使用Cisco VPN客戶端建立VPN隧道後Microsoft網路鄰居故障排除

簡介

本文檔介紹在Microsoft Windows/NT平台上運行Cisco VPN客戶端時，如何在瀏覽Network Neighborhood時排除一些常見問題。

注意：當存在從遠端VPN客戶端到內部網路裝置的IP連線時，此處討論的問題需要由Microsoft解決。瀏覽網路鄰居是Microsoft瀏覽服務的功能，而不是Cisco VPN客戶端。網路鄰居不受正式支援。但是，如果配置正確，則它工作正常。如果PC或主瀏覽器無法正常工作，則會出現問題。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco VPN使用者端

• Microsoft Windows作業系統XP、2000、NT、95、98

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

瀏覽問題

建立VPN隧道時，不能瀏覽網路鄰居。此問題可能由與VPN產品問題一起出現的幾個常見Microsoft網路問題導致。問題是：

• 無法通過IP地址、NetBIOS名稱或FQDN對網路資源和電腦執行ping操作。

• 無法對映網路驅動器或瀏覽網路鄰居。

• 無法登入到域。

這些特定問題的解決方案將在本文檔的各個部分中說明。如果在檢查適當的解決方案後仍有問題，請致電Microsoft獲取詳細的調試支援。

無法通過IP地址、NetBIOS名稱或FQDN對網路資源和電腦執行Ping

在某些情況下，您無法通過IP地址和NetBIOS名稱以及完全限定的域名(FQDN，如myserver.mydomain.com)對遠端電腦、Windows Internet命名服務(WINS)伺服器、域控制器、檔案伺服器執行ping。 如果您可以通過IP地址執行ping，則表示IP連線存在。此問題很可能與您的Windows網路上的名稱解析問題有關。

注意：由於IPSec不允許在隧道中組播或廣播，因此VPN隧道不支援NETBIOS，因為它將廣播/組播傳送到網路以執行名稱解析。

嘗試這些建議來解決您的問題。

• 如果能夠對網路資源執行ping操作，請參閱無法對映網路驅動器或瀏覽網路鄰居部分。

• 如果無法ping，請檢查路由裝置和網路地址轉換(NAT)裝置是否存在可能的配置問題。

• 如需進一步的協助，請參閱Microsoft網站以瞭解TCP/IP和名稱解析的相關資訊。

  • 管理TCP/IP網路

  • 解析FQDN時客戶端收到錯誤

  • Microsoft TCP/IP主機名解析順序

  • 使用TCP/IP的NetBIOS名稱解析和WINS

  • 使用Microsoft網路客戶端瀏覽故障排除

  • Microsoft客戶端的預設節點型別

無法對映網路驅動器或瀏覽網路鄰居

IPsec不會封裝NetBIOS廣播流量。需要使用WINS伺服器來對映Microsoft網路上的驅動器。

當您嘗試確定問題的根源時，請考慮以下建議。

• 對您嘗試訪問的共用驅動器發出net use CLI命令。

• 選擇開始>運行，然後鍵入查詢電腦以嘗試查詢網路資源。

• 按兩下「Network Neighborhood（網路上的芳鄰）」圖示。檢查是否顯示部分或全部網路資源和PC。

• 驗證運行VPN客戶端的PC是否獲得正確的WINS和域名系統(DNS)資訊。

  • 選擇Start > Run並鍵入winipcfg（在Windows 9x電腦上）或ipconfig /all（在Windows NT、2000和XP電腦上）以檢視此資訊。

  • 檢查事件日誌和調試以檢視從頭端裝置傳送到遠端VPN客戶端的WINS和DNS資訊。

• 如果使用LMHOSTS檔案，請發出nbtstat -c命令嘗試使用NetBIOS名稱。載入LMHOST檔案後，生存期為–1。

• 對於Windows 9x和ME客戶端，請驗證是否已載入網路客戶端。（XP Home不支援此功能。）

無法登入到域

以下是一些常見專案，用於檢查您是否遇到問題。

• 是否使用Cisco VPN Client Start Before Login實用程式？

• 您是否在9x客戶端上使用用於Microsoft網路的客戶端？

• 啟用稽核跟蹤時，您是否在域控制器上看到任何登入失敗事件消息？

此處顯示特定操作平台的詳細故障排除資訊。

Windows 95/98

驗證是否已載入網路客戶端。

1. 按一下右鍵「網路鄰居」。選擇屬性。驗證「Client for Microsoft Networks and File and Printer Sharing（Microsoft網路客戶端以及檔案和印表機共用）」是否存在。如果尚未安裝這些功能，請安裝它們。如果系統提示您重新啟動電腦，請重新啟動電腦。

2. 在VPN客戶端上，按一下Options > Properties > Connections，然後選中Connect to the Internet via dial-up。

3. 在VPN客戶端上，按一下選項> Windows登入屬性，並選中Enable start before logon。

Windows NT、2000和XP

Windows NT、2000和XP電腦的行為與Windows 95/98電腦不同。VPN客戶端沒有登入到Microsoft網路的選項。啟動電腦時，它會提示您登入到域。

如果您嘗試在不訪問域的情況下從遠端站點建立連線（換句話說，您不在內部網路上），您將收到一條錯誤消息，指示「找不到域控制器」。

當您嘗試通過ISP撥號或使用DSL服務通過VPN集中器建立VPN隧道時，連線不會提示您登入到域。您可以繼續使用安全鏈路。

對映驅動器（如果您尚未這樣做）以登入到域。按兩下對映的驅動器以獲取密碼提示，以便登入到網路。

檢查電腦上的網路屬性，確保PC配置了正確的域名等。

注意：關鍵是要成功登入到NT域。

註：如果要通過NT電腦運行登入指令碼，請在客戶端中啟用登入前啟動功能。

使用撥號連線

完成以下步驟，使用撥號數據機進行連線。

1. 建立與您的ISP的Microsoft撥號網路(DUN)連線。

2. 在撥號介面卡上啟用Microsoft網路客戶端以及檔案和列印共用。預設情況下，這些功能未啟用。但是，它們需要運行Microsoft服務。

3. 選擇Start > Programs > Cisco Systems VPN Client。選擇選項選單。選擇Windows登入屬性，並確保選中Enable start before logon。按一下「OK」（確定）。

   

   

4. 按一下右鍵連線條目（如果需要，也可以建立一個），然後選擇Modify。轉到「撥號」頁籤，然後選擇「通過撥號連線到Internet」。選擇在步驟1中建立的DUN連線，然後按一下Save。

   

   

5. 註銷電腦。無需重新啟動。

6. 按Ctrl-Alt-Delete。輸入您的DUN使用者名稱和密碼以連線到Internet並啟動VPN客戶端。

7. 按一下Connect與VPN客戶端建立連線。

8. 出現提示時，輸入您的Microsoft使用者名稱和密碼以登入該域。

由於您是遠端連線的，因此您依賴於WINS或DNS來瞭解您訪問的域的域控制器位置。如果您仍然有問題，您的WINS或DNS伺服器有問題。如果收到表示「未找到域控制器」的錯誤變體，請建立LMHOSTS檔案。

使用乙太網或寬頻連線

完成以下步驟，使用高速寬頻服務進行連線。

1. 在撥號介面卡上啟用Microsoft網路客戶端以及檔案和列印共用。預設情況下，這些功能未啟用。但是，它們需要運行Microsoft服務。

2. 選擇Start > Programs > Cisco Systems VPN Client。選擇選項選單。選擇Windows登入屬性，並確保選中Enable start before logon。按一下「OK」（確定）。

   

   

3. 註銷電腦。無需重新啟動。

4. 按Ctrl-Alt-Delete啟動VPN客戶端。

5. 按一下Connect與VPN客戶端建立連線。

6. 出現提示時，輸入您的Microsoft使用者名稱和密碼以登入該域。

由於您是遠端連線的，因此您依賴於WINS或DNS來瞭解您訪問的域的域控制器位置。如果仍然存在問題，則您的WINS或DNS伺服器可能存在問題。如果收到表示「未找到域控制器」的錯誤變體，請建立LMHOSTS檔案。

瀏覽網路鄰居

注意：Browsing Network Neighborhood是Microsoft瀏覽服務的功能，而不是使用Cisco VPN客戶端。任何問題通常都是因為PC或主瀏覽器無法正常工作。官方不支援網路鄰居。但是，如果配置正確，則它工作正常。

Browsing Network Neighborhood是通過從主瀏覽器或備用瀏覽器獲取瀏覽清單來運行的。使用NetBIOS廣播查詢和定位域瀏覽器，可在本地區域網上獲取此清單。

廣播不會通過IPsec隧道。確保VPN客戶端PC設定正確並登入到域。

首先確保在用於連線到域的介面卡上啟用了TCP上的NetBIOS。同時確保啟用了Client for Microsoft Networks。如果可以按IP地址對映驅動器，則NetBIOS將通過。

登入到域。

當電腦登入到域時，域控制器（應該是域主瀏覽器）將瀏覽服務重定向到主瀏覽器。然後，主瀏覽器重定向到備用瀏覽器。從那裡獲取瀏覽清單。

如果最初域控制器出現問題（例如不是域主瀏覽器），則它不會將客戶端定向到主瀏覽器。使用BROWSTAT.EXE對LAN上的瀏覽服務進行故障排除，您可以從NT4資源工具包（可從Microsoft獲得）獲得該軟體包。

Windows ME

運行Windows ME的PC類似於運行Windows 98的電腦。該PC不登入到Windows NT/2000域。將Windows ME PC的工作組名稱配置為Windows NT/2000域名，以便該域與VPN客戶端共用NetBIOS資訊。

其他故障排除資訊

如果仍然存在問題，請嘗試下列其他建議：

• 降低VPN客戶端上的最大傳輸單位(MTU)大小。

  1. 選擇Start > Programs > Cisco Systems VPN Client > Set MTU。

  2. 將MTU設定為1400位元組（或更低）。 檢查是否可以使用NetBIOS名稱。這也用於檢查丟棄的資料包。

• 選擇開始>運行。鍵入ipconfig /all驗證VPN客戶端是否從VPN集中器收到正確的WINS和DNS資訊。檢查VPN客戶端的偶數日誌。

• 驗證運行VPN客戶端的PC是否通過動態主機配置協定(DHCP)正確註冊到WINS和/或DNS伺服器。

• 驗證VPN客戶端與您嘗試訪問的資源之間沒有過濾裝置。確保允許Microsoft網路所需的埠通過。預設情況下，VPN 3000 Concentrator不會阻止這些必要埠中的任何一個。有關Microsoft網路埠的詳細資訊，請參閱Windows NT、終端伺服器和Microsoft Exchange服務使用TCP /IP埠。

相關資訊

• IPsec支援頁面