ОС Windows 2000 предоставляет следующие средства для устранения неполадок VPN-подключений:
•
Средства устранения неполадок протокола TCP/IP.
•
Ведение журнала запросов проверки подлинности и учета.
•
Журнал событий.
•
Журнал событий IAS.
•
Журнал протокола PPP.
•
Трассировка.
•
Сетевой монитор.
Средства устранения неполадок протокола TCP/IP Служебные программы ping, tracert и pathping используют сообщения протокола ICMP эхо (Echo) и эхо-ответ (Echo Reply) для проверки подключения, отображения маршрута к заданному узлу и проверки маршрута. Команда route print может использоваться для просмотра таблицы IP-маршрутизации. Также на VPN-сервере Вы можете использовать команду netsh routing ip show rtmroutes или оснастку Маршрутизация и удаленный доступ (Routing and Remote Access). Средство Nslookup может использоваться для устранения неполадок службы DNS и проблем с разрешением имен.
В дополнение к обычным средствам TCP/IP используйте утилиту netdiag для проверки и отображения конфигурации Вашей сети.
Ведение журнала запросов проверки подлинности и учета Если для проверки подлинности и учета используются встроенные службы Windows, то VPN-сервер Windows 2000 может записывать информацию систем проверки подлинности и учета для VPN-подключений удаленного доступа в локальные файлы журналов. При этом регистрируемая информация отделена от событий, записываемых в журнал системных событий. Эту информацию можно использовать для отслеживания использования удаленного доступа и операций проверки подлинности. Регистрация информации систем проверки подлинности и учета особенно полезна для устранения неполадок, связанных с политиками удаленного доступа. Для каждого запроса проверки подлинности записывается имя политики удаленного доступа, которая приняла или отклонила попытку подключения.
Чтобы включить ведение журнала запросов проверки подлинности и учета (если для проверки подлинности и учета используются службы Windows) откройте оснастку Маршрутизация и удаленный доступ, перейдите к папке Ведение журнала удаленного доступа (Remote Access Logging), откройте свойства объекта Локальный файл (Local File) и перейдите на вкладку Параметры (Settings). Если для проверки подлинности и учета используется протокол RADIUS и RADIUS-сервер настроен в качестве IAS-сервера, используйте для настройки ведения журналов проверки подлинности и учета оснастку Служба проверки подлинности в Интернете (Internet Authentication Service).
Информация систем проверки подлинности и учета хранится в одном или нескольких настраиваемых файлах журнала в папке %SystemRoot%\System32\LogFiles. Файлы журнала имеют формат Internet Authentication Service (IAS) или формат базы данных, это позволяет просматривать и анализировать данные журналов с помощью любой программы для работы с базами данных.
Если для проверки подлинности и учета используется протокол RADIUS, и при этом RADIUS-сервером является компьютер под управлением Windows 2000 с запущенной службой IAS, файлы журналов проверки подлинности и учета хранятся в папке %SystemRoot%\System32\LogFiles на компьютере IAS-сервера.
Журнал событий Чтобы настроить журнал событий, откройте оснастку Маршрутизация и удаленный доступ, откройте свойства VPN-сервера и перейдите на вкладку Журнал событий (Event logging). Существует четыре уровня протоколирования. Выберите значение вести журнал всех событий (Log the maximum amount of information). При возникновении сбоя подключения проверьте журнал системных событий и найдите в нем записи о событиях, возникших во время процесса подключения. После того, как Вы завершите просмотр событий удаленного доступа, выберите на вкладке Журнал событий (Event Logging) уровень протоколирования вести журнал ошибок и предупреждений (Log errors and warnings option), чтобы освободить системные ресурсы.
Журнал событий IAS Если Ваши VPN-серверы настроены для проверки подлинности при помощи протокола RADIUS и в роли RADIUS-сервера выступает компьютер под управлением Windows 2000 с запущенной службой IAS, проверьте системный журнал на наличие событий IAS для отклоненных или принятых попыток подключения. Журнал событий IAS содержит подробную информацию о попытках подключения, включая имя политики удаленного доступа, на основании которой была отклонена или принята попытка подключения. По умолчанию ведется протоколирование отказов на запросы и успешной проверки подлинности. Чтобы настроить журнал событий IAS, откройте оснастку Служба проверки подлинности в Интернете, откройте свойства IAS-сервера и перейдите на вкладку Служба (Service).
Журнал протокола PPP Ведение журнала протокола PPP служит для записи последовательности вызываемых программных функций и управляющих сообщений PPP в процессе PPP-соединения и является ценным средством получения информации, которая может быть полезна при устранении неполадок PPP-соединений. Чтобы включить ведение журнала протокола PPP, в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) на вкладке Журнал событий (Event Logging) в свойствах VPN-маршрутизатора установите флажок Вести журнал протокола PPP (Enable Point-to-Point Protocol (PPP) logging).
Журнал протокола PPP в Windows NT 4.0 заменен функцией трассировки. Чтобы продублировать журнал PPP, нужно включить запись трассировочной информации в файл при помощи настроек реестра. По умолчанию журнал протокола PPP хранится под именем Ppp.log в папке %SystemRoot%\Tracing.
Трассировка Служба маршрутизации и удаленного доступа Windows 2000 обладает богатыми возможностями трассировки, которые чрезвычайно полезны для устранения сложных сетевых неполадок. Вы можете указать компоненты Windows 2000 Server, для которых будет записываться в файлы трассировочная информация. Данную возможность можно включить с помощью команды Netsh или при помощи настроек реестра.
Включение трассировки с помощью команды Netsh Вы можете использовать команду Netsh чтобы включать и отключать трассировку для отдельных компонентов или для всех компонентов. Чтобы включить или отключить трассировку для отдельных компонентов, используйте следующий синтаксис:
netsh ras set tracing Название_компонента enabled|disabled
где – Название_компонента это название компонента в списке компонентов службы маршрутизации и удаленного доступа в разделе реестра Windows 2000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing. Например, чтобы включить трассировку для компонента RASAUTH, введите команду:
netsh ras set tracing rasauth enabled
Чтобы включить трассировку для всех компонентов, введите команду:
netsh ras set tracing * enabled
Включение трассировки с помощью настроек реестра Функции трассировки также можно настраивать при помощи параметров раздела реестра Windows 2000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing. Вы можете включить трассировку для всех компонентов, изменив значения реестра, описанные ниже. Вы можете включать и отключать трассировку для компонентов даже при работающей службе маршрутизации и удаленного доступа. Существует возможность настроить трассировку для каждого компонента при помощи подразделов данного раздела реестра.
Чтобы включить трассировку для каждого компонента маршрутизации, настройте для каждого раздела протокола следующие ключи реестра:
EnableFileTracing REG_DWORD Флаг
Чтобы включить запись трассировочной информации в файл, установите значение параметра EnableFileTracing равным 1. Значение по умолчанию – 0.
FileDirectory REG_EXPAND_SZ Путь
Чтобы изменить местоположение по умолчанию для файлов трассировки, задайте новый путь в параметре FileDirectory. Именем файла трассировки служит имя компонента, для которого выполняется трассировка. По умолчанию файлы трассировки располагаются в папке %SystemRoot%\Tracing.
Параметр FileTracingMask определяет уровень протоколирования записываемой в файл трассировочной информации. Значение по умолчанию — 0xFFFF0000.
MaxFileSize REG_DWORD РазмерФайлаЖурнала
Параметр MaxFileSize позволяет задать размер файла журнала. Значение по умолчанию — 0x10000 (64Кб).
Примечание. Для трассировки используются системные ресурсы, и ее следует применять только для выявления сетевых неполадок. После получения данных трассировки или после выявления причины неполадки трассировку следует сразу же отключить. Не оставляйте трассировку включенной на компьютерах с несколькими процессорами.
Трассировочная информация может быть сложной и очень подробной. Большая ее часть будет полезна только для инженеров службы поддержки Microsoft или для сетевых администраторов, имеющих большой опыт работы со службой маршрутизации и удаленного доступа. Трассировочная информация может быть сохранена в файл и отправлена в службу поддержки Microsoft для последующего анализа.
Сетевой монитор Сетевой монитор (Network Monitor), входящий в состав Windows 2000 Server, является средством перехвата и анализа пакетов, позволяющий перехватывать и просматривать сетевой трафик между VPN-сервером и VPN-клиентом во время установки VPN-подключения и передачи данных. Сетевой монитор не может анализировать шифрованную часть VPN-трафика. Данная программа устанавливается в качестве дополнительного сетевого компонента ОС.
Для правильной интерпретации VPN-трафика удаленного доступа, полученного с помощью программы Сетевой монитор, требуется хорошее знание протокола PPP и других протоколов. Информацию, полученную при помощи программы Сетевой монитор, можно записать в файл и отправить для анализа в службу поддержки Microsoft.
Проблемы VPN удаленного доступа обычно подразделяются на следующие категории:
•
Попытка подключения отклоняется, хотя должна быть принята.
•
Попытка подключения принимается, хотя должна быть отклонена.
•
Недоступны ресурсы, находящиеся за пределами VPN-сервера.
•
Невозможно создать туннель.
Следующие советы помогут Вам понять, что является причиной возникшей неисправности – проблемы в настройке или проблемы инфраструктуры.
Попытка подключения отклоняется, хотя должна быть принята
•
Используйте команду ping, чтобы убедиться в том, что имя узла разрешается в соответствующий IP-адрес. Проверка с помощью команды ping может быть неудачной из-за использования фильтров пакетов, запрещающих передачу входящих и исходящих сообщений протокола ICMP для VPN-сервера.
•
Убедитесь в том, что учетные данные VPN-клиента, состоящие из имени пользователя, пароля пользователя и имени домена, указаны верно и могут быть проверены VPN-сервером.
•
Убедитесь в том, что учетная запись VPN-клиента не является блокированной, отключенной, срок ее действия не истек. Также убедитесь, что подключение происходит во время, разрешенное для VPN-подключений. Если истек срок действия пароля учетной записи, то убедитесь в том, что VPN-клиент удаленного доступа использует протоколы MS-CHAP v1 или MS-CHAP v2. Данные протоколы являются единственными протоколами, поддерживаемыми Windows 2000, которые позволяют Вам изменять пароли во время процесса подключения. Чтобы изменить пароль учетной записи с административными полномочиями, используйте учетную запись другого администратора.
•
Убедитесь в том, что для данной учетной записи пользователя разрешен удаленный доступ.
•
Убедитесь в том, что на VPN-сервере запущена служба маршрутизации и удаленного доступа.
•
Убедитесь в том, что VPN-сервер настроен для использования в роли сервера удаленного доступа. Для этого откройте оснастку Маршрутизация и удаленный доступ, откройте свойства VPN-сервера и перейдите на вкладку Общие (General).
•
Убедитесь в том, что для входящих подключений удаленного доступа включены устройства Минипорт WAN (PPTP) (WAN Miniport (PPTP)) и Минипорт WAN (L2TP) (WAN Miniport (L2TP)). Для этого откройте оснастку Маршрутизация и удаленный доступ и откройте свойства объекта Порты (Ports).
•
Убедитесь в том, что VPN-клиент, VPN-сервер и политика удаленного доступа для VPN-подключений используют хотя бы один общий метод проверки подлинности.
•
Убедитесь в том, что VPN-клиент и политика удаленного доступа для VPN-подключений используют хотя бы один общий уровень стойкости шифрования.
•
Убедитесь в том, что параметры подключения соответствуют политике удаленного доступа. Для того чтобы подключение было установлено, его параметры должны соответствовать следующим условиям:
• Отвечать всем условиям хотя бы одной политики удаленного доступа.
• Для учетной записи пользователя должно быть предоставлено право удаленного доступа (соответствующий параметр имеет значение Разрешить доступ (Allow access)). Если параметр Разрешение на удаленный доступ (Remote Access Permission) учетной записи пользователя имеет значение Управление на основе политики удаленного доступа (Control access through Remote Access Policy), то разрешение на удаленный доступ в соответствующей политике должно иметь значение Предоставить право удаленного доступа (Grant remote access permission).
• Соответствовать всем настройкам профиля.
• Соответствовать всем настройкам свойств входящих звонков учетной записи пользователя.
Чтобы выяснить имя политики удаленного доступа, отклонившей попытку подключения, найдите в журнале учета запись, соответствующую попытке подключения, и посмотрите содержащееся в ней имя политики.
•
Если Вы запускаете мастер установки сервера службы маршрутизации и удаленного доступа с учетными данными администратора домена, будет автоматически создана учетная запись компьютера в группе Серверы RAS и IAS (RAS and IAS Servers), которая имеет тип Группа безопасности – Локальная в домене (Security Group – Domain Local). Членство в данной группе обеспечивает компьютеру VPN-сервера доступ к информации учетных данных пользователей. Если VPN-сервер не может получить доступа к этой информации, убедитесь в том, что:
• Учетная запись компьютера VPN-сервера является членом группы безопасности Серверы RAS и IAS (RAS and IAS Servers) во всех доменах, содержащих учетные записи пользователей, для которых VPN-сервер производит проверку подлинности удаленного доступа. Вы можете воспользоваться командой netsh ras show registeredserver для просмотра текущего состояния регистрации серверов. С помощью команды netsh ras add registeredserver Вы можете зарегистрировать сервер удаленного доступа (сервер RAS) в домене, членом которого является VPN-сервер, или в других доменах. Также, Вы или администратор домена можете добавить учетную запись компьютера VPN-сервера в группу безопасности Серверы RAS и IAS (RAS and IAS Servers) во всех доменах, содержащих учетные записи пользователей, для которых VPN-сервер производит проверку подлинности VPN-подключений удаленного доступа.
• При добавлении и удалении компьютера VPN-сервера в группу безопасности Серверы RAS и IAS изменения вступают в силу спустя некоторое время (задержка связанна с особенностями кэширования информации Active Directory ОС Windows 2000). Чтобы изменения вступили в силу немедленно, необходимо перезагрузить компьютер VPN-сервера.
•
Для VPN-сервера, являющегося рядовым сервером домена смешанного или основного режима Windows 2000 и производящего проверку подлинности с помощью встроенных служб Windows убедитесь в том, что:
• Группа безопасности Серверы RAS и IAS существует. В противном случае создайте указанную группу, укажите тип группы Группа безопасности (Security) и в качестве области действия группы укажите Локальная в домене (Domain local).
• Члены группы безопасности Серверы RAS и IAS имеют разрешение Чтение (Read) для объекта службы каталогов RAS and IAS Servers Access Check.
•
Убедитесь в том, что для удаленного доступа на VPN-сервере включены протоколы локальной сети (TCP/IP, IPX, NetBEUI), используемые VPN-клиентами.
•
Убедитесь в том, что на VPN-сервере имеются свободные PPTP- или L2TP-порты. В случае необходимости увеличьте количество PPTP- или L2TP-портов. Для этого откройте оснастку Маршрутизация и удаленный доступ, откройте свойства объекта Порты (Ports) и укажите необходимое число одновременных подключений.
•
Убедитесь в том, что VPN-сервер поддерживает туннельный протокол, используемый VPN-клиентом. По умолчанию для VPN-клиентов удаленного доступа Windows 2000 параметр Тип VPN (VPN type) имеет значение Автоматический выбор (Automatic). Это означает, что сначала VPN-клиенты будут пытаться установить VPN-подключение L2TP/IPSec, а затем – PPTP-подключение. Если для параметра Тип VPN указано значение Туннельный протокол точка-точка (PPTP) (Point to Point Tunneling Protocol (PPTP)) или Туннельный протокол второго уровня (L2TP) (Layer-2 Tunneling Protocol (L2TP)), убедитесь в том, что VPN-сервер поддерживает выбранный туннельный протокол.
По умолчанию для VPN-клиентов удаленного доступа Windows XP параметр Тип VPN (VPN type) имеет значение Автоматически (Automatic). Это означает, что сначала VPN-клиенты будут пытаться установить VPN-подключение PPTP, а затем – L2TP/IPSec -подключение. Если для параметра Тип VPN указано значение Туннельный протокол точка-точка (PPTP) (Point to Point Tunneling Protocol (PPTP)) или Туннельный протокол второго уровня (L2TP) (Layer-2 Tunneling Protocol (L2TP)), убедитесь в том, что VPN-сервер поддерживает выбранный туннельный протокол.
В зависимости от параметров, указанных в мастере установки сервера маршрутизации и удаленного доступа, компьютер под управлением Windows 2000 Server с запущенной службой маршрутизации и удаленного доступа будет являться PPTP- или L2TP-сервером и иметь 5 или 128 PPTP- и 5 или 128 L2TP-портов. Чтобы создать сервер, работающий только с PPTP-подключениями, задайте число L2TP-портов, равное 0. Чтобы создать сервер, работающий только с L2TP-подключениями, укажите количество PPTP-портов равным 1 и отключите входящие подключения удаленного доступа и подключения по требованию. Для этого откройте оснастку Маршрутизация и удаленный доступ, откройте свойства объекта Порты (Ports), нажмите кнопку Настроить… (Settings) и снимите соответствующие флажки.
•
Для L2TP/IPSec-подключений убедитесь в том, что на VPN-клиенте и VPN-сервере установлены сертификаты компьютера.
•
Если VPN-сервер настроен на использование статического пула IP-адресов, убедитесь в том, что пул содержит достаточное количество адресов. Если все адреса статического пула распределены между подключенными VPN-клиентами, VPN-сервер не может выделить IP-адрес для подключений на основе протокола TCP/IP и попытка подключения отклоняется.
•
Если VPN-клиент настроен запрашивать собственный номер IPX-узла, убедитесь в том, что на VPN-сервере указан параметр Разрешить удаленным клиентам запрашивать номер IPX-узла.
•
Если в настройках VPN-сервера задан диапазон номеров сетей IPX, убедитесь в том, что данные номера сетей IPX не используются где-либо еще в Вашей сети IPX.
•
Для проверки учетных данных VPN-клиентов проверьте конфигурацию поставщика проверки подлинности. VPN-сервер может использовать службы ОС Windows или протокол RADIUS.
• Если используется проверка подлинности при помощи протокола RADIUS, убедитесь в том, что VPN-сервер может подключиться к RADIUS-серверу.
• Если VPN-сервер является членом домена Windows 2000 основного режима, убедитесь в том, что он подключен к домену.
• Существует конфигурация, в которой VPN-сервер под управлением Windows NT 4.0 с установленным пакетом обновления (SP4) и более поздними, является членом домена смешанного режима Windows 2000, или VPN-сервер под управлением Windows 2000 является членом домена Windows NT 4.0 и обращается к учетным данным пользователей в доверенном домене Windows 2000. В этом случае с помощью команды net localgroup "Пред-Windows 2000 доступ" в группу Пред-Windows 2000 доступ (Pre-Windows 2000 Compatible Access) должна быть добавлена группа Все (Everyone). Если это не так, то выполните на контроллере домена команду localgroup "Пред-Windows 2000 доступ" everyone /add и затем перезагрузите его.
• Если VPN-сервер под управлением Windows NT 4.0 с установленным пакетом обновления 3 (SP3) и более ранними является членом домена смешанного режима Windows 2000, убедитесь в том, что группа Все (Everyone) имеет следующие разрешения для корневого узла домена и всех его дочерних объектов: Список содержимого (List Contents), Чтение всех свойств (Read All Properties), Чтение разрешений (Read Permissions).
•
Для PPTP-подключений, использующих протокол MS-CHAP v1 и 40-битное шифрование, убедитесь в том, что пароль пользователя не превышает 14 знаков.
Попытка подключения принимается, хотя должна быть отклонена
•
Убедитесь в том, что свойствах учетной записи пользователя для параметра Разрешение на удаленный доступ установлено в значение Запретить доступ (Deny access) или Управление на основе политики удаленного доступа (Control access through Remote Access Policy). Если указано последнее значение, убедитесь в том, что для соответствующей политики удаленного доступа установлено значение Отказать в праве удаленного доступа (Deny remote access permission). Чтобы установить имя политики удаленного доступа принявшей эту попытку подключения, найдите в журнале учета запись о данной попытке подключения, содержащую имя политики.
•
Если Вы создали политику удаленного доступа, однозначно запрещающую все подключения, проверьте условия политики, разрешение на удаленный доступ и настройки профиля политики.
Недоступны ресурсы, находящиеся за пределами VPN-сервера
•
Убедитесь в том, что требуемый протокол разрешен для маршрутизации или в том, что клиентам входящих подключений разрешен доступ к сети по протоколам локальной сети, используемым VPN-клиентами.
•
Проверьте пул IP-адресов VPN-сервера. Если VPN-сервер настроен на использование статического пула IP-адресов, убедитесь, что для узлов и маршрутизаторов интрасети существуют маршруты к адресам из этого пула. Если это не так, на маршрутизаторах интрасети следует добавить IP-маршруты, состоящие из диапазонов адресов статического пула, указав IP-адрес и маску для каждого диапазона. Вместо этого можно включить протокол маршрутизации на VPN-сервере, соответствующий инфраструктуре сети. Если маршруты к подсетям VPN-клиентов удаленного доступа отсутствуют, эти клиенты не могут получать пакеты из интрасети. Маршруты для сети определяются либо с помощью статических записей о маршрутах, либо с помощью протоколов маршрутизации, таких как OSPF (Open Shortest Path First) или RIP (Routing Information Protocol).
Если VPN-сервер настроен на использование протокола DHCP для назначения IP-адресов, но DHCP-сервер недоступен, VPN-сервер использует адреса из диапазона APIPA (Automatic Private IP Addressing): с 169.254.0.1 по 169.254.255.254. Выделение адресов APIPA для удаленных клиентов возможно только в том случае, если в сети, к которой подключен VPN-сервер, также используются адресов APIPA.
Если VPN-сервер использует адресов APIPA, а DHCP-сервер доступен, убедитесь, что выбран правильный адаптер для получения IP-адресов, выделямых DHCP-сервером. По умолчанию VPN-сервер использует для присвоения IP-адресов адаптер, указанный в параметрах мастера установки сервера маршрутизации и удаленного доступа. Вы можете указать адаптер локальной сети (LAN) вручную. Для этого откройте оснастку Маршрутизация и удаленный доступ, откройте свойства VPN-сервера, перейдите на вкладку IP и выберите необходимый адаптер из списка (Adapters).
Если статические пулы IP-адресов являются диапазоном IP-адресов, которые в свою очередь являются подмножеством диапазона IP-адресов сети, к которой подключен VPN-сервер, проверьте, что диапазон IP-адресов из статического пула не назначены другим узлам TCP/IP ни статически, ни через DHCP.
•
Убедитесь в том, что фильтры пакетов или свойства профиля политики удаленного доступа для соответствующих VPN-подключений, разрешают передачу VPN-трафика.
Невозможно создать туннель
•
Убедитесь в том, что фильтрация пакетов на интерфейсе маршрутизатора между VPN-клиентом и VPN-сервером не препятствует пересылке трафика туннельных протоколов. Для получения информации о типах трафика, который должен быть разрешен для PPTP- и L2TP/IPSec-подключений, обратитесь к «Приложению А».
IP-фильтрация VPN-сервера Windows 2000 может быть настроена отдельно при помощи дополнительных параметров TCP/IP или оснастки Маршрутизация и удаленный доступ. Проверьте, что настройки в обоих местах не содержат фильтров, запрещающих трафик VPN-подключения.
•
Убедитесь в том, что на VPN-сервере не запущен клиент Winsock Proxy. Winsock Proxy сразу же перенаправляет пакеты на прокси-сервер, не позволяя виртуальному частному подключению инкапсулировать их.
Прокси-сервер позволяет организациям обеспечить доступ к определенным ресурсам Интернета (как правило такими ресурсами являются веб- и FTP-серверы) без необходимости прямого подключения к Интернету. Вместо этого организации могут использовать адреса из пространства IP-адресов, зарезервированных для частных сетей (такие как 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16).
Прокси-серверы обычно используются для того, чтобы обеспечить пользователям частной сети доступ к общим ресурсам Интернета так, как будто они напрямую подключены к сети Интернет. VPN-подключения обычно используются для того, чтобы авторизированные пользователи Интернета могли получить доступ к ресурсам частной сети так, как будто они подключены напрямую к частной сети. Один и тот же компьютер может выступать как в роли прокси-сервера (для пользователей внутренней сети), так и в роли VPN-сервера (для авторизованных пользователей Интернета), обеспечивая оба типа передачи информации.