遠端訪問/VPN 伺服器的故障解決方案

[psac]

遠端訪問/VPN 伺服器的故障解決方案

不能建立遠端訪問 VPN 連接。

原因： 遠端訪問客戶端使用的用戶帳戶已被鎖定、過期、禁用，或者進行連接的時間與配置的登入時間不對應。

解決方案： 修改用戶帳戶的帳戶內容。

原因： VPN 伺服器上沒有啟動路由和遠端訪問服務。

解決方案： 驗證 VPN 伺服器上「路由和遠端訪問」服務的狀態。

原因： VPN 伺服器沒有啟用遠端訪問。

解決方案： 啟用 VPN 伺服器上的遠端訪問。

原因： 入站遠端訪問請求沒有啟用 PPTP 或 L2TP 連接埠。

解決方案： 為入站遠端訪問請求啟用 PPTP 或 L2TP 連接埠，或者兩者全部啟用。

原因： vpn 客戶端正在使用的 LAN 傳輸協定不允許 VPN 伺服器遠端訪問。

解決方案： 啟用 vpn 客戶端用於 VPN 伺服器遠端訪問的 LAN 傳輸協定。

原因： 所有在 VPN 伺服器上的 PPTP 或 L2TP 連接埠已由當前連接的遠端訪問客戶端或按需撥號路由器使用。

解決方案： 按下 路由和遠端訪問中的「連接埠」，驗證並非 VPN 伺服器上所有的 PPTP 或 L2TP 連接埠都已使用。如有必要，請更改 PPTP 或 L2TP 連接埠的數量以允許更多的並發連接。

原因： VPN 伺服器不支持 vpn 客戶端隧道傳輸協定。

預設情況下，執行 Windows XP 或 Windows Server 2003 *作系統的遠端訪問 vpn 客戶端使用「自動」伺服器類型選項，這意味著它們首先會嘗試建立關於 PPTP 的 VPN 連接，然後才嘗試關於 L2TP/IPSec 的 VPN 連接。如果 vpn 客戶端使用「點對點隧道傳輸協定 (PPTP)」或「第二層隧道傳輸協定 (L2TP)」伺服器類型選項，請驗證 VPN 伺服器支持所選定的隧道傳輸協定。

預設情況下，執行 Windows Server 2003 *作系統及「路由和遠端訪問」服務的電腦是具有 5 個 L2TP 連接埠和 5 個 PPTP 連接埠的 PPTP 和 L2TP 伺服器。要新增僅 PPTP 伺服器，請將 L2TP 連接埠數設定為 0。要新增僅 L2TP 伺服器，請將 PPTP 連接埠數設定為 1，並禁用遠端訪問傳入連接和請求撥號連接。

解決方案： 驗證配置了正確的 PPTP 或 L2TP 連接埠號。

原因： 沒有將使用遠端訪問原則連接的 vpn 客戶端與 VPN 伺服器配置為使用至少一種公用身份驗證方法。

解決方案： 將與遠端訪問原則有關的 vpn 客戶端和 VPN 伺服器配置為至少使用一種常用身份驗證方法。

原因： 沒有將使用遠端訪問原則連接的 vpn 客戶端與 VPN 伺服器配置為至少使用一種常用加密方法。

解決方案： 將與遠端訪問原則有關的 vpn 客戶端和 VPN 伺服器配置為至少使用一種常用加密方法。

原因： VPN 連接沒有通過用戶帳戶和遠端訪問原則的撥入內容獲得適當訪問權限。

解決方案： 通過用戶帳戶和遠端訪問原則的撥入內容，驗證 VPN 連接有恰當的權限。

要建立連接，連接嘗試的設定必須：

與至少一個遠端訪問原則的所有條件匹配。
通過用戶帳戶（設定為「允許訪問」），或者通過用戶帳戶（設定為「通過遠端訪問原則控制訪問」）和匹配遠端訪問原則（設定為「授予遠端訪問權限」）的遠端訪問權限來授予遠端訪問權限。
匹配配置文件的所有設定。
匹配用戶帳戶的撥入內容的所有設定。

原因: 遠端訪問原則配置文件設定與 VPN 伺服器內容衝突。

遠端訪問原則配置文件的內容和 VPN 伺服器的內容都包含有關設定：

多重連結
帶寬分配傳輸協定
身份驗證傳輸協定
如果匹配遠端訪問原則的配置文件設定與 VPN 伺服器的設定衝突，連接嘗試將被拒絕。例如，如果匹配的遠端訪問原則配置文件指定必須使用 EAP-TLS 身份驗證傳輸協定，而 VPN 伺服器上的 EAP 不可用，則連接嘗試將被拒絕。

解決方案： 驗證遠端訪問原則配置文件的設定與 VPN 伺服器的內容不衝突。

原因： vpn 客戶端（用戶名、密碼及域名）的憑據不正確而不能由 VPN 伺服器驗證。

解決方案： 驗證 vpn 客戶端的憑據（用戶名、密碼和域名）正確，能夠為 VPN 伺服器驗證。

原因： 在靜態 IP 位址池中沒有足夠的位址。

解決方案： 如果 VPN 伺服器配置了靜態 IP 位址池，請驗證池中有足夠的位址。如果靜態池中的所有位址均已分配給連接的 vpn 客戶端，VPN 伺服器將無法分配 IP 位址，連接嘗試將被拒絕。如有需要請修改靜態 IP 位址池。

原因： vpn 客戶端配置為請求自己的 IPX 節點號，而 VPN 伺服器並沒有配置為允許 IPX 客戶端請求自己的 IPX 節點號。

解決方案： 配置 VPN 伺服器以允許 IPX 客戶申請自己的 IPX 節點號。

原因： 使用 IPX 網路上別處使用的 IPX 網路號配置 VPN 伺服器。

解決方案： 使用某個範圍內的 IPX 網路號來配置 VPN 伺服器，這些網路號對於您的 IPX 網路是唯一的。

原因： VPN 伺服器身份驗證提供程序配置不正確。

解決方案： 驗證身份驗證提供程序的配置。可以將 VPN 伺服器配置為使用 Windows 或 RADIUS 來驗證 vpn 客戶端的憑據。

原因： VPN 伺服器不能訪問 Active Directory。

解決方案： 對於作為 Windows 2000 混合域或 Windows 2000 本機域（該域為 Windows 身份驗證而配置）中的成員伺服器的 VPN 伺服器，請驗證：

存在 RAS and IAS Servers 安全組。如果沒有，請新增該組，並將該組類型設定為「安全」，組作用域設定為「本機域」。
RAS and IAS Servers 安全組具有對 RAS and IAS Servers Access Check 對象的讀取權限。
VPN 伺服器電腦的電腦帳戶是 RAS and IAS Servers 安全組的成員。可以用 netsh ras show registeredserver 指令來檢視當前註冊。可以用 netsh ras add registeredserver 指令在指定的域中註冊伺服器。
如果您將 VPN 伺服器電腦增加至 RAS and IAS Servers 安全組（或從該組刪除 VPN 伺服器電腦），則所做的更改不會立即產生影響（因為 Active Directory 信息進行緩衝的方式）。為了使更改立即生效，您需要重新啟動 VPN 伺服器電腦。

對於 Windows 2000 本機模式的域，VPN 伺服器已經加入到該域中了。

原因： Windows NT 4.0 VPN 伺服器無法驗證連接請求。

解決方案： 如果 vpn 客戶端正在撥入執行 Windows NT 4.0 而且作為 Windows 2000 混合域成員的 VPN 伺服器，請驗證是否已用 net localgroup "Pre-Windows 2000 Compatible Access" 指令將「Everyone」組都增加到「相容 Windows 2000 之前版本的訪問」組。如果未增加，請在域控制器電腦的命令提示字元下鍵入 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add，然後重新啟動該域控制器電腦。

原因： VPN 伺服器不能與配置的 RADIUS 伺服器通訊。

解決方案： 如果 RADIUS 伺服器只能通過 Internet 接頭訪問，請在 Internet 接頭上為用於 RADIUS 身份驗證的 UDP 連接埠 1812（關於 RFC 2138，「Remote Authentication Dial-In User Service (RADIUS)」（遠端身份驗證撥入用戶服務））或 UDP 連接埠 1645（對於早期的 RADIUS 伺服器），以及用於 RADIUS 記帳的 UDP 連接埠 1813（關於 RFC 2139，「RADIUS Accounting」（RADIUS 記帳））或 UDP 連接埠 1646（對於早期的 RADIUS 伺服器）增加輸入篩選器和輸出篩選器。

原因： 不能從 Internet 檢驗 VPN 伺服器。

解決方案： 由於在 VPN 伺服器的 Internet 接頭上配置的 PPTP 和 L2TP/IPSec 資料包篩選，所以濾除了 ping 指令使用的「Internet 控制消息傳輸協定 (ICMP)」資料包。要啟用 VPN 伺服器上的 ping 功能，需要增加允許 IP 傳輸協定 1（ICMP 通信）的輸入過濾器和輸出過濾器。