Microsoft.com
Willkommen Anmelden
Windows Client TechCenter
Per Mausklick bewerten und Feedback geben
TechNet
TechNet-Bibliothek
Windows
Windows Server
Windows Server 2003
Willkommen
Netzwerkdienste
 Problembehandlung bei Router-zu-Rou...

  Anzeige für geringe Bandbreite anschalten
Problembehandlung bei Router-zu-Router-VPNs

Problembehandlung bei Router-zu-Router-VPNs

Welches Problem ist aufgetreten?

Es kann keine Router-zu-Router-VPN-Verbindung hergestellt werden.

Ursache:  Das vom anrufenden Router verwendete Benutzerkonto ist gesperrt, abgelaufen, deaktiviert, oder der Zeitpunkt des Verbindungsversuchs entspricht nicht den konfigurierten Anmeldezeiten.

Lösung:  Ändern Sie die Kontoeigenschaften des Benutzerkontos.

Siehe auch:  Verwalten von Benutzern, Gruppen und Computern.

Ursache:  Der Routing- und RAS-Dienst wurde weder auf dem VPN-Client (dem anrufenden Router) noch auf dem VPN-Server (dem antwortenden Router) gestartet.

Lösung:  Überprüfen Sie den Status des Routing- und RAS-Dienstes auf dem VPN-Client und dem VPN-Server.

Siehe auch:  Überwachen des Routing- und RAS-Dienstes; Starten und Beenden des Routing- und RAS-Dienstes.

Ursache:  LAN- und WAN-Routing ist weder auf dem anrufenden Router noch auf dem antwortenden Router aktiviert.

Lösung:  Aktivieren Sie sowohl auf dem anrufenden Router als auch auf dem antwortenden Router Lokales Routing und Remoterouting (LAN- und WAN-Router).

Siehe auch:  Aktivieren von LAN- und WAN-Routings.

Ursache:  Die PPTP- oder L2TP-Ports sind nicht für eingehende und ausgehende Routingverbindungen für Wählen bei Bedarf aktiviert.

Lösung:  Aktivieren Sie die PPTP-Ports, L2TP-Ports oder beide für eingehende und ausgehende Routingverbindungen für Wählen bei Bedarf.

Siehe auch:  Aktivieren von Routing an Anschlüssen.

Ursache:  Alle PPTP- oder L2TP-Ports auf dem anrufenden oder antwortenden Router sind bereits von momentan verbundenen RAS-Clients oder von Routern für Wählen bei Bedarf belegt.

Lösung:  Überprüfen Sie, ob bereits alle PPTP- oder L2TP-Ports des VPN-Servers verwendet werden, indem Sie unter Routing und RAS auf Ports klicken. Ändern Sie die Anzahl der PPTP- oder L2TP-Ports, wenn mehrere gleichzeitige Verbindungen zugelassen werden sollen.

Siehe auch:Hinzufügen von PPTP- oder L2TP-Anschlüssen.

Ursache:  Das Tunneling-Protokoll des anrufenden Routers wird vom antwortenden Router nicht unterstützt.

In der Standardeinstellung wird für Schnittstellen für Wählen bei Bedarf auf einem Computer unter einem Betriebssystem der Windows Server 2003-Produktfamilie als Servertyp die Option Automatisch verwendet. Es wird also zunächst versucht, eine L2TP/IPSec-basierte VPN-Verbindung und anschließend eine PPTP-basierte VPN-Verbindung herzustellen. Wenn anrufende Router beim Servertyp die Option Point-to-Point-Tunneling-Protokoll (PPTP) oder die Option Layer-2-Tunneling-Protokoll (L2TP) verwenden, stellen Sie sicher, dass das ausgewählte Tunneling-Protokoll vom antwortenden Router unterstützt wird.

Standardmäßig ist ein Computer unter einem Betriebssystem der Windows Server 2003-Produktfamilie und mit dem Routing- und RAS-Dienst ein PPTP- und L2TP-fähiger Router für Wählen bei Bedarf mit 5 L2TP-Ports und 5 PPTP-Ports. Wenn ein reiner PPTP-Server erstellt werden soll, legen Sie die Anzahl der L2TP-Ports auf 0 fest. Um einen reinen L2TP-Router zu erstellen, legen Sie die Anzahl der PPTP-Ports auf 1 fest, und deaktivieren Sie eingehende RAS-Verbindungen und DFÜ-Verbindungen.

Lösung:  Stellen Sie sicher, dass auf dem anrufenden und dem antwortenden Router die entsprechende Anzahl von PPTP- oder L2TP-Ports konfiguriert ist.

Siehe auch:Hinzufügen von PPTP- oder L2TP-Anschlüssen.

Ursache:  Die Konfiguration des anrufenden Routers und des antwortenden Routers in Kombination mit einer RAS-Richtlinie ermöglicht es nicht, mindestens eine gemeinsame Authentifizierungsmethode zu verwenden.

Lösung:  Konfigurieren Sie den anrufenden und den antwortenden Router in Übereinstimmung mit einer RAS-Richtlinie so, dass beide mindestens eine gemeinsame Authentifizierungsmethode verwenden.

Siehe auch:  Konfigurieren der Authentifizierung.

Ursache:  Die Konfiguration des anrufenden Routers und des antwortenden Routers in Kombination mit einer RAS-Richtlinie ermöglicht es nicht, eine oder mehr gemeinsame Verschlüsselungsmethoden zu verwenden.

Lösung:  Konfigurieren Sie den anrufenden Router und den antwortenden Router in Übereinstimmung mit einer RAS-Richtlinie für die Verwendung mindestens einer gemeinsamen Verschlüsselungsmethode.

Siehe auch:  Konfigurieren der Verschlüsselung.

Ursache:  Die VPN-Verbindung verfügt aufgrund der Einwähleigenschaften der Benutzerkonten- und RAS-Richtlinien nicht über die entsprechenden Berechtigungen.

Lösung:  Stellen Sie sicher, dass die VPN-Verbindung über die Einwähleigenschaften der Benutzerkonten- und RAS-Richtlinien die entsprechenden Berechtigungen besitzt.

Damit die Verbindung hergestellt werden kann, müssen die Einstellungen für den Verbindungsversuch folgenden Anforderungen entsprechen:

  • Sie müssen alle Bedingungen mindestens einer RAS-Richtlinie erfüllen.
  • Sie müssen eine RAS-Berechtigung erhalten haben. Dazu wird das Benutzerkonto entweder auf Zugriff gestatten gesetzt, oder es wird auf Zugriff über RAS-Richtlinien steuern und die RAS-Berechtigung der zugehörigen RAS-Richtlinie auf RAS-Berechtigung erteilen festgelegt.
  • Sie müssen mit den Einstellungen des Profils übereinstimmen.
  • Sie müssen mit allen Einstellungen der Einwähleigenschaften des Benutzerkontos übereinstimmen.

Siehe auch:  Einführung in die Richtlinien für den Remotezugriff; Akzeptieren eines Verbindungsversuchs.

Ursache:  Es besteht ein Konflikt zwischen den Einstellungen im RAS-Richtlinienprofil und den Eigenschaften des antwortenden Routers.

Sowohl die Eigenschaften des RAS-Richtlinienprofils als auch die des antwortenden Routers enthalten Einstellungen zu folgenden Punkten:

  • Mehrfachverbindung
  • Bandwidth Allocation-Protokoll
  • Authentifizierungsprotokolle

Wenn zwischen den Einstellungen des antwortenden Routers und denen des zugehörigen RAS-Richtlinienprofils ein Konflikt besteht, wird der Verbindungsversuch zurückgewiesen. Wenn z. B. das zugehörige RAS-Richtlinienprofil die Verwendung des Authentifizierungsprotokolls EAP-TLS vorschreibt und EAP auf dem antwortenden Router nicht aktiviert ist, wird der Verbindungsversuch zurückgewiesen.

Lösung:  Stellen Sie sicher, dass die Einstellungen des RAS-Richtlinienprofils nicht im Konflikt zu den Eigenschaften des VPN-Servers stehen.

Siehe auch:  Aktivieren von Authentifizierungsprotokollen; Konfigurieren der Authentifizierung.

Ursache:  Die Anmeldeinformationen des anrufenden Routers (Benutzername, Kennwort und Domänenname) sind falsch und können durch den antwortenden Router nicht bestätigt werden.

Lösung:  Stellen Sie sicher, dass die Anmeldeinformationen des anrufenden Routers (Benutzername, Kennwort und Domänenname) richtig sind und durch den antwortenden Router bestätigt werden können.

Ursache:  Der Pool statischer IP-Adressen enthält nicht genügend Adressen.

Lösung:  Wenn der antwortende Router mit einem Pool statischer IP-Adressen konfiguriert wird, stellen Sie sicher, dass sich in diesem Pool genügend Adressen befinden. Wenn alle Adressen des statischen Pools bereits verbundenen RAS-Clients oder Routern für Wählen bei Bedarf zugewiesen wurden, kann der antwortende Router keine IP-Adresse zuordnen, und der Verbindungsversuch wird zurückgewiesen. Ändern Sie gegebenenfalls den Pool statischer IP-Adressen.

Siehe auch:  Erstellen eines statischen IP-Adresspools.

Ursache:  Der Authentifizierungsanbieter des antwortenden Routers ist nicht ordnungsgemäß konfiguriert.

Lösung:  Überprüfen Sie die Konfiguration des Authentifizierungsanbieters. Sie können den antwortenden Router so konfigurieren, dass er entweder Windows oder RADIUS für die Authentifizierung der Anmeldeinformationen des VPN-Clients verwendet.

Siehe auch:  Verwenden der RADIUS-Authentifizierung.

Ursache:  Der antwortende Router kann nicht auf Active Directory zugreifen.

Lösung:  Wenn der antwortende Router ein Mitgliedsserver in einer Windows 2000-Domäne im gemischten Modus oder in einer Windows 2000-Domäne im einheitlichen Modus ist, die für Windows-Authentifizierung konfiguriert ist, überprüfen Sie, ob folgende Punkte zutreffen:

  • Die Sicherheitsgruppe RAS- und IAS-Server besteht. Erstellen Sie diese Gruppe anderenfalls, und legen Sie den Gruppentyp auf Sicherheit und den Gruppenbereich auf Lokale Domäne fest.
  • Die Sicherheitsgruppe RAS- und IAS-Server verfügt über Leseberechtigungen für das Objekt RAS- und IAS-Serverzugriffsprüfung.
  • Das Computerkonto des antwortenden Routercomputers ist Mitglied der Sicherheitsgruppe RAS- und IAS-Server. Mit dem Befehl netsh ras show registeredserver können Sie die aktuelle Registrierung anzeigen. Mit dem Befehl netsh ras add registeredserver können Sie den Server in einer bestimmten Domäne registrieren.
    Wenn Sie den antwortenden Router zur Sicherheitsgruppe RAS- und IAS-Server hinzufügen (oder den antwortenden Router daraus entfernen), wirkt sich die Änderung nicht sofort aus (aufgrund der Art, in der Active Directory-Informationen zwischengespeichert werden). Damit die Änderung sofort wirksam wird, müssen Sie den antwortenden Router neu starten.
  • Bei einer Windows 2000-Domäne im einheitlichen Modus wurde der antwortende Router zur Domäne hinzugefügt.

Siehe auch:  Erstellen einer neuen Gruppe; Überprüfen der Berechtigungen für die RAS- und IAS-Sicherheitsgruppe; Netsh-Befehle für den Remotezugriff; Domänen- und Gesamtstrukturfunktionalität.

Ursache:  Ein antwortender Router unter Windows NT 4.0, auf dem der Routing- und RAS-Dienst (RRAS) ausgeführt wird, kann keine Verbindungsanforderungen bestätigen.

Lösung:  Wenn anrufende Router sich bei einem antwortenden Router unter Windows NT 4.0 mit RRAS einwählen, der Mitglied einer gemischten Windows 2000-Domäne ist, sollten Sie sich mit dem Befehl net localgroup "Prä-Windows 2000 kompatibler Zugriff" vergewissern, dass die Gruppe Jeder zur Gruppe Prä-Windows 2000 kompatibler Zugriff hinzugefügt wurde. Ist dies nicht der Fall, geben Sie auf einem Domänencontrollercomputer an der Eingabeaufforderung den Befehl net localgroup "Prä-Windows 2000 kompatibler Zugriff" jeder /add ein, und starten Sie anschließend den Domänencontroller neu.

Siehe auch:  Domänen- und Gesamtstrukturfunktionalität.

Ursache:  Der antwortende Router kann nicht mit dem konfigurierten RADIUS-Server kommunizieren.

Lösung:  Wenn der RADIUS-Server nur über Ihre Internetschnittstelle erreichbar ist, fügen Sie der Internetschnittstelle einen Eingabe- und Ausgabefilter für folgende Ports hinzu: zum UDP-Anschluss 1812 (basierend auf RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") oder zum UDP-Anschluss 1645 (bei älteren RADIUS-Servern) für die RADIUS-Authentifizierung, und zum UDP-Anschluss 1813 (basierend auf RFC 2139, "RADIUS Accounting") oder zum UDP-Anschluss 1646 (bei älteren RADIUS-Server) für die RADIUS-Kontoführung.

Siehe auch:  Hinzufügen eines Paketfilters.

Ursache:  Vom Internet aus kann kein Ping-Signal an den antwortenden Router gesendet werden.

Lösung:  Aufgrund der Paketfilterung für PPTP und L2TP/IPSec, die an der Internetschnittstelle des antwortenden Routers konfiguriert ist, werden die vom Befehl ping verwendeten ICMP-Pakete (Internet Control Message-Protokoll) herausgefiltert. Damit Ping-Signale an den antwortenden Router gesendet werden können, müssen Sie einen Eingabe- und einen Ausgabefilter hinzufügen, die den Datenverkehr für das IP-Protokoll 1 (ICMP-Datenverkehr) zulassen.

Siehe auch:  Hinzufügen eines Paketfilters.

Es können keine Daten gesendet oder empfangen werden.

Ursache:  Die entsprechende Schnittstelle für Wählen bei Bedarf wurde dem weitergeleiteten Protokoll nicht hinzugefügt.

Lösung:  Fügen Sie dem weitergeleiteten Protokoll die erforderliche Schnittstelle für Wählen bei Bedarf hinzu.

Siehe auch:   Hinzufügen einer Routingschnittstelle.

Ursache:  Die Router-zu-Router-VPN-Verbindung verfügt nicht auf beiden Seiten über Routen, die den bidirektionalen Datenaustausch unterstützen.

Lösung:  Im Gegensatz zu einer RAS-VPN-Verbindung wird bei einer Router-zu-Router-VPN-Verbindung nicht automatisch eine Standardroute erstellt. Sie müssen auf beiden Seiten einer Router-zu-Router-VPN-Verbindung Routen erstellen, damit der Datenverkehr von und zur anderen Seite der Router-zu-Router-VPN-Verbindung geroutet werden kann.

Sie können statische Routen über einen manuellen Eintrag in der Routingtabelle oder über Routingprotokolle hinzufügen. Bei permanenten VPN-Verbindungen können Sie OSPF (Open Shortest Path First) oder RIP (Routing Information-Protokoll) über die VPN-Verbindung hinweg aktivieren. Für bei Bedarf herzustellende VPN-Verbindungen können Sie Routen über ein autostatisches RIP-Update automatisch aktualisieren.

Siehe auch:  Hinzufügen eines IP-Routingprotokolls; Hinzufügen einer statischen Route; Ausführen von autostatischer Aktualisierungen.

Ursache:  Eine bidirektional initialisierte Router-zu-Router-VPN-Verbindung wird vom antwortenden Router als RAS-Verbindung interpretiert.

Lösung:  Wenn der in den Anmeldeinformationen des anrufenden Routers enthaltene Benutzername unter Einwählclients in Routing und RAS angezeigt wird, hat der antwortende Router den anrufenden Router als RAS-Client interpretiert. Stellen Sie sicher, dass der Benutzername in den Anmeldeinformationen des anrufenden Routers mit dem Namen einer Schnittstelle für Wählen bei Bedarf auf dem antwortenden Router übereinstimmt.

Wenn es sich beim Anrufer um einen Router handelt, wird für den Port, an dem der Anruf eingegangen ist, der Status Aktiv angezeigt, und die entsprechende Schnittstelle für Wählen bei Bedarf hat den Status Verbunden.

Siehe auch:  Prüfen des Anschlussstatus am antwortenden Router; Prüfen des Status der Schnittstelle für Wählen bei Bedarf.

Ursache:  Paketfilter verhindern den Datenfluss an den Schnittstellen für Wählen bei Bedarf des anrufenden und des antwortenden Routers.

Lösung:  Stellen Sie sicher, dass an den Schnittstellen für Wählen bei Bedarf beim anrufenden und beim antwortenden Router keine Paketfilter vorhanden sind, die das Senden oder Empfangen von Datenverkehr verhindern.

Sie können jede Schnittstelle für Wählen bei Bedarf mit IP-Filtern für die Eingabe und Ausgabe konfigurieren, um die genaue Art des für diese Schnittstelle zulässigen TCP/IP-Datenverkehrs zu steuern.

Siehe auch:  Verwalten der Paketfilter.

Ursache:  Paketfilter im RAS-Richtlinienprofil verhindern den IP-Datenfluss.

Lösung:  Stellen Sie sicher, dass keine TCP/IP-Paketfilter in den Profileigenschaften der RAS-Richtlinien auf dem VPN-Server (oder dem RADIUS-Server, wenn der Internetauthentifizierungsdienst verwendet wird) konfiguriert sind, die das Senden und Empfangen von TCP/IP-Datenverkehr verhindern.

Mit den RAS-Richtlinien können Sie TCP/IP-Paketfilter für die Eingabe und -Ausgabe konfigurieren, die die genaue Art des für die VPN-Verbindung zulässigen TCP/IP-Datenverkehrs steuern. Stellen Sie sicher, dass die TCP/IP-Paketfilter des Profils nicht den erforderlichen Datenfluss verhindern.

Siehe auch:  Konfigurieren von IP-Optionen.

Weitere Informationen zur Problembehandlung von bei Bedarf herzustellenden Verbindungen finden Sie unter Problembehandlung beim Routing für Wählen bei Bedarf.

Communityinhalt   Was ist Community Content?
Neuen Inhalt hinzufügen RSS  Anmerkungen
© 2009 Microsoft Corporation. Alle Rechte vorbehalten. Nutzungsbedingungen | Markenzeichen | Informationen zur Datensicherheit
Page view tracker