Академический Документы
Профессиональный Документы
Культура Документы
d'un autre réseau tel qu'Internet. Vous pouvez transformer votre ordinateur Windows 2000 Server en un
serveur d'accès distant de façon à ce que d'autres utilisateurs puissent s'y connecter à l'aide d'un VPN et
accéder aux fichiers partagés présents sur vos lecteurs locaux ou votre réseau. Les réseaux privés virtuels
parviennent à cela par " tunnellisation " à travers Internet ou un autre réseau public, d'une manière qui offre
le même niveau de sécurité et les mêmes fonctionnalités qu'un réseau privé. Avec un réseau privé virtuel,
des connexions établies à travers le réseau public peuvent assurer le transfert de données en utilisant
l'infrastructure de routage d'Internet, alors que pour l'utilisateur, il semble que les données ont été
Le présent article explique comment installer un réseau privé virtuel et créer une connexion VPN sur
Windows 2000.
Retour au début
Un réseau privé virtuel est un moyen de se connecter à un réseau privé (comme votre réseau d'entreprise)
par le biais d'un réseau public tel qu'Internet. Il allie les avantages d'une connexion d'accès à distance avec
un serveur d'accès distant à la souplesse et la commodité d'une connexion Internet. En utilisant une
connexion Internet, vous pouvez voyager dans le monde entier tout ayant la possibilité, dans la plupart des
cas, de vous connecter à votre entreprise par un simple appel local au fournisseur d'accès Internet le plus
proche. Si vous disposez d'une connexion Internet à haut débit (liaison par câble ou DSL, par exemple) sur
votre ordinateur (et à votre bureau), vous pouvez communiquer avec votre entreprise au plein débit
Internet, qui est beaucoup plus rapide que n'importe quelle connexion d'accès à distance à l'aide d'un
modem analogique.
Les VPN utilisent des liaisons authentifiées qui garantissent que seuls les utilisateurs autorisés peuvent se
connecter à votre réseau. De plus, ils utilisent le cryptage pour garantir que les données qui circulent sur
Internet ne peuvent être interceptées et utilisées par d'autres personnes. Windows assure ce niveau de
sécurité en utilisant le protocole PPTP (Point-to-Point Tunneling Protocol) ou le protocole L2TP (Layer Two
Tunneling Protocol).
La technologie VPN permet également à une entreprise de se connecter à ses succursales ou à d'autres
sociétés via un réseau public (comme Internet) tout en préservant la sécurité des communications. La
connexion VPN via Internet fonctionne logiquement comme une liaison réseau à grande distance (WAN)
spécialisée.
Retour au début
Dans Windows 2000, un réseau privé virtuel (VPN) est composé d'un serveur VPN, d'un client VPN, d'une
connexion VPN (la partie de la connexion où les données sont cryptées) et du tunnel (la partie de la
connexion où les données sont encapsulées). La tunnellisation est effectuée par le biais de l'un des
protocoles de tunnellisation fournis avec Windows 2000, qui sont tous les deux installés avec le service
Routage et accès distant. Les deux protocoles de tunnellisation fournis avec Windows 2000 sont les
suivants :
Il est recommandé que votre connexion à Internet utilise une ligne spécialisée de type T1, T1 fractionnel ou
relais de trames. La carte WAN doit être configurée avec l'adresse IP et le masque de sous-réseau attribués
à votre domaine ou fournis par un fournisseur de services Internet (ISP, Internet Service Provider), ainsi
REMARQUE : pour activer un VPN, vous devez ouvrir une session à l'aide d'un compte disposant des droits
d'administration.
Retour au début
1. Sur l'ordinateur VPN Microsoft Windows 2000, confirmez que la connexion à Internet et la
connexion à votre réseau local (LAN, Local Area Network) sont toutes les deux correctement
configurées.
2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et
accès distant.
3. Cliquez sur le nom de serveur dans l'arborescence, puis sur Configurer et activer le routage
4. Dans la boîte de dialogue Configurations communes, cliquez sur Serveur de réseau privé
la liste, cliquez sur Oui, tous les protocoles requis sont dans cette liste, puis sur Suivant.
6. Dans la boîte de dialogue Connexion Internet, sélectionnez la connexion Internet utilisée pour
utiliser le serveur DHCP de votre sous-réseau pour attribuer des adresses IP aux clients d'accès
distant et au serveur.
8. Dans la boîte de dialogue Gestion des serveurs d'accès à distance multiples, confirmez que
la case à cocher Non, je ne veux pas configurer ce serveur pour utiliser RADIUS
10. Cliquez avec le bouton droit sur le noeud Ports, puis cliquez sur Propriétés.
11. Dans la boîte de dialogue Propriétés de Ports, cliquez sur le périphérique Miniport WAN
(PPTP), puis sur Configurer.
12. Dans la boîte de dialogue Configurer le périphérique - Miniport WAN (PPTP), effectuez
l'une des opérations suivantes :
○ Si vous ne voulez pas prendre en charge un VPN d'accès utilisateur distant direct aux
○ Si vous voulez prendre en charge un VPN d'accès utilisateur distant direct aux modems
13. Tapez le nombre maximal de connexions PPTP simultanées que vous voulez autoriser dans la
zone de texte Nombre maximum de ports. (Ce nombre peut dépendre du nombre d'adresses
IP disponibles.)
14. Répétez les étapes 11 à 13 pour le périphérique L2TP, puis cliquez sur OK.
Retour au début
Pour configurer le serveur VPN selon vos besoins, procédez comme décrit ci-après.
configurer en tant que routeur avec soit des itinéraires statiques, soit des protocoles de routage, de façon à
ce que tous les sites sur l'intranet soient joignables à partir du serveur d'accès distant.
1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et
accès distant.
2. Cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Propriétés.
3. Sous l'onglet Général, activez la case à cocher Activer cet ordinateur en tant que routeur.
Propriétés.
Confirmez le nombre de ports PPTP dont vous avez besoin. Pour vérifier le nombre de ports ou pour ajouter
1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Routage et
accès distant.
3. Cliquez avec le bouton droit sur Ports, puis cliquez sur Propriétés.
4. Dans la boîte de dialogue Propriétés de Ports, cliquez sur Miniport WAN (PPTP), puis sur
Configurer.
périphérique accepte les connexions entrantes uniquement ou à la fois les connexions entrantes
et sortantes.
Le serveur VPN doit avoir des adresses IP à disposition afin de les attribuer à l'interface virtuelle du serveur
VPN et aux clients VPN au cours de la phase de négociation IPCP (IP Control Protocol) du processus de
connexion. L'adresse IP attribuée au client VPN est attribuée à l'interface virtuelle du client VPN.
Pour les serveurs VPN Windows 2000, les adresses IP attribuées aux clients VPN sont obtenues par
adressage DHCP par défaut. Vous pouvez également configurer un groupe d'adresses IP statiques. Le
serveur VPN doit également être configuré avec des serveurs de résolution de noms (généralement des
adresses de serveurs DNS et WINS) à attribuer au client VPN au cours de la négociation IPCP.
Gestion de l'accès
Configurez les propriétés d'appel entrant sur les comptes d'utilisateurs et les stratégies d'accès distant pour
REMARQUE : par défaut, l'accès aux connexions d'accès à distance est refusé aux utilisateurs.
Si vous gérez l'accès distant au niveau de l'utilisateur, cliquez sur Permettre l'accès sous l'onglet Appel
entrant de la boîte de dialogue Propriétés de l'utilisateur pour les comptes d'utilisateurs qui sont autorisés
à créer des connexions VPN. Si le serveur VPN autorise uniquement les connexions VPN, supprimez la
stratégie d'accès distant par défaut appelée " Permet l'accès si l'autorisation d'entrée est activée ". Créez
ensuite une nouvelle stratégie d'accès distant en lui attribuant un nom descriptif comme " Accès VPN si
autorisé par le compte d'utilisateur ". Pour plus d'informations, consultez l'aide sur Windows 2000.
ATTENTION : après avoir supprimé la stratégie par défaut, l'accès sera refusé à tout client d'accès distant
qui ne correspond pas à au moins une des configurations de stratégie que vous avez créées.
Si le serveur VPN autorise également les services d'accès distant, ne supprimez pas la stratégie par défaut,
Si vous gérez l'accès distant au niveau du groupe, activez la case d'option Contrôler l'accès via la
Stratégie d'accès distant sur tous les comptes d'utilisateurs à l'aide de la console Utilisateurs et
ordinateurs Active Directory disponible dans outils d'administration ou le composant logiciel enfichable MMC.
Créez un groupe Windows 2000 avec les membres qui sont autorisés à créer des connexions VPN. Si le
serveur VPN autorise uniquement les connexions VPN, supprimez la stratégie d'accès distant appelée
" Permet l'accès si l'autorisation d'entrée est activée ". Ensuite, créez une nouvelle stratégie d'accès distant
en lui attribuant un nom descriptif tel que " Accès VPN si membre d'un groupe à autorisation VPN ", puis
Si le serveur VPN autorise également les services d'accès distant, ne supprimez pas la stratégie par défaut,
Retour au début
1. Sur l'ordinateur client, confirmez que la connexion à Internet est configurée correctement.
2. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès
à distance.
4. Cliquez sur Suivant, puis sur Connexion à un réseau privé via Internet, puis à nouveau sur
Suivant.
○ Si vous utilisez une connexion d'accès distant pour vous connecter à Internet, cliquez
○ Si vous utilisez une connexion permanente (comme un modem câble), cliquez sur Ne
123.123.123.123) de l'ordinateur auquel vous souhaitez vous connecter, puis cliquez sur
Suivant.
8. Sélectionnez Pour tous les utilisateurs si vous souhaitez que la connexion soit disponible à
toute personne qui ouvre une session sur l'ordinateur, ou sélectionnez Uniquement pour moi
pour la rendre disponible uniquement lorsque vous ouvrez une session sur l'ordinateur. Cliquez
sur Suivant.
10. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès
à distance.
○ Si vous vous connectez à un domaine, cliquez sur l'onglet Options, puis activez la case
○ Si vous voulez que la connexion soit retentée si la ligne a été raccrochée, cliquez sur
l'onglet Options, puis activez la case à cocher Rappeler si la ligne a été raccrochée.
1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexions réseau et accès
à distance.
4. Une fois la connexion à Internet établie, le serveur VPN vous invite à entrer votre nom
d'utilisateur et votre mot de passe. Entrez votre nom d'utilisateur et votre mot de passe, puis
cliquez sur Connecter. Vos ressources réseau devraient disponibles comme si vous étiez
directement connecté au réseau. REMARQUE : pour vous déconnecter du VPN, cliquez avec le
Retour au début
• Cause : Le nom de machine de l'ordinateur client est le même que le nom de machine d'un
Solution : Vérifiez que les noms de machine de tous les ordinateurs du réseau et de tous ceux
Solution : Vérifiez l'état du service Routage et accès distant sur le serveur VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur le suivi du
service Routage et accès distant, ainsi que sur le démarrage et l'arrêt du service Routage et
accès distant.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du
• Cause : Les ports PPTP ou L2TP ne sont pas activés pour les demandes d'accès distant entrant.
Solution : Activez les ports PPTP et/ou L2TP pour les demandes d'accès distant entrant.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
• Cause : Les protocoles LAN utilisés par les clients VPN ne sont pas activés pour l'accès distant
Solution : Activez les protocoles LAN utilisés par les clients VPN pour l'accès distant sur le
serveur VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'affichage des
• Cause : Tous les ports PPTP ou L2TP du serveur VPN sont déjà en cours d'utilisation par des
Solution : Vérifiez que tous les ports PPTP ou L2TP du serveur VPN ne sont pas déjà en cours
d'utilisation en cliquant sur Ports dans Routage et accès distant. Si nécessaire, modifiez le
nombre de ports PPTP ou L2TP pour permettre un plus grand nombre de connexions
simultanées.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports
PPTP ou L2TP.
• Cause : Le protocole de tunnellisation du client VPN n'est pas pris en charge par le serveur VPN.
Par défaut, les clients VPN d'accès distant Windows 2000 utilisent l'option de type de serveur
Automatique, ce qui signifie qu'ils essaient d'établir en premier une connexion VPN de type
L2TP avec IPSec, puis une connexion VPN de type PPTP. Si les clients VPN utilisent l'option de
Protocol), vérifiez que le protocole de tunnellisation sélectionné est pris en charge par le
serveur VPN.
Par défaut, un ordinateur exécutant Windows 2000 Server et utilisant le service Routage et
accès distant est un serveur à capacité PPTP et L2TP avec cinq ports L2TP et cinq ports PPT.
Pour créer un serveur de type PPTP uniquement, définissez le nombre de ports L2TP sur zéro.
Pour créer un serveur de type L2TP uniquement, définissez le nombre de ports PPTP sur zéro.
Solution : Vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports
PPTP ou L2TP.
• Cause : Le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant ne
sont pas configurés pour utiliser au moins une méthode d'authentification commune.
Solution : Configurez le client VPN et le serveur VPN en conjonction avec une stratégie d'accès
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
de l'authentification.
• Cause : Le client VPN et le serveur VPN en conjonction avec une stratégie d'accès distant ne
sont pas configurés pour utiliser au moins une méthode de cryptage commune.
Solution : Configurez le client VPN et le serveur VPN en conjonction avec une stratégie d'accès
du cryptage.
• Cause : La connexion VPN ne dispose pas des autorisations requises via les propriétés d'appel
Solution : Vérifiez que la connexion VPN dispose des autorisations appropriées dans les
propriétés d'appel entrant du compte d'utilisateur et les stratégies d'accès distant. Pour que la
○ satisfaire à toutes les conditions d'au moins une stratégie d'accès distant ;
○ disposer d'une autorisation d'accès distant via le compte d'utilisateur (défini sur
Autoriser l'accès) ou via le compte d'utilisateur (défini sur Contrôler l'accès via la
d'utilisateur.
Reportez-vous à l'aide en ligne sur Windows 2000 pour consulter une présentation des
stratégies d'accès distant et pour plus d'informations sur l'acceptation d'une tentative de
connexion.
• Cause : Les paramètres du profil des stratégies d'accès distant sont en conflit avec les
Les propriétés du profil des stratégies d'accès distant et les propriétés du serveur VPN incluent
Si les paramètres du profil de la stratégie d'accès distant correspondante sont en conflit avec les
paramètres du serveur VPN, la tentative de connexion est rejetée. Par exemple, si le profil de la
stratégie d'accès distant correspondante spécifie que le protocole d'authentification EAP-TLS doit
être utilisé et que le protocole EAP n'est pas activé sur le serveur VPN, la tentative de connexion
est rejetée.
Solution : Vérifiez que les paramètres du profil des stratégies d'accès distant ne sont pas en
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation des
• Cause : Le routeur de réponse est dans l'incapacité de valider les informations d'identification
Solution : Vérifiez que les informations d'identification du client VPN (nom d'utilisateur, mot de
passe et nom de domaine) sont correctes et qu'elles peuvent être validées par le serveur VPN.
Solution : Si le serveur VPN est configuré avec un groupe d'adresses IP statiques, vérifiez qu'il
y a suffisamment d'adresses dans le groupe. Si toutes les adresses du groupe statique ont été
attribuées aux clients VPN connectés, le serveur VPN est dans l'incapacité d'attribuer une
besoin est. Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur
• Cause : Le client VPN est configuré pour demander son propre numéro de noeud IPX et le
serveur VPN n'est pas configuré pour autoriser les clients IPX à demander leur propre numéro
de noeud IPX.
Solution : Configurez le serveur VPN pour qu'il autorise les clients IPX à demander leur propre
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur IPX et l'accès
distant.
• Cause : Le serveur VPN est configuré avec une plage de numéros de réseau IPX qui sont en
Solution : Configurez le serveur VPN avec une plage de numéros de réseau IPX spécifique à
distant.
serveur VPN pour qu'il utilise soit Windows 2000, soit RADIUS pour authentifier les informations
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les fournisseurs
Solution : Pour un serveur VPN qui est membre d'un domaine Windows 2000 en mode mixte ou
mode natif configuré pour l'authentification Windows 2000, vérifiez les points suivants :
○ le groupe de sécurité Serveurs RAS et IAS doit exister. Si ce n'est pas le cas, créez le
groupe, puis définissez le type du groupe sur Sécurité et la portée du groupe sur
Domaine local ;
○ le groupe de sécurité Serveurs RAS et IAS doit avoir une autorisation de lecture sur
Serveurs RAS et IAS. Vous pouvez utiliser la commande netsh ras show
" netsh ras add registeredserver " pour inscrire le serveur dans un domaine spécifié ;
utilisée par Windows 2000 pour mettre en mémoire cache les informations du service
Active Directory). Pour que cette modification soit appliquée immédiatement, vous
○ pour un domaine en mode natif, le serveur VPN doit avoir rejoint le domaine.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un
groupe, sur la vérification des autorisations pour le groupe de sécurité Serveurs RAS et IAS,
• Cause : Impossible pour un serveur VPN Windows NT 4.0 de valider les demandes de
connexion.
Solution : Si les clients VPN accèdent à distance à un serveur VPN exécutant Windows NT 4.0
qui est membre d'un domaine Windows 2000 en mode mixte, vérifiez que le groupe Tout le
monde est ajouté au groupe Accès compatible pre-Windows 2000 avec la commande
" net localgroup " Accès compatible pre-Windows 2000 " "
Si ce n'est pas le cas, tapez la commande suivante à une invite de commandes sur un
net localgroup " Accès compatible pre-Windows 2000 " everyone / add.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les serveurs
• Cause : Le serveur VPN est dans l'incapacité de communiquer avec le serveur RADIUS
configuré.
Solution : Si votre serveur RADIUS est joignable uniquement via l'interface Internet, ajoutez
un filtre d'entrée et un filtre de sortie à l'interface Internet pour le port UDP 1812 (sur la base
de RFC 2138, " RADIUS (Remote Authentication Dial-In User Service) ") ou le port UDP 1645
(pour les serveurs RADIUS plus anciens) pour l'authentification RADIUS, et pour le port
UDP 1813 (sur la base de RFC 2139, " Gestion de comptes RADIUS ") ou le port UDP 1646 (pour
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre
de paquets.
• Cause : Impossible de se connecter au serveur VPN via Internet à l'aide de l'utilitaire Ping.exe.
Solution : En raison du filtrage de paquets PPTP et L2TP avec IPSec qui est configuré sur
l'interface Internet du serveur VPN, les paquets ICMP (Internet Control Message Protocol)
utilisés par la commande de contrôle de connexion (" ping ") sont éliminés par filtrage. Pour
permettre au serveur VPN de répondre aux paquets ICMP, vous devez ajouter un filtre d'entrée
de paquets.
• Cause : Le service Routage et accès distant n'est pas démarré ni sur le client VPN (le routeur
Solution : Vérifiez l'état du service Routage et accès distant sur le client VPN et sur le serveur
VPN.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur le suivi du
service Routage et accès distant, ainsi que sur le démarrage et l'arrêt du service Routage et
accès distant.
• Cause : Le routage LAN et WAN n'est activé ni sur le routeur d'appel ni sur le routeur de
réponse.
Solution : Activez la fonctionnalité Routage local et distant (routeur LAN et WAN) sur le
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du
• Cause : Les ports PPTP ou L2TP ne sont pas activés pour les connexions de routage de
Solution : Activez les ports PPTP et/ou L2TP pour les connexions de routage de numérotation à
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation du
• Cause : Tous les ports PPTP ou L2TP du routeur d'appel ou de réponse sont déjà en cours
d'utilisation par des clients d'accès distant ou des routeurs de numérotation à la demande
actuellement connectés.
Solution : Vérifiez que tous les ports PPTP ou L2TP du serveur VPN ne sont pas déjà en cours
d'utilisation en cliquant sur Ports dans Routage et accès distant. Si nécessaire, modifiez le
nombre de ports PPTP ou L2TP pour permettre un plus grand nombre de connexions
simultanées.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports
PPTP ou L2TP.
• Cause : Le protocole de tunnellisation utilisé par le routeur d'appel n'est pas pris en charge par
le routeur de réponse.
Par défaut, les interfaces de numérotation à la demande de Windows 2000 utilisent l'option de
type de serveur Automatique, ce qui signifie qu'ils essaient en premier d'établir une connexion
VPN de type L2TP avec IPSec, puis une connexion VPN de type PPTP. Si les routeurs d'appel
(Layer-2 Tunneling Protocol), vérifiez que le protocole de tunnellisation sélectionné est pris
Par défaut, un ordinateur exécutant Windows 2000 Server et utilisant le service Routage et
accès distant est un routeur de numérotation à la demande à capacité PPTP et L2TP avec cinq
ports L2TP et cinq ports PPTP. Pour créer un routeur de type PPTP uniquement, définissez le
nombre de ports L2TP sur zéro. Pour créer un routeur de type L2TP uniquement, définissez le
Solution : Vérifiez que le nombre approprié de ports PPTP ou L2TP est configuré sur le routeur
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout de ports
PPTP ou L2TP.
• Cause : Le routeur d'appel et le routeur de réponse en conjonction avec une stratégie d'accès
distant ne sont pas configurés pour utiliser au moins une méthode d'authentification commune.
Solution : Configurez le routeur d'appel et le routeur de réponse avec une stratégie d'accès
de l'authentification.
• Cause : Le routeur d'appel et le routeur de réponse en conjonction avec une stratégie d'accès
distant ne sont pas configurés pour utiliser au moins une méthode de cryptage commune.
Solution : Configurez le routeur d'appel et le routeur de réponse avec une stratégie d'accès
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la configuration
du cryptage.
• Cause : La connexion VPN ne dispose pas des autorisations requises via les propriétés d'appel
Solution : Vérifiez que la connexion VPN dispose des autorisations appropriées dans les
propriétés d'appel entrant du compte d'utilisateur et les stratégies d'accès distant. Pour que la
○ satisfaire à toutes les conditions d'au moins une stratégie d'accès distant ;
○ disposer d'une autorisation d'accès distant via le compte d'utilisateur (défini sur
Autoriser l'accès) ou via le compte d'utilisateur (défini sur Contrôler l'accès via la
d'utilisateur.
Reportez-vous à l'aide en ligne sur Windows 2000 pour consulter une présentation des
stratégies d'accès distant et pour plus d'informations sur l'acceptation d'une tentative de
connexion.
• Cause : Les paramètres du profil des stratégies d'accès distant sont en conflit avec les
propriétés du routeur de réponse. Les propriétés du profil des stratégies d'accès distant et les
Si les paramètres du profil de la stratégie d'accès distant correspondante sont en conflit avec les
EAP-TLS doit être utilisé et que le protocole EAP n'est pas activé sur le routeur de réponse, la
Solution : Vérifiez que les paramètres du profil des stratégies d'accès distant ne sont pas en
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'activation des
• Cause : Les informations d'identification du routeur d'appel (nom d'utilisateur, mot de passe et
nom de domaine) sont incorrectes et ne peuvent pas être validées par le routeur de réponse.
Solution : Vérifiez que les informations d'identification du routeur d'appel (nom d'utilisateur,
mot de passe et nom de domaine) sont correctes et qu'elles peuvent être validées par le routeur
de réponse.
vérifiez qu'il y a suffisamment d'adresses dans le groupe. Si toutes les adresses du groupe
d'adresses statiques ont été attribuées aux clients d'accès distant connectés ou aux routeurs de
numérotation à la demande, le routeur de réponse est dans l'incapacité d'attribuer une adresse
est.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur TCP/IP et l'accès
• Cause : Le routeur de réponse est configuré avec une plage de numéros de réseau IPX qui sont
Solution : Configurez le routeur de réponse avec une plage de numéros de réseau IPX
distant.
configuré.
routeur de réponse pour qu'il utilise soit Windows 2000, soit RADIUS pour authentifier les
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les fournisseurs
Solution : Pour un routeur de réponse qui est membre d'un domaine Windows 2000 en mode
mixte ou mode natif configuré pour l'authentification Windows 2000, vérifiez les points
suivants :
○ le groupe de sécurité Serveurs RAS et IAS doit exister. Si ce n'est pas le cas, créez le
groupe, puis définissez le type du groupe sur Sécurité et la portée du groupe sur
Domaine local ;
○ le groupe de sécurité Serveurs RAS et IAS doit avoir une autorisation de lecture sur
Serveurs RAS et IAS. Vous pouvez utiliser la commande suivante pour afficher
l'inscription actuelle.
Vous pouvez utiliser la commande suivante pour inscrire le serveur dans un domaine
spécifié :
Serveurs RAS et IAS, la modification n'est pas appliquée immédiatement (en raison
de la procédure utilisée par Windows 2000 pour mettre en mémoire cache les
informations du service Active Directory). Pour que cette modification soit appliquée
○ pour un domaine en mode natif, le routeur de réponse doit avoir rejoint le domaine.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un
groupe, sur la vérification des autorisations pour le groupe de sécurité Serveurs RAS et IAS,
• Cause : Un routeur de réponse qui exécute Windows NT 4.0 avec le Service Routage et accès
Windows NT 4.0 avec le service RRAS qui est membre d'un domaine Windows 2000 en mode
mixte, vérifiez que le groupe Tout le monde est ajouté au groupe Accès compatible pre-
" net localgroup " Accès compatible pre-Windows 2000 " "
Si ce n'est pas le cas, tapez la commande suivante à une invite de commandes sur un
" net localgroup " Accès compatible pre-Windows 2000 " everyone/add.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur les serveurs
• Cause : Le routeur de réponse est dans l'incapacité de communiquer avec le serveur RADIUS
configuré.
Solution : Si votre serveur RADIUS est joignable uniquement via l'interface Internet, ajoutez
un filtre d'entrée et un filtre de sortie à l'interface Internet pour le port UDP 1812 (sur la base
de RFC 2138, " RADIUS (Remote Authentication Dial-In User Service) ") ou le port UDP 1645
(pour les serveurs RADIUS plus anciens) pour l'authentification RADIUS, et pour le port
UDP 1813 (sur la base de RFC 2139, " Gestion de comptes RADIUS ") ou le port UDP 1646 (pour
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre
de paquets.
Ping.exe.
Solution : En raison du filtrage de paquets PPTP et L2TP avec IPSec qui est configuré sur
l'interface Internet du routeur de réponse, les paquets ICMP (Internet Control Message Protocol)
utilisés par la commande ping sont éliminés par filtrage. Pour permettre au routeur de réponse
de répondre aux paquets ICMP, vous devez ajouter un filtre d'entrée et un filtre de sortie qui
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'un filtre
de paquets.
• Cause : L'interface de numérotation à la demande appropriée n'a pas été ajoutée au protocole
en cours de routage.
de routage.
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur l'ajout d'une
interface de routage.
• Cause : Il n'y a aucun itinéraire des deux côtés de la connexion VPN de routeur à routeur qui
Solution : À la différence d'une connexion VPN d'accès distant, une connexion VPN de routeur à
routeur ne crée pas automatiquement un itinéraire par défaut. Vous devez créer des itinéraires
sur les deux côtés de la connexion VPN de routeur à routeur de façon à ce que le trafic puisse
Vous pouvez ajouter manuellement des itinéraires à la table de routage, ou bien ajouter des
itinéraires statiques par l'intermédiaire de protocoles de routage. Pour les connexions VPN
persistantes, vous pouvez activer le protocole OSPF (Open Shortest Path First) ou RIP (Routing
Information Protocol) sur la connexion VPN. Pour les connexions VPN à la demande, vous
pouvez mettre à jour automatiquement les itinéraires par l'intermédiaire d'une mise à jour RIP
statique automatique. Reportez-vous à l'aide en ligne sur Windows 2000 pour plus
d'informations sur l'ajout d'un protocole de routage IP, sur l'ajout d'un itinéraire statique et sur
apparaît sous Clients d'appel entrant dans le service Routage et accès distant, il se peut que
le routeur de réponse interprète le routeur d'appel comme un client d'accès distant. Vérifiez que
le nom d'utilisateur dans les informations d'identification du routeur d'appel correspond au nom
un routeur, le port sur lequel l'appel a été reçu indique un état Actif et l'interface de
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la vérification de
numérotation à la demande.
• Cause : Les filtres de paquets sur les interfaces de numérotation à la demande du routeur
Solution : Vérifiez qu'il n'y a pas de filtres de paquets sur les interfaces de numérotation à la
trafic. Vous pouvez configurer chaque interface de numérotation à la demande avec des filtres
d'entrée et de sortie IP et IPX pour contrôler la nature exacte du trafic TCP/IP et IPX qui est
Reportez-vous à l'aide en ligne sur Windows 2000 pour plus d'informations sur la gestion des
filtres de paquets.
• Cause : Les filtres de paquets sur le profil des stratégies d'accès distant empêchent
Solution : Vérifiez qu'aucun filtre de paquets TCP/IP n'est configuré dans les propriétés de
profil des stratégies d'accès distant du serveur VPN (ou du serveur RADIUS en cas d'utilisation
du service IAS) qui empêchent l'envoi et la réception de trafic TCP/IP. Vous pouvez utiliser les
stratégies d'accès distant pour configurer des filtres de paquets d'entrée et de sortie TCP/IP qui
contrôlent la nature exacte du trafic TCP/IP autorisé sur la connexion VPN. Vérifiez que les filtres