Un réseau Privé Virtuel (VPN) Vous Permet
description
Transcript of Un réseau Privé Virtuel (VPN) Vous Permet
Un réseau privé virtuel (VPN) vous permet de connecter des composants à un réseau par l'intermédiaire d'un
autre réseau tel qu'Internet. Vous pouvez transformer votre ordinateur Windows 2000 Server en un serveur
d'accès distant de façon à ce que d'autres utilisateurs puissent s'y connecter à l'aide d'un VPN et accéder
aux fichiers partagés présents sur vos lecteurs locaux ou votre réseau. Les réseaux privés virtuels
parviennent à cela par " tunnellisation " à travers Internet ou un autre réseau public, d'une manière qui offre
le même niveau de sécurité et les mêmes fonctionnalités qu'un réseau privé. Avec un réseau privé virtuel,
des connexions établies à travers le réseau public peuvent assurer le transfert de données en utilisant
l'infrastructure de routage d'Internet, alors que pour l'utilisateur, il semble que les données ont été envoyées
via une liaison privée spécialisée.
Le présent article explique comment installer un réseau privé virtuel et créer une connexion VPN sur
Windows 2000.
Retour au début
Présentation d'un réseau privé virtuel (VPN)
Un réseau privé virtuel est un moyen de se connecter à un réseau privé (comme votre réseau d'entreprise)
par le biais d'un réseau public tel qu'Internet. Il allie les avantages d'une connexion d'accès à distance avec
un serveur d'accès distant à la souplesse et la commodité d'une connexion Internet. En utilisant une
connexion Internet, vous pouvez voyager dans le monde entier tout ayant la possibilité, dans la plupart des
cas, de vous connecter à votre entreprise par un simple appel local au fournisseur d'accès Internet le plus
proche. Si vous disposez d'une connexion Internet à haut débit (liaison par câble ou DSL, par exemple) sur
votre ordinateur (et à votre bureau), vous pouvez communiquer avec votre entreprise au plein débit
Internet, qui est beaucoup plus rapide que n'importe quelle connexion d'accès à distance à l'aide d'un
modem analogique.
Les VPN utilisent des liaisons authentifiées qui garantissent que seuls les utilisateurs autorisés peuvent se
connecter à votre réseau. De plus, ils utilisent le cryptage pour garantir que les données qui circulent sur
Internet ne peuvent être interceptées et utilisées par d'autres personnes. Windows assure ce niveau de
sécurité en utilisant le protocole PPTP (Point-to-Point Tunneling Protocol) ou le protocole L2TP (Layer Two
Tunneling Protocol).
La technologie VPN permet également à une entreprise de se connecter à ses succursales ou à d'autres
sociétés via un réseau public (comme Internet) tout en préservant la sécurité des communications. La
connexion VPN via Internet fonctionne logiquement comme une liaison réseau à grande distance (WAN)
spécialisée.
Retour au début
Composants d'un VPN
Dans Windows 2000, un réseau privé virtuel (VPN) est composé d'un serveur VPN, d'un client VPN, d'une
connexion VPN (la partie de la connexion où les données sont cryptées) et du tunnel (la partie de la
connexion où les données sont encapsulées). La tunnellisation est effectuée par le biais de l'un des
protocoles de tunnellisation fournis avec Windows 2000, qui sont tous les deux installés avec le service
Routage et accès distant. Les deux protocoles de tunnellisation fournis avec Windows 2000 sont les
suivants :
PPTP (Point-to-Point Tunneling Protocol) : Assure le cryptage des données à l'aide du
Cryptage point à point Microsoft
L2TP (Layer Two Tunneling Protocol) : Assure le cryptage, l'authentification et l'intégrité des
données à l'aide du protocole IPSec
Il est recommandé que votre connexion à Internet utilise une ligne spécialisée de type T1, T1 fractionnel ou
relais de trames. La carte WAN doit être configurée avec l'adresse IP et le masque de sous-réseau attribués à
votre domaine ou fournis par un fournisseur de services Internet (ISP, Internet Service Provider), ainsi
qu'avec la passerelle par défaut du routeur ISP.
REMARQUE : pour activer un VPN, vous devez ouvrir une session à l'aide d'un compte disposant des droits
d'administration.
Retour au début
Installation et activation d'un VPN
Pour installer et activer un serveur VPN, procédez comme suit :
1. Sur l'ordinateur VPN Microsoft Windows 2000, confirmez que la connexion à Internet et la
connexion à votre réseau local (LAN, Local Area Network) sont toutes les deux correctement
configurées.
2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et
accès distant.
3. Cliquez sur le nom de serveur dans l'arborescence, puis sur Configurer et activer le routage
et l'accès distant dans le menu Action. Cliquez sur Suivant.
4. Dans la boîte de dialogue Configurations communes, cliquez sur Serveur de réseau privé
virtuel (VPN), puis sur Suivant.
5. Dans la boîte de dialogue Protocoles du client distant, confirmez que TCP/IP est inclus dans
la liste, cliquez sur Oui, tous les protocoles requis sont dans cette liste, puis sur Suivant.
6. Dans la boîte de dialogue Connexion Internet, sélectionnez la connexion Internet utilisée pour
vous connecter à Internet, puis cliquez sur Suivant.
7. Dans la boîte de dialogue Attribution d'adresses IP, sélectionnez Automatiquement pour
utiliser le serveur DHCP de votre sous-réseau pour attribuer des adresses IP aux clients d'accès
distant et au serveur.
8. Dans la boîte de dialogue Gestion des serveurs d'accès à distance multiples, confirmez
que la case à cocher Non, je ne veux pas configurer ce serveur pour utiliser RADIUS
maintenant est activée.
9. Cliquez sur Suivant, puis sur Terminer.
10. Cliquez avec le bouton droit sur le noeud Ports, puis cliquez sur Propriétés.
11. Dans la boîte de dialogue Propriétés de Ports, cliquez sur le périphérique Miniport WAN
(PPTP), puis sur Configurer.
12. Dans la boîte de dialogue Configurer le périphérique - Miniport WAN (PPTP), effectuez
l'une des opérations suivantes :
o Si vous ne voulez pas prendre en charge un VPN d'accès utilisateur distant direct aux
modems installés sur le serveur, désactivez la case à cocher Connexions de routage
à la demande (entrantes et sortantes).
o Si vous voulez prendre en charge un VPN d'accès utilisateur distant direct aux modems
installés sur le serveur, activez la case à cocher Connexions de routage à la
demande (entrantes et sortantes).
13. Tapez le nombre maximal de connexions PPTP simultanées que vous voulez autoriser dans la
zone de texte Nombre maximum de ports. (Ce nombre peut dépendre du nombre d'adresses
IP disponibles.)
14. Répétez les étapes 11 à 13 pour le périphérique L2TP, puis cliquez sur OK.
Retour au début
Configuration du serveur VPN
Pour configurer le serveur VPN selon vos besoins, procédez comme décrit ci-après.
Configuration du serveur d'accès distant en tant que routeur
Pour que le serveur d'accès distant puisse acheminer le trafic correctement sur votre réseau, vous devez le
configurer en tant que routeur avec soit des itinéraires statiques, soit des protocoles de routage, de façon à
ce que tous les sites sur l'intranet soient joignables à partir du serveur d'accès distant.
Pour configurer le serveur en tant que routeur :
1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et
accès distant.
2. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Propriétés.
3. Sous l'onglet Général, activez la case à cocher Activer cet ordinateur en tant que routeur.
4. Sélectionnez Uniquement le routage réseau local ou Routage réseau local et de
numérotation à la demande, puis cliquez sur OK pour fermer la boîte de dialogue
Propriétés.
Configuration des ports PPTP
Confirmez le nombre de ports PPTP dont vous avez besoin. Pour vérifier le nombre de ports ou pour ajouter
des ports, procédez comme suit :
1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et
accès distant.
2. Dans l'arborescence de la console, développez Routage et accès distant, développez le nom
du serveur, puis cliquez sur Ports.
3. Cliquez avec le bouton droit sur Ports, puis cliquez sur Propriétés.
4. Dans la boîte de dialogue Propriétés de Ports, cliquez sur Miniport WAN (PPTP), puis sur
Configurer.
5. Dans la boîte de dialogue Configurer le périphérique, sélectionnez le nombre maximal de
ports pour le périphérique, puis sélectionnez les options permettant de spécifier si le
périphérique accepte les connexions entrantes uniquement ou à la fois les connexions entrantes
et sortantes.
Gestion des adresses et des serveurs de noms
Le serveur VPN doit avoir des adresses IP à disposition afin de les attribuer à l'interface virtuelle du serveur
VPN et aux clients VPN au cours de la phase de négociation IPCP (IP Control Protocol) du processus de
connexion. L'adresse IP attribuée au client VPN est attribuée à l'interface virtuelle du client VPN.
Pour les serveurs VPN Windows 2000, les adresses IP attribuées aux clients VPN sont obtenues par
adressage DHCP par défaut. Vous pouvez également configurer un groupe d'adresses IP statiques. Le
serveur VPN doit également être configuré avec des serveurs de résolution de noms (généralement des
adresses de serveurs DNS et WINS) à attribuer au client VPN au cours de la négociation IPCP.
Gestion de l'accès
Configurez les propriétés d'appel entrant sur les comptes d'utilisateurs et les stratégies d'accès distant pour
l'accès distant au réseau et les connexions VPN.
REMARQUE : par défaut, l'accès aux connexions d'accès à distance est refusé aux utilisateurs.
Accès par un compte d'utilisateur
Si vous gérez l'accès distant au niveau de l'utilisateur, cliquez sur Permettre l'accès sous l'onglet Appel
entrant de la boîte de dialogue Propriétés de l'utilisateur pour les comptes d'utilisateurs qui sont autorisés
à créer des connexions VPN. Si le serveur VPN autorise uniquement les connexions VPN, supprimez la
stratégie d'accès distant par défaut appelée " Permet l'accès si l'autorisation d'entrée est activée ". Créez
ensuite une nouvelle stratégie d'accès distant en lui attribuant un nom descriptif comme " Accès VPN si
autorisé par le compte d'utilisateur ". Pour plus d'informations, consultez l'aide sur Windows 2000.
ATTENTION : après avoir supprimé la stratégie par défaut, l'accès sera refusé à tout client d'accès distant
qui ne correspond pas à au moins une des configurations de stratégie que vous avez créées.
Si le serveur VPN autorise également les services d'accès distant, ne supprimez pas la stratégie par défaut,
mais déplacez-la de façon à ce qu'elle soit la dernière à être évaluée.
Accès par appartenance à un groupe
Si vous gérez l'accès distant au niveau du groupe, activez la case d'option Contrôler l'accès via la
Stratégie d'accès distant sur tous les comptes d'utilisateurs à l'aide de la console Utilisateurs et
ordinateurs Active Directory disponible dans outils d'administration ou le composant logiciel enfichable MMC.
Créez un groupe Windows 2000 avec les membres qui sont autorisés à créer des connexions VPN. Si le
serveur VPN autorise uniquement les connexions VPN, supprimez la stratégie d'accès distant appelée
" Permet l'accès si l'autorisation d'entrée est activée ". Ensuite, créez une nouvelle stratégie d'accès distant
en lui attribuant un nom descriptif tel que " Accès VPN si membre d'un groupe à autorisation VPN ", puis
affectez le groupe Windows 2000 à la stratégie.
Si le serveur VPN autorise également les services d'accès distant, ne supprimez pas la stratégie par défaut,
mais déplacez-la de façon à ce qu'elle soit la dernière à être évaluée.
Retour au début
Configuration d'une connexion VPN à partir d'un ordinateur client
Pour configurer une connexion à un VPN :
1. Sur l'ordinateur client, confirmez que la connexion à Internet est configurée correctement.
2. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès
à distance.
3. Double-cliquez sur Établir une nouvelle connexion.
4. Cliquez sur Suivant, puis sur Connexion à un réseau privé via Internet, puis à nouveau sur
Suivant.
5. Effectuez l'une des opérations suivantes :
o Si vous utilisez une connexion d'accès distant pour vous connecter à Internet, cliquez
sur Composer automatiquement pour cette connexion initiale, puis sélectionnez
votre connexion d'accès distant à Internet dans la liste.
o Si vous utilisez une connexion permanente (comme un modem câble), cliquez sur Ne
pas composer automatiquement la connexion initiale.
6. Cliquez sur Suivant.
7. Tapez le nom d'hôte (par exemple, Microsoft.com) ou l'adresse IP (par exemple,
123.123.123.123) de l'ordinateur auquel vous souhaitez vous connecter, puis cliquez sur
Suivant.
8. Sélectionnez Pour tous les utilisateurs si vous souhaitez que la connexion soit disponible à
toute personne qui ouvre une session sur l'ordinateur, ou sélectionnez Uniquement pour moi
pour la rendre disponible uniquement lorsque vous ouvrez une session sur l'ordinateur. Cliquez
sur Suivant.
9. Attribuez un nom descriptif à la connexion, puis cliquez sur Terminer.
REMARQUE : cette option n'est disponible que si vous avez ouvert une session en tant que
membre du groupe Administrateurs.
10. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès
à distance.
11. Double-cliquez sur la nouvelle connexion.
12. Cliquez sur Propriétés pour configurer les options de la connexion :
o Si vous vous connectez à un domaine, cliquez sur l'onglet Options, puis activez la case
à cocher Inclure le domaine d'ouverture de session Windows pour spécifier si des
informations relatives au domaine d'ouverture de session de Windows 2000 doivent être
demandées avant de tenter d'établir une connexion.
o Si vous voulez que la connexion soit retentée si la ligne a été raccrochée, cliquez sur
l'onglet Options, puis activez la case à cocher Rappeler si la ligne a été
raccrochée.
Pour utiliser la connexion :
1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès
à distance.
2. Double-cliquez sur la nouvelle connexion.
3. Si vous n'êtes pas connecté à Internet, Windows vous propose de le faire.
4. Une fois la connexion à Internet établie, le serveur VPN vous invite à entrer votre nom
d'utilisateur et votre mot de passe. Entrez votre nom d'utilisateur et votre mot de passe, puis
cliquez sur Connecter. Vos ressources réseau devraient disponibles comme si vous étiez
directement connecté au réseau. REMARQUE : pour vous déconnecter du VPN, cliquez avec le
bouton droit sur l'icône de la connexion, puis cliquez sur Déconnecter.
Retour au début
Résolution des problèmes
Résolution des problèmes des VPN d'accès distant
Impossible d'établir la connexion à un VPN d'accès distant
Cause : Le nom de machine de l'ordinateur client est le même que le nom de machine d'un
autre ordinateur sur le réseau.
Solution : Vérifiez que les noms de machine de tous les ordinateurs du réseau et de tous ceux
qui se connectent au réseau sont uniques.
Cause : Le service Routage et accès distant n'est pas démarré sur le serveur VPN.
Solution : Vérifiez l'état du service Routage et accès distant sur le serveur VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur le suivi du service
Routage et accès distant, ainsi que sur le démarrage et l'arrêt du service Routage et accès
distant.
Cause : L'accès distant n'est pas activé sur le serveur VPN.
Solution : Activez l'accès distant sur le serveur VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du
serveur d'accès distant.
Cause : Les ports PPTP ou L2TP ne sont pas activés pour les demandes d'accès distant entrant.
Solution : Activez les ports PPTP et/ou L2TP pour les demandes d'accès distant entrant.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
des ports pour l'accès distant.
Cause : Les protocoles LAN utilisés par les clients VPN ne sont pas activés pour l'accès distant
sur le serveur VPN.
Solution : Activez les protocoles LAN utilisés par les clients VPN pour l'accès distant sur le
serveur VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'affichage des
propriétés du serveur d'accès distant.
Cause : Tous les ports PPTP ou L2TP du serveur VPN sont déjà en cours d'utilisation par des
clients d'accès distant ou des routeurs de numérotation à la demande actuellement connectés.
Solution : Vérifiez que tous les ports PPTP ou L2TP du serveur VPN ne sont pas déjà en cours
d'utilisation en cliquant sur Ports dans Routage et accès distant. Si nécessaire, modifiez le
nombre de ports PPTP ou L2TP pour permettre un plus grand nombre de connexions
simultanées.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports
PPTP ou L2TP.
Cause : Le protocole de tunnellisation du client VPN n'est pas pris en charge par le serveur VPN.
Par défaut, les clients VPN d'accès distant Windows 2000 utilisent l'option de type de serveur
Automatique, ce qui signifie qu'ils essaient d'établir en premier une connexion VPN de type
L2TP avec IPSec, puis une connexion VPN de type PPTP. Si les clients VPN utilisent l'option de
type de serveur PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer-2 Tunneling
Protocol), vérifiez que le protocole de tunnellisation sélectionné est pris en charge par le
serveur VPN.
Par défaut, un ordinateur exécutant Windows 2000 Server et utilisant le service Routage et
accès distant est un serveur à capacité PPTP et L2TP avec cinq ports L2TP et cinq ports PPT. Pour
créer un serveur de type PPTP uniquement, définissez le nombre de ports L2TP sur zéro. Pour
créer un serveur de type L2TP uniquement, définissez le nombre de ports PPTP sur zéro.
Solution : Vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports
PPTP ou L2TP.
Cause : Le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant ne
sont pas configurés pour utiliser au moins une méthode d'authentification commune.
Solution : Configurez le client VPN et le serveur VPN en conjonction avec une stratégie d'accès
distant pour qu'ils utilisent au moins une méthode d'authentification commune.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
de l'authentification.
Cause : Le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant ne
sont pas configurés pour utiliser au moins une méthode de cryptage commune.
Solution : Configurez le client VPN et le serveur VPN en conjonction avec une stratégie d'accès
distant pour qu'ils utilisent au moins une méthode de cryptage commune.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
du cryptage.
Cause : La connexion VPN ne dispose pas des autorisations requises via les propriétés d'appel
entrant du compte d'utilisateur et des stratégies d'accès distant.
Solution : Vérifiez que la connexion VPN dispose des autorisations appropriées dans les
propriétés d'appel entrant du compte d'utilisateur et les stratégies d'accès distant. Pour que la
connexion puisse être établie, les paramètres de la tentative de connexion doivent :
o satisfaire à toutes les conditions d'au moins une stratégie d'accès distant ;
o disposer d'une autorisation d'accès distant via le compte d'utilisateur (défini sur
Autoriser l'accès) ou via le compte d'utilisateur (défini sur Contrôler l'accès via la
Stratégie d'accès distant) et de l'autorisation d'accès distant de la stratégie d'accès
distant correspondante (définie sur Accorder l'autorisation d'accès distant) ;
o correspondre à tous les paramètres du profil ;
o correspondre à tous les paramètres des propriétés d'appel entrant du compte
d'utilisateur.
Reportez-vous à l'aide en ligne sur Windows 2000 pour consulter une présentation des stratégies
d'accès distant et pour plus d'informations sur l'acceptation d'une tentative de connexion.
Cause : Les paramètres du profil des stratégies d'accès distant sont en conflit avec les
propriétés du serveur VPN.
Les propriétés du profil des stratégies d'accès distant et les propriétés du serveur VPN incluent
toutes deux des paramètres pour :
o le protocole de liaisons multiples (Multilink) ;
o le protocole d'affectation de bande passante ;
o les protocoles d'authentification.
Si les paramètres du profil de la stratégie d'accès distant correspondante sont en conflit avec les
paramètres du serveur VPN, la tentative de connexion est rejetée. Par exemple, si le profil de la
stratégie d'accès distant correspondante spécifie que le protocole d'authentification EAP-TLS doit
être utilisé et que le protocole EAP n'est pas activé sur le serveur VPN, la tentative de connexion
est rejetée.
Solution : Vérifiez que les paramètres du profil des stratégies d'accès distant ne sont pas en
conflit avec les propriétés du serveur VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation des
protocoles d'authentification et la configuration de l'authentification.
Cause : Le routeur de réponse est dans l'incapacité de valider les informations d'identification
du routeur d'appel (nom d'utilisateur, mot de passe et nom de domaine).
Solution : Vérifiez que les informations d'identification du client VPN (nom d'utilisateur, mot de
passe et nom de domaine) sont correctes et qu'elles peuvent être validées par le serveur VPN.
Cause : Il n'y a pas suffisamment d'adresses dans le groupe d'adresses IP statiques.
Solution : Si le serveur VPN est configuré avec un groupe d'adresses IP statiques, vérifiez qu'il y
a suffisamment d'adresses dans le groupe. Si toutes les adresses du groupe statique ont été
attribuées aux clients VPN connectés, le serveur VPN est dans l'incapacité d'attribuer une
adresse IP et la tentative de connexion est rejetée. Modifiez le groupe d'adresses IP statiques si
besoin est. Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur TCP/IP
et l'accès distant et sur la création d'un groupe d'adresses IP statiques.
Cause : Le client VPN est configuré pour demander son propre numéro de noeud IPX et le
serveur VPN n'est pas configuré pour autoriser les clients IPX à demander leur propre numéro de
noeud IPX.
Solution : Configurez le serveur VPN pour qu'il autorise les clients IPX à demander leur propre
numéro de noeud IPX.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur IPX et l'accès
distant.
Cause : Le serveur VPN est configuré avec une plage de numéros de réseau IPX qui sont en
cours d'utilisation ailleurs sur le réseau IPX.
Solution : Configurez le serveur VPN avec une plage de numéros de réseau IPX spécifique à
votre réseau IPX.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur IPX et l'accès
distant.
Cause : Le fournisseur d'authentification du serveur VPN n'est pas correctement configuré.
Solution : Vérifiez la configuration du fournisseur d'authentification. Vous pouvez configurer le
serveur VPN pour qu'il utilise soit Windows 2000, soit RADIUS pour authentifier les informations
d'identification du client VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les fournisseurs
d'authentification et de gestion de comptes et sur l'utilisation de l'authentification RADIUS.
Cause : Le serveur VPN ne peut pas accéder au service Active Directory.
Solution : Pour un serveur VPN qui est membre d'un domaine Windows 2000 en mode mixte ou
mode natif configuré pour l'authentification Windows 2000, vérifiez les points suivants :
o le groupe de sécurité Serveurs RAS et IAS doit exister. Si ce n'est pas le cas, créez le
groupe, puis définissez le type du groupe sur Sécurité et la portée du groupe sur
Domaine local ;
o le groupe de sécurité Serveurs RAS et IAS doit avoir une autorisation de lecture sur
l'objet Contrôle d'accès aux serveurs RAS et IAS ;
o le compte d'ordinateur du serveur VPN doit être membre du groupe de sécurité
Serveurs RAS et IAS. Vous pouvez utiliser la commande netsh ras show
registeredserver pour afficher l'inscription actuelle. Vous pouvez utiliser la commande
" netsh ras add registeredserver " pour inscrire le serveur dans un domaine spécifié ;
si vous ajoutez/supprimez le serveur VPN au/du groupe de sécurité Serveurs RAS et
IAS, la modification n'est pas appliquée immédiatement (en raison de la procédure
utilisée par Windows 2000 pour mettre en mémoire cache les informations du service
Active Directory). Pour que cette modification soit appliquée immédiatement, vous
devez redémarrer le serveur VPN ;
o pour un domaine en mode natif, le serveur VPN doit avoir rejoint le domaine.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un
groupe, sur la vérification des autorisations pour le groupe de sécurité Serveurs RAS et IAS, ainsi
que sur les commandes NetShell pour l'accès distant.
Cause : Impossible pour un serveur VPN Windows NT 4.0 de valider les demandes de connexion.
Solution : Si les clients VPN accèdent à distance à un serveur VPN exécutant Windows NT 4.0
qui est membre d'un domaine Windows 2000 en mode mixte, vérifiez que le groupe Tout le
monde est ajouté au groupe Accès compatible pre-Windows 2000 avec la commande
" net localgroup " Accès compatible pre-Windows 2000 " "
Si ce n'est pas le cas, tapez la commande suivante à une invite de commandes sur un ordinateur
contrôleur de domaine, puis redémarrez l'ordinateur contrôleur de domaine :
net localgroup " Accès compatible pre-Windows 2000 " everyone / add.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les serveurs
d'accès distant Windows NT 4.0 dans un domaine Windows 2000.
Cause : Le serveur VPN est dans l'incapacité de communiquer avec le serveur RADIUS
configuré.
Solution : Si votre serveur RADIUS est joignable uniquement via l'interface Internet, ajoutez un
filtre d'entrée et un filtre de sortie à l'interface Internet pour le port UDP 1812 (sur la base de
RFC 2138, " RADIUS (Remote Authentication Dial-In User Service) ") ou le port UDP 1645 (pour
les serveurs RADIUS plus anciens) pour l'authentification RADIUS, et pour le port UDP 1813 (sur
la base de RFC 2139, " Gestion de comptes RADIUS ") ou le port UDP 1646 (pour les serveurs
RADIUS plus anciens) pour la gestion de comptes RADIUS.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre
de paquets.
Cause : Impossible de se connecter au serveur VPN via Internet à l'aide de l'utilitaire Ping.exe.
Solution : En raison du filtrage de paquets PPTP et L2TP avec IPSec qui est configuré sur
l'interface Internet du serveur VPN, les paquets ICMP (Internet Control Message Protocol) utilisés
par la commande de contrôle de connexion (" ping ") sont éliminés par filtrage. Pour permettre
au serveur VPN de répondre aux paquets ICMP, vous devez ajouter un filtre d'entrée et un filtre
de sortie qui autorisent le trafic pour le protocole IP 1 (trafic ICMP).
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre
de paquets.
Résolution des problèmes des VPN de routeur à routeur
Impossible d'établir une connexion VPN de routeur à routeur
Cause : Le service Routage et accès distant n'est pas démarré ni sur le client VPN (le routeur
d'appel) ni sur le serveur VPN (le routeur de réponse).
Solution : Vérifiez l'état du service Routage et accès distant sur le client VPN et sur le serveur
VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur le suivi du service
Routage et accès distant, ainsi que sur le démarrage et l'arrêt du service Routage et accès
distant.
Cause : Le routage LAN et WAN n'est activé ni sur le routeur d'appel ni sur le routeur de
réponse.
Solution : Activez la fonctionnalité Routage local et distant (routeur LAN et WAN) sur le
routeur d'appel et le routeur de réponse.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du
routage LAN et WAN.
Cause : Les ports PPTP ou L2TP ne sont pas activés pour les connexions de routage de
numérotation à la demande entrantes et sortantes.
Solution : Activez les ports PPTP et/ou L2TP pour les connexions de routage de numérotation à
la demande entrantes et sortantes.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du
routage sur les ports.
Cause : Tous les ports PPTP ou L2TP du routeur d'appel ou de réponse sont déjà en cours
d'utilisation par des clients d'accès distant ou des routeurs de numérotation à la demande
actuellement connectés.
Solution : Vérifiez que tous les ports PPTP ou L2TP du serveur VPN ne sont pas déjà en cours
d'utilisation en cliquant sur Ports dans Routage et accès distant. Si nécessaire, modifiez le
nombre de ports PPTP ou L2TP pour permettre un plus grand nombre de connexions
simultanées.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports
PPTP ou L2TP.
Cause : Le protocole de tunnellisation utilisé par le routeur d'appel n'est pas pris en charge par
le routeur de réponse.
Par défaut, les interfaces de numérotation à la demande de Windows 2000 utilisent l'option de
type de serveur Automatique, ce qui signifie qu'ils essaient en premier d'établir une connexion
VPN de type L2TP avec IPSec, puis une connexion VPN de type PPTP. Si les routeurs d'appel
utilisent l'option de type de serveur PPTP (Point-to-Point Tunneling Protocol) ou L2TP
(Layer-2 Tunneling Protocol), vérifiez que le protocole de tunnellisation sélectionné est pris
en charge par le routeur de réponse.
Par défaut, un ordinateur exécutant Windows 2000 Server et utilisant le service Routage et
accès distant est un routeur de numérotation à la demande à capacité PPTP et L2TP avec cinq
ports L2TP et cinq ports PPTP. Pour créer un routeur de type PPTP uniquement, définissez le
nombre de ports L2TP sur zéro. Pour créer un routeur de type L2TP uniquement, définissez le
nombre de ports PPTP sur zéro.
Solution : Vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré sur le routeur
d'appel et le routeur de réponse.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports
PPTP ou L2TP.
Cause : Le routeur d'appel et le routeur de réponse en conjonction avec une stratégie d'accès
distant ne sont pas configurés pour utiliser au moins une méthode d'authentification commune.
Solution : Configurez le routeur d'appel et le routeur de réponse avec une stratégie d'accès
distant pour qu'ils utilisent au moins une méthode d'authentification commune.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
de l'authentification.
Cause : Le routeur d'appel et le routeur de réponse en conjonction avec une stratégie d'accès
distant ne sont pas configurés pour utiliser au moins une méthode de cryptage commune.
Solution : Configurez le routeur d'appel et le routeur de réponse avec une stratégie d'accès
distant pour qu'ils utilisent au moins une méthode de cryptage commune.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
du cryptage.
Cause : La connexion VPN ne dispose pas des autorisations requises via les propriétés d'appel
entrant du compte d'utilisateur et des stratégies d'accès distant.
Solution : Vérifiez que la connexion VPN dispose des autorisations appropriées dans les
propriétés d'appel entrant du compte d'utilisateur et les stratégies d'accès distant. Pour que la
connexion puisse être établie, les paramètres de la tentative de connexion doivent :
o satisfaire à toutes les conditions d'au moins une stratégie d'accès distant ;
o disposer d'une autorisation d'accès distant via le compte d'utilisateur (défini sur
Autoriser l'accès) ou via le compte d'utilisateur (défini sur Contrôler l'accès via la
Stratégie d'accès distant) et de l'autorisation d'accès distant de la stratégie d'accès
distant correspondante (définie sur Accorder l'autorisation d'accès distant).
o correspondre à tous les paramètres du profil ;
o correspondre à tous les paramètres des propriétés d'appel entrant du compte
d'utilisateur.
Reportez-vous à l'aide en ligne sur Windows 2000 pour consulter une présentation des stratégies
d'accès distant et pour plus d'informations sur l'acceptation d'une tentative de connexion.
Cause : Les paramètres du profil des stratégies d'accès distant sont en conflit avec les
propriétés du routeur de réponse. Les propriétés du profil des stratégies d'accès distant et les
propriétés du routeur de réponse incluent toutes deux des paramètres pour :
o le protocole de liaisons multiples (Multilink) ;
o le protocole d'affectation de bande passante ;
o les protocoles d'authentification.
Si les paramètres du profil de la stratégie d'accès distant correspondante sont en conflit avec les
paramètres du routeur de réponse, la tentative de connexion est rejetée. Par exemple, si le profil
de la stratégie d'accès distant correspondante spécifie que le protocole d'authentification EAP-
TLS doit être utilisé et que le protocole EAP n'est pas activé sur le routeur de réponse, la
tentative de connexion est rejetée.
Solution : Vérifiez que les paramètres du profil des stratégies d'accès distant ne sont pas en
conflit avec les propriétés du routeur d'accès distant.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation des
protocoles d'authentification et la configuration de l'authentification.
Cause : Les informations d'identification du routeur d'appel (nom d'utilisateur, mot de passe et
nom de domaine) sont incorrectes et ne peuvent pas être validées par le routeur de réponse.
Solution : Vérifiez que les informations d'identification du routeur d'appel (nom d'utilisateur,
mot de passe et nom de domaine) sont correctes et qu'elles peuvent être validées par le routeur
de réponse.
Cause : Il n'y a pas suffisamment d'adresses dans le groupe d'adresses IP statiques.
Solution : Si le routeur de réponse est configuré avec un groupe d'adresses IP statiques, vérifiez
qu'il y a suffisamment d'adresses dans le groupe. Si toutes les adresses du groupe d'adresses
statiques ont été attribuées aux clients d'accès distant connectés ou aux routeurs de
numérotation à la demande, le routeur de réponse est dans l'incapacité d'attribuer une adresse
IP et la tentative de connexion est rejetée. Modifiez le groupe d'adresses IP statiques si besoin
est.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur TCP/IP et l'accès
distant, ainsi que sur la création d'un groupe d'adresses IP statiques.
Cause : Le routeur de réponse est configuré avec une plage de numéros de réseau IPX qui sont
en cours d'utilisation ailleurs sur le réseau IPX.
Solution : Configurez le routeur de réponse avec une plage de numéros de réseau IPX
spécifiques à votre réseau IPX.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur IPX et l'accès
distant.
Cause : Le fournisseur d'authentification du routeur de réponse n'est pas correctement
configuré.
Solution : Vérifiez la configuration du fournisseur d'authentification. Vous pouvez configurer le
routeur de réponse pour qu'il utilise soit Windows 2000, soit RADIUS pour authentifier les
informations d'identification du client VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les fournisseurs
d'authentification et de gestion de comptes et sur l'utilisation de l'authentification RADIUS.
Cause : Le routeur de réponse ne peut pas accéder au service Active Directory.
Solution : Pour un routeur de réponse qui est membre d'un domaine Windows 2000 en mode
mixte ou mode natif configuré pour l'authentification Windows 2000, vérifiez les points suivants :
o le groupe de sécurité Serveurs RAS et IAS doit exister. Si ce n'est pas le cas, créez le
groupe, puis définissez le type du groupe sur Sécurité et la portée du groupe sur
Domaine local ;
o le groupe de sécurité Serveurs RAS et IAS doit avoir une autorisation de lecture sur
l'objet Contrôle d'accès aux serveurs RAS et IAS.
o le compte d'ordinateur du routeur de réponse doit être membre du groupe de sécurité
Serveurs RAS et IAS. Vous pouvez utiliser la commande suivante pour afficher
l'inscription actuelle.
" netsh ras show registeredserver "
Vous pouvez utiliser la commande suivante pour inscrire le serveur dans un domaine
spécifié :
"netsh ras add registeredserver"
Si vous ajoutez/supprimez l'ordinateur routeur de réponse au/du groupe de sécurité
Serveurs RAS et IAS, la modification n'est pas appliquée immédiatement (en raison
de la procédure utilisée par Windows 2000 pour mettre en mémoire cache les
informations du service Active Directory). Pour que cette modification soit appliquée
immédiatement, vous devez redémarrer l'ordinateur routeur de réponse ;
o pour un domaine en mode natif, le routeur de réponse doit avoir rejoint le domaine.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un
groupe, sur la vérification des autorisations pour le groupe de sécurité Serveurs RAS et IAS, ainsi
que sur les commandes NetShell pour l'accès distant.
Cause : Un routeur de réponse qui exécute Windows NT 4.0 avec le Service Routage et accès
distant (RRAS) ne peut pas valider de demandes de connexion.
Solution : Si les routeurs d'appel accèdent à distance à un routeur de réponse exécutant
Windows NT 4.0 avec le service RRAS qui est membre d'un domaine Windows 2000 en mode
mixte, vérifiez que le groupe Tout le monde est ajouté au groupe Accès compatible pre-
Windows 2000 avec la commande
" net localgroup " Accès compatible pre-Windows 2000 " "
Si ce n'est pas le cas, tapez la commande suivante à une invite de commandes sur un ordinateur
contrôleur de domaine, puis redémarrez l'ordinateur contrôleur de domaine :
" net localgroup " Accès compatible pre-Windows 2000 " everyone/add.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les serveurs
d'accès distant Windows NT 4.0 dans un domaine Windows 2000.
Cause : Le routeur de réponse est dans l'incapacité de communiquer avec le serveur RADIUS
configuré.
Solution : Si votre serveur RADIUS est joignable uniquement via l'interface Internet, ajoutez un
filtre d'entrée et un filtre de sortie à l'interface Internet pour le port UDP 1812 (sur la base de
RFC 2138, " RADIUS (Remote Authentication Dial-In User Service) ") ou le port UDP 1645 (pour
les serveurs RADIUS plus anciens) pour l'authentification RADIUS, et pour le port UDP 1813 (sur
la base de RFC 2139, " Gestion de comptes RADIUS ") ou le port UDP 1646 (pour les serveurs
RADIUS plus anciens) pour la gestion de comptes RADIUS.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre
de paquets.
Cause : Impossible de se connecter au routeur de réponse via Internet à l'aide de l'utilitaire
Ping.exe.
Solution : En raison du filtrage de paquets PPTP et L2TP avec IPSec qui est configuré sur
l'interface Internet du routeur de réponse, les paquets ICMP (Internet Control Message Protocol)
utilisés par la commande ping sont éliminés par filtrage. Pour permettre au routeur de réponse
de répondre aux paquets ICMP, vous devez ajouter un filtre d'entrée et un filtre de sortie qui
autorisent le trafic pour le protocole IP 1 (trafic ICMP).
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre
de paquets.
Impossible d'envoyer ou de recevoir des données
Cause : L'interface de numérotation à la demande appropriée n'a pas été ajoutée au protocole
en cours de routage.
Solution : Ajoutez l'interface de numérotation à la demande appropriée au protocole en cours
de routage.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'une
interface de routage.
Cause : Il n'y a aucun itinéraire des deux côtés de la connexion VPN de routeur à routeur qui
prenne en charge l'échange bidirectionnel de trafic.
Solution : À la différence d'une connexion VPN d'accès distant, une connexion VPN de routeur à
routeur ne crée pas automatiquement un itinéraire par défaut. Vous devez créer des itinéraires
sur les deux côtés de la connexion VPN de routeur à routeur de façon à ce que le trafic puisse
être acheminé vers et depuis l'autre côté de ladite connexion.
Vous pouvez ajouter manuellement des itinéraires à la table de routage, ou bien ajouter des
itinéraires statiques par l'intermédiaire de protocoles de routage. Pour les connexions VPN
persistantes, vous pouvez activer le protocole OSPF (Open Shortest Path First) ou RIP (Routing
Information Protocol) sur la connexion VPN. Pour les connexions VPN à la demande, vous pouvez
mettre à jour automatiquement les itinéraires par l'intermédiaire d'une mise à jour RIP statique
automatique. Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur
l'ajout d'un protocole de routage IP, sur l'ajout d'un itinéraire statique et sur l'exécution de mises
à jour statiques automatiques.
Cause : Une connexion VPN de routeur à routeur à initiation bidirectionnelle est interprétée par
le routeur de réponse comme une connexion d'accès distant.
Solution : Si le nom d'utilisateur dans les informations d'identification du routeur d'appel
apparaît sous Clients d'appel entrant dans le service Routage et accès distant, il se peut que
le routeur de réponse interprète le routeur d'appel comme un client d'accès distant. Vérifiez que
le nom d'utilisateur dans les informations d'identification du routeur d'appel correspond au nom
d'une interface de numérotation à la demande du routeur de réponse. Si l'appelant entrant est
un routeur, le port sur lequel l'appel a été reçu indique un état Actif et l'interface de
numérotation à la demande correspondante est à l'état Connecté.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la vérification de
l'état du port sur le routeur de réponse et sur la vérification de l'état de l'interface de
numérotation à la demande.
Cause : Les filtres de paquets sur les interfaces de numérotation à la demande du routeur
d'appel et du routeur de réponse empêchent l'acheminement du trafic.
Solution : Vérifiez qu'il n'y a pas de filtres de paquets sur les interfaces de numérotation à la
demande du routeur d'appel et du routeur de réponse qui empêchent l'envoi ou la réception de
trafic. Vous pouvez configurer chaque interface de numérotation à la demande avec des filtres
d'entrée et de sortie IP et IPX pour contrôler la nature exacte du trafic TCP/IP et IPX qui est
autorisé en entrée et en sortie de l'interface de numérotation à la demande.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la gestion des
filtres de paquets.
Cause : Les filtres de paquets sur le profil des stratégies d'accès distant empêchent
l'acheminement du trafic IP.
Solution : Vérifiez qu'aucun filtre de paquets TCP/IP n'est configuré dans les propriétés de profil
des stratégies d'accès distant du serveur VPN (ou du serveur RADIUS en cas d'utilisation du
service IAS) qui empêchent l'envoi et la réception de trafic TCP/IP. Vous pouvez utiliser les
stratégies d'accès distant pour configurer des filtres de paquets d'entrée et de sortie TCP/IP qui
contrôlent la nature exacte du trafic TCP/IP autorisé sur la connexion VPN. Vérifiez que les filtres
de paquets TCP/IP du profil n'empêchent pas l'acheminement du trafic requis.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
des options IP.