VPN是过去几年里推出网络技术中最令人影像深刻的一个。在外的员工不必为直接进入公司网络而支付大量的电话费了。取而代之的是他们可以用已有的网络链接并且连接是免费的。虽然这项技术非常伟大,但它却没有以它应有的方式工作,所以我们需要为它进行一些小的修复。
考虑到VPN结构的复杂性,我们无法在这篇文章中给出全面的VPN修复指导。我将讨论一些常见的远程用户在建立VPN连接时遇到麻烦的原因。
当用户在建立连接时遇到麻烦(特别是建立新VPN连接),我们很容易想到可能是VPN的设置有误。但是在你检查设置之前,最好看一下遇到问题的用户的帐户说明。有一些用户可能引起VPN连接失败。
比如,帐户可能被锁死或禁用。同样,如果你的用户被设置为在特定时间允许登陆,那这个远程用户可能是在允许时间之外进行VPN连接。
还有一种情况就是此用户从没获得远程登陆的权限。如果你检查Active Directory Users和Computers console用户工具栏,你可以发现一个‘dial-in’标记,它可以让你给予或拒绝一个用户的远程登陆权。虽然它的名字是‘dial-in’,其实它也影响VPN的连接。
如果所有这些用户权限都核对完了,那么还有你要检查的就是VPN服务器的Routing and Remote Access服务是否开启。有时服务器会因为不明原因把这些服务关闭,所以确定它们开启是有必要的。
这样还有的导致用户连接问题的可能就是PPTP或是L2TP端口没有设置成可接受内地远程登陆请求。检查这两个端口是如何设置的,打开Routing and Remote Access控制台并且通过控制台目录进入你的服务器。然后,右键单击端口窗口在下拉菜单中选择工具命令。这样你就打开了Windows端口工具栏。在端口列表中选取设备并且点击设置键。你就可以看到设备设置对话框。确定远程接入连接(只限内地)和Demand Dial Routing Connections(海内外)已经被选择。
当你看到设备设置对话框时,注意端口的最大安装。VPN连接失败的一个常见原因是已分配端口无空闲。你可以通过Routing and Remote Access控制台查出有多少个端口现在正在使用以及它们的详细使用情况。
最后我要说的问题是运行IAS的服务器可能正在使用一个无效的认证。当IAS用EAP-TLS认证方法时,TLS使用的是认证书在缓存中的附件而不是每次都从认证库中读取。通常,这样作不会有问题。但是如果你用一个新的认证作替换,TLS会继续使用已作废的认证直到缓存条目终止。但是你可以通过重新启动服务器来更新缓存。
如你所见,这里一些小问题都可能导致Windows VPN拒绝用户登陆。希望本文能够帮助你解决它们。
