Cómo instalar y configurar un servidor de red privada virtual en Windows Server 2003

En este artículo paso a paso se describe cómo instalar redes privadas virtuales (VPN) y cómo crear una nueva conexión VPN en servidores que ejecutan Windows Server 2003.

Para obtener una versión Windows XP de Microsoft de este artículo,vea 314076 .

Se aplica a:   Windows Server 2003
Número KB original:   323441

Resumen

Con una red privada virtual, puede conectar componentes de red a través de otra red, como Internet. Puede convertir el equipo basado en Windows Server 2003 en un servidor de acceso remoto para que otros usuarios puedan conectarse a él mediante VPN y, a continuación, puedan iniciar sesión en la red y acceder a recursos compartidos. Las VPN hacen esto "tunelización" a través de Internet o a través de otra red pública de una manera que proporciona la misma seguridad y características que una red privada. Los datos se envían a través de la red pública mediante su infraestructura de enrutamiento, pero al usuario, parece que los datos se envían a través de un vínculo privado dedicado.

Información general sobre VPN

Una red privada virtual es un medio para conectarse a una red privada (como la red de oficina) mediante una red pública (como Internet). Una VPN combina las virtudes de una conexión de acceso telefónico a un servidor de acceso telefónico con la facilidad y flexibilidad de una conexión a Internet. Al usar una conexión a Internet, puede viajar por todo el mundo y, en la mayoría de los lugares, conectarse a su oficina con una llamada local al número de teléfono de acceso a Internet más cercano. Si tiene una conexión a Internet de alta velocidad (como cable o ADSL) en su equipo y en su oficina, puede comunicarse con su oficina a toda velocidad de Internet, lo que es mucho más rápido que cualquier conexión de acceso telefónico que use un módem analógico. Esta tecnología permite a una empresa conectarse a sus sucursales o a otras empresas a través de una red pública mientras mantiene comunicaciones seguras. La conexión VPN a través de Internet funciona lógicamente como un vínculo de red de área extensa (WAN) dedicado.

Las redes privadas virtuales usan vínculos autenticados para asegurarse de que solo los usuarios autorizados puedan conectarse a la red. Para asegurarse de que los datos son seguros a medida que se desplazan por la red pública, una conexión VPN usa el protocolo de túnel punto a punto (PPTP) o el protocolo de túnel de nivel dos (L2TP) para cifrar los datos.

Componentes de una VPN

Una VPN en servidores que ejecutan Windows Server 2003 está hecha de un servidor VPN, un cliente VPN, una conexión VPN (esa parte de la conexión en la que se cifran los datos) y el túnel (esa parte de la conexión en la que se encapsulan los datos). La tunelización se completa a través de uno de los protocolos de túnel incluidos con servidores que ejecutan Windows Server 2003, ambos instalados con enrutamiento y acceso remoto. El servicio de enrutamiento y acceso remoto se instala automáticamente durante la instalación de Windows Server 2003. Sin embargo, de forma predeterminada, el servicio de enrutamiento y acceso remoto está desactivado.

Los dos protocolos de túnel incluidos con Windows son:

  • Protocolo de túnel punto a punto (PPTP): proporciona cifrado de datos mediante el cifrado de punto a punto de Microsoft.
  • Protocolo de túnel de nivel dos (L2TP): proporciona cifrado de datos, autenticación e integridad mediante IPSec.

La conexión a Internet debe usar una línea dedicada como T1, Fractional T1 o Frame Relay. El adaptador WAN debe configurarse con la dirección IP y la máscara de subred asignadas para su dominio o suministradas por un proveedor de servicios de Internet (ISP). El adaptador WAN también debe configurarse como la puerta de enlace predeterminada del enrutador ISP.

Nota

Para activar vpn, debe haber iniciado sesión con una cuenta que tenga derechos administrativos.

Cómo instalar y activar un servidor VPN

Para instalar y activar un servidor VPN, siga estos pasos:

  1. Haga clic en Inicio , elija Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.

  2. Haga clic en el icono del servidor que coincida con el nombre del servidor local en el panel izquierdo de la consola. Si el icono tiene un círculo rojo en la esquina inferior izquierda, no se ha activado el servicio de enrutamiento y acceso remoto. Si el icono tiene una flecha verde que apunta hacia arriba en la esquina inferior izquierda, se ha activado el servicio de enrutamiento y acceso remoto. Si el servicio de enrutamiento y acceso remoto estaba previamente en servicio, es posible que desee volver a configurar el servidor. Para volver a configurar el servidor:

    1. Haga clic con el botón secundario en el objeto de servidor y, a continuación, haga clic en Deshabilitar enrutamiento y acceso remoto. Haga clic en Sí para continuar cuando se le pida un mensaje informativo.
    2. Haga clic con el botón secundario en el icono del servidor y, a continuación, haga clic en Configurar y habilitar enrutamiento y acceso remoto para iniciar el Asistente para la configuración del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
    3. Haga clic en Acceso remoto (acceso telefónico o VPN) para activar equipos remotos para llamar o conectarse a esta red a través de Internet. Haga clic en Siguiente para continuar.
  3. Haga clic para seleccionar VPN o Acceso telefónico local en función del rol que desee asignar a este servidor.

  4. En la ventana Conexión VPN, haga clic en la interfaz de red que está conectada a Internet y, a continuación, haga clic en Siguiente.

  5. En la ventana Asignación de direcciones IP, haga clic en Automáticamente si se usará un servidor DHCP para asignar direcciones a clientes remotos o haga clic en Desde un intervalo especificado de direcciones si solo se debe dar una dirección de un grupo predefinido a los clientes remotos. En la mayoría de los casos, la opción DHCP es más sencilla de administrar. Sin embargo, si DHCP no está disponible, debe especificar un intervalo de direcciones estáticas. Haga clic en Siguiente para continuar.

  6. Si ha hecho clic en Desde un intervalo de direcciones especificado, se abrirá el cuadro de diálogo Asignación de intervalo de direcciones. Haga clic en Nuevo. Escriba la primera dirección IP en el intervalo de direcciones que desea usar en el cuadro Iniciar dirección IP. Escriba la última dirección IP del intervalo en el cuadro Dirección IP final. Windows calcula automáticamente el número de direcciones. Haga clic en Aceptar para volver a la ventana Asignación de intervalo de direcciones. Haga clic en Siguiente para continuar.

  7. Acepte la configuración predeterminada de No, use Enrutamiento y acceso remoto para autenticar las solicitudes de conexión y, a continuación, haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio de enrutamiento y acceso remoto y configurar el servidor como servidor de acceso remoto.

Cómo configurar el servidor VPN

Para seguir configurando el servidor VPN según sea necesario, siga estos pasos.

Cómo configurar el servidor de acceso remoto como enrutador

Para que el servidor de acceso remoto reenvía el tráfico correctamente dentro de la red, debe configurarlo como un enrutador con rutas estáticas o protocolos de enrutamiento, de modo que todas las ubicaciones de la intranet sean accesibles desde el servidor de acceso remoto.

Para configurar el servidor como enrutador:

  1. Haga clic en Inicio , elija Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.
  2. Haga clic con el botón secundario en el nombre del servidor y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña General y, a continuación, haga clic en para seleccionar Enrutador en Habilitar este equipo como.
  4. Haga clic en LAN y enrutamiento de marcado a petición y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.

Cómo modificar el número de conexiones simultáneas

El número de conexiones de módem de acceso telefónico local depende del número de módems instalados en el servidor. Por ejemplo, si solo tiene un módem instalado en el servidor, solo puede tener una conexión de módem a la vez.

El número de conexiones VPN de acceso telefónico depende del número de usuarios simultáneos que quiera permitir. De forma predeterminada, al ejecutar el procedimiento descrito en este artículo, se permiten 128 conexiones. Para cambiar el número de conexiones simultáneas, siga estos pasos:

  1. Haga clic en Inicio , elija Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.
  2. Haga doble clic en el objeto de servidor, haga clic con el botón secundario en Puertos y, a continuación, haga clic en Propiedades.
  3. En el cuadro de diálogo Propiedades de puertos, haga clic en Minipuerto WAN (PPTP) > Configurar.
  4. En el cuadro Puertos máximos, escriba el número de conexiones VPN que desea permitir.
  5. Haga clic en Aceptar y, a > continuación, cierre Enrutamiento y accesos remotos.

Cómo administrar direcciones y servidores de nombres

El servidor VPN debe tener direcciones IP disponibles para asignarlas a la interfaz virtual del servidor VPN y a los clientes VPN durante la fase de negociación del Protocolo de control IP (IPCP) del proceso de conexión. La dirección IP asignada al cliente VPN se asigna a la interfaz virtual del cliente VPN.

Para Windows servidores VPN basados en Server 2003, las direcciones IP asignadas a los clientes VPN se obtienen a través de DHCP de forma predeterminada. También puede configurar un grupo de direcciones IP estáticas. El servidor VPN también debe configurarse con servidores de resolución de nombres, normalmente dns y direcciones de servidor WINS, para asignarlo al cliente VPN durante la negociación de IPCP.

Cómo administrar el acceso

Configure las propiedades de acceso telefónico en cuentas de usuario y directivas de acceso remoto para administrar el acceso para las conexiones VPN y redes de acceso telefónico.

Nota

De forma predeterminada, se deniega a los usuarios el acceso a las redes de acceso telefónico.

Acceso por cuenta de usuario

Para conceder acceso telefónico a una cuenta de usuario si está administrando el acceso remoto de forma individual, siga estos pasos:

  1. Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario en la cuenta de usuario y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña Acceso telefónico.
  4. Haga clic en Permitir acceso para conceder al usuario permiso para llamar. Haga clic en Aceptar.

Acceso por pertenencia a grupos

Si administra el acceso remoto en grupo, siga estos pasos:

  1. Crea un grupo con miembros a los que se les permite crear conexiones VPN.
  2. Haga clic en Inicio , elija Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.
  3. En el árbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y, a continuación, haga clic en Directivas de acceso remoto.
  4. Haga clic con el botón secundario en cualquier lugar del panel derecho, elija Nuevo y, a continuación, haga clic en Directiva de acceso remoto.
  5. Haga clic en Siguiente, escriba el nombre de la directiva y, a continuación, haga clic en Siguiente.
  6. Haga clic en VPN para el método de acceso virtual privado o en Acceso telefónico para acceso telefónico y, a continuación, haga clic en Siguiente.
  7. Haga clic en Agregar , escriba el nombre del grupo que creó en el paso 1 y, a continuación, haga clic en Siguiente.
  8. Siga las instrucciones en pantalla para completar el asistente.

Si el servidor VPN ya permite los servicios de acceso remoto de redes de acceso telefónico, no elimine la directiva predeterminada. En su lugar, muévela para que sea la última directiva que se va a evaluar.

Cómo configurar una conexión VPN desde un equipo cliente

Para configurar una conexión a una VPN, siga estos pasos. Para configurar un cliente para el acceso a la red privada virtual, siga estos pasos en la estación de trabajo del cliente:

Nota

Debe haber iniciado sesión como miembro del grupo Administradores para seguir estos pasos.

Dado que hay varias versiones de Microsoft Windows, los siguientes pasos pueden ser diferentes en el equipo. Si lo son, consulte la documentación del producto para completar estos pasos.

  1. En el equipo cliente, confirme que la conexión a Internet está configurada correctamente.

  2. Haga clic en Iniciar > conexiones de red del Panel de control > . Haga clic en Crear una nueva conexión en Tareas de red y, a continuación, haga clic en Siguiente.

  3. Haga Conectar a la red en mi lugar de trabajo para crear la conexión de acceso telefónico. Haga clic en Siguiente para continuar.

  4. Haga clic en Conexión de red privada virtual y, a continuación, haga clic en Siguiente.

  5. Escriba un nombre descriptivo para esta conexión en el cuadro de diálogo Nombre de la compañía y, a continuación, haga clic en Siguiente.

  6. Haga clic en No marcar la conexión inicial si el equipo está conectado permanentemente a Internet. Si el equipo se conecta a Internet a través de un proveedor de servicios de Internet (ISP), haga clic en Marcar automáticamente esta conexión inicial y, a continuación, haga clic en el nombre de la conexión al ISP. Haga clic en Siguiente.

  7. Escriba la dirección IP o el nombre de host del equipo servidor VPN (por ejemplo, VPNServer.SampleDomain.com).

  8. Haga clic en Uso de cualquiera si desea permitir que cualquier usuario que inicie sesión en la estación de trabajo tenga acceso a esta conexión de acceso telefónico. Haga clic en Mi uso solo si desea que esta conexión solo esté disponible para el usuario que ha iniciado sesión actualmente. Haga clic en Siguiente.

  9. Haga clic en Finalizar para guardar la conexión.

  10. Haga clic en Iniciar > conexiones de red del Panel de control > .

  11. Haga doble clic en la nueva conexión.

  12. Haga clic en Propiedades para seguir configurando opciones para la conexión. Para seguir configurando opciones para la conexión, siga estos pasos:

    • Si se conecta a un dominio, haga clic en la pestaña Opciones y, a continuación, haga clic para activar la casilla Incluir dominio de inicio de sesión de Windows para especificar si desea solicitar información de dominio de inicio de sesión de Windows Server 2003 antes de intentar conectarse.
    • Si desea que la conexión se vuelva a marcar si se descarta la línea, haga clic en la pestaña Opciones y, a continuación, haga clic para activar la casilla Volver a marcar si se descarta la línea.

Para usar la conexión, siga estos pasos:

  1. Haga clic en Inicio , elija Conectar y, a continuación, haga clic en la nueva conexión.

  2. Si actualmente no tiene una conexión a Internet, Windows ofrece conectarse a Internet.

  3. Cuando se establece la conexión a Internet, el servidor VPN le pedirá su nombre de usuario y contraseña. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic Conectar. Los recursos de red deben estar disponibles de la misma manera que cuando se conectan directamente a la red.

    Nota

    Para desconectarse de la VPN, haga clic con el botón secundario en el icono de conexión y, a continuación, haga clic en Desconectar.

Solución de problemas

Solución de problemas de VPN de acceso remoto

No se puede establecer una conexión VPN de acceso remoto

  • Causa: el nombre del equipo cliente es el mismo que el de otro equipo de la red.

    Solución: compruebe que los nombres de todos los equipos de la red y los equipos que se conectan a la red usan nombres de equipo únicos.

  • Causa: el servicio de enrutamiento y acceso remoto no se ha iniciado en el servidor VPN.

    Solución: compruebe el estado del servicio de enrutamiento y acceso remoto en el servidor VPN.

    Para obtener más información acerca de cómo supervisar el servicio de enrutamiento y acceso remoto y cómo iniciar y detener el servicio de enrutamiento y acceso remoto, vea Windows Server 2003 Help and Support Center. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el acceso remoto no está activado en el servidor VPN.

    Solución: activar el acceso remoto en el servidor VPN.

    Para obtener más información acerca de cómo activar el servidor de acceso remoto, vea el Centro de soporte y ayuda de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: los puertos PPTP o L2TP no están activados para las solicitudes de acceso remoto entrantes.

    Solución: Active los puertos PPTP o L2TP, o ambos, para las solicitudes de acceso remoto entrantes.

    Para obtener más información acerca de cómo configurar puertos para el acceso remoto, vea el Centro de soporte y ayuda de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: los protocolos LAN usados por los clientes VPN no están activados para el acceso remoto en el servidor VPN.

    Solución: active los protocolos LAN usados por los clientes VPN para el acceso remoto en el servidor VPN.

    Para obtener más información acerca de cómo ver las propiedades del servidor de acceso remoto, vea el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: todos los puertos PPTP o L2TP del servidor VPN ya están siendo usados por clientes de acceso remoto conectados actualmente o enrutadores de marcado a petición.

    Solución: compruebe que ya se están utilizando todos los puertos PPTP o L2TP del servidor VPN. Para ello, haga clic en Puertos en Enrutamiento y acceso remoto. Si el número de puertos PPTP o L2TP permitidos no es lo suficientemente alto, cambie el número de puertos PPTP o L2TP para permitir más conexiones simultáneas.

    Para obtener más información acerca de cómo agregar puertos PPTP o L2TP, vea el Centro de soporte y ayuda de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el servidor VPN no admite el protocolo de túnel del cliente VPN.

    De forma predeterminada, Windows Server 2003 remote access VPN clients use the Automatic server type option, which means that they try to establish an L2TP over IPSec-based VPN connection first, and then they try to establish a PPTP-based VPN connection. Si los clientes VPN usan la opción de tipo de servidor Protocolo de túnel punto a punto (PPTP) o Protocolo de túnel de capa 2 (L2TP), compruebe que el servidor VPN admite el protocolo de túnel seleccionado.

    De forma predeterminada, un equipo que ejecuta Windows Server 2003 Server y el servicio de enrutamiento y acceso remoto es un servidor PPTP y L2TP con cinco puertos L2TP y cinco puertos PPTP. Para crear un servidor de solo PPTP, establezca el número de puertos L2TP en cero. Para crear un servidor de solo L2TP, establezca el número de puertos PPTP en cero.

    Solución: compruebe que está configurado el número adecuado de puertos PPTP o L2TP.

    Para obtener más información acerca de cómo agregar puertos PPTP o L2TP, vea el Centro de soporte y ayuda de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para usar al menos un método de autenticación común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para usar al menos un método de autenticación común.

    Para obtener más información acerca de cómo configurar la autenticación, vea el Centro de soporte técnico y Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el cliente VPN y el servidor VPN junto con una directiva de acceso remoto no están configurados para usar al menos un método de cifrado común.

    Solución: configure el cliente VPN y el servidor VPN junto con una directiva de acceso remoto para usar al menos un método de cifrado común.

    Para obtener más información acerca de cómo configurar el cifrado, vea el Centro de soporte técnico y Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: la conexión VPN no tiene los permisos adecuados a través de las propiedades de acceso telefónico local de la cuenta de usuario y las directivas de acceso remoto.

    Solución: compruebe que la conexión VPN tiene los permisos adecuados a través de las propiedades de acceso telefónico local de la cuenta de usuario y las directivas de acceso remoto. Para que se establezca la conexión, la configuración del intento de conexión debe:

    • Coincide con todas las condiciones de al menos una directiva de acceso remoto.
    • Se le concede permiso de acceso remoto a través de la cuenta de usuario (establecida en Permitir acceso ) o a través de la cuenta de usuario (establecida en Controlar el acceso a través de la directiva de acceso remoto) y el permiso de acceso remoto de la directiva de acceso remoto correspondiente (establecida en Conceder permiso de acceso remoto).
    • Coincide con todas las opciones de configuración del perfil.
    • Coincide con todas las opciones de configuración de las propiedades de acceso telefónico local de la cuenta de usuario.

    Para obtener más información acerca de una introducción a las directivas de acceso remoto y cómo aceptar un intento de conexión, consulte el Centro de soporte y ayuda de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: la configuración del perfil de directiva de acceso remoto está en conflicto con las propiedades del servidor VPN.

    Las propiedades del perfil de directiva de acceso remoto y las propiedades del servidor VPN contienen configuraciones para:

    • Multilink.
    • Protocolo de asignación de ancho de banda (BAP).
    • Protocolos de autenticación.

    Si la configuración del perfil de la directiva de acceso remoto correspondiente está en conflicto con la configuración del servidor VPN, se rechazará el intento de conexión. Por ejemplo, si el perfil de directiva de acceso remoto correspondiente especifica que debe usarse el protocolo de autenticación protocolo extensible de autenticación - Seguridad de nivel de transporte (EAP-TLS) y EAP no está habilitado en el servidor VPN, se rechazará el intento de conexión.

    Solución: compruebe que la configuración del perfil de directiva de acceso remoto no está en conflicto con las propiedades del servidor VPN.

    Para obtener más información acerca de los protocolos de autenticación, BAP y multilink, consulte el Centro de ayuda y soporte técnico de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el enrutador de respuesta no puede validar las credenciales del enrutador de llamadas (nombre de usuario, contraseña y nombre de dominio).

    Solución: compruebe que las credenciales del cliente VPN (nombre de usuario, contraseña y nombre de dominio) son correctas y el servidor VPN puede validarla.

  • Causa: no hay suficientes direcciones en el grupo de direcciones IP estáticas.

    Solución: si el servidor VPN está configurado con un grupo de direcciones IP estáticas, compruebe que hay suficientes direcciones en el grupo. Si todas las direcciones del grupo estático se han asignado a clientes VPN conectados, el servidor VPN no puede asignar una dirección IP y se rechaza el intento de conexión. Si se han asignado todas las direcciones del grupo estático, modifique el grupo.

    Para obtener más información sobre TCP/IP y el acceso remoto, y cómo crear un grupo de direcciones IP estáticas, consulte el Centro de soporte y ayuda de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el cliente VPN está configurado para solicitar su propio número de nodo IPX y el servidor VPN no está configurado para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Solución: configure el servidor VPN para permitir que los clientes IPX soliciten su propio número de nodo IPX.

    Para obtener más información acerca de IPX y el acceso remoto, vea el Centro de soporte y Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el servidor VPN está configurado con un rango de números de red IPX que se usan en otra parte de la red IPX.

    Solución: configure el servidor VPN con un intervalo de números de red IPX que es único para la red IPX.

    Para obtener más información acerca de IPX y el acceso remoto, vea el Centro de soporte y Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el proveedor de autenticación del servidor VPN está configurado incorrectamente.

    Solución: compruebe la configuración del proveedor de autenticación. Puede configurar el servidor VPN para que use Windows Server 2003 o el Servicio de usuario de acceso telefónico local de autenticación remota (RADIUS) para autenticar las credenciales del cliente VPN.

    Para obtener más información acerca de los proveedores de autenticación y contabilidad, vea el Centro de soporte y ayuda de Windows Server 2003 y cómo usar la autenticación RADIUS. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el servidor VPN no puede tener acceso a Active Directory.

    Solución: para un servidor VPN que sea un servidor miembro en un dominio de Windows Server 2003 en modo mixto o nativo que esté configurado para la autenticación de Windows Server 2003, compruebe que:

    • Existe el grupo de seguridad SERVIDORES RAS e IAS. Si no es así, cree el grupo y establezca el tipo de grupo en Seguridad y el ámbito de grupo en Dominio local.

    • El grupo de seguridad Ras y servidores IAS tiene permiso de lectura para el objeto RAS y la comprobación de acceso de servidores IAS.

    • La cuenta de equipo del equipo servidor VPN es miembro del grupo de seguridad Servidores RAS e IAS. Puede usar el netsh ras show registeredserver comando para ver el registro actual. Puede usar el netsh ras add registeredserver comando para registrar el servidor en un dominio especificado.

      Si agrega (o quita) el equipo servidor VPN al grupo de seguridad servidores RAS e IAS, el cambio no tendrá efecto inmediatamente (debido a la forma en que Windows Server 2003 almacena en caché la información de Active Directory). Para efectuar inmediatamente este cambio, reinicie el equipo servidor VPN.

    • El servidor VPN es un miembro del dominio.

    Para obtener más información sobre cómo agregar un grupo, cómo comprobar los permisos para el grupo de seguridad RAS e IAS y sobre los comandos para el acceso remoto, vea el Centro de soporte y ayuda de netsh Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: un Windows VPN basado en NT 4.0 no puede validar solicitudes de conexión.

    Solución: si los clientes VPN están marcando en un servidor VPN que ejecuta Windows NT 4.0 que es miembro de un dominio de modo mixto de Windows Server 2003, compruebe que el grupo Todos se agrega al grupo Acceso compatible previo Windows 2000 con el siguiente comando:

    "net localgroup "Pre-Windows 2000 Compatible Access""
    

    Si no es así, escriba el siguiente comando en un símbolo del sistema en un equipo de controlador de dominio y, a continuación, reinicie el equipo del controlador de dominio:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    

    Para obtener más información sobre Windows servidor de acceso remoto NT 4.0 en un dominio de Windows Server 2003, vea el Centro de soporte y ayuda de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: el servidor VPN no puede comunicarse con el servidor RADIUS configurado.

    Solución: si solo puede llegar a su servidor RADIUS a través de la interfaz de Internet, realice una de las siguientes acciones:

    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1812 (basado en RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"). o:
    • Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1645 (para servidores RADIUS antiguos), para la autenticación RADIUS y el puerto UDP 1813 (basado en RFC 2139, "Radius Accounting"). o:
    • -or- Agregue un filtro de entrada y un filtro de salida a la interfaz de Internet para el puerto UDP 1646 (para servidores RADIUS antiguos) para la contabilidad RADIUS.

    Para obtener más información acerca de cómo agregar un filtro de paquetes, vea el Centro de soporte y Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: no se puede conectar al servidor VPN a través de Internet mediante la utilidad Ping.exe cliente.

    Solución: debido al filtrado de paquetes PPTP y L2TP sobre IPSec configurado en la interfaz de Internet del servidor VPN, se filtran los paquetes del Protocolo de mensajes de control de Internet (ICMP) usados por el comando ping. Para activar el servidor VPN para responder a paquetes ICMP (ping), agregue un filtro de entrada y un filtro de salida que permitan el tráfico para el protocolo IP 1 (tráfico ICMP).

    Para obtener más información acerca de cómo agregar un filtro de paquetes, vea el Centro de soporte y Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

No se pueden enviar y recibir datos

  • Causa: la interfaz de marcado a petición adecuada no se ha agregado al protocolo que se enruta.

    Solución: agregue la interfaz de marcado a petición adecuada al protocolo que se enruta.

    Para obtener más información acerca de cómo agregar una interfaz de enrutamiento, vea el Centro de soporte y ayuda de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: no hay rutas a ambos lados de la conexión VPN de enrutador a enrutador que admitan el intercambio de tráfico en dos sentidos.

    Solución: a diferencia de una conexión VPN de acceso remoto, una conexión VPN de enrutador a enrutador no crea automáticamente una ruta predeterminada. Cree rutas a ambos lados de la conexión VPN de enrutador a enrutador para que el tráfico se pueda enrutar hacia y desde el otro lado de la conexión VPN de enrutador a enrutador.

    Puede agregar rutas estáticas manualmente a la tabla de enrutamiento o agregar rutas estáticas a través de protocolos de enrutamiento. Para las conexiones VPN persistentes, puede activar Abrir ruta más corta primero (OSPF) o Protocolo de información de enrutamiento (RIP) en la conexión VPN. Para las conexiones VPN a petición, puede actualizar automáticamente las rutas a través de una actualización de RIP autoestática. Para obtener más información sobre cómo agregar un protocolo de enrutamiento IP, cómo agregar una ruta estática y cómo realizar actualizaciones autoestáticas, consulte la Ayuda en línea de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: iniciado en dos sentidos, el enrutador de respuesta como una conexión de acceso remoto está interpretando la conexión VPN de enrutador a enrutador.

    Solución: si el nombre de usuario en las credenciales del enrutador de llamadas aparece en Clientes de acceso telefónico local en Enrutamiento y acceso remoto, el enrutador de contestador automático puede interpretar el enrutador de llamadas como un cliente de acceso remoto. Compruebe que el nombre de usuario en las credenciales del enrutador de llamadas coincide con el nombre de una interfaz de marcado a petición en el enrutador de contestador. Si el autor de la llamada entrante es un enrutador, el puerto en el que se recibió la llamada muestra el estado Activo y la interfaz de marcado a petición correspondiente está en estado Conectado.

    Para obtener más información sobre cómo comprobar el estado del puerto en el enrutador de respuesta y cómo comprobar el estado de la interfaz de marcado a petición, consulte la Ayuda en línea de Windows Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: los filtros de paquetes en las interfaces de marcado a petición del enrutador de llamadas y del enrutador de respuesta impiden el flujo del tráfico.

    Solución: compruebe que no hay filtros de paquetes en las interfaces de marcado a petición del enrutador de llamadas y del enrutador de respuesta que impiden el envío o recepción del tráfico. Puede configurar cada interfaz de marcado a petición con filtros de entrada y salida IP e IPX para controlar la naturaleza exacta del tráfico TCP/IP e IPX que se permite dentro y fuera de la interfaz de marcado a petición.

    Para obtener más información acerca de cómo administrar filtros de paquetes, vea Windows Ayuda en línea de Server 2003. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.

  • Causa: los filtros de paquetes en el perfil de directiva de acceso remoto impiden el flujo del tráfico IP.

    Solución: compruebe que no hay filtros de paquetes TCP/IP configurados en las propiedades de perfil de las directivas de acceso remoto en el servidor VPN (o en el servidor RADIUS si se usa el servicio de autenticación de Internet) que impidan el envío o recepción del tráfico TCP/IP. Puede usar directivas de acceso remoto para configurar filtros de paquetes de entrada y salida TCP/IP que controlan la naturaleza exacta del tráfico TCP/IP permitido en la conexión VPN. Compruebe que los filtros de paquetes TCP/IP de perfil no impiden el flujo de tráfico.

    Para obtener más información acerca de cómo configurar las opciones de IP, vea Windows Server 2003 online Help. Haga clic en Inicio para obtener acceso Windows Centro de soporte técnico y ayuda de Server 2003.