在 Windows Server 2003 中安裝和配置VPN服務(wù)器
• 概要
• VPN 概述
• VPN 的組件
• 如何安裝和啟用 VPN 服務(wù)器
• 如何配置 VPN 服務(wù)器
• 如何將遠(yuǎn)程訪問服務(wù)器配置為路由器
• 如何修改同時(shí)連接的數(shù)目
• 如何管理地址和名稱服務(wù)器
• 如何管理訪問
• 通過用戶帳戶訪問
• 通過組成員身份訪問
• 如何從客戶端計(jì)算機(jī)配置 VPN 連接
• 疑難解答
• 遠(yuǎn)程訪問 VPN 的疑難解答

概要
本分步指南介紹了如何安裝虛擬專用網(wǎng)絡(luò)連接 (VPN) 以及如何在運(yùn)行 Windows Server 2003 的服務(wù)器中創(chuàng)建新的 VPN 連接。

使用虛擬專用網(wǎng)絡(luò)，您可以通過另一個(gè)網(wǎng)絡(luò)（例如 Internet）連接網(wǎng)絡(luò)組件。您可以把基于 Windows Server 2003 的計(jì)算機(jī)作為遠(yuǎn)程訪問服務(wù)器，這樣其他用戶可以通過使用 VPN 與其連接，然后登錄到網(wǎng)絡(luò)并訪問共享資源。虛擬專用網(wǎng)絡(luò)是通過在 Internet 或另外的公用網(wǎng)絡(luò)上進(jìn)行“隧道*作”來實(shí)現(xiàn)的，可提供與專用網(wǎng)絡(luò)相同的安全性和功能。數(shù)據(jù)利用公用網(wǎng)絡(luò)的路由結(jié)構(gòu)在公用網(wǎng)絡(luò)上傳送，而對用戶來說，則好像是通過一個(gè)專門的專用鏈接傳送的。

VPN 概述
虛擬專用網(wǎng)絡(luò)是一種通過公用網(wǎng)絡(luò)（如 Internet）連接專用網(wǎng)絡(luò)（如您的辦公室網(wǎng)絡(luò)）的途徑。VPN 將撥號服務(wù)器的撥號連接的優(yōu)點(diǎn)與 Internet 連接的方便與靈活性結(jié)合了起來。通過使用 Internet 連接，您可以周游世界，而同時(shí)在大多數(shù)地方仍可以通過當(dāng)?shù)刈罱��?Internet 訪問電話號碼連接到您的辦公室。如果您的計(jì)算機(jī)和辦公室有高速 Internet 連接（如電纜或 DSL），您就可以用最高的 Internet 速度與辦公室通訊，比任何使用模擬調(diào)制解調(diào)器的撥號連接速度都要快得多。此技術(shù)使企業(yè)可以通過公用網(wǎng)絡(luò)連接到其分支辦事處或其他公司，同時(shí)又可以確保通信的安全性。通過 Internet 的 VPN 連接從邏輯上講相當(dāng)于一個(gè)專用的廣域網(wǎng) (WAN) 鏈接。

虛擬專用網(wǎng)絡(luò)使用需進(jìn)行身份驗(yàn)證的鏈接以確保只有授權(quán)用戶才可以連接到您的網(wǎng)絡(luò)。為了確保通過公用網(wǎng)絡(luò)傳送數(shù)據(jù)的安全性，VPN 連接使用點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP) 或第二層隧道協(xié)議 (L2TP) 對數(shù)據(jù)進(jìn)行加密。

VPN 的組件
運(yùn)行 Windows Server 2003 的服務(wù)器中的 VPN 組件包括一個(gè) VPN 服務(wù)器、一個(gè) VPN 客戶端、一個(gè) VPN 連接（連接中數(shù)據(jù)被加密的部分）和隧道（連接中數(shù)據(jù)被封裝的部分）。建立隧道是通過運(yùn)行 Windows Server 2003 的服務(wù)器中包括的兩個(gè)隧道協(xié)議之一完成的，這兩個(gè)協(xié)議都是隨“路由和遠(yuǎn)程訪問”安裝的。Windows Server 2003 安裝過程中將自動(dòng)安裝“路由和遠(yuǎn)程訪問”服務(wù)。但是，默認(rèn)情況下，“路由和遠(yuǎn)程訪問”服務(wù)會被關(guān)閉。
Windows 包括的這兩個(gè)隧道協(xié)議是：

• 點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP)：使用“Microsoft 點(diǎn)對點(diǎn)加密”提供數(shù)據(jù)加密。
• 第二層隧道協(xié)議 (L2TP)：使用 IPSec 提供數(shù)據(jù)加密、身份驗(yàn)證和完整性。

到 Internet 的連接必須使用專用的線路，例如 T1、Fractional T1 或 Frame Relay。必須用指派給您的域或由 Internet 服務(wù)提供商 (ISP) 提供的 IP 地址和子網(wǎng)掩碼配置 WAN 適配器。還必須將 WAN 適配器配置為 ISP 路由器的默認(rèn)網(wǎng)關(guān)。

注意：若要啟用 VPN，您必須使用具有管理權(quán)限的帳戶登錄。

如何安裝和啟用 VPN 服務(wù)器
若要安裝和啟用 VPN 服務(wù)器，請按照下列步驟*作：
1. 單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。
2. 在控制臺左窗格中單擊與本地服務(wù)器名稱匹配的服務(wù)器圖標(biāo)。如果該圖標(biāo)左下角有一個(gè)紅圈，則說明尚未啟用“路由和遠(yuǎn)程訪問”服務(wù)。如果該圖標(biāo)左下角有一個(gè)指向上方的綠色箭頭，則說明已啟用“路由和遠(yuǎn)程訪問”服務(wù)。如果先前已啟用“路由和遠(yuǎn)程訪問”服務(wù)，您可能要重新配置服務(wù)器。若要重新配置服務(wù)器，請按照下列步驟*作：
     a.  右擊服務(wù)器對象，然后單擊“禁用路由和遠(yuǎn)程訪問”。單擊是以繼續(xù)。
     b.  右擊服務(wù)器圖標(biāo)，然后單擊“配置并啟用路由和遠(yuǎn)程訪問”以啟動(dòng)“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А�。單擊下一步繼續(xù)。
     c.  單擊“遠(yuǎn)程訪問（撥號或 VPN）”以啟用遠(yuǎn)程計(jì)算機(jī)撥入或通過 Internet 連接到本網(wǎng)絡(luò)。單擊下一步繼續(xù)。

3. 根據(jù)您打算分配給該服務(wù)器的角色，單擊以選擇 VPN 或撥號。
4. 在“VPN 連接”窗口中，單擊連接到 Internet 的網(wǎng)絡(luò)接口，然后單擊下一步。
5. 如果要使用 DHCP 服務(wù)器給遠(yuǎn)程客戶端分配地址，請?jiān)?IP 地址分配窗口中單擊自動(dòng)，或者，如果僅應(yīng)從預(yù)定義池給遠(yuǎn)程客戶端分配地址，請單擊“來自一個(gè)指定的地址范圍”。多數(shù)情況下，DHCP 選項(xiàng)的管理更簡單。不過，如果沒有 DHCP，就必須指定一個(gè)靜態(tài)地址范圍。單擊下一步繼續(xù)。
6. 如果您單擊“來自一個(gè)指定的地址范圍”，就打開了地址范圍分配對話框。單擊新建。在“起始 IP 地址”框中鍵入希望使用的地址范圍內(nèi)的第一個(gè) IP 地址。在“結(jié)束 IP 地址”框中鍵入該范圍內(nèi)的最后一個(gè) IP 地址。Windows 將自動(dòng)計(jì)算地址的數(shù)目。單擊確定以返回到地址范圍分配窗口。單擊下一步繼續(xù)。
7. 接受“否，使用路由和遠(yuǎn)程訪問對連接請求進(jìn)行身份驗(yàn)證”的默認(rèn)設(shè)置，然后單擊下一步繼續(xù)。單擊完成以啟用路由和遠(yuǎn)程訪問服務(wù)并將該服務(wù)器配置為遠(yuǎn)程訪問服務(wù)器。

如何配置 VPN 服務(wù)器
若要繼續(xù)根據(jù)需要配置 VPN 服務(wù)器，請按照下列步驟*作。

如何將遠(yuǎn)程訪問服務(wù)器配置為路由器
為讓遠(yuǎn)程訪問服務(wù)器能在您的網(wǎng)絡(luò)中正確地轉(zhuǎn)發(fā)通信量，必須用靜態(tài)路由或路由協(xié)議將其配置為一個(gè)路由器，這樣遠(yuǎn)程訪問服務(wù)器才能訪問到內(nèi)部網(wǎng)中的所有位置。

若要將服務(wù)器配置為路由器，請按照下列步驟*作：
    1. 單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。
    2. 右擊服務(wù)器名稱，然后單擊屬性。
    3. 單擊常規(guī)選項(xiàng)卡，然后單擊選擇“啟用此計(jì)算機(jī)作為”下的路由器。
    4. 單擊“局域網(wǎng)和請求撥號路由選擇”，然后單擊確定以關(guān)閉屬性對話框。

如何修改同時(shí)連接的數(shù)目
調(diào)制解調(diào)器撥號連接的數(shù)目取決于安裝在服務(wù)器上的調(diào)制解調(diào)器的數(shù)目。例如，如果在服務(wù)器上只安裝了一個(gè)調(diào)制解調(diào)器，則一次只能有一個(gè)調(diào)制解調(diào)器連接。

撥號 VPN 連接的數(shù)目取決于您允許同時(shí)訪問的用戶的數(shù)目。默認(rèn)情況下，如果您運(yùn)行的是本文描述的步驟，則允許 128 個(gè)連接。若要更改同時(shí)連接的數(shù)目，請按照下列步驟*作：
    1. 單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。
    2. 雙擊服務(wù)器對象，右擊端口，然后單擊屬性。
    3. 在端口屬性對話框中，單擊 WAN 微型端口 (PPTP)，然后單擊配置。
    4. 在最多端口數(shù)框中，鍵入要允許的 VPN 連接的數(shù)目。
    5. 單擊確定，再次單擊確定，然后關(guān)閉“路由和遠(yuǎn)程訪問”。

如何管理地址和名稱服務(wù)器
VPN 服務(wù)器必須有可用的 IP 地址，以便在連接進(jìn)程的 IP 控制協(xié)議 (IPCP) 協(xié)商階段將它們分配給 VPN 服務(wù)器的虛擬接口和 VPN 客戶端。分配給 VPN 客戶端的 IP 地址實(shí)際分配給了 VPN 客戶端的虛擬接口。

對于基于 Windows Server 2003 的 VPN 服務(wù)器，默認(rèn)情況下，分配給 VPN 客戶端的 IP 地址是通過 DHCP 獲得的。您也可以配置靜態(tài) IP 地址池。VPN 服務(wù)器還必須配置名稱解析服務(wù)器（通常是 DNS 和 WINS 服務(wù)器）地址，以在 IPCP 協(xié)商期間分配給 VPN 客戶端。

如何管理訪問
在用戶帳戶上配置撥入屬性并配置遠(yuǎn)程訪問策略，以管理對撥號網(wǎng)絡(luò)和 VPN 連接的訪問。

注意：默認(rèn)情況下拒絕用戶訪問撥號網(wǎng)絡(luò)。

通過用戶帳戶訪問
如果您按用戶管理遠(yuǎn)程訪問，若要向某個(gè)用戶帳戶授予撥號訪問權(quán)限，請按照下列步驟*作：
    1. 單擊開始，指向管理工具，然后單擊“Active Directory 用戶和計(jì)算機(jī)”。
    2. 右擊用戶帳戶，然后單擊屬性。
    3. 單擊“版本”選項(xiàng)卡。
    4. 單擊“允許訪問”以授予用戶撥入的權(quán)限。單擊確定。

通過組成員身份訪問
如果您按組管理遠(yuǎn)程訪問，請按照下列步驟*作：
    1. 創(chuàng)建一個(gè)由允許創(chuàng)建 VPN 連接的成員組成的組。
    2. 單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。
    3. 在控制臺樹中，展開“路由和遠(yuǎn)程訪問”，展開服務(wù)器名，然后單擊遠(yuǎn)程訪問策略。
    4. 在右側(cè)窗格中右擊任意位置，指向新建，然后單擊遠(yuǎn)程訪問策略。
    5. 單擊下一步，鍵入策略名稱，然后單擊下一步。
    6. 對于“虛擬專用訪問”訪問方法，請單擊 VPN，或?qū)τ趽芴栐L問方法，請單擊撥號，然后單擊下一步。
    7. 單擊添加，鍵入您在步驟 1 中創(chuàng)建的組的名稱，然后單擊下一步。
    8. 按照屏幕上的說明完成該向?qū)У?作。

如果 VPN 服務(wù)器已經(jīng)允許使用撥號網(wǎng)絡(luò)遠(yuǎn)程訪問服務(wù)，則不要?jiǎng)h除默認(rèn)策略。而是移動(dòng)其位置，使它成為最后一個(gè)起作用的策略。

如何從客戶端計(jì)算機(jī)配置 VPN 連接
若要建立與 VPN 的連接，請按照下列步驟*作。若要設(shè)置客戶端進(jìn)行虛擬專用網(wǎng)絡(luò)訪問，請?jiān)诳蛻舳斯ぷ髡旧蠄?zhí)行下列步驟：

注意：您必須以管理員組的成員身份登錄才能執(zhí)行這些步驟。

注意：因?yàn)?Microsoft Windows 存在多個(gè)版本，所以在您的計(jì)算機(jī)上執(zhí)行的步驟可能與下面介紹的步驟有所不同。如果是這樣，請參閱產(chǎn)品文檔來完成這些步驟。

    1. 在客戶計(jì)算機(jī)上，確認(rèn)與 Internet 的連接配置正確。
    2. 單擊開始，單擊控制面板，然后單擊網(wǎng)絡(luò)連接。單擊網(wǎng)絡(luò)任務(wù)下的“創(chuàng)建一個(gè)新的連接”，然后單擊下一步。
    3. 單擊“連接到我的工作場所的網(wǎng)絡(luò)”以創(chuàng)建撥號連接。單擊下一步繼續(xù)。
    4. 單擊“虛擬專用網(wǎng)絡(luò)連接”，然后單擊下一步。
    5. 在公司名稱對話框中為連接鍵入一個(gè)描述性的名稱，然后單擊下一步。
    6. 如果計(jì)算機(jī)永久連接到 Internet，請單擊不撥初始連接。如果計(jì)算機(jī)通過 Internet 服務(wù)提供商 (ISP) 連接到 Internet，則單擊“自動(dòng)撥此初始連接”，然后單擊與 ISP 連接的名稱。單擊下一步。
    7. 鍵入 VPN 服務(wù)器計(jì)算機(jī)的 IP 地址或主機(jī)名（例如 VPNServer.SampleDomain.com）。
    8. 如果要允許登錄到該工作站的任何用戶都能訪問此撥號連接，則單擊“任何人使用”。如果要使此連接僅供當(dāng)前登錄用戶使用，則單擊“只是我使用”。單擊下一步。
    9. 單擊完成以保存連接。
    10. 單擊開始，單擊控制面板，然后單擊網(wǎng)絡(luò)連接。
    11. 雙擊新建的連接。
    12. 單擊屬性以繼續(xù)為連接配置選項(xiàng)。若要繼續(xù)配置連接的選項(xiàng)，請按照下列步驟*作：
        • 如果您要連接到一個(gè)域，請單擊選項(xiàng)選項(xiàng)卡，然后單擊選中“包含 Windows 登錄域”復(fù)選框以指定在嘗試連接前是否要求 Windows Server 2003 登錄域信息。
        • 如果想讓該連接在斷線后重新?lián)芴�，則請單擊選項(xiàng)選項(xiàng)卡，然后單擊選中“斷線重?fù)堋睆?fù)選框。

若要使用連接，請按照下列步驟*作：
    1. 單擊開始，指向“連接到”，然后單擊該新建連接。
    2. 如果目前沒有到 Internet 的連接，Windows 可讓您連接到 Internet。
    3. 建立到 Internet 的連接后，VPN 服務(wù)器會提示您輸入用戶名和密碼。鍵入用戶名和密碼，然后單擊連接。
您必須能夠使用您的網(wǎng)絡(luò)資源，就像直接連接到該網(wǎng)絡(luò)一樣。注意：若要從 VPN 上斷開，請右擊連接圖標(biāo)，然后單擊斷開連接。

疑難解答

遠(yuǎn)程訪問 VPN 的疑難解答

無法建立遠(yuǎn)程訪問 VPN 連接

• 原因：客戶計(jì)算機(jī)的名稱與網(wǎng)絡(luò)上另一臺計(jì)算機(jī)的名稱相同。
解決方案：驗(yàn)證網(wǎng)絡(luò)上的所有計(jì)算機(jī)和連接到網(wǎng)絡(luò)的計(jì)算機(jī)是否都使用唯一的計(jì)算機(jī)名稱。

• 原因：VPN 服務(wù)器上未啟動(dòng)“路由和遠(yuǎn)程訪問”服務(wù)。
解決方案：驗(yàn)證 VPN 服務(wù)器上“路由和遠(yuǎn)程訪問”服務(wù)的狀態(tài)。

• 原因：VPN 服務(wù)器上未啟用遠(yuǎn)程訪問。
解決方案：在 VPN 服務(wù)器上啟用遠(yuǎn)程訪問。

• 原因：未為入站遠(yuǎn)程訪問請求打開 PPTP 或 L2TP 端口。
解決方案：為入站遠(yuǎn)程訪問請求打開 PPTP 或 L2TP 端口，或同時(shí)打開兩個(gè)端口。

• 原因：在 VPN 服務(wù)器上未啟用 VPN 客戶端使用的 LAN 協(xié)議來支持遠(yuǎn)程訪問。
解決方案：在 VPN 服務(wù)器上啟用 VPN 客戶端使用的 LAN 協(xié)議以支持遠(yuǎn)程訪問。

• 原因：VPN 服務(wù)器上的所有 PPTP 或 L2TP 端口已被當(dāng)前連接的遠(yuǎn)程訪問客戶端或請求撥號路由器使用。
解決方案：驗(yàn)證 VPN 服務(wù)器上的所有 PPTP 或 L2TP 端口是否都已被使用。為此，請?jiān)凇奥酚珊瓦h(yuǎn)程訪問”中單擊端口。如果允許的 PPTP 或 L2TP 端口的數(shù)目不夠高，則可以更改 PPTP 或 L2TP 端口的數(shù)目以允許更多的同時(shí)連接。

• 原因：VPN 服務(wù)器不支持 VPN 客戶端的隧道協(xié)議。
默認(rèn)情況下，Windows Server 2003 的遠(yuǎn)程訪問 VPN 客戶端使用自動(dòng)服務(wù)器類型選項(xiàng)，這意味著他們試圖首先建立一個(gè)基于 IPSsec 的 L2TP VPN 連接，然后試圖建立一個(gè)基于 PPTP 的 VPN 連接。如果 VPN 客戶端使用點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP) 或第 2 層隧道協(xié)議 (L2TP)兩者中的一種服務(wù)器類型選項(xiàng)，請驗(yàn)證選中的隧道協(xié)議是否受 VPN 服務(wù)器支持。
默認(rèn)情況下，一臺運(yùn)行 Windows Server 2003 和“路由和遠(yuǎn)程訪問”服務(wù)的計(jì)算機(jī)就是一個(gè)有五個(gè) L2TP 端口和五個(gè) PPTP 端口的 PPTP 和 L2TP 服務(wù)器。若要使創(chuàng)建的服務(wù)器只為 PPTP 服務(wù)器，請將 L2TP 端口的數(shù)量設(shè)置為零。若要使創(chuàng)建的服務(wù)只為 L2TP 服務(wù)器，請將 PPTP 端口的數(shù)量設(shè)置為零。
解決方案：驗(yàn)證是否配置了相應(yīng)數(shù)目的 PPTP 或 L2TP 端口。

• 原因：VPN 客戶端和 VPN 服務(wù)器以及遠(yuǎn)程訪問策略未配置為至少使用一種通用身份驗(yàn)證方法。
解決方案：將 VPN 客戶端和 VPN 服務(wù)器以及遠(yuǎn)程訪問策略配置為至少使用一種通用身份驗(yàn)證方法。

• 原因：VPN 客戶端和 VPN 服務(wù)器以及遠(yuǎn)程訪問策略未配置為至少使用一種通用加密方法。
解決方案：將 VPN 客戶端和 VPN 服務(wù)器以及遠(yuǎn)程訪問策略配置為至少使用一種通用加密方法。

• 原因：VPN 連接在用戶帳戶撥入屬性以及在遠(yuǎn)程訪問策略中沒有適當(dāng)?shù)臋?quán)限。
解決方案：驗(yàn)證 VPN 連接在用戶帳戶撥入屬性以及在遠(yuǎn)程訪問策略中是否有適當(dāng)?shù)臋?quán)限。若要建立連接，連接嘗試的設(shè)置必須：
• 至少滿足一種遠(yuǎn)程訪問策略的所有條件。
• 通過用戶帳戶（設(shè)置為允許訪問）或通過用戶帳戶（設(shè)置為“通過遠(yuǎn)程訪問策略控制訪問”）授予遠(yuǎn)程訪問權(quán)限，并授予匹配的遠(yuǎn)程訪問策略的遠(yuǎn)程訪問權(quán)限（設(shè)置為“授予遠(yuǎn)程訪問權(quán)限”）。
• 與該配置文件的所有設(shè)置匹配。
• 與該用戶帳戶的撥入屬性的所有設(shè)置相匹配。

• 原因：遠(yuǎn)程訪問策略配置文件的設(shè)置與 VPN 服務(wù)器的屬性沖突。
遠(yuǎn)程訪問策略配置文件的屬性和 VPN 服務(wù)器的屬性都包含下列設(shè)置：
• 多重鏈接。
• 帶寬分配協(xié)議 (BAP)。
• 身份驗(yàn)證協(xié)議。
如果相應(yīng)的遠(yuǎn)程訪問策略的配置文件的設(shè)置與 VPN 服務(wù)器的設(shè)置沖突，則連接嘗試將被拒絕。例如，如果相應(yīng)的遠(yuǎn)程訪問策略配置文件指定必須使用可擴(kuò)展身份驗(yàn)證協(xié)議 — 傳輸層安全性 (EAP-TLS) 身份驗(yàn)證協(xié)議，而 VPN 服務(wù)器上未啟用 EAP，則連接嘗試將被拒絕。
解決方案：驗(yàn)證遠(yuǎn)程訪問策略配置文件的設(shè)置以確保不與 VPN 服務(wù)器的屬性沖突。

• 原因：應(yīng)答路由器無法驗(yàn)證呼叫路由器的憑據(jù)（用戶名、密碼和域名）。
解決方案：驗(yàn)證 VPN 客戶端的憑據(jù)（用戶名、密碼和域名）是否正確以及是否可被 VPN 服務(wù)器驗(yàn)證。

• 原因：在靜態(tài) IP 地址池中沒有足夠的地址。
解決方案：如果 VPN 服務(wù)器配置了靜態(tài) IP 地址池，請驗(yàn)證池中是否有足夠的地址。如果靜態(tài)池中的所有地址都已分配給已連接的 VPN 客戶端，則 VPN 服務(wù)器將無法分配 IP 地址，連接嘗試將被拒絕。如果已分配了靜態(tài)池中的所有地址，則修改池。

• 原因：VPN 客戶端配置為可請求其自己的 IPX 節(jié)點(diǎn)編號，而 VPN 服務(wù)器配置為不允許 IPX 客戶端請求它們自己的 IPX 節(jié)點(diǎn)編號。
解決方案：配置 VPN 服務(wù)器使之允許 IPX 客戶端請求它們自己的 IPX 節(jié)點(diǎn)編號。

• 原因：給 VPN 服務(wù)器配置了一段 IPX 網(wǎng)絡(luò)上其他地方正在使用的 IPX 網(wǎng)絡(luò)編號范圍。
解決方案：給 VPN 服務(wù)器配置一個(gè)在 IPX 網(wǎng)絡(luò)上唯一的 IPX 網(wǎng)絡(luò)編號范圍。

• 原因：VPN 服務(wù)器的身份驗(yàn)證提供程序配置不正確。
解決方案：驗(yàn)證身份驗(yàn)證提供程序的配置是否正確。您可以配置 VPN 服務(wù)器使用 Windows Server 2003 或遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS) 來驗(yàn)證 VPN 客戶端的憑據(jù)。

• 原因：VPN 服務(wù)器無法訪問 Active Directory。
解決方案：如果 VPN 服務(wù)器是混合模式或本機(jī)模式 Windows Server 2003 域的一個(gè)成員服務(wù)器而且配置為使用 Windows Server 2003 身份驗(yàn)證，則請驗(yàn)證：
• “RAS 和 IAS 服務(wù)器”安全組是否存在。如果不存在，請創(chuàng)建該組并將組類型設(shè)置為“安全”并將組作用域設(shè)置為“本地域”。
• “RAS 和 IAS 服務(wù)器”安全組對“RAS 和 IAS 服務(wù)器訪問檢查”對象有讀取權(quán)限。
• VPN 服務(wù)器計(jì)算機(jī)的計(jì)算機(jī)帳戶是“RAS 和 IAS 服務(wù)器”安全組中的一個(gè)成員�？梢允褂谩皀etsh ras show registeredserver”命令查看當(dāng)前注冊。可以使用“netsh ras add registeredserver”命令在指定的域中注冊服務(wù)器。
如果您向 RAS 和 IAS 服務(wù)器安全組添加（或從中去除）VPN 服務(wù)器計(jì)算機(jī)，則此更改不會立即生效（這是由 Windows Server 2003 緩存 Active Directory 信息的方式?jīng)Q定的）。若要使更改立即生效，請重新啟動(dòng) VPN 服務(wù)器計(jì)算機(jī)。
• VPN 服務(wù)器是該域的一個(gè)成員。

• 原因：基于 Windows NT 4.0 的 VPN 服務(wù)器無法驗(yàn)證連接請求。
解決方案：如果 VPN 客戶端正在撥入到運(yùn)行著 Windows NT 4.0 的 VPN 服務(wù)器，而此服務(wù)器是 Windows Server 2003 混合模式域的成員，則請使用下列命令驗(yàn)證 Everyone 組是否已添加到 Pre-Windows 2000 Compatible Access 組中：
"net localgroup "Pre-Windows 2000 Compatible Access""
如果沒有，則請?jiān)谟蚩刂破饔?jì)算機(jī)上的命令提示符處鍵入下列命令，然后重新啟動(dòng)域控制器計(jì)算機(jī)：
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

• 原因：VPN 服務(wù)器無法與配置的 RADIUS 服務(wù)器通訊。
解決方案：如果只能通過 Internet 接口訪問 RADIUS 服務(wù)器，則執(zhí)行以下*作之一：
• 為 UDP 端口 1812 的 Internet 接口添加一個(gè)輸入過濾器和一個(gè)輸出過濾器（依據(jù) RFC 2138“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS)”）。– 或 -
• 為 UDP 端口 1645（針對較早的 RADIUS 服務(wù)器）以及 RADIUS 身份驗(yàn)證和 UDP 端口 1813（基于 RFC 2139“RADIUS 計(jì)帳”）的 Internet 接口添加一個(gè)輸入篩選器和一個(gè)輸出篩選器。
- 或 -
• 為用于 RADIUS 計(jì)帳的 UDP 端口 1646（針對較早的 RADIUS 服務(wù)器）的 Internet 接口添加一個(gè)輸入篩選器和一個(gè)輸出篩選器。

• 原因：無法使用 Ping.exe 實(shí)用程序通過 Internet 連接到 VPN 服務(wù)器。
解決方案：由于在 VPN 服務(wù)器的 Internet 接口上配置了基于 IPSec 的 PPTP 和 L2TP 數(shù)據(jù)包篩選，ping 命令使用的 Internet 控制消息協(xié)議 (ICMP) 數(shù)據(jù)包被篩選掉了。若要讓 VPN 服務(wù)器能夠響應(yīng) ICMP (ping) 數(shù)據(jù)包，請?zhí)砑釉试S IP 協(xié)議 1 通信量（ICMP 通信量）的輸入篩選器和輸出篩選器。

• 原因：未給被路由的協(xié)議添加適當(dāng)?shù)恼埱髶芴柦涌凇?BR>解決方案：給被路由的協(xié)議添加適當(dāng)?shù)恼埱髶芴柦涌凇?/P>

• 原因：路由器對路由器 VPN 連接的兩端都沒有支持雙向通信量交換的路由。
解決方案：與遠(yuǎn)程訪問 VPN 連接不同，路由器對路由器 VPN 連接不會自動(dòng)創(chuàng)建默認(rèn)路由。在路由器對路由器 VPN 連接的兩端都創(chuàng)建路由，以便路由器對路由器 VPN 連接兩端的通信量都可以路由到對方。

您可以手動(dòng)向路由表中添加靜態(tài)路由，也可以通過路由協(xié)議添加靜態(tài)路由。
對于持續(xù)性 VPN 連接，您可以在 VPN 連接上啟用“開放式最短路徑優(yōu)先 (OSPF)”或“路由信息協(xié)議 (RIP)”。
對于請求 VPN 連接，可以通過自動(dòng)靜態(tài) RIP 更新來自動(dòng)更新路由。

• 原因：雙向初始化的應(yīng)答路由器作為遠(yuǎn)程訪問連接，正在解釋路由器對路由器的 VPN 連接。
解決方案：如果呼叫路由器的憑據(jù)中的用戶名出現(xiàn)在“路由和遠(yuǎn)程訪問”中的撥入客戶端下，則應(yīng)答路由器將把呼叫路由器解釋為遠(yuǎn)程訪問客戶端。請驗(yàn)證呼叫路由器的憑據(jù)中的用戶名是否與應(yīng)答路由器上請求撥號接口的名稱匹配。如果傳入呼叫方是一個(gè)路由器，則接收呼叫的端口將顯示為活動(dòng)狀態(tài)，而且相應(yīng)的請求撥號接口處于連接狀態(tài)。

• 原因：呼叫路由器和應(yīng)答路由器的請求撥號接口上的數(shù)據(jù)包篩選器使通信量不能傳輸。
解決方案：驗(yàn)證以確保呼叫路由器和應(yīng)答路由器的請求撥號接口上不存在阻止通信量傳輸?shù)臄?shù)據(jù)包篩選器�？梢越o各請求撥號接口配置 IP 和 IPX 輸入和輸出篩選器，以精確控制允許進(jìn)出該請求撥號接口的 TCP/IP 和 IPX 通信量的性質(zhì)。