- 원인: 원격 액세스 클라이언트에서 사용하는 사용자 계정이 잠겨 있거나 만료되었거나 비활성화되었거나, 또는 연결된 시간이 구성된 로그온 시간과 일치하지 않습니다.
- 해결 방법: 사용자 계정의 계정 속성을 수정합니다.
참고 항목:사용자, 그룹 및 컴퓨터 관리
원인: VPN 서버에서 라우팅 및 원격 액세스 서비스를 시작하지 않았습니다.
해결 방법: VPN 서버의 라우팅 및 원격 액세스 서비스 상태를 확인합니다.
참고 항목:라우팅 및 원격 액세스 서비스 모니터링, 라우팅 및 원격 액세스 서비스 시작 및 중지
원인: VPN 서버에서 원격 액세스를 사용하도록 설정되어 있지 않습니다.
해결 방법: VPN 서버에서 원격 액세스 사용을 설정합니다.
참고 항목:원격 액세스 서버 사용
원인: PPTP 또는 L2TP 포트가 들어오는 원격 액세스 요청에 사용되도록 설정되어 있지 않습니다.
해결 방법: 들어오는 원격 액세스 요청에 PPTP 포트, L2TP 포트 중 하나 또는 두 가지 모두를 사용하도록 설정합니다.
참고 항목:원격 액세스용 포트 구성
원인: VPN 클라이언트가 사용하는 LAN 프로토콜을 VPN 서버에서 원격 액세스에 사용하도록 설정되어 있지 않습니다.
해결 방법: VPN 클라이언트에서 사용하는 LAN 프로토콜을 VPN 서버에서 원격 액세스에 사용하도록 설정합니다.
참고 항목:원격 액세스 서버 속성 보기
원인: 현재 연결된 원격 액세스 클라이언트 또는 필요 시 전화 접속 라우터가 VPN 서버의 모든 PPTP 또는 L2TP 포트를 사용하고 있습니다.
해결 방법: 라우팅 및 원격 액세스에서 포트를 클릭하여 VPN 서버의 모든 PPTP 또는 L2TP 포트가 이미 사용되고 있지 않은지 확인합니다. 필요한 경우 PPTP 또는 L2TP 포트 번호를 변경하면 동시 연결 수를 늘릴 수 있습니다.
참고 항목:PPTP 또는 L2TP 포트 추가
원인: VPN 서버가 VPN 클라이언트의 터널링 프로토콜을 지원하지 않습니다.
Windows XP나 Windows Server 2003 운영 체제를 실행하는 원격 액세스 VPN 클라이언트는 기본적으로 자동 서버 유형 옵션을 사용합니다. 즉, 클라이언트는 먼저 PPTP 기반 VPN 연결을 시도한 다음 L2TP/IPSec 기반 VPN 연결을 시도합니다. VPN 클라이언트가 PPTP(지점간 터널링 프로토콜) 또는 계층 2 터널링 프로토콜(L2TP) 서버 유형 옵션을 사용하고 있는 경우 선택한 터널링 프로토콜을 VPN 서버에서 지원하는지 확인합니다.
Windows Server 2003 운영 체제와 라우팅 및 원격 액세스 서비스를 실행하는 컴퓨터는 기본적으로 L2TP 포트가 5개 있고 PPTP 포트가 5개 있는 PPTP 및 L2TP 서버입니다. PPTP 포트만 있는 서버를 만들려면 L2TP 포트 수를 0으로 설정합니다. L2TP 포트만 있는 서버를 만들려면 PPTP 포트 수를 1로 설정하고 원격 액세스 인바운드 연결과 필요 시 전화 접속 연결을 해제합니다.
해결 방법: PPTP 또는 L2TP 포트의 개수를 적절하게 구성했는지 확인합니다.
참고 항목:PPTP 또는 L2TP 포트 추가
원인: 원격 액세스 정책을 사용하는 VPN 클라이언트 및 VPN 서버가 최소한 하나의 공통 인증 방법을 사용하도록 구성되어 있지 않습니다.
해결 방법: 원격 액세스 정책을 사용하는 VPN 클라이언트 및 VPN 서버가 최소한 하나의 공통 인증 방법을 사용하도록 구성합니다.
참고 항목:인증 구성
원인: 원격 액세스 정책을 사용하는 VPN 클라이언트 및 VPN 서버가 최소한 하나의 공통 암호화 방법을 사용하도록 구성되어 있지 않습니다.
해결 방법: 원격 액세스 정책을 사용하는 VPN 클라이언트 및 VPN 서버가 최소한 하나의 공통 암호화 방법을 사용하도록 구성합니다.
참고 항목:암호화 구성
원인: 사용자 계정 및 원격 액세스 정책의 전화 접속 속성을 통한 적절한 사용 권한이 VPN 연결에 없습니다.
해결 방법: 사용자 계정 및 원격 액세스 정책의 전화 접속 속성을 통한 적절한 사용 권한이 VPN 연결에 있는지 확인합니다.
연결을 만들려면 연결 시도 설정이 다음과 같아야 합니다.
-
적어도 하나 이상의 원격 액세스 정책에서 모든 조건이 일치해야 합니다.
- 액세스 허용으로 설정된 사용자 계정 또는 원격 액세스 정책을 통해 액세스 제어로 설정된 사용자 계정을 통한 원격 액세스 권한 및 원격 액세스 권한 허용으로 설정된 원격 액세스 정책과 일치하는 원격 액세스 권한이 부여되어야 합니다.
-
프로필의 모든 설정이 일치해야 합니다.
-
사용자 계정의 전화 접속 속성에서 모든 설정이 일치해야 합니다.
참고 항목:원격 액세스 정책 소개, 연결 시도 허용
원인: 원격 액세스 정책 프로필의 설정과 VPN 서버의 속성이 충돌합니다.
원격 액세스 정책 프로필의 속성과 VPN 서버의 속성에는 아래 항목에 대한 설정이 포함되어 있습니다.
일치하는 원격 액세스 정책 프로필의 설정과 VPN 서버의 설정이 충돌하면 연결 시도는 거부됩니다. 예를 들어 일치하는 원격 액세스 정책 프로필에서 EAP-TLS 인증 프로토콜을 사용해야 한다고 지정했지만 VPN 서버에서 EAP를 사용하지 않으면 연결 시도가 거부됩니다.
해결 방법: 원격 액세스 정책 프로필의 설정과 VPN 서버의 속성이 충돌하는지 확인합니다.
참고 항목:인증 프로토콜 사용, 인증 구성
원인: 사용자 이름, 암호 및 도메인 이름 등 VPN 클라이언트의 자격 증명이 올바르지 않고 VPN 서버에서 확인할 수 없습니다.
해결 방법: 사용자 이름, 암호 및 도메인 이름 등 VPN 클라이언트의 자격 증명이 올바른지 확인하고 VPN 서버에서 확인할 수 있는지 확인합니다.
원인: 고정 IP 주소 풀에 주소가 부족합니다.
해결 방법: 고정 IP 주소 풀을 사용하도록 VPN 서버를 구성한 경우 풀에 주소가 충분히 있는지 확인합니다. 고정 풀의 모든 주소가 연결되어 있는 VPN 클라이언트에 할당되면 VPN 서버는 주소를 할당할 수 없고 연결 시도는 거부됩니다. 필요한 경우 고정 IP 주소 풀을 수정하십시오.
참고 항목:고정 IP 주소 풀 만들기
원인: VPN 클라이언트는 고유 IPX 노드 번호를 요청하도록 구성되었지만 VPN 서버는 IPX 클라이언트에서 고유 IPX 노드 번호를 요청할 수 있도록 구성되어 있지 않습니다.
해결 방법: IPX 클라이언트가 고유 IPX 노드 번호를 요청할 수 있도록 VPN 서버를 구성합니다.
원인: VPN 서버가 IPX 인터네트워크의 다른 위치에서 사용 중인 IPX 네트워크 번호 범위로 구성되었습니다.
해결 방법: 사용자의 IPX 인터네트워크에 고유한 IPX 네트워크 번호 범위를 사용하여 VPN 서버를 구성합니다.
원인: VPN 서버의 인증 공급자가 올바르게 구성되지 않았습니다.
해결 방법: 인증 공급자의 구성을 확인합니다. VPN 서버에서 Windows 또는 RADIUS를 사용하여 VPN 클라이언트의 자격 증명을 인증하도록 구성할 수 있습니다.
참고 항목:RADIUS 인증 사용
원인: VPN 서버에서 Active Directory에 액세스할 수 없습니다.
해결 방법: Windows 인증에 사용하도록 구성된 Windows 2000 혼합 도메인이나 Windows 2000 기본 도메인의 구성원 서버인 VPN 서버의 경우에는 아래 내용을 확인합니다.
- RAS and IAS Servers 보안 그룹이 있는지 확인합니다. 이 그룹이 없으면 새로 만든 다음 그룹 종류를 보안으로 설정하고 그룹 범위를 도메인 로컬로 설정합니다.
- RAS and IAS Servers 보안 그룹에는 RAS and IAS Servers Access Check 개체에 대한 읽기 권한이 있습니다.
-
VPN 서버 컴퓨터의 컴퓨터 계정이 RAS and IAS Servers 보안 그룹의 구성원입니다. netsh ras show registeredserver 명령을 사용하면 현재 등록 상황을 볼 수 있습니다. netsh ras add registeredserver 명령을 사용하면 지정된 도메인에 서버를 등록할 수 있습니다.
VPN 서버 컴퓨터를 RAS and IAS Servers 보안 그룹에 추가하거나 제거해도 Active Directory 정보를 캐싱하는 방법 때문에 즉시 적용되지는 않습니다. 변경 내용이 즉시 적용되게 하려면 VPN 서버 컴퓨터를 다시 시작해야 합니다.
-
Windows 2000 기본 도메인의 경우 VPN 서버는 도메인의 구성원입니다.
참고 항목:새 그룹 만들기, RAS 및 IAS 보안 그룹에 대한 사용 권한 확인, 원격 액세스용 Netsh 명령, 도메인 및 포리스트 기능
원인: Windows NT 4.0 VPN 서버에서 연결 요청을 확인할 수 없습니다.
해결 방법: Windows 2000 혼합 도메인의 구성원이고 Windows NT 4.0을 실행하는 VPN 서버에 VPN 클라이언트가 전화 접속하는 경우에는 net localgroup "Pre-Windows 2000 Compatible Access" 명령으로 Everyone 그룹을 Windows 2000 이전 버전 호환 액세스 그룹에 추가했는지 확인합니다. 그렇지 않으면 도메인 컨트롤러 컴퓨터의 명령 프롬프트에서 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add를 입력한 다음 도메인 컨트롤러 컴퓨터를 다시 시작합니다.
참고 항목:도메인 및 포리스트 기능
원인: 구성된 RADIUS 서버와 VPN 서버가 통신할 수 없습니다.
해결 방법: 인터넷 인터페이스를 통해서만 RADIUS 서버에 액세스할 수 있는 경우 RFC 2138 "RADIUS(Remote Authentication Dial-In User Service)"에 기초한 UDP 포트 1812, RADIUS 인증을 위한 UDP 포트 1645(이전 RADIUS 서버용), RFC 2139 "RADIUS Accounting"에 기초한 UDP 포트 1813 또는 RADIUS 계정을 위한 UDP 포트 1646(이전 RADIUS 서버용)을 위한 인터넷 인터페이스에 입력 필터와 출력 필터를 추가합니다.
참고 항목:패킷 필터 추가
원인: 인터넷에서 VPN 서버를 ping할 수 없습니다.
해결 방법: VPN 서버의 인터넷 인터페이스에 구성된 PPTP 및 L2TP/IPSec 패킷 필터링으로 인해 ping 명령에서 사용하는 ICMP(Internet Control Message Protocol) 패킷이 필터링됩니다. VPN 서버에서 ping 기능을 사용하도록 설정하려면 IP 프로토콜1(ICMP 트래픽)에 트래픽을 허용하는 입력 필터와 출력 필터를 추가해야 합니다.
참고 항목:패킷 필터 추가
원인: 원격 액세스 VPN 클라이언트에서 사용하는 LAN 프로토콜을 사용하도록 설정되어 있지 않아 VPN 서버가 연결된 네트워크에 대해 액세스를 허용할 수 없습니다.
해결 방법: 원격 액세스 VPN 클라이언트에서 사용하는 LAN 프로토콜이 VPN 서버가 연결된 네트워크에 대한 액세스를 허용하도록 구성합니다.
참고 항목:원격 액세스 서버 속성 보기
원인: 고정 IP 주소 풀이 구성되어 있지만 원격 액세스 VPN 클라이언트로 되돌아 가는 경로가 없기 때문입니다.
해결 방법: 고정 IP 주소 풀을 사용하도록 VPN 서버를 구성한 경우 인트라넷의 호스트와 라우터가 고정 IP 주소 풀에 의해 정의된 주소 범위로 가는 경로를 사용할 수 있는지 확인합니다. 경로를 사용할 수 없으면 고정 IP 주소 풀의 주소 범위로 구성된 IP 경로(각 범위에서 IP 주소와 마스크로 정의)를 인트라넷의 라우터에 추가하거나 VPN 서버에서 라우팅된 하부 구조의 라우팅 프로토콜을 사용하도록 설정해야 합니다. 원격 액세스 VPN 클라이언트 서브넷 대한 경로가 없으면 원격 액세스 VPN 클라이언트는 인트라넷에서 트래픽을 수신할 수 없습니다. 네트워크에 대한 경로는 OSPF(Open Shortest Path First) 또는 RIP(Routing Information Protocol)와 같은 고정 라우팅 항목이나 라우팅 프로토콜을 통해 구현됩니다.
DHCP를 사용하여 IP 주소를 할당하도록 VPN 서버를 구성했지만 DHCP 서버가 없는 경우 VPN 서버는 개인 IP 주소 자동 지정(APIPA)의 주소 범위인 169.254.0.1에서 169.254.255.254까지의 주소를 할당합니다. 원격 액세스 클라이언트에 APIPA 주소를 할당하는 것은 VPN 서버가 연결된 네트워크에서도 APIPA 주소를 사용할 때만 유효합니다.
DHCP 서버가 있을 때 VPN 서버에서 APIPA 주소를 사용하는 경우 DHCP에서 할당하는 IP 주소를 받을 어댑터를 적절하게 선택했는지 확인합니다. 기본적으로 VPN 서버는 어댑터를 임의로 선택하여 DHCP에서 IP 주소를 받습니다. LAN 어댑터가 두 대 이상 있으면 라우팅 및 원격 액세스 서비스는 DHCP 서버가 없는 LAN 어댑터를 선택할 수 있습니다.
고정 IP 주소 풀이 VPN 서버가 연결된 네트워크에 사용되는 IP 주소 범위의 하위 집합인 IP 주소 범위로 이루어져 있으면 고정 IP 주소 풀의 IP 주소 범위가 고정 구성 또는 DHCP를 통해 다른 TCP/IP 노드에 할당되지 않았는지 확인합니다.
참고 항목:고정 IP 주소 풀 만들기
원인: 원격 액세스 정책 프로필의 패킷 필터가 IP 트래픽의 흐름을 막고 있습니다.
해결 방법: VPN 서버(인터넷 인증 서비스를 사용할 경우에는 RADIUS 서버)의 원격 액세스 정책 프로필 속성에서 TCP/IP 트래픽 보내기 또는 받기를 막는 TCP/IP 패킷 필터가 구성되어 있지 않은지 확인합니다.
원격 액세스 정책을 사용하면 VPN 연결에 허용되는 TCP/IP 트래픽의 정확한 특성을 제어하는 TCP/IP 입력 및 출력 패킷 필터를 구성할 수 있습니다. 프로필 TCP/IP 패킷 필터가 필요한 트래픽의 흐름을 막지 않는지 확인합니다.
참고 항목:IP 옵션 구성
원격 액세스 연결의 문제 해결에 대한 자세한 내용은 원격 액세스 문제 해결을 참조하십시오.
참고
-
Windows Server 2003, Web Edition 및 Windows Server 2003, Standard Edition에서는 PPTP(지점간 터널링 프로토콜) 포트와 L2TP(계층 2 터널링 프로토콜) 포트를 각각 1,000개까지 만들 수 있습니다. 그러나 Windows Server 2003, Web Edition은 VPN(가상 사설망) 연결을 한 번에 하나만 허용할 수 있습니다. Windows Server 2003, Standard Edition은 동시 VPN 연결을 1,000개까지 허용할 수 있습니다. 1,000개의 VPN 클라이언트가 연결된 경우에는 연결 수가 1,000 이하로 떨어질 때까지 더 이상의 연결 시도가 허용되지 않습니다.