ÇözümPark

Veri Depolamanın Temelleri Bölüm 1

FIRAT OZTURK — Sun, 05 Oct 2008 16:36:32 GMT

Veri Depolama sistemleri, uygulamaların gelişimi sonucu çıkan ihtiyaçları karşılamak üzere zaman içinde gelişmişlerdir. Veri depolama sistemlerine olan ihtiyacı tamamen uygulama sahiplerinin ve kullanıcılarının istekleri tetiklemektedir. Bir BT yöneticisi sık sık uygulama sahiplerinin bu ihtiyaçlarına cevap vermek durumunda kalmaktadır. Asıl sorun bu durumda ne tür bir yapılandırmaya, hangi tür veri depolama cihazına, hangi bağlantı tipine, ihtiyaç duyulduğunu belirleyebilmek. Genelde sadece kaç terabyte, hangi RAID tipi ve hangi bağlantı tipi almalıyım diye bakılmaktadır. Bu yazıda veri depolama sistemlerine ait bazı temel bilgilere değinilecektir.

BT ortamlarında en temel bileşen bir sunucu, onun üzerinde çalışan işletim sistemi ve çalışan uygulamadır. Zaman içinde uygulamaların ve çoğunlukla sunucuların sayısı artar sonrasında ise yedekleme, yetkilendirme, güvenlik gibi altyapı servisleri ile karmaşık bir ortam haline gelir. Bir süre sonra sunucuların üzerinde kullanılan sabit disklerde yapılan RAID’ler (Redundant Array of Independent Disk) ve bunlardan elde edilen kapasite ile performans yeterli olmamaya başlar ve veri depolama macerası başlar. İşte bu noktada birbirinden farklı tiplerde ve bağlantı teknolojilerine sahip veri depolama cihazları ile tanışılır.

Veri depolama cihazları aslen üç türdedir. Giriş seviyesi (entry), orta ölçekli (midrange) ve üst uç (high-end). Veri depolama cihazlarının bu türleri ise kendi içlerinde dört farklı kategoriye ayrılmaktadır. DAS (Direct attached storage, direkt bağlı veri depolama cihazı), SAN (Storage area network, veri depolama ağı), NAS (Network attached storage , Ağ temelli veri depolama) ve CAS(Content addressed storage, içerik adreslemeli veri depolama).

Veri depolama cihazlarının türleri arasındaki ayrım aslen denetleyici (controller) sayısına göre yapılmaktadır. Eğer veri depolama cihazının üzerinde bir adet denetleyici varsa giriş seviyesi, iki adet denetleyici varsa orta ölçekli, iki ve daha fazla denetleyiciye sahip olabiliyorsa üst uc veri depolama sistemi olarak tanımlanır.

Bütün bu cihazların ortak özelliği temelde üzerinde sabit disklerin ve denetleyicilerin bulunması, aynen sunuculardaki RAID denetleyici kartı ve sabit diskler gibi, ayrıca bir takım akıllı fonksiyonları barındırmasıdır. Denetleyicilerin ortak özelliği ise üzerlerinde işlemci, önbellek, sunucu portu ve disklere erişim sağlayan disk portu olmasıdır.

Peki sunucuların üzerinde bulunan RAID denetleme kartı ve sabit disklerden nasıl bu noktaya gelindi ?

Başlarda artan güvenli kapasite ihtiyacı için sadece RAID teknolojisi kullanılmaktaydı ancak zaman içinde ortaya çıkan performans ihtiyacı için SCSI temelli diskler kullanılmaya başlandı. SCSI diskler 10.000 ve 15.000 devir hızları ile günümüzde kullanılmaktadırlar. Ancak yavas yavas 10.000 devir sabit disklerde kullanımdan kalkmaktadır. Günümüzde kullanılmakta olan bir birinden farklı tipteki sabit disklerin hepsinin ortak özelliği içerisinde bir elektrik motoru ile dönen bir veya birden fazla plaka ve bu plakalara temas eden bir veya birden fazla iğneli kafanın bulunması. Bu aynen bir plaktan müzik çalan pikap gibidir. Tek fark teknoloji geliştikçe sabit kalan hacme (2.5” veya 3.5”) daha fazla veri sığdırmak için daha fazla plakaları üst üste koyup kafa sayısı arttırılmaktadır. Dolayısıyla sabit diskler aslında seri haberleşme yapan cihazlardır. Yani sabit diskler bir seferde sadece bir işlem gerçekleştirebilirler.

Burada biraz daha ayrıntıya inmekte fayda vardır. Sabit diskler seri haberleşme yaptıkları için her operasyon için belli bir süre harcarlar buna servis süresi (service time) denir. Sabit diske yapılan okuma yazma istekleri bir “kuyruk” (queue) oluşturur. Bu kuyruktaki işler ya sabit diskin üzerindeki bellekte ya da denetleyici (RAID kartı veya veri depolama sistemi denetleyicisi) üzerinde tutulmaktadır. Bir disk okuma yazma operasyonunun cevap süresi (response time) ;

Cevap süresi = (kuyruk +1) x Servis süresi

formulu ile hesaplanır. Bunu bir örnekle anlatmak gerekirse, alışveriş merkezinde kasa kuyruğunda bekleyen kişileri düşünün. Kuyruktaki bir kişinin ödemesini yapıp mağazadan çıkması için o anda kasada bulunan kişi dahil (+1 kısmı) önündeki kişilerin her biri için kasada geçecek toplam süre kadar beklemesi gerekir. Genelde bu tip durumlarda mağaza müdürü yeni bir kasa açar ve kuyruk daha çabuk biter, aynı RAID’de yapıldığı gibi.

Sabit disklerin bir veriye erişmesi için geçen süreye “arama süresi” (seek time) denir. Eğer sabit disk sürekli veriyi ararsa servis süresi uzayacaktır, bu durumdada cevap süresi artacaktır. Günümüzde kullanılan sabit diskler için 6 (yavaş diskler) ile 20(hızlı diskler) arası kuyruk uzunluğu makul kabul edilmektedir. Bir sabit diskin birazdan bahsedeceğimiz ardışıl erişim için 1ms, rastgele erişim için 3-5 ms arası servis süresi vardır.

IDE, SAS, SCSI, SATA veya Fibre Kanal disklerin hepsinin ortak özelliği budur. Bunları temelde birbirinden ayıran ise devir hızları ile bağlantı(kontrol kartı) teknolojisidir. Aslında yukarıdaki isimler sabit disklerin bağlantı tipine göre verilmektedir. Fibre kelimesi halen Türkiye BT piyasasında bazen yanlış kullanılmaktadır ve Fiber ile karıştırılmaktadır. Okunması aynı olsada yazımları farklıdır.

SCSI teknolojisi 320 Mb/s, SATA-I/ATA 1.5 Gb/s, SATA-II ve SAS teknolojisi 3 Gb/s hızında, Fibre kanal 4 Gb/s hızında bağlantı teknolojisine sahiptir.4 Gb/s hızının teorik karşılığı 500 MB/s, pratik karşılığı ise 360 MB/s hızında veri aktarımına denk gelmektedir.

SAS ve Fibre kanal disklerin temeli SCSI disklere dayanmaktadır. Genelde 10.000 ve 15.000 devir sabit diskler olarak çalışmaktadırlar, tek farkları kontrol kartlarının SAS veya Fibre Kanal olarak ayrı olmasıdır. ATA/SATA-I/SATA-II diskler 7.200 ve 5.400 devir hızı kullanılmaktadır. FATA olarak bilinen diskler ise aslen içinde ATA/SATA-I/SATA-II disk bulundurup kontrol kartları Fibre kanal olarak tasarlanmıştır.

Başlarda artan disk kapasitelerini karşılamak üzere ihtiyaç duyulan bu sistemler günümüzde öncelikle performans ihtiyaçlarını karşılamak için ihtiyaç duyulur hale gelmişlerdir. Bunun sebebi ise her geçen gün uygulamaların performans ihtiyacının artması, uygulamaları kullananların isteklerinin artması, bu uygulamaları çalıştıran işlemcilerin çılgın bir hızla gelişmesi ve sabit disklerin bu gelişim karşısında ilkel kalmasıdır. Kısacası sabit diskler bir sistem üzerindeki en zayıf halkalardan biri olmuştur. Günümüzde sabit diskler 15.000 devir hızında takılmış durumdadırlar ve sabit disk üreticilerinin yol haritasına baktığımızda 20.000 veya 30.000 devir sabit diskler yerine 10.000 ve 15.000 devir hızında ama büyük kapasiteli sabit diskler üretilmeye devam etmektedir. Bunun en canlı örneği artık 450GB 15.000 devir sabit disklerin kullanılıyor olması. Bu tıkanıklığa çözüm olarak Kurumsal Katı Hal Diskler (Enterpise Solid State Disk, SSD)’ler hayatımıza girmiş bulunmaktadır.

Peki burdaki sıkıntı nedir ? Klasik bir 15.000 devir sabit diskin (kapasitesinden ve kontrol kartından bağımsız olarak) size verebileceği en üst performans saniyede 180 adet rasgele giriş/çıkış operasyonudur (IOPS, IO per second). Bu değer 10.000 devir diskte 130, ATA/SATA/FATA temelli teknolojide 70, SSD’lerde 5.000’dir. Yani bir işlemci saniyede 180 adet okuma ve yazma işlemini bir sabit diske gönderebilir, bu işlemler o sabit diskin cevap verme süresi limitleri (response time) dahilinde gerçekleştirilir. Bu 180 rakamının üstüne çıkılınca sabit disk cevap vermeyi kesmez sadece çok daha geç cevap vermeye başlar ve bu durumda uygulamada ve uygulama kullanıcısında yavaşlık farkedilmeye başlanır. Diğer taraftan işlemciler bunun çok daha fazla üzerinde bir performans sergilemektedir ve her geçen gün aradaki bu performans farkı artmaktadır. Nano saniyeler hızında işlem yapan bir işlemci milisaniyeler hızında işlem yapan sabit diski beklemek zorundadır. Basit çözümü ise işlemcinin sabit diske ihtiyacını ortadan kaldırmaktır yani herşeyi işlemcinin içinde veya mümkünse işlemci ile sabit disk arasında bir hız gösteren bellek içinde halletmektir. Uygulamaların kapasite ihtiyacı artışını ve sunucu sistemlerinin donanım gelişimini bir gözden geçirirsek bunun kısa zamanda mümkün olmadığını hemen farkedebiliriz.

Eğer bir uygulama 1800 IOPS performans gösteriyor ise bunu karşılayacak kadar sabit disk üzerinde çalışmaz ise (ister sunucu diski ister veri depolama sistemi) yavaşlık olacaktır. Bir uygulamanın ne kadar IOPS göstereceğinin ölçümü ise genelde her işletim sistemi üzerinde gelen standart performans ölçüm yazılım parçacıkları ile ölçülebilir. Bu Windows’da perfmon, UNIX ve Linux sistemlerde sar veya iostat’dır.

Bu performans ölçüm yazılımlarında bakılması gereken değerler ise ilk bakışta bir diske ait saniyede okuma adeti, saniyede yazma adeti, kuyruk uzunluğu, okuma için harcadığı süre ve yazma için harcadığı süre değerleridir. Bu sayede uygulamamızın o disk üzerinde ne kadar okuma ve ne kadar yazma yaptığını ve kuyrukda ne kadar disk operasyonunun beklediğini , okuma ve yazma işlemleri için ne kadar süre harcadığını (başka deyişle işlemci diski ne kadar süre bekliyor) belirleyebiliriz. Bu okuma yazma oranı bizim o disk alanı için kullanmamız gereken RAID tipini belirler.

RAID tipleri kendi arasında temel olarak stripe RAID (RAID0), parite RAID’ler ve mirror RAID’ler olarak ayrılmaktadır. RAID0 genelde kullanılmamaktadır çünkü herhangi bir koruma sunmamaktadır. Bilinen tüm RAID tipleri bu üç farklı RAID tipinden türetilmiştir. Mirror RAID’ler RAID1 ve RAID 1/0 (10, 0+1 veya 1+0 olarakda belirtilir), parite RAID’ler ise RAID3(veya RAID4), RAID5 ve RAID6 olarak sınıflandırılır. Mirror RAID’ler yazma, parite RAID’ler ise okuma operasyonlarında avantajlı durumdadırlar.

Bu farkın oluştuğu nokta aslında RAID mekanizmasında ortaya çıkmaktadır. Mirror RAID’lerde bir disk operasyonu gelen verinin XOR operasyonundan geçirilmesi ve bir veri bir parite olarak yazılmasından ibarettir. Parite RAID’lerde ise disk üzerinde bir veri ve bir parite okunur, önce bunlar XOR’lanır, çıkan sonuç ile yeni veri tekrar XOR’lanır, sonra yeni parite ve yeni veri yazılması ile sonuçlanır. Kısaca mirror RAID’lerde iki operasyon, parite RAID’lerde dört operasyon gerçekleşir. Buna RAID çarpanı (overhead, multiplier)’de denir.

Sunucu tarafından ölçülen IOPS değeri ile buna karşılık diskten elde etmemiz gereken IOPS değeri bir birinden farklıdır. Bunun çok basit bir formulasyonu bulunmaktadır ;

Mirror RAID Disk IOPS = Sunucu Okuma IOPS + 2 x Sunucu Yazma IOPS

Parite RAID Disk IOPS = Sunucu Okuma IOPS + 4 x Sunucu Yazma IOPS

aslında bu formulasyonda ihmal edilen bir bileşen vardır. Sunucunun veri depolama sisteminde yaptığı cache-hit (önbellekten veriyi bulma) oranı. Bu oran genelde rasgele erişim yapan sistemlerde %10-20 arasında değişmektedir). Bu bileşeni eklediğimizde formulasyon ;

Mirror RAID için,

RAID Disk IOPS = (1-%Cache-Hit)*Sunucu Okuma IOPS + 2 x Sunucu Yazma IOPS

Parite RAID için,

RAID Disk IOPS = (1-%Cache-Hit)*Sunucu Okuma IOPS + 4 x Sunucu Yazma IOPS

Örnek olarak sunucumuzda 1000 IOPS okuma, 3000 IOPS yazma yapıldığını varsayalım. Bu durumda okuma oranı, %25 olacaktır. Formulasyona koyduğumuzda ;

Mirror RAID Disk IOPS = 1000 + 2x3000 = 7000

Parite RAID Disk IOPS = 1000 + 4x3000 = 13000

çıkmaktadır. 15.000 devir sabit diskin 180 IOPS yaptığı gözönüne alınırsa,

Mirror RAID için gereken disk adeti = 7000 / 180 = 38.88 = 39

Parite RAID için gereken disk adeti = 13000 / 180 = 72.22 = 73

Kısaca 4000 IOPS yapan sunucumuz için ya 39 tane diski RAID1/0 (bu durumda ya 38 ya da 40 disk gerekmektedir), ya da 73 tane diski RAID 5 yapmak gerekmektedir.

Örnek olarak sunucumuzda 4500 IOPS okuma, 500 IOPS yazma yapıldığını varsayalım. Bu durumda okuma oranı, %90 olacaktır. Formulasyona koyduğumuzda;

Mirror RAID Disk IOPS = 4500 + 2x500 = 5500

Parite RAID Disk IOPS = 4500 + 4x500 = 6500

çıkmaktadır. 15.000 devir sabit diskin 180 IOPS yaptığı gözönüne alınırsa,

Mirror RAID için gereken disk adeti = 5500 / 180 = 30.55 = 31

Parite RAID için gereken disk adeti = 6500 / 180 = 36.11 = 36

Kısaca 5000 IOPS yapan sunucumuz için ya 31 tane diski RAID1/0 (bu durumda ya 30 ya da 32 disk gerekmektedir), ya da 36 tane diski RAID 5 yapmak gerekmektedir.

Bu sabit disk adetlerinin altında kalındığında uygulamamız çalışmaya devam eder ancak daha düşük response-time verecektir.

Yukarıdaki örnekler gözönüne alındığında yazma operasyonu ağırlıklı disk alanlarında mirror RAID, okuma ağırlıklı disk alanlarında parite RAID kullanmak doğru olacaktır.

Uygulama üreticilerinin tavsiyeleri incelendiğinde genelde tavsiye edilen erişim süreleri veritabanları için 20ms, index(log) dosyaları için 5ms’dir. Ancak bugün pek çok işletmenin veritabanlari 2-3 sn, index alanları 500-600 ms erişim süreleri ile çalışmaktadır. Bu durumda o işletmede alınan ilk yanlış aksiyon daha hızlı sunucu alınmasına gitmektir. Burada örnek olarak Exchange, SQL, Lotus Notes, Oracle, Sybase, DB2 gibi sistemleri gösterebiliriz, hepsinde veritabanı ve index yapısı bulunmaktadır.

Genelde veritabanları büyük bir excel dosyası içindeki worksheetler gibidir. Bir veritabanı operasyonu yapıldığında temelde yapılan şey binlerce hücre arasında bir verinin aranması ve sonrasında okuma, yazma, silme gibi işlemlerin yapılıp sonucun ya aynı hücreye yada farklı bir yerdeki hücreye yazılmasıdır. Sabit disk kafasıda aynen bu harekete paralel olarak plakalar üzerinde rastgele bir oraya bir buraya gidip gelecektir. Bu rastgele erişime bir örnektir. Örnek olarak bir yedekleme işlemi ise aslen büyük bir dosyanın yedeklenmesine başlanması ve ardışıl olarak o dosyanın yazılmasına sebep olmaktadır. Bu durumda da sabit disk kafası plakalar üzerinde bir operasyona başlayıp (örneğin yazma operasyonu) ardışıl olarak o iz üzerinde devam etmektedir.

RAID tipinin seçilmesinde başka bir etken ise uygulamanın veriye erişim profilidir. Yukarıda örnek verdiğimiz iki farklı erişimin aynı RAID grubundaki aynı sabit diske aynı anda gerçekleşmesi, o sabit diskte çok düşük performans alınmasına sebep olmaktadır. Sabit disk kafası eğer bu iki farklı yüke aynı anda maruz kalırsa rastgele erişen uygulama için plakalar üzerinde rasgele tarama yapmaya çalışırken, aynı zamanda ardışıl erişen uygulama için plaka üzerinde ardışıl tarama yapmaya çalışacaktır. Bu durumda sabit disk içinde inanılmaz derecede yüksek arama (seek) olacaktır. Sabit disk arama yapmaktan, veri aktarıma zaman bulamayacaktır.

Uygulamaların okuma/yazma oranına bakarken aynı zamanda rastgele/ardışıl erişim tipine bakmak gerekmektedir. Rastgele ve ardışıl erişim yapan disk alanlarının birbirinden farklı sabit disklerde RAID yapılması inanılmaz yüksek bir performans sağlayacaktır.

Bir diğer önemli nokta ise RAID tiplerinin birbirine oranla farklı bandgenişliği (MB/s değeri) avantajı sunmasıdır. Bunun sebebi ise mirror RAID’lerde okuma operasyonunun sabit disklerin veri kısmından yapılması yani sabit disklerin yarısının okuma operasyonuna dahil olmamasıdır. Parite RAID’lerde ise okuma operasyonu yine aynen sabit disklerin veri kısmından yapılması yani bir adet parite diski haric (RAID6’da 2 adet parite diski) tamamından paralel yapılmaktadır.

Dikkat edilmesi gereken diğer bir nokta ise işletim sistemlerinin kullandıkları disk alanları üzerine Master Boot Record,MBR (ana boot kaydı) bilgi yerleştirmesidir. Bu kayıt işletim sistemine göre değişmektedir ve yaygın olarak kullanılan Windows işletim sisteminde bu 63 sektör, 31.5 KB büyüklüğündedir. Eğer disk alanı üzerinde partition oluşturmadan önce düzgün bir ayarlama (alingment) yapılmazsa o diske yapılan her okuma yazma işlemi 31.5KB öteleme sonrasında işleme alınacak bu da disk üzerinde disk geçişi(disk crossing) yapılmasına sebep olacaktır. 4KB blok büyüklüğü ile formatlı disklerde bu %6, 8KB blok büyüklüğü ile formatlı disklerde bu %12 performans kaybına sebep olacaktır.

Buraya kadar anlatılan temeller aslında bir veri depolama sistemine ihtiyaç duyulmadan sunucu donanımı üzerinde de yapılabilecek planlamalara ışık tutmaktadır. Bunlar için ön koşul sunucu donanımı üzerinde aynı anda hem mirror RAID hemde parite RAID yapılabilmesi ve yeterli adette sabit diskin sunucu üzerine takılabilmesidir.

Unutmamak gerekirki BT ortamlarında “uygulama performansı” denilen şey,

- Yazılım Kodu

- Veritabanı altyapısı

- Network tıkanıklığı

- Sunucu bellek swap oranı

- Veritabanı önbellek operasyonu

- Dosya sistemi fragmentasyonu

- Veri erişim oranı

bileşimidir. Yukarıdaki yazıda anlatılanlar veri erişim oranı ile ilgilidir, tabiiki bunun için önce listede veri erişiminden önce gelenlerin düzeltilmesi gerekmektedir.

Fırat ÖZTÜRK

Virtual Private Network’te ki Bağlantı Sorunları

Kenan BULBUL — Sun, 05 Oct 2008 16:25:45 GMT

Bir çoğumuzun derdidir bu bağlantı sorunları. Yaparsınız olmaz. Yapmazsınız olur. Bazen saatlerce sizi çıldırttığı olur. Ama bir takım sorunları bu makalede anlatacağım ve birazda microsoftun önerdiği çözüm yöntemleri ile sorunlara nasıl müdahale edebileceğimizi göreceğiz.

Sorun :

VPN sunucusunun ulaşılmaz olduğunu belirten 800 numaralı hata iletisi aldım.

 Nedeni: VPN istemcisinden gelen PPTP/L2TP paketleri VPN sunucusuna ulaşamıyor.

 Çözüm:

 VPN istemcisiyle VPN sunucusu arasında ping kullanımına izin verildiğini (engellenmediğini) varsayarak, VPN sunucusuna ping yapın. Ağ bağlantınızın olduğunu ve VPN sunucusunda yapılandırılan paket filtrelerinin iletişimi engellemediğini doğrulayın.

 Varsayılan olarak, VPN sunucusu rolü için Yönlendirme ve Uzaktan Erişim hizmetini yapılandırdığınızda, VPN sunucusunun Internet arabiriminde yalnızca PPTP ve L2TP/IPsec paketlerine izin verilir. Ping komutu tarafından kullanılan Internet Denetim İletisi Protokolü (ICMP) paketleri filtre tarafından dışlanır. VPN sunucusunda ping yapabilmek için ICMP trafiğine izin veren bir giriş filtresi ve çıkış filtresi ekleyin.

 PPTP trafiğine izin vermek için, ağ güvenlik duvarını 1723 numaralı TCP bağlantı noktasını açacak ve VPN sunucusuna gelen Genel Yönlendirme Kapsüllemesi Protokolü (GRE) trafiğine yönelik 47 numaralı IP protokolünü VPN sunucusuna iletecek şekilde yapılandırın. Bazı güvenlik duvarları 47 numaralı IP protokolünü VPN veya PPTP geçişi olarak adlandırır. Tüm güvenlik duvarları 47 numaralı IP protokolünü desteklemez. Bellenimi yükseltmeniz gerekebilir.

 L2TP trafiğine izin vermek için, ağ güvenlik duvarını 1701 numaralı UDP bağlantı noktasını açacak ve Internet Protokolü güvenliği (IPsec) ESP biçimli paketlere izin verecek (50 numaralı IP protokolü) şekilde yapılandırın.

 VPN sunucusunun PPTP trafiğini 1723 numaralı TCP bağlantı noktası üzerinden ve L2TP trafiğini 1701 numaralı UDP bağlantı noktası üzerinden dinlediğini denetleyin. VPN sunucusunda komut satırından şunu yazın:

netstat -aon

Şunları görmeniz gerekir:

TCP 0.0.0.0:1723 0.0.0.0:0 LISTENING

UDP 0.0.0.0:1701 *:*

 PPTP ve L2TP paketlerinin VPN istemcisi ile VPN sunucusu arasında bırakılıp bırakılmadığını öğrenmek için Portqry komut satırı aracını kullanabilirsiniz. Daha fazla bilgi için, Portqry.exe komut satırı hizmet programının açıklaması başlıklı konuya (http://go.microsoft.com/fwlink/?LinkId=71609) bakın.

PPTP bağlantı noktasını sorgulamak için şu komutu kullanın: portqry.exe -n <sunucu_IP_adresi> -e 1723

L2TP bağlantı noktasını sorgulamak için şu komutu kullanın: portqry.exe -n <sunucu_IP_adresi> -e 1701 -p UDP

Sorgu sonucunda "NOT LISTENING/FILTERED" bilgisi varsa, Yönlendirme ve Uzaktan Erişimi çalıştıran sunucudaki bağlantı noktası yapılandırmasını denetleyin.

Sorun :

Uzak bilgisayarın yanıt vermediğini belirten 721 numaralı hata iletisi aldım.

 Nedeni: Bu sorun, ağ güvenlik duvarı GRE trafiğine (47 numaralı IP protokolü) izin vermediğinde oluşabilir. PPTP tünellenmiş veriler için GRE'yi kullanır.

 Çözüm: VPN istemcisi ile sunucusu arasındaki ağ güvenlik duvarını GRE'ye izin verecek şekilde yapılandırın. Ayrıca, ağ güvenlik duvarının 1723 numaralı bağlantı noktası üzerindeki TCP trafiğine izin verdiğinden de emin olun. PPTP kullanarak VPN bağlantısı oluşturmak için bu koşulların her ikisinin de sağlanması gerekir. Daha fazla bilgi için "Windows Server tabanlı uzaktan erişim sunucunuz üzerinden bir VPN bağlantısı oluşturmayı denediğinizde "Hata 721" hata iletisini alıyorsunuz" başlıklı, 888201 numaralı makaleye bakın (http://go.microsoft.com/fwlink/?LinkId=71610).

Not:

 Güvenlik duvarı VPN istemcisinde veya istemcinin önünde ya da VPN sunucusunun önünde olabilir.

Sorun:

Şifreleme uyuşmazlığı hatası olduğunu belirten 741/742 numaralı hata iletisi aldım.

 Nedeni: Bu hatalar, VPN istemcisinin geçersiz bir şifreleme düzeyi isteğinde bulunması veya VPN sunucusunun istemci tarafından istenen bir şifreleme türünü desteklememesi durumunda oluşur.

 Çözüm:

 VPN istemcisindeki VPN bağlantısının özelliklerini (Güvenlik sekmesi) denetleyin. Veri şifrelemesi iste (yoksa bağlantıyı kes) seçiliyse, bu seçimi kaldırın ve bağlantıyı yeniden deneyin.

 Ağ İlkesi Sunucusu (NPS) kullanıyorsanız, NPS konsolundaki ağ ilkesinin veya diğer RADIUS sunuculardaki ilkelerin şifreleme düzeylerini denetleyin. VPN istemcisi tarafından istenen şifreleme düzeyinin VPN sunucusunda seçili olduğundan emin olun.

Sorun :

Uzaktan erişim VPN bağlantısı kuramıyorum.

 Çözüm:

 Ping komutunu kullanarak ana bilgisayar adının doğru IP adresine çözümlendiğini doğrulayın. Ping işleminin kendisi, VPN sunucusuna/sunucusundan gönderilen ICMP iletilerinin teslimini engelleyen paket filtreleme nedeniyle başarısız olabilir.

 VPN istemcisinin kullanıcı adı, parola ve etki alanı adını içeren kimlik bilgilerinin doğru olduğundan ve VPN sunucusu tarafından doğrulanabildiğinden emin olun.

 VPN istemcisinin kullanıcı hesabının kilitli olmadığını, süresinin dolmadığını, devre dışı olmadığını ve bağlantının yapıldığı zamanın oturum açma saatleri olarak yapılandırılan zamana denk gelmediğini doğrulayın. Hesaba ait parolanın süresi dolduysa, uzaktan erişim VPN istemcisinin MS-CHAP v2'yi kullandığını doğrulayın. MS-CHAP v2, Windows Server 2008 ile sağlanan bir protokol olarak, bağlantı işlemi sırasında süresi dolan bir parolanın değiştirilmesine izin veren tek kimlik doğrulama protokolüdür.

Parola süresi dolan yönetici düzeyinde bir hesap için, parolayı, başka bir yönetici düzeyinde hesap kullanarak sıfırlayın.

 Kullanıcı hesabının, uzaktan erişim hesabı kilitlenmesi nedeniyle kilitlenmiş olmadığını doğrulayın.

 VPN sunucusunda Yönlendirme ve Uzaktan Erişim hizmetinin çalışıyor olduğunu doğrulayın.

 Yönlendirme ve Uzaktan Erişim ek bileşenindeki bir VPN sunucusunun özelliklerinde bulunan Genel sekmesinden, VPN sunucusunun uzaktan erişim için etkinleştirilmiş olduğunu doğrulayın.

 Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden, WAN Miniport (PPTP) ve WAN Miniport (L2TP) aygıtlarının gelen uzaktan erişim için etkinleştirildiğini doğrulayın.

 VPN istemcisinin, VPN sunucusunun ve VPN bağlantılarına karşılık gelen ağ ilkesinin en az bir ortak kimlik doğrulama yöntemi kullanacak şekilde yapılandırıldığını doğrulayın.

 VPN istemcisinin ve VPN bağlantılarına karşılık gelen ağ ilkesinin en az bir ortak şifreleme dayanıklılığı kullanacak şekilde yapılandırıldığını doğrulayın.

 Bağlantı parametrelerinin ağ ilkeleri üzerinden izne sahip olduğunu doğrulayın.

Bağlantının kabul edilebilmesi için bağlantı denemesine ait parametrelerde şunlar zorunludur:

 En azından bir ağ ilkesinin tüm koşullarını sağlamalıdır.

 Kullanıcı hesabı üzerinden ağ erişimine izin verilmiş (Erişime izin ver olarak ayarlanmış) veya kullanıcı hesabında NPS Ağ İlkesi aracılığıyla erişimi denetle seçeneği seçiliyse, karşılık gelen ağ ilkesinin ağ erişim izninde Ağ erişim izni ver seçeneği seçilmiş olmalıdır.

 Profilin tüm ayarlarıyla eşleşmelidir.

 Kullanıcı hesabının çevirme özelliklerinin tüm ayarlarıyla eşleşmelidir.

Bağlantı denemesini reddeden ağ ilkesinin adını öğrenmek için, hesap günlüğünde bağlantı denemesine karşılık gelen ilke adına bakın. NSP bir RADIUS sunucusu olarak kullanılıyorsa, Sistem olayı günlüğünde bağlantı denemesine ait girişi denetleyin.

 Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı'nı çalıştırdığınızda etki alanı yöneticisi izinlerine sahip bir hesabı kullanarak oturum açtıysanız, RAS ve IAS Sunucuları etki alanı yerel güvenlik grubunun bilgisayar hesabı otomatik olarak eklenir. Bu grup üyeliği, VPN sunucusu bilgisayarının kullanıcı hesap bilgilerine erişmesine izin verir. VPN sunucusu kullanıcı hesap bilgilerine erişemiyorsa, şunları doğrulayın:

 VPN sunucusu bilgisayarının bilgisayar hesabı, VPN sunucusunun uzaktan erişim kimlik doğrulaması yaptığı kullanıcı hesaplarını içeren tüm etki alanları için RAS ve IAS Sunucuları güvenlik grubunun bir üyesidir. Geçerli kaydı görüntülemek için komut istemcisinde netsh ras show registeredserver komutunu kullanabilirsiniz. Sunucuyu VPN sunucusunun üyesi olduğu bir etki alanına veya diğer etki alanlarına kaydetmek için netsh ras add registered server komutunu kullanabilirsiniz. Ayrıca, siz veya etki alanı yöneticiniz VPN sunucusu bilgisayarının bilgisayar hesabını, VPN sunucusunun uzaktan erişim kimlik doğrulaması yaptığı kullanıcı hesaplarını içeren tüm etki alanlarının RAS ve IAS Sunucuları güvenlik grubuna da ekleyebilirsiniz.

 VPN sunucusu bilgisayarını RAS ve IAS Sunucuları güvenlik grubuna ekler veya bu gruptan kaldırırsanız, yapılan değişiklik (Windows Server 2008'nun Active Directory bilgilerini önbelleğe alma şekli nedeniyle) hemen etkili olmaz. Değişikliklerin hemen etkili olması için VPN sunucusu bilgisayarını yeniden başlatmanız gerekir.

 Windows kimlik doğrulaması için yapılandırılmış karma mod veya yerel mod bir Active Directory® etki alanına üye VPN sunucusunda şunları doğrulayın:

 RAS ve IAS Sunucuları güvenlik grubu olmadır. Yoksa, grubu oluşturun ve grubun türünü Güvenlik olarak, grubun kapsamını da Yerel etki alanı olarak ayarlayın.

 RAS ve IAS Sunucuları güvenlik grubunun RAS ve IAS Sunucuları Erişim Denetimi nesnesi için Okuma izni olmalıdır.

 IP'nin VPN sunucusunda uzaktan erişim için etkinleştirildiğini doğrulayın.

 VPN sunucusundaki tüm PPTP veya L2TP bağlantı noktalarının kullanılıyor olmadığını doğrulayın. Gerekirse, aynı anda daha fazla bağlantıya izin vermek için Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden PPTP numarasını L2TP bağlantı noktalarına değiştirin.

 VPN sunucusunun VPN istemcisinin tünel protokolünü desteklediğini doğrulayın.

Varsayılan olarak Windows 2000 uzaktan erişim VPN istemcilerinde Otomatik sunucu türü seçeneği seçilidir. Bu şekilde öncelikle L2TP/IPsec tabanlı VPN bağlantısı kurulmaya çalışılır, daha sonra PPTP tabanlı bir VPN bağlantısı denenir. Noktadan Noktaya Tünel Protokolü (PPTP) veya Katman İki Tünel Protokolü (L2TP) sunucu türü seçeneklerinden birisi seçiliyse, seçili tünel protokolünün VPN sunucusu tarafından desteklendiğini doğrulayın.

Varsayılan olarak Windows XP uzaktan erişim VPN istemcilerinde Otomatik VPN türü seçeneği seçilidir. Bu şekilde öncelikle PPTP tabanlı VPN bağlantısı kurulmaya çalışılır, daha sonra L2TP/IPsec tabanlı bir VPN bağlantısı denenir. PPTP VPN veya L2TP IPsec VPN türlerinden biri seçiliyse, VPN sunucusunun seçili tünel protokolünü desteklediğini doğrulayın.

Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı'nı çalıştırdığınızda yaptığınız seçimlere bağlı olarak, Yönlendirme ve Uzaktan Erişim hizmetini çalıştıran bir Windows Server 2008 bilgisayarı beş veya 128 L2TP bağlantı noktası ve beş veya 128 PPTP bağlantı noktası olan bir PPTP ve L2TP sunucusudur. Yalnızca bir PPTP sunucusu oluşturmak için L2TP bağlantı noktası sayısını sıfır olarak ayarlayın. Yalnızca bir L2TP sunucusu oluşturmak için PPTP bağlantı noktası sayısını 1 olarak ayarlayın ve Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden WAN Miniport (PPTP) aygıtı için uzaktan erişim gelen bağlantıları ve isteğe bağlı arama bağlantılarını devre dışı bırakın.

 L2TP/IPsec bağlantıları için, VPN istemcisinde ve VPN sunucusunda makine sertifikaları olarak da bilinen bilgisayar sertifikalarının yüklü olduğunu doğrulayın.

 VPN sunucusu statik IP adresi havuzları ile yapılandırılmışsa, yeterli adres olduğunu doğrulayın. Statik havuzlardaki adreslerin tümü VPN istemcilerine bağlanmak üzere ayrıldıysa, VPN sunucusu TCP/IP tabanlı bağlantılar için bir IP adresi ayıramayabilir ve bağlantı denemesi reddedilir.

 Kimlik doğrulama sağlayıcısının yapılandırmasını doğrulayın. VPN sunucusu VPN istemcisinin kimlik bilgilerinin doğrulanması için Windows veya RADIUS'u kullanacak şekilde yapılandırılabilir.

 RADIUS kimlik doğrulaması için, VPN sunucusu bilgisayarının RADIUS sunucusuyla iletişim kurabildiğini doğrulayın.

 Yerel mod etki alanı üyesi bir VPN sunucusu için, VPN sunucusunun etki alanına katılmış olduğunu doğrulayın.

 MS-CHAP kullanan ve 40-bit MPPE şifreleme anlaşmasını deneyen PPTP bağlantıları için, kullanıcının parolasının 14 karakterden uzun olmadığını doğrulayın.

L2TP/IPsec kimlik doğrulama sorunları

L2TP/IPsec bağlantısı en çok şu nedenlerden dolayı başarısız olur:

 Sertifika yok

Varsayılan olarak, L2TP/IPsec bağlantıları uzaktan erişim sunucusunun ve uzaktan erişim istemcisinin IPsec eş kimlik doğrulaması için bilgisayar sertifikaları değişimi yapmalarını gerektirir. Uygun bir sertifikanın bulunduğundan emin olmak için, Sertifika ek bileşenini kullanarak Yerel Bilgisayar sertifikasının hem uzaktan erişim istemcisi hem de uzaktan erişim sunucusu sertifikalarını depoladığını denetleyin.

 Hatalı sertifika

Sertifika varsa, doğrulanabilir olmalıdır. IPsec kurallarını el ile yapılandırmanın aksine, L2TP/IPsec bağlantıları için sertifika yetkilileri (CA) listesi yapılandırılamaz. Bunun yerine, L2TP bağlantısındaki her bilgisayar IPsec eşine kök CA'ların listesini gönderir ve ondan gelecek kimlik doğrulama sertifikasını kabul eder. Bu listedeki kök CA'lar, bilgisayara bilgisayar sertifikaları veren kök CA'lara karşılık gelir. Örneğin, A Bilgisayarı CertAuth1 ve CertAuth2 kök CA'lar tarafından bilgisayar sertifikaları verildiyse, ana mod anlaşması sırasında IPsec eşine, kimlik doğrulama için yalnızca CertAuth1 ve CertAuth2'den gelen sertifikaları kabul edeceğini bildirir. IPsec eşi olan B Bilgisayarı CertAuth1 veya CertAuth2 tarafından verilen geçerli bir bilgisayar sertifikasına sahip değilse, IPsec güvenlik anlaşması başarısız olur.

VPN istemcisinde, sertifikayı veren CA'dan VPN sunucusunun güvendiği kök CA'ya kadar geçerli sertifika zincirini izleyen bir CA tarafından verilmiş, geçerli bir bilgisayar sertifikası yüklü olmalıdır. Ayrıca, VPN sunucusunda, sertifikayı veren CA'dan VPN istemcisinin güvendiği kök CA'ya kadar geçerli sertifika zincirini izleyen bir CA tarafından verilmiş geçerli bir bilgisayar sertifikası yüklü olmalıdır.

 Uzaktan erişim istemcisi ve uzaktan erişim sunucusu arasında NAT kullanma

Windows 2000, Windows Server 2003 veya Windows XP tabanlı L2TP/IPsec istemcisinde ve Windows Server 2008 L2TP/IPsec sunucusu arasında bir NAT varsa, hem istemci hem de sunucu IPsec NAT-T'yi desteklemediği sürece L2TP/IPsec bağlantısı oluşturamazsınız.

 Uzaktan erişim istemcisi ve uzaktan erişim sunucusu arasında güvenlik duvarı kullanma

Windows L2TP/IPsec istemcisi ve Windows Server 2008 L2TP/IPsec sunucusu arasında bir güvenlik duvarı varsa ve L2TP/IP bağlantısı kuramıyorsanız, güvenlik duvarı tarafından L2TP/IPsec trafiğinin iletilmesine izin verildiğini doğrulayın.

IPsec kimlik doğrulama sorunlarını gidermek üzere kullanılabilecek en iyi araçlardan biri Oakley günlüğüdür.

EAP-TLS kimlik doğrulama sorunları

Kimlik doğrulama için EAP-TLS kullanıldığında, VPN istemcisi bir kullanıcı sertifikası ve kimlik doğrulama sunucusu (VPN sunucusu veya RADIUS sunucusu) bir bilgisayar sertifikası gönderir.

Kimlik doğrulama sunucusu tarafından VPN istemcisinin sertifikasının doğrulanabilmesi için, VPN istemcisi tarafından gönderilen sertifika zincirindeki tüm sertifikalarda aşağıdakilerin doğru olması gerekir:

 Geçerli tarih, sertifikanın geçerlilik tarihleri arasında olmalıdır.

Sertifikalar verilirken geçerli olacakları bir tarih aralığı belirtilir ve bu tarihlerin öncesinde kullanılamazlar, sonrasında ise süresi dolmuş olarak değerlendirilirler.

 Sertifikanın iptal edilmemiş olması gerekir.

Verilen sertifikalar herhangi bir zamanda iptal edilebilir. Sertifika veren CA'ların hepsi güncel bir sertifika iptal listesi (CRL) yayımlayarak, artık geçerli sayılmaması gereken sertifikaların listesini tutar. Varsayılan olarak, kimlik doğrulama sunucusu iptal için VPN istemcilerinin sertifika zincirindeki tüm sertifikaları (VPN istemcisinin sertifikasından kök CA'ya kadar olan sertifikalar) denetler. Zincirdeki sertifikalardan herhangi biri iptal edilmişse sertifika doğrulama işlemi başarısız olur. Bu eylem, konunun ileriki bölümlerinde açıklandığı şekilde kayıt defteri ayarlarından değiştirilebilir.

Sertifika ek bileşenindeki bir sertifikanın CRL dağıtım noktalarını görüntülemek için sertifika özelliklerini açın, Ayrıntılar sekmesini tıklatın ve ardından CRL Dağıtım Noktaları alanını tıklatın.

Sertifika iptalinin doğrulanması yalnızca CRL yayımlama ve dağıtım sistemine koşut olarak çalışır. Bir sertifikadaki CRL sıklıkla güncelleştirilmiyorsa, kimlik doğrulama sunucusunun denetlediği yayımlanan CRL güncel olmadığından, iptal edilen bir sertifika kullanılmaya devam edilebilir ve geçerli sayılır.

 Sertifikada geçerli bir dijital imza olması gerekir.

CA'lar verdikleri sertifikaları dijital olarak imzalar. Kimlik doğrulama sunucusu kök CA sertifikası hariç zincirdeki her sertifikanın dijital imzasını doğrular. Bunun için sertifikaları veren CA'dan ortak anahtarı alır ve dijital imzayı matematiksel olarak doğrular.

VPN istemci sertifikasının İstemci Kimlik Doğrulaması sertifika amacı da olması (Gelişmiş Anahtar Kullanımı [EKU] olarak da bilinir) (Nesne tanımlayıcı 1.3.6.1.5.5.7.3.2) ve sertifikanın Konu Diğer Adı özelliği için ya geçerli bir kullanıcı hesabına ait bir UPN ya da geçerli bilgisayar hesabına ait FQDN içermesi gerekir.

Sertifika ek bileşeninde bir sertifikaya ait EKU'yu görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Gelişmiş Anahtar Kullanımı alanını tıklatın. Sertifika ek bileşeninde bir sertifikaya ait konu diğer adı özelliğini görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Konu Diğer Adı alanını tıklatın.

Son olarak, VPN istemcisi tarafından sunulan sertifika zincirine güvenilebilmesi için, kimlik doğrulama sunucusunun Güvenilen Kök Sertifika Yetkilileri deposunda VPN istemcisi sertifikasını veren ayımlayan CA'nın kök CA sertifikası yüklenmiş olmalıdır.

Ayrıca, kimlik doğrulama sunucusu EAP-Yanıtı/Kimliği iletisinde gönderilen kimliğin, sertifikanın Konu Diğer Adı özelliğindeki adla aynı olduğunu da doğrular. Bu şekilde kötü niyetli bir kullanıcının kendisini EAP-Yanıtı/Kimliği iletisinde belirtilen bir kişi olarak tanıtması önlenir.

VPN istemcisi tarafından kimlik doğrulama sunucusunun sertifikasının EAP-TLS kimlik doğrulamalarından biri olarak doğrulanabilmesi için, kimlik doğrulama sunucusu istemcisi tarafından gönderilen sertifika zincirindeki her sertifikada aşağıdakilerin doğru olması gerekir:

 Geçerli tarih, sertifikanın geçerlilik tarihleri arasında olmalıdır.

Sertifikalar verilirken geçerli olacakları bir tarih aralığı belirtilir ve bu tarihlerin öncesinde kullanılamazlar, sonrasında ise süresi dolmuş olarak değerlendirilirler.

 Sertifikada geçerli bir dijital imza olması gerekir.

CA'lar verdikleri sertifikaları dijital olarak imzalar. VPN istemcisi kök CA sertifikası hariç zincirdeki her sertifikanın dijital imzasını doğrular. Bunun için sertifikaları veren CA'dan ortak anahtarı alır ve dijital imzayı matematiksel olarak doğrular.

Ayrıca, kimlik doğrulama sunucusu bilgisayar sertifikasının Sunucu Kimlik Doğrulaması EKU'suna (Nesne tanımlayıcı 1.3.6.5.5.7.3.1) sahip olması gerekir. Sertifika ek bileşeninde bir sertifikaya ait EKU'yu görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Gelişmiş Anahtar Kullanımı alanını tıklatın.

Son olarak, kimlik doğrulama sunucusu tarafından sunulan sertifika zincirine güvenilebilmesi için, VPN istemcisinin Güvenilen Kök Sertifika Yetkilileri deposunda kimlik doğrulama sunucusu sertifikasını veren CA'nın kök CA sertifikası yüklenmiş olmalıdır.

VPN istemcisinin, kimlik doğrulama sunucusunun bilgisayar sertifikasının sertifika zincirindeki sertifikalar için sertifika iptali denetimi yapmadığına dikkat edin. Buradaki varsayım, VPN istemcisinin henüz bir ağ bağlantısı olmaması ve bu nedenle sertifika iptalini denetlemek üzere bir Web sayfasına veya diğer kaynaklara erişemeyecek olmasıdır.

Bağlantı denemesi reddedilmesi gerekirken kabul ediliyor

 Kullanıcı hesabındaki ağ erişim izninin Erişimi engelle veya NPS Ağ İlkesi aracılığıylaErişim Denetle olarak ayarlanmış olduğunu doğrulayın. İkinci seçenek olarak ayarlanmışsa, eşleşen ilk ağ ilkesinin ağ erişim izninin Erişimi engelle. Bağlantı isteği bu ilkeyle eşleşiyorsa, erişimi engelle. olarak ayarlandığını doğrulayın. Bağlantı girişimini kabul eden ağ ilkesinin adını almak için hesap oluşturma günlüğünde ilke adına yönelik bağlantı girişimine karşılık gelen girdiyi arayın.

 Tüm bağlantıları açıkça reddeden bir ağ ilkesi oluşturduysanız ilke koşullarını, ağ erişim iznini ve profil ayarlarını doğrulayın.

VPN istemcileri VPN sunusunun ötesindeki kaynaklara erişemiyor

 Protokolün yönlendirme için etkinleştirilmiş olduğunu veya çevirmeli istemcilerin VPN istemcileri tarafından kullanılan LAN protokolleri için tüm ağa erişme izin verildiğini doğrulayın.

 VPN sunucusunun IP adresi havuzlarını doğrulayın.

VPN sunucusu statik bir IP adresi havuzu kullanmak üzere yapılandırıldıysa, statik IP adresi havuzları tarafından tanımlanan adres aralığına yapılan yönlendirmelerin ana bilgisayarlar ve intranet yönlendiricileri tarafından erişilebildiğini doğrulayın. Aksi takdirde, VPN sunucusunun statik IP adresi havuzlarından oluşan, IP adresi ve aralık maskesiyle tanımlanan bir IP yönlendirmenin intranet yönlendiricilere eklenmesi veya VPN sunucusundaki yönlendirilmiş altyapınıza ait yönlendirme protokolünün etkinleştirilmesi gerekir. Uzaktan erişim VPN istemcisi alt ağlarına yönlendirme yoksa, uzaktan erişim VPN istemcileri intranet üzerindeki konumlardan gelen trafiği alamaz. Alt ağlar için yönlendirmeler statik yönlendirme girişleri aracılığıyla veya Yönlendirme Bilgisi Protokolü (RIP) gibi bir yönlendirme protokolüyle uygulanır.

VPN sunucusu IP adresi ayırmak için DHCP kullanmak üzere yapılandırıldıysa ve kullanılabilir DHCP sunucusu yoksa, VPN sunucusu Otomatik Özel IP Adresleme'den (APIPA) 169.254.0.1 ile 169.254.255.254 aralığında adres atar. Uzaktan erişim istemcileri için APIPA adreslerinin ayrılması, yalnızca VPN sunucusunun bağlı bulunduğu ağın da APIPA adresleri kullanması durumunda işe yarar.

Kullanılabilir bir DHCP sunucusu varken VPN sunucusu APIPA adreslerini kullanıyorsa, DHCP ile ayrılan IP adreslerinin alındığı uygun bağdaştırıcının seçildiğini doğrulayın. Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı varsayılan bağdaştırıcıyı otomatik olarak atar. Bir LAN bağdaştırıcıyı Yönlendirme ve Uzaktan Erişim ek bileşenindeki VPN sunucusunun özelliklerinden erişilen IP sekmesindeki Bağdaştırıcı listesinden el ile seçebilirsiniz.

Statik IP adresi havuzları, VPN sunusunun bağlı bulunduğu ağa ait IP adresleri aralığının bir alt kümesi olan IP adresleri aralığıysa, statik IP adresi havuzundaki IP adresleri aralığının statik yapılandırma veya DHCP kullanılarak başka TCP/IP düğümlerine atanmadığını doğrulayın.

 Trafiğin gönderilmesini veya alınmasını engelleyen VPN bağlantılarına karşılık gelen ağ ilkelerinin profil özelliklerinde paket filtreleri bulunmadığını doğrulayın.

Tünel oluşturulamıyor

 VPN istemcisi ile VPN sunucusu arasındaki bir yönlendirici arabiriminde bulunan paket filtreleme tarafından tünel protokolü trafiğinin iletilmesinin önlenmediğini doğrulayın.

Windows Server 2008 çalıştıran bir VPN sunucusunda IP paket filtrelemesi bağımsız olarak gelişmiş TCP/IP özelliklerinden ve Yönlendirme ve Uzaktan Erişim ek bileşeninden yapılandırılabilir. VPN bağlantısı trafiğini dışlayabilecek filtreler için bu iki yere de bakın.

 VPN istemcisinde geçerli olarak Winsock Proxy istemcisinin çalışmadığını doğrulayın.

Winsock Proxy istemcisi etkin durumdayken, tünel oluşturmada ve tünellenmiş verileri iletmede kullanılan Winsock API çağrıları durdurulur ve yapılandırılmış bir proxy sunucuya iletilir.

Proxy sunucu tabanlı bir bilgisayar, bir kuruluşun doğrudan Internet'e bağlanmadan belirli türdeki Internet kaynaklarına erişmesine (genellikle Web ve FTP) izin verir. Kuruluş, bunun yerine özel IP ağı kimlikleri (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16 gibi) kullanabilir.

Proxy sunucular genellikle bir kuruluştaki özel kullanıcıların genel Internet kaynaklarına sanki doğrudan Internet'e bağlıymışlar gibi erişebilmelerini sağlamak için kullanılır. VPN bağlantıları genellikle yetkili genel Internet kullanıcılarının özel kuruluş kaynaklarına sanki doğrudan özel ağa bağlıymışlar gibi erişebilmelerini sağlamak için kullanılır. Tek bir bilgisayar her iki yönde bilgi değişimini sağlamak üzere (özel kullanıcılar için) proxy sunucu gibi ve (yetkili Internet kullanıcıları için) VPN sunucu gibi çalışabilir.

Umarım bu makale sizlere VPN Sorunları konusunda yardımcı olabilecektir. Bir dahaki makalelerde görüşmek üzere...

Kaynak :

Microsoft Technet