繼上文如何安裝和配置虛擬專用網(wǎng)絡(luò)服務(wù)器之后，本文繼續(xù)介紹虛擬專用網(wǎng)絡(luò)服務(wù)器VPN疑難解答。

疑難解答

遠程訪問VPN的疑難解答

無法建立遠程訪問VPN連接

·原因：客戶計算機的名稱與網(wǎng)絡(luò)上另一臺計算機的名稱相同。

解決方案：驗證網(wǎng)絡(luò)上的所有計算機和連接到網(wǎng)絡(luò)的計算機是否都使用唯一的計算機名稱。

·原因：VPN服務(wù)器上未啟動“路由和遠程訪問”服務(wù)。

解決方案：驗證VPN服務(wù)器上“路由和遠程訪問”服務(wù)的狀態(tài)。

·原因：VPN服務(wù)器上未啟用遠程訪問。

解決方案：在VPN服務(wù)器上啟用遠程訪問。

·原因：未為入站遠程訪問請求打開PPTP或L2TP端口。

解決方案：為入站遠程訪問請求打開PPTP或L2TP端口，或同時打開兩個端口。

·原因：在VPN服務(wù)器上未啟用VPN客戶端使用的LAN協(xié)議來支持遠程訪問。

解決方案：在VPN服務(wù)器上啟用VPN客戶端使用的LAN協(xié)議以支持遠程訪問。

·原因：VPN服務(wù)器上的所有PPTP或L2TP端口已被當前連接的遠程訪問客戶端或請求撥號路由器使用。

解決方案：驗證VPN服務(wù)器上的所有PPTP或L2TP端口是否都已被使用。為此，請在“路由和遠程訪問”中單擊端口。如果允許的PPTP或L2TP端口的數(shù)目不夠高，則可以更改PPTP或L2TP端口的數(shù)目以允許更多的同時連接。

·原因：VPN服務(wù)器不支持VPN客戶端的隧道協(xié)議。

默認情況下，WindowsServer2003的遠程訪問VPN客戶端使用自動服務(wù)器類型選項，這意味著他們試圖首先建立一個基于IPSsec的L2TPVPN連接，然后試圖建立一個基于PPTP的VPN連接。如果VPN客戶端使用點對點隧道協(xié)議(PPTP)或第2層隧道協(xié)議(L2TP)兩者中的一種服務(wù)器類型選項，請驗證選中的隧道協(xié)議是否受VPN服務(wù)器支持。

默認情況下，一臺運行WindowsServer2003和“路由和遠程訪問”服務(wù)的計算機就是一個有五個L2TP端口和五個PPTP端口的PPTP和L2TP服務(wù)器。若要使創(chuàng)建的服務(wù)器只為PPTP服務(wù)器，請將L2TP端口的數(shù)量設(shè)置為零。若要使創(chuàng)建的服務(wù)只為L2TP服務(wù)器，請將PPTP端口的數(shù)量設(shè)置為零。

解決方案：驗證是否配置了相應(yīng)數(shù)目的PPTP或L2TP端口。

·原因：VPN客戶端和VPN服務(wù)器以及遠程訪問策略未配置為至少使用一種通用身份驗證方法。

解決方案：將VPN客戶端和VPN服務(wù)器以及遠程訪問策略配置為至少使用一種通用身份驗證方法。

·原因：VPN客戶端和VPN服務(wù)器以及遠程訪問策略未配置為至少使用一種通用加密方法。

解決方案：將VPN客戶端和VPN服務(wù)器以及遠程訪問策略配置為至少使用一種通用加密方法。

·原因：VPN連接在用戶帳戶撥入屬性以及在遠程訪問策略中沒有適當?shù)臋?quán)限。

解決方案：驗證VPN連接在用戶帳戶撥入屬性以及在遠程訪問策略中是否有適當?shù)臋?quán)限。若要建立連接，連接嘗試的設(shè)置必須：

至少滿足一種遠程訪問策略的所有條件。

通過用戶帳戶（設(shè)置為允許訪問）或通過用戶帳戶（設(shè)置為“通過遠程訪問策略控制訪問”）授予遠程訪問權(quán)限，并授予匹配的遠程訪問策略的遠程訪問權(quán)限（設(shè)置為“授予遠程訪問權(quán)限”）。

與該配置文件的所有設(shè)置匹配。

與該用戶帳戶的撥入屬性的所有設(shè)置相匹配。

·原因：遠程訪問策略配置文件的設(shè)置與VPN服務(wù)器的屬性沖突。

遠程訪問策略配置文件的屬性和VPN服務(wù)器的屬性都包含下列設(shè)置：

多重鏈接。帶寬分配協(xié)議(BAP)。

身份驗證協(xié)議。

如果相應(yīng)的遠程訪問策略的配置文件的設(shè)置與VPN服務(wù)器的設(shè)置沖突，則連接嘗試將被拒絕。例如，如果相應(yīng)的遠程訪問策略配置文件指定必須使用可擴展身份驗證協(xié)議—傳輸層安全性(EAP-TLS)身份驗證協(xié)議，而VPN服務(wù)器上未啟用EAP，則連接嘗試將被拒絕。

解決方案：驗證遠程訪問策略配置文件的設(shè)置以確保不與VPN服務(wù)器的屬性沖突。

·原因：應(yīng)答路由器無法驗證呼叫路由器的憑據(jù)（用戶名、密碼和域名）。

解決方案：驗證VPN客戶端的憑據(jù)（用戶名、密碼和域名）是否正確以及是否可被VPN服務(wù)器驗證。

·原因：在靜態(tài)IP地址池中沒有足夠的地址。

解決方案：如果VPN服務(wù)器配置了靜態(tài)IP地址池，請驗證池中是否有足夠的地址。如果靜態(tài)池中的所有地址都已分配給已連接的VPN客戶端，則VPN服務(wù)器將無法分配IP地址，連接嘗試將被拒絕。如果已分配了靜態(tài)池中的所有地址，則修改池。

·原因：VPN客戶端配置為可請求其自己的IPX節(jié)點編號，而VPN服務(wù)器配置為不允許IPX客戶端請求它們自己的IPX節(jié)點編號。

解決方案：配置VPN服務(wù)器使之允許IPX客戶端請求它們自己的IPX節(jié)點編號。

·原因：給VPN服務(wù)器配置了一段IPX網(wǎng)絡(luò)上其他地方正在使用的IPX網(wǎng)絡(luò)編號范圍。

解決方案：給VPN服務(wù)器配置一個在IPX網(wǎng)絡(luò)上唯一的IPX網(wǎng)絡(luò)編號范圍。

·原因：VPN服務(wù)器的身份驗證提供程序配置不正確。

解決方案：驗證身份驗證提供程序的配置是否正確。您可以配置VPN服務(wù)器使用WindowsServer2003或遠程身份驗證撥入用戶服務(wù)(RADIUS)來驗證VPN客戶端的憑據(jù)。

·原因：VPN服務(wù)器無法訪問ActiveDirectory。

解決方案：如果VPN服務(wù)器是混合模式或本機模式WindowsServer2003域的一個成員服務(wù)器而且配置為使用WindowsServer2003身份驗證，則請驗證：

“RAS和IAS服務(wù)器”安全組是否存在。如果不存在，請創(chuàng)建該組并將組類型設(shè)置為“安全”并將組作用域設(shè)置為“本地域”。

“RAS和IAS服務(wù)器”安全組對“RAS和IAS服務(wù)器訪問檢查”對象有讀取權(quán)限。

VPN服務(wù)器計算機的計算機帳戶是“RAS和IAS服務(wù)器”安全組中的一個成員?？梢允褂?ldquo;netshrasshowregisteredserver”命令查看當前注冊?？梢允褂?ldquo;netshrasaddregisteredserver”命令在指定的域中注冊服務(wù)器。

如果您向RAS和IAS服務(wù)器安全組添加（或從中去除）VPN服務(wù)器計算機，則此更改不會立即生效（這是由WindowsServer2003緩存ActiveDirectory信息的方式?jīng)Q定的）。若要使更改立即生效，請重新啟動VPN服務(wù)器計算機。

VPN服務(wù)器是該域的一個成員。

·原因：基于WindowsNT4.0的VPN服務(wù)器無法驗證連接請求。

解決方案：如果VPN客戶端正在撥入到運行著WindowsNT4.0的VPN服務(wù)器，而此服務(wù)器是WindowsServer2003混合模式域的成員，則請使用下列命令驗證Everyone組是否已添加到Pre-Windows2000CompatibleAccess組中：

"netlocalgroup"Pre-Windows2000CompatibleAccess""

如果沒有，則請在域控制器計算機上的命令提示符處鍵入下列命令，然后重新啟動域控制器計算機：

netlocalgroup"Pre-Windows2000CompatibleAccess"everyone/add

·原因：VPN服務(wù)器無法與配置的RADIUS服務(wù)器通訊。

解決方案：如果只能通過Internet接口訪問RADIUS服務(wù)器，則執(zhí)行以下操作之一：

為UDP端口1812的Internet接口添加一個輸入過濾器和一個輸出過濾器（依據(jù)RFC2138“遠程身份驗證撥入用戶服務(wù)(RADIUS)”）。–或-

為UDP端口1645（針對較早的RADIUS服務(wù)器）以及RADIUS身份驗證和UDP端口1813（基于RFC2139“RADIUS計帳”）的Internet接口添加一個輸入篩選器和一個輸出篩選器。-或-

為用于RADIUS計帳的UDP端口1646（針對較早的RADIUS服務(wù)器）的Internet接口添加一個輸入篩選器和一個輸出篩選器。

·原因：無法使用Ping.exe實用程序通過Internet連接到VPN服務(wù)器。

解決方案：由于在VPN服務(wù)器的Internet接口上配置了基于IPSec的PPTP和L2TP數(shù)據(jù)包篩選，ping命令使用的Internet控制消息協(xié)議(ICMP)數(shù)據(jù)包被篩選掉了。若要讓VPN服務(wù)器能夠響應(yīng)ICMP(ping)數(shù)據(jù)包，請?zhí)砑釉试SIP協(xié)議1通信量（ICMP通信量）的輸入篩選器和輸出篩選器。

“無法發(fā)送和接收數(shù)據(jù)”

·原因：未給被路由的協(xié)議添加適當?shù)恼埱髶芴柦涌凇?/p>

解決方案：給被路由的協(xié)議添加適當?shù)恼埱髶芴柦涌凇?/p>

·原因：路由器對路由器VPN連接的兩端都沒有支持雙向通信量交換的路由。

解決方案：與遠程訪問VPN連接不同，路由器對路由器VPN連接不會自動創(chuàng)建默認路由。在路由器對路由器VPN連接的兩端都創(chuàng)建路由，以便路由器對路由器VPN連接兩端的通信量都可以路由到對方。

您可以手動向路由表中添加靜態(tài)路由，也可以通過路由協(xié)議添加靜態(tài)路由。對于持續(xù)性VPN連接，您可以在VPN連接上啟用“開放式最短路徑優(yōu)先(OSPF)”或“路由信息協(xié)議(RIP)”。對于請求VPN連接，可以通過自動靜態(tài)RIP更新來自動更新路由。

·原因：雙向初始化的應(yīng)答路由器作為遠程訪問連接，正在解釋路由器對路由器的VPN連接。

解決方案：如果呼叫路由器的憑據(jù)中的用戶名出現(xiàn)在“路由和遠程訪問”中的撥入客戶端下，則應(yīng)答路由器將把呼叫路由器解釋為遠程訪問客戶端。請驗證呼叫路由器的憑據(jù)中的用戶名是否與應(yīng)答路由器上請求撥號接口的名稱匹配。如果傳入呼叫方是一個路由器，則接收呼叫的端口將顯示為活動狀態(tài)，而且相應(yīng)的請求撥號接口處于連接狀態(tài)。

·原因：呼叫路由器和應(yīng)答路由器的請求撥號接口上的數(shù)據(jù)包篩選器使通信量不能傳輸。

解決方案：驗證以確保呼叫路由器和應(yīng)答路由器的請求撥號接口上不存在阻止通信量傳輸?shù)臄?shù)據(jù)包篩選器?？梢越o各請求撥號接口配置IP和IPX輸入和輸出篩選器，以精確控制允許進出該請求撥號接口的TCP/IP和IPX通信量的性質(zhì)。

·原因：遠程訪問策略配置文件中的數(shù)據(jù)包篩選器阻止了IP通信量的傳輸。

解決方案：驗證以確保VPN服務(wù)器（如果使用了Internet身份驗證服務(wù)則是RADIUS服務(wù)器）上的遠程訪問策略的配置文件屬性上未配置阻止TCP/IP通信量接發(fā)的TCP/IP數(shù)據(jù)包篩選器。您可以使用遠程訪問策略來配置TCP/IP輸入和輸出數(shù)據(jù)包篩選器，以精確控制VPN連接上允許的TCP/IP通信量的性質(zhì)。驗證以確保配置文件TCP/IP數(shù)據(jù)包篩選器未阻止通信量的傳輸。

希望本文介紹的虛擬專用網(wǎng)絡(luò)服務(wù)器VPN的疑難解答能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 詳細講解Linux系統(tǒng)VPN服務(wù)器配置
2. 如何安裝和配置虛擬專用網(wǎng)絡(luò)服務(wù)器？
3. Windows 2008下VPN網(wǎng)絡(luò)連接設(shè)置方法
4. 在Ubuntu 8.10上連接到微軟VPN服務(wù)器
5. Windows XP下實現(xiàn)高效安全的VPN連接