在WindowsServer2021中安装和配置VPN服务器 WindowsServer 2003 中安装和配置VPN 服务器 VPN概述 VPN的组件 如何安装和启用VPN 服务器 如何配置VPN 服务器 如何从客户端运算机配置VPN 连接 远程访问VPN 的疑难解答 概要 本分步指南介绍了如何安装虚拟专用网络连接 (VPN) 以及如何在运行 Windows Server 2003 的服务器中创建新的 VPN 连接。 使用虚拟专用网络,您能够通过另一个网络〔例如 Internet〕连接网络组件。您能够把基于 Windows Server 2003 的运算机作为远程访问服务器,如此其他用户能够通过使用 VPN 与其连 接,然后登录到网络并访问共享资源。虚拟专用网络是通过在 Internet 或另外的公用网络上进 行〝隧道*作〞来实现的,可提供与专用网络相同的安全性和功能。数据利用公用网络的路由结 构在公用网络上传送,而对用户来说,那么看起来是通过一个专门的专用链接传送的。 VPN 概述 虚拟专用网络是一种通过公用网络〔如 Internet〕连接专用网络〔如您的办公室网络〕的途径。 VPN 将拨号服务器的拨号连接的优点与 Internet 连接的方便与灵活性结合了起来。
通过使用 Internet 连接,您能够周游世界,而同时在大多数地点仍能够通过当地最近的 Internet 访问 码连接到您的办公室。假如您的运算机和办公室有高速Internet 连接〔如电缆或 DSL〕,您就 能够用最高的 Internet 速度与办公室通讯,比任何使用模拟调制解调器的拨号连接速度都要快 得多。此技术使企业能够通过公用网络连接到其分支办事处或其他公司,同时又能够确保通信的 安全性。通过 Internet VPN连接从逻辑上讲相当于一个专用的广域网 (WAN) 链接。 虚拟专用网络使用需进行身份验证的链接以确保只有授权用户才能够连接到您的网络。为了确保 通过公用网络传送数据的安全性,VPN 连接使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 对数据进行加密。 VPN 的组件 运行 Windows Server 2003 的服务器中的 VPN 组件包括一个 VPN 服务器、一个 VPN 客户 端、一个 VPN 连接〔连接中数据被加密的部分〕和隧道〔连接中数据被封装的部分〕。建立隧 道是通过运行 Windows Server 2003 的服务器中包括的两个隧道协议之一完成的,这两个协议差 不多上随〝路由和远程访问〞安装的。
Windows Server 2003 安装过程中将自动安装〝路由和远 程访问〞服务。然而,默认情形下,〝路由和远程访问〞服务会被关闭。 Windows 包括的这两个隧道协议是: 点对点隧道协议(PPTP):使用〝Microsoft 点对点加密〞提供数据加密。 第二层隧道协议(L2TP):使用 IPSec 提供数据加密、身份验证和完整性。 Internet的连接必须使用专用的线路,例如 T1、Fractional T1 FrameRelay。必须用指派 Internet服务提供商 (ISP) 提供的 IP 地址和子网掩码配置 WAN 适配器。还必 须将 WAN 适配器配置为 ISP 路由器的默认网关。 注意:假设要启用 VPN,您必须使用具有治理权限的帐户登录。 如何安装和启用 VPN 服务器 假设要安装和启用 VPN 服务器,请按照以下步骤*作: 在操纵台左窗格中单击与本地服务器名称匹配的服务器图标。假如该图标左下角有一个红圈,那么说明尚未启用〝路由和远程访问〞服务。假如该图标左下角有一个指向上方的绿色箭头,那 么说明已启用〝路由和远程访问〞服务。假如先前已启用〝路由和远程访问〞服务,您可能要重 新配置服务器。
假设要重新配置服务器,请按照以下步骤*作: 右击服务器图标,然后单击〝配置并启用路由和远程访问〞以启动〝路由和远程访问服务器安装向导〞。单击下一步连续。 单击〝远程访问〔拨号或VPN〕〞以启用远程运算机拨入或通过 Internet 连接到本网络。 单击下一步连续。 依照您打算分配给该服务器的角色,单击以选择VPN 或拨号。 在〝VPN连接〞窗口中,单击连接到 Internet 的网络接口,然后单击下一步。 假如要使用DHCP 服务器给远程客户端分配地址,请在 IP 地址分配窗口中单击自动,或者, 假如仅应从预定义池给远程客户端分配地址,请单击〝来自一个指定的地址范畴〞。多数情形下, DHCP 选项的治理更简单。只是,假如没有 DHCP,就必须指定一个静态地址范畴。单击下一 步连续。 IP地址〞框中键入期望使用的地址范畴内的第一个 IP 地址。在〝终止 IP 地址〞框中键入 该范畴内的最后一个 IP 地址。Windows 将自动运算地址的数目。单击确定以返回到地址范畴 分配窗口。单击下一步连续。 同意〝否windows 2003配置vpn服务器,使用路由和远程访问对连接要求进行身份验证〞的默认设置,然后单击下一步连续。单击完成以启用路由和远程访问服务并将该服务器配置为远程访问服务器。
如何配置 VPN 服务器 假设要连续依照需要配置 VPN 服务器,请按照以下步骤*作。 如何将远程访问服务器配置为路由器 为让远程访问服务器能在您的网络中正确地转发通信量,必须用静态路由或路由协议将其配置为 一个路由器,如此远程访问服务器才能访问到内部网中的所有位置。 假设要将服务器配置为路由器,请按照以下步骤*作: 单击〝局域网和要求拨号路由选择〞,然后单击确定以关闭属性对话框。如何修改同时连接的数目 调制解调器拨号连接的数目取决于安装在服务器上的调制解调器的数目。例如,假如在服务器上 只安装了一个调制解调器,那么一次只能有一个调制解调器连接。 拨号 VPN 连接的数目取决于您承诺同时访问的用户的数目。默认情形下,假如您运行的是本文 描述的步骤,那么承诺 128 个连接。假设要更换同时连接的数目,请按照以下步骤*作: 在端口属性对话框中,单击WAN 微型端口 (PPTP),然后单击配置。 在最多端口数框中,键入要承诺的VPN 连接的数目。 单击确定,再次单击确定,然后关闭〝路由和远程访问〞。如何治理地址和名称服务器 VPN 服务器必须有可用的 IP 地址,以便在连接进程的 IP 操纵协议 (IPCP) 协商时期将它们 分配给 VPN 服务器的虚拟接口和 VPN 客户端。
分配给 VPN 客户端的 IP 地址实际分配给了 VPN 客户端的虚拟接口。 关于基于 Windows Server 2003 VPN服务器,默认情形下,分配给 VPN 客户端的 IP 地址 是通过 DHCP 获得的。您也能够配置静态 IP 地址池。VPN 服务器还必须配置名称解析服务 器〔通常是 DNS WINS服务器〕地址,以在 IPCP 协商期间分配给 VPN 客户端。 如何治理访问 在用户帐户上配置拨入属性并配置远程访问策略,以治理对拨号网络和 VPN 连接的访问。 注意:默认情形下拒绝用户访问拨号网络。 通过用户帐户访问 假如您按用户治理远程访问,假设要向某个用户帐户授予拨号访问权限,请按照以下步骤*作: 单击开始,指向治理工具,然后单击〝ActiveDirectory 用户和运算机〞。 单击〝承诺访问〞以授予用户拨入的权限。单击确定。通过组成员身份访问 假如您按组治理远程访问,请按照以下步骤*作: 创建一个由承诺创建VPN 连接的成员组成的组。 关于〝虚拟专用访问〞访问方法,请单击VPN,或关于拨号访问方法,请单击拨号,然 后单击下一步。 按照屏幕上的说明完成该向导的*作。

假如 VPN 服务器差不多承诺使用拨号网络远程访问服务,那么不要删除默认策略。而是移动其 位置,使它成为最后一个起作用的策略。 如何从客户端运算机配置 VPN 连接 假设要建立与 VPN 的连接,请按照以下步骤*作。假设要设置客户端进行虚拟专用网络访问, 请在客户端工作站上执行以下步骤: 注意:您必须以治理员组的成员身份登录才能执行这些步骤。 注意:因为 Microsoft Windows 存在多个版本,因此在您的运算机上执行的步骤可能与下面介 绍的步骤有所不同。假如是如此,请参阅产品文档来完成这些步骤。 在客户运算机上,确认与Internet 的连接配置正确。 单击开始,单击操纵面板,然后单击网络连接。单击网络任务下的〝创建一个新的连接〞,然后单击下一步。 假如运算机永久连接到Internet,请单击不拨初始连接。假如运算机通过 Internet 服务提 (ISP)连接到 Internet,那么单击〝自动拨此初始连接〞,然后单击与 ISP 连接的名称。 单击下一步。 键入VPN 服务器运算机的 IP 地址或主机名〔例如 VPNServer.SampleDomain 假如要承诺登录到该工作站的任何用户都能访问此拨号连接,那么单击〝任何人使用〞。
假如要使此连接仅供当前登录用户使用,那么单击〝只是我使用〞。单击下一步。 单击完成以储存连接。10. 单击开始,单击操纵面板,然后单击网络连接。 11. 双击新建的连接。 12. 单击属性以连续为连接配置选项。假设要连续配置连接的选项,请按照以下步骤*作: 假如您要连接到一个域,请单击选项选项卡,然后单击选中〝包含Windows 登录域〞 复选框以指定在尝试连接前是否要求 Windows Server 2003 登录域信息。 假如想让该连接在断线后重新拨号,那么请单击选项选项卡,然后单击选中〝断线重拨〞复选框。 假设要使用连接,请按照以下步骤*作: 假如目前没有到Internet 的连接,Windows 可让您连接到 Internet。 建立到Internet 的连接后,VPN 服务器会提示您输入用户名和密码。键入用户名和密码, 然后单击连接。 您必须能够使用您的网络资源,就像直截了当连接到该网络一样。注意:假设要从 VPN 上断开, 请右击连接图标,然后单击断开连接。 疑难解答 远程访问 VPN 的疑难解答 无法建立远程访问 VPN 连接 缘故:客户运算机的名称与网络上另一台运算机的名称相同。

解决方案:验证网络上的所有运算机和连接到网络的运算机是否都使用唯独的运算机名称。 缘故:VPN服务器上未启动〝路由和远程访问〞服务。 解决方案:验证 VPN 服务器上〝路由和远程访问〞服务的状态。 缘故:VPN服务器上未启用远程访问。 解决方案:在 VPN 服务器上启用远程访问。 缘故:未为入站远程访问要求打开PPTP L2TP端口。 解决方案:为入站远程访问要求打开 PPTP L2TP端口,或同时打开两个端口。 缘故:在VPN 服务器上未启用 VPN 客户端使用的 LAN 协议来支持远程访问。 解决方案:在 VPN 服务器上启用 VPN 客户端使用的 LAN 协议以支持远程访问。 缘故:VPN服务器上的所有 PPTP L2TP端口已被当前连接的远程访问客户端或要求拨号 路由器使用。 解决方案:验证 VPN 服务器上的所有 PPTP L2TP端口是否都已被使用。为此,请在〝路 由和远程访问〞中单击端口。假如承诺的 PPTP L2TP端口的数目不够高,那么能够更换 PPTP L2TP端口的数目以承诺更多的同时连接。 缘故:VPN服务器不支持 VPN 客户端的隧道协议。 默认情形下,Windows Server 2003 的远程访问 VPN 客户端使用自动服务器类型选项,这意味 着他们试图第一建立一个基于 IPSsec L2TPVPN 连接,然后试图建立一个基于 PPTP VPN连接。
假如 VPN 客户端使用点对点隧道协议 (PPTP) 层隧道协议(L2TP)两者中 的一种服务器类型选项,请验证选中的隧道协议是否受 VPN 服务器支持。 默认情形下,一台运行 Windows Server 2003 和〝路由和远程访问〞服务的运算机确实是一个有 L2TP端口和五个 PPTP 端口的 PPTP L2TP服务器。假设要使创建的服务器只为 PPTP 服务器,请将 L2TP 端口的数量设置为零。假设要使创建的服务只为 L2TP 服务器,请 PPTP端口的数量设置为零。 解决方案:验证是否配置了相应数目的 PPTP L2TP端口。 缘故:VPN客户端和 VPN 服务器以及远程访问策略未配置为至少使用一种通用身份验证方 解决方案:将VPN 客户端和 VPN 服务器以及远程访问策略配置为至少使用一种通用身份验证 方法。 缘故:VPN客户端和 VPN 服务器以及远程访问策略未配置为至少使用一种通用加密方法。 解决方案:将 VPN 客户端和 VPN 服务器以及远程访问策略配置为至少使用一种通用加密方 缘故:VPN连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。 解决方案:验证 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。

假设 要建立连接,连接尝试的设置必须: 通过用户帐户〔设置为承诺访问〕或通过用户帐户〔设置为〝通过远程访问策略操纵访问〞〕授予远程访问权限windows 2003配置vpn服务器,并授予匹配的远程访问策略的远程访问权限〔设置为〝授予远程访问权 缘故:远程访问策略配置文件的设置与VPN 服务器的属性冲突。 远程访问策略配置文件的属性和 VPN 服务器的属性都包含以下设置: 带宽分配协议(BAP)。 身份验证协议。假如相应的远程访问策略的配置文件的设置与 VPN 服务器的设置冲突,那么连接尝试将被拒 绝。例如,假如相应的远程访问策略配置文件指定必须使用可扩展身份验证协议 (EAP-TLS)身份验证协议,而 VPN 服务器上未启用 EAP,那么连接尝试将被拒绝。 解决方案:验证远程访问策略配置文件的设置以确保不与 VPN 服务器的属性冲突。 缘故:应答路由器无法验证呼叫路由器的凭据〔用户名、密码和域名〕。解决方案:验证 VPN 客户端的凭据〔用户名、密码和域名〕是否正确以及是否可被 VPN 服务 器验证。 缘故:在静态IP 地址池中没有足够的地址。 解决方案:假如 VPN 服务器配置了静态 IP 地址池,请验证池中是否有足够的地址。
假如静态 池中的所有地址都已分配给已连接的 VPN 客户端,那么 VPN 服务器将无法分配 IP 地址,连 接尝试将被拒绝。假如已分配了静态池中的所有地址,那么修改池。 缘故:VPN客户端配置为可要求其自己的 IPX 节点编号,而 VPN 服务器配置为不承诺 IPX 客户端要求它们自己的 IPX 节点编号。 解决方案:配置 VPN 服务器使之承诺 IPX 客户端要求它们自己的 IPX 节点编号。 缘故:给VPN 服务器配置了一段 IPX 网络上其他地点正在使用的 IPX 网络编号范畴。 解决方案:给 VPN 服务器配置一个在 IPX 网络上唯独的 IPX 网络编号范畴。 缘故:VPN服务器的身份验证提供程序配置不正确。 解决方案:验证身份验证提供程序的配置是否正确。您能够配置 VPN 服务器使用 Windows Server 2003 或远程身份验证拨入用户服务 (RADIUS) 来验证 VPN 客户端的凭据。 缘故:VPN服务器无法访问 Active Directory。 解决方案:假如 VPN 服务器是混合模式或本机模式 Windows Server 2003 域的一个成员服务器 而且配置为使用 Windows Server 2003 身份验证,那么请验证: IAS服务器〞安全组是否存在。

假如不存在,请创建该组并将组类型设置为〝安 全〞并将组作用域设置为〝本地域〞。 IAS服务器〞安全组对〝RAS IAS服务器访问检查〞对象有读取权限。 VPN服务器运算机的运算机帐户是〝RAS IAS服务器〞安全组中的一个成员。能够使用 〝netsh ras show registeredserver〞命令查看当前注册。能够使用〝netsh ras add registeredserver〞 命令在指定的域中注册服务器。 假如您向 RAS IAS服务器安全组添加〔或从中去除〕VPN 服务器运算机,那么此更换可 不能赶忙生效〔这是由 Windows Server 2003 缓存 Active Directory 信息的方式决定的〕。假设 要使更换赶忙生效,请重新启动 VPN 服务器运算机。 VPN服务器是该域的一个成员。 缘故:基于Windows NT 4.0 VPN服务器无法验证连接要求。 解决方案:假如 VPN 客户端正在拨入到运行着 Windows NT 4.0 VPN服务器,而此服务器 WindowsServer 2003 混合模式域的成员,那么请使用以下命令验证 Everyone 组是否已添加 Pre-Windows2000 Compatible Access “netlocalgroup “Pre-Windows 2000 Compatible Access”” 假如没有,那么请在域操纵器运算机上的命令提示符处键入以下命令,然后重新启动域操纵器运 算机: net localgroup “Pre-Windows 2000 Compatible Access” everyone /add 缘故:VPN服务器无法与配置的 RADIUS 服务器通讯。
解决方案:假如只能通过 Internet 接口访问 RADIUS 服务器,那么执行以下*作之一: UDP端口 1812 Internet接口添加一个输入过滤器和一个输出过滤器〔依据 RFC 2138 〝远程身份验证拨入用户服务 (RADIUS)〞〕。– UDP端口 1645〔针对较早的 RADIUS 服务器〕以及 RADIUS 身份验证和 UDP 端口 1813〔基于 RFC 2139〝RADIUS Internet接口添加一个输入选择器和一个输出选择 为用于RADIUS UDP端口 1646〔针对较早的 RADIUS 服务器〕的 Internet 接口添 加一个输入选择器和一个输出选择器。 缘故:无法使用Ping.exe 有用程序通过 Internet 连接到 VPN 服务器。 解决方案:由于在 VPN 服务器的 Internet 接口上配置了基于 IPSec L2TP数据包 选择,ping 命令使用的 Internet 操纵消息协议 (ICMP) 数据包被选择掉了。假设要让 VPN 务器能够响应ICMP (ping) 数据包,请添加承诺 IP 协议 通信量〔ICMP通信量〕的输入选 择器和输出选择器。
缘故:未给被路由的协议添加适当的要求拨号接口。解决方案:给被路由的协议添加适当的要求拨号接口。 缘故:路由器对路由器VPN 连接的两端都没有支持双向通信量交换的路由。 解决方案:与远程访问 VPN 连接不同,路由器对路由器 VPN 连接可不能自动创建默认路由。 在路由器对路由器 VPN 连接的两端都创建路由,以便路由器对路由器 VPN 连接两端的通信量 都能够路由到对方。 您能够手动向路由表中添加静态路由,也能够通过路由协议添加静态路由。 关于连续性 VPN 连接,您能够在 VPN 连接上启用〝开放式最短路径优先 (OSPF)〞或〝路由 信息协议 (RIP)〞。 关于要求 VPN 连接,能够通过自动静态 RIP 更新来自动更新路由。 缘故:双向初始化的应答路由器作为远程访问连接,正在说明路由器对路由器的VPN 连接。 解决方案:假如呼叫路由器的凭据中的用户名显现在〝路由和远程访问〞中的拨入客户端下,那 么应答路由器将把呼叫路由器说明为远程访问客户端。请验证呼叫路由器的凭据中的用户名是否 与应答路由器上要求拨号接口的名称匹配。假如传入呼叫方是一个路由器,那么接收呼叫的端口 将显示为活动状态,而且相应的要求拨号接口处于连接状态。
缘故:呼叫路由器和应答路由器的要求拨号接口上的数据包选择器使通信量不能传输。解决方案:验证以确保呼叫路由器和应答路由器的要求拨号接口上不存在阻止通信量传输的数据 包选择器。能够给各要求拨号接口配置 IP IPX输入和输出选择器,以精确操纵承诺进出该 要求拨号接口的 TCP/IP IPX通信量的性质。 缘故:远程访问策略配置文件中的数据包选择器阻止了IP 通信量的传输。 解决方案:验证以确保 VPN 服务器〔假如使用了 Internet 身份验证服务那么是 RADIUS 服务 器〕上的远程访问策略的配置文件属性上未配置阻止 TCP/IP 通信量接发的 TCP/IP 数据包选择 器。您能够使用远程访问策略来配置 TCP/ IP 输入和输出数据包选择器,以精确操纵 VPN 连接 上承诺的 TCP/ IP 通信量的性质。验证以确保配置文件 TCP/IP 数据包选择器未阻止通信量的传
