Cisco VPN クライアントで VPN トンネルを確立した後の Microsoft のネットワーク ネイバー関連のトラブルシューティング

概要

このドキュメントでは、Cisco VPN Client が稼働している Microsoft Windows/NT プラットフォームでマイ ネットワーク（Network Neighborhood）を参照するときに発生する一般的な問題のトラブルシューティング方法について説明します。

注：リモートVPNクライアントから内部ネットワークデバイスへのIP接続が存在する場合は、ここで説明する問題をMicrosoftが解決する必要があります。Microsoft 社の参照サービスの機能であり、Cisco VPN Client の機能ではありません。マイ ネットワークは正式にはサポートされていません。ただし、正しく設定すればこの機能は正常に動作します。PC またはマスター ブラウザが正しく機能していない場合に問題が発生します。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco VPN Client

• Microsoft Windows オペレーティング システム XP、2000、NT、95、98

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

参照の問題

VPN トンネルが確立されていると、マイ ネットワークを参照できません。この問題は、VPN 製品の問題に付随して一般的に発生する Microsoft 製品のネットワーク通信の複数の問題が原因になっている可能性があります。これらの問題には次のようなものがあります。

• ネットワーク リソースとコンピュータに対して、IP アドレス、NetBIOS 名、または FQDN による Ping が成功しない

• ネットワーク ドライブをマップできない、またはマイ ネットワークを参照できない

• ドメインにログオンできない

これらの問題の解決方法を、このドキュメントの各セクションで説明します。該当するソリューションを調べても問題を解決できない場合は、Microsoft 社に連絡してデバッグに関する詳細なサポートを受けてください。

ネットワーク リソースとコンピュータに対して、IP アドレス、NetBIOS 名、または FQDN による Ping が成功しない

状況によっては、リモート コンピュータ、Windows Internet Naming Service（WINS）サーバ、ドメイン コントローラ、ファイル サーバなどに対して、IP アドレス、NetBIOS 名、または Fully Qualified Domain Name（FQDN; 完全修飾ドメイン名、「myserver.mydomain.com」など）による Ping が成功しないことがあります。 IP アドレスでの Ping が成功する場合は、IP 接続されていることを示しています。この場合、問題の原因はおそらく Windows ネットワークの名前解決の問題に関係しています。

注：IPSecではトンネルを介したマルチキャストまたはブロードキャストが許可されないため、NETBIOSはブロードキャスト/マルチキャストをネットワークに送信して名前解決を実行するため、VPNトンネル経由ではサポートされません。

この問題を解決するには、次の方法を試してください。

• ネットワーク リソースに対する Ping が成功する場合は、「ネットワーク ドライブをマップできない、またはマイ ネットワークを参照できない」のセクションを参照してください。

• Ping が成功しない場合は、ルーティング デバイスと Network Address Translation（NAT; ネットワーク アドレス変換）デバイスの設定に問題がないかどうかを確認してください。

• さらにサポートが必要な場合は、Microsoft 社の Web サイトで TCP/IP と名前解決に関する情報を参照してください。

  • Managing TCP/IP Networking

  • Client Receives Error When Resolving FQDN

  • Microsoft TCP/IP Host Name Resolution Order

  • NetBIOS over TCP/IP Name Resolution and WINS

  • Troubleshooting Browsing with Client for Microsoft Networks

  • Default Node Type for Microsoft Clients

ネットワーク ドライブをマップできない、またはマイ ネットワークを参照できない

IPsec では NetBIOS ブロードキャスト トラフィックはカプセル化されません。Microsoft ネットワーク上のドライブをマップするには WINS サーバが必要になります。

問題の原因を特定するには、次の方法を試してください。

• アクセスする共有ドライブに対して、CLI コマンド net use を発行します。

• [スタート] > [ファイル名を指定して実行]を選択し、[コンピュータの検索]と入力して、ネットワークリソースの検索を試みます。

• マイ ネットワークのアイコンをダブルクリックします。すべてまたは一部のネットワーク リソースと PC が表示されているかどうかを確認します。

• VPN Client が稼働する PC で、WINS と Domain Name System（DNS; ドメイン ネーム システム）の情報が正しく設定されているかどうかを確認します。

  • [Start] > [Run]を選択し、winipcfg（Windows 9xマシン）またはipconfig /all（Windows NT、2000、およびXPマシン）と入力して、この情報を表示します。

  • イベント ログとデバッグを確認して、ヘッドエンド デバイスからリモートの VPN Client に渡される WINS 情報と DNS 情報を確認します。

• LMHOSTS ファイルを使用している場合は、nbtstat -c コマンドを発行して NetBIOS 名の使用を試します。LMHOST ファイルがロードされると、ライフタイムが -1 と表示されます。

• Windows 9x および ME クライアントの場合は、ネットワーク クライアントがロードされているかどうかを確認します（XP Home Edition ではサポートされていません）。

ドメインにログオンできない

この問題が発生した場合に確認する必要がある一般的な項目は次のとおりです。

• Cisco VPN Client の Start Before Login ユーティリティを使用しているかどうか

• 9x クライアントで Microsoft ネットワーキング用のクライアントを使用しているかどうか

• 監査トレイルをオンにしたときに、ドメイン コントローラでログイン失敗イベント メッセージが表示されるかどうか

ここでは、各オペレーティング システムごとの詳細なトラブルシューティング方法について説明します。

Windows 95/98

ネットワーク クライアントがロードされているかどうかを確認します。

1. マイ ネットワークを右クリックします。[Properties] を選択します。Client for Microsoft Networks と File and Printer Sharing が表示されていることを確認します。これらの機能がインストールされていない場合はインストールします。必要な場合は、コンピュータを再起動します。

2. VPN Clientで、[Options] > [Properties] > [Connections]をクリックし、[Connect to the Internet via dial-up]をオンにします。

3. VPN Clientで、[Options] > [Windows Logon Properties]の順にクリックし、[Enable start before logon]をオンにします。

Windows NT、2000、および XP

Windows NT、2000、および XP マシンの動作は Windows 95/98 マシンの動作とは異なります。VPN Client には Microsoft ネットワークにログオンするオプションがありません。マシンをブートアップすると、ドメインにログオンするためのダイアログが表示されます。

ドメインにアクセスできない状態でリモート サイトから接続を確立しようとすると（つまり、ネットワークの外部からドメインにアクセスしようとすると）、ドメイン コントローラを検出できませんでしたというエラー メッセージが表示されます。

ISP 経由でダイヤルアップ サービスや DSL サービスを使用して VPN コンセントレータとの VPN トンネルを確立する場合は、ドメインにログオンするためのダイアログが表示されません。その代わりに、セキュア リンクで処理を続行できます。

ドメインにログオンするにはネットワーク ドライブをマップします（まだマップしていない場合）。ネットワークにログオンするには、マップされているドライブをダブルクリックして、パスワード プロンプトを表示します。

PC のネットワーク プロパティを調べて、ドメイン名などが正しく設定されていることを確認します。

注：キーは、NTドメインに正常にログオンすることです。

注：NTマシンを使用してログオンスクリプトを実行する場合は、クライアントでEnable start before logon機能を有効にします。

ダイヤルアップ接続の使用

ダイヤルアップ モデムを使用して接続する場合は、次の手順を実行します。

1. ISP への Microsoft Dial-Up Networking（DUN）接続を作成します。

2. ダイヤルアップ アダプタで Client for Microsoft Networks と File and Print Sharing を有効にします。デフォルトでは、これらの機能は有効になっていませんが、Microsoft サービスを実行するにはこれらの機能が必要です。

3. [Start] > [Programs] > [Cisco Systems VPN Client]を選択します。Options メニューを選択します。Windows Logon Properties を選択して、Enable start before logon が選択されていることを確認します。[OK] をクリックします。

   

   

4. 接続項目を右クリックして（必要な場合は項目を作成して）、Modify を選択します。Dial-up タブに移動して、Connect to the Internet via Dial-up を選択します。手順 1 で作成した DUN 接続を選択して、Save をクリックします。

   

   

5. コンピュータからログオフします。再ブートの必要はありません。

6. Ctrl+Alt+Delete キーを押します。DUN ユーザ名とパスワードを入力してインターネットに接続し、VPN Client を起動します。

7. Connect をクリックして、VPN Client による接続を確立します。

8. プロンプトが表示されたら、Microsoft ユーザ名とパスワードを入力してドメインにログオンします。

リモートから接続しているため、アクセスするドメインのドメイン コントローラの場所に関する情報は WINS または DNS によって提供されます。この方法で問題が解決しない場合は、WINS または DNS サーバに問題があります。ドメイン コントローラを検出できないというエラー メッセージが表示される場合は、LMHOSTS ファイルを作成してください。

イーサネット接続またはブロードバンド接続の使用

高速ブロードバンド サービスを使用して接続する場合は、次の手順を実行します。

1. ダイヤルアップ アダプタで Client for Microsoft Networks と File and Print Sharing を有効にします。デフォルトでは、これらの機能は有効になっていませんが、Microsoft サービスを実行するにはこれらの機能が必要です。

2. [Start] > [Programs] > [Cisco Systems VPN Client]を選択します。Options メニューを選択します。Windows Logon Properties を選択して、Enable start before logon が選択されていることを確認します。[OK] をクリックします。

   

   

3. コンピュータからログオフします。再ブートの必要はありません。

4. Ctrl+Alt+Delete キーを押して、VPN Client を起動します。

5. Connect をクリックして、VPN Client による接続を確立します。

6. プロンプトが表示されたら、Microsoft ユーザ名とパスワードを入力してドメインにログオンします。

リモートから接続しているため、アクセスするドメインのドメイン コントローラの場所に関する情報は WINS または DNS によって提供されます。この方法で問題が解決しない場合は、WINS または DNS サーバに問題がある可能性があります。ドメイン コントローラを検出できないというエラー メッセージが表示される場合は、LMHOSTS ファイルを作成してください。

マイ ネットワークの参照

注：ネットワークネイバーフッドの閲覧は、Cisco VPN Clientではなく、Microsoftの閲覧サービスの機能です。通常、問題が発生するのは、PC またはマスター ブラウザが正しく機能していないためです。マイ ネットワークは正式にはサポートされていません。ただし、正しく設定すればこの機能は正常に動作します。

マイ ネットワークの参照は、マスター ブラウザまたはバックアップ ブラウザから参照リストを取得することで実現されます。このリストは、NetBIOS ブロードキャストを使用してドメイン ブラウザを検出することにより、LAN 上でローカルに取得されます。

ブロードキャストは IPsec トンネルを通過しません。VPN Client PC が正しく設定されていることを確認してから、ドメインにログオンしてください。

最初に、ドメインへの接続に使用するアダプタで NetBIOS over TCP が有効になっていることを確認します。次に、Client for Microsoft Networks が有効になっていることを確認します。IP アドレスを使用してドライブをマップできる場合は、NetBIOS はパススルーになっています。

ドメインにログオンします。

コンピュータがドメインにログインすると、ドメイン コントローラ（通常はドメインのマスター ブラウザ）が参照サービスをマスター ブラウザにリダイレクトします。次に、マスター ブラウザがバックアップ ブラウザにサービスをリダイレクトします。これにより参照リストが取得されます。

最初にドメイン コントローラに問題がある場合（たとえば、ドメインのマスター ブラウザになっていない場合）、クライアントはマスター ブラウザにリダイレクトされません。この場合は、BROWSTAT.EXE を使用して LAN の参照サービスの問題を解決します。このツールは Microsoft 社が提供する NT4 Resource Kit に含まれています。

Windows ME

Windows MEを実行するPCは、Windows 98を実行するマシンに似ています。PCはWindows NT/2000ドメインにログオンしません。このドメインと VPN Client の間で NetBIOS 情報を共有させるには、Windows ME PC のワークグループを Windows NT/2000 ドメインと同じ名前に設定します。

トラブルシューティングに関する追加情報

これらの方法で問題が解決しない場合は、次の方法を試してください。

• VPN Client で Maximum Transmission Unit（MTU; 最大伝送ユニット）のサイズを低く設定します。

  1. [Start] > [Programs] > [Cisco Systems VPN Client] > [Set MTU]の順に選択します。

  2. MTU を 1400 バイト以下に設定します。 NetBIOS 名を使用できるかどうかを確認します。これは、パケットの欠落を確認する目的にも使用されます。

• [Start] > [Run] の順に選択します。ipconfig /all と入力して、VPN Client が VPN コンセントレータから正しい WINS 情報と DNS 情報を受信していることを確認します。VPN Client のイベント ログを確認します。

• VPN Client が稼働する PC が、Dynamic Host Configuration Protocol（DHCP）によって WINS サーバまたは DNS サーバに正しく登録されていることを確認します。

• VPN Client とアクセス先のリソースの間にフィルタリング デバイスが存在していないことを確認します。Microsoft ネットワーキングに必要なポートが遮断されていないことを確認します。VPN 3000 コンセントレータのデフォルト設定では、これらの必要なポートは遮断されていません。Microsoftネットワーキングポートの詳細については、「Windows NT、ターミナルサーバ、およびMicrosoft ExchangeサービスでのTCP/IPポートの使用 」を参照してください。

関連情報

• IPSec サポート ページ