Книги учебники журналы | ||||||||||||||||||||||
|
Администрирование Windows XPУдаленный доступ и VPNОперационная система Windows XP Professional предоставляет ряд способов для создания удаленного соединения с компьютером. На предыдущем уроке говорилось о том, как использовать переносной или стационарный компьютер для прямого доступа и управления другим компьютером. Remote Desktop и Remote Assistance являются полезными инструментами, но вам может и не потребоваться дистанционно использовать другой компьютер. Вам просто нужно установить доступ к нему или к локальной компьютерной сети (LAN). В этом разделе рассматриваются инструменты, которыми вы, скорее всего, воспользуетесь в подобных случаях. С помощью первого инструмента вы получаете удаленный доступ к компьютеру или своей локальной сети с помощью dial-in-соединения. Вторым инструментом является VPN (Виртуальная частная сеть), которая для безопасной сетевой связи использует не dial-in-соединение, а инфраструктуру интернета. Удаленный доступПервым делом мы обсудим механизм удаленного доступа. С его помощью Windows XP Professional может послать вызов в сеть (или локальный компьютер) и получить к ним доступ, как если бы она была клиентом локальной сети. В этом разделе мы будем говорить об основах установления удаленного доступа с помощью Windows XP Professional, а затем покажем, как конфигурировать сервер удаленного доступа или клиент удаленного доступа. Что такое удаленный доступТермин "удаленный доступ" звучит достаточно понятно и означает, что некто получает доступ к компьютеру или локальной сети из отдаленного места. Это можно осуществить несколькими способами. Скорее всего, вы воспользуетесь dial-in-технологиями. Как и в отношении других аспектов сетевой работы компьютера, и здесь нельзя забывать об обеспечении безопасности. К нему следует отнести меры по пресечению доступа к удаленному ресурсу неавторизованных пользователей и защиту соединений от проникновения хакеров. Соединение наборного доступаОдним из простейших способов установить связь с удаленным компьютером является использование dial-in-модема. Так как большинство людей используют свои модемы для исходящих звонков (dial out), вы можете изумиться, узнав, что модем может принимать и входящие вызовы (incoming calls). Система Windows XP Professional облегчает прием входящих сигналов в ваш компьютер. Dial-in-модемы имеют один недостаток. Они создают очень медленные соединения, скорость которых значительно ниже обычной скорости локальных сетей. С другой стороны, повсеместное наличие телефонов делает это способ соединения чрезвычайно полезным. ISDNISDN является еще одной технологией, используемой для удаленного доступа. В этом способе также используется dial-up-соединение, но клиенту удаленного доступа и серверу требуется специальное ISDN-оборудование. Также и линия связи устанавливается специально для ISDN. В связи с ограниченным применением линий ISDN этот способ плохо подходит для тех, кто работает в пути. Хотя ISDN-соединение является более скоростным, чем dial-up-модем (128 Кбит/c против 56 Кбит/с), доступность ISDN-линии связи и ее оборудования могут быть проблематичны. Использовать такую линию лучше всего в филиале офиса, где можно установить выделенную ISDN-линию, закупив необходимое оборудование. БезопасностьВы проделали большую работу для создания надежной политики безопасности своей сети. Настройка и выдача разрешений пользователям, наряду с политикой применения паролей, "одевают" на вашу сеть прочный "бронежилет". Соединения удаленного доступа создают, однако, новую лазейку для злоумышленников. Точки входа dial-in часто называют черным ходом в сеть, и они представляют собой постоянную проблему для персонала по безопасности. В системе Windows XP Professional для dial-in-соединений и каналов VPN можно настроить усиленную аутентификацию.
Данными типами разрешений и учетных записей можно управлять с помощью оснастки Group Policy (Групповая политика) консоли ММС. Более подробную информацию по этому вопросу можно найти на уроке 9. Конфигурирование компьютера для приема удаленных вызововЗадолго до появления интернета, но уже немного позже освоения пользования огнем, изобретения колеса и туалета в доме, люди устанавливали связь с электронными досками объявлений с помощью своих модемов, как и в наши дни, дозваниваясь до ISP-провайдеров. Операторы электронных досок объявлений конфигурировали свои компьютеры для ответа на телефонные звонки и соединения пользователей посредством телефонной линии с содержимым электронной доски объявления. Сейчас такая практика используется все реже. Если вы хотите что-то разместить в сети, то просто создаете веб-страницу и отправляете ее на сервер своего ISP. Однако, все еще можно (а, по ряду причин, даже необходимо) настроить конфигурацию своего компьютера таким образом, чтобы он мог общаться с другими компьютерами через модем. Например, компания находит более удобным связываться с работниками, находящимися в разъездах, с помощью dial-up-соединения, а не через интернет. Возможно, вы работаете в маленькой компании, которой не нужна служба удаленного доступа через интернет, а подходит простое dial-in-соединение. Dial-in-соединение позволяет пользоваться ресурсами компьютера, до которого вы дозваниваетесь. Например, находясь в командировке, вы используете свой переносной компьютер для связи со своим стационарным компьютером и получения доступа к своему жесткому диску, принтеру и локальной сети (если ваш компьютер с ней соединен). Аналогично настройке удаленного рабочего стола, о которой шла речь на уроке 13, удаленный доступ состоит из двух компонентов.
Примечание. Несмотря на то что в качестве удаленного узла вы технически являетесь частью локальной сети, не забывайте, что вы соединяетесь посредством телефонной линии и скорость этого соединения далека от скоростей Ethernet- или WiFi-соединений. Разумеется, для образования dial-up-соединений компьютерам нужны модемы и телефонные линии. Настройка сервераПроцесс настройки удаленного клиента достаточно прост, так как это задание сводится, по большому счету, к созданию конфигурации "клиент-сервер". Создание конфигурации удаленного сервера, напротив, несколько сложнее. К счастью, Windows XP Professional в значительной степени упрощает этот процесс, используя мастер новых подключений (New Connection Wizard). По существу, на удаленном сервере надо сконфигурировать входящее dial-in-соединение. Когда такое соединение имеется, то оно дает команду Windows XP Professional отвечать на телефонные звонки и устанавливает соединение клиента с компьютером. Для настройки удаленного сервера проделайте следующие шаги.
Рис. 14.2. Выберите пользователей, которым разрешается использовать удаленный доступ на этом компьютере После выполнения всех этих шагов в окне Network Connections (Сетевые подключения) появится новый значок Incoming Connections (Входящие подключения). Примечание. Если значок Incoming Connections уже есть (или вы пытаетесь добавить еще один), то свойства этого значка изменяются, объединяя старый и новый. Соединения перемещаемого компьютераУдаленный доступ очень нужен пользователям, которым приходится отсоединять свои компьютеры от сети и отправляться в путешествие. Так как у них нет постоянной связи с сетью, то им нужен какой-нибудь способ получения доступа к сетевым ресурсам. Windows XP Professional предоставляет таким путешественникам ряд средств для подключения к сетевым ресурсам. Как мы уже знаем, они могут использовать Offline Files (Автономные файлы), Windows Briefcase (Портфель) и Remote Desktop (Удаленный рабочий стол). Чтобы сконфигурировать переносной компьютер для работы в качестве удаленного клиента, следует выполнить ряд шагов. Windows XP Professional предоставляет расширенные возможности, к которым имеют доступ администраторы, чтобы сделать удаленный доступ более полезным. Применение мастера нового подключения (New Connection Wizard) на удаленном клиентеНастройка клиента для вызова удаленного сервера идентична процессу по созданию dial-up-соединения c ISP. Это задание активизирует мастер New Connection Wizard (см. гл. 4). Для создания dial-up-соединения с удаленным сервером выполните следующие шаги.
При двойном щелчке на соединении (на ярлыке на рабочем столе или в окне сетевого окружения) система Windows XP Professional будет набирать телефонный номер и ждать ответа удаленного сервера для установки соединения. Если имеется несколько удаленных серверов, с которыми устанавливаются соединения, то повторите все перечисленные шаги и создайте несколько разных dial-in-соединений. Если удаленный сервер получит новый телефонный номер или потребуется изменить его имя или любую другую конфигурационную информацию, щелкните правой кнопкой мыши на ярлыке, выберите Properties (Свойства) и внесите изменения в настройки. Расширенные настройкиКонфигурирование удаленного сервера и клиента достаточно просто. Компания Microsoft включила в этот процесс несколько дополнительных свойств, которые могут оказаться полезными для вашей организации. Эти настройки обеспечивают добавочные уровни безопасности и функциональности. Они находятся в папке Network Connections (Сетевые подключения). Щелкните на Dial-up Preferences (Настройка удаленного доступа) в меню Advanced (Дополнительно) (см. рис. 14.4). Рис. 14.4. Диалоговое окно Dial-up Preferences (Настройка удаленного доступа) Примечание. Настройку удаленного доступа можно включать и отключать на клиентских компьютерах в оснастке Group Policy (Групповая политика) консоли ММС. Это делается с помощью отметки флажка Enable the Dial-up Preferences в меню Advanced. Автонабор. Вкладка Autodial (Автонабор) используется для создания возможности автонабора номера соединения. Она содержит список сетевых адресов и соответствующих им соединений, что позволяет автоматически набирать номер выбранного соединения, когда оно появляется в поле зрения. Например, если приложение содержит сетевые ссылки, при щелчке на одной из ссылок вам приходится входить в интернет. Система Windows XP Professional задаст вопрос, какое соединение использовать для связи с ISP. В следующий раз при щелчке на этой ссылке Windows XP Professional вспомнит ваш выбор и автоматически наберет номер. Включить или отключить автонабор не труднее, чем отметить или убрать флажок рядом с соединением. Автонабором можно пользоваться только при наличии включенного Диспетчера автоматических подключений удаленного доступа (Remote Access Auto Connection Manager). По умолчанию эта функция включена на клиентских компьютерах, работающих в среде Windows XP Professional и не являющихся частью домена. Для активизации диспетчера проделайте следующие шаги.
Обратный вызов (Callback). Если вы когда-нибудь дозванивались из номера отеля, то знаете, что эти звонки преступно дороги. Одним из способов для человека в поездке дозвониться до удаленного сервера, ничем при этом не рискуя, является создание возможности для ответного звонка на удаленном сервере. В этом случае звонящий регистрируется на удаленном сервере и, если его логин принят, сервер разрывает соединение и сам дозванивается до удаленного клиента. Обратный вызов реализуется при помощи следующих действий.
Реализация обратного вызова зависит от настроек клиента удаленного доступа и сервера удаленного доступа. В таблице 14.1 показаны различные виды поведения при обратном вызове.
Хотя обратный вызов удобен не только для снижения оплаты за пользование телефоном, но в еще большей степени он полезен как мера обеспечения безопасности. При требовании от клиентов делать ответный звонок по определенному номеру в сеть входят только пользователи, знающие правильный номер телефона. При разрыве соединения и обратном звонке с сервера до клиента обмануть сервер становится гораздо труднее. VPN-соединенияЕсли вам надо дистанционно устанавливать связь с офисом или любым другим компьютером, то однажды обнаружится, что сеансы dial-up-соединений вредны для вашего кошелька. В связи с тем, что dial-up-соединения устанавливаются по каналам обычной телефонной связи, оплата счетов за междугородные телефонные разговоры становится суровой правдой жизни. Эту неприятность можно легко обойти, воспользовавшись уже существующей инфраструктурой - интернетом. Используя виртуальную частную сеть (VPN), можно установить через интернет связь компьютера-клиента с локальной сетью (LAN). Для формирования безопасного соединения VPN прокладывает туннель в интернете к вашей LAN. В этом разделе рассматривается процесс конфигурирования VPN и способ соединения клиентов с локальной сетью через интернет. Первое, о чем стоит подумать при установлении связи с локальной сетью, защищенной межсетевым экраном, что межсетевой экран организации должен поддерживать протокол PPTP. Протокол PPTP позволяет VPN устанавливать соединение с локальной сетью через межсетевой экран. Кроме того, VPN-сервер должен быть сконфигурирован для работы с входящими соединениями. VPN-сервер - это приложение, предоставляющее протокол PPTP. Как VPN-сервер, так и VPN-клиент должны иметь действующее интернет-соединение. Если в организации уже установлен VPN-сервер, то для обустройства Windows XP Professional-клиентов не надо создавать никакой дополнительной конфигурации. Вам требуется только сообщить IP-адрес VPN-сервера своим VPN-клиентам. Если VPN-серверу и VPN-клиенту требуется настройка, то об этом речь пойдет ниже. В любом случае, VPN-сервер должен иметь маршрутизируемый (routable) IP-адрес. Это значит, что IP-адрес должен находиться в интернете. Если VPN-сервер входит в интернет по коллективному каналу или находится за межсетевым экраном, то у такого сервера нет маршрутизируемого IP-адреса. Однако выйти из этого положения можно, сконфигурировав межсетевой экран с маршрутизируемым адресом. Межсетевой экран затем получает указание направлять VPN-трафик на сервер. Что такое виртуальные частные сетиПеред тем как погрузиться в особенности реализации VPN-соединения, давайте более внимательно рассмотрим, из каких компонентов оно состоит. VPN создает безопасный канал связи между LAN и компьютером, находящимся где-то во внешнем мире (см. рис. 14.7). Такое соединение позволяет пользователю в Массачусетсе работать в локальной сети LAN, расположенной в Айдахо, как если бы он сам со своим компьютером находился в Айдахо. Рис. 14.7. VPN создает в интернете безопасный туннель VPN - это частное соединение между двумя точками. Это соединение шифруется, создавая туннель, проходящий сквозь интернет. Протокол удаленного доступа PPP зашифровывает данные, передающиеся по каналу VPN. После того как информация зашифрована, она пересылается посредством соединения удаленного доступа или LAN-соединения. IPSecIPSec - это набор протоколов, с помощью которого поддерживается безопасный обмен информационными пакетами на IP-уровне. Так как IPSec работает на сетевом уровне, то он предоставляет безопасное средство передачи данных, способное поддерживать любое приложение, использующее IP. IPSec предоставляет три способа обеспечения безопасности при передаче информации в сети.
IPSec работает в двух режимах: транспортировочном и в режиме туннелирования. В транспортировочном режиме ESP (Encapsulation Security Protocol) и AHs (Authentication Headers) находятся в исходном IP-пакете между IP заголовком и расширенной информацией заголовка верхнего уровня. Например, в Windows XP IPSec использует режим транспортировки для обеспечения безопасности двухточечного соединения, такого как соединение между Windows XP Professional-клиентом и Windows 2000-сервером. В режиме туннелирования IPSec помещает исходный IP-пакет в новый IP-пакет и вставляет AH и ESP между IP-заголовком нового пакета и исходным IP-пакетом. Новый IP-пакет указывает направление к конечной точке туннеля, а исходный IP-пакет указывает пункт назначения пакета. Вы можете использовать режим туннелирования между двумя безопасными шлюзами, такими как серверы туннелирования, маршрутизаторы или межсетевые экраны. IPSec-туннелирование является распространенным режимом. Оно работает следующим образом.
Протокол PPTPПротокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol, PPTP) осуществляет безопасную пересылку данных от удаленного клиента на сервер организации. PPTP поддерживает многочисленные сетевые протоколы, включая IP, IPX и NetBEUI. Вы можете использовать протокол PPTP для создания безопасной виртуальной сети, в которой применяются dial-up-соединения, в рамках локальной сети LAN, WAN или в интернете и других сетях, в основе которых лежит протокол TCP/IP. Для создания PPTP-VPN необходим PPTP-сервер и PPTP-клиент. Пакет программ Windows XP Professional включает в себя необходимые параметры для конфигурирования PPTP-соединений. Протокол L2TP (Layer Two Tunneling Protocol)PPTP является технологией компании Microsoft для создания виртуальных каналов связи внутри коллективной сети. PPTP вместе с системами шифрования и аутентификации создает частную безопасную сеть. Компания Cisco Systems разработала протокол, аналогичный PPTP, под названием Layer Two Forwarding (L2F), но для его поддержки требуется оборудование Cisco на обоих концах соединения. Тогда Microsoft и Cisco объединили лучшие качества протоколов PPTP и L2F и разработали протокол L2TP. Как и PPTP, L2TP позволяет пользователям создать в интернете PPP-линию связи, соединяющую ISP и корпоративный сайт. БезопасностьРазмещая свои сетевые ресурсы в интернете, вы, возможно, переживаете из-за того, что хакер может взломать вашу сеть и получить информацию, защищенную правом собственности, не говоря уже о распространении разрушительного вируса. Но понятие безопасности относится не только к интернет-мародерам. Политика безопасности должна быть на должном уровне и внутри организации. Разумеется, при настройке удаленного доступа следует убедиться, что VPN- или dial-in соединения максимально безопасны. При конфигурировании VPN-или dial-in-сервера для приема входящих соединений вы распахиваете двери не только авторизованным пользователям, но и неавторизованным тоже. Что можно предпринять в этой ситуации? Если вы не ждете входящих вызовов на своем VPN- или dial-in-сервере, то лучше отключить соединение. Для этого проделайте следующие шаги.
Чтобы снова подключить модем или VPN, проделайте эти же шаги, но выберите модем или VPN-соединение. Естественно, что при использовании dial-in или VPN-соединений их приходится держать в рабочем состоянии. Примите меры, повышающие безопасность сети. Например, не размещайте телефонный номер модема на своем корпоративном веб-сайте или в списке телефонов компании. Храните его в секрете. Чаще меняйте пароли. И, наконец, пользуйтесь обратным вызовом. Создание VPN-соединенияДля создания конфигурации VPN-клиента используется мастер нового подключения (New Connection Wizard). Конфигурация создается с помощью следующих шагов.
Примечание. Если VPN-сервер устанавливает с интернетом соединение удаленного доступа и имеет IP-адрес, динамически выдаваемый службой ISP, то нужно изменить IP-адрес в диалоговом окне свойств VPN-клиента до того, как предпринять попытку соединения. Прием VPN-соединенияVPN-соединения можно устанавливать с серверами различного типа. Например, в крупной корпорации может возникнуть потребность в увеличении количества VPN-серверов. Эти серверы будут заниматься только обработкой входящего VPN-трафика и, возможно, будут использовать систему Windows 2000 или .NET Server. С другой стороны, в маленькой организации может быть один VPN-сервер для периодической связи с VPN-клиентом. Так как мы имеем дело с системой Windows XP Professional, давайте поговорим о том, как конфигурируются эти типы серверов для работы с удаленными пользователями. Конфигурирование VPN-сервераДля работы компьютера в качестве VPN-сервера в папке Network Connections (Сетевые подключения) должен находиться ярлык Incoming Connections (Входящие подключения). Если такой ярлык имеется (допустим, уже сконфигурирован удаленный доступ), щелкните на нем дважды. Появится диалоговое окно свойств входящих подключений. Проверьте, отмечен ли флажок Allow others to make private connections to my computer by tunneling through the Internet or other network (Разрешить устанавливать частные соединения с моим компьютером путем туннелирования интернета или других сетей). Если ярлык Incoming Connections в папке сетевых подключений отсутствует, то проделайте следующие шаги.
Теперь в окне сетевых подключений должен появиться ярлык Incoming Connections (Входящие подключения). Если такой ярлык уже был, то существующее соединение будет отредактировано в соответствии с новыми настройками. Конфигурация VPN-соединенияСо временем вы поймете, что настройки VPN нужно уточнить или изменить. Например, если IP-адрес VPN-сервера приписывается динамически, то придется менять эту настройку VPN-клиента всякий раз, когда VPN-сервер устанавливает связь с интернетом. Для внесения изменений в VPN-соединения перейдите в окно Network Connections (Сетевые подключения), щелкните правой кнопкой мыши на VPN или на значке Incoming Connections (Входящие подключения) и выберите в ниспадающем меню Properties (Свойства). В зависимости от того, является ли компьютер сервером или клиентом, там будут представлены различные опции. Диалоговое окно свойств для VPN-клиента показано на рис. 14.10. Диалоговое окно свойств для VPN-сервера показано на рис. 14.11. В VPN-клиенте опции на вкладке General (Общие) применяются для управления именем хоста или IP-адресом VPN-сервера или интернет-соединения, которое будет использоваться. Опции на вкладке Advanced (Дополнительно) применяются для управления Internet Connection Firewall и для совместного использования VPN-соединения. В VPN-сервере можно изменять настройки, установленные во время работы мастера нового подключения: включать или отключать VPN, размещать значок в панели заданий во время соединения или указывать пользователей, которые имеют право использовать VPN-соединение. Рис. 14.10. Диалоговое окно свойств VPN-клиента Рис. 14.11. Диалоговое окно свойств VPN-сервера Решение проблем, связанных с VPN-соединениямиКакой бы простой ни была настройка VPN-соединения в системе Windows XP Professional, вы все же можете столкнуться с некоторыми трудностями. Найти источник проблемы в VPN-соединении достаточно сложно, так как эта головоломка состоит из множества фрагментов. Заключается ли проблема в клиенте? Или в соединении сервера с ISP? Или неверна конфигурация сервера? Может быть, проблема кроется в маршрутизаторе или в межсетевом экране? До сих пор мы обсуждали VPN при работе с Windows XP Professional-клиентами. VPN-клиентом является не только Windows XP Professional-компьютер, но и VPN-сервер. Скорее всего, окончанием виртуальной частной сети является маршрутизатор или межсетевой экран, а VPN-сервер обычно располагается на Windows 2000, NT или .NET Server. Для установки VPN-соединения VPN-клиент посылает вызов ISP, применяя протокол PPP. На этом этапе ISP выдает клиенту TCP/IP-адрес, адрес DNS-сервера и шлюз по умолчанию. Когда клиент, используя протокол PPTP, пытается установить VPN-соединение, создается вторая TCP/IP-сессия. Эта сессия является туннельной частью VPN-соединения. Она содержится внутри первой TCP/IP-сессии и обеспечивает шифрование и инкапсуляцию пакетов. Когда клиент успешно устанавливает соединение с VPN-сервером, то сервер выдает второй IP-адрес, второй адрес DNS-сервера и новый шлюз. На каждом из этих этапов могут возникнуть неполадки, которые вызовут проблемы в работе соединения. Несколько слов о сервереХотя это выходит за рамки вопросов, рассматривающихся в этом курсе, но есть несколько моментов, касающихся сервера, о которых следует помнить при построении VPN-сети.
Проблемы клиентаДругим местом возникновения проблемы является VPN-клиент. Процесс соединения VPN-клиента с VPN-сервером проходит в несколько этапов. Сначала в VPN-клиенте надо создать два набора настроек TCP/IP для его правильного функционирования. Один набор используется для установки связи с ISP и интернетом, а другой - в VPN-соединении. Кроме того, в таблице маршрутизации VPN-клиента должны быть записаны два маршрута: один направляет пакеты из локальной сети к ISP для дальнейшей отправки в интернет, а другой посылает пакеты на VPN-сервер для использования в локальной сети. Наиболее распространенные проблемы VPN соединений, связанные с клиентами, перечислены ниже. Невозможно установить связь с сервером. Если VPN-клиент не может установить связь с VPN-сервером, следует проверить ряд настроек. Убедитесь в том, что сервер подключен к интернету. Для этого с компьютера-клиента выполните пингование (ping) сервера по его IP-адресу. Межсетевой экран может блокировать пинг, но если вы получите сообщение "request timed out", то можете быть уверены в том, что сервер работает некорректно. Если сервер получает свой IP-адрес динамически (при использовании соединения удаленного доступа), убедитесь, что вы изменили IP-адрес VPN-сервера в ярлыке VPN в окне Network Connections (Сетевые подклюяения). Если VPN-сервер отвечает на пинг своего IP-адреса, то проверьте пингом имя сервера. Если имя не прозванивается, то, возможно, имя сервера не зарегистрировано в домене, или DNS-сервер интернет-провайдера не в порядке. Проверьте PPTP-фильтрацию. Если на сервере активизирована PPTP-фильтрация, то вы можете увидеть сообщение об ошибке с указанием, что сервер не отвечает. Отключите PPTP-фильтрацию на сервере и попробуйте создать нефильтруемое соединение. Если удается установить связь при отключенном фильтровании, проверьте, включены ли на сервере UDР-порты 137 и 138, а также TCP-порт 139. Если они не работают, то подключите их, так как NetBIOS-пакеты не могут пересылаться по сети без этих портов. Эти порты следует активизировать на всех маршрутизаторах и межсетевых экранах, находящихся между VPN-сервером и клиентом. Если вы проделали все указанные шаги, но все равно не можете установить связь с сервером, то проверьте все промежуточные маршрутизаторы на предмет задержки ими GRE (generic routing encapsulating) пакетов. Эту проверку полезно провести вместе с ISP, так как они зачастую используют GRE непосредственно для управления маршрутизацией. Клиент устанавливает связь, но не может войти в сеть. Другой проблемой является возможность клиента установить связь с сервером, но невозможность войти в сеть. Если VPN-сервер сконфигурирован как контроллер домена, убедитесь в наличии у пользователя учетной записи, которая разрешает удаленный доступ. Если сервер не является контроллером домена, убедитесь в наличии у пользователя соответствующих прав на доступ к серверу. Winsock прокси-клиент. Если Winsock прокси-клиент активен, то VPN-соединение не может быть установлено. Winsock-прокси переадресовывает пакеты на прокси-сервер до того, как они могут быть инкапсулированы для отправки по каналу VPN. Убедитесь в том, что Winsock прокси-клиент отключен. Разрешение имени. Если вы подозреваете, что проблема связана с разрешением имени, то пользуйтесь полными именами доменов и IP-адресами при установке связи. Другие места, которые можно проверитьДругие источники проблем выходят за рамки того, что пользователь может или должен проверить. Если неполадки нельзя связать с работой клиента или сервера, то их причина заключается в общих условиях работы компьютерной сети. Преобразование сетевых адресов. Если VPN-клиент находится в области действия устройства, выполняющего преобразование сетевых адресов (Network Address Translation, NAT ), то сессия протокола L2TP не происходит из-за того, что зашифрованные IPSec ESP-пакеты могут быть повреждены. С другой стороны, если VPN-клиент находится на одном компьютере с Internet Connection Sharing или NAT, то он в состоянии установить L2TP-соединение. Это происходит потому, что NAT не выполняет никакой трансляции IP-адреса или порта в пакетах, исходящих из его собственного узла. ESP. Другим источником проблем является ESP. ESP может блокироваться, если перед клиентом размещается NAT или маршрутизаторы находятся перед VPN. В этом случае сервер может не пропускать ESP. Возможность исходящего ESP-трафика сохраняется, но входящие пакеты ESP из шлюза поступать не будут. Кроме того, ESP может быть модифицирован. Это происходит, когда NAT повреждает пакеты. Пакеты могут быть повреждены сетевым интерфейсом, который способен выгружать IPSec. Для проверки введите в командную строку следующее: Netsh in tip show offload Если вы подозреваете, что способность сетевого адаптера выгружать IPSec является причиной неполадок, то запустите Network Monitor и используйте IPSec Monitor для анализа каждой попытки установить соединение. Проверьте счетчик Confidential Bytes Received (Получено секретных байт), чтобы узнать, теряются ли байты при их получении. Отключите автоматическую политику IPSec и проверьте, не поможет ли это установить соединение. Windows XP Professional разрешает устанавливать связь с LAN или локальным компьютером различными способами. Если вы хотите устанавливать удаленное соединение через интернет, то VPN позволяет сделать это безопасным способом. Можно настроить сервер или локальный компьютер, чтобы они отвечали на поступающие вызовы, позволяя пользователям устанавливать удаленный доступ по каналу телефонной связи. Какой способ вы ни выберете, эти средства дистанционной связи обеспечивают широкие возможности для сетевой работы пользователей. |