Сурков Л.В. - Построение виртуальных частных сетей VPN в сетевой среде Windows Server 2008 или 2003 (1075631), страница 9
Текст из файла (страница 9)
В:СоздатьобъектVPN-соединения,подключающий сотрудника компании А кVPN-серверу комп. В:• на вкладке General введите хост имяили IP-адрес интерфейса интрасети VPNсервера компании В;• на вкладке General введите хост-имяили IP-адрес интерфейса интрасети VPNсервера компании В;• на вкладке Securityшифрование только пароля;• на вкладке Securityшифрование только пароля;выберите• на вкладке Networking выберите вкачестве типа сервера Point-to-Point TunnelingМГТУ им. Бауманавыберите• на вкладке Networking выберите вкачестве типа сервера Layer-2 TunnelingКафедра ИУ-638Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNProtocol (PPTP).2в сетевой среде Windows Server 2008/2003» Rev.
2010Protocol (L2TP).СоздатьобъектVPN-соединения,подключающий сотрудника компании А кVPN-серверу комп. А:СоздатьобъектVPN-соединения,подключающий сотрудника компании А кVPN-серверу комп. А:• на вкладке General введите хост-имяили IP-адрес Интернет-интерфейса VPNсервера компании А;• на вкладке General введите хост-имяили IP-адрес Интернет-интерфейса VPNсервера компании А;• на вкладке Security выберите либошифрование пароля иданных, либопереключатель Custom. Выбрав Custom,необходимо указать подходящие параметрышифрования и аутентификации;• на вкладке Security выберите либошифрование пароля иданных, либопереключатель Custom.
Выбрав Custom, Выдолжны указать подходящие параметрышифрования и аутентификации;• на вкладке Networking выберите вкачестве типа сервера Point-to-Point TunnelingProtocol (PPTP).• на вкладке Networking выберите вкачестве типа сервера Layer-2 TunnelingProtocol (L2TP).МГТУ им.
БауманаКафедра ИУ-639Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010Выявление и устранение проблемУстанавливая причины проблем с виртуальными частными сетями, необходимопроверить поддержку IP-соединений, процессы установления соединений по требованиюи удаленного доступа, маршрутизацию и IPSec.Наиболее распространенные проблемы с VPNПроблемы с VPN, как правило, делятся на несколько категорий:запрос на соединение отклоняется, хотя должен быть принят;запрос на соединение принимается, хотя должен быть отклонен;адреса за VPN-сервером недостижимы;не удается создать туннель.Ниже даются рекомендации но устранению ошибок в конфигурации илиинфраструктуре, вызывающих эти проблемы с VPN.1.2.3.4.5.6.Запрос на соединение отклоняется, хотя должен быть принятИспользуя команду ping, проверьте, возможно ли соединение с VPN-сервером по егохост-имени или IP-адресу.
Если Вы имеете дело с хост-именем, проверьте, правильноли оно разрешается в IP-адрес. Если выполнение команды ping заканчиваетсянеудачей, то, возможно, фильтрация пакетов препятствует передаче ICMP-сообщенийна VPN-сервер или от него;Убедитесь, что на VPN-сервере работает служба маршрутизации и удаленногодоступа;В случае VPN-соединений удаленного доступа убедитесь, что на VPN-сервереразрешен удаленный доступ. В случае VPN-соединений между маршрутизаторамипроверьте, настроен ли VPN-сервер на маршрутизацию с соединением по требованию;В случае VPN-соединений удаленного доступа убедитесь, что РРТР- и L2TP-портынастроены на прием входящих соединений удаленного доступа.
В случае VPNсоединений между маршрутизаторами проверьте, настроены ли РРТР- и L2TP-портына входящие и исходящие соединения по требованию. Убедитесь, что VPN-клиент исервер, на котором действует политика удаленного доступа, используют хотя бы одинобщий метод аутентификации и/или шифрования;Убедитесь, что параметры запроса на соединение согласуются с параметрами политикудаленного доступа;Для успешного установления соединения параметры в запросе на соединениедолжны:соответствовать всем условиям но крайней мере одной политики удаленногодоступа;предоставлять право на удаленный доступ либо через Allow access впользовательской учетной записи, либо через Control access through RemoteAccess Policy в пользовательской учетной записи и Grant remote access permissionв политике удаленного доступа;соответствовать всем параметрам профиля;соответствовать всем параметрам входящих звонков в свойствах пользовательскойучетной записи;Убедитесь, что настройки в профиле политики удаленного доступа не конфлитуют сосвойствами VPN-сервера.
Профиль политики удаленного доступа и свойства VPNсервера предусматривают настройки для:МГТУ им. БауманаКафедра ИУ-640Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev. 2010многоканальных подключений;протокола ВАР;протоколов аутентификации.Если настройки в профиле соответствующей политики удаленного доступаконфликтуют со свойствами VPN-сервера, запрос на соединение будет отклонен.Например, если в профиле указан протокол аутентификации EAP-TLS, по этотпротокол в свойствах VPN-сервера не включен, последний будет отклонять запросы насоединение;7.
Если VPN-сервер является рядовым сервером в домене Windows 2008, которыйработает в смешанном или основном режиме и сконфигурирован на аутентификациючерез Windows 2008, убедитесь, что:в службе каталогов Active Directory имеется группа безопасности RAS and IASServers (Серверы RAS и IAS). Если этой группы нет, создайте ее, указав типSecurity и область действия Domain local;у группы безопасности RAS and IAS Servers имеется разрешение на чтение объектаRAS and IAS Servers Access Check;учетная запись компьютера VPN-сервера включена в группу безопасности RAS andIAS Servers.
Для просмотра текущих регистрации используйте команду netsh rasshow registeredserver, а для регистрации сервера в определенном домене —команду netsh ras add registeredserver;Если Вы добавляете компьютер VPN-сервера в группу безопасности RAS and IASServers или удаляете из нее, изменения не вступают в силу немедленно (из-заособенностей кэширования информации службы каталогов Active Directory вWindows 2008).
Чтобы изменения немедленно вступили в силу, перезагрузите этоткомпьютер.8. В случае VPN-соединений удаленного доступа убедитесь, что LAN-протоколы,используемые VPN-клиентами, настроены на удаленный доступ;9. Убедитесь, что на VPN-сервере есть свободные РРТР- или L2TP-порты. Принеобходимости увеличьте количество этих портов;10. Проверьте, поддерживается ли VPN-сервером протокол туннелирования,используемый VPN-клиентом.По умолчанию VPN-клиенты удаленного доступа Windows 2008 настроены наавтоматический выбор типа сервера, т.
е. сначала они пытаются установить VPNсоединение на основе L2TP поверх IPSec, а затем, если первое не удается - VPNсоединение на основе РРТР. Если на VPN-клиенте тип сервера выбран как Point-toPoint Tunneling Protocol (РРТР) или Layer-2 Tunneling Protocol (L2TP), проверьте,поддерживается ли VPN-сервером выбранный протокол туннелирования.По умолчанию компьютер под управлением Windows 2008 Server и службымаршрутизации и удаленного доступа является РРТР- и L2ТР-сервером с пятью L2ТРпортами и пятью РРТР-портами.
Чтобы создать только РРТР-сервер. укажите, чточисло Е2ТР-портов равно 0. А чтобы создать только L2ТР-сервер, укажите, что числоРРТР-портов равно 0;11. В случае VPN-соединений удаленного доступа на основе L2TP поверх IPSecубедитесь, что на VPN-клиенте и сервере установлены сертификаты компьютеров,также называемые машинными сертификатами;12. Проверьте в удостоверениях (учетных данных) VPN-клиента правильность имени ипароля пользователя, а также имени домена и убедитесь, что они могут бытьпроверены VPN-сервером;МГТУ им. БауманаКафедра ИУ-641Сурков Л.В.Корпоративные сетиПрактикум «Построение виртуальных частных сетей VPNв сетевой среде Windows Server 2008/2003» Rev.
201013. Если VPN-сервер настроен на использование статического пула IP-адресов, проверьте,достаточно ли адресов в пуле. Если все адреса из статического пула уже выделеныVPN-клиентам, VPN-cеpвер не сможет назначить очередной IP-адрес. Если VPNклиент сконфигурирован на использование только TCP/IP, запрос на соединение будетотклонен;14. Если VPN-клиент требует выделить ему определенный номер IPX-узла, убедитесь, чтоVPN-сервер разрешает это делать;15. Если VPN-сервер удаленного доступа настроен на диапазон номеров IPX-сетей,убедитесь, что эти номера не используются где-нибудь в другой части межсетевойIPX-среды;16. Проверьте конфигурацию службы аутентификации. VPN-сервер может быть настроенна аутентификацию удостоверений VPN-клиентов либо через Windows, либо черезRADIUS;17.
Если VPN-сервер является рядовым сервером в домене Windows 2008 основногорежима, убедитесь, что он присоединился к домену;18. Если VPN-сервер под управлением Windows NT 4.0 с Service Pack 4 и выше являетсячленом домена Windows 2008 смешанного режима или если VPN-сервер подуправлением Windows 2008 включен в домен Windows NT 4.0, считывающийпараметры пользовательских учетных записей из доверяемого домена Windows 2008,проверьте, включена ли группа Everyone (Все) в группу Pre-Windows 2000 CompatibleAccess.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
