在设立VPN隧道以后用Cisco VPN客户端排除Microsoft网络邻居故障

下载选项

PDF (269.4 KB)
在各种设备上使用 Adobe Reader 查看
ePub (148.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (243.1 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2018 年 10 月 8 日

文档 ID:43066

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍当 Cisco VPN Client 在 Microsoft Windows/NT 平台上运行时，如何在浏览网上邻居期间对某些常见问题进行故障排除。

注意：当从远程VPN客户端到内部网络设备存在IP连接时，此处讨论的问题需要由Microsoft解决。浏览网上邻居是一个 Microsoft 浏览服务功能，而不是 Cisco VPN Client 功能。系统不正式支持网上邻居。但是，如果对其进行正确配置，网上邻居可正常使用。如果 PC 或主浏览器没有正常工作，则将发生问题。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

Cisco VPN 客户端
Microsoft Windows 操作系统 XP、2000、NT、95、98

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

浏览问题

当 VPN 隧道建立时，您无法浏览网上邻居。此问题可能是由随 VPN 产品问题而发生的几个常见 Microsoft 联网问题引起的。这些问题包括：

无法通过 IP 地址、NetBIOS 名称或 FQDN 来 ping 网络资源和计算机。
无法映射网络驱动器或浏览网上邻居。
无法登录到域。

这些特定问题的解决方案将在本文档的不同部分中进行介绍。如果在检查适当的解决方案后仍有问题，请致电Microsoft以获取详细的调试支持。

无法通过 IP 地址、NetBIOS 名称或 FQDN 来 ping 网络资源和计算机

在某些情况下，您无法通过 IP 地址、NetBIOS 名称和完全限定域名（FQDN，例如 myserver.mydomain.com）来 ping 远程计算机、Windows Internet 命名服务 (WINS) 服务器、域控制器或文件服务器。如果可以通过 IP 地址来执行 ping 操作，则说明存在 IP 连接。此问题很有可能与您的 Windows 网络上的名称解析问题有关。

注意：由于IPSec不允许在隧道内进行组播或广播，因此NETBIOS不支持通过VPN隧道，因为它向网络发送广播/组播以执行名称解析。

请尝试以下建议来解决此问题。

如果无法 ping 网络资源，请参阅无法映射网络驱动器或浏览网上邻居部分。
如果无法执行 ping 操作，请检查路由设备和网络地址转换 (NAT) 设备是否存在配置问题。
如需进一步帮助，请参阅 Microsoft 网站中关于 TCP/IP 和名称解析的相关信息。

无法映射网络驱动器或浏览网上邻居

IPSec 不封装 NetBIOS 广播流量。需要有 WINS 服务器才能在 Microsoft 网络中映射驱动器。

在尝试确定此问题的根本原因时，请考虑以下建议：

向尝试访问的共享驱动器发出 net use CLI 命令。
选择开始 > 运行，然后键入 Find Computer 以尝试找到网络资源。
双击网上邻居图标。检查是否显示了部分或全部网络资源和 PC。
验证运行 VPN 客户端的 PC 是否获取了正确的 WINS 和域名系统 (DNS) 信息。
- 选择开始 > 运行，然后键入 winipcfg（Windows 9x 设备）或 ipconfig /all（Windows NT、2000 和 XP 设备）以查看此信息。
- 检查事件日志和调试以查看从前端设备传递到远程 VPN 客户端的 WINS 和 DNS 信息。
如果您使用 LMHOSTS 文件，则通过发出 nbtstat-c 命令来尝试使用 NetBIOS 名称。加载 LMHOST 文件后，有效期读数为 -1。
对于 Windows 9x 和 ME 客户端，请验证是否已加载网络客户端。（XP Home 不支持此功能。）

无法登录到域

在您遇到问题时，可检查以下一般项目。

您是否使用 Cisco VPN Client 的 Start Before Login 实用程序？
您是否将该客户端用于 9x 客户端上的 Microsoft 联网？
当您打开审计线索时，是否看到您的域控制器上的故障事件消息的任何记录？

下面是用于特定操作平台的详细故障排除信息。

Windows 95/98

验证是否已加载网络客户端。

右键单击“网上邻居”。选择属性。验证是否存在“Microsoft 网络客户端”和“文件和打印机共享”。如果尚未安装这些功能，请进行安装。如果看到重新启动计算机的提示，请重新启动计算机。
在 VPN 客户端上，单击 Options > Properties > Connections，然后选中 Connect to the Internet via dial-up。
在登录之前，在VPN客户端软件上点击Options>Windows Logon Properties，并检查Enable start命令。

Windows NT、2000 和 XP

Windows NT、2000 和 XP 计算机的行为与 Windows 95/98 计算机不同。VPN 客户端没有登录到 Microsoft 网络的选项。当您启动计算机时，它会提示您登录到域。

如果在不访问该域的情况下（换言之，您不在内部网络上）尝试从远程站点建立连接，则会得到错误消息“No Domain Controller could be found.”。

当您尝试通过 ISP 拨号或使用 DSL 服务用 VPN 集中器建立 VPN 隧道时，该连接不会提示您登录到域。相反，您能够继续使用安全链路。

映射某个驱动器（如果还没有映射）以登录到域。双击映射的驱动器以获得口令提示，以便您就能够登录到网络。

检查计算机的联网属性以确保 PC 已配置正确的域名等。

注意：关键是成功登录到NT域。

注意：如果要通过NT计算机运行登录脚本，请在客户端中启用“登录前启动”功能。

使用拨号连接

执行以下步骤以使用拨号调制解调器进行连接。

创建与您的 ISP 之间的 Microsoft 拨号网络 (DUN) 连接。
启用拨号适配器上的“Microsoft 网络客户端”和“文件和打印机共享”。默认情况下，这些功能未启用。不过，需要启用这些功能才能运行 Microsoft 服务。
选择开始 > 程序 > Cisco Systems VPN Client。选择 Options 菜单。选择 Windows Logon Properties，并确保已选择 Enable start before logon。Click OK.
右键单击连接项（如果需要，可创建一个连接项），然后选择 Modify。转到“Dial-up”选项卡，然后选择 Connect to the Internet via Dial-up。选择在步骤 1 中创建的 DUN 连接，然后单击 Save。
注销计算机。无需重新启动。
按 Ctrl+Alt+Delete。输入您的 DUN 用户名和口令以连接到 Internet，并启动 VPN 客户端。
单击 Connect 以建立与 VPN 客户端的连接。
显示提示后，请输入您的 Microsoft 用户名和口令以登录到域。

由于是远程连接的，您需要依靠 WINS 或 DNS 来获知所访问的域的域控制器所在的位置。如果仍然有问题，则说明 WINS 或 DNS 服务器存在问题。如果遇到显示“No Domain Controller Found.”的某种形式的错误，请创建 LMHOSTS 文件。

使用以太网或宽带连接

完成以下步骤以使用高速宽带服务进行连接。

启用拨号适配器上的“Microsoft 网络客户端”和“文件和打印机共享”。默认情况下，这些功能未启用。不过，需要启用这些功能才能运行 Microsoft 服务。
选择开始 > 程序 > Cisco Systems VPN Client。选择 Options 菜单。选择 Windows Logon Properties，并确保已选择 Enable start before logon。Click OK.
注销计算机。无需重新启动。
按 Ctrl+Alt+Delete 以启动 VPN 客户端。
单击 Connect 以建立与 VPN 客户端的连接。
显示提示后，请输入您的 Microsoft 用户名和口令以登录到域。

由于是远程连接的，您需要依靠 WINS 或 DNS 来获知所访问的域的域控制器所在的位置。如果仍然有问题，则说明 WINS 或 DNS 服务器可能存在问题。如果遇到显示“No Domain Controller Found.”的某种形式的错误，请创建 LMHOSTS 文件。

浏览网上邻居

注意：浏览网络邻居是Microsoft浏览服务的功能，而不是Cisco VPN客户端。通常，所有问题的原因都是 PC 或主浏览器无法正常工作。系统不正式支持网上邻居。但是，如果对其进行正确配置，则网上邻居可正常使用。

从主设备或备用浏览器中获得访问列表，可以浏览网络邻居工作。使用NETBIOS广播，可以在您的LAN本地获得此列表，找到和定位域浏览器。

广播不会通过 IPSec 隧道。请确保 VPN 客户端 PC 已正确设置并登录到域。

首先确保用来连接到域的适配器上已启用 TCP 上的 NetBIOS。还要确保已启用 Microsoft 网络客户端。如果您能够通过 IP 地址来映射驱动器，则 NetBIOS 可通过。

登录到域。

当计算机登录到域时，域控制器（应为该域的主浏览器）将浏览服务重定向到主浏览器。随后，该主浏览器重定向到备用浏览器。在这里，它将获得浏览列表。

如果域控制器最初存在问题（例如，不是该域的主浏览器），则它从不会将客户端定向到主浏览器。使用 BROWSTAT.EXE 对 LAN 上的浏览服务进行故障排除，BROWSTAT.EXE 可从 NT4 资源工具包（可从 Microsoft 获得）获取。

Windows ME

运行Windows ME的PC类似于运行Windows 98的计算机。该PC不登录Windows NT/2000域。请将 Windows ME PC 的工作组名称配置为与 Windows NT/2000 域名相同，以便该域可与 VPN 客户端共享 NetBIOS 信息。

其他故障排除信息

如果仍然有问题，请尝试下面的其他建议：

降低 VPN 客户端上的最大传输单元 (MTU) 大小。
1. 选择开始 > 程序 > Cisco Systems VPN Client > Set MTU。
2. 将 MTU 设置为 1400 字节（或更低）。检查是否可以使用 NetBIOS 名称。此操作也可用于检查是否存在丢弃的数据包。
选择Start > Run。键入 ipconfig /all 以验证 VPN 客户端是否从 VPN 集中器接收正确的 WINS 和 DNS 信息。检查 VPN 客户端的事件日志。
验证运行 VPN 客户端的 PC 是否已通过动态主机配置协议 (DHCP) 向 WINS 和/或 DNS 服务器注册。
验证 VPN 客户端和您尝试访问的资源之间是否存在过滤器。确保允许 Microsoft 联网所需的端口通过。默认情况下，VPN 3000 集中器不会阻止其中任何一个必要端口。有关 Microsoft 联网端口的详细信息，请参阅 Windows NT、终端服务器和 Microsoft Exchange 服务用 TCP/IP 端口。