VPN 疑难解答

原因：  如果在安装 ISA 服务器时运行 Internet 验证服务 (IAS)，那么 ISA 服务器将不会接受 VPN 连接。

解决方案：  重新启动 IAS。

原因：  有许多原因可能导致用户无法访问 ISA 服务器，其中包括：

• 用户帐户未正确配置。
• 用户没有访问 ISA 服务器计算机的适当权限。

解决方案：  如果原因看上去可能与帐户配置不正确有关，请尝试下列方法：

• 检查是否为每个用户启用了拨入权限，或者用户帐户是否属于在“远程访问策略”配置中设定的组。有关详细信息，请参阅远程 VPN 客户端访问的用户。
• 检查是否为远程 VPN 客户端配置了正确的身份验证方法和隧道协议。这些必须与 ISA 服务器上的配置设置匹配。

另请参阅：  远程 VPN 客户端访问的用户以及 VPN 隧道协议。

原因：  在使用 PPTP 或 L2TP 隧道协议的远程站点网络方案中，ISA 服务器计算机可能未配置默认网关。在未定义默认网关的情况下，不会在 ISA 服务器与远程站点网关之间添加静态路由。因为没有路由，来自远程站点网关的通讯被视为具有欺骗性的通讯，从而被拒绝。

解决方案：  添加默认网关。可以指定虚拟默认网关。

原因：  有许多原因导致无法建立远程站点到站点的连接，包括：

• IPSec 连接失败。
• 无法访问远程站点网关。
• 在远程站点网关上，本地 ISA 服务器计算机的地址配置不正确。
• 远程站点网关或 ISA 服务器上均未正确配置远程站点网络的地址范围。
• 未正确配置共享密钥（如果您使用预共享密钥）。
• 如果使用证书身份验证，而正确的证书不可用。

解决方案：  尝试下列方法：

• 如果原因看起来可能与网络地址更改的配置不当有关，请检查该配置。有关说明，请参阅配置远程站点网络的地址。
• 请确认正确配置了证书。
• 如果原因看起来可能与安全审核有关，请在事件检查器中查看最新的安全故障。
• 如果原因看起来与身份验证协商有关，请检查是否发生了下列任何 Internet 密钥交换 (IKE) 事件：
  • 事件 541（成功）。在 IKE 成功地与主模式安全关联 (SA) 或 IPSec SA 进行协商时记录。SA 参数记录在事件文本中。
  • 事件 542（成功）。当 IKE 成功地删除了 IPSec SA 时记录。由于 SA 生存期已到期、快速模式重新生成密钥期间生成了新的 SA、IPSec 对等方发送了删除消息、IPSec 策略已更改或者 IPSec 服务已停止等原因，IPSec SA 可能已被删除。
  • 事件 543（成功）。当 IKE 成功地删除了主模式 SA 时记录。由于 SA 生存期已到期、IPSec 对等方发送了删除消息、IPSec 策略已更改或者 IPSec 服务已停止等原因，IKE 主模式 SA 可能已被删除。
  • 事件 544（失败）。在 IKE 协商由于证书信任失败以及后续身份验证失败而终止时记录。如果在 IPSec 对等方找不到有效的证书链，或者找到的证书链无法发送到信任的根证书颁发机构，便可能发生此故障。
  • 事件 545（失败）。在 IKE 协商由于计算机证书签名验证失败而终止时记录。此事件很少见，因为它说明 IPSec 对等方的计算机证书有不匹配的 RSA 类型公/私钥对。
  • 事件 546（失败）。在 SA 由于来自 IPSec 对等方的 IKE 提议无效而无法建立时记录。此错误通常在未正确配置 IPSec 策略时发生。
  • 事件 547（失败）。在 IKE 协商失败时记录。失败的原因记录在事件文本中。

原因：  有许多原因导致无法建立远程站点到站点的连接，包括：

• 无法访问远程站点网关。
• 在远程站点网关上，本地 ISA 服务器计算机的地址配置不正确。
• 站点到站点连接没有正确配置的用户帐户。
• 对于 L2TP 连接而言，预共享密钥可能不匹配（如果您使用预共享密钥）。
• 如果使用证书身份验证，而正确的证书不可用。