在WindowsServer2003中安裝和配置VPN服務(wù)器

1、在 Windows Server 2003中安裝和配置VPN服務(wù)器概要 VPN概述 VPN的組件如何安裝和啟用 VPN服務(wù)器如何配置 VPN服務(wù)器如何將遠(yuǎn)程訪問服務(wù)器配置為路由器如何修改同時(shí)連接的數(shù)目如何管理地址和名稱服務(wù)器如何管理訪問通過用戶帳戶訪問通過組成員身份訪問如何從客戶端計(jì)算機(jī)配置 VPN連接疑難解答遠(yuǎn)程訪問 VPN的疑難解答概要本分步指南介紹了如何安裝虛擬專用網(wǎng)絡(luò)連接 (VPN)以及如何在運(yùn)行 Windows Server 2003的服務(wù)器中創(chuàng)建新的 VPN連接。使用虛擬專用網(wǎng)絡(luò)，您可以通過另一個(gè)網(wǎng)絡(luò)（例如 Internet）連接網(wǎng)絡(luò)組件。您可以把基于 Windows Server

2、 2003的計(jì)算機(jī)作為遠(yuǎn)程訪問服務(wù)器，這樣其他用戶可以通過使用 VPN與其連接，然后登錄到網(wǎng)絡(luò)并訪問共享資源。虛擬專用網(wǎng)絡(luò)是通過在 Internet或另外的公用網(wǎng)絡(luò)上進(jìn)行“隧道*作”來實(shí)現(xiàn)的，可提供與專用網(wǎng)絡(luò)相同的安全性和功能。數(shù)據(jù)利用公用網(wǎng)絡(luò)的路由結(jié)構(gòu)在公用網(wǎng)絡(luò)上傳送，而對(duì)用戶來說，則好像是通過一個(gè)專門的專用鏈接傳送的。VPN概述虛擬專用網(wǎng)絡(luò)是一種通過公用網(wǎng)絡(luò)（如 Internet）連接專用網(wǎng)絡(luò)（如您的辦公室網(wǎng)絡(luò)）的途徑。VPN將撥號(hào)服務(wù)器的撥號(hào)連接的優(yōu)點(diǎn)與 Internet連接的方便與靈活性結(jié)合了起來。通過使用 Internet連接，您可以周游世界，而同時(shí)在大多數(shù)地方仍可以通過當(dāng)?shù)刈罱?

3、Internet訪問電話號(hào)碼連接到您的辦公室。如果您的計(jì)算機(jī)和辦公室有高速 Internet連接（如電纜或 DSL），您就可以用最高的 Internet速度與辦公室通訊，比任何使用模擬調(diào)制解調(diào)器的撥號(hào)連接速度都要快得多。此技術(shù)使企業(yè)可以通過公用網(wǎng)絡(luò)連接到其分支辦事處或其他公司，同時(shí)又可以確保通信的安全性。通過 Internet的 VPN連接從邏輯上講相當(dāng)于一個(gè)專用的廣域網(wǎng) (WAN)鏈接。虛擬專用網(wǎng)絡(luò)使用需進(jìn)行身份驗(yàn)證的鏈接以確保只有授權(quán)用戶才可以連接到您的網(wǎng)絡(luò)。為了確保通過公用網(wǎng)絡(luò)傳送數(shù)據(jù)的安全性，VPN連接使用點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)或第二層隧道協(xié)議 (L2TP)對(duì)數(shù)據(jù)進(jìn)行加密。VPN

4、的組件運(yùn)行 Windows Server 2003的服務(wù)器中的VPN組件包括一個(gè) VPN服務(wù)器、一個(gè) VPN客戶端、一個(gè) VPN連接（連接中數(shù)據(jù)被加密的部分）和隧道（連接中數(shù)據(jù)被封裝的部分）。建立隧道是通過運(yùn)行 Windows Server 2003的服務(wù)器中包括的兩個(gè)隧道協(xié)議之一完成的，這兩個(gè)協(xié)議都是隨“路由和遠(yuǎn)程訪問”安裝的。Windows Server 2003安裝過程中將自動(dòng)安裝“路由和遠(yuǎn)程訪問”服務(wù)。但是，默認(rèn)情況下，“路由和遠(yuǎn)程訪問”服務(wù)會(huì)被關(guān)閉。Windows包括的這兩個(gè)隧道協(xié)議是：點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)：使用“Microsoft點(diǎn)對(duì)點(diǎn)加密”提供數(shù)據(jù)加密。第二層隧道協(xié)議 (

5、L2TP)：使用 IPSec提供數(shù)據(jù)加密、身份驗(yàn)證和完整性。到 Internet的連接必須使用專用的線路，例如 T1、Fractional T1或 Frame Relay。必須用指派給您的域或由 Internet服務(wù)提供商 (ISP)提供的 IP地址和子網(wǎng)掩碼配置 WAN適配器。還必須將 WAN適配器配置為 ISP路由器的默認(rèn)網(wǎng)關(guān)。注意：若要啟用 VPN，您必須使用具有管理權(quán)限的帳戶登錄。如何安裝和啟用 VPN服務(wù)器若要安裝和啟用 VPN服務(wù)器，請(qǐng)按照下列步驟*作：1.單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。2.在控制臺(tái)左窗格中單擊與本地服務(wù)器名稱匹配的服務(wù)器圖標(biāo)。如果該圖標(biāo)左下角

6、有一個(gè)紅圈，則說明尚未啟用“路由和遠(yuǎn)程訪問”服務(wù)。如果該圖標(biāo)左下角有一個(gè)指向上方的綠色箭頭，則說明已啟用“路由和遠(yuǎn)程訪問”服務(wù)。如果先前已啟用“路由和遠(yuǎn)程訪問”服務(wù)，您可能要重新配置服務(wù)器。若要重新配置服務(wù)器，請(qǐng)按照下列步驟*作： a.右擊服務(wù)器對(duì)象，然后單擊“禁用路由和遠(yuǎn)程訪問”。單擊是以繼續(xù)。 b.右擊服務(wù)器圖標(biāo)，然后單擊“配置并啟用路由和遠(yuǎn)程訪問”以啟動(dòng)“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А?。單擊下一步繼續(xù)。 c.單擊“遠(yuǎn)程訪問（撥號(hào)或 VPN）”以啟用遠(yuǎn)程計(jì)算機(jī)撥入或通過 Internet連接到本網(wǎng)絡(luò)。單擊下一步繼續(xù)。3.根據(jù)您打算分配給該服務(wù)器的角色，單擊以選擇 VPN或撥號(hào)。4.在“VP

7、N連接”窗口中，單擊連接到 Internet的網(wǎng)絡(luò)接口，然后單擊下一步。5.如果要使用 DHCP服務(wù)器給遠(yuǎn)程客戶端分配地址，請(qǐng)?jiān)?IP地址分配窗口中單擊自動(dòng)，或者，如果僅應(yīng)從預(yù)定義池給遠(yuǎn)程客戶端分配地址，請(qǐng)單擊“來自一個(gè)指定的地址范圍”。多數(shù)情況下，DHCP選項(xiàng)的管理更簡(jiǎn)單。不過，如果沒有 DHCP，就必須指定一個(gè)靜態(tài)地址范圍。單擊下一步繼續(xù)。6.如果您單擊“來自一個(gè)指定的地址范圍”，就打開了地址范圍分配對(duì)話框。單擊新建。在“起始 IP地址”框中鍵入希望使用的地址范圍內(nèi)的第一個(gè) IP地址。在“結(jié)束 IP地址”框中鍵入該范圍內(nèi)的最后一個(gè) IP地址。Windows將自動(dòng)計(jì)算地址的數(shù)目。單擊確定以返

8、回到地址范圍分配窗口。單擊下一步繼續(xù)。7.接受“否，使用路由和遠(yuǎn)程訪問對(duì)連接請(qǐng)求進(jìn)行身份驗(yàn)證”的默認(rèn)設(shè)置，然后單擊下一步繼續(xù)。單擊完成以啟用路由和遠(yuǎn)程訪問服務(wù)并將該服務(wù)器配置為遠(yuǎn)程訪問服務(wù)器。如何配置 VPN服務(wù)器若要繼續(xù)根據(jù)需要配置 VPN服務(wù)器，請(qǐng)按照下列步驟*作。如何將遠(yuǎn)程訪問服務(wù)器配置為路由器為讓遠(yuǎn)程訪問服務(wù)器能在您的網(wǎng)絡(luò)中正確地轉(zhuǎn)發(fā)通信量，必須用靜態(tài)路由或路由協(xié)議將其配置為一個(gè)路由器，這樣遠(yuǎn)程訪問服務(wù)器才能訪問到內(nèi)部網(wǎng)中的所有位置。若要將服務(wù)器配置為路由器，請(qǐng)按照下列步驟*作： 1.單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。 2.右擊服務(wù)器名稱，然后單擊屬性。 3.單擊常規(guī)

9、選項(xiàng)卡，然后單擊選擇“啟用此計(jì)算機(jī)作為”下的路由器。 4.單擊“局域網(wǎng)和請(qǐng)求撥號(hào)路由選擇”，然后單擊確定以關(guān)閉屬性對(duì)話框。如何修改同時(shí)連接的數(shù)目調(diào)制解調(diào)器撥號(hào)連接的數(shù)目取決于安裝在服務(wù)器上的調(diào)制解調(diào)器的數(shù)目。例如，如果在服務(wù)器上只安裝了一個(gè)調(diào)制解調(diào)器，則一次只能有一個(gè)調(diào)制解調(diào)器連接。撥號(hào)VPN連接的數(shù)目取決于您允許同時(shí)訪問的用戶的數(shù)目。默認(rèn)情況下，如果您運(yùn)行的是本文描述的步驟，則允許 128個(gè)連接。若要更改同時(shí)連接的數(shù)目，請(qǐng)按照下列步驟*作： 1.單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。 2.雙擊服務(wù)器對(duì)象，右擊端口，然后單擊屬性。 3.在端口屬性對(duì)話框中，單擊 WAN微型端口 (

10、PPTP)，然后單擊配置。 4.在最多端口數(shù)框中，鍵入要允許的 VPN連接的數(shù)目。 5.單擊確定，再次單擊確定，然后關(guān)閉“路由和遠(yuǎn)程訪問”。如何管理地址和名稱服務(wù)器VPN服務(wù)器必須有可用的 IP地址，以便在連接進(jìn)程的 IP控制協(xié)議 (IPCP)協(xié)商階段將它們分配給 VPN服務(wù)器的虛擬接口和 VPN客戶端。分配給 VPN客戶端的 IP地址實(shí)際分配給了 VPN客戶端的虛擬接口。對(duì)于基于 Windows Server 2003的 VPN服務(wù)器，默認(rèn)情況下，分配給 VPN客戶端的 IP地址是通過 DHCP獲得的。您也可以配置靜態(tài) IP地址池。VPN服務(wù)器還必須配置名稱解析服務(wù)器（通常是 DNS和 WI

11、NS服務(wù)器）地址，以在 IPCP協(xié)商期間分配給 VPN客戶端。如何管理訪問在用戶帳戶上配置撥入屬性并配置遠(yuǎn)程訪問策略，以管理對(duì)撥號(hào)網(wǎng)絡(luò)和 VPN連接的訪問。注意：默認(rèn)情況下拒絕用戶訪問撥號(hào)網(wǎng)絡(luò)。通過用戶帳戶訪問如果您按用戶管理遠(yuǎn)程訪問，若要向某個(gè)用戶帳戶授予撥號(hào)訪問權(quán)限，請(qǐng)按照下列步驟*作： 1.單擊開始，指向管理工具，然后單擊“Active Directory用戶和計(jì)算機(jī)”。 2.右擊用戶帳戶，然后單擊屬性。 3.單擊“版本”選項(xiàng)卡。 4.單擊“允許訪問”以授予用戶撥入的權(quán)限。單擊確定。通過組成員身份訪問如果您按組管理遠(yuǎn)程訪問，請(qǐng)按照下列步驟*作： 1.創(chuàng)建一個(gè)由允許創(chuàng)建 VPN連接的成員組

12、成的組。 2.單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。 3.在控制臺(tái)樹中，展開“路由和遠(yuǎn)程訪問”，展開服務(wù)器名，然后單擊遠(yuǎn)程訪問策略。 4.在右側(cè)窗格中右擊任意位置，指向新建，然后單擊遠(yuǎn)程訪問策略。 5.單擊下一步，鍵入策略名稱，然后單擊下一步。 6.對(duì)于“虛擬專用訪問”訪問方法，請(qǐng)單擊 VPN，或?qū)τ趽芴?hào)訪問方法，請(qǐng)單擊撥號(hào)，然后單擊下一步。 7.單擊添加，鍵入您在步驟 1中創(chuàng)建的組的名稱，然后單擊下一步。 8.按照屏幕上的說明完成該向?qū)У?作。如果 VPN服務(wù)器已經(jīng)允許使用撥號(hào)網(wǎng)絡(luò)遠(yuǎn)程訪問服務(wù)，則不要?jiǎng)h除默認(rèn)策略。而是移動(dòng)其位置，使它成為最后一個(gè)起作用的策略。如何從客戶端計(jì)算機(jī)

13、配置 VPN連接若要建立與 VPN的連接，請(qǐng)按照下列步驟*作。若要設(shè)置客戶端進(jìn)行虛擬專用網(wǎng)絡(luò)訪問，請(qǐng)?jiān)诳蛻舳斯ぷ髡旧蠄?zhí)行下列步驟：注意：您必須以管理員組的成員身份登錄才能執(zhí)行這些步驟。注意：因?yàn)?Microsoft Windows存在多個(gè)版本，所以在您的計(jì)算機(jī)上執(zhí)行的步驟可能與下面介紹的步驟有所不同。如果是這樣，請(qǐng)參閱產(chǎn)品文檔來完成這些步驟。 1.在客戶計(jì)算機(jī)上，確認(rèn)與 Internet的連接配置正確。 2.單擊開始，單擊控制面板，然后單擊網(wǎng)絡(luò)連接。單擊網(wǎng)絡(luò)任務(wù)下的“創(chuàng)建一個(gè)新的連接”，然后單擊下一步。 3.單擊“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”以創(chuàng)建撥號(hào)連接。單擊下一步繼續(xù)。 4.單擊“虛擬專用網(wǎng)

14、絡(luò)連接”，然后單擊下一步。 5.在公司名稱對(duì)話框中為連接鍵入一個(gè)描述性的名稱，然后單擊下一步。 6.如果計(jì)算機(jī)永久連接到 Internet，請(qǐng)單擊不撥初始連接。如果計(jì)算機(jī)通過 Internet服務(wù)提供商 (ISP)連接到 Internet，則單擊“自動(dòng)撥此初始連接”，然后單擊與 ISP連接的名稱。單擊下一步。 7.鍵入 VPN服務(wù)器計(jì)算機(jī)的 IP地址或主機(jī)名（例如 VPNServer.SampleD）。 8.如果要允許登錄到該工作站的任何用戶都能訪問此撥號(hào)連接，則單擊“任何人使用”。如果要使此連接僅供當(dāng)前登錄用戶使用，則單擊“只是我使用”。單擊下一步。 9.單擊完成以保存連接。 10.單擊開始

15、，單擊控制面板，然后單擊網(wǎng)絡(luò)連接。 11.雙擊新建的連接。 12.單擊屬性以繼續(xù)為連接配置選項(xiàng)。若要繼續(xù)配置連接的選項(xiàng)，請(qǐng)按照下列步驟*作： 如果您要連接到一個(gè)域，請(qǐng)單擊選項(xiàng)選項(xiàng)卡，然后單擊選中“包含 Windows登錄域”復(fù)選框以指定在嘗試連接前是否要求 Windows Server 2003登錄域信息。 如果想讓該連接在斷線后重新?lián)芴?hào)，則請(qǐng)單擊選項(xiàng)選項(xiàng)卡，然后單擊選中“斷線重?fù)堋睆?fù)選框。若要使用連接，請(qǐng)按照下列步驟*作： 1.單擊開始，指向“連接到”，然后單擊該新建連接。 2.如果目前沒有到 Internet的連接，Windows可讓您連接到 Internet。 3.建立到 Interne

16、t的連接后，VPN服務(wù)器會(huì)提示您輸入用戶名和密碼。鍵入用戶名和密碼，然后單擊連接。您必須能夠使用您的網(wǎng)絡(luò)資源，就像直接連接到該網(wǎng)絡(luò)一樣。注意：若要從 VPN上斷開，請(qǐng)右擊連接圖標(biāo)，然后單擊斷開連接。疑難解答遠(yuǎn)程訪問 VPN的疑難解答無法建立遠(yuǎn)程訪問 VPN連接原因：客戶計(jì)算機(jī)的名稱與網(wǎng)絡(luò)上另一臺(tái)計(jì)算機(jī)的名稱相同。解決方案：驗(yàn)證網(wǎng)絡(luò)上的所有計(jì)算機(jī)和連接到網(wǎng)絡(luò)的計(jì)算機(jī)是否都使用唯一的計(jì)算機(jī)名稱。原因：VPN服務(wù)器上未啟動(dòng)“路由和遠(yuǎn)程訪問”服務(wù)。解決方案：驗(yàn)證 VPN服務(wù)器上“路由和遠(yuǎn)程訪問”服務(wù)的狀態(tài)。原因：VPN服務(wù)器上未啟用遠(yuǎn)程訪問。解決方案：在 VPN服務(wù)器上啟用遠(yuǎn)程訪問。原因：未為入站遠(yuǎn)程

17、訪問請(qǐng)求打開 PPTP或 L2TP端口。解決方案：為入站遠(yuǎn)程訪問請(qǐng)求打開 PPTP或 L2TP端口，或同時(shí)打開兩個(gè)端口。原因：在 VPN服務(wù)器上未啟用 VPN客戶端使用的 LAN協(xié)議來支持遠(yuǎn)程訪問。解決方案：在 VPN服務(wù)器上啟用 VPN客戶端使用的 LAN協(xié)議以支持遠(yuǎn)程訪問。原因：VPN服務(wù)器上的所有 PPTP或 L2TP端口已被當(dāng)前連接的遠(yuǎn)程訪問客戶端或請(qǐng)求撥號(hào)路由器使用。解決方案：驗(yàn)證 VPN服務(wù)器上的所有 PPTP或 L2TP端口是否都已被使用。為此，請(qǐng)?jiān)凇奥酚珊瓦h(yuǎn)程訪問”中單擊端口。如果允許的 PPTP或 L2TP端口的數(shù)目不夠高，則可以更改 PPTP或 L2TP端口的數(shù)目以允許更多

18、的同時(shí)連接。原因：VPN服務(wù)器不支持 VPN客戶端的隧道協(xié)議。默認(rèn)情況下，Windows Server 2003的遠(yuǎn)程訪問 VPN客戶端使用自動(dòng)服務(wù)器類型選項(xiàng)，這意味著他們?cè)噲D首先建立一個(gè)基于IPSsec的 L2TP VPN連接，然后試圖建立一個(gè)基于 PPTP的 VPN連接。如果 VPN客戶端使用點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)或第 2層隧道協(xié)議 (L2TP)兩者中的一種服務(wù)器類型選項(xiàng)，請(qǐng)驗(yàn)證選中的隧道協(xié)議是否受 VPN服務(wù)器支持。默認(rèn)情況下，一臺(tái)運(yùn)行 Windows Server 2003和“路由和遠(yuǎn)程訪問”服務(wù)的計(jì)算機(jī)就是一個(gè)有五個(gè) L2TP端口和五個(gè) PPTP端口的 PPTP和 L2TP服務(wù)

19、器。若要使創(chuàng)建的服務(wù)器只為 PPTP服務(wù)器，請(qǐng)將 L2TP端口的數(shù)量設(shè)置為零。若要使創(chuàng)建的服務(wù)只為 L2TP服務(wù)器，請(qǐng)將 PPTP端口的數(shù)量設(shè)置為零。解決方案：驗(yàn)證是否配置了相應(yīng)數(shù)目的 PPTP或 L2TP端口。原因：VPN客戶端和 VPN服務(wù)器以及遠(yuǎn)程訪問策略未配置為至少使用一種通用身份驗(yàn)證方法。解決方案：將 VPN客戶端和 VPN服務(wù)器以及遠(yuǎn)程訪問策略配置為至少使用一種通用身份驗(yàn)證方法。原因：VPN客戶端和 VPN服務(wù)器以及遠(yuǎn)程訪問策略未配置為至少使用一種通用加密方法。解決方案：將 VPN客戶端和 VPN服務(wù)器以及遠(yuǎn)程訪問策略配置為至少使用一種通用加密方法。原因：VPN連接在用戶帳戶撥入屬

20、性以及在遠(yuǎn)程訪問策略中沒有適當(dāng)?shù)臋?quán)限。解決方案：驗(yàn)證 VPN連接在用戶帳戶撥入屬性以及在遠(yuǎn)程訪問策略中是否有適當(dāng)?shù)臋?quán)限。若要建立連接，連接嘗試的設(shè)置必須：至少滿足一種遠(yuǎn)程訪問策略的所有條件。通過用戶帳戶（設(shè)置為允許訪問）或通過用戶帳戶（設(shè)置為“通過遠(yuǎn)程訪問策略控制訪問”）授予遠(yuǎn)程訪問權(quán)限，并授予匹配的遠(yuǎn)程訪問策略的遠(yuǎn)程訪問權(quán)限（設(shè)置為“授予遠(yuǎn)程訪問權(quán)限”）。與該配置文件的所有設(shè)置匹配。與該用戶帳戶的撥入屬性的所有設(shè)置相匹配。原因：遠(yuǎn)程訪問策略配置文件的設(shè)置與 VPN服務(wù)器的屬性沖突。遠(yuǎn)程訪問策略配置文件的屬性和 VPN服務(wù)器的屬性都包含下列設(shè)置：多重鏈接。帶寬分配協(xié)議 (BAP)。身份驗(yàn)證協(xié)議

21、。如果相應(yīng)的遠(yuǎn)程訪問策略的配置文件的設(shè)置與 VPN服務(wù)器的設(shè)置沖突，則連接嘗試將被拒絕。例如，如果相應(yīng)的遠(yuǎn)程訪問策略配置文件指定必須使用可擴(kuò)展身份驗(yàn)證協(xié)議傳輸層安全性 (EAP-TLS)身份驗(yàn)證協(xié)議，而 VPN服務(wù)器上未啟用 EAP，則連接嘗試將被拒絕。解決方案：驗(yàn)證遠(yuǎn)程訪問策略配置文件的設(shè)置以確保不與 VPN服務(wù)器的屬性沖突。原因：應(yīng)答路由器無法驗(yàn)證呼叫路由器的憑據(jù)（用戶名、密碼和域名）。解決方案：驗(yàn)證 VPN客戶端的憑據(jù)（用戶名、密碼和域名）是否正確以及是否可被 VPN服務(wù)器驗(yàn)證。原因：在靜態(tài) IP地址池中沒有足夠的地址。解決方案：如果 VPN服務(wù)器配置了靜態(tài) IP地址池，請(qǐng)驗(yàn)證池中是否有

22、足夠的地址。如果靜態(tài)池中的所有地址都已分配給已連接的 VPN客戶端，則 VPN服務(wù)器將無法分配 IP地址，連接嘗試將被拒絕。如果已分配了靜態(tài)池中的所有地址，則修改池。原因：VPN客戶端配置為可請(qǐng)求其自己的 IPX節(jié)點(diǎn)編號(hào)，而 VPN服務(wù)器配置為不允許 IPX客戶端請(qǐng)求它們自己的 IPX節(jié)點(diǎn)編號(hào)。解決方案：配置 VPN服務(wù)器使之允許 IPX客戶端請(qǐng)求它們自己的 IPX節(jié)點(diǎn)編號(hào)。原因：給 VPN服務(wù)器配置了一段 IPX網(wǎng)絡(luò)上其他地方正在使用的 IPX網(wǎng)絡(luò)編號(hào)范圍。解決方案：給 VPN服務(wù)器配置一個(gè)在 IPX網(wǎng)絡(luò)上唯一的 IPX網(wǎng)絡(luò)編號(hào)范圍。原因：VPN服務(wù)器的身份驗(yàn)證提供程序配置不正確。解決方案：

23、驗(yàn)證身份驗(yàn)證提供程序的配置是否正確。您可以配置 VPN服務(wù)器使用 Windows Server 2003或遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS)來驗(yàn)證 VPN客戶端的憑據(jù)。原因：VPN服務(wù)器無法訪問 Active Directory。解決方案：如果 VPN服務(wù)器是混合模式或本機(jī)模式 Windows Server 2003域的一個(gè)成員服務(wù)器而且配置為使用 Windows Server 2003身份驗(yàn)證，則請(qǐng)驗(yàn)證：“RAS和 IAS服務(wù)器”安全組是否存在。如果不存在，請(qǐng)創(chuàng)建該組并將組類型設(shè)置為“安全”并將組作用域設(shè)置為“本地域”。“RAS和 IAS服務(wù)器”安全組對(duì)“RAS和 IAS服務(wù)器訪問檢

24、查”對(duì)象有讀取權(quán)限。 VPN服務(wù)器計(jì)算機(jī)的計(jì)算機(jī)帳戶是“RAS和 IAS服務(wù)器”安全組中的一個(gè)成員。可以使用“netsh ras show registeredserver”命令查看當(dāng)前注冊(cè)?？梢允褂谩皀etsh ras add registeredserver”命令在指定的域中注冊(cè)服務(wù)器。如果您向RAS和 IAS服務(wù)器安全組添加（或從中去除）VPN服務(wù)器計(jì)算機(jī)，則此更改不會(huì)立即生效（這是由 Windows Server 2003緩存 Active Directory信息的方式?jīng)Q定的）。若要使更改立即生效，請(qǐng)重新啟動(dòng) VPN服務(wù)器計(jì)算機(jī)。 VPN服務(wù)器是該域的一個(gè)成員。原因：基于 Window

25、s NT 4.0的 VPN服務(wù)器無法驗(yàn)證連接請(qǐng)求。解決方案：如果 VPN客戶端正在撥入到運(yùn)行著 Windows NT 4.0的 VPN服務(wù)器，而此服務(wù)器是 Windows Server 2003混合模式域的成員，則請(qǐng)使用下列命令驗(yàn)證 Everyone組是否已添加到 Pre-Windows 2000 Compatible Access組中：net localgroup Pre-Windows 2000 Compatible Access如果沒有，則請(qǐng)?jiān)谟蚩刂破饔?jì)算機(jī)上的命令提示符處鍵入下列命令，然后重新啟動(dòng)域控制器計(jì)算機(jī)：net localgroup Pre-Windows 2000 Compa

26、tible Access everyone /add原因：VPN服務(wù)器無法與配置的 RADIUS服務(wù)器通訊。解決方案：如果只能通過 Internet接口訪問 RADIUS服務(wù)器，則執(zhí)行以下*作之一：為 UDP端口 1812的 Internet接口添加一個(gè)輸入過濾器和一個(gè)輸出過濾器（依據(jù) RFC 2138“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS)”）?；?- 為 UDP端口 1645（針對(duì)較早的 RADIUS服務(wù)器）以及 RADIUS身份驗(yàn)證和 UDP端口 1813（基于 RFC 2139“RADIUS計(jì)帳”）的 Internet接口添加一個(gè)輸入篩選器和一個(gè)輸出篩選器。-或 - 為用于 RADIUS計(jì)帳的 UDP端口 1646（針對(duì)較早的 RADIUS服務(wù)器）的 Internet接口添加一個(gè)輸入篩選器和一個(gè)輸出篩選器。原因：無法使用 Ping.exe實(shí)用程序通過 Internet連接到 VPN服務(wù)器。解決方案：由于在 VPN服務(wù)器的 Internet接口上配置了基于 IPSec的 PPTP和 L2TP數(shù)據(jù)包篩選，ping命令使用的 Internet控制消息協(xié)議 (ICMP)數(shù)據(jù)包被篩選掉了。若要讓 VPN服務(wù)器能夠響應(yīng) ICMP (ping)數(shù)據(jù)包，請(qǐng)?zhí)砑釉试S IP協(xié)議 1通信量（I