在 Windows Server 2003 中安装和配置VPN服务器 - Windows - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» Windows » 在 Windows Server 2003 中安装和配置VPN服务器 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

zhaojie0708 性别:男

技术员

帖子 279
精华 0
无忧币 1913
积分 656
阅读权限 30
来自 (保密)

注册日期 2007-2-26

最后登录 2008-7-4

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-11-1 15:29　　标题：在 Windows Server 2003 中安装和配置VPN服务器
＜上一帖 | 下一帖＞

在 Windows Server 2003 中安装和配置VPN服务器bJ^"V,{] C8q
• 概要
jdzF~%G• VPN 概述
\o{%p
sP6Zhbbs.51cto.com• VPN 的组件
qSccyVm• 如何安装和启用 VPN 服务器
• 如何配置 VPN 服务器
@'L]ck1s%Nh• 如何将远程访问服务器配置为路由器 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水)l!d.~I]
~\I
• 如何修改同时连接的数目
Qh8lX}*R0Q51CTO技术论坛• 如何管理地址和名称服务器 51CTO技术论坛eEn#nI:_c
• 如何管理访问 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水 V)Q%^NC
• 通过用户帐户访问
c$vp"}qiE|D• 通过组成员身份访问 2t Nbj@8Ln
• 如何从客户端计算机配置 VPN 连接
• 疑难解答 bbs.51cto.com8y5Qa3oAN0k9uYN%A
• 远程访问 VPN 的疑难解答
&hJ)ad'f3a

ZUAi^dK;l\概要-p2xlK1t]
本分步指南介绍了如何安装虚拟专用网络连接 (VPN) 以及如何在运行 Windows Server 2003 的服务器中创建新的 VPN 连接。51CTO技术论坛
v-@:x Bo1r0F|4S!m
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水:H4@+zx jy;p!^,k
使用虚拟专用网络，您可以通过另一个网络（例如 Internet）连接网络组件。您可以把基于 Windows Server 2003 的计算机作为远程访问服务器，这样其他用户可以通过使用 VPN 与其连接，然后登录到网络并访问共享资源。虚拟专用网络是通过在 Internet 或另外的公用网络上进行“隧道*作”来实现的，可提供与专用网络相同的安全性和功能。数据利用公用网络的路由结构在公用网络上传送，而对用户来说，则好像是通过一个专门的专用链接传送的。

VPN 概述
虚拟专用网络是一种通过公用网络（如 Internet）连接专用网络（如您的办公室网络）的途径。VPN 将拨号服务器的拨号连接的优点与 Internet 连接的方便与灵活性结合了起来。通过使用 Internet 连接，您可以周游世界，而同时在大多数地方仍可以通过当地最近的 Internet 访问电话号码连接到您的办公室。如果您的计算机和办公室有高速 Internet 连接（如电缆或 DSL），您就可以用最高的 Internet 速度与办公室通讯，比任何使用模拟调制解调器的拨号连接速度都要快得多。此技术使企业可以通过公用网络连接到其分支办事处或其他公司，同时又可以确保通信的安全性。通过 Internet 的 VPN 连接从逻辑上讲相当于一个专用的广域网 (WAN) 链接。
Q+C0S"S+svc|+_#j
虚拟专用网络使用需进行身份验证的链接以确保只有授权用户才可以连接到您的网络。为了确保通过公用网络传送数据的安全性，VPN 连接使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 对数据进行加密。?sjNs%g
}

VPN 的组件bbs.51cto.comwn7k+{k
d,B _#VoT
运行 Windows Server 2003 的服务器中的 VPN 组件包括一个 VPN 服务器、一个 VPN 客户端、一个 VPN 连接（连接中数据被加密的部分）和隧道（连接中数据被封装的部分）。建立隧道是通过运行 Windows Server 2003 的服务器中包括的两个隧道协议之一完成的，这两个协议都是随“路由和远程访问”安装的。Windows Server 2003 安装过程中将自动安装“路由和远程访问”服务。但是，默认情况下，“路由和远程访问”服务会被关闭。
Windows 包括的这两个隧道协议是： 51CTO技术论坛7z[o7`(H
AVZ*a%]%[]|j(B)_b
• 点对点隧道协议 (PPTP)：使用“Microsoft 点对点加密”提供数据加密。 jE7aa!VG5b"c
• 第二层隧道协议 (L2TP)：使用 IPSec 提供数据加密、身份验证和完整性。 E eh|xx/a)J

到 Internet 的连接必须使用专用的线路，例如 T1、Fractional T1 或 Frame Relay。必须用指派给您的域或由 Internet 服务提供商 (ISP) 提供的 IP 地址和子网掩码配置 WAN 适配器。还必须将 WAN 适配器配置为 ISP 路由器的默认网关。_;yzB%P/k5DS

注意：若要启用 VPN，您必须使用具有管理权限的帐户登录。Z _zQ
o,b
bbs.51cto.comf/` U2Jb*ERU
如何安装和启用 VPN 服务器bbs.51cto.com?+Y!y_f$F"W
若要安装和启用 VPN 服务器，请按照下列步骤*作：
1. 单击开始，指向管理工具，然后单击“路由和远程访问”。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水 ci.J"N~`7J
2. 在控制台左窗格中单击与本地服务器名称匹配的服务器图标。如果该图标左下角有一个红圈，则说明尚未启用“路由和远程访问”服务。如果该图标左下角有一个指向上方的绿色箭头，则说明已启用“路由和远程访问”服务。如果先前已启用“路由和远程访问”服务，您可能要重新配置服务器。若要重新配置服务器，请按照下列步骤*作： bbs.51cto.com+`)r'n%|[kr"em
   a.  右击服务器对象，然后单击“禁用路由和远程访问”。单击是以继续。 n4c&@V4L;z3gC
   b.  右击服务器图标，然后单击“配置并启用路由和远程访问”以启动“路由和远程访问服务器安装向导”。单击下一步继续。
   c.  单击“远程访问（拨号或 VPN）”以启用远程计算机拨入或通过 Internet 连接到本网络。单击下一步继续。 2oa3n!P4\,M

3. 根据您打算分配给该服务器的角色，单击以选择 VPN 或拨号。
4. 在“VPN 连接”窗口中，单击连接到 Internet 的网络接口，然后单击下一步。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水
Z_w*K k"kq{
5. 如果要使用 DHCP 服务器给远程客户端分配地址，请在 IP 地址分配窗口中单击自动，或者，如果仅应从预定义池给远程客户端分配地址，请单击“来自一个指定的地址范围”。多数情况下，DHCP 选项的管理更简单。不过，如果没有 DHCP，就必须指定一个静态地址范围。单击下一步继续。
6. 如果您单击“来自一个指定的地址范围”，就打开了地址范围分配对话框。单击新建。在“起始 IP 地址”框中键入希望使用的地址范围内的第一个 IP 地址。在“结束 IP 地址”框中键入该范围内的最后一个 IP 地址。Windows 将自动计算地址的数目。单击确定以返回到地址范围分配窗口。单击下一步继续。 ,j0^bG6s&@(Y
7. 接受“否，使用路由和远程访问对连接请求进行身份验证”的默认设置，然后单击下一步继续。单击完成以启用路由和远程访问服务并将该服务器配置为远程访问服务器。
"eIa'~_T
如何配置 VPN 服务器
若要继续根据需要配置 VPN 服务器，请按照下列步骤*作。bbs.51cto.com4o9dDm_?%|8_'C h
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水y8AEdU:C j
如何将远程访问服务器配置为路由器51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水-F mU9M]gJ
为让远程访问服务器能在您的网络中正确地转发通信量，必须用静态路由或路由协议将其配置为一个路由器，这样远程访问服务器才能访问到内部网中的所有位置。

若要将服务器配置为路由器，请按照下列步骤*作： 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水G
T[4fJTi
1. 单击开始，指向管理工具，然后单击“路由和远程访问”。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水{0Tcd,r,chx'x
2. 右击服务器名称，然后单击属性。
3. 单击常规选项卡，然后单击选择“启用此计算机作为”下的路由器。 bbs.51cto.com`*Y.`g+pS9V#K.Hd8z
H
4. 单击“局域网和请求拨号路由选择”，然后单击确定以关闭属性对话框。 ;g4O([O4aV|
bbs.51cto.comEMS-~5E
k F
如何修改同时连接的数目
调制解调器拨号连接的数目取决于安装在服务器上的调制解调器的数目。例如，如果在服务器上只安装了一个调制解调器，则一次只能有一个调制解调器连接。

拨号 VPN 连接的数目取决于您允许同时访问的用户的数目。默认情况下，如果您运行的是本文描述的步骤，则允许 128 个连接。若要更改同时连接的数目，请按照下列步骤*作：
1. 单击开始，指向管理工具，然后单击“路由和远程访问”。
2. 双击服务器对象，右击端口，然后单击属性。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水i+hN%n
R'{$I
3. 在端口属性对话框中，单击 WAN 微型端口 (PPTP)，然后单击配置。 51CTO技术论坛{\;Jv%bJ M
4. 在最多端口数框中，键入要允许的 VPN 连接的数目。 51CTO技术论坛J+?#FP6y@G(pWD
5. 单击确定，再次单击确定，然后关闭“路由和远程访问”。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水7i|H7[3L J)^:w
bbs.51cto.comtT:`;pn!y7jN"H&b
如何管理地址和名称服务器
VPN 服务器必须有可用的 IP 地址，以便在连接进程的 IP 控制协议 (IPCP) 协商阶段将它们分配给 VPN 服务器的虚拟接口和 VPN 客户端。分配给 VPN 客户端的 IP 地址实际分配给了 VPN 客户端的虚拟接口。J1cVo5c
N,}W~
!p+ZS'kAm4h
对于基于 Windows Server 2003 的 VPN 服务器，默认情况下，分配给 VPN 客户端的 IP 地址是通过 DHCP 获得的。您也可以配置静态 IP 地址池。VPN 服务器还必须配置名称解析服务器（通常是 DNS 和 WINS 服务器）地址，以在 IPCP 协商期间分配给 VPN 客户端。 bbs.51cto.comu4r[b]M
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水L!_(gu1y1]|
如何管理访问
在用户帐户上配置拨入属性并配置远程访问策略，以管理对拨号网络和 VPN 连接的访问。

注意：默认情况下拒绝用户访问拨号网络。
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水Np6Y
w9p
通过用户帐户访问
如果您按用户管理远程访问，若要向某个用户帐户授予拨号访问权限，请按照下列步骤*作： 51CTO技术论坛9gS1g-|KPg
1. 单击开始，指向管理工具，然后单击“Active Directory 用户和计算机”。
2. 右击用户帐户，然后单击属性。 bbs.51cto.com*wQ!U;C-Oz#Hs
3. 单击“版本”选项卡。 bbs.51cto.com,s)`*W}.vU
4. 单击“允许访问”以授予用户拨入的权限。单击确定。

通过组成员身份访问m7v7J qGX
如果您按组管理远程访问，请按照下列步骤*作： 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水 I f4qs?by;_
1. 创建一个由允许创建 VPN 连接的成员组成的组。
2. 单击开始，指向管理工具，然后单击“路由和远程访问”。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水{2A)na1M%i{t
3. 在控制台树中，展开“路由和远程访问”，展开服务器名，然后单击远程访问策略。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水p*M2]0D cn
4. 在右侧窗格中右击任意位置，指向新建，然后单击远程访问策略。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水*i`i
JV
5. 单击下一步，键入策略名称，然后单击下一步。
6. 对于“虚拟专用访问”访问方法，请单击 VPN，或对于拨号访问方法，请单击拨号，然后单击下一步。 bCl5P'U+SA5L
7. 单击添加，键入您在步骤 1 中创建的组的名称，然后单击下一步。
8. 按照屏幕上的说明完成该向导的*作。
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水2e4G'G;fzCe1e
如果 VPN 服务器已经允许使用拨号网络远程访问服务，则不要删除默认策略。而是移动其位置，使它成为最后一个起作用的策略。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水x*yuuC
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水$a$ZHp6t%m-`^7\
如何从客户端计算机配置 VPN 连接
若要建立与 VPN 的连接，请按照下列步骤*作。若要设置客户端进行虚拟专用网络访问，请在客户端工作站上执行下列步骤：
5K0R E6x5Bi
注意：您必须以管理员组的成员身份登录才能执行这些步骤。

注意：因为 Microsoft Windows 存在多个版本，所以在您的计算机上执行的步骤可能与下面介绍的步骤有所不同。如果是这样，请参阅产品文档来完成这些步骤。
ebv:H+j2eBeG
1. 在客户计算机上，确认与 Internet 的连接配置正确。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水%P2[
B0H.gS2k1X4a
2. 单击开始，单击控制面板，然后单击网络连接。单击网络任务下的“创建一个新的连接”，然后单击下一步。
3. 单击“连接到我的工作场所的网络”以创建拨号连接。单击下一步继续。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水+q1lM{LYXt
4. 单击“虚拟专用网络连接”，然后单击下一步。 51CTO技术论坛@7Fa"Zz
5. 在公司名称对话框中为连接键入一个描述性的名称，然后单击下一步。 51CTO技术论坛B^F'a6z
q*\kk
6. 如果计算机永久连接到 Internet，请单击不拨初始连接。如果计算机通过 Internet 服务提供商 (ISP) 连接到 Internet，则单击“自动拨此初始连接”，然后单击与 ISP 连接的名称。单击下一步。 bbs.51cto.commeqW&D+R%Y(bb5n
7. 键入 VPN 服务器计算机的 IP 地址或主机名（例如 VPNServer.SampleDomain.com）。
8. 如果要允许登录到该工作站的任何用户都能访问此拨号连接，则单击“任何人使用”。如果要使此连接仅供当前登录用户使用，则单击“只是我使用”。单击下一步。
9. 单击完成以保存连接。
10. 单击开始，单击控制面板，然后单击网络连接。
11. 双击新建的连接。
12. 单击属性以继续为连接配置选项。若要继续配置连接的选项，请按照下列步骤*作：
      • 如果您要连接到一个域，请单击选项选项卡，然后单击选中“包含 Windows 登录域”复选框以指定在尝试连接前是否要求 Windows Server 2003 登录域信息。
      • 如果想让该连接在断线后重新拨号，则请单击选项选项卡，然后单击选中“断线重拨”复选框。
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水+[
Pp%rSju$V&v
若要使用连接，请按照下列步骤*作：
1. 单击开始，指向“连接到”，然后单击该新建连接。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水r4]8_&Q3w_$C3v9s]
2. 如果目前没有到 Internet 的连接，Windows 可让您连接到 Internet。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水
F$\
N3J(QFVc7[cD\A
3. 建立到 Internet 的连接后，VPN 服务器会提示您输入用户名和密码。键入用户名和密码，然后单击连接。bbs.51cto.com L]#z%MCW1Z
您必须能够使用您的网络资源，就像直接连接到该网络一样。注意：若要从 VPN 上断开，请右击连接图标，然后单击断开连接。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水;exq6MkOYo9f+s
\*bu'rE(d}
疑难解答51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水A@:e4@-T1^
51CTO技术论坛:vPFB2J M~
远程访问 VPN 的疑难解答

无法建立远程访问 VPN 连接51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水k:p#]Zk5n`8C5]Bb

• 原因：客户计算机的名称与网络上另一台计算机的名称相同。
解决方案：验证网络上的所有计算机和连接到网络的计算机是否都使用唯一的计算机名称。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水LH
[VaRM2\;Vs
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水1R'r.Ir4P$|
• 原因：VPN 服务器上未启动“路由和远程访问”服务。
解决方案：验证 VPN 服务器上“路由和远程访问”服务的状态。

• 原因：VPN 服务器上未启用远程访问。
解决方案：在 VPN 服务器上启用远程访问。
$oF[}A5p+E
• 原因：未为入站远程访问请求打开 PPTP 或 L2TP 端口。
解决方案：为入站远程访问请求打开 PPTP 或 L2TP 端口，或同时打开两个端口。
51CTO技术论坛-R"[ a7h_P
• 原因：在 VPN 服务器上未启用 VPN 客户端使用的 LAN 协议来支持远程访问。1X*b!H5tw
解决方案：在 VPN 服务器上启用 VPN 客户端使用的 LAN 协议以支持远程访问。
+d*p~I{1F
• 原因：VPN 服务器上的所有 PPTP 或 L2TP 端口已被当前连接的远程访问客户端或请求拨号路由器使用。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水!c7bN:vT8g0P8a3m-G
解决方案：验证 VPN 服务器上的所有 PPTP 或 L2TP 端口是否都已被使用。为此，请在“路由和远程访问”中单击端口。如果允许的 PPTP 或 L2TP 端口的数目不够高，则可以更改 PPTP 或 L2TP 端口的数目以允许更多的同时连接。51CTO技术论坛:@Vamj[3A)]L
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水J?+vag7_)O$?O"h
• 原因：VPN 服务器不支持 VPN 客户端的隧道协议。
默认情况下，Windows Server 2003 的远程访问 VPN 客户端使用自动服务器类型选项，这意味着他们试图首先建立一个基于 IPSsec 的 L2TP VPN 连接，然后试图建立一个基于 PPTP 的 VPN 连接。如果 VPN 客户端使用点对点隧道协议 (PPTP) 或第 2 层隧道协议 (L2TP)两者中的一种服务器类型选项，请验证选中的隧道协议是否受 VPN 服务器支持。
默认情况下，一台运行 Windows Server 2003 和“路由和远程访问”服务的计算机就是一个有五个 L2TP 端口和五个 PPTP 端口的 PPTP 和 L2TP 服务器。若要使创建的服务器只为 PPTP 服务器，请将 L2TP 端口的数量设置为零。若要使创建的服务只为 L2TP 服务器，请将 PPTP 端口的数量设置为零。
解决方案：验证是否配置了相应数目的 PPTP 或 L2TP 端口。

• 原因：VPN 客户端和 VPN 服务器以及远程访问策略未配置为至少使用一种通用身份验证方法。
解决方案：将 VPN 客户端和 VPN 服务器以及远程访问策略配置为至少使用一种通用身份验证方法。

• 原因：VPN 客户端和 VPN 服务器以及远程访问策略未配置为至少使用一种通用加密方法。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水$kr2w*D8Do"b^
解决方案：将 VPN 客户端和 VPN 服务器以及远程访问策略配置为至少使用一种通用加密方法。

• 原因：VPN 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
解决方案：验证 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。若要建立连接，连接尝试的设置必须：
• 至少满足一种远程访问策略的所有条件。
• 通过用户帐户（设置为允许访问）或通过用户帐户（设置为“通过远程访问策略控制访问”）授予远程访问权限，并授予匹配的远程访问策略的远程访问权限（设置为“授予远程访问权限”）。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水bE]mYN6D(B
• 与该配置文件的所有设置匹配。
• 与该用户帐户的拨入属性的所有设置相匹配。 !UKW1IB`!S(_
bbs.51cto.coml6t-Cj?-B4p%?+u0[

• 原因：远程访问策略配置文件的设置与 VPN 服务器的属性冲突。[aA+?u3N+v}
远程访问策略配置文件的属性和 VPN 服务器的属性都包含下列设置： 51CTO技术论坛!UI5\ Cxi
• 多重链接。
• 带宽分配协议 (BAP)。
• 身份验证协议。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水w-I{Rg4dbO ox
如果相应的远程访问策略的配置文件的设置与 VPN 服务器的设置冲突，则连接尝试将被拒绝。例如，如果相应的远程访问策略配置文件指定必须使用可扩展身份验证协议 — 传输层安全性 (EAP-TLS) 身份验证协议，而 VPN 服务器上未启用 EAP，则连接尝试将被拒绝。
解决方案：验证远程访问策略配置文件的设置以确保不与 VPN 服务器的属性冲突。OVyL
W6NN


• 原因：应答路由器无法验证呼叫路由器的凭据（用户名、密码和域名）。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水7t*\/wm1MWmR
解决方案：验证 VPN 客户端的凭据（用户名、密码和域名）是否正确以及是否可被 VPN 服务器验证。bbs.51cto.com5y(m"_4J#Dc&rqoP

• 原因：在静态 IP 地址池中没有足够的地址。
解决方案：如果 VPN 服务器配置了静态 IP 地址池，请验证池中是否有足够的地址。如果静态池中的所有地址都已分配给已连接的 VPN 客户端，则 VPN 服务器将无法分配 IP 地址，连接尝试将被拒绝。如果已分配了静态池中的所有地址，则修改池。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水l8ap0{D7~,b
Hukq,Gw1q/lsy
• 原因：VPN 客户端配置为可请求其自己的 IPX 节点编号，而 VPN 服务器配置为不允许 IPX 客户端请求它们自己的 IPX 节点编号。
解决方案：配置 VPN 服务器使之允许 IPX 客户端请求它们自己的 IPX 节点编号。
bbs.51cto.com0C!I^/Zr&d!f
• 原因：给 VPN 服务器配置了一段 IPX 网络上其他地方正在使用的 IPX 网络编号范围。}Mp!p^j:TR
解决方案：给 VPN 服务器配置一个在 IPX 网络上唯一的 IPX 网络编号范围。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水u4pQUDEw

• 原因：VPN 服务器的身份验证提供程序配置不正确。
解决方案：验证身份验证提供程序的配置是否正确。您可以配置 VPN 服务器使用 Windows Server 2003 或远程身份验证拨入用户服务 (RADIUS) 来验证 VPN 客户端的凭据。

G([ X&iMy
• 原因：VPN 服务器无法访问 Active Directory。
解决方案：如果 VPN 服务器是混合模式或本机模式 Windows Server 2003 域的一个成员服务器而且配置为使用 Windows Server 2003 身份验证，则请验证： 51CTO技术论坛-a[2AoT!B Z C
• “RAS 和 IAS 服务器”安全组是否存在。如果不存在，请创建该组并将组类型设置为“安全”并将组作用域设置为“本地域”。 6l,RLS1^G'U
• “RAS 和 IAS 服务器”安全组对“RAS 和 IAS 服务器访问检查”对象有读取权限。 51CTO技术论坛$J1B0qX8b%l/t
• VPN 服务器计算机的计算机帐户是“RAS 和 IAS 服务器”安全组中的一个成员。可以使用“netsh ras show registeredserver”命令查看当前注册。可以使用“netsh ras add registeredserver”命令在指定的域中注册服务器。1] O{3U8SE
如果您向 RAS 和 IAS 服务器安全组添加（或从中去除）VPN 服务器计算机，则此更改不会立即生效（这是由 Windows Server 2003 缓存 Active Directory 信息的方式决定的）。若要使更改立即生效，请重新启动 VPN 服务器计算机。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水%wR$Lc#di
• VPN 服务器是该域的一个成员。
kCG]iO6H#^h_

• 原因：基于 Windows NT 4.0 的 VPN 服务器无法验证连接请求。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水V+K2C5s8N
解决方案：如果 VPN 客户端正在拨入到运行着 Windows NT 4.0 的 VPN 服务器，而此服务器是 Windows Server 2003 混合模式域的成员，则请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中：
"net localgroup "Pre-Windows 2000 Compatible Access"" ZV`)a
R
u9L)D%c(z5NZ
如果没有，则请在域控制器计算机上的命令提示符处键入下列命令，然后重新启动域控制器计算机：51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水?\T7I-{_'c
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

• 原因：VPN 服务器无法与配置的 RADIUS 服务器通讯。E%Oz3l1zZ
解决方案：如果只能通过 Internet 接口访问 RADIUS 服务器，则执行以下*作之一：
• 为 UDP 端口 1812 的 Internet 接口添加一个输入过滤器和一个输出过滤器（依据 RFC 2138“远程身份验证拨入用户服务 (RADIUS)”）。– 或 -
• 为 UDP 端口 1645（针对较早的 RADIUS 服务器）以及 RADIUS 身份验证和 UDP 端口 1813（基于 RFC 2139“RADIUS 计帐”）的 Internet 接口添加一个输入筛选器和一个输出筛选器。bbs.51cto.com:LfBy4n,Xp)F
- 或 - 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水}-^1G6UJ-tz*u
• 为用于 RADIUS 计帐的 UDP 端口 1646（针对较早的 RADIUS 服务器）的 Internet 接口添加一个输入筛选器和一个输出筛选器。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水+mj4idt'cJM*z


• 原因：无法使用 Ping.exe 实用程序通过 Internet 连接到 VPN 服务器。 ar fb1G"W@U
vJ
解决方案：由于在 VPN 服务器的 Internet 接口上配置了基于 IPSec 的 PPTP 和 L2TP 数据包筛选，ping 命令使用的 Internet 控制消息协议 (ICMP) 数据包被筛选掉了。若要让 VPN 服务器能够响应 ICMP (ping) 数据包，请添加允许 IP 协议 1 通信量（ICMP 通信量）的输入筛选器和输出筛选器。51CTO技术论坛\1K|9h+~+Q
|-~e*oT*oV)[i
• 原因：未给被路由的协议添加适当的请求拨号接口。
解决方案：给被路由的协议添加适当的请求拨号接口。;Li)bU-\,C!V
bbs.51cto.comls`
tc
Z
• 原因：路由器对路由器 VPN 连接的两端都没有支持双向通信量交换的路由。
解决方案：与远程访问 VPN 连接不同，路由器对路由器 VPN 连接不会自动创建默认路由。在路由器对路由器 VPN 连接的两端都创建路由，以便路由器对路由器 VPN 连接两端的通信量都可以路由到对方。
51CTO技术论坛NnH7n7_4Av7g
您可以手动向路由表中添加静态路由，也可以通过路由协议添加静态路由。6Y-y!Y8H#m|!\%R)Nt
对于持续性 VPN 连接，您可以在 VPN 连接上启用“开放式最短路径优先 (OSPF)”或“路由信息协议 (RIP)”。
对于请求 VPN 连接，可以通过自动静态 RIP 更新来自动更新路由。T?,V&\Iwr~ _
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水j,Ug3P,fO7P
• 原因：双向初始化的应答路由器作为远程访问连接，正在解释路由器对路由器的 VPN 连接。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水5_BMaJ!n
解决方案：如果呼叫路由器的凭据中的用户名出现在“路由和远程访问”中的拨入客户端下，则应答路由器将把呼叫路由器解释为远程访问客户端。请验证呼叫路由器的凭据中的用户名是否与应答路由器上请求拨号接口的名称匹配。如果传入呼叫方是一个路由器，则接收呼叫的端口将显示为活动状态，而且相应的请求拨号接口处于连接状态。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水l8\YL:`q_$G
GZ

• 原因：呼叫路由器和应答路由器的请求拨号接口上的数据包筛选器使通信量不能传输。2y*v1Y3\*T?PV8V
解决方案：验证以确保呼叫路由器和应答路由器的请求拨号接口上不存在阻止通信量传输的数据包筛选器。可以给各请求拨号接口配置 IP 和 IPX 输入和输出筛选器，以精确控制允许进出该请求拨号接口的 TCP/IP 和 IPX 通信量的性质。51CTO技术论坛.M(WbbcT^TV
`b(d6H5NZJ
• 原因：远程访问策略配置文件中的数据包筛选器阻止了 IP 通信量的传输。
解决方案：验证以确保 VPN 服务器（如果使用了 Internet 身份验证服务则是 RADIUS 服务器）上的远程访问策略的配置文件属性上未配置阻止 TCP/IP 通信量接发的 TCP/IP 数据包筛选器。您可以使用远程访问策略来配置 TCP/IP 输入和输出数据包筛选器，以精确控制 VPN 连接上允许的 TCP/IP 通信量的性质。验证以确保配置文件 TCP/IP 数据包筛选器未阻止通信量的传输。