Dieses Dokument zeigt, wie Sie einige häufig auftretende Probleme beheben können, wenn Sie die Netzwerkumgebung durchsuchen, wenn der Cisco VPN Client auf Microsoft Windows/NT-Plattformen ausgeführt wird.
Hinweis: Wenn vom Remote-VPN-Client IP-Verbindungen zu internen Netzwerkgeräten hergestellt werden, müssen die hier besprochenen Probleme von Microsoft gelöst werden. Das Durchsuchen der Netzwerkumgebung ist eine Funktion des Browsing-Services von Microsoft, nicht des Cisco VPN-Clients. Netzwerkumgebung wird offiziell nicht unterstützt. Es funktioniert jedoch, wenn es richtig konfiguriert ist. Probleme treten auf, wenn der PC oder der Hauptbrowser nicht ordnungsgemäß funktioniert.
Für dieses Dokument bestehen keine speziellen Anforderungen.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Cisco VPN-Client
Microsoft Windows-Betriebssysteme XP, 2000, NT, 95, 98
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Wenn der VPN-Tunnel eingerichtet ist, können Sie die Netzwerkumgebung nicht durchsuchen. Dieses Problem kann durch mehrere häufige Microsoft-Netzwerkprobleme verursacht werden, die bei VPN-Produkten auftreten. Es geht um folgende Fragen:
Netzwerkressourcen und Computer können nicht nach IP-Adresse, NetBIOS-Name oder FQDN pingen.
Ein Netzlaufwerk kann nicht zugeordnet werden, oder Sie können die Netzwerkumgebung durchsuchen.
Die Lösungen für diese spezifischen Probleme werden in den verschiedenen Abschnitten dieses Dokuments erläutert. Wenn nach der Überprüfung der entsprechenden Projektmappe(n) immer noch Probleme auftreten, rufen Sie Microsoft auf, um ausführlichen Debugsupport zu erhalten.
In einigen Fällen ist es nicht möglich, einen Ping an den Remote-Computer, den Windows Internet Naming Service (WINS)-Server, den Domänen-Controller, den Dateiserver nach IP-Adresse und NetBIOS-Namen sowie den vollqualifizierten Domänennamen (FQDN, z. B. myserver.mydomain.com) zu senden. Wenn Sie Ping nach IP-Adresse senden können, ist eine IP-Verbindung vorhanden. Das Problem hängt höchstwahrscheinlich mit der Namensauflösung in Ihrem Windows-Netzwerk zusammen.
Hinweis: Da IPSec kein Multicast oder Broadcast im Tunnel zulässt, wird das NETBIOS nicht über den VPN-Tunnel unterstützt, da es Broadcast/Multicasts an das Netzwerk sendet, um die Namensauflösung durchzuführen.
Versuchen Sie diese Vorschläge, um Ihr Problem zu beheben.
Wenn Sie Netzwerkressourcen pingen können, lesen Sie den Abschnitt Keine Zuordnung eines Netzlaufwerks möglich oder Durchsuchen der Netzwerkumgebung.
Wenn Sie keine Ping-Verbindung herstellen können, überprüfen Sie die Routing-Geräte und die Network Address Translation (NAT)-Geräte auf mögliche Konfigurationsprobleme.
Weitere Informationen zu TCP/IP und zur Namensauflösung finden Sie auf der Microsoft-Website.
IPsec kapselt keinen NetBIOS-Broadcast-Datenverkehr. Ein WINS-Server ist erforderlich, um ein Laufwerk im Microsoft-Netzwerk zuzuordnen.
Berücksichtigen Sie diese Vorschläge, wenn Sie versuchen, die Ursache des Problems zu ermitteln.
Geben Sie den Befehl net use CLI für das gemeinsam genutzte Laufwerk ein, auf das Sie zugreifen möchten.
Wählen Sie Start > Ausführen aus, und geben Sie Computer suchen ein, um die Netzwerkressource zu suchen.
Doppelklicken Sie auf das Symbol Netzwerkumgebung. Überprüfen Sie, ob einige oder alle Netzwerkressourcen und PCs angezeigt werden.
Überprüfen Sie, ob der PC, der den VPN-Client ausführt, die richtigen WINS- und DNS-Informationen erhält.
Wählen Sie Start > Ausführen aus, und geben Sie winipcfg (auf Windows 9x-Computern) oder ipconfig /all (auf Windows NT-, 2000- und XP-Computern) ein, um diese Informationen anzuzeigen.
Überprüfen Sie Ereignisprotokolle und Debuggen, um die WINS- und DNS-Informationen anzuzeigen, die vom Headend-Gerät an den Remote-VPN-Client weitergeleitet werden.
Wenn Sie eine LMHOSTS-Datei verwenden, versuchen Sie, NetBIOS-Namen zu verwenden, indem Sie den Befehl nbtstat -c eingeben. Nachdem eine LMHOST-Datei geladen wurde, lautet die Lebensdauer -1.
Überprüfen Sie für Windows 9x- und ME-Clients, ob der Netzwerk-Client geladen ist. (Dies wird unter XP Home nicht unterstützt.)
Dies sind einige allgemeine Punkte, um festzustellen, ob Sie Probleme haben.
Verwenden Sie das Cisco VPN Client Start Before Login-Dienstprogramm?
Verwenden Sie den Client für Microsoft-Netzwerke auf 9x-Clients?
Werden Ereignismeldungen bei der Anmeldung auf dem Domänencontroller angezeigt, wenn Sie Prüfpfade aktivieren?
Detaillierte Informationen zur Fehlerbehebung für bestimmte Betriebsplattformen finden Sie hier.
Überprüfen Sie, ob der Netzwerk-Client geladen wurde.
Klicken Sie mit der rechten Maustaste auf Netzwerkumgebung. Wählen Sie Eigenschaften aus. Überprüfen Sie, ob Client für Microsoft-Netzwerke sowie Datei- und Druckerfreigabe vorhanden sind. Installieren Sie diese Funktionen, wenn sie noch nicht installiert sind. Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden.
Klicken Sie auf dem VPN-Client auf Optionen > Eigenschaften > Verbindungen und aktivieren Sie Verbindung mit dem Internet über Einwahlverbindung herstellen.
Klicken Sie auf dem VPN-Client auf Optionen > Windows-Anmeldeeigenschaften und aktivieren Sie Start vor der Anmeldung aktivieren.
Die Computer Windows NT, 2000 und XP verhalten sich anders als die Computer Windows 95/98. Der VPN-Client kann sich nicht beim Microsoft-Netzwerk anmelden. Sie werden aufgefordert, sich beim Booten des Computers bei der Domäne anzumelden.
Wenn Sie versuchen, eine Verbindung von einem Remote-Standort ohne Zugriff auf die Domäne herzustellen (d. h. Sie befinden sich nicht im internen Netzwerk), erhalten Sie eine Fehlermeldung, die anzeigt, dass "Kein Domänencontroller gefunden wurde."
Wenn Sie versuchen, einen VPN-Tunnel mit dem VPN Concentrator einzurichten, indem Sie über einen ISP anrufen oder einen DSL-Dienst verwenden, werden Sie nicht aufgefordert, sich bei einer Domäne anzumelden. Stattdessen können Sie mit einem sicheren Link fortfahren.
Ordnen Sie ein Laufwerk zu (wenn Sie es nicht getan haben), um sich bei der Domäne anzumelden. Doppelklicken Sie auf das zugeordnete Laufwerk, um die Kennwortaufforderung anzuzeigen, sodass Sie sich beim Netzwerk anmelden können.
Überprüfen Sie die Netzwerkeigenschaften auf dem Computer, um sicherzustellen, dass der PC mit dem richtigen Domänennamen konfiguriert wurde usw.
Hinweis: Der Schlüssel besteht darin, sich erfolgreich bei der NT-Domäne anzumelden.
Hinweis: Wenn Sie Anmeldeskripte über den NT-Rechner ausführen möchten, aktivieren Sie die Funktion Enable start before logon (Starten vor der Anmeldung aktivieren) im Client.
Gehen Sie wie folgt vor, um eine Verbindung über ein Einwählmodem herzustellen.
Erstellen Sie eine DUN-Verbindung (Microsoft Dial-Up Networking) mit Ihrem ISP.
Aktivieren Sie Client für Microsoft-Netzwerke sowie Datei- und Druckfreigabe auf Ihrem DFÜ-Adapter. Standardmäßig sind diese Funktionen nicht aktiviert. Sie müssen jedoch Microsoft-Dienste ausführen.
Wählen Sie Start > Programme > Cisco Systems VPN Client aus. Wählen Sie das Menü Optionen aus. Wählen Sie Windows-Anmeldeeigenschaften aus, und stellen Sie sicher, dass Start vor der Anmeldung aktiviert ausgewählt ist. Klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf den Verbindungeintrag (oder erstellen Sie ggf. einen), und wählen Sie Ändern aus. Wechseln Sie zur Registerkarte DFÜ, und wählen Sie Verbindung zum Internet über DFÜ herstellen aus. Wählen Sie die DUN-Verbindung aus, die Sie in Schritt 1 erstellt haben, und klicken Sie auf Speichern.
Melden Sie sich vom Computer ab. Ein Neustart ist nicht erforderlich.
Drücken Sie Strg+Alt+Entf. Geben Sie Ihren DUN-Benutzernamen und Ihr Kennwort ein, um eine Verbindung zum Internet herzustellen und den VPN-Client zu starten.
Klicken Sie auf Connect, um eine Verbindung mit dem VPN-Client herzustellen.
Geben Sie bei Aufforderung Ihren Microsoft-Benutzernamen und Ihr Kennwort ein, um sich bei der Domäne anzumelden.
Da Sie per Remote-Zugriff verbunden sind, verlassen Sie sich auf WINS oder DNS, um zu erfahren, wo der Domänen-Controller für die Domäne ist, auf die Sie zugreifen. Wenn Sie immer noch Probleme haben, gibt es Probleme mit Ihren WINS- oder DNS-Servern. Erstellen Sie eine LMHOSTS-Datei, wenn Sie eine Variante des Fehlers erhalten, der auf "No Domain Controller Found" (Kein Domänencontroller gefunden) hinweist.
Gehen Sie wie folgt vor, um eine Verbindung über einen Hochgeschwindigkeits-Breitbanddienst herzustellen.
Aktivieren Sie Client für Microsoft-Netzwerke sowie Datei- und Druckfreigabe auf Ihrem DFÜ-Adapter. Standardmäßig sind diese Funktionen nicht aktiviert. Sie müssen jedoch Microsoft-Dienste ausführen.
Wählen Sie Start > Programme > Cisco Systems VPN Client aus. Wählen Sie das Menü Optionen aus. Wählen Sie Windows-Anmeldeeigenschaften aus, und stellen Sie sicher, dass Start vor der Anmeldung aktiviert ausgewählt ist. Klicken Sie auf OK.
Melden Sie sich vom Computer ab. Ein Neustart ist nicht erforderlich.
Drücken Sie Strg-Alt-Entf, um den VPN-Client zu starten.
Klicken Sie auf Connect, um eine Verbindung mit dem VPN-Client herzustellen.
Geben Sie bei Aufforderung Ihren Microsoft-Benutzernamen und Ihr Kennwort ein, um sich bei der Domäne anzumelden.
Da Sie per Remote-Zugriff verbunden sind, verlassen Sie sich auf WINS oder DNS, um zu erfahren, wo der Domänen-Controller für die Domäne ist, auf die Sie zugreifen. Wenn Sie immer noch Probleme haben, können Probleme mit Ihren WINS- oder DNS-Servern auftreten. Erstellen Sie eine LMHOSTS-Datei, wenn Sie eine Variante des Fehlers erhalten, der auf "No Domain Controller Found" (Kein Domänencontroller gefunden) hinweist.
Hinweis: Das Browsen der Netzwerkumgebung ist eine Funktion des Microsoft-Browsing-Services, nicht des Cisco VPN-Clients. Probleme entstehen in der Regel dadurch, dass der PC oder der Hauptbrowser nicht ordnungsgemäß funktioniert. Netzwerkumgebung wird offiziell nicht unterstützt. Es funktioniert jedoch, wenn es richtig konfiguriert ist.
Das Browsen der Netzwerkumgebung erfolgt durch Abrufen der Suchliste von einem Master- oder Backup-Browser. Diese Liste wird lokal in Ihrem LAN mithilfe von NetBIOS-Broadcasts abgerufen, um Domänen-Browser zu finden und zu finden.
Broadcasts durchlaufen keinen IPsec-Tunnel. Stellen Sie sicher, dass der VPN Client PC richtig eingerichtet ist, und melden Sie sich bei der Domäne an.
Stellen Sie zuerst sicher, dass NetBIOS über TCP auf dem Adapter aktiviert ist, den Sie für die Verbindung zur Domäne verwenden. Stellen Sie außerdem sicher, dass der Client für Microsoft-Netzwerke aktiviert ist. Wenn Sie Laufwerke nach IP-Adresse zuordnen können, wird NetBIOS weitergeleitet.
Melden Sie sich bei der Domäne an.
Wenn sich der Computer bei der Domäne anmeldet, leitet der Domänen-Controller (der der Domänenmaster-Browser sein sollte) den Browserdienst an einen Masterbrowser um. Der Masterbrowser leitet dann zu einem Backup-Browser um. Dort wird die Suchliste abgerufen.
Tritt zunächst ein Problem mit dem Domänen-Controller auf, z. B. wenn es sich nicht um den Domänen-Masterbrowser handelt, wird der Client nie an den Master-Browser weitergeleitet. Fehlerbehebung für Ihre Browserdienste im LAN mit BROWSTAT.EXE, die Sie vom NT4 Resource Kit (erhältlich bei Microsoft) erhalten können.
Ein PC, auf dem Windows ME ausgeführt wird, ähnelt einem Computer, auf dem Windows 98 ausgeführt wird. Der PC meldet sich nicht bei einer Windows NT/2000-Domäne an. Konfigurieren Sie den Arbeitsgruppennamen Ihres Windows ME-PCs so, dass er mit dem Windows NT/2000-Domänennamen übereinstimmt, sodass die Domäne die NetBIOS-Informationen mit dem VPN-Client teilt.
Wenn Sie immer noch Probleme haben, können Sie einige der folgenden zusätzlichen Vorschläge machen:
Reduzieren Sie die MTU-Größe (Maximum Transmission Unit) auf dem VPN-Client.
Wählen Sie Start > Programme > Cisco Systems VPN Client > MTU festlegen aus.
MTU auf 1.400 Byte (oder weniger) festgelegt. Überprüfen Sie, ob Sie NetBIOS-Namen verwenden können. Dies wird auch verwendet, um festzustellen, ob Pakete verworfen wurden.
Wählen Sie Start > Ausführen aus. Geben Sie ipconfig /all ein, um zu überprüfen, ob der VPN-Client die richtigen WINS- und DNS-Informationen vom VPN-Concentrator erhält. Überprüfen Sie das geraden Protokoll für den VPN-Client.
Stellen Sie sicher, dass der PC, der den VPN-Client ausführt, mithilfe des Dynamic Host Configuration Protocol (DHCP) korrekt bei WINS- und/oder DNS-Servern registriert wird.
Vergewissern Sie sich, dass zwischen dem VPN-Client und den Ressourcen, auf die Sie zugreifen, keine Filtergeräte vorhanden sind. Stellen Sie sicher, dass die erforderlichen Ports für Microsoft-Netzwerke passieren dürfen. Standardmäßig blockiert der VPN 3000-Konzentrator keine dieser erforderlichen Ports. Weitere Informationen zu Microsoft-Netzwerkports finden Sie unter Windows NT, Terminal Server und Microsoft Exchange Services Use TCP/IP Ports .
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
08-Oct-2018 |
Erstveröffentlichung |