有关VPN连接的15项故障诊断提示

有关VPN连接的15项故障诊断提示(4) 　　
　　允许使用任意一种包含明文的身份验证方式。服务器将通过客户端所请求的协议（例如PAP、CHAP或MSCHAP）来完成身份验证。

　　需要加密的身份验证方式，服务器将通过MSCHAP、数据加密标准（DES）或Shiva PAP（SPAP）来完成身份验证。
　　需要Microsoft加密的身份验证方式。服务器只能通过MSCHAP实现身份验证。

　　从SP3开始，Microsoft引入了一种更为安全的MSCHAP版本，称为MSCHAP V2。您可以通过在服务器和Windows客户端上创建一条注册表项的方式来强制客户端仅仅使用MSCHAP V2执行身份验证。然而，当您执行此项修改操作时，那些不具备MSCHAP V2（一种专用Microsoft协议）支持能力的客户端将无法成功登录。因此，这种更改方式将使Unix和Macintosh系统无法登录到您的VPN服务器上。
　　
　　如需获取有关登录失败情况的故障诊断信息，请在用户管理器中启用登录审计功能并再次尝试建立连接。当您查看NT事件查看器安全日志中所存储的记录时，您将能够获得相关障碍的清晰描述信息。您可以看到用户名称是否合法，口令是否错误或者已经过期，计算机是否缺少一个合法帐号以及是否不存在可用VPN端口。
　　
　　当用户能够成功登录后，应用程序事件日志将记录登录的日期与时间。此外，您还将能够在事件日志中找到另一个用以记录用户注销时间和会话持续时间的事件。
　　
　　客户端能够登录但无法浏览LAN：您还可能会遇到客户端能够登录但无法浏览LAN的情况。如需对这种问题进行故障诊断，请确保已在所有Windows 9x客户端上将工作组设置为目标NT域的名称。接下来，如果客户端数量超过15或20个节点，也有可能造成客户端无法浏览，这是因为通过低速拨号连接对大型网络进行浏览是一项极为困难的任务。在PPTP会话建立后预先定义或手工将统一命名规范（UNC）连接映射到所需共享内容与资源是一项对于用户来说非常友好的操作。最后，您还需要理解四种TCP/IP设置如何对您的网络连接产生影响。（如需获取更多关于TCP/IP设置的信息，请查看工具条“重要客户端TCP/IP设置”。）当您需要为那些通过永久高速连接在家中进行工作的用户提供支持时，远程LAN浏览将是一种可行方案。在对这些组件进行检查并审核TCP/IP设置后，您便可以利用以下项目对浏览问题实施故障诊断。
　　工具条1：重要客户端TCP/IP设置
　　
　　面向VPN会话的TCP/IP设置将采用与面向LAN连接的TCP/IP设置相同的方式运行。如需对某种VPN实施方案进行故障诊断，您应当首先理解四种TCP/IP设置如何对网络连接与浏览方式产生影响：
　　
　　DNS服务器：这种服务器能够将通过全面验证的域名（FQDN，如www.win200mag.com）转换为相应的TCP/IP地址（如207.54.25.03）。当您拥有一台能够正常工作的DNS服务器时，您的计算机将可以通过名称方式来查询并连接其它计算机。当您不具备DNS服务器（或者DNS服务器无法正常工作）时，您将无法通过名称方式与计算机建立连接。此时，您只能借助目标计算机TCP/IP地址与其建立连接。
　　
　　WINS服务器：这种服务器能够将NetBIOS名称转换为相应的TCP/IP地址。在Windows NT 4.0网络中，每台计算机都将通过WINS服务器或本地浏览器（如果无可用WINS服务器）注册一个NetBIOS名称。同时，每台计算机还将为其所发布的每个文件与打印共享注册一个NetBIOS名称。如果您的客户端已经分配了一台WINS服务器，且假设您拥有所需的安全证书，那么，您将可以查看并连接网络上的共享打印机。如果您的客户端尚未分配WINS服务器，那么，您将无法浏览网络邻居，但如果您能够手工输入统一命名规范（UNC）名称并且您的安全证书允许对共享资源进行访问，那么，您将可以同文件与打印共享资源建立连接。
　　
　　DHCP服务器：这种服务器至少能够在启动时为LAN客户端分配TCP/IP地址并在连接时为RAS客户端分配TCP/IP地址。如需将DHCP服务器配置为指派其它TCP/IP协议栈设置内容，您可以定义针对域名、缺省网关、DNS服务器以及WINS服务器等信息的范围选项。
　　
　　缺省网关：这种网关将在数据传输目标为本地子网以外系统时通知计算机将数据发送至一台特定计算机或路由器。网关路由显示在Print Route命令输出结果中的表格首行内。