如何在 Windows Server 2003 中安装和配置虚拟专用网络服务器

适用于: Supported versions of Windows Server

本分步文章介绍如何安装虚拟专用网络（VPN），以及如何在运行 Windows Server 2003 的服务器中创建新的 VPN 连接。

有关本文的 Microsoft Windows XP 版本，请参阅 314076。

适用于： Windows Server 2003
原始 KB 数： 323441

总结

使用虚拟专用网络，可以通过其他网络（例如 Internet）连接网络组件。你可以将基于 Windows Server 2003 的计算机设置为远程访问服务器，以便其他用户可以使用 VPN 连接到它，然后他们可以登录到网络并访问共享资源。 VPN 通过 Internet 或通过另一个公用网络进行“隧道”来执行此操作，方式与专用网络提供相同的安全性和功能。数据通过使用其路由基础结构跨公共网络发送，但向用户发送数据，就好像通过专用链接发送数据一样。

VPN 概述

虚拟专用网络是一种通过公用网络（如 Internet）连接到专用网络（例如办公网络）的方法。 VPN 结合了与拨号服务器的拨号连接的优点，以及 Internet 连接的轻松和灵活性。通过使用 Internet 连接，你可以在世界各地旅行，但仍可以在大多数地方通过本地呼叫连接到你的办公室，并连接到最近的 Internet 访问电话号码。如果你的计算机和办公室有高速 Internet 连接（如电缆或 DSL），则可以以全 Internet 速度与办公室通信，这比使用模拟调制解调器的任何拨号连接要快得多。通过这项技术，企业可以通过公用网络连接到其分支机构或其他公司，同时保持安全通信。跨 Internet 的 VPN 连接以逻辑方式作为专用广域网（WAN）链路运行。

虚拟专用网络使用经过身份验证的链接来确保只有经过授权的用户才能连接到你的网络。为了确保数据在通过公共网络传输时安全，VPN 连接使用点到点隧道协议（PPTP）或第二层隧道协议（L2TP）来加密数据。

VPN 的组件

运行 Windows Server 2003 的服务器中的 VPN 由 VPN 服务器、VPN 客户端、VPN 连接（用于加密数据的连接部分）和隧道（在其中封装数据的连接部分）组成。隧道是通过运行 Windows Server 2003 的服务器随附的隧道协议之一完成的，这两种协议都随路由和远程访问一起安装。在安装 Windows Server 2003 期间，会自动安装路由和远程访问服务。但是，默认情况下，路由和远程访问服务处于关闭状态。

Windows 附带的两种隧道协议包括：

点到点隧道协议（PPTP）：使用Microsoft点到点加密提供数据加密。
第二层隧道协议（L2TP）：使用 IPSec 提供数据加密、身份验证和完整性。

与 Internet 的连接必须使用专用线路，例如 T1、小数 T1 或帧中继。 WAN 适配器必须使用为域分配的 IP 地址和子网掩码进行配置，或者由 Internet 服务提供商（ISP）提供。 WAN 适配器还必须配置为 ISP 路由器的默认网关。

注意

若要启用 VPN，必须使用具有管理权限的帐户登录。

如何安装和打开 VPN 服务器

若要安装和启用 VPN 服务器，请执行以下步骤：

单击“开始”，指向管理工具，然后单击“路由”和“远程访问”。
单击与控制台左窗格中的本地服务器名称匹配的服务器图标。如果图标左下角有红色圆圈，则路由和远程访问服务尚未打开。如果图标左下角有一个绿色箭头，则已启用“路由和远程访问”服务。如果路由和远程访问服务以前已打开，则可能需要重新配置服务器。若要重新配置服务器，请执行以下操作：
1. 右键单击服务器对象，然后单击“禁用路由”和“远程访问”。当你收到信息性消息提示时，单击“是”以继续。
2. 右键单击服务器图标，然后单击“ 配置并启用路由和远程访问 ”以启动路由和远程访问服务器安装向导。单击“下一步”以继续。
3. 单击“ 远程访问”（拨号或 VPN） 以打开远程计算机，通过 Internet 拨入或连接到此网络。单击“下一步”以继续。
单击此项可选择 VPN 或拨号，具体取决于要分配给此服务器的角色。
在 VPN 连接 窗口中，单击连接到 Internet 的网络接口，然后单击“ 下一步”。
在“IP 地址分配”窗口中，单击“自动”（如果 DHCP 服务器将用于向远程客户端分配地址）或单击“从指定的地址范围”（如果远程客户端必须仅从预定义池中提供地址）。在大多数情况下，DHCP 选项更易于管理。但是，如果 DHCP 不可用，则必须指定一系列静态地址。单击“下一步”以继续。
如果从指定的地址范围单击，“地址范围分配”对话框将打开。单击新建。在“开始 IP 地址”框中键入要使用的 地址范围中的第一个 IP 地址 。在“结束 IP 地址”框中键入范围中的 最后一个 IP 地址 。 Windows 自动计算地址数。单击“确定”返回到“地址范围分配”窗口。单击“下一步”以继续。
接受默认设置“否”，使用路由和远程访问对连接请求进行身份验证，然后单击“下一步”继续。单击“完成”以打开路由和远程访问服务，并将服务器配置为远程访问服务器。

如何配置 VPN 服务器

若要根据需要继续配置 VPN 服务器，请执行以下步骤。

如何将远程访问服务器配置为路由器

若要使远程访问服务器正确转发网络内部的流量，必须将它配置为具有静态路由或路由协议的路由器，以便可以从远程访问服务器访问 Intranet 中的所有位置。

将服务器配置为路由器：

单击“开始”，指向管理工具，然后单击“路由”和“远程访问”。
右键单击服务器名称，然后单击“ 属性”。
单击“常规”选项卡，然后单击“启用此计算机”下的“路由器”。
单击 LAN 和需求拨号路由，然后单击“确定”关闭“属性”对话框。

如何修改同时连接数

拨号调制解调器连接数取决于服务器上安装的调制解调器数。例如，如果服务器上只安装了一个调制解调器，一次只能有一个调制解调器连接。

拨号 VPN 连接数取决于要允许的同时用户数。默认情况下，运行本文中所述的过程时，允许 128 个连接。若要更改同时连接数，请执行以下步骤：

单击“开始”，指向管理工具，然后单击“路由”和“远程访问”。
双击服务器对象，右键单击“ 端口”，然后单击“ 属性”。
在“端口属性”对话框中，单击“WAN 微型端口”（PPTP）>“配置”。
在 “最大端口 ”框中，键入要允许的 VPN 连接数。
单击“确定”>，然后关闭路由和远程 Acces。

如何管理地址和名称服务器

VPN 服务器必须具有可用的 IP 地址，才能在连接过程的 IP 控制协议（IPCP）协商阶段将其分配给 VPN 服务器的虚拟接口和 VPN 客户端。分配给 VPN 客户端的 IP 地址将分配给 VPN 客户端的虚拟接口。

对于基于 Windows Server 2003 的 VPN 服务器，分配给 VPN 客户端的 IP 地址默认通过 DHCP 获取。还可以配置静态 IP 地址池。 VPN 服务器还必须配置名称解析服务器（通常为 DNS 和 WINS 服务器地址），才能在 IPCP 协商期间分配给 VPN 客户端。

如何管理访问权限

在用户帐户和远程访问策略上配置拨入属性，以管理拨号网络和 VPN 连接的访问。

注意

默认情况下，用户被拒绝访问拨号网络。

按用户帐户访问

若要在用户的基础上管理远程访问，若要授予对用户帐户的拨入访问权限，请执行以下步骤：

单击“开始” ，指向“管理工具” ，然后单击“Active Directory 用户和计算机” 。
右键单击用户帐户，然后单击“ 属性”。
单击“拨入”选项卡。
单击“ 允许访问 ”以授予用户拨入权限。单击“确定”。

按组成员身份访问

如果按组管理远程访问，请执行以下步骤：

创建包含允许创建 VPN 连接的成员的组。
单击“开始”，指向管理工具，然后单击“路由”和“远程访问”。
在控制台树中，展开 “路由”和“远程访问”，展开服务器名称，然后单击“ 远程访问策略”。
右键单击右窗格中的任意位置，指向 “新建”，然后单击“ 远程访问策略”。
单击“下一步”，键入策略名称，然后单击“下一步”。
单击 “虚拟专用访问”访问方法的 VPN ，或单击“ 拨号 ”进行拨号访问，然后单击“ 下一步”。
单击“添加”，键入在步骤 1 中创建的组的名称，然后单击“下一步”。
按照屏幕上的说明完成向导。

如果 VPN 服务器已允许拨号网络远程访问服务，请不要删除默认策略。相反，移动它，以便评估它的最后一个策略。

如何从客户端计算机配置 VPN 连接

若要设置到 VPN 的连接，请执行以下步骤。若要为虚拟专用网络访问设置客户端，请按照客户端工作站上的以下步骤操作：

注意

必须以管理员组的成员身份登录才能按照以下步骤操作。

由于 Microsoft Windows 存在多个版本，因此你计算机上的以下步骤可能会有所不同。如果是这样，请参见您的产品文档来完成这些步骤。

在客户端计算机上，确认已正确配置到 Internet 的连接。
单击“开始>控制面板>Network 连接。 单击“网络任务”下的“创建新连接”，然后单击“下一步”。
单击“ 连接到我的工作场所 ”以创建拨号连接。单击“下一步”以继续。
单击 “虚拟专用网络连接”，然后单击“ 下一步”。
在 “公司名称 ”对话框中键入此连接的描述性名称，然后单击“ 下一步”。
如果计算机永久连接到 Internet，请单击“ 不拨打初始连接 ”。如果计算机通过 Internet 服务提供商（ISP）连接到 Internet，请单击“ 自动拨号此初始连接”，然后单击与 ISP 的连接的名称。单击 “下一步” 。
键入 VPN 服务器计算机的 IP 地址或主机名（例如，VPNServer.SampleDomain.com）。
如果要允许登录到工作站的任何用户有权访问此拨号连接，请单击 “任何人”的使用 。仅当希望此连接仅对当前登录用户可用时，才单击“我的使用”。单击 “下一步” 。
单击“完成”保存连接。
单击“开始>控制面板>Network 连接。
双击新连接。
单击“属性”继续为连接配置选项。若要继续配置连接的选项，请执行以下步骤：
- 如果要连接到域，请单击“ 选项 ”选项卡，然后单击选中“ 包括 Windows 登录域 ”复选框，指定在尝试连接之前是否请求 Windows Server 2003 登录域信息。
- 如果希望删除该行时重新序列化连接，请单击“ 选项 ”选项卡，然后单击以选中 “ 删除行”复选框。

若要使用连接，请执行以下步骤：

单击“开始”，指向“连接到”，然后单击新连接。
如果你当前没有连接到 Internet，则 Windows 提供连接到 Internet。
建立与 Internet 的连接后，VPN 服务器会提示你输入用户名和密码。键入用户名和密码，然后单击“ 连接”。网络资源必须以与直接连接到网络时相同的方式提供给你。

注意

若要从 VPN 断开连接，请右键单击连接图标，然后单击“ 断开连接”。

故障排除

对远程访问 VPN 进行故障排除

无法建立远程访问 VPN 连接

原因：客户端计算机的名称与网络上另一台计算机的名称相同。

解决方案：验证网络上所有计算机的名称和连接到网络的计算机的名称是否使用唯一的计算机名称。
原因：路由和远程访问服务未在 VPN 服务器上启动。

解决方案：验证 VPN 服务器上的路由和远程访问服务的状态。

有关如何监视路由和远程访问服务以及如何启动和停止路由和远程访问服务的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：未在 VPN 服务器上启用远程访问。

解决方案：在 VPN 服务器上启用远程访问。

有关如何打开远程访问服务器的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：未为入站远程访问请求启用 PPTP 或 L2TP 端口。

解决方案：为入站远程访问请求启用 PPTP 或 L2TP 端口，或同时启用这两个端口。

有关如何配置远程访问端口的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 客户端使用的 LAN 协议未在 VPN 服务器上启用远程访问。

解决方案：打开 VPN 客户端用于 VPN 服务器上的远程访问的 LAN 协议。

有关如何查看远程访问服务器的属性的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 服务器上的所有 PPTP 或 L2TP 端口都已被当前连接的远程访问客户端或需求拨号路由器使用。

解决方案：验证 VPN 服务器上的所有 PPTP 或 L2TP 端口是否已使用。为此，请单击 路由和远程访问中的端口 。如果允许的 PPTP 或 L2TP 端口数不够高，请更改 PPTP 或 L2TP 端口数以允许更多并发连接。

有关如何添加 PPTP 或 L2TP 端口的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 服务器不支持 VPN 客户端的隧道协议。

默认情况下，Windows Server 2003 远程访问 VPN 客户端使用“自动服务器类型”选项，这意味着他们首先尝试通过基于 IPSec 的 VPN 连接建立 L2TP，然后尝试建立基于 PPTP 的 VPN 连接。如果 VPN 客户端使用点到点隧道协议（PPTP）或第 2 层隧道协议（L2TP）服务器类型选项，请验证 VPN 服务器是否支持所选隧道协议。

默认情况下，运行 Windows Server 2003 服务器和路由和远程访问服务的计算机是具有五个 L2TP 端口和五个 PPTP 端口的 PPTP 和 L2TP 服务器。若要创建仅限 PPTP 的服务器，请将 L2TP 端口数设置为零。若要创建仅限 L2TP 的服务器，请将 PPTP 端口数设置为零。

解决方案：验证是否已配置适当的 PPTP 或 L2TP 端口数。

有关如何添加 PPTP 或 L2TP 端口的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 客户端和 VPN 服务器与远程访问策略未配置为至少使用一种通用身份验证方法。

解决方案：将 VPN 客户端和 VPN 服务器与远程访问策略结合使用，以使用至少一种常见的身份验证方法。

有关如何配置身份验证的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 客户端和 VPN 服务器与远程访问策略未配置为至少使用一种通用加密方法。

解决方案：将 VPN 客户端和 VPN 服务器与远程访问策略结合使用，以使用至少一种通用加密方法。

有关如何配置加密的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 连接不具有通过用户帐户和远程访问策略的拨入属性的适当权限。

解决方案：通过用户帐户和远程访问策略的拨入属性验证 VPN 连接是否具有适当的权限。若要建立连接，连接尝试的设置必须：
- 匹配至少一个远程访问策略的所有条件。
- 通过用户帐户（设置为“允许访问”）或用户帐户（设置为“通过远程访问策略控制访问权限”）以及匹配远程访问策略的远程访问权限（设置为“授予远程访问权限”）授予远程访问权限。
- 匹配配置文件的所有设置。
- 匹配用户帐户的拨入属性的所有设置。
有关远程访问策略简介以及如何接受连接尝试的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：远程访问策略配置文件的设置与 VPN 服务器的属性冲突。

远程访问策略配置文件的属性和 VPN 服务器的属性都包含以下设置：
- 多链接。
- 带宽分配协议（BAP）。
- 身份验证协议。
如果匹配的远程访问策略配置文件的设置与 VPN 服务器的设置冲突，则会拒绝连接尝试。例如，如果匹配的远程访问策略配置文件指定必须使用可扩展身份验证协议 - 传输级别安全性（EAP-TLS）身份验证协议，并且 VPN 服务器上未启用 EAP，则会拒绝连接尝试。

解决方案：验证远程访问策略配置文件的设置是否与 VPN 服务器的属性冲突。

有关多链接、BAP 和身份验证协议的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：应答路由器无法验证呼叫路由器（用户名、密码和域名）的凭据。

解决方案：验证 VPN 客户端（用户名、密码和域名）的凭据是否正确，并可由 VPN 服务器验证。
原因：静态 IP 地址池中没有足够的地址。

解决方案：如果 VPN 服务器配置了静态 IP 地址池，请验证池中是否有足够的地址。如果静态池中的所有地址都已分配给连接的 VPN 客户端，则 VPN 服务器无法分配 IP 地址，并且连接尝试被拒绝。如果已分配静态池中的所有地址，请修改池。

有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 客户端配置为请求自己的 IPX 节点编号，VPN 服务器未配置为允许 IPX 客户端请求自己的 IPX 节点编号。

解决方案：将 VPN 服务器配置为允许 IPX 客户端请求自己的 IPX 节点编号。

有关 IPX 和远程访问的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 服务器配置了 IPX 网络上其他位置使用的 IPX 网络编号范围。

解决方案：使用 IPX 网络唯一的 IPX 网络编号范围配置 VPN 服务器。

有关 IPX 和远程访问的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 服务器的身份验证提供程序配置不当。

解决方案：验证身份验证提供程序的配置。可以将 VPN 服务器配置为使用 Windows Server 2003 或远程身份验证拨入用户服务（RADIUS）对 VPN 客户端的凭据进行身份验证。

有关身份验证和会计提供程序的详细信息，请参阅 Windows Server 2003 帮助和支持中心，以及如何使用 RADIUS 身份验证。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 服务器无法访问 Active Directory。

解决方案：对于处于混合模式或本机模式 Windows Server 2003 域（配置为 Windows Server 2003 身份验证）的成员服务器的 VPN 服务器，请验证：
- RAS 和 IAS 服务器安全组存在。如果没有，请创建组并将组类型设置为“安全性”，并将组范围设置为“本地域”。
- RAS 和 IAS 服务器安全组对 RAS 和 IAS 服务器访问检查对象具有读取权限。
- VPN 服务器计算机的计算机帐户是 RAS 和 IAS 服务器安全组的成员。可以使用 netsh ras show registeredserver 命令查看当前注册。可以使用 netsh ras add registeredserver 该命令在指定的域中注册服务器。
  
  如果将 VPN 服务器计算机添加到 RAS 和 IAS 服务器安全组，则更改不会立即生效（因为 Windows Server 2003 缓存 Active Directory 信息的方式）。若要立即生效此更改，请重启 VPN 服务器计算机。
- VPN 服务器是域的成员。
有关如何添加组、如何验证 RAS 和 IAS 安全组的权限以及用于远程访问的命令的详细信息 netsh ，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：基于 Windows NT 4.0 的 VPN 服务器无法验证连接请求。

解决方案：如果 VPN 客户端正在拨入到运行 Windows NT 4.0 的 VPN 服务器，该服务器是 Windows Server 2003 混合模式域的成员，请使用以下命令验证每个人组是否已添加到预 Windows 2000 兼容访问组：
```
"net localgroup "Pre-Windows 2000 Compatible Access""
```
如果没有，请在域控制器计算机上的命令提示符处键入以下命令，然后重启域控制器计算机：
```
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
```
有关 Windows Server 2003 域中的 Windows NT 4.0 远程访问服务器的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：VPN 服务器无法与配置的 RADIUS 服务器通信。

解决方案：如果只能通过 Internet 接口访问 RADIUS 服务器，请执行以下操作之一：
- 将输入筛选器和输出筛选器添加到 UDP 端口 1812 的 Internet 接口（基于 RFC 2138，“远程身份验证拨入用户服务（RADIUS）”）。 -或-
- 为 RADIUS 身份验证和 UDP 端口 1813（基于 RFC 2139“RADIUS 会计”）添加输入筛选器和输出筛选器，并将输出筛选器添加到 UDP 端口 1645（适用于较旧的 RADIUS 服务器）的 Internet 接口。 -或-
- - 或 - 将输入筛选器和输出筛选器添加到 UDP 端口 1646（对于较旧的 RADIUS 服务器）的 Internet 接口，以便进行 RADIUS 记帐。
有关如何添加数据包筛选器的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：无法使用 Ping.exe 实用工具通过 Internet 连接到 VPN 服务器。

解决方案：由于在 VPN 服务器的 Internet 接口上配置的 PPTP 和 L2TP over IPSec 数据包筛选，ping 命令使用的 Internet 控制消息协议（ICMP）数据包将被筛选掉。若要打开 VPN 服务器以响应 ICMP （ping）数据包，请添加一个输入筛选器和一个输出筛选器，该筛选器允许 IP 协议 1（ICMP 流量）的流量。

有关如何添加数据包筛选器的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。

无法发送和接收数据

原因：尚未将适当的需求拨号接口添加到正在路由的协议中。

解决方案：将适当的需求拨号接口添加到要路由的协议。

有关如何添加路由接口的详细信息，请参阅 Windows Server 2003 帮助和支持中心。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：路由器到路由器 VPN 连接的两端没有支持双向流量交换的路由。

解决方案：与远程访问 VPN 连接不同，路由器到路由器 VPN 连接不会自动创建默认路由。在路由器到路由器 VPN 连接的两端创建路由，以便可以将流量路由到路由器到路由器 VPN 连接的另一端。

可以手动将静态路由添加到路由表，也可以通过路由协议添加静态路由。对于持久性 VPN 连接，可以跨 VPN 连接打开“最短路径优先”或“路由信息协议”（RIP）。对于按需 VPN 连接，可以通过自动静态 RIP 更新自动更新路由。有关如何添加 IP 路由协议、如何添加静态路由以及如何执行自动静态更新的详细信息，请参阅 Windows Server 2003 联机帮助。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：双向启动的应答路由器作为远程访问连接正在解释路由器到路由器 VPN 连接。

解决方案：如果呼叫路由器的凭据中的用户名出现在路由和远程访问的“拨入客户端”下，应答路由器可能会将呼叫路由器解释为远程访问客户端。验证呼叫路由器凭据中的用户名是否与应答路由器上的需求拨号接口的名称匹配。如果传入呼叫方是路由器，则接收呼叫的端口将显示活动状态，相应的需求拨号接口处于连接状态。

有关如何检查应答路由器上的端口状态以及如何检查需求拨号接口的状态的详细信息，请参阅 Windows Server 2003 联机帮助。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：呼叫路由器和应答路由器的需求拨号接口上的数据包筛选器阻止流量流。

解决方案：验证呼叫路由器和应答路由器的需求拨号接口上没有数据包筛选器，以防止发送或接收流量。可以使用 IP 和 IPX 输入和输出筛选器配置每个需求拨号接口，以控制允许进出需求拨号接口的 TCP/IP 和 IPX 流量的确切性质。

有关如何管理数据包筛选器的详细信息，请参阅 Windows Server 2003 联机帮助。单击“开始”访问 Windows Server 2003 帮助和支持中心。
原因：远程访问策略配置文件上的数据包筛选器阻止 IP 流量流。

解决方案：验证 VPN 服务器上的远程访问策略（如果使用 Internet 身份验证服务）的配置文件属性上没有配置的 TCP/IP 数据包筛选器，这些筛选器阻止发送或接收 TCP/IP 流量。可以使用远程访问策略来配置 TCP/IP 输入和输出数据包筛选器，这些筛选器控制 VPN 连接上允许的 TCP/IP 流量的确切性质。验证配置文件 TCP/IP 数据包筛选器是否未阻止流量流。

有关如何配置 IP 选项的详细信息，请参阅 Windows Server 2003 联机帮助。单击“开始”访问 Windows Server 2003 帮助和支持中心。

反馈

此页面是否有帮助？

Last updated on 2025-01-15