客户端故障诊断
为确保操作成功,PPTP客户端必须正确维护两套TCP/IP协议栈设置:其中一套面向于ISP与Internet连接,另一套面向于VPN服务器连接,具体情况如图2所示。客户端路由表同样必须包含两条记录:其中一条负责将网络数据包定向至提供Internet浏览服务的ISP,另一条指向用于实现LAN浏览的VPN服务器接口。当协议栈设置不正确时,客户端将会遇到严重问题。通常情况下,NT客户端维护独立的TCP/IP协议栈设置,然而,当同时配备网卡和调制解调器时,Windows 95客户端则会经常出现协议栈设置问题。在建立PPTP连接后,Windows 9x缺省网关可能仍旧指向ISP,从而使客户端无法成功浏览LAN。下面,让我们来看一看五种最为常见的客户端连接问题。
客户端无法连接PPTP服务器:您可能遇到的第一种问题是客户端无法连接到PPTP服务器。此时,您需要对以下三种可能导致这种问题的因素进行查看。
建立VPN服务器Internet连通性。在完成客户端配置工作后,您需要验证VPN服务器具备一条Internet连接。验证这种连接的最简单方式是从设置服务器TCP/IP地址的客户端上对服务器执行ping操作。(如果您的PPTP服务器位于防火墙后方且防火墙被设置为阻止Internet控制消息协议--ICMP--ping消息,那么,这种验证方式将无法使用。)如果ping指令显示消息请求超时,则说明服务器Internet连接可能存在某种问题。如果服务器通过地址进行相应,您可以在DUN记录的电话号码字段中输入TCP/IP地址以便建立PPTP会话。尽管与通过全面验证的域名(FQDN)相比有些不够友好,这项技术在您知道服务器地址的情况下仍旧非常有效。
需要注意的是,使用拨号连接的服务器很有可能在每次与ISP建立连接时获得不同的地址。如需通过地址进行连接,您必须了解服务器每次建立拨号连接时由ISP所分配的地址。通常情况下,您的RAS服务器将使用一个永久地址,从而消除了连接过程中的一项细微可变因素。
如果服务器通过地址进行响应,请继续使用名称对其执行ping操作。如果服务器无法通过名称进行响应,原因可能有两种:服务器可能不具备注册域名,或者您的ISP DNS服务器可能处于停机状态或无法正常工作。
查看PPTP过滤功能。当服务器上的PPTP过滤功能处于启用状态时,您可能会看到消息“错误678:无法应答”或“错误650:远程访问服务器无法响应”。此时,请在服务器上禁用PPTP过滤功能(Net Stop RASPPTPF),并查看是否可以建立非过滤连接。
如果能够在过滤功能处于禁用状态的情况下建立连接,请检查服务器的过滤器设置。如果您禁用了编号为137和138的UPD端口或者编号为139的TCP端口,NetBIOS数据包将无法通过网络。对于单播(点对点)通信过程,您同样需要在客户端与服务器之间的所有防火墙与路由器上启用这些端口。
过滤GRE协议。如果服务器能够通过地址和名称进行响应但您仍旧无法建立连接,那么,您所使用的ISP路由器、内部路由器或防火墙可能过滤掉了GRE数据包。为建立一条PPTP隧道,客户端与服务器之间需要交换GRE数据包,然而,由于需要在内部利用GRE来管理路由器,某些ISP会禁用外部GRE数据包。尽管GRE过滤功能并不常用,但他的确能够阻止PPTP连接,因此,请确保您在VPN连接两端均启用了编号为47的IP协议端口(GRE)以及编号为1723的TCP端口。您可以利用Microsoft网络监视器或其它类似的网络探测工具来确定GRE过滤功能是否被启用。如需获取更多关于如何在VPN连接期间对PPTP数据包进行监控的信息,请查看“原先发布的相关文章”中的第XX页。
客户端能够连接但无法登录:您可能遇到的第二种问题是已经建立连接的客户端无法进行登录。此时,您需要对以下三种可能导致这种问题的因素进行查看。
配置域和服务器帐号。您可以将RAS服务器配置为域控制器或独立系统。如果您将服务器配置为域控制器,请确保用户的域帐号具备拨入权限。如果服务器并非域控制器,缺省情况下,RAS将通过本地SAM对客户端授权凭证进行验证。用户可以通过两种方式在独立服务器上实现身份验证:利用RAS服务器上的本地帐号或利用强制服务器通过域SAM对证书进行验证的注册表项。无论采用何种方式,您所提供的帐号都必须具备拨入权限。
配置计算机帐号。如果客户端为NT工作站或服务器,相应计算机必须在域中拥有一个帐号。如果客户端是一套新的系统,则请在对连接进行测试之前首先在服务器管理器中创建一个新的计算机帐号。如果客户端系统已经在网络上拥有一个帐号,但已有一个或多个星期未曾进行连接,那么,计算机帐号口令可能不再与服务器保持同步。每个计算机帐号都有一个由PDC自动重置的隐藏口令,如果系统长期处于脱机状态,PDC与客户端上的帐号口令将不再相同。通常情况下,您可通过删除并重新添加这个帐号的方式解决这种问题。
协商客户端身份验证方式。RAS服务器可以通过三种不同身份验证协议对PPTP用户进行身份验证。按照由低到高的安全性顺序,这三种协议分别是通过明文方式实现的口令身份验证协议(PAP)、通过加密与Hash算法实现的质询式握手身份验证协议(CHAP)以及通过加密和带有校验和的双重Hash算法实现的Microsoft质询式握手身份验证协议(MSCHAP)。客户端与服务器通过协商方式确定的登录身份验证协议取决于您在配置服务器进入端口与客户端PPTP连接网络设置时所选择的加密设置。服务器与客户端上拥有以下可用选项:
允许使用任意一种包含明文的身份验证方式。服务器将通过客户端所请求的协议(例如PAP、CHAP或MSCHAP)来完成身份验证。
需要加密的身份验证方式,服务器将通过MSCHAP、数据加密标准(DES)或Shiva PAP(SPAP)来完成身份验证。
需要Microsoft加密的身份验证方式。服务器只能通过MSCHAP实现身份验证。
从SP3开始,Microsoft引入了一种更为安全的MSCHAP版本,称为MSCHAP V2。您可以通过在服务器和Windows客户端上创建一条注册表项的方式来强制客户端仅仅使用MSCHAP V2执行身份验证。然而,当您执行此项修改操作时,那些不具备MSCHAP V2(一种专用Microsoft协议)支持能力的客户端将无法成功登录。因此,这种更改方式将使UNIX和Macintosh系统无法登录到您的VPN服务器上。
如需获取有关登录失败情况的故障诊断信息,请在用户管理器中启用登录审计功能并再次尝试建立连接。当您查看NT事件查看器安全日志中所存储的记录时,您将能够获得相关障碍的清晰描述信息。您可以看到用户名称是否合法,口令是否错误或者已经过期,计算机是否缺少一个合法帐号以及是否不存在可用VPN端口。
当用户能够成功登录后,应用程序事件日志将记录登录的日期与时间。此外,您还将能够在事件日志中找到另一个用以记录用户注销时间和会话持续时间的事件。
客户端能够登录但无法浏览LAN:您还可能会遇到客户端能够登录但无法浏览LAN的情况。如需对这种问题进行故障诊断,请确保已在所有Windows 9x客户端上将工作组设置为目标NT域的名称。接下来,如果客户端数量超过15或20个节点,也有可能造成客户端无法浏览,这是因为通过低速拨号连接对大型网络进行浏览是一项极为困难的任务。在PPTP会话建立后预先定义或手工将统一命名规范(UNC)连接映射到所需共享内容与资源是一项对于用户来说非常友好的操作。最后,您还需要理解四种TCP/IP设置如何对您的网络连接产生影响。(如需获取更多关于TCP/IP设置的信息,请查看工具条“重要客户端TCP/IP设置”。)当您需要为那些通过永久高速连接在家中进行工作的用户提供支持时,远程LAN浏览将是一种可行方案。在对这些组件进行检查并审核TCP/IP设置后,您便可以利用以下项目对浏览问题实施故障诊断。
|
