用户无法访问文件服务器。
如果该用户可以通过IP地址访问文件服务器,但不能通过名称访问,最可能的原因是域名解析的问题。NetBIOS或DNS主机名解析可能有问题。如果客户端操作系统使用NetBIOS,VPN服务器应该为VPN客户端分配一个intranet主机名。
如果DNS用于为VPN用户解析内部网主机名,则必须确保这些客户端能够正确解析企业网络中使用的域名。如果一台没有域的电脑尝试使用DNS解析VPN服务器背后内网服务器的域名,就会经常遇到这个问题。
用户不能访问企业网络的任何内容。
有时,用户可以连接到远程VPN服务器,但他们无法连接到企业网络中的任何资源。他们无法解析主机名,甚至无法ping通企业网络中的资源。
这个问题最常见的原因是用户连接的网络使用了与VPN服务器后面的企业网络相同的网络ID。例如,这个用户连接到一个酒店宽带网络,这个网络使用的ID是10.0.0.0/24。如果企业网也使用10.0.0.0/24的ID,他们就无法连接,因为VPN客户端机器会把目标地址作为本地网络地址,所以不会通过VPN接口连接到远程网络。
通信失败的另一个常见原因是VPN客户端所连接的VPN服务器/防火墙设备上的规则不允许客户端访问企业网络中的资源。解决方案是修改防火墙的配置,并允许VPN客户端访问适当的网络资源。
用户不能从NAT设备后面连接到VPN服务器。
大多数防火墙和NAT路由器在NAT设备后支持PPTP VPN协议。但是,一些高端网络设备供应商没有为PPTP VPN协议设置NAT编辑器。如果用户在这样的设备后面,使用PPTP的VPN连接将失败,但是VPN协议将成功。
所有NAT设备和防火墙都支持基于IPSec的VPN协议IPSecpassthrough。这些VPN协议包括IPSec信道模式和与RFC兼容的L2TP/IPSec。这些VPN协议可以支持NAT,IPSec流量被压缩到UDP报头中,以便在网络中来回传输。
如果您的VPN客户端和服务器支持NAT,并且客户端尝试使用L2TP/IPSec通过NAT连接到NAT-T兼容的VPN服务器,则此问题最可能的原因是客户端使用了Windows XP Service Pack 2。Service Pack 2阻止L2TP/IPSec VPN客户端的NAT通信。如果要解决这个问题,可以按照Microsoft知识库文章885407中的说明修改VPN客户端计算机注册表。
用户抱怨速度太慢。
性能差是最难解决的问题之一。有很多可能的原因。重要的是要对用户有一个准确详细的描述,明确他们在做什么,什么时候发现慢的。
VPN客户端感觉缓慢的最常见原因之一是这些客户端位于使用PPPoE的DSL网络之后。这些网络连接经常会遇到最大传输单元(MTU)问题,这会影响连接和性能。如果你想知道更多关于微软客户端的MTU问题,请参考微软知识库文章283165。