Samenvatting

In dit artikel wordt stapsgewijs beschreven hoe u een virtueel particulier netwerk (VPN) installeert en configureert om beveiligde point-to-point communicatie te bieden op een particulier netwerk of het Internet.

De RAS-server (Remote Access Server) installeren

Als de RAS-server lid is van een domein, moet deze lid zijn van de groep RAS- en IAS-servers in dat domein.


Als u geen lid bent van de groep Domeinadministrators, moet deze server door een lid van die groep worden toegevoegd aan de groep RAS- en IAS-servers.


Als u wel lid bent van de groep Domeinadministrators, wordt de server automatisch aan de groep RAS- en IAS-servers toegevoegd nadat u de procedures in dit document hebt uitgevoerd.

De Routing and Remote Access-service inschakelen en een VPN-interface (virtueel particulier netwerk) configureren

Ga als volgt te werk om de Routing and Remote Access-service in te schakelen en een VPN-interface te configureren:

1. Klik op Start, wijs achtereenvolgens Programma's en Systeembeheer aan en klik opRoutering en RAS.
2. Klik in de consolestructuur op de lokale server.
   
   Opmerking: als in de linkerbenedenhoek van het pictogram een rode cirkel staat, is de Routing and Remote Access-service niet ingeschakeld. Als in de linkerbenedenhoek van het pictogram een groene pijl staat die omhoog wijst, is de Routing and Remote Access-service eerder ingeschakeld. Als de service al ingeschakeld is, gaat u door met stap 7. U kunt de server echter ook opnieuw configureren in dit scenario. Ga als volgt te werk om de server opnieuw te configureren:
   1. Klik met de rechtermuisknop op de server en klik opRoutering en RAS uitschakelen. Klik op Ja wanneer het dialoogvenster met informatie wordt weergegeven in Windows 2000.
   2. Klik met de rechtermuisknop op de server en klik opRoutering en RAS configureren en inschakelen.
   3. Klik op Volgende op de eerste pagina van de Setup-wizard.
   4. Klik opVPN-server om externe computers in staat te stellen via het Internet verbinding te maken met dit netwerk, en klik op Volgende.
3. Controleer of alle protocollen die vereist zijn door services die worden gebruikt door externe gebruikers, worden weergegeven in de lijst met beschikbare protocollen. TCP/IP moet in deze lijst staan. Als TCP/IP en de overige protocollen in de lijst staan, selecteert uJa, alle benodigde protocollen staan op de lijst en klikt u op Volgende.
4. Geef de netwerkinterface op die door externe VPN-clients en routers zal worden gebruikt om via het Internet toegang te krijgen tot deze server en klik op Volgende. Klik in het dialoogvenster IP-adrestoewijzing op een van de volgende opties en klik op Volgende:
   • Klik op Automatisch als u de DHCP-server wilt gebruiken om adressen toe te wijzen aan externe clients.
   • Als externe clients alleen een adres uit een vooraf gedefinieerde groep moeten krijgen, klikt u opUit een opgegeven adresbereik.
     
     Opmerking: in de meeste gevallen is de DHCP-optie eenvoudiger te beheren. Als u opUit een opgegeven adresbereik hebt geklikt, wordt het venster Toewijzing van adresbereiken geopend.
     1. Klik op Nieuw en typ in het vakIP-beginadres het eerste IP-adres in het bereik van adressen die u wilt gebruiken.
     2. Typ in het vakIP-eindadres het laatste IP-adres in het bereik. Klik op OK nadat het aantal adressen automatisch is berekend.
     3. Klik in het scherm Toewijzing van adresbereiken op Volgende.
     4. Klik opNee, ik wil deze server nu niet configureren voor het gebruik van RADIUS (als deze optie nog niet geselecteerd is), klik op Volgende en klik op Voltooien.

De Routing and Remote Access-service is nu ingeschakeld en u kunt vervolgens de server als een VPN-server configureren.

Een client instellen voor een VPN

Nadat u de server hebt ingesteld zodat deze inbelverbindingen kan ontvangen, moet u een RAS-clientverbinding instellen op het werkstation van de gebruiker.

Een client instellen voor inbeltoegang

1. Klik op Start, wijs Instellingen aan, klik op Netwerk- en inbelverbindingen, dubbelklik op Nieuwe verbinding maken en klik op Volgende. Klik opVerbinding maken met een particulier netwerk via het Internet en klik op Volgende.
2. Voer een van de volgende bewerkingen uit:
   • Als er op het werkstation een geconfigureerde inbelverbinding bestaat, wordt dit door de wizard gedetecteerd en verschijnt het dialoogvenster Openbaar netwerk. Hiermee kunt u verbinding maken met een Internet-provider voordat u de VPN-verbinding met de externe server instelt.
   • Als u eerst via een inbelverbinding verbinding wilt maken met een Internet-provider, klikt u opAutomatisch deze aanvangsverbinding kiezen: en klikt u vervolgens in de vervolgkeuzelijst op de inbelverbinding. Als u een directe Internet-verbinding hebt die al beschikbaar is op het lokale werkstation, klikt u opNiet automatisch een aanvangsverbinding kiezen.
3. Typ het IP-adres of de hostnaam van de VPN-server die u net hebt ingesteld en klik op Volgende. Als de VPN-verbinding via het Internet gaat, moet de hostnaam een volledige domeinnaam zijn, zoalsuwvpnserver.uwdomain.com.
4. Klik op een van de volgende opties en klik op Volgende:
   • Als u wilt dat iedere gebruiker die zich op dit werkstation aanmeldt deze VPN-verbinding kan gebruiken, klikt u opVoor alle gebruikers.
   • Als u wilt dat deze verbinding alleen beschikbaar is voor de gebruiker die op dit moment is aangemeld, klikt u opAlleen voor mijzelf.
5. Schakel het selectievakjeInternet-verbinding delen voor deze verbinding inschakelen uit als dit ingeschakeld is en klik op Volgende.
6. Typ in het vak Naam van de verbinding een beschrijvende naam voor deze verbinding en klik op Voltooien.

Verbinding maken met de VPN-server

Nadat u een VPN-verbinding op uw lokale werkstation hebt gemaakt, kunt u verbinding maken met de server.

Verbinding maken met de server

1. Klik op Start, wijs Instellingen aan, klik op Netwerk- en inbelverbindingen en dubbelklik op de nieuwe VPN-verbinding.
2. Typ uw gebruikersnaam in het vak Gebruikersnaam. Als u verbinding maakt met een netwerk dat meerdere domeinen bevat, typt udomeinnaam\gebruikersid.
3. Typ uw wachtwoord in het vak Wachtwoord en klik vervolgens op Verbinden om vanaf de externe computer verbinding te maken met de VPN-server, de gebruiker te verifiëren en de externe computer op het netwerk te registreren.

Toegang verlenen tot RAS-servers

In Windows 2000 worden machtigingen verleend op basis van de inbeleigenschappen die u instelt in de gebruikersaccount in Active Directory en van het RAS-beleid dat u instelt voor de RAS-server. Met het RAS-beleid kunt u toegang toestaan of weigeren op basis van criteria zoals de tijd van de dag en de dag van de week, het lidmaatschap van de gebruiker van beveiligingsgroepen van Windows 2000 of het type verbinding dat is gevraagd.


Wanneer u de RAS-service installeert en de RAS-server configureert, wordt door Windows 2000 een standaardbeleid gemaakt waarmee aan alle gebruikers toegang wordt verleend, op voorwaarde dat inbelmachtigingen zijn ingeschakeld (deze machtigingen worden voor elke gebruiker afzonderlijk geconfigureerd). Gebruikers kunnen dan alleen inbellen bij en worden geverifieerd door een RAS-server wanneer deze instellingen zijn ingeschakeld binnen hun gebruikersaccount.


Als de RAS-server lid is van een domein, kunt u deze instellingen configureren via de domeinaccount van de gebruiker.


Als de server een zelfstandige server is of lid is van een werkgroep, moet de gebruiker een lokale account hebben op de RAS-server.

Inbeltoegang voor gebruikers configureren

1. Klik op Start, wijs Programma's aan, klik op Systeembeheer en klik opActive Directory: gebruikers en computers.
2. Klik met de rechtermuisknop op de juiste gebruikersaccount en klik op Eigenschappen.
3. Klik in het dialoogvenster Eigenschappen op de tabInbellen.
4. Klik opToegang toestaan en klik op OK.

Valkuilen

U ontvangt een foutbericht dat de opgegeven bestemming niet bereikbaar is

Controleer of de client verbinding heeft met het netwerk. Test als volgt of contact kan worden gemaakt met de RAS-server:

1. Klik op Start, wijs achtereenvolgens Programma's en Bureau-accessoires aan en klik op Opdrachtprompt.
2. Als de server deel uitmaakt van een netwerk typt u:

   pingservernaam

3. Als de server zich op het Internet bevindt, typt u:

   pingservernaam

Als er een time-out optreedt voor de Ping-aanvraag, gebruikt u Ping voor het IP-adres van de externe server om te controleren of er een probleem is met de DNS-naamomzetting (Domain Name System).

U krijgt wel contact met de server, maar wordt niet geverifieerd

Controleer of de gebruikersaccount die u gebruikt, gemachtigd is om in te bellen en wordt geverifieerd door Active Directory. De RAS-server waarmee u verbinding wilt maken, moet lid zijn van de groep RAS- en IAS-servers.