIUS, и при этом RADIUS-сервер выступает в качестве IAS-сервера, Вы можете включить регистрацию запросов проверки подлинности и учета с помощью оснастки Служба проверки подлинности в Интернете (Internet Authentication Service).

Информация о проверке подлинности и учете подключений содержится в одном или нескольких настраиваемых файлах журналов, хранящихся в папке СистемныйКорневойКаталог\System32\LogFiles. Эти файлы сохраняются в формате службы IAS или в формате базы данных, что позволяет просматривать и анализировать файлы с помощью любой программы для работы с БД.

Если для проверки подлинности и учета используется RADIUS, и при этом RADIUS-сервером является компьютер под управлением Windows 2000 с запущенной службой IAS, файлы журналов проверки подлинности и учета хранятся в папке СистемныйКорневойКаталог\System32\LogFiles на компьютере IAS-сервера.

Причина недостижимости

Когда интерфейс вызова по требованию не может установить подключение, он остается в недостижимом состоянии, и служба маршрутизации и удаленного доступа фиксирует причину неудачной попытки подключения. Чтобы посмотреть причину недостижимости интерфейса, в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) выберите объект Интерфейсы маршрутизации (Routing Interfaces), в правой панели щелкните правой кнопкой мыши на нужном интерфейсе и в контекстном меню выберите Причина недостижимости (Unreachability Reason).

Журнал событий

В оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) в диалоговом окне свойств VPN-маршрутизатора на вкладке Журнал событий (Event Logging) можно выбрать один из четырех уровней протоколирования. Установите переключатель в положение Вести журнал всех событий (Log the maximum amount of information) и попробуйте подключиться снова. При возникновении сбоя подключения проверьте журнал системных событий и найдите в нем записи о событиях, возникших во время процесса подключения. После того, как Вы закончите просмотр событий удаленного доступа, выберите на вкладке Журнал событий (Event Logging) уровень протоколирования Вести журнал ошибок и предупреждений (Log errors and warnings option), чтобы освободить системные ресурсы.

Журнал событий IAS

Если для проверки подлинности и учета используется RADIUS, и при этом RADIUS-серверами являются компьютеры под управлением Windows 2000 с запущенной службой проверки подлинности в Интернете (Internet Authentication Service, IAS), проверьте журнал системных событий и найдите в нем записи о принятых и отклоненных попытках подключений. Эти записи содержат подробную информацию о попытках подключений, в том числе имя политики удаленного доступа, в соответствии с которой было принято либо отклонено подключение. Регистрация событий службы IAS для принятых и отклоненных попыток подключений включена по умолчанию и настраивается в оснастке Служба проверки подлинности в Интернете (Internet Authentication Service) на вкладке Служба (Service) в свойствах IAS-сервера.

Журнал протокола PPP

Во время PPP-подключения в журнал протокола PPP записываются последовательности программных функций и управляющих PPP-сообщений. Этот журнал содержит ценную информацию, необходимую для диагностики и устранения неполадок, возникающих во время PPP-подключения. Чтобы включить ведение журнала протокола PPP, в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) в диалоговом окне свойств VPN-маршрутизатора на вкладке Журнал событий (Event Logging) установите флажок Вести журнал протокола PPP (Enable Point-to-Point Protocol (PPP) logging).

Журнал протокола PPP ОС Windows 4.0 был заменен функцией трассировки. Чтобы воспроизвести копию журнала протокола PPP, Вам необходимо включить запись в файл трассировочной информации для протокола PPP. По умолчанию журнал протокола PPP хранится в виде файла Ppp.log в папке СистемныйКорневойКаталог\Tracing.

Трассировка

Служба маршрутизации и удаленного доступа Windows 2000 имеет широкие возможности трассировки, которые могут быть использованы для устранения сложных сетевых неполадок. Вы можете включить запись трассировочной информации в файлы для компонентов Windows 2000 Server с помощью команды Netsh или при помощи настроек реестра.

Включение трассировки с помощью команды Netsh

Вы можете использовать команду Netsh для включения и выключения трассировки для определенных компонентов или для все компонентов. Чтобы включить или выключить трассировку для определенного компонента, используйте следующий синтаксис:

netsh ras set tracing НазваниеКомпонента enabled|disabled,

где НазваниеКомпонента – это компонент списка компонентов службы маршрутизации и удаленного доступа, расположенного в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing. Например, чтобы включить трассировку для компонента RASAUTH, введите команду netsh ras set tracing rasauth enabled.

Чтобы включить трассировку для всех компонентов, введите команду netsh ras set tracing * enabled.

Включение трассировки при помощи настроек реестра

Функция трассировки также может настраиваться через изменение параметров реестра Windows 2000, расположенных в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing.

Вы можете включать трассировку для каждого компонента службы маршрутизации и удаленного доступа, изменяя параметры реестра, описанные ниже. Трассировку для компонентов можно включать и отключать во время работы службы маршрутизации и удаленного доступа. Каждый компонент обладает возможностями трассировки и имеет соответствующий подраздел в упомянутом выше разделе реестра.

Чтобы включить трассировку для каждого компонента, Вы можете задать следующие значения параметров реестра для каждого протокола:

EnableFileTracing REG_DWORD Флаг

Чтобы включить запись трассировочной информации в файл, установите значение параметра EnableFileTracing в 1. Значение по умолчанию – 0.

FileDirectory REG_EXPAND_SZ Путь

Чтобы изменить местоположение по умолчанию файлов трассировки, задайте новый путь в параметре FileDirectory. Именем файла трассировки будет являться имя компонента, для которого выполняется трассировка. По умолчанию файлы трассировки располагаются в папке СистемныйКорневойКаталог/Tracing.

FileTracingMask REG_DWORD ОбъемРегистрируемойТрассировочнойИнформации

Параметр FileTracingMask определяет степень подробности записываемой в файл трассировочной информации. Значение по умолчанию – 0xFFFF0000.

MaxFileSize REG_DWORD РазмерФайлаЖурнала

Параметр MaxFileSize позволяет задать размер файла журнала. Значение по умолчанию – 0x10000 (64Кб).

Примечание. Трассировка использует системные ресурсы, и ее следует применять только для выявления сетевых неполадок. После получения данных трассировки или после выявления причины неполадки трассировку следует сразу же отключить. Не оставляйте трассировку включенной на компьютерах с несколькими процессорами.

Трассировочная информация может быть сложной и очень подробной. Большая ее часть будет полезна только для инженеров службы поддержки Microsoft или для сетевых администраторов, имеющих большой опыт работы со службой маршрутизации и удаленного доступа. Трассировочная информация может быть сохранена в файл и отправлена в службу поддержки Microsoft для последующего анализа.

Сетевой монитор (Network Monitor)

Сетевой монитор, входящий в состав Windows 2000 Server, является средством сбора и анализа сетевых пакетов и предназначен для сбора и просмотра трафика, передаваемого между VPN-маршрутизаторами во время процесса подключения к виртуальной частной сети и обмена данными. Вы не сможете восстановить зашифрованные фрагменты VPN-трафика с помощью сетевого монитора. Сетевой монитор устанавливается в качестве дополнительного инструмента администрирования через элемент панели управления Установка и удаление программ (Add/Remove Programs), Добавление и удаление компонентов Windows (Add/Remove Windows Components).

Правильная интерпретация VPN-трафика с помощью сетевого монитора требует глубокого понимания протоколов PPP, PPTP, IPSec и других протоколов. Данные, полученные с использованием сетевого монитора, могут быть сохранены в файл и отправлены в службу поддержки Microsoft для последующего анализа.

Наверх страницы

Устранение неполадок в работе VPN-подключений «маршрутизатор-маршрутизатор»

Как правило, неполадки в работе VPN-подключений между маршрутизаторами можно разделить на следующие категории:

Попытка подключения отклоняется, хотя должна быть принята.
Попытка подключения принимается, хотя должна быть отклонена.
Невозможно получить доступ к узлам, находящимся за VPN-маршрутизатором.
Невозможно получить доступ к виртуальным интерфейсам VPN-маршрутизаторов.
Подключение по требованию не устанавливается автоматически.
Невозможно создать туннель.

Следующие советы помогут Вам понять, что является причиной возникшей неисправности – проблемы в настройке или проблемы инфраструктуры.

Попытка подключения отклоняется, хотя должна быть принята

Убедитесь, что учетные данные вызывающего маршрутизатора, включающие в себя имя пользователя, пароль пользователя и имя домена, являются правильными и могут быть проверены отвечающим маршрутизатором.
Убедитесь, что учетная запись пользователя вызывающего маршрутизатора не заблокирована, не отключена и ее срок действия не истек. Также убедитесь, что подключение происходит во время, разрешенное для VPN-подключений.
Убедитесь, что для учетной записи пользователя вызывающего маршрутизатора не задана смена пароля при следующем входе в систему, и что срок действия пароля не истек. Во время процесса подключения вызывающий маршрутизатор не может изменять пароль с истекшим сроком действия, поэтому попытка подключения отклоняется.
Убедитесь, что не произошла блокировка учетной записи пользователя при удаленном доступе. Для получения дополнительной информации обратитесь к разделу Блокировка учетной записи (Account lockout) встроенной справки Windows 2000.
Убедитесь, что служба маршрутизации и удаленного доступа запущена на отвечающем маршрутизаторе.
Откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в диалоговом окне свойств VPN-маршрутизатора перейдите на вкладку Общие (General) и убедитесь, что компьютер используется как маршрутизатор локальной сети и вызова по требованию (LAN and demand-dial routing).
Откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access) и в диалоговом окне свойств объекта Порты (Ports) убедитесь, что устройства Минипорт WAN (PPTP) и Минипорт WAN (L2TP) используются для подключений по требованию (входящие и исходящие) (demand-dial routing connections (inbound and outbound)).
Убедитесь, что вызывающий маршрутизатор, отвечающий маршрутизатор и политика удаленного доступа, соответствующая VPN-подключениям «маршрутизатор-маршрутизатор», настроены на использование хотя бы одного общего метода проверки подлинности.
Убедитесь, что вызывающий маршрутизатор и политика удаленного доступа, соответствующая VPN-подключениям «маршрутизатор-маршрутизатор», настроены на использование хотя бы одного общего уровня стойкости шифрования. Если вызывающий маршрутизатор не способен использовать 128-битное шифрование, а в политике удаленного доступа задан уровень шифрования Самое стойкое (Strongest), попытка подключения отклоняется.
Убедитесь, что все параметры подключения проходят авторизацию политик удаленного доступа. Для того, чтобы подключение могло быть установлено, параметры попытки подключения должны:

• Соответствовать всем условиям хотя бы одной из политик удаленного доступа. 

• Иметь разрешение на удаленный доступ в учетной записи пользователя (соответствующий параметр имеет значение Разрешить доступ (Allow access)). Если параметр Разрешение на удаленный доступ (Remote Access Permission) учетной записи пользователя имеет значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), то разрешение на удаленный доступ в соответствующей политике должно иметь значение Предоставить право удаленного доступа (Grant remote access permission)

• Соответствовать всем настройкам профиля политики удаленного доступа. 

• Соответствовать всем настройкам свойств удаленного подключения учетной записи пользователя. 

Чтобы выяснить имя политики удаленного доступа, отклонившей попытку подключения, найдите в журнале учета запись, соответствующую попытке подключения, и посмотрите содержащееся в ней имя политики.

Если Вы запускаете мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) из-под учетной записи с правами администратора домена, мастер автоматически добавляет учетную запись компьютера группы безопасности Серверы RAS и IAS (RAS and IAS Servers), которая имеет тип Группа безопасности – Локальная в домене (Security Group – Domain Local). Принадлежность к этой группе позволяет компьютеру отвечающего маршрутизатора получать доступ к информации учетной записи пользователя. Если отвечающий маршрутизатор не может получить доступ к этой информации, убедитесь, что:

• Учетная запись компьютера отвечающего маршрутизатора является членом группы безопасности Серверы RAS и IAS (RAS and IAS Servers) во всех доменах, содержащих учетные записи пользователей, для которых отвечающий маршрутизатор производит проверку подлинности удаленного доступа. Вы можете воспользоваться командой netsh ras show registeredserver для просмотра текущего состояния регистрации серверов. С помощью команды netsh ras add registeredserver Вы можете зарегистрировать сервер удаленного доступа (сервер RAS) в домене, членом которого является отвечающий маршрутизатор, или в других доменах. Также, Вы или администратор домена можете добавить учетную запись компьютера отвечающего маршрутизатора в группу безопасности Серверы RAS и IAS (RAS and IAS Servers) во всех доменах, содержащих учетные записи пользователей, для которых отвечающий маршрутизатор производит проверку подлинности VPN-подключений «маршрутизатор-маршрутизатор». 

• Если Вы добавите или удалите компьютер отвечающего маршрутизатора из группы Серверы RAS и IAS (RAS and IAS Servers), изменения не вступят в силу немедленно (из-за особенностей кэширования информации Active Directory операционной системой Windows 2000). Чтобы изменения вступили в силу немедленно, необходимо перезагрузить компьютер отвечающего маршрутизатора. 

Для подключений по требованию на основе EAP-TLS с использованием сертификатов маршрутизаторов (автономный запрос) убедитесь, что вызывающий и отвечающий маршрутизаторы правильно настроены.

Убедитесь, что на вызывающем маршрутизаторе в качестве протокола проверки подлинности используется протокол EAP (вкладка Безопасность (Security) в диалоговом окне свойств интерфейса вызова по требованию). Проверьте значения параметров в свойствах выбранного типа EAP Смарт-карта или иной сертификат (шифрование включено) (Smart Card or other Certificate (encryption enabled)). Убедитесь, что при настройке учетных данных интерфейса вызова по требованию был выбран действующий сертификат маршрутизатора (автономный запрос).

Убедитесь, что на отвечающем маршрутизаторе в качестве протокола проверки подлинности используется протокол EAP, а в соответствующей политике удаленного доступа используется EAP-TLS. Убедитесь, что в параметрах настройки типа EAP Смарт-карта или иной сертификат (шифрование включено) (Smart Card or other Certificate (encryption enabled)) соответствующей политики удаленного доступа выбран действующий сертификат маршрутизатора (автономный запрос) сервера, выполняющего проверку подлинности (отвечающий маршрутизатор или IAS-сервер).

Убедитесь, что сертификат пользователя вызывающего маршрутизатора был выпущен центром сертификации (ЦС) из действующей цепочки, которую можно проследить до корневого ЦС, который является доверенным для отвечающего маршрутизатора. Убедитесь также, что сертификат компьютера отвечающего маршрутизатора был выпущен центром сертификации из действующей цепочки, которую можно проследить до корневого ЦС, который является доверенным для вызывающего маршрутизатора.

Во время проверки подлинности вызывающего маршрутизатора отвечающий маршрутизатор по умолчанию проверяет список отзыва сертификатов (Certificate Revocation List, CRL). Если список отзыва сертификатов доступен локально, он может быть проверен. В некоторых конфигурациях этот список может быть проверен только после того, как соединение установлено. Список отзыва сертификатов хранится в корневом ЦС и дополнительно может храниться в службе каталогов Active Directory. Для маршрутизатора удаленного офиса, который выступает в качестве отвечающего маршрутизатора сайта, не содержащего корневого ЦС, существует два способа устранения данной проблемы:

1. Опубликуйте список отзыва сертификатов в службе каталогов Active Directory. Для получения дополнительной информации обратитесь к разделам Расписание публикации списка отзывов сертификатов (Schedule the publication of the certificate revocation list) или Публикация списка отзыва сертификатов вручную (To manually publish the certificate revocation list) встроенной справки Windows 2000. После того, как список отзыва сертификатов опубликован, по завершении синхронизации Active Directory локальный контроллер домена сайта будет иметь последний список CRL. 

2. На маршрутизаторе удаленного офиса установите в «1» следующий параметр реестра: 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\EAP\13\IgnoreRevocationOffline
Для отвечающего маршрутизатора, являющегося рядовым сервером домена смешанного или основного режима Windows 2000 и производящего проверку подлинности средствами Windows:

• Убедитесь, что существует группа безопасности Серверы RAS и IAS (RAS and IAS Servers). Если этой группы не существует, создайте ее, укажите тип группы Группа безопасности (Security) и область действия группы Локальная в домене (Domain local)

• Убедитесь, что группа безопасности Серверы RAS и IAS (RAS and IAS Servers) имеет разрешение Чтение (Read) для объекта службы каталогов RAS and IAS Servers Access Check

Убедитесь, что протоколы локальной сети (TCP/IP и IPX), используемые для маршрутизации VPN-подключений между маршрутизаторами, задействованы для маршрутизации как на вызывающем, так и на отвечающем маршрутизаторах.
Убедитесь, что на вызывающем и отвечающем маршрутизаторах есть свободные PPTP- и L2TP-порты. При необходимости увеличьте число PPTP- и L2TP-портов, чтобы обеспечить большее число одновременных подключений. Для этого в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) откройте свойства объекта Порты (Ports) и укажите необходимое количество PPTP- и L2TP-портов.
Убедитесь, что отвечающий маршрутизатор поддерживает туннельный протокол вызывающего маршрутизатора. По умолчанию интерфейс вызова по требованию Windows 2000 с типом сети VPN, имеющим значение Автоматический выбор (Automatic), в первую очередь будет пытаться установить VPN-подключение L2TP/IPSec, а затем – PPTP-подключение. Если же при настройке интерфейса вызова по требованию был указан тип сети VPN Туннельный протокол точка-точка (PPTP) (Point to Point Tunneling Protocol (PPTP)) или Туннельный протокол второго уровня (L2TP) (Layer-2 Tunneling Protocol (L2TP)), убедитесь, что этот протокол поддерживается отвечающим маршрутизатором.

В зависимости от Вашего выбора во время настройки VPN-маршрутизатора, компьютер под управлением Windows 2000 Server с запущенной службой маршрутизации и удаленного доступа будет являться PPTP- или L2TP-сервером и иметь 5 или 128 PPTP- и 5 или 128 L2TP-портов. Чтобы создать сервер, работающий только с PPTP-подключениями, укажите число L2TP-портов, равное 0. Чтобы создать сервер, работающий только с L2TP-подключениями, в оснастке Маршрутизация и удаленный доступ (and Remote Access) откройте свойства объекта Порты (Ports), укажите число PPTP-портов, равное 1, и отключите входящие подключения удаленного доступа (Remote access connections) и подключения по требованию (Demand-dial routing connections) для устройства Минипорт WAN (PPTP).

Для подключений L2TP/IPSec убедитесь, что на вызывающем и отвечающем маршрутизаторах установлены сертификаты компьютера.

Убедитесь, что на вызывающем маршрутизаторе установлен действующий сертификат компьютера, выпущенный центром сертификации (ЦС) из действующей цепочки, которую можно проследить до корневого ЦС, который является доверенным для отвечающего маршрутизатора. Убедитесь также, что на отвечающем маршрутизаторе установлен действующий сертификат компьютера, выпущенный центром сертификации из действующей цепочки, которую можно проследить до корневого ЦС, который является доверенным для вызывающего маршрутизатора.

Проверьте настройки поставщика служб проверки подлинности. Отвечающий маршрутизатор может производить проверку подлинности учетных данных вызывающего маршрутизатора с помощью служб ОС Windows  или RADIUS.

• В случае использования RADIUS убедитесь, что компьютер отвечающего маршрутизатора может подключиться к RADIUS-серверу. 

• Если отвечающий маршрутизатор является членом домена основного режима Windows 2000, убедитесь, что он присоединен к домену. 

• Для RRAS-сервера под управлением ОС Windows NT 4.0 с установленными пакетом обновлений SP4 (или более поздним), являющегося членом домена, работающего в смешанном режиме Windows 2000, а также для отвечающего маршрутизатора под управлением ОС Windows 2000, являющегося членом домена Windows NT 4.0, которым требуется доступ к свойствам учетной записи пользователя, принадлежащей доверенному домену Windows 2000, проверьте следующее:

• С помощью команды net localgroup "Pre-Windows 2000 Compatible Access" в группу Пред-Windows 2000 доступ (Pre-Windows 2000 Compatible Access) должна быть добавлена группа Все (Everyone)

Если это не так, выполните команду net localgroup "Pre-Windows 2000 Compatible Access" everyone /add на контроллере домена и перезапустите его. 

• Для RRAS-сервера под управлением ОС Windows NT 4.0 с установленными пакетом обновлений SP 3 (или более ранним), являющегося членом домена, работающего в смешанном режиме Windows 2000, убедитесь, что группа Все (Everyone) имеет следующие разрешения для корневого узла домена и всех его дочерних объектов: Список содержимого (List Contents), Чтение всех свойств (Read All Properties), Чтение разрешений (Read Permissions)

Для PPTP-подключений на основе протокола MS-CHAP, использующих 40-битное MPPE-шифрование, убедитесь, что длина пароля вызывающего маршрутизатора не превышает 14 знаков.

Попытка подключения принимается, хотя должна быть отклонена

Убедитесь, что разрешение на удаленный доступ в учетной записи пользователя имеет значение Запретить доступ (Deny access) или Управление на основе политики удаленного доступа (Control access through Remote Access Policy). Если выбрано последнее значение, убедитесь, что разрешение на удаленный доступ в первой применяющейся политике удаленного доступа имеет значение Отказать в праве удаленного доступа (Deny remote access permission). Чтобы выяснить имя политики удаленного доступа, принявшей попытку подключения, найдите в журнале учета запись, соответствующую попытке подключения, и посмотрите содержащееся в ней имя политики.
Если Вы создали политику удаленного доступа для однозначного отклонения всех подключений, проверьте условия, разрешение на удаленный доступ и настройки профиля политики.
При проверке подлинности на основе сертификатов, в случае отзыва сертификата изменения в списке отзыва сертификатов (CRL) центра сертификации могут быть опубликованы с определенной задержкой во времени. В таком случае сервер, выполняющий проверку подлинности, будет использовать старый список отзыва сертификатов, в который еще не занесен недавно отозванный сертификат. Чтобы максимально сократить время между отзывом сертификата и передачей этой информации серверу, выполняющему проверку подлинности, уменьшите период публикации списка отзыва сертификата. Для центра сертификации Windows 2000 наименьший период публикации составляет один час. Для получения дополнительной информации обратитесь к разделу Отзыв сертификатов и публикация списков CRL (Revoking certificates and publishing CRLs) встроенной справки Windows 2000.

Невозможно получить доступ к узлам, находящимся за VPN-маршрутизатором

Убедитесь, что включена IP-маршрутизация на вкладке IP в диалоговом окне свойств VPN-маршрутизатора. Убедитесь, что разрешен доступ к сети на вкладке IPХ в свойствах VPN-маршрутизатора.
Убедитесь, что был добавлен соответствующий интерфейс вызова по требованию для маршрутизируемого протокола.
Убедитесь, что на маршрутизаторах сайтов вызывающего и отвечающего VPN-серверов прописаны маршруты ко внутренним ресурсам обоих сайтов. Вы можете добавить маршруты на маршрутизаторах каждого сайта, используя статические маршруты или включив протоколы маршрутизации на внутренних интерфейсах вызывающего и отвечающего VPN-серверов.

В отличие от подключений удаленного доступа, подключение по требованию автоматически не создает маршрут по умолчанию. На каждой из сторон подключения по требованию Вам необходимо создать маршруты, обеспечивающие обмен данными с другой стороной подключения по требованию.

Вы можете вручную добавить статические маршруты в таблицу маршрутизации или сделать это при помощи протоколов маршрутизации. Для постоянных подключений по требованию Вы можете задействовать протоколы OSPF (Open Shortest Path First) или RIP (Routing Information Protocol). Для подключений по требованию, устанавливаемых по запросу, Вы можете автоматически обновлять маршруты при помощи автостатических обновлений протокола RIP.

Для двусторонне инициируемых VPN-подключений убедитесь, что VPN-подключение «маршрутизатор-маршрутизатор» не интерпретируется VPN-сервером как подключение удаленного доступа.

В случае двусторонне инициируемых подключений каждый маршрутизатор может быть как вызывающим, так и отвечающим. Имена пользователей и имена интерфейсов вызова по требованию должны определенным образом совпадать. Например, двусторонне инициируемое подключение будет работать при следующей конфигурации:

    Маршрутизатор 1 имеет интерфейс вызова по требованию с именем NEW-YORK, который использует имя SEATTLE в качестве имени пользователя при передаче учетных данных для проверки подлинности.

    Маршрутизатор 2 имеет интерфейс вызова по требованию с именем SEATTLE, который использует имя NEW-YORK в качестве имени пользователя при передаче учетных данных для проверки подлинности.

В этом примере предполагается, что Маршрутизатор 2 может проверять имя пользователя SEATTLE, а Маршрутизатор 1 может проверять имя пользователя NEW-YORK.

Если вызывающий объект является маршрутизатором, порт, на который был получен вызов, переключается в состояние Активно (Active), а соответствующий интерфейс вызова по требованию находится в состоянии Подключено (Connected). Если имя учетной записи пользователя в учетных данных вызывающего маршрутизатора появилось в списке Клиенты удаленного доступа (Remote Access Clients) оснастки Маршрутизация и удаленный доступ (Routing and Remote Access), значит вызывающий маршрутизатор был интерпретирован отвечающим маршрутизатором как клиент удаленного доступа.

Для односторонне инициируемого подключения по требованию убедитесь, что в учетной записи пользователя вызывающего маршрутизатора содержатся подходящие статические маршруты, и что на отвечающем маршрутизаторе настроены протоколы маршрутизации, которые при установленном соединении объявляют об этих маршрутах соседним маршрутизаторам.
Убедитесь, что на интерфейсах вызова по требованию вызывающего и отвечающего маршрутизаторов не настроены фильтры IP- или IPX-пакетов, препятствующие передаче TCP/IP- или IPX-трафика.

На каждом интерфейсе вызова по требованию Вы можете настроить фильтры входящих и исходящих IP- и IPX-пакетов. С помощью этих фильтров можно управлять точно определенными типами TCP/IP- и IPX-трафика, разрешенного для приема или отправки через интерфейс вызова по требованию.

Невозможно получить доступ к виртуальным интерфейсам VPN-маршрутизаторов

Проверьте пулы IP-адресов вызывающего и отвечающего маршрутизаторов. Если VPN-сервер настроен на использование статического пула IP-адресов, убедитесь, что для узлов и маршрутизаторов сайта существуют маршруты к адресам из этого пула. Если это не так, то на маршрутизаторах сайта должны быть добавлены IP-маршруты к диапазонам адресов из статического пула, определяемым IP-адресом и маской подсети, либо на VPN-сервере должен быть включен протокол маршрутизации для маршрутизируемой инфраструктуры. Если маршруты к подсетям пулов адресов отсутствуют, логические интерфейсы вызывающего маршрутизатора не смогут получать трафик от узлов сайта. Маршруты для подсетей задаются либо путем добавления статических записей в таблицу маршрутизации, либо при помощи протоколов маршрутизации, таких как OSPF (Open Shortest Path First) или RIP (Routing Information Protocol).

Если VPN-сервер настроен на использование DHCP для назначения IP-адресов, а DHCP-сервер недоступен, то VPN-сервер назначает адреса с помощью средства автоматического назначения частных IP-адресов (Automatic Private IP Addressing , APIPA) из диапазона 169.254.0.1169.254.255.254. Назначение адресов APIPA VPN-маршрутизаторам применяется только в том случае, когда в сети, к которой подключен VPN-сервер, также используются адреса APIPA.

Если VPN-сервер использует адреса APIPA при доступном DHCP-сервере, убедитесь, что выбран верный сетевой адаптер, который будет использоваться для получения IP-адресов, назначаемых DHCP-сервером. По умолчанию используется адаптер, выбранный Вами во время настройки VPN-сервера с помощью мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard). Открыв оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), Вы можете вручную указать сетевой адаптер из списка сетевых адаптеров на вкладке IP в свойствах VPN-маршрутизатора.

Если статические пулы IP-адресов являются диапазоном IP-адресов, которые в свою очередь являются подмножеством диапазона IP-адресов сети, к которой подключен VPN-сервер, убедитесь, что диапазон IP-адресов из статического пула не назначается другим узлам TCP/IP ни статически, ни через DHCP.

Подключение по требованию не устанавливается автоматически

Убедитесь, что на вкладке IP в диалоговом окне свойств вызывающего маршрутизатора включена IP-маршрутизация.
Убедитесь, что заданы правильные статические маршруты, настроенные на соответствующий интерфейс вызова по требованию.
Убедитесь, что для статических маршрутов, использующих интерфейс вызова по требованию, в свойствах этого интерфейса установлен флажок Использовать этот маршрут для подключений по требованию (Use this route to initiate demand-dial connections).
Убедитесь, что интерфейс вызова по требованию не находится в отключенном состоянии.
Чтобы включить отключенный интерфейс вызова по требованию, в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) выберите элемент Интерфейсы маршрутизации (Routing Interfaces), правой кнопкой мыши щелкните на нужном интерфейсе вызова по требованию и в контекстном меню выберите команду Разрешить (Enable).
Убедитесь, что ограничения на время, в которое разрешается выполнять исходящие подключения, для интерфейса вызова по требованию вызывающего маршрутизатора не препятствуют попытке подключения.

Для настройки времени, в которое разрешается выполнять исходящие подключения, в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) выберите элемент Интерфейсы маршрутизации (Routing Interfaces), правой кнопкой мыши щелкните на нужном интерфейсе вызова по требованию и в контекстном меню выберите команду Расписание исходящих вызовов (Dial-out Hours).

Убедитесь, что фильтры вызова по требованию для интерфейса вызова по требованию вызывающего маршрутизатора не препятствуют попытке подключения.

Для настройки фильтров вызова по требованию в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) выберите элемент Интерфейсы маршрутизации (Routing Interfaces), правой кнопкой мыши щелкните на нужном интерфейсе вызова по требованию и в контекстном меню выберите команду Установить IP-фильтры вызова по требованию (Set IP Demand-dial Filters).

Невозможно создать туннель

Убедитесь, что фильтрация пакетов на интерфейсе между вызывающим и отвечающим маршрутизаторами не препятствует пересылке трафика туннельного протокола. Для получения информации о типах трафика, которые должны быть разрешены для подключений PPTP и L2TP/IPSec, обратитесь к Приложению А.

На VPN-маршрутизаторе Windows 2000 IP-фильтры пакетов могут отдельно настраиваться через оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), а также через дополнительные параметры TCP/IP в свойствах сетевого интерфейса. Проверьте все эти параметры – в них могут содержаться фильтры, блокирующие трафик VPN-подключений.

Убедитесь, что на компьютере VPN-маршрутизатора не запущен клиент Winsock Proxy. Когда клиент Winsock Proxy активен, все вызовы API для создания туннелей и отправки туннелированных данных перехватываются и перенаправляются настроенному прокси-серверу.

Прокси-серверы позволяют организациям получить доступ к определенным ресурсам Интернета (как правило такими ресурсами являются веб- и FTP-серверы) без необходимости подключения к Интернету каждого компьютера. Вместо этого организации могут использовать адреса из пространства IP-адресов, зарезервированных для частных сетей (такие как 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16).

Прокси-серверы обычно используются для того, чтобы пользователи частной сети организации могли иметь доступ к общим ресурсам Интернета, как если бы они были подключены к Интернету напрямую. VPN-подключения обычно используются для того, чтобы авторизованные пользователи Интернета могли получить доступ к частным ресурсам организации, как если бы они были подключены напрямую к частной сети. Один компьютер может выполнять функции как прокси-сервера (для частных пользователей), так и VPN-сервера (для авторизованных пользователей Интернета), обеспечивая таким образом оба способа обмена информацией.

Наверх страницы

Автор: Артем Жауров aka Borodunter  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 13.09.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.