So installieren und konfigurieren Sie einen virtuellen privaten Netzwerkserver in Windows Server 2003

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie virtuelle private Netzwerke (VPN) installieren und eine neue VPN-Verbindung auf Servern erstellen, auf denen Windows Server 2003 ausgeführt wird.

Eine Microsoft Windows XP-Version dieses Artikels finden Sie unter 314076.

Gilt für:   Windows Server 2003
Ursprüngliche KB-Nummer:   323441

Zusammenfassung

Mit einem virtuellen privaten Netzwerk können Sie Netzwerkkomponenten über ein anderes Netzwerk wie das Internet verbinden. Sie können Ihren Windows Server 2003-basierten Computer zu einem Remotezugriffsserver machen, sodass andere Benutzer über VPN eine Verbindung mit ihm herstellen können. Anschließend können sie sich am Netzwerk anmelden und auf freigegebene Ressourcen zugreifen. VPNs "tunneln" dies über das Internet oder über ein anderes öffentliches Netzwerk auf eine Weise, die die gleichen Sicherheit und Funktionen wie ein privates Netzwerk bietet. Daten werden über das öffentliche Netzwerk mithilfe der Routinginfrastruktur gesendet, dem Benutzer wird jedoch so angezeigt, als ob die Daten über eine dedizierte private Verbindung gesendet werden.

Übersicht über VPN

Ein virtuelles privates Netzwerk ist eine Möglichkeit, über ein öffentliches Netzwerk (z. B. das Internet) eine Verbindung mit einem privaten Netzwerk (z. B. Ihrem Office-Netzwerk) herzustellen. Ein VPN kombiniert die Vorteile einer DFÜ-Verbindung mit einem DFÜ-Server mit der Einfachheit und Flexibilität einer Internetverbindung. Mithilfe einer Internetverbindung können Sie weltweit unterwegs sein und trotzdem an den meisten Stellen eine Verbindung mit Ihrem Büro mit einem lokalen Anruf zur nächstgelegenen Telefonnummer für den Internetzugriff herstellen. Wenn Sie an Ihrem Computer und in Ihrem Büro über eine High-Speed-Internetverbindung (z. B. Kabel oder XAML) verfügen, können Sie mit Ihrem Büro mit voller Internetgeschwindigkeit kommunizieren, was viel schneller ist als jede DFÜ-Verbindung, die ein analoges Modem verwendet. Diese Technologie ermöglicht es einem Unternehmen, sich über ein öffentliches Netzwerk mit seinen Zweigstellen oder anderen Unternehmen zu verbinden und gleichzeitig eine sichere Kommunikation zu gewährleisten. Die VPN-Verbindung über das Internet wird logisch als dedizierte WAN-Verbindung (Wide Area Network) betrieben.

Virtuelle private Netzwerke verwenden authentifizierte Links, um sicherzustellen, dass nur autorisierte Benutzer eine Verbindung mit Ihrem Netzwerk herstellen können. Um sicherzustellen, dass Daten sicher sind, während sie über das öffentliche Netzwerk übertragen werden, verwendet eine VPN-Verbindung PPTP (Point-to-Point Tunneling Protocol) oder Layer Two Tunneling Protocol (L2TP), um Daten zu verschlüsseln.

Komponenten eines VPN

Ein VPN auf Servern unter Windows Server 2003 besteht aus einem VPN-Server, einem VPN-Client, einer VPN-Verbindung (dem Teil der Verbindung, in der die Daten verschlüsselt sind) und dem Tunnel (dem Teil der Verbindung, in der die Daten gekapselt sind). Der Tunnelvorgang wird über eines der Tunnelingprotokolle abgeschlossen, die auf Servern unter Windows Server 2003 enthalten sind, die beide mit Routing und Remotezugriff installiert sind. Der Routing- und Remotezugriffsdienst wird während der Installation von Windows Server 2003 automatisch installiert. Standardmäßig ist der Routing- und Remotezugriffsdienst jedoch deaktiviert.

Die beiden in Windows enthaltenen Tunnelingprotokolle sind:

  • PPTP (Point-to-Point Tunneling Protocol): Bietet Datenverschlüsselung mithilfe von Microsoft Point-to-Point-Verschlüsselung.
  • Layer Two Tunneling Protocol (L2TP): Bietet Datenverschlüsselung, Authentifizierung und Integrität mitHILFE von IPSec.

Ihre Verbindung mit dem Internet muss eine dedizierte Linie wie T1, Fractional T1 oder Frame Relay verwenden. Der WAN-Adapter muss mit der IP-Adresse und der Subnetzmaske konfiguriert sein, die für Ihre Domäne zugewiesen oder von einem Internetdienstanbieter (ISP) bereitgestellt wird. Der WAN-Adapter muss auch als Standardgateway des ISP-Routers konfiguriert werden.

Hinweis

Um VPN zu aktivieren, müssen Sie mit einem Konto angemeldet sein, das über Administratorrechte verfügt.

Installieren und Aktivieren eines VPN-Servers

Führen Sie die folgenden Schritte aus, um einen VPN-Server zu installieren und zu aktivieren:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing" und "Remotezugriff".

  2. Klicken Sie im linken Bereich der Konsole auf das Serversymbol, das dem namen des lokalen Servers entspricht. Wenn das Symbol in der unteren linken Ecke einen roten Kreis aufweist, wurde der Routing- und Remotezugriffsdienst nicht aktiviert. Wenn das Symbol einen grünen Pfeil aufweist, der in der unteren linken Ecke nach oben zeigt, wurde der Routing- und Remotezugriffsdienst aktiviert. Wenn der Routing- und Remotezugriffsdienst zuvor aktiviert war, sollten Sie den Server neu konfigurieren. So konfigurieren Sie den Server neu:

    1. Klicken Sie mit der rechten Maustaste auf das Serverobjekt, und klicken Sie dann auf "Routing und Remotezugriff deaktivieren". Klicken Sie auf "Ja", um fortzufahren, wenn Sie zur Eingabe einer Informationsnachricht aufgefordert werden.
    2. Klicken Sie mit der rechten Maustaste auf das Serversymbol, und klicken Sie dann auf "Routing und Remotezugriff konfigurieren und aktivieren", um den Assistenten zum Einrichten des Routing- und Remotezugriffsservers zu starten. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
    3. Klicken Sie auf Remotezugriff (DFÜ oder VPN), um Remotecomputer zum Einwählen oder Herstellen einer Verbindung mit diesem Netzwerk über das Internet zu aktivieren. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
  3. Klicken Sie, um VPN oder DFÜ auszuwählen, abhängig von der Rolle, die Sie diesem Server zuweisen möchten.

  4. Klicken Sie im Fenster "VPN-Verbindung" auf die Netzwerkschnittstelle, die mit dem Internet verbunden ist, und klicken Sie dann auf "Weiter".

  5. Klicken Sie im Fenster "IP-Adresszuweisung" auf "Automatisch", wenn ein DHCP-Server zum Zuweisen von Adressen zu Remoteclients verwendet wird, oder klicken Sie auf "Von einem bestimmten Adressbereich", wenn Remoteclients nur eine Adresse aus einem vordefinierten Pool erhalten dürfen. In den meisten Fällen ist die DHCP-Option einfacher zu verwalten. Wenn DHCP jedoch nicht verfügbar ist, müssen Sie einen Bereich statischer Adressen angeben. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  6. Wenn Sie auf Von einem angegebenen Adressbereich geklickt haben, wird das Dialogfeld Adressbereichszuweisung geöffnet. Klicken Sie auf Neu. Geben Sie die erste IP-Adresse in den Adressbereich ein, den Sie im Start-IP-Adressfeld verwenden möchten. Geben Sie die letzte IP-Adresse in den Bereich im Feld "Ip-Endadresse" ein. Windows berechnet die Anzahl der Adressen automatisch. Klicken Sie auf "OK", um zum Fenster "Adressbereichszuweisung" zurückzukehren. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  7. Akzeptieren Sie die Standardeinstellung "Nein", verwenden Sie Routing und Remotezugriff, um Verbindungsanforderungen zu authentifizieren, und klicken Sie dann auf "Weiter", um fortzufahren. Klicken Sie auf "Fertig stellen", um den Routing- und Remotezugriffsdienst zu aktivieren und den Server als Rasenzugriffsserver zu konfigurieren.

Konfigurieren des VPN-Servers

Führen Sie die folgenden Schritte aus, um den VPN-Server nach Bedarf weiter zu konfigurieren.

Konfigurieren des Rasenservers als Router

Damit der Rasenserver den Datenverkehr innerhalb Ihres Netzwerks ordnungsgemäß weiterleiten kann, müssen Sie ihn als Router mit statischen Routen oder Routingprotokollen konfigurieren, damit alle Standorte im Intranet über den Rasenzugriffsserver erreichbar sind.

So konfigurieren Sie den Server als Router:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing" und "Remotezugriff".
  2. Klicken Sie mit der rechten Maustaste auf den Servernamen, und klicken Sie dann auf "Eigenschaften".
  3. Klicken Sie auf die Registerkarte "Allgemein", und klicken Sie dann auf "Router" unter "Diesen Computer als"Aktivieren" auswählen.
  4. Klicken Sie auf LAN und Routing bei Bedarf, und klicken Sie dann auf OK, um das Dialogfeld Eigenschaften zu schließen.

So ändern Sie die Anzahl gleichzeitiger Verbindungen

Die Anzahl der DFÜ-Modemverbindungen hängt von der Anzahl der Auf dem Server installierten Modems ab. Wenn beispielsweise nur ein Modem auf dem Server installiert ist, können Sie jeweils nur eine Modemverbindung haben.

Die Anzahl der DFÜ-VPN-Verbindungen hängt von der Anzahl der gleichzeitigen Benutzer ab, die Sie zulassen möchten. Wenn Sie das in diesem Artikel beschriebene Verfahren ausführen, lassen Sie standardmäßig 128 Verbindungen zu. Führen Sie die folgenden Schritte aus, um die Anzahl gleichzeitiger Verbindungen zu ändern:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing" und "Remotezugriff".
  2. Doppelklicken Sie auf das Serverobjekt, klicken Sie mit der rechten Maustaste auf "Ports", und klicken Sie dann auf "Eigenschaften".
  3. Klicken Sie im Dialogfeld Ports-Eigenschaften auf WAN Miniport (PPTP) > Konfigurieren.
  4. Geben Sie im Feld "Maximale Ports" die Anzahl der VPN-Verbindungen ein, die Sie zulassen möchten.
  5. Klicken Sie auf > OK OK, und schließen Sie routing and remote acces s.

Verwalten von Adressen und Namenservern

Der VPN-Server muss über IP-Adressen verfügen, um sie der virtuellen Schnittstelle des VPN-Servers und VPN-Clients während der IPCP-Aushandlungsphase (IPCP) des Verbindungsprozesses zuzuweisen. Die dem VPN-Client zugewiesene IP-Adresse wird der virtuellen Schnittstelle des VPN-Clients zugewiesen.

Bei Windows Server 2003-basierten VPN-Servern werden die VPN-Clients zugewiesenen IP-Adressen standardmäßig über DHCP abgerufen. Sie können auch einen statischen IP-Adresspool konfigurieren. Der VPN-Server muss auch mit Namenauflösungsservern konfiguriert werden, in der Regel DNS- und WINS-Serveradressen, die dem VPN-Client während der IPCP-Aushandlung zugewiesen werden.

Verwalten des Zugriffs

Konfigurieren Sie die Einwahleigenschaften für Benutzerkonten und Remotezugriffsrichtlinien, um den Zugriff für DFÜ-Netzwerke und VPN-Verbindungen zu verwalten.

Hinweis

Standardmäßig wird Benutzern der Zugriff auf DFÜ-Netzwerke verweigert.

Zugriff nach Benutzerkonto

Führen Sie die folgenden Schritte aus, um einem Benutzerkonto Einwahlzugriff zu gewähren, wenn Sie den Remotezugriff auf Benutzerbasis verwalten:

  1. Click Start, point to Administrative Tools, and then click Active Directory Users and Computers.
  2. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, und klicken Sie dann auf "Eigenschaften".
  3. Klicken Sie auf die Einwahlregisterkarte.
  4. Klicken Sie auf "Zugriff zulassen", um dem Benutzer die Einwahlberechtigung zu erteilen. Klicken Sie auf OK.

Zugriff nach Gruppenmitgliedschaft

Wenn Sie den Remotezugriff auf Gruppenbasis verwalten, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Gruppe mit Mitgliedern, die VPN-Verbindungen erstellen dürfen.
  2. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Routing" und "Remotezugriff".
  3. Erweitern Sie in der Konsolenstruktur Routing und Remotezugriff, erweitern Sie den Servernamen, und klicken Sie dann auf "Remotezugriffsrichtlinien".
  4. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im rechten Bereich, zeigen Sie auf "Neu", und klicken Sie dann auf "Rasenzugriffsrichtlinie".
  5. Klicken Sie auf "Weiter", geben Sie den Richtliniennamen ein, und klicken Sie dann auf "Weiter".
  6. Klicken Sie auf VPN für die Methode für den virtuellen privaten Zugriff oder auf DFÜ für DFÜ-Zugriff, und klicken Sie dann auf "Weiter".
  7. Klicken Sie auf "Hinzufügen", geben Sie den Namen der Gruppe ein, die Sie in Schritt 1 erstellt haben, und klicken Sie dann auf "Weiter".
  8. Folgen Sie den Anweisungen auf dem Bildschirm, um den Assistenten abzuschließen.

Wenn der VPN-Server bereits DFÜ-Netzwerk-Remotezugriffsdienste zulässt, löschen Sie die Standardrichtlinie nicht. Verschieben Sie es stattdessen so, dass es die letzte Richtlinie ist, die ausgewertet werden soll.

Konfigurieren einer VPN-Verbindung von einem Clientcomputer

Führen Sie die folgenden Schritte aus, um eine Verbindung mit einem VPN einzurichten. Führen Sie die folgenden Schritte auf der Clientarbeitsstation aus, um einen Client für den Zugriff auf das virtuelle private Netzwerk einzurichten:

Hinweis

Sie müssen als Mitglied der Gruppe "Administratoren" angemeldet sein, um diese Schritte ausführen zu können.

Da es mehrere Versionen von Microsoft Windows gibt, können sich die folgenden Schritte auf Ihrem Computer unterscheiden. Wenn dies der Typ ist, lesen Sie die Produktdokumentation, um diese Schritte auszuführen.

  1. Vergewissern Sie sich auf dem Clientcomputer, dass die Verbindung mit dem Internet ordnungsgemäß konfiguriert ist.

  2. Klicken Sie auf > > "Systemsteuerungsnetzwerkverbindungen starten". Klicken Sie unter "Netzwerkaufgaben" auf "Neue Verbindung erstellen", und klicken Sie dann auf "Weiter".

  3. Klicken Sie auf "Verbindung mit dem Netzwerk an meinem Arbeitsplatz herstellen", um die DFÜ-Verbindung zu erstellen. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  4. Klicken Sie auf "Virtuelles privates Netzwerk" und dann auf "Weiter".

  5. Geben Sie einen beschreibenden Namen für diese Verbindung im Dialogfeld Unternehmensname ein, und klicken Sie dann auf "Weiter".

  6. Klicken Sie auf "Anfängliche Verbindung nicht wählen", wenn der Computer dauerhaft mit dem Internet verbunden ist. Wenn der Computer über einen Internetdienstanbieter (Internet Service Provider, ISP) eine Verbindung mit dem Internet herstellt, klicken Sie auf "Diese anfängliche Verbindung automatisch wählen" und dann auf den Namen der Verbindung mit dem ISP. Klicken Sie auf Weiter.

  7. Geben Sie die IP-Adresse oder den Hostnamen des VPN-Servercomputers ein (z. B. VPNServer.SampleDomain.com).

  8. Klicken Sie auf "Jeder", wenn Sie benutzern, die sich bei der Arbeitsstation anmelden, zugriff auf diese DFÜ-Verbindung gewähren möchten. Klicken Sie nur auf "Meine Verwendung", wenn diese Verbindung nur für den aktuell angemeldeten Benutzer verfügbar sein soll. Klicken Sie auf Weiter.

  9. Klicken Sie auf Fertig stellen, um die Verbindung zu speichern.

  10. Klicken Sie auf > > "Systemsteuerungsnetzwerkverbindungen starten".

  11. Doppelklicken Sie auf die neue Verbindung.

  12. Klicken Sie auf "Eigenschaften", um die Konfigurationsoptionen für die Verbindung fortzusetzen. Führen Sie die folgenden Schritte aus, um weiterhin Optionen für die Verbindung zu konfigurieren:

    • Wenn Sie eine Verbindung mit einer Domäne herstellen, klicken Sie auf die Registerkarte "Optionen", und aktivieren Sie dann das Kontrollkästchen "Windows-Anmeldedomäne einschließen", um anzugeben, ob Windows Server 2003-Anmeldedomäneninformationen angefordert werden sollen, bevor Sie versuchen, eine Verbindung herzustellen.
    • Wenn die Verbindung neuial formatiert werden soll, wenn die Zeile gelöscht wird, klicken Sie auf die Registerkarte "Optionen", und aktivieren Sie dann das Kontrollkästchen "Redial if line is dropped".

Führen Sie die folgenden Schritte aus, um die Verbindung zu verwenden:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verbindung herstellen", und klicken Sie dann auf die neue Verbindung.

  2. Wenn Sie derzeit keine Verbindung mit dem Internet haben, bietet Windows an, eine Internetverbindung herzustellen.

  3. Wenn die Verbindung mit dem Internet hergestellt wird, werden Sie vom VPN-Server zur Eingabe ihres Benutzernamens und Kennworts aufgefordert. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, und klicken Sie dann auf "Verbinden". Ihre Netzwerkressourcen müssen ihnen auf die gleiche Weise zur Verfügung stehen wie beim direkten Herstellen einer Verbindung mit dem Netzwerk.

    Hinweis

    Um die Verbindung mit dem VPN zu trennen, klicken Sie mit der rechten Maustaste auf das Verbindungssymbol, und klicken Sie dann auf "Trennen".

Problembehandlung

Problembehandlung für VPNs für den Remotezugriff

VPN-Verbindung mit Remotezugriff kann nicht hergestellt werden

  • Ursache: Der Name des Clientcomputers entspricht dem Namen eines anderen Computers im Netzwerk.

    Lösung: Stellen Sie sicher, dass die Namen aller Computer im Netzwerk und der Computer, die eine Verbindung mit dem Netzwerk herstellen, eindeutige Computernamen verwenden.

  • Ursache: Der Routing- und Remotezugriffsdienst wird nicht auf dem VPN-Server gestartet.

    Lösung: Überprüfen Sie den Status des Routing- und Remotezugriffsdiensts auf dem VPN-Server.

    Weitere Informationen zum Überwachen des Routing- und Rasendiensts sowie zum Starten und Beenden des Routing- und Remotezugriffsdiensts finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der Remotezugriff ist auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie den Remotezugriff auf dem VPN-Server.

    Weitere Informationen zum Aktivieren des Rasenservers finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: PPTP- oder L2TP-Ports sind für eingehende Remotezugriffsanforderungen nicht aktiviert.

    Lösung: Aktivieren Sie PPTP- oder L2TP-Ports oder beides für eingehende Remotezugriffsanforderungen.

    Weitere Informationen zum Konfigurieren von Ports für den Remotezugriff finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Die von den VPN-Clients verwendeten LAN-Protokolle sind für den Remotezugriff auf dem VPN-Server nicht aktiviert.

    Lösung: Aktivieren Sie die LAN-Protokolle, die von den VPN-Clients für den Remotezugriff auf dem VPN-Server verwendet werden.

    Weitere Informationen zum Anzeigen der Eigenschaften des Rasenzugriffsservers finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Alle PPTP- oder L2TP-Ports auf dem VPN-Server werden bereits von derzeit verbundenen Remotezugriffsclients oder Routern mit Wählanforderungen verwendet.

    Lösung: Stellen Sie sicher, dass alle PPTP- oder L2TP-Ports auf dem VPN-Server bereits verwendet werden. Klicken Sie dazu auf "Ports" in "Routing" und "Remotezugriff". Wenn die Anzahl der zulässigen PPTP- oder L2TP-Ports nicht hoch genug ist, ändern Sie die Anzahl der PPTP- oder L2TP-Ports, um mehr gleichzeitige Verbindungen zuzulassen.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Server unterstützt das Tunnelprotokoll des VPN-Clients nicht.

    Standardmäßig verwenden Windows Server 2003-REMOTEzugriffs-VPN-Clients die Option "Automatischer Servertyp", was bedeutet, dass sie zuerst versuchen, eine L2TP über IPSec-basierte VPN-Verbindung herzustellen, und dann versuchen, eine PPTP-basierte VPN-Verbindung herzustellen. Wenn VPN-Clients die Servertypoption "Point-to-Point Tunneling Protocol" (PPTP) oder "Layer-2 Tunneling Protocol(L2TP)" verwenden, überprüfen Sie, ob das ausgewählte Tunnelingprotokoll vom VPN-Server unterstützt wird.

    Standardmäßig handelt es sich bei einem Computer mit Windows Server 2003 Server und dem Routing- und Remotezugriffsdienst um einen PPTP- und L2TP-Server mit fünf L2TP-Ports und fünf PPTP-Ports. Legen Sie zum Erstellen eines reinen PPTP-Servers die Anzahl der L2TP-Ports auf Null fest. Um einen nur L2TP-Server zu erstellen, legen Sie die Anzahl der PPTP-Ports auf Null fest.

    Lösung: Stellen Sie sicher, dass die entsprechende Anzahl von PPTP- oder L2TP-Ports konfiguriert ist.

    Weitere Informationen zum Hinzufügen von PPTP- oder L2TP-Ports finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Client und der VPN-Server in Verbindung mit einer Rasenzugriffsrichtlinie sind nicht so konfiguriert, dass mindestens eine allgemeine Authentifizierungsmethode verwendet wird.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server in Verbindung mit einer Rasenzugriffsrichtlinie, um mindestens eine allgemeine Authentifizierungsmethode zu verwenden.

    Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Der VPN-Client und der VPN-Server in Verbindung mit einer Rasenzugriffsrichtlinie sind nicht so konfiguriert, dass mindestens eine allgemeine Verschlüsselungsmethode verwendet wird.

    Lösung: Konfigurieren Sie den VPN-Client und den VPN-Server in Verbindung mit einer Remotezugriffsrichtlinie, um mindestens eine allgemeine Verschlüsselungsmethode zu verwenden.

    Weitere Informationen zum Konfigurieren der Verschlüsselung finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Die VPN-Verbindung verfügt nicht über die entsprechenden Berechtigungen über Einwahleigenschaften des Benutzerkontos und der Rasenzugriffsrichtlinien.

    Lösung: Stellen Sie sicher, dass die VPN-Verbindung über die entsprechenden Berechtigungen über einwahleigenschaften des Benutzerkontos und über Remotezugriffsrichtlinien verfügt. Damit die Verbindung hergestellt wird, müssen die Einstellungen des Verbindungsversuchs:

    • Erfüllen Sie alle Bedingungen von mindestens einer Rasenzugriffsrichtlinie.
    • Die Berechtigung für den Remotezugriff wird über das Benutzerkonto (auf "Zugriff zulassen") oder über das Benutzerkonto (auf "Zugriff über Rasrichtlinie steuern") und die Rasberechtigung der entsprechenden Ras-Richtlinie (festgelegt auf "Remotezugriffsberechtigung erteilen") gewährt.
    • Stimmen Sie mit allen Einstellungen des Profils überein.
    • Stimmen Sie alle Einstellungen der Einwahleigenschaften des Benutzerkontos ab.

    Weitere Informationen zu einer Einführung in Remotezugriffsrichtlinien und zum Akzeptieren eines Verbindungsversuchs finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Hilfe- und Supportcenter für Windows Server 2003 zuzugreifen.

  • Ursache: Die Einstellungen des Rasenrichtlinienprofils stehen in Konflikt mit den Eigenschaften des VPN-Servers.

    Die Eigenschaften des Rasenrichtlinienprofils und die Eigenschaften des VPN-Servers enthalten einstellungen für:

    • Multilink.
    • Bandbreitenzuweisungsprotokoll (Bandwidth Allocation Protocol, BAP).
    • Authentifizierungsprotokolle.

    Wenn die Einstellungen des Profils der übereinstimmenden Rasenzugriffsrichtlinie mit den Einstellungen des VPN-Servers in Konflikt stehen, wird der Verbindungsversuch abgelehnt. Wenn das übereinstimmende Rasenrichtlinienprofil beispielsweise angibt, dass das EAP-TLS-Authentifizierungsprotokoll (Extensible Authentication Protocol – Transport Level Security) verwendet werden muss und EAP auf dem VPN-Server nicht aktiviert ist, wird der Verbindungsversuch abgelehnt.

    Lösung: Stellen Sie sicher, dass die Einstellungen des Rasenrichtlinienprofils nicht mit den Eigenschaften des VPN-Servers in Konflikt stehen.

    Weitere Informationen zu Multilink-, BAP- und Authentifizierungsprotokollen finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der antwortende Router kann die Anmeldeinformationen des aufrufenden Routers (Benutzername, Kennwort und Domänenname) nicht überprüfen.

    Lösung: Überprüfen Sie, ob die Anmeldeinformationen des VPN-Clients (Benutzername, Kennwort und Domänenname) korrekt sind und vom VPN-Server überprüft werden können.

  • Ursache: Der statische IP-Adresspool enthält nicht genügend Adressen.

    Lösung: Wenn der VPN-Server mit einem statischen IP-Adresspool konfiguriert ist, stellen Sie sicher, dass genügend Adressen im Pool vorhanden sind. Wenn alle Adressen im statischen Pool verbundenen VPN-Clients zugewiesen wurden, kann der VPN-Server keine IP-Adresse zuweisen, und der Verbindungsversuch wird abgelehnt. Wenn alle Adressen im statischen Pool zugewiesen wurden, ändern Sie den Pool.

    Weitere Informationen zu TCP/IP und Remotezugriff und zum Erstellen eines statischen IP-Adresspools finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Client ist so konfiguriert, dass er eine eigene IPX-Knotennummer anfordert, und der VPN-Server ist nicht so konfiguriert, dass IPX-Clients eine eigene IPX-Knotennummer anfordern können.

    Lösung: Konfigurieren Sie den VPN-Server so, dass IPX-Clients ihre eigene IPX-Knotennummer anfordern können.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Server ist mit einer Reihe von IPX-Netzwerknummern konfiguriert, die an anderer Stelle in Ihrem IPX-Netzwerk verwendet werden.

    Lösung: Konfigurieren Sie den VPN-Server mit einer Reihe von IPX-Netzwerknummern, die für Ihr IPX-Netzwerk eindeutig sind.

    Weitere Informationen zu IPX und Remotezugriff finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der Authentifizierungsanbieter des VPN-Servers ist nicht ordnungsgemäß konfiguriert.

    Lösung: Überprüfen Sie die Konfiguration des Authentifizierungsanbieters. Sie können den VPN-Server so konfigurieren, dass er entweder Windows Server 2003 oder RADIUS (Remote Authentication Dial-In User Service) verwendet, um die Anmeldeinformationen des VPN-Clients zu authentifizieren.

    Weitere Informationen zu Authentifizierungs- und Buchhaltungsanbietern finden Sie im Hilfe- und Supportcenter für Windows Server 2003 und zur Verwendung der RADIUS-Authentifizierung. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Server kann nicht auf Active Directory zugreifen.

    Lösung: Für einen VPN-Server, der ein Mitgliedsserver in einer Gemischtmodus- oder systemeigenen Windows Server 2003-Domäne ist, die für Windows Server 2003-Authentifizierung konfiguriert ist, überprüfen Sie Folgendes:

    • Die Sicherheitsgruppe RAS- und IAS-Server ist vorhanden. Falls nicht, erstellen Sie die Gruppe, und legen Sie den Gruppentyp auf "Sicherheit" und den Gruppenbereich auf "Domäne lokal" fest.

    • Die Sicherheitsgruppe RAS- und IAS-Server verfügt über leseberechtigungen für das RAS- und IAS Server-Zugriffsüberprüfungsobjekt.

    • Das Computerkonto des VPN-Servercomputers ist Mitglied der Sicherheitsgruppe RAS- und IAS-Server. Mit dem Befehl können Sie netsh ras show registeredserver die aktuelle Registrierung anzeigen. Sie können den netsh ras add registeredserver Befehl verwenden, um den Server in einer bestimmten Domäne zu registrieren.

      Wenn Sie den VPN-Servercomputer zur Sicherheitsgruppe RAS- und IAS-Server hinzufügen (oder entfernen), wird die Änderung nicht sofort wirksam (aufgrund der Art und Weise, wie Windows Server 2003 Active Directory-Informationen zwischenspeichert). Starten Sie den VPN-Servercomputer neu, um diese Änderung sofort zu bewirken.

    • Der VPN-Server ist Mitglied der Domäne.

    Weitere Informationen zum Hinzufügen einer Gruppe, zum Überprüfen von Berechtigungen für die RAS- und IAS-Sicherheitsgruppe und zu netsh Befehlen für den Remotezugriff finden Sie im Hilfe- und Supportcenter Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Ein Windows NT 4.0-basierter VPN-Server kann Keine Verbindungsanforderungen überprüfen.

    Lösung: Wenn VPN-Clients sich bei einem VPN-Server einwählen, auf dem Windows NT 4.0 ausgeführt wird, der Mitglied einer Domäne mit Windows Server 2003 mit gemischtem Modus ist, überprüfen Sie mit dem folgenden Befehl, ob die Gruppe "Jeder" der Gruppe "Vor Windows 2000 Kompatibler Zugriff" hinzugefügt wird:

    "net localgroup "Pre-Windows 2000 Compatible Access""
    

    Wenn nicht, geben Sie den folgenden Befehl an einer Eingabeaufforderung auf einem Domänencontrollercomputer ein, und starten Sie dann den Domänencontrollercomputer neu:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    

    Weitere Informationen zu Windows NT 4.0-Rasenserver in einer Windows Server 2003-Domäne finden Sie im Hilfe- und Supportcenter Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Der VPN-Server kann nicht mit dem konfigurierten RADIUS-Server kommunizieren.

    Lösung: Wenn Sie Ihren RADIUS-Server nur über Die Internetschnittstelle erreichen können, führen Sie eine der folgenden Aktionen aus:

    • Fügen Sie der Internetschnittstelle für UDP-Port 1812 einen Eingabefilter und einen Ausgabefilter hinzu (basierend auf RFC 2138, "RADIUS (Remote Authentication Dial-In User Service)"). -oder-
    • Fügen Sie einen Eingabefilter und einen Ausgabefilter zur Internetschnittstelle für UDP-Port 1645 (für ältere RADIUS-Server), für RADIUS-Authentifizierung und UDP-Port 1813 (basierend auf RFC 2139, "RADIUS Accounting") hinzu. -oder-
    • -or- Fügen Sie einen Eingabefilter und einen Ausgabefilter zur Internetschnittstelle für UDP-Port 1646 (für ältere RADIUS-Server) für die RADIUS-Buchhaltung hinzu.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Es kann keine Verbindung mit dem VPN-Server über das Internet über das Hilfsprogramm Ping.exe hergestellt werden.

    Lösung: Aufgrund der PPTP- und L2TP-über-IPSec-Paketfilterung, die auf der Internetschnittstelle des VPN-Servers konfiguriert ist, werden ICMP-Pakete (Internet Control Message Protocol), die vom Pingbefehl verwendet werden, herausgefiltert. Um den VPN-Server für die Reaktion auf ICMP-Pakete (Ping) zu aktivieren, fügen Sie einen Eingabefilter und einen Ausgabefilter hinzu, die Datenverkehr für ICMP-Datenverkehr (IP-Protokoll 1) zulassen.

    Weitere Informationen zum Hinzufügen eines Paketfilters finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

Daten können nicht gesendet und empfangen werden

  • Ursache: Die entsprechende Schnittstelle für das Wählen bei Bedarf wurde dem zu routingfähigen Protokoll nicht hinzugefügt.

    Lösung: Fügen Sie dem zu routingfähigen Protokoll die entsprechende Schnittstelle für das Wählen bei Bedarf hinzu.

    Weitere Informationen zum Hinzufügen einer Routingschnittstelle finden Sie im Hilfe- und Supportcenter für Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Es gibt keine Routen auf beiden Seiten der Router-zu-Router-VPN-Verbindung, die den bidirektionalen Austausch von Datenverkehr unterstützen.

    Lösung: Im Gegensatz zu einer VPN-Verbindung mit Remotezugriff erstellt eine Router-zu-Router-VPN-Verbindung nicht automatisch eine Standardroute. Erstellen Sie Routen auf beiden Seiten der Router-zu-Router-VPN-Verbindung, sodass Datenverkehr von und zu der anderen Seite der Router-zu-Router-VPN-Verbindung weitergeleitet werden kann.

    Sie können der Routingtabelle manuell statische Routen oder statische Routen über Routingprotokolle hinzufügen. Für dauerhafte VPN-Verbindungen können Sie open Shortest Path First (OSPF) oder Routing Information Protocol (RIP) über die VPN-Verbindung aktivieren. Bei Bedarfs-VPN-Verbindungen können Sie Routen automatisch über ein automatisch statisches RIP-Update aktualisieren. Weitere Informationen zum Hinzufügen eines IP-Routingprotokolls, zum Hinzufügen einer statischen Route und zum Ausführen automatisch statischer Updates finden Sie in der Onlinehilfe Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Bei einem bidirektionalen Initiierten interpretiert der antwortende Router als Remotezugriffsverbindung die Router-zu-Router-VPN-Verbindung.

    Lösung: Wenn der Benutzername in den Anmeldeinformationen des anrufenden Routers unter "Einwahlclients" in Routing und Remotezugriff angezeigt wird, interpretiert der antwortende Router den anrufenden Router möglicherweise als Remotezugriffsclient. Stellen Sie sicher, dass der Benutzername in den Anmeldeinformationen des anrufenden Routers mit dem Namen einer Schnittstelle für das Wählen bei Bedarf auf dem Router für die Anrufbeantwortung übereinstimmt. Wenn der eingehende Anrufer ein Router ist, zeigt der Port, an dem der Anruf empfangen wurde, den Status "Aktiv" an, und die entsprechende Schnittstelle für das Wählen bei Bedarf befindet sich im Zustand "Verbunden".

    Weitere Informationen zum Überprüfen des Status des Ports auf dem Antwortrouter und zum Überprüfen des Status der Schnittstelle für das Wählen bei Bedarf finden Sie in der Onlinehilfe Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Paketfilter auf den Schnittstellen für die Wählanforderungen des anrufenden Routers und des anrufenden Routers verhindern den Datenverkehrsfluss.

    Lösung: Stellen Sie sicher, dass keine Paketfilter für die Schnittstellen für die Wählanforderungen des anrufenden Routers und des anrufenden Routers vorhanden sind, die das Senden oder Empfangen von Datenverkehr verhindern. Sie können jede Anforderungswählschnittstelle mit IP- und IPX-Eingabe- und Ausgabefiltern konfigurieren, um die genaue Art des TCP/IP- und IPX-Datenverkehrs zu steuern, der in die Und aus der Schnittstelle für das Wählen nach Bedarf zulässig ist.

    Weitere Informationen zum Verwalten von Paketfiltern finden Sie in der Onlinehilfe zu Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.

  • Ursache: Paketfilter im Remotezugriffsrichtlinienprofil verhindern den Fluss des IP-Datenverkehrs.

    Lösung: Stellen Sie sicher, dass keine konfigurierten TCP/IP-Paketfilter für die Profileigenschaften der Remotezugriffsrichtlinien auf dem VPN-Server (oder dem RADIUS-Server, wenn der Internetauthentifizierungsdienst verwendet wird) vorhanden sind, die das Senden oder Empfangen von TCP/IP-Datenverkehr verhindern. Sie können Remotezugriffsrichtlinien verwenden, um TCP/IP-Eingabe- und Ausgabepaketfilter zu konfigurieren, die die genaue Art des tcp/IP-Datenverkehrs steuern, der für die VPN-Verbindung zulässig ist. Stellen Sie sicher, dass die TCP/IP-Profil-Paketfilter den Datenverkehrsfluss nicht verhindern.

    Weitere Informationen zum Konfigurieren von IP-Optionen finden Sie in der Onlinehilfe zu Windows Server 2003. Klicken Sie auf "Start", um auf das Windows Server 2003-Hilfe- und Supportcenter zuzugreifen.