Windows 2000 Server 3
I suggerimenti sono stati presi da riviste di informatica, da newsletters o da siti web
perciò ogni diritto rimane al legittimo proprietario.


SOMMARIO

Descrizione degli eventi di protezione di Windows 2000 (Parte 1 di 2)

Descrizione degli eventi di protezione di Windows 2000 (Parte 2 di 2)
Eventi di protezione per l'associazione degli eventi di accesso account di servizio
Controllare oggetti di Active Directory in Windows 2000
Controllare gli oggetti di Active Directory in Windows Server 2003
Assegnazione automatica degli indirizzi IP
Come editare il Registro in Windows NT
Comunicare con utenti o computer in rete
Assegnare automaticamente gli indirizzi IP
Personal Web Server

Configurare Windows 2000 Server e la rete TCP/IP senza NetBIOS

Riavviare velocemente IIS
Create a Remote Access Server for a Windows 2000-Based Server in a Workgroup
Consentire l'accesso alla rete a utenti remoti (Routing e Accesso remoto)
Installare e configurare un server VPN (Virtual Private Network, rete privata virtuale) in Windows Server 2000
Setting up Virtual Private Networks

 

 

 


Descrizione degli eventi di protezione di Windows 2000 (Parte 1 di 2) - Vedi anche http://www.eventid.net
(http://support.microsoft.com/default.aspx?scid=kb;IT;299475)
Formato DOC

In questo articolo vengono fornite le descrizioni di vari eventi di protezione e di controllo e le informazioni per interpretarli. Questi eventi vengono registrati nel registro degli eventi di protezione con origine "Protezione". Per la seconda parte di questo articolo, vedere il seguente articolo della Microsoft Knowledge Base: 
301677 Descrizione degli eventi di protezione di Windows 2000 (Parte 2 di 2) 

INFORMAZIONI 

ID evento: da 512 a 595

Descrizione degli eventi di protezione di Windows 2000 (Parte 2 di 2) - Vedi anche http://www.eventid.net
(http://support.microsoft.com/default.aspx?scid=kb;it;301677)
Formato DOC
 
SOMMARIO
In questo articolo vengono fornite le descrizioni di vari eventi di protezione e di controllo e le informazioni per interpretarli. Questi eventi vengono registrati nel registro degli eventi di protezione con origine "Protezione". Per la prima parte di questo articolo, vedere il seguente articolo della Microsoft Knowledge Base:
299475 Descrizione degli eventi di protezione di Windows 2000 (Parte 1 di 2)

INFORMAZIONI

ID evento: 608 a 683


Eventi di protezione per l'associazione degli eventi di accesso account di servizio
(http://support.microsoft.com/default.aspx?scid=kb;it;274176)
Formato DOC

Questo articolo è stato precedentemente pubblicato con il codice di riferimento I274176
SOMMARIO
In Windows 2000 e nelle versioni precedenti non è possibile associare un evento di accesso account (ID evento di protezione 528) a un evento di creazione di processo per molti processi, quali ad esempio i servizi. Tuttavia un amministratore può utilizzare l'ID di evento di protezione 600, incluso in Windows XP, per eseguire questa associazione. In questo articolo viene illustrato come interpretare il registro degli eventi di protezione in modo da capire questi eventi.


Controllare oggetti di Active Directory in Windows 2000
(http://support.microsoft.com/default.aspx?scid=kb;it;314955)
Formato DOC


Controllare gli oggetti di Active Directory in Windows Server 2003
(http://support.microsoft.com/default.aspx?scid=kb;it;814595)
Formato DOC

Assegnazione automatica degli indirizzi IP
Per fare in modo che Windows 2000 Server assegni gli indirizzi Ip bisogna installare il server Dhcp.
Per installarlo fate un doppio clic nel Pannello di controllo su Installazione applicazioni e poi su Installazione componenti di Windows. Nell'aggiunta guidata di componenti di Windows attivare i Servizi di rete e fare clic sul pulsante Dettagli. Ora si potrà attivare la spunta con un clic nella casella Protocollo Dhcp, e si conferma con un clic su Ok.
Il server dovrebbe avere un indirizzo Ip fisso, mentre per le stazioni di lavoro si può in Dhcp fissare un intervallo entro cui vengono definiti i numeri Ip.
Importante: le stazioni di lavoro Windows 98 devono essere configurate in modo da accettare indirizzi Ip. Per questo, nel Pannello di controllo selezionare Rete, fare doppio clic sulla voce Tcp/Ip collegata alla scheda di rete. Aprire la scheda Indirizzo Ip e attivare Ottieni automaticamente un indirizzo Ip.

Come editare il Registro in Windows NT
La prima operazione da compiere è il backup del registro tramite il comando
RDISK /S
e la creazione del floppy disk di recupero nel caso in cui qualche procedura non vada a buon fine.
Esistono due programmi per editare il Registro: REGEDIT e REGEDT32.
Entrambi permettono più o meno le stesse operazioni. REGEDIT è più "user friendly" e permette di fare ricerche globali ma non permette di editare tutto; REGEDT32 è invece più complesso da usare (ad esempio non permette di fare ricerche su tutto il Registro, ma solo per famiglia) ma permette di editare tutto.

Comunicare con utenti o computer in rete
Tramite il Pannello di controllo un amministratore di sistema può inviare dei messaggi d'avviso ai diversi utenti di una rete con macchine NT.
Utilizzando l'icona Server, nella finestra che si apre selezionate l'icona Avvisi.
Potete specificare il computer o l'utente a cui intendete inviare il messaggio. Nel primo caso il messaggio verrà spedito a quel particolare computer, senza tener conto dell'utente che lo sta utilizzando al momento, mentre nel secondo caso sarà solo quel dato utente a ricevere il messaggio, indipendentemente dal computer sul quale sta lavorando.

Assegnare automaticamente gli indirizzi IP
Windows 2000 Server può assegnare in modo automatico gli indirizzi IP attraverso il server DHCP.
Per installare tale server, fate un doppio click nel Pannello di controllo su Installazione applicazioni e quindi su Installazione componenti di Windows.
Attivate i Servizi di rete e fate click sul pulsante Dettagli. Attivate la casella Protocollo DHCP e confermate la scelta cliccando sul pulsante OK.
Il server dovrebbe avere un indirizzo IP fisso, mentre per le stazioni di lavoro si può fissare in DHCP un intervallo entro cui vengono definiti gli indirizzi IP.
Importante: le stazioni di lavoro Windows 98 devono essere configurate in modo da accettare indirizzi IP. Nel Pannello di controllo selezionate Rete e fate un doppio click sulla voce Tcp/Ip relativa alla scheda di rete.
Aprite la scheda Indirizzo IP e attivate l'opzione "Ottieni automaticamente un indirizzo IP".

Personal Web Server
Per installare il Personal Web Server (necessario, fra le altre cose, per far funzionare l'ASP in locale), occorre aprire il Pannello di Controllo, cliccare sull'icona "Installazione Applicazioni" e scegliere poi "Installazione componenti di Windows".
Nella finestra che apparirà occorre selezionare la casella relativa a "Internet Information Server", avendo cura di cliccare sul pulsante "Dettagli" e di verificare che sia selezionato "Personal Web Manager".

Configurare Windows 2000 Server e la rete TCP/IP senza NetBIOS
In Windows 2000 è possibile disattivare NetBIOS su TCP/IP (NetBT) per determinati client secondo necessità. Se si preferisce utilizzare solo DNS per fornire la registrazione e la risoluzione dei nomi su un computer particolare utilizzato in rete con un ruolo speciale o protetto,è possibile disattivare i servizi NetBT per una o per tutte le schede di rete installate in quel computer.
Per disattivare la risoluzione dei nomi WINS/NetBT seguite il percorso Start - Impostazioni - Rete e connessioni remote. Fate un click con il tasto destro del mouse sulla connessione LAN che desiderate configurare in modo statico e scegliete quindi Proprietà dal menu contestuale.
Selezionate la voce "Protocollo Internet (TCP/IP)", cliccate sul pulsante Proprietà e quindi su Avanzate e selezionate la scheda WINS. In basso troverete la voce "Disabilita NetBIOS su TCP/IP". Cliccate sul pulsante OK in tutte le schermate per attivare la modifica.

Riavviare velocemente IIS
IIS è il server Web della Microsoft che ha assunto, con Windows 2000, il nome di Internet Information Services e che include server FTP, SMTP e NNTP.
E' possibile creare un file batch nel caso in cui il server si blocchi e
sia necessario un riavvio rapido.
Il file deve contenere i seguenti comandi:
cd\
cd winnt\system32
iisreset /RESTART
Salvate il file e nominatelo come preferite. Per riavviare IIS sarà
sufficiente effettuare un doppio click sul file così creato.


Create a Remote Access Server for a Windows 2000-Based Server in a Workgroup
Article ID : 254316
Last Review : October 11, 2002
Revision : 1.0
This article explains how to create a simple remote access server for a Windows 2000 Server-based computer that belongs to a workgroup and not a domain. The resulting server allows users with local accounts to connect by using dial-up, virtual private network (VPN), or direct (InfraRed or parallel ports) connections. However, only limited authentication methods are supported by Incoming Connections Server. Clients can connect by using only MSCHAP or MSCHAPv2 authentication. A default Remote Access Policy is applied.
To create a remote access server, follow these steps:
1. Click Start, point to Settings, and then click Network And Dial-up Connections.
2. Click Make New Connection to start the Network Connection Wizard, and then click Next.
3. Click Accept Incoming Connections, and then click Next.
4. Click to select one or more check boxes for connection devices.
5. For each selected device, click Properties, configure the connection, and then click OK.
6. Click Next.
7. Click either Allow Virtual Private Connections or Do not allow virtual private connections, and then click Next.
8. Click the type of users that are allowed to connect to the server, and then click Next.
9. Click to select the network component options you want to enable for incoming connections, and then click Next.
10. Type the name for the connection in the box, and then click Finish.

Consentire l'accesso alla rete a utenti remoti (Routing e Accesso remoto)
Numero di articolo : 300434
• Sommario
Configurazione del servizio Routing e Accesso remoto in Windows 2000
Attivazione del servizio Routing e Accesso remoto Attivazione del servizio Routing e Accesso remoto di Windows 2000 per consentire connessioni di accesso remoto e VPN Accesso e criteri
Risoluzione dei problemi
Numero di connessioni
Configurazione del servizio Routing e Accesso remoto in Windows 2000 Configurazione del servizio Routing e Accesso remoto in Windows 2000
Risoluzione dei problemi Risoluzione dei problemi
Sommario
In questo articolo dettagliato viene descritto come configurare Windows 2000 per consentire agli utenti remoti di connettersi alla rete, nonché come attivare la connettività di Accesso remoto tramite un modem e una connessione VPN (Virtual Private Network).
Di seguito sono riportati gli scenari di esempio relativi alla connessione di un computer client a un server di accesso remoto Windows 2000:
• Computer client <--> Server Windows (connessione di Accesso remoto)
• Computer client <--> Internet (ISP) <--> Server Windows 2000 (connessione VPN)
Per questi scenari si presuppongono le seguenti configurazioni:
• Connessione di Accesso remoto: i modem sono configurati sul server.
• Connessione VPN: nel server sono installate due schede di rete.
• Connessione VPN: viene utilizzato il protocollo PPTP (Point to Point Tunneling Protocol) per il tunnel VPN.
• Connessione VPN: il server è connesso direttamente a Internet e non usa server firewall o proxy né esegue programmi che forniscono tali funzioni.
• Non vengono configurati protocolli di routing, quali RIP (Routing Information Protocol) o OSPF (Open Shortest Path First).
Torna all'inizio
Configurazione del servizio Routing e Accesso remoto in Windows 2000
Attivazione del servizio Routing e Accesso remoto
In Windows 2000 il servizio Routing e Accesso remoto viene installato per impostazione predefinita. Si consiglia di installare Windows 2000 Service Pack 2 (SP2).
Il file di download per Windows 2000 SP2 è disponibile sul sito Web di Microsoft al seguente indirizzo (informazioni in lingua inglese):
http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp
Torna all'inizio
Attivazione del servizio Routing e Accesso remoto di Windows 2000 per consentire connessioni di accesso remoto e VPN
1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Routing e Accesso remoto.
2. Nel programma di amministrazione del servizio Routing e Accesso remoto fare clic sul nome del server, scegliere il menu Azione, quindi fare clic su Configura e abilita Routing e Accesso remoto.
3. Nella Configurazione guidata server di Routing e Accesso remoto scegliere Avanti.
4. Fare clic su Server di Accesso remoto, quindi scegliere Avanti.
5. Nella pagina dei protocolli per client remoti verificare che i protocolli utilizzati dai client remoti per la connessione al server siano riportati nella casella Protocolli, quindi scegliere Avanti.
NOTA: l'impostazione predefinita è TCP/IP quando è selezionata l'opzione Sì, tutti i protocolli necessari sono inclusi in questo elenco.
6. Nella pagina di selezione della rete fare clic sulla scheda di rete che corrisponde alla rete locale LAN in uso, quindi scegliere Avanti.
NOTA: se nel server sono installate due schede di rete, una per la LAN e l'altra per una connessione Internet diretta, verificare di aver selezionato la scheda di rete per la LAN.
7. Nella pagina relativa all'assegnazione dell'indirizzo IP scegliere Automaticamente se nella rete è disponibile un server DHCP. In caso contrario, fare clic su Da un intervallo di indirizzi specificato, configurare un intervallo di indirizzi IP disponibili per i client, quindi scegliere Avanti.
8. Nella pagina relativa alla gestione di più server di accesso remoto fare clic su No, non configurare ora il server per l'utilizzo di RADIUS, quindi scegliere Avanti.
9. Nella pagina relativa al completamento della Configurazione guidata server di Routing e Accesso fare clic su Fine.
Torna all'inizio
Accesso e criteri
Per consentire la connessione, è necessario assegnare agli utenti le necessarie autorizzazioni. Dopo aver abilitato il servizio Routing e Accesso remoto, è necessario consentire l'accesso. Per permettere al server di accettare i client di accesso remoto:
1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Routing e Accesso remoto.
2. Fare clic su Criteri di accesso remoto. Se questo elenco non viene visualizzato, fare clic sul segno più (+) accanto all'icona del server per espandere la sottostruttura del server.
3. Nel riquadro di destra fare clic con il pulsante destro del mouse su Consenti accesso se l'autorizzazione chiamate in ingresso è abilitata, quindi scegliere Proprietà.
4. Fare clic su Consenti l'accesso remoto, quindi scegliere OK.
5. Chiudere il servizio Routing e Accesso remoto.
Oltre a completare questa procedura è necessario assegnare agli utenti l'autorizzazione per l'accesso remoto nelle proprietà dell'account utente.
Risoluzione dei problemi
Numero di connessioni
Il numero di connessioni modem di accesso remoto dipende dal numero di modem installati nel server. Se nel server è installato un solo modem, è possibile disporre di un'unica connessione alla volta.
Il numero di connessioni VPN di accesso remoto dipende dal numero di utenti simultanei autorizzati. In base all'impostazione predefinita, quando si esegue la procedura descritta in questo articolo, vengono attivate cinque connessioni. Per attivare altre connessioni:
1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Routing e Accesso remoto.
2. Fare clic con il pulsante destro del mouse su Porte, quindi scegliere Proprietà. Se questo elenco non viene visualizzato, fare clic sul segno più (+) accanto all'icona del server per espandere la sottostruttura del server.
3. Nelle proprietà delle porte fare clic su Miniport WAN (PPTP), quindi scegliere Configura.
4. Nella casella Numero massimo di porte digitare il numero di connessioni VPN da attivare.
5. Scegliere OK, nuovamente OK, quindi chiudere Routing e Accesso remoto.

Installare e configurare un server VPN (Virtual Private Network, rete privata virtuale) in Windows Server 2000
SOMMARIO
• Informazioni generali sulle reti private virtuali (VPN)
• Componenti di una rete VPN
• Installazione e attivazione di un server VPN
• Configurazione del server VPN
• Configurazione del server di Accesso remoto come router
• Configurazione di porte PPTP
• Gestione dei server dei nomi e degli indirizzi
• Gestione dell'accesso
• Accesso effettuato da account utente
• Accesso effettuato da gruppi
• Configurazione di una connessione VPN da un computer client
• Risoluzione dei problemi
• Risoluzione dei problemi relativi ai server VPN di accesso remoto
• Risoluzione dei problemi relativi alle connessioni VPN da router a router
• RIFERIMENTI
Sommario
Una rete privata virtuale (VPN, virtual private network) consente di connettere componenti a una rete mediante un'altra rete, quale ad esempio Internet. È possibile trasformare un computer basato su Windows 2000 Server in un server di accesso remoto affinché altri utenti possano connettersi ad esso mediante VPN e quindi accedere a file condivisi nelle unità locali o in rete. Le reti private virtuali utilizzano a questo scopo il "tunneling" attraverso Internet o un'altra rete pubblica offrendo lo stesso livello di protezione e le stesse funzionalità di una rete privata. Con una rete VPN le connessioni in una rete pubblica consentono di trasferire dati utilizzando l'infrastruttura di routing di Internet, anche se all'utente l'invio dei dati appare come effettuato mediante un collegamento privato dedicato.
In questo articolo viene descritto come installare reti private virtuali (VPN) e come creare una nuova connessione VPN in Windows 2000.
Informazioni generali sulle reti private virtuali (VPN)
Una rete privata virtuale (VPN) consente di effettuare la connessione a una rete privata (ad esempio la rete aziendale) mediante una rete pubblica, quale ad esempio Internet, combinando quindi i vantaggi di una connessione remota a un server di connessione remota con la flessibilità e la semplicità di utilizzo di una connessione Internet. Utilizzando una connessione Internet, è possibile viaggiare e spostarsi ed essere comunque in grado, nella maggior parte dei casi, di effettuare la connessione al proprio ufficio con una telefonata locale al numero telefonico dell'accesso Internet più vicino. Se si dispone di una connessione Internet ad alta velocità (ad esempio via cavo o DSL) al proprio computer (e ai computer aziendali), è possibile comunicare con il proprio ufficio o la propria azienda sfruttando l'elevata velocità di Internet rispetto a qualsiasi connessione remota effettuata mediante un modem analogico.
Le reti VPN consentono di utilizzare collegamenti autenticati per garantire che solo gli utenti autorizzati siano in grado di accedere alla rete e impiegano sistemi crittografici per verificare che i dati inviati in Internet non possano essere intercettati e utilizzati da altri utenti. In Windows questo livello di protezione viene ottenuto mediante l'utilizzo dei protocolli PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer Two Tunneling Protocol).
La tecnologia VPN consente inoltre alle aziende di connettersi alle proprie filiali o ad altre imprese in una rete pubblica (quale Internet) mantenendo al contempo comunicazioni protette. La connessione VPN su Internet funziona a livello logico come un collegamento WAN (Wide Area Network) dedicato.
Componenti di una rete VPN
Una rete VPN in Windows 2000 è costituita da un server VPN, un client VPN, una connessione VPN (la parte della connessione in cui i dati sono crittografati) e il tunnel (la parte della connessione in cui i dati sono incapsulati). Il tunneling viene effettuato mediante uno dei protocolli di tunneling inclusi in Windows 2000, installati con Routing e Accesso remoto. I due protocolli di tunneling inclusi in Windows 2000 sono:
• PPTP (Point-to-Point Tunneling Protocol): consente di crittografare i dati utilizzando Crittografia Microsoft Point-to-Point.
• L2TP (Layer Two Tunneling Protocol): consente di crittografare i dati, autenticarli e conservare l'integrità utilizzando IPSec.
La connessione a Internet dovrebbe sfruttare una linea dedicata, quale T1, Fractional T1 o Frame Relay. È necessario che la scheda WAN sia configurata con l'indirizzo IP e la subnet mask assegnati al dominio o forniti da un provider di servizi Internet (ISP), come anche il gateway predefinito del router ISP.
NOTA: per attivare una connessione VPN, è necessario effettuare l'accesso utilizzando un account che disponga di diritti di amministrazione.
Installazione e attivazione di un server VPN
Per installare e attivare un server VPN, attenersi alla seguente procedura:
1. Nel computer VPN Microsoft Windows 2000 confermare che sia la connessione a Internet sia la connessione alla rete locale (LAN) sono configurate correttamente.
2. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
3. Fare clic sul nome del server nella struttura e scegliere Configura e abilita Routing e Accesso remoto dal menu Azione, quindi scegliere Avanti.
4. Nella finestra di dialogo Configurazioni comuni scegliere Rete privata virtuale (server VPN), quindi fare clic su Avanti.
5. Nella finestra di dialogo Protocolli client remoto verificare che il protocollo TCP/IP sia incluso nell'elenco, fare clic su Sì, tutti i protocolli disponibili si trovano nell'elenco, quindi scegliere Avanti.
6. Nella finestra di dialogo Connessione Internet selezionare la connessione Internet desiderata, quindi fare clic su Avanti.
7. Nella finestra di dialogo Assegnazione indirizzo IP selezionare Automaticamente per utilizzare il server DHCP nella subnet per l'assegnazione di indirizzi IP ai client remoti e al server.
8. Nella finestra di dialogo Gestione di più server di Accesso remoto verificare che la casella di controllo No, non configurare ora il server per l'utilizzo di RADIUS sia selezionata.
9. Scegliere Avanti, quindi Fine.
10. Fare clic con il pulsante destro del mouse sul nodo Porte, quindi scegliere Proprietà.
11. Nella finestra di dialogo Proprietà della porta selezionare la periferica WAN Miniport (PPTP), quindi scegliere Configura.
12. Nella finestra di dialogo Configura periferica - WAN Miniport (PPTP) effettuare una delle seguenti operazioni:
• Se non si desidera supportare VPN di accesso remoto dirette per utenti a modem installati nel server, deselezionare la casella di controllo Routing con connessioni a richiesta (in ingresso e in uscita).
• Se si desidera invece supportare VPN di accesso remoto dirette per utenti a modem installati nel server, selezionare la casella di controllo Routing con connessioni a richiesta (in ingresso e in uscita).
13. Digitare il numero massimo di connessioni PPTP simultanee che è possibile effettuare nella casella di testo Numero massimo di porte. (Ciò potrebbe dipendere dal numero di indirizzi IP disponibili).
14. Ripetere i passaggi da 11 a 13 per la periferica L2TP, quindi scegliere OK.
Torna all'inizio
Configurazione del server VPN
Per configurare il server VPN come richiesto, attenersi alla procedura descritta di seguito.
Configurazione del server di Accesso remoto come router
Affinché il server di accesso remoto possa inoltrare il traffico correttamente all'interno della rete, è necessario configurarlo come router con route statiche o protocolli di routing, in modo che tutti i percorsi nella rete Intranet siano raggiungibili dal server di accesso remoto.
Per configurare il server come router:
1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
2. Fare clic con il pulsante destro del mouse sul nome del server, quindi scegliere Proprietà.
3. Nella scheda Generale fare clic per selezionare la casella di controllo Abilita questo computer come: Router.
4. Selezionare Solo routing LAN o Routing LAN e connessioni a richiesta, quindi scegliere OK per chiudere la finestra di dialogo Proprietà.
Torna all'inizio
Configurazione di porte PPTP
Confermare il numero di porte PPTP desiderate. Per verificare il numero di porte o per aggiungere altre porte, attenersi alla seguente procedura:
1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Routing e Accesso remoto.
2. Nella struttura della console espandere il nodo Routing e Accesso remoto, espandere il nome del server, quindi fare clic su Porte.
3. Fare clic con il pulsante destro del mouse su Porte e scegliere Proprietà.
4. Nella finestra di dialogo Proprietà della porta selezionare WAN Miniport (PPTP), quindi scegliere Configura.
5. Nella finestra di dialogo Configura periferica selezionare il numero massimo di porte per la periferica, quindi selezionare le opzioni per specificare se la periferica accetta solo connessioni in ingresso o sia connessioni in ingresso che in uscita.
Torna all'inizio
Gestione dei server dei nomi e degli indirizzi
È necessario che per il server VPN siano configurati indirizzi IP disponibili per poterli assegnare all'interfaccia virtuale del server VPN e ai client VPN durante la fase di negoziazione IPCP (IP Control Protocol) del processo di connessione. L'indirizzo IP assegnato al client VPN è assegnato all'interfaccia virtuale del client VPN.
Per i server VPN basati su Windows 2000, gli indirizzi IP assegnati ai client VPN vengono ottenuti tramite DHCP per impostazione predefinita. È inoltre possibile configurare un pool di indirizzi IP statici. È necessario inoltre che il server VPN sia configurato con server di risoluzione dei nomi, solitamente indirizzi relativi a server DNS e WINS, per l'assegnazione al client VPN durante la negoziazione IPCP.
Gestione dell'accesso
Configurare le proprietà di accesso remoto in account utente e criteri di accesso remoto per gestire l'accesso per connessioni remote e connessioni VPN.
NOTA: per impostazione predefinita, agli utenti viene negato l'accesso alle funzionalità di accesso remoto.
Accesso effettuato da account utente
Se l'accesso remoto viene gestito su una base per utente, fare clic su Consenti accesso nella scheda Chiamate in ingresso della finestra di dialogo Proprietà dell'utente per gli account utente a cui è consentito creare connessioni VPN. Se il server VPN consente solo connessioni VPN, eliminare il criterio di accesso remoto predefinito denominato "Consenti accesso se l'autorizzazione chiamate in ingresso è abilitata". Creare quindi un nuovo criterio di accesso remoto con un nome descrittivo, quale ad esempio Accesso VPN se consentito da account utente. Per ulteriori informazioni, vedere la Guida di Windows 2000.
ATTENZIONE: dopo avere eliminato il criterio predefinito, sarà negato l'accesso a un client di accesso remoto che non corrisponda ad almeno una delle configurazioni dei criteri creati.
Se il server VPN consente anche servizi di accesso remoto, non eliminare il criterio predefinito ma limitarsi a spostarlo, in modo che sia l'ultimo criterio ad essere preso in esame.
Accesso effettuato da gruppi
Se l'accesso remoto viene gestito su una base per gruppi, selezionare il pulsante di opzione Controlla accesso tramite Criteri di accesso remoto in tutti gli account utente mediante la console Utenti e computer di Active Directory nello snap-in MMC o Strumenti di amministrazione. Creare un gruppo Windows 2000 con membri a cui è consentito creare connessioni VPN. Se il server VPN consente solo connessioni VPN, eliminare il criterio di accesso remoto predefinito denominato Consenti accesso se l'autorizzazione chiamate in ingresso è abilitata. Creare un nuovo criterio di accesso remoto con un nome descrittivo, quale ad esempio Accesso VPN se membro di un gruppo con abilitazione VPN, quindi assegnare il gruppo Windows 2000 al criterio.
Se il server VPN consente anche servizi di accesso remoto, non eliminare il criterio predefinito ma limitarsi a spostarlo, in modo che sia l'ultimo criterio ad essere preso in esame.
Configurazione di una connessione VPN da un computer client
Per impostare una connessione a una rete VPN:
1. Nel computer client assicurarsi che la connessione a Internet sia configurata correttamente.
2. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Rete e connessioni remote.
3. Fare doppio clic su Crea nuova connessione.
4. Fare clic su Avanti, quindi su Connessione a una rete privata attraverso Internet e infine fare clic su Avanti.
5. Effettuare una delle seguenti operazioni:
• Se si utilizza una connessione remota per connettersi a Internet, fare clic su Connetti automaticamente a, quindi selezionare la connessione Internet dall'elenco.
• Se si utilizza invece una connessione dedicata (quale ad esempio con un modem via cavo), fare clic su Non effettuare prima alcuna connessione.
6. Scegliere Avanti.
7. Digitare il nome dell'host (ad esempio, Microsoft.com) o l'indirizzo IP (ad esempio, 123.123.123.123) del computer al quale si desidera effettuare la connessione, quindi fare clic su Avanti.
8. Selezionare Per tutti gli utenti se si desidera che la connessione sia disponibile per chiunque effettui l'accesso al computer oppure selezionare Per uso personale per rendere disponibile la connessione solo quando un utente specifico effettua l'accesso al computer, quindi scegliere Avanti.
9. Digitare un nome descrittivo per la connessione, quindi scegliere Fine.
NOTA: questa opzione è disponibile solo se si effettua l'accesso come membro del gruppo Administrators.
10. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Rete e connessioni remote.
11. Fare doppio clic sulla nuova connessione.
12. Scegliere Proprietà per configurare ulteriori opzioni relative alla connessione:
• Se viene stabilita la connessione a un dominio, scegliere la scheda Opzioni, quindi selezionare la casella di controllo Includi dominio di accesso Windows per specificare se richiedere informazioni sul dominio di accesso di Windows 2000 prima di effettuare la connessione.
• Se si desidera comporre nuovamente il numero per la connessione nel caso in cui cada la linea, scegliere la scheda Opzioni, quindi selezionare la casella di controllo Ricomponi se cade la linea.
Per utilizzare la connessione:
1. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Rete e connessioni remote.
2. Fare doppio clic sulla nuova connessione.
3. Se non si dispone di una connessione a Internet, in Windows esiste la possibilità di effettuare tale connessione.
4. Una volta creata la connessione a Internet, nome utente e password vengono richiesti dal server VPN. Inserire nome utente e password, fare clic su Connetti. Le risorse di rete dovrebbero essere disponibili nello stesso modo in cui sono disponibili connettendosi direttamente alla rete. NOTA: per disconnettersi dalla rete VPN, fare clic con il pulsante destro del mouse sull'icona della connessione, quindi scegliere Disconnetti.
Torna all'inizio
Risoluzione dei problemi
Risoluzione dei problemi relativi ai server VPN di accesso remoto
Impossibile stabilire una connessione VPN di accesso remoto
• Causa: il nome del computer client è uguale al nome di un altro computer in rete.
Soluzione: verificare che tutti i computer in rete e tutti i computer che effettuano connessioni alla rete utilizzino nomi univoci.
• Causa: il servizio Routing e Accesso remoto non è stato avviato sul server VPN.
Soluzione: verificare lo stato del servizio Routing e Accesso remoto sul server VPN.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sul monitoraggio del servizio Routing e Accesso remoto e sull'avvio e l'interruzione di tale servizio.
• Causa: l'accesso remoto non è stato attivato nel server VPN.
Soluzione: attivare l'accesso remoto nel server VPN.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'attivazione del server di accesso remoto.
• Causa: le porte PPTP o L2TP non sono state abilitate per le richieste di accesso remoto in ingresso.
Soluzione: abilitare le porte PPTP o L2TP, oppure entrambe, per le richieste di accesso remoto in ingresso.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sulla configurazione delle porte per l'accesso remoto.
• Causa: i protocolli LAN utilizzati dai client VPN non sono stati abilitati per l'accesso remoto nel server VPN.
Soluzione: abilitare i protocolli LAN utilizzati dai client VPN per l'accesso remoto nel server VPN.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sulla visualizzazione delle proprietà del server di accesso remoto.
• Causa: tutte le porte PPTP o L2TP nel server VPN sono già utilizzate da client di accesso remoto o da router di connessione a richiesta correntemente connessi.
Soluzione: verificare che tutte le porte PPTP o L2TP nel server VPN non siano già utilizzate facendo clic su Porte in Routing e Accesso remoto. Se necessario, modificare il numero di porte PPTP o L2TP per consentire più connessioni simultanee.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di porte PPTP o L2TP.
• Causa: il server VPN non supporta i protocollo di tunneling del client VPN.
Per impostazione predefinita, i client VPN di accesso remoto di Windows 2000 utilizzano l'opzione tipo server Automatico, mediante la quale tentano di stabilire prima una connessione VPN basata su L2TP con IPSec, quindi una connessione VPN basata su PPTP. Se i client VPN utilizzano l'opzione tipo server PPTP o L2TP, verificare che il protocollo di tunneling selezionato sia supportato dal server VPN.
Per impostazione predefinita, un computer che esegue Windows 2000 Server e il servizio Routing e Accesso remoto è un server PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un server che utilizzi solo il protocollo PPTP, impostare il numero di porte L2TP su zero. Per creare un server che utilizzi solo il protocollo L2TP, impostare il numero di porte PPTP su zero.
Soluzione: verificare che sia stato configurato il numero appropriato di porte PPTP o L2TP.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di porte PPTP o L2TP.
• Causa: il client VPN e il server VPN, unitamente a un criterio di accesso remoto, non sono configurati per l'utilizzo di almeno un metodo di autenticazione comune.
Soluzione: configurare il client VPN e il server VPN, unitamente a un criterio di accesso remoto, per l'utilizzo di almeno un metodo di autenticazione comune.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sulla configurazione dell'autenticazione.
• Causa: il client VPN e il server VPN, unitamente a un criterio di accesso remoto, non sono configurati per l'utilizzo di almeno un metodo di crittografia comune.
Soluzione: configurare il client VPN e il server VPN, unitamente a un criterio di accesso remoto, per l'utilizzo di almeno un metodo di crittografia comune.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sulla configurazione della crittografia.
• Causa: la connessione VPN non dispone delle autorizzazioni appropriate mediante le proprietà delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto.
Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate mediante le proprietà delle chiamate in ingresso dell'account utente e di criteri di accesso remoto. Per stabilire la connessione, è necessario che le impostazioni della connessione:
• Corrispondano a tutte le condizioni di almeno un criterio di accesso remoto.
• Ricevano l'autorizzazione di accesso remoto attraverso l'account utente (impostato su Consenti accesso) o attraverso l'account utente (impostato su Controlla accesso tramite Criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
• Corrispondano a tutte le impostazioni del profilo.
• Corrispondano a tutte le impostazioni delle proprietà delle chiamate in ingresso dell'account utente.
Vedere la Guida in linea di Windows 2000 per un'introduzione ai criteri di accesso remoto e per ulteriori informazioni sull'accettazione di un tentativo di connessione.
• Causa: le impostazioni del profilo relativo al criterio di accesso remoto sono in conflitto con le proprietà del server VPN.
Le proprietà del profilo relativo al criterio di accesso remoto e le proprietà del server VPN contengono entrambe impostazioni relative a:
• Connessione multipla
• Protocollo di allocazione di ampiezza di banda (BAP, Bandwidth Allocation Protocol)
• Protocolli di autenticazione
Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con le impostazioni del server VPN, il tentativo di connessione verrà respinto. Se ad esempio il profilo relativo al criterio di accesso remoto corrispondente specifica che è necessario utilizzare il protocollo di autenticazione EAP-TLS e EAP non è stato attivato nel server VPN, il tentativo di connessione verrà respinto.
Soluzione: verificare che le impostazioni del profilo relativo al criterio di accesso remoto non siano in conflitto con le proprietà del server VPN.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'attivazione dei protocolli di autenticazione e sulla configurazione dell'autenticazione.
• Causa: il router di risposta non è in grado di convalidare le credenziali del router di chiamata (nome utente, password e nome dominio).
Soluzione: verificare che le credenziali del client VPN (nome utente, password e nome dominio) siano corrette e possano essere convalidate dal server VPN.
• Causa: gli indirizzi presenti nel pool di indirizzi IP statici non sono sufficienti.
Soluzione: se il server VPN è configurato con un pool di indirizzi IP statici, verificare che il pool contenga un numero di indirizzi sufficiente. Se tutti gli indirizzi nel pool di indirizzi IP statici sono stati allocati a client VPN connessi, il server VPN non è in grado di allocare un indirizzo IP e il tentativo di connessione verrà respinto. Se necessario, modificare il pool di indirizzi IP statici. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sul protocollo TCP/IP e l'accesso remoto e sulla creazione di un pool di indirizzi IP statici.
• Causa: il client VPN è configurato per richiedere il proprio numero di nodo IPX e il server VPN non è configurato per consentire ai client IPX di richiedere il proprio numero di nodo IPX.
Soluzione: configurare il server VPN per consentire ai client IPX di richiedere il proprio numero di nodo IPX.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni su IPX e sull'accesso remoto.
• Causa: il server VPN è configurato con un intervallo di numeri di rete IPX utilizzati in un altro punto della rete IPX.
Soluzione: configurare il server VPN con un intervallo di numeri di rete IPX univoco per la propria rete IPX.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni su IPX e sull'accesso remoto.
• Causa: il provider di autenticazione del server VPN non è stato configurato correttamente.
Soluzione: verificare la configurazione del provider di autenticazione. È possibile configurare il server VPN per l'utilizzo di Windows 2000 o RADIUS per l'autenticazione delle credenziali del client VPN.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui provider di accounting e di autenticazione e sull'utilizzo dell'autenticazione RADIUS.
• Causa: il server VPN non è in grado di effettuare l'accesso ad Active Directory.
Soluzione: per un server VPN membro di un dominio Windows 2000 in modalità mista o in modalità originale configurato per l'autenticazione Windows 2000, verificare che:
• Il gruppo di protezione Server RAS e IAS esista. In caso contrario, creare il gruppo e impostare il tipo di gruppo su Protezione e l'ambito del gruppo su Locale al dominio.
• Il gruppo di protezione Server RAS e IAS disponga dell'autorizzazione di lettura per l'oggetto RAS and IAS Servers Access Check.
• L'account computer del computer server VPN sia un membro del gruppo di protezione Server RAS e IAS. È possibile utilizzare il comando netsh ras show registeredserver per visualizzare la registrazione del server corrente. È possibile utilizzare il comando "netsh ras add registeredserver" per la registrazione del server in un dominio specifico.
Aggiungendo (o rimuovendo) il computer server VPN al gruppo di protezione Server RAS e IAS, la modifica non sarà attivata immediatamente a causa del modo in cui le informazioni relative a Active Directory vengono memorizzate nella cache da Windows 2000. Perché questa modifica sia attivata immediatamente, è necessario riavviare il computer server VPN.
• Per un dominio in modalità originale, il server VPN sia aggiunto al dominio.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di un gruppo, sulla verifica delle autorizzazioni per il gruppo di protezione RAS e IAS e sui comandi NetShell di accesso remoto.
• Causa: un server VPN Windows NT 4.0 non è in grado di convalidare le richieste di connessione.
Soluzione: se i client VPN effettuano chiamate in ingresso a un server VPN che esegue Windows NT 4.0 ed è membro di un dominio Windows 2000 in modalità mista, verificare che il gruppo Everyone sia stato aggiunto al gruppo Accesso compatibile precedente a Windows 2000 con il seguente comando:
"net localgroup "Pre-Windows 2000 Compatible Access""
In caso contrario, digitare il comando riportato di seguito al prompt dei comandi in un computer controller di dominio, quindi riavviare quest'ultimo computer:
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sul server di accesso remoto con Windows NT 4.0 in un dominio Windows 2000.
• Causa: il server VPN non è in grado di comunicare con il server RADIUS configurato.
Soluzione: se il server RADIUS è raggiungibile unicamente attraverso l'interfaccia Internet, aggiungere un filtro input e un filtro output all'interfaccia Internet per la porta UDP 1812 (sulla base della specifica RFC 2138 "Remote Authentication Dial-In User Service (RADIUS)") o per la porta UDP 1645 (per i server RADIUS meno recenti) per l'autenticazione RADIUS e la porta UDP 1813 (sulla base della specifica RFC 2139 "Amministrazione RADIUS") o per la porta UDP 1646 (per i server RADIUS meno recenti) per l'amministrazione RADIUS.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di un filtro di pacchetti.
• Causa: impossibile connettersi al server VPN su Internet mediante l'utilità Ping.exe.
Soluzione: a causa dei filtri dei pacchetti PPTP e L2TP su IPSec configurati nell'interfaccia Internet del server VPN, i pacchetti ICMP (Internet Control Message Protocol) utilizzati dal comando ping vengono scartati. Per abilitare il server VPN alla risposta ai pacchetti ICMP (ping), è necessario aggiungere un filtro input e un filtro output che consentano il traffico per il protocollo IP 1 (traffico ICMP).
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di un filtro di pacchetti.
Risoluzione dei problemi relativi alle connessioni VPN da router a router
Impossibile stabilire una connessione VPN da router a router
• Causa: il servizio Routing e Accesso remoto non è stato avviato nel client VPN (il router di chiamata) e nel server VPN (il router di risposta).
Soluzione: verificare lo stato del servizio Routing e Accesso remoto nel client VPN e nel server VPN.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sul monitoraggio del servizio Routing e Accesso remoto e sull'avvio e l'interruzione di tale servizio.
• Causa: il routing LAN e WAN non è stato abilitato nel router di chiamata e nel router di risposta.
Soluzione: Abilitare Routing locale e remoto (router LAN e WAN) nel router di chiamata e nel router di risposta.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'attivazione del routing LAN e WAN.
• Causa: le porte PPTP o L2TP non sono abilitate per connessioni relative al routing con connessione a richiesta in ingresso e in uscita.
Soluzione: abilitare le porte PPTP o L2TP, oppure entrambe, per connessioni relative al routing con connessione a richiesta in ingresso e in uscita.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'attivazione del routing sulle porte.
• Causa: tutte le porte PPTP o L2TP nel router di chiamata o di risposta sono correntemente utilizzate da client di accesso remoto o da router di connessione a richiesta connessi.
Soluzione: verificare che tutte le porte PPTP o L2TP nel server VPN non siano già utilizzate facendo clic su Porte in Routing e Accesso remoto. Se necessario, modificare il numero di porte PPTP o L2TP per consentire più connessioni simultanee.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di porte PPTP o L2TP.
• Causa: il router di risposta non supporta il protocollo di tunneling utilizzato dal router di chiamata.
Per impostazione predefinita, le interfacce di connessione a richiesta di Windows 2000 utilizzano l'opzione tipo server Automatico, mediante alla quale tentano di stabilire prima una connessione VPN basata su L2TP con IPSec, quindi tentano di stabilire una connessione VPN basata su PPTP. Se i router di chiamata utilizzano l'opzione tipo server PPTP o L2TP, verificare che il protocollo di tunneling selezionato sia supportato dal router di risposta.
Per impostazione predefinita, un computer che esegue Windows 2000 Server e il servizio Routing e Accesso remoto è un router di connessione a richiesta abilitato per PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un router che utilizzi solo il protocollo PPTP, impostare il numero di porte L2TP su zero. Per creare un router che utilizzi solo il protocollo L2TP, impostare il numero di porte PPTP su zero.
Soluzione: verificare che nel router di chiamata e nel router di risposta sia stato configurato il numero appropriato di porte PPTP o L2TP.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di porte PPTP o L2TP.
• Causa: il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto non sono configurati per l'utilizzo di almeno un metodo di autenticazione comune.
Soluzione: configurare il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto per l'utilizzo di almeno un metodo di autenticazione comune.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sulla configurazione dell'autenticazione.
• Causa: il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto non sono configurati per l'utilizzo di almeno un metodo di crittografia comune.
Soluzione: configurare il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto per l'utilizzo di almeno un metodo di crittografia comune.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sulla configurazione della crittografia.
• Causa: la connessione VPN non dispone delle autorizzazioni appropriate mediante le proprietà delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto.
Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate mediante le proprietà delle chiamate in ingresso dell'account utente e di criteri di accesso remoto. Per stabilire la connessione, è necessario che le impostazioni della connessione:
• Corrispondano a tutte le condizioni di almeno un criterio di accesso remoto.
• Ricevano l'autorizzazione di accesso remoto attraverso l'account utente (impostato su Consenti accesso) o attraverso l'account utente (impostato su Controlla accesso tramite Criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
• Corrispondano a tutte le impostazioni del profilo.
• Corrispondano a tutte le impostazioni delle proprietà delle chiamate in ingresso dell'account utente.
Vedere la Guida in linea di Windows 2000 per un'introduzione ai criteri di accesso remoto e per ulteriori informazioni sull'accettazione di un tentativo di connessione.
• Causa: le impostazioni del profilo relativo al criterio di accesso remoto sono in conflitto con le proprietà del router di risposta. Le proprietà del profilo relativo al criterio di accesso remoto e le proprietà del router di risposta contengono entrambe impostazioni relative a:
• Connessione multipla
• Protocollo di allocazione di ampiezza di banda (BAP, Bandwidth Allocation Protocol)
• Protocolli di autenticazione
Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con le impostazioni del router di risposta, il tentativo di connessione verrà respinto. Se ad esempio il profilo relativo al criterio di accesso remoto corrispondente specifica che è necessario utilizzare il protocollo di autenticazione EAP-TLS e EAP non è stato attivato nel router di risposta, il tentativo di connessione verrà respinto.
Soluzione: verificare che le impostazioni del profilo relativo al criterio di accesso remoto non siano in conflitto con le proprietà del router di accesso remoto.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'attivazione dei protocolli di autenticazione e sulla configurazione dell'autenticazione.
• Causa: le credenziali del router di chiamata (nome utente, password e nome dominio) non sono corrette e non possono essere convalidate dal router di risposta.
Soluzione: verificare che le credenziali del router di chiamata (nome utente, password e nome dominio) siano corrette e possano essere convalidate dal router di risposta.
• Causa: gli indirizzi presenti nel pool di indirizzi IP statici non sono sufficienti.
Soluzione: se il router di risposta è configurato con un pool di indirizzi IP statici, verificare che nel pool vi siano sufficienti indirizzi. Se tutti gli indirizzi nel pool di indirizzi IP statici sono stati allocati a client di accesso remoto o router di connessione a richiesta connessi, il router di risposta non è in grado di allocare un indirizzo IP e il tentativo di connessione verrà respinto. Se necessario, modificare il pool di indirizzi IP statici.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sul protocollo TCP/IP e l'accesso remoto e sulla creazione di un pool di indirizzi IP statici.
• Causa: il router di risposta è configurato con un intervallo di numeri di rete IPX utilizzato in un altro punto della rete IPX.
Soluzione: configurare il router di risposta con un intervallo di numeri di rete IPX univoci per la propria rete IPX.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni su IPX e sull'accesso remoto.
• Causa: Il provider di autenticazione del router di risposta non è stato configurato correttamente.
Soluzione: verificare la configurazione del provider di autenticazione. È possibile configurare il router di risposta per l'utilizzo di Windows 2000 o RADIUS per l'autenticazione delle credenziali del client VPN.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui provider di accounting e di autenticazione e sull'utilizzo dell'autenticazione RADIUS.
• Causa: il router di risposta non è in grado di accedere ad Active Directory.
Soluzione: per un router di risposta membro di un dominio Windows 2000 in modalità mista o in modalità originale configurato per l'autenticazione Windows 2000, verificare che:
• Il gruppo di protezione Server RAS e IAS esista. In caso contrario, creare il gruppo e impostare il tipo di gruppo su Protezione e l'ambito del gruppo su Locale al dominio.
• Il gruppo di protezione Server RAS e IAS disponga dell'autorizzazione di lettura per l'oggetto RAS and IAS Servers Access Check.
• L'account computer del computer router di risposta sia un membro del gruppo di protezione Server RAS e IAS. È possibile utilizzare il seguente comando per visualizzare la registrazione locale:
"netsh ras show registeredserver"
È possibile utilizzare il seguente comando per la registrazione del server in un dominio specifico:
"netsh ras add registeredserver"
Aggiungendo o rimuovendo il computer router di risposta al gruppo di protezione Server RAS e IAS, la modifica non sarà attivata immediatamente a causa del modo in cui le informazioni relative a Active Directory vengono memorizzate nella cache da Windows 2000. Affinché la modifica sia attivata immediatamente, è necessario riavviare il computer router di risposta.
• Per un dominio in modalità originale, il router di risposta sia aggiunto al dominio.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di un gruppo, sulla verifica delle autorizzazioni per il gruppo di protezione RAS e IAS e sui comandi NetShell di accesso remoto.
• Causa: un router di risposta che esegue Windows NT 4.0 con RRAS (Routing and Remote Access Service) non è in grado di convalidare richieste di connessione.
Soluzione: se i router di chiamata effettuano chiamate in ingresso verso un router di risposta che esegue Windows NT 4.0 con RRAS che è membro di un dominio Windows 2000 in modalità mista, verificare che il gruppo Everyone venga aggiunto al gruppo Accesso compatibile precedente a Windows 2000 con il seguente comando:
"net localgroup "Pre-Windows 2000 Compatible Access""
In caso contrario, digitare il comando riportato di seguito al prompt dei comandi in un computer controller di dominio, quindi riavviare quest'ultimo computer:
"net localgroup "Pre-Windows 2000 Compatible Access" everyone /add"
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sul server di accesso remoto con Windows NT 4.0 in un dominio Windows 2000.
• Causa: il router di risposta non è in grado di comunicare con il server RADIUS configurato.
Soluzione: se il server RADIUS è raggiungibile unicamente attraverso l'interfaccia Internet, aggiungere un filtro input e un filtro output all'interfaccia Internet per la porta UDP 1812 (sulla base della specifica RFC 2138 "Remote Authentication Dial-In User Service (RADIUS)"), o alla porta UDP 1645 (per i server RADIUS meno recenti) per l'autenticazione RADIUS e la porta UDP 1813 (sulla base della specifica RFC 2139 "Amministrazione RADIUS") o alla porta UDP 1646 (per i server RADIUS meno recenti) per l'amministrazione RADIUS.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di un filtro di pacchetti.
• Causa: impossibile connettersi al router di risposta da Internet mediante l'utilità Ping.exe.
Soluzione: a causa dei filtri dei pacchetti PPTP e L2TP su IPSec configurati nell'interfaccia Internet del router di risposta, i pacchetti ICMP (Internet Control Message Protocol) utilizzati dal comando Ping vengono scartati. Per abilitare il router di risposta alla risposta ai pacchetti ICMP, è necessario aggiungere un filtro input e un filtro output che consentano il traffico per il protocollo IP 1 (traffico ICMP).
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di un filtro di pacchetti.
Impossibile inviare e ricevere dati
• Causa: l'interfaccia di connessione a richiesta appropriata non è stata aggiunta al protocollo instradato.
Soluzione: aggiungere l'interfaccia di connessione a richiesta appropriata al protocollo instradato.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta un'interfaccia di routing.
• Causa: non esistono route su entrambi i lati della connessione VPN da router a router che supportino lo scambio bidirezionale di traffico.
Soluzione: a differenza di una connessione VPN di accesso remoto, una connessione VPN da router a router non consente di creare automaticamente una route predefinita. È necessario creare route su entrambi i lati della connessione VPN da router a router affinché il traffico possa essere instradato da e verso l'altro lato di tale connessione.
È possibile aggiungere manualmente route statiche alla tabella di routing o aggiungere route statiche mediante protocolli di routing. Per connessioni VPN permanenti, è possibile attivare OSPF (Open Shortest Path First) o RIP (Routing Information Protocol) nella connessione VPN. Per connessioni VPN su richiesta, è possibile aggiornare automaticamente le route mediante un aggiornamento RIP statico automatico. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sull'aggiunta di un protocollo di routing IP, sull'aggiunta di una route statica e sull'esecuzione di aggiornamenti statici automatici.
• Causa: una connessione VPN bidirezionale da router a router viene interpretata dal router di risposta come una connessione di accesso remoto.
Soluzione: se il nome utente nelle credenziali del router di chiamata viene visualizzato in Client chiamate in ingresso in Routing e Accesso remoto, è possibile che il router di risposta interpreti il router di chiamata come client di accesso remoto. Verificare che il nome utente nelle credenziali del router di chiamata corrisponda al nome dell'interfaccia di connessione a richiesta nel router di risposta. Se il chiamante in ingresso è un router, lo stato della porta in corrispondenza della quale è stata ricevuta la chiamata è Attivo e lo stato dell'interfaccia di connessione a richiesta corrispondente è Connesso.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sullo stato della porta del router di risposta e sulla verifica dello stato dell'interfaccia di connessione a richiesta.
• Causa: i filtri dei pacchetti nelle interfacce di connessione a richiesta del router di chiamata e del router di risposta impediscono il flusso del traffico.
Soluzione: verificare che non vi siano filtri dei pacchetti nelle interfacce di connessione a richiesta del router di chiamata e del router di risposta che impediscano l'invio o la ricezione del traffico. È possibile configurare ogni interfaccia di connessione a richiesta con filtri input e output IP e IPX per controllare l'esatta natura del traffico TCP/IP e IPX in ingresso e in uscita dall'interfaccia di connessione a richiesta.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sulla gestione dei filtri di pacchetti.
• Causa: i filtri dei pacchetti nel profilo relativo al criterio di accesso remoto impediscono il flusso del traffico IP.
Soluzione: verificare che non vi siano filtri dei pacchetti TCP/IP configurati nelle proprietà del profilo dei criteri di accesso remoto sul server VPN (o sul server RADIUS se viene utilizzato Servizio di autenticazione Internet) che impediscano l'invio o la ricezione del traffico TCP/IP. È possibile utilizzare criteri di accesso remoto per configurare filtri dei pacchetti input e output TCP/IP che controllino l'esatta natura del traffico TCP/IP consentito per la connessione VPN. Verificare che i filtri dei pacchetti TCP/IP relativi al profilo non impediscano il flusso del traffico necessario.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sulla configurazione delle opzioni IP.
Riferimenti
Per ulteriori informazioni sulla creazione di una connessione VPN in Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
305550 (http://support.microsoft.com/kb/305550/) HOW TO: Configurare una connessione VPN alla rete aziendale in Windows XP Professional
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito (il contenuto potrebbe essere in inglese):
255784 (http://support.microsoft.com/kb/255784/) Aumento della protezione in un server VPN di Windows 2000
254018 (http://support.microsoft.com/kb/254018/) Configurazione dei filtri di input per i servizi eseguiti in corrispondenza di NAT (Network Address Translation)
260926 (http://support.microsoft.com/kb/260926/) Creazione di filtri di input e output non specifici durante l'esecuzione dell'Impostazione guidata servizi di Routing e Accesso remoto per il server VPN 

Setting up Virtual Private Networks:
Setting up VPN on a Windows 2000 server machine.

Setting up XP pro as VPN server.
Setting up windows 2000 pro as a VPN server.
Setting up VPN on a windows 2003 Server machine.
Setting up VPN on a windows 2003 Server machine with a Single Network Interface.
Microsoft Resources:
VPN Tunnels - GRE Protocol 47 Packet Description and Use

The Generic Route Encapsulation (GRE) protocol is used in conjunction with Point-to-Point Tunneling Protocol (PPTP) to create virtual private networks (VPNs) between clients or between clients and servers.
Configuring a VPN Solution Step-by-Step

This document describes the requirements and setup procedures for a VPN solution. This document is also intended for the technical user who has limited understanding of VPN solution and seeks to understand them in greater detail.
HOW TO: Allow Remote Users to Access Your Network in Windows 2000
Microsoft Knowledge Base Article Q300434 - This step-by-step article describes how to configure Windows 2000 to allow remote users to connect to your network, including how to allow dial-up connectivity through a modem and a Virtual Private Network (VPN) connection.
How to Configure Windows 2000 Professional to Windows 2000 Professional Virtual Private Network Connections
Microsoft Knowledge Base Article Q257333 - This article describes how to configure Windows 2000 Professional to Windows 2000 Professional virtual private network (VPN) connections.
HOW TO: Provide Secure Point-to-Point Communications Across the Internet
Microsoft Knowledge Base Article Q301194 - This step-by-step article describes how to install and configure a virtual private network (VPN - to provide secure point-to-point communications across a private network or the Internet.
Microsoft Internet Services Network - VPN Homepage
Microsoft's start page for VPN, includes links to whitepapers, technical notes, and other resources.
Microsoft Virtual Private Networking Security
This white paper provides an overview of the security issues surrounding implementation of Virtual Private Networks (VPNs) using the Microsoft Windows family of operating systems. In the Windows 95, Windows 98, and Windows NT 4.0 operating systems, Microsoft provides Virtual Private Networking (VPN) support through the Point-to-Point Tunneling Protocol (PPTP). In order to respond to recently reported bugs and to enhance PPTP security, Microsoft has recently released enhancements to PPTP. With the release of the Windows 2000 operating system, Microsoft will broaden its VPN protocol support to include support for Layer 2 Tunneling Protocol (L2TP), as well as Internet Protocol Security (IPSEC) and the Extensible Authentication Protocol (EAP). This document describes these technologies, in addition to addressing security threats and countermeasures.
Administrator's Guide to Microsoft L2TP/IPSec VPN Client
The Microsoft L2TP/IPSec VPN Client is a free Web download that allows computers running Windows 98/ME, and Windows NT® Workstation 4.0 to use Layer Two Tunneling Protocol (L2TP) connections with Internet Protocol Security (IPSec). This article provides an overview of L2TP/IPSec VPN connections and includes instructions about how to deploy and troubleshoot Microsoft L2TP/IPSec VPN Client.
Configuring a VPN to Use Extensible Authentication Protocol (EAP)
Microsoft Knowledge Base Article Q259880 - This article describes how to use Extensible Authentication Protocol (EAP) to create more secure Virtual Private Network (VPN) configurations.
Create a Remote Access Server for a Windows 2000-Based Server in a Workgroup
Microsoft Knowledge Base Article Q254316 - This article explains how to create a simple remote access server for a Windows 2000 Server-based computer that belongs to a workgroup and not a domain. The resulting server allows users with local accounts to connect by using dial-up, virtual private network (VPN), or direct (InfraRed or parallel ports) connections. However, only limited authentication methods are supported by Incoming Connections Server. Clients can connect by using only MSCHAP or MSCHAPv2 authentication. A default Remote Access Policy is applied.
HOW TO: Install and Configure a Virtual Private Network Server in Windows 2000
Microsoft Knowledge Base Article Q308208 - This article describes how to install virtual private networking (VPN) and how to create a new VPN connection in Windows 2000.
Increasing Security on Windows 2000 VPN Server
Microsoft Knowledge Base Article Q255784 - A Windows 2000 virtual private network (VPN) server that is configured by using the Routing and Remote Access Services (RRAS) Setup Wizard is installed with a default set of Input and Output filters. These filters support Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP), and IP Security Protocol (IPSec) connectivity. The filters are generic and can be modified to tighten security on a VPN server. This article describes modifications that you can make to these filters to increase security. All filter configurations mentioned in this article should be tested prior to being deployed in a production environment.