none
VPN клиенты не получают IP-адрес по DHCP RRS feed

  • Вопрос

  • Добрый день!

    Имеется следующая конфигурация:
    1. Microsoft ISA Server 2006 SP1 Std на Microsoft Windows Server 2003 R2 SP2 Std.
    2. Сервер DHCP на Microsoft Windows Server 2008 SP2 Std

    Престали подключаться VPN-клиенты. Настройка следующая
    1. Количество клиентов - 10
    2. Метод получения IP-адресов - DHCP
    3. Сеть для получения - Внутренняя.

    Посмотрел в оснастку RRAS. В ней смутило только то, что интерфейс "Внутренний" не имеет IP-адреса (написано - недоступно).

    При поптыке подключения VPN-клиента выдается ошибка 720: Неудается подключиться к удаленному компьютеру. Возможно, потребуется изменение сетевых параметров соединения.
    Александр Щербаков
    16 февраля 2010 г. 9:25

Ответы

  • Я нашел решение :)

    В RRAS в пункте Общие нажал "Отобразить порты UDP-прослушивателя" и обнаружил открытыми 67 и 68 порты. Заинтересовало, кто же может прослушивать их.
    Скачал и поставил TCPView. Пришлось подождать минут 5, пока сформировалась таблица (почти 3000 записей). Отсортировал по порту и в самом конце портов UDP обнаружился процесс svchost, слушающий bootpc и bootps. Запомнил PID процесса.
    Пото в командной стране ввел tasklist /svc. И по PID'у обнаружил, что это WDSServer.
    Каково же было мое удивление, когда я увидел, что служба средств развертывания Windows (WDS) запушена и приспокойно мешает получать IP с DHCP-сервера, ибо сама пытается выступать в ее роли. Остановка службы решила проблему.
    Клиенты получают IP и возможность работы, я счастлив.

    Всем большое спасибо за помощь!


    Александр Щербаков
    18 февраля 2010 г. 8:17

Все ответы

  • Проверьте наличие доступа от ISA к DHCP (порт 67)
    Что ISA пишет в логи при попытке подключения VPN-клиента?

    16 февраля 2010 г. 11:01
  • Попробовал telnet'ом подключится к 67 порту - пришел отказ.
    Также проверил с другого сервера - тоже отказ

    Брандмауэр Windows отключен


    Александр Щербаков
    16 февраля 2010 г. 11:14
  • DHCP телнетом не проверяется.
    Проверьте с помощью DHCPLoc.

    Что в логах ISA?

    16 февраля 2010 г. 11:37
  • Я не могу найти эту утилиту, кроме как в составе Windows XP Service Pack 2 Support Tools
    А это неприменимо к Windows Server 2003
    Александр Щербаков
    16 февраля 2010 г. 11:53
  • ну лог то что пишет?

    16 февраля 2010 г. 12:03
    Отвечающий
  • ISA сервер должен уметь видеть DHCP сервер.

    Создайте отдельное правило, разрешающего DHCP запросы к локальной сети, это правило есть в системной политеке, там его нужно просто включить. (Дополнительно, на время, можно разрешить весь исходящий трафик от ISA к локальной сети).

    16 февраля 2010 г. 12:21
  • Сначала это:
    Тип события: Предупреждение
    Источник события: RemoteAccess
    Категория события: Отсутствует
    Код события: 20167
    Дата:  16.02.2010
    Время:  17:20:37
    Пользователь:  Н/Д
    Компьютер: ISA
    Описание:
    Нет IP-адреса, доступного для выдачи входящего клиента.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Потом:
    Тип события: Ошибка
    Источник события: RemoteAccess
    Категория события: Отсутствует
    Код события: 20050
    Дата:  16.02.2010
    Время:  17:20:38
    Пользователь:  Н/Д
    Компьютер: ISA
    Описание:
    Пользователь CONTOSO\user, подключенный к порту VPN3-9 был отключен, поскольку не удалось успешно согласовать ни один сетевой протокол.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


    Александр Щербаков
    16 февраля 2010 г. 12:30
  • Смотрим в консоль DHCP:
    Есть адреса, выданные ISA-серверу?
    В списке арендованных адресов они должны выглядеть так:
    адрес   имя-компа-ISA  дата-время-истечения-аренды   DHCP  RAS

    P.S. В вашем случае их должно быть 10 - по количеству клиентов

    16 февраля 2010 г. 12:41
  • DHCP сервер не выдает адрес.

    Посмотрите тут: http://technet.microsoft.com/en-us/library/cc733687(WS.10).aspx

    Вы разрешающие правила проверили?
    16 февраля 2010 г. 12:44
  • Да, правила проверял.
    Внутри локальной сети и между VPN-клиентами разрешены все протоколы.


    Александр Щербаков
    17 февраля 2010 г. 3:19
  • Влючение системного правила, создание своих тоже не помогает
    Александр Щербаков
    17 февраля 2010 г. 3:32
  • Уже смотрел, пробовал. Не помогает


    Александр Щербаков
    17 февраля 2010 г. 11:09
  • логи то смотрели? не виндовые а исашные, где должны быть попытки исы сделать запрос адреса к dhcp серверу

    17 февраля 2010 г. 12:45
    Отвечающий
  • Поставил наблюдение IP-адрес назначения на свой DHCP сервер. Попробовал подключится извне. Никаких запросов к нему ввобще не идет.


    Александр Щербаков
    18 февраля 2010 г. 3:55
  • Я нашел решение :)

    В RRAS в пункте Общие нажал "Отобразить порты UDP-прослушивателя" и обнаружил открытыми 67 и 68 порты. Заинтересовало, кто же может прослушивать их.
    Скачал и поставил TCPView. Пришлось подождать минут 5, пока сформировалась таблица (почти 3000 записей). Отсортировал по порту и в самом конце портов UDP обнаружился процесс svchost, слушающий bootpc и bootps. Запомнил PID процесса.
    Пото в командной стране ввел tasklist /svc. И по PID'у обнаружил, что это WDSServer.
    Каково же было мое удивление, когда я увидел, что служба средств развертывания Windows (WDS) запушена и приспокойно мешает получать IP с DHCP-сервера, ибо сама пытается выступать в ее роли. Остановка службы решила проблему.
    Клиенты получают IP и возможность работы, я счастлив.

    Всем большое спасибо за помощь!


    Александр Щербаков
    18 февраля 2010 г. 8:17
  • Ещё проблема может быть когда в "Маршрутизация и удаленный доступ" - ИМЯ_СЕРВЕРА(локально)-свойства - IPv4- самое нижнее поле адаптер: выбрать Разрешить RAS выбирать адаптер. Если стоит другое значение то DHCP и работает только на один из интерфейсов, внутренний или внешний WAN.