Windows Vista + One Care: Il mistero delle connessioni VPN

Un problema che si verifica su postazioni Windows Vista con Microsoft One Care in esecuzione è l'impossibilità di creare connessioni VPN uscenti.

Il problema è stato evidenziato da NSW sul forum di ISAServer.it  In questo articolo vedremo cosa fare per poter creare su Windows Vista connessioni di rete funzionanti per creare una VPN Client/Server con il nostro ISA Server 2006.

Scenario:
Dominio Active Directory: corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge, VPN Server 
JMP-NB: Client non di dominio - Notebook - con Windows Vista Business e Microsoft One Care

JMP-ISA è configurato come server VPN per consentire l'accesso da remoto al dominio corp.isaserver.it. La configurazione di ISA Server come VPN Server è opertiva e funzionante così come l'accesso al rete interna da parte dei client VPN. La configurazione di ISA Server 2006 come server VPN sarà oggetto di un nuovo articolo.

PROBLEMA RISCONTRATO su JMP-NB:
Creando una connessione VPN tramite il Wizard di Windows Vista, quindi nessuna impostazione particolare ma la sola impostazione di default, si verifica il seguente errore quando tentiamo di connetterci al nostro server VPN - vpn.isaserver.it -:

 
Controllando il registro eventi di Windows Vista e non si ottengono altre informazioni, che permettano di capire l'origine del problema:

 
Allo stato attuale non riusciamo a connettere la nostra postazione Windows Vista alla rete interna di corp.isaserver.it.

MICROSOFT ONE CARE
Su JMP-NB è in esecuzione Microsoft One Care. Andiamo a verificare come si comporta One Care con le connessioni VPN. Lanciamo Microsoft One Care ed andiamo nella sezione Firewall e poi facciamo clic sul pulsante Impostazioni avanzate. 

 
Dopodichè selezioniamo la sezione Porte e protocolli e, scorrendo l'elenco delle porte e protocolli, vediamo che la voce Rete privata virtuale (IPSec o PPTP) non è abilitata. Con questa configurazione, quella di default, Microsoft One Care NON consente la creazione di connessioni VPN uscenti.
Per risolvere il "mistero" delle connessioni VPN abilitiamo la voce Rete privata virtuale (IPSec o PPTP) e facciamo clic su OK.

Chiudiamo le finestre di One Care facendo clic su OK. Adesso proviamo nuovamente a connetterci alla rete interna di corp.isaserver.it tramite il nostro server VPN.

CONNETTIAMOCI VIA VPN A CORP.ISASERVER.IT
Su JMP-NB lanciamo la connessione VPN a corp.isaserver.it e  vedremo andare a buon  fine la connessione...

 
...in più ci viene proposta la schermata di selezione, sempre da Microsoft One Care, del livello di protezione.


Connettiamoci alla rete aziendale selezionando Domestica o di lavoro. Adesso siamo connessi alla rete interna di corp.isaserver.it. Per scrupolo verifichiamo la connettività con il dominio corp.isaserver.it con qualche semplice test.

TEST DI CONNETTIVITA'
Facciamo due semplici test di connettività per verificare l'effettiva raggiungibilità dei server interni.
1° test: 
Ping sul domain controller JMP-DC.corp.isaserver.it
Esito: OK

 
2° test: 
Accesso allo share \\JMP-DC.corp.isaserver.it\SYSVOL sul domain controller.
Esito: OK

COSA REGISTRA ISA SERVER 2006
Se lanciamo la consolle di amministrazione di ISA Server 2006 vedremo che nella sezione Monitoring | Session | Session Type VPN Clients, sarà visualizzata la nostra connessione VPN.

 
Nella sezione Monitoring | Logging vedremo il tracciato record della connessione PPTP

Conclusione
In questo breve articolo abbiamo visto come consentire connessioni VPN uscenti da sistemi Microsoft Windows Vista che utilizzano Microsoft One Care come prodotto di protezione. Lascia effettivamente perplessi il fatto che non venga notificato, sia negli eventi di sistema sia negli eventi di One Care, il blocco della connessione VPN da parte di quest'ultimo. Non ho fatto una verifica con One Care su Windows XP, ma mi aspetto che il problema sia identico visto che la causa è One Care e non Windows. Come server VPN abbiamo utilizzato ISA Server 2006, ma poteva trattarsi di un qualunque altro server VPN Windows.

Per domande su One Care vi rimando ai newsgroup Microsoft, per ciò che riguarda invece ISA Server con domande, commenti o suggerimenti il luogo ideale è sempre il forum di ISAServer.it.
Buona lettura