如何在 Windows 2000 中安装和配置虚拟专用网络服务器

虚拟专用网络 (VPN) 允许您通过一个网络（如 Internet）将组件连接到另一个网络。可以将基于 Windows 2000 Server 的计算机当作远程访问服务器，这样其他用户就可以通过 VPN 与之相连，然后访问您的本地驱动器或网络上的共享文件。虚拟专用网络是通过在 Internet 或另外的公用网络上“建立隧道”来实现的，可提供与专用网络相同的安全性和功能。有了 VPN，通过公用网络的连接可以使用 Internet 的路由架构传输数据，而对用户来说，数据好像是通过一个专门的专用链路传送的。

本文介绍如何安装虚拟专用网络 (VPN) 以及如何在 Windows 2000 中新建 VPN 连接。

VPN 概述

虚拟专用网络 (VPN) 是一种通过公用网络（如 Internet）连接专用网络（如您的办公室网络）的方法。它将到拨号服务器的拨号连接的优点与 Internet 连接的方便与灵活性相结合。通过使用 Internet 连接，您可以周游世界，而同时在大多数地方仍可以通过当地最近的 Internet 访问电话号码连接到您的办公室。如果您的计算机（和办公室）有高速 Internet 连接（如电缆或 DSL），您就可以以最快的 Internet 速度与办公室通讯，比使用模拟调制解调器的任何拨号连接速度快得多。

VPN 使用经过身份验证的链接来确保只有授权用户才能连接到您的网络，而且这些用户使用加密来确保他们通过 Internet 传送的数据不会被其他人截取和利用。Windows 使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 实现此安全性。

VPN 技术使得公司可以通过公用网络（如 Internet）连接到其分支办事处或其他公司，同时又可以保证通讯安全。通过 Internet 的 VPN 连接从逻辑上讲相当于一个专用的广域网 (WAN) 链接。

VPN 的组件

Windows 2000 中的 VPN 组件包括一个 VPN 服务器、一个 VPN 客户机、一个 VPN 连接（连接中数据被加密的部分），以及隧道（连接中数据被封装的部分）。建立隧道是通过 Windows 2000 中包括的两个隧道协议完成的，这两个协议都是随“路由和远程访问”安装的。Windows 2000 包括的两个隧道协议是：

• 点对点隧道协议 (PPTP)：使用“Microsoft 点对点加密”提供数据加密。
• 第二层隧道协议 (L2TP)：使用 IPSec 提供数据加密、身份验证和完整性。

到 Internet 的连接应使用专用线路，如 T1、Fractional T1 或 Frame Relay。WAN 适配器必须配置指派给您的域或由 Internet 服务提供商 (ISP) 提供的 IP 地址和子网掩码，以及 ISP 路由器的默认网关。

注意：要启用 VPN，您必须使用具有管理权限的帐户登录。

如何安装和启用 VPN

要安装和启用 VPN 服务器，请按下列步骤操作：

1. 在 Microsoft Windows 2000 VPN 计算机上，确保到 Internet 的连接和到您的局域网 (LAN) 的连接都已正确配置。
2. 单击开始，指向管理工具，然后单击“路由和远程访问”。
3. 单击树中的服务器名称，再单击操作菜单上的“配置并启用路由和远程访问”，然后单击下一步。
4. 在通用配置对话框中，单击“虚拟专用网络（VPN 服务器）”，然后单击下一步。
5. 在远程客户机协议对话框中，确认列表中包括 TCP/IP，单击“是，所有可用的协议都在列表上”，然后单击下一步。
6. 在 Internet 连接对话框中，选择将连接到 Internet 的 Internet 连接，然后单击下一步。
7. 在“IP 地址分配”对话框中，选择自动以便使用您子网上的 DHCP 服务器给拨号客户机和服务器分配 IP 地址。
8. 在管理多个远程访问服务器对话框中，确认“不，我现在不想设置此服务器使用 RADIUS”复选框已选中。
9. 单击下一步，然后单击完成。
10. 右键单击端口节点，然后单击属性。
11. 在端口属性对话框中，单击 WAN 微型端口 (PPTP) 设备，然后单击配置。
12. 在“配置设备 - WAN Miniport (PPTP)”对话框中，执行下列操作之一：
    • 如果不想支持到服务器上安装的调制解调器的直接用户拨号 VPN，请单击以清除请求拨号路由选择连接（入站和出站）复 选框。
    • 如果想要支持到服务器上安装的调制解调器的直接用户拨号 VPN，请单击选中请求拨号路由选择连接（入站和出站）复选框。
13. 在最多端口数文本框中，键入您希望同时存在的 PPTP 连接的最大数目。（这可能取决于可用 IP 地址的数目）。
14. 对 L2TP 设备重复步骤 11 至 13，然后单击确定。

如何配置 VPN 服务器

要进一步根据需要配置 VPN 服务器，请按照下列步骤操作。

将远程访问服务器配置为路由器

为让远程访问服务器能在您的网络中正确地转发通信量，必须用静态路由或路由协议将其配置为一个路由器，这样远程访问服务器才能访问到内部网中的所有位置。

要将服务器配置为路由器，请按照下列步骤操作：

1. 单击开始，指向管理工具，然后单击“路由和远程访问”。
2. 右键单击服务器名称，然后单击属性。
3. 在常规选项卡上，单击以选中启用此计算机作为路由器。
4. 选择“仅用于局域网 (LAN) 路由选择”或“用于局域网和请求拨号路由选择”，然后单击确定，关闭属性对话框。

如何配置 PPTP 端口

确认所需的 PPTP 端口数。要检查端口数或添加端口，请按照下列步骤操作：

1. 单击开始，指向管理工具，然后单击“路由和远程访问”。
2. 在控制台树中，展开“路由和远程访问”，展开服务器名，然后单击端口。
3. 右键单击端口，然后单击属性。
4. 在端口属性对话框中，单击 WAN 微型端口 (PPTP)，然后单击配置。
5. 在配置设备对话框中，选择设备的最大端口数目，然后选择选项以指定该设备是仅接受传入连接，还是接受传入和传出两种连接。

如何管理地址和名称服务器

VPN 服务器必须有可提供的 IP 地址，以便在连接进程的 IP 控制协议 (IPCP) 协商阶段将它们分配给 VPN 服务器的虚拟接口和 VPN 客户机。分配给 VPN 客户端的 IP 地址实际分配给了 VPN 客户端的虚拟接口。

对于基于 Windows 2000 的 VPN 服务器，默认情况下，分配给 VPN 客户端的 IP 地址是通过 DHCP 获得的。您也可以配置静态 IP 地址池。VPN 服务器还必须配置名称解析服务器（通常是 DNS 和 WINS 服务器）地址，以在 IPCP 协商期间分配给 VPN 客户端。

如何管理访问

在用户帐户上配置拨入属性并配置远程访问策略，以管理对拨号网络和 VPN 连接的访问。

注意：默认情况下拒绝用户对拨号的访问。

通过用户帐户访问

如果您是按用户管理远程访问，则对于允许创建 VPN 连接的用户帐户，可在用户的属性对话框中的拨入选项卡上，单击允许访问。如果 VPN 服务器只允许 VPN 连接，则请删除称为“如果启用拨入许可，就允许访问”的默认远程访问策略。然后新建一个远程访问策略，给它取一个描述性名称，如“按用户帐户允许 VPN 访问”。有关详细信息，请参见 Windows 2000 帮助。

小心：删除默认策略后，则与您创建的策略配置一个也不匹配的拨号客户机将被拒绝访问。

如果 VPN 服务器也提供拨号远程访问服务，则不要删除默认策略，但要移动其位置，使它成为最后一个起作用的策略。

通过组成员身份访问

如果您按组管理远程访问，请使用“管理工具”或 MMC 管理单元中的“Active Directory 用户和计算机控制台”，对所有用户帐户单击“通过远程访问策略控制访问”单选按钮。创建一个其成员可以创建 VPN 连接的 Windows 2000 组。如果 VPN 服务器只允许 VPN 连接，则请删除名称为“如果启用拨入许可，就允许访问”的默认远程访问策略。下一步，新建一个远程访问策略，给它取一个描述性的名称，例如“如果是允许创建 VPN 的 组的成员，则允许访问 VPN”，然后将 Windows 2000 组指派给此策略。

如果 VPN 服务器也提供拨号网络远程访问服务，则不要删除默认策略，而是移动其位置，使它成为最后一个起作用的策略。

如何从客户机配置 VPN 连接

要建立到 VPN 的连接，请按照下列步骤操作：

1. 在客户机上，确认与 Internet 的连接配置正确。
2. 单击开始，指向设置，然后单击网络和拨号连接。
3. 双击建立新连接。
4. 单击下一步，再单击通过 Internet 连接到专用网络，然后单击下一步。
5. 执行下列操作之一：
   • 如果您使用拨号连接来连接 Internet，请单击自动拨此初始连接，然后从列表中选择您的拨号 Internet 连接。
   • 如果您使用的是全时连接（如电缆调制解调器），请单击不拨初始连接。
6. 单击下一步。
7. 键入您想连接到的计算机的主机名（如 Microsoft.com）或 IP 地址（如 123.123.123.123），然后单击下一步。
8. 如果想让登录到此计算机的任何人都可以使用此连接，请单击以选择供所有用户使用，如果想让此连接只有在您登录到计算机时可用，请单击以选中仅供自己使用，然后单击下一步。
9. 为此连接键入一个描述性的名称，然后单击完成。
   
   注意：此选项只有在您作为 Administrators 组的成员登录时才可用。
10. 单击开始，指向设置，然后单击网络和拨号连接。
11. 双击新建的连接。
12. 单击属性以继续为此连接配置选项：
    
    • 如果要连接到一个域，请单击选项选项卡，然后单击以选中“包含 Windows 登录域”复选框，以指定在尝试连接前是否要求提供 Windows 2000 登录域信息。
    • 如果想让该连接在断线后重新拨号，则请单击选项选项卡，然后单击选中“断线重拨”复选框。

要使用连接，请按下列步骤操作：

1. 单击开始，指向设置，然后单击网络和拨号连接。
2. 双击新建的连接。
3. 如果目前没有到 Internet 的连接，Windows 可让您连接到 Internet。
4. 建立到 Internet 的连接后，VPN 服务器会提示您输入用户名和密码。输入您的用户名和密码，单击连接，然后就可以使用您的网络资源了，方式与您直接连接到网络上时一样。注意：要从 VPN 上断开，请右键单击连接图标，然后单击断开连接。

疑难解答

远程访问 VPN 疑难解答

无法建立远程访问 VPN 连接

• 原因：客户机的名称与网络上另一台计算机的名称相同。
  
  解决方案：检查确认网络上所有计算机的名称和到网络的连接是否都使用了唯一的计算机名。
• 原因：VPN 服务器上的“路由和远程访问”服务未启动。
  
  解决方案：验证 VPN 服务器上“路由和远程访问”服务的状态。
  
  有关如何监视、启动和停止“路由和远程访问”服务的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 服务器上未启用远程访问。
  
  解决方案：在 VPN 服务器上启用远程访问。
  
  有关如何启用远程访问服务器的更多信息，请参见 Windows 2000 联机帮助。
• 原因：没有为入站远程访问请求启用 PPTP 或 L2TP 端口。
  
  解决方案：为入站远程访问请求启用 PPTP 或 L2TP 端口，或两个端口都启用。
  
  有关如何配置远程访问端口的更多信息，请参见 Windows 2000 联机帮助。
• 原因：在 VPN 服务器上未启用 VPN 客户机使用的 LAN 协议来支持远程访问。
  
  解决方案：在 VPN 服务器上启用 VPN 客户机使用的 LAN 协议以支持远程访问。
  
  有关如何查看远程访问服务器属性的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 服务器上的所有 PPTP 或 L2TP 端口已被当前连接的远程访问客户端或请求拨号路由器使用。
  
  解决方案：在“路由和远程访问”中单击端口，检查确认 VPN 服务器上所有的 PPTP 或 L2TP 端口是否尚未被使用。如有必要，更改 PPTP 或 L2TP 端口号以允许存在更多的并发连接。
  
  有关如何添加 PPTP 或 L2TP 端口的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 服务器不支持 VPN 客户机的隧道协议。
  
  默认情况下，Windows 2000 远程访问 VPN 客户机使用自动服务器类型选项，这意味着它们将首先尝试建立基于 IPSec 之上的 L2TP 的 VPN 连接，然后才尝试建立基于 PPTP 的 VPN 连接。如果 VPN 客户端使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 两者中的一种服务器类型选项，请验证选中的隧道协议是否受 VPN 服务器支持。
  
  默认情况下，一台运行 Windows 2000 Server 和“路由和远程访问”服务的计算机就是一个有五个 PPTP 端口和五个 L2TP 端口的 L2TP 和 PPTP 服务器。要创建一个仅支持 PPTP 的服务器，请将 L2TP 端口的数量设置为零。要创建一个仅支持 L2TP 的服务器，请将 PPTP 端口的数量设置为零。
  
  解决方案：检查是否配置了相应数目的 PPTP 或 L2TP 端口。
  
  有关如何添加 PPTP 或 L2TP 端口的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 客户端和 VPN 服务器以及远程访问策略未配置为至少使用一种通用身份验证方法。
  
  解决方案：将 VPN 客户端和 VPN 服务器以及远程访问策略配置为至少使用一种通用身份验证方法。
  
  有关如何配置身份验证的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 客户端和 VPN 服务器以及远程访问策略未配置为至少使用一种通用加密方法。
  
  解决方案：将 VPN 客户端和 VPN 服务器以及远程访问策略配置为至少使用一种通用加密方法。
  
  有关如何配置加密的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
  
  解决方案：验证 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。为了建立连接，连接尝试的设置必须：
  
  
  • 至少满足一种远程访问策略的所有条件。
  • 通过用户帐户（设置为允许访问）或通过用户帐户（设置为“通过远程访问策略控制访问”）授予远程访问权限，并授予匹配的远程访问策略的远程访问权限（设置为“授予远程访问权限”）。
  • 与该配置文件的所有设置匹配。
  • 与该用户帐户的拨入属性的所有设置相匹配。
  有关远程访问策略的简介，以及如何接受连接尝试的更多信息，请参见 Windows 2000 联机帮助。
• 原因：远程访问策略配置文件的设置与 VPN 服务器的属性冲突。
  
  远程访问策略配置文件的属性和 VPN 服务器的属性都包含下列设置：
  
  
  • 多重链接
  • 带宽分配协议
  • 身份验证协议
  如果相应的远程访问策略的配置文件的设置与 VPN 服务器的设置冲突，则连接尝试将被拒绝。例如，如果相应的远程访问策略配置文件指定必须使用 EAP-TLS 身份验证协议，而 VPN 服务器上没有启用 EAP，则连接尝试将被拒绝。
  
  解决方案：验证远程访问策略配置文件的设置以确保不与 VPN 服务器的属性冲突。
  
  有关如何启用身份验证协议和配置身份验证的更多信息，请参见 Windows 2000 联机帮助。
• 原因：应答路由器无法验证呼叫路由器的凭据（用户名、密码和域名）。
  
  解决方案：验证 VPN 客户端的凭据（用户名、密码和域名）是否正确以及是否可由 VPN 服务器验证。
• 原因：在静态 IP 地址池中没有足够的地址。
  
  解决方案：如果 VPN 服务器配置了静态 IP 地址池，请验证池中是否有足够的地址。如果静态池中的所有地址都已分配给连接中的 VPN 客户端，则 VPN 服务器就不能够分配 IP 地址，而且连接尝试将被拒绝。根据需要修改静态 IP 地址池。有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 客户机配置为可请求其自己的 IPX 节点编号，而 VPN 服务器配置为不允许 IPX 客户机请求其自己的 IPX 节点编号。
  
  解决方案：配置 VPN 服务器使之允许 IPX 客户机请求它们自己的节点编号。
  
  有关 IPX 和远程访问的更多信息，请参见 Windows 2000 联机帮助。
• 原因：给 VPN 服务器配置了一段 IPX 网络上其他地方正在使用的 IPX 网络编号范围。
  
  解决方案：给 VPN 服务器配置一个在 IPX 网络上唯一的 IPX 网络编号范围。
  
  有关 IPX 和远程访问的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 服务器的身份验证提供程序配置不正确。
  
  解决方案：验证身份验证提供程序的配置是否正确。您可以将 VPN 服务器配置为使用 Windows 2000 或 RADIUS 来验证 VPN 客户机的凭据。
  
  有关身份验证和计帐提供程序的更多信息，以及如何使用 RADIUS 身份验证的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 服务器无法访问 Active Directory。
  
  
  解决方案：如果 VPN 服务器是混合模式或本机模式 Windows 2000 域的一个成员服务器而且配置为使用 Windows 2000 身份验证，则请检查：
  
  
  • “RAS 和 IAS 服务器”安全组是否存在。如果不存在，请创建该组并将组类型设置为“安全”并将组作用域设置为“本地域”。
  • “RAS 和 IAS 服务器”安全组对“RAS 和 IAS 服务器访问检查”对象有读取权限。
  • VPN 服务器计算机的计算机帐户是“RAS 和 IAS 服务器”安全组中的一个成员。可以使用“netsh ras show registeredserver”命令查看当前注册。可以使用“netsh ras add registeredserver”命令在指定的域中注册服务器。
    
    如果您向 RAS 和 IAS 服务器安全组添加（或从中删除）VPN 服务器计算机，则此更改不会立即生效（这是由 Windows 2000 缓存 Active Directory 信息的方式决定的）。要让此更改立即生效，需要重启 VPN 服务器计算机。
  • 对于本机模式的域，VPN 服务器已加入到了域中。
  有关如何添加组、如何验证 RAS 和 IAS 安全组的权限以及远程访问的 NetShell 命令的更多信息，请参见 Windows 2000 联机帮助。
• 原因：Windows NT 4.0 VPN 服务器无法验证连接请求。
  
  解决方案：如果 VPN 客户机正在拨入到运行着 Windows NT 4.0 的 VPN 服务器，而此服务器是 Windows 2000 混合模式域的成员，则请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中：
  "net localgroup "Pre-Windows 2000 Compatible Access""
  如果没有，则请在域控制器计算机上的命令提示符处键入下列命令，然后重新启动域控制器计算机：
  net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
  有关 Windows 2000 域中 Windows NT 4.0 远程访问服务器的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 服务器无法与配置的 RADIUS 服务器通讯。
  
  解决方案：如果 RADIUS 服务器只可以通过 Internet 接口访问到，则请给下列端口的 Internet 接口添加一个输入筛选器和一个输出筛选器：UDP 端口 1812（基于 RFC 2138“远程身份验证拨入用户服务 (RADIUS)”）、用于 RADIUS 身份验证的 UDP 端口 1645（针对较早的 RADIUS 服务器）、UDP 端口 1813（基于 RFC 2139“RADIUS 计帐”），或用于 RADIUS 计帐的 UDP 端口 1646（针对较早的 RADIUS 服务器）。
  
  有关如何添加数据包筛选器的更多信息，请参见 Windows 2000 联机帮助。
• 原因：无法使用 Ping.exe 实用工具通过 Internet 连接到 VPN 服务器。
  
  解决方案：由于在 VPN 服务器的 Internet 接口上配置了基于 IPSec 的 PPTP 和 L2TP 数据包筛选，ping 命令使用的 Internet 控制消息协议 (ICMP) 数据包被筛选掉了。为使 VPN 服务器能够响应 ICMP (ping) 数据包，需要添加允许 IP 协议 1 通信量（ICMP 通信量）的一个输入筛选器和一个输出筛选器。
  
  有关如何添加数据包筛选器的更多信息，请参见 Windows 2000 联机帮助。

路由器到路由器 VPN 疑难解答

无法建立路由器到路由器 VPN 连接

• 原因：VPN 客户端（呼叫路由器）和 VPN 服务器（应答路由器）上未启动“路由和远程访问”服务。
  
  解决方案：检查 VPN 客户端和 VPN 服务器上路由和远程访问服务的状态。
  
  有关如何监视、启动和停止“路由和远程访问”服务的更多信息，请参见 Windows 2000 联机帮助。
• 原因：呼叫路由器和应答路由器上未启用 LAN 和 WAN 路由。
  
  解决方案：在呼叫和应答路由器上启用“本地和远程路由（LAN 和 WAN 路由器）”。
  
  有关如何启用 LAN 和 WAN 路由的更多信息，请参见 Windows 2000 联机帮助。
• 原因：没有为入站和出站请求拨号路由选择连接启用 PPTP 或 L2TP 端口。
  
  解决方案：为入站和出站请求拨号路由选择连接启用 PPTP 或 L2TP 端口，或二者都启用。
  
  有关如何在端口上启用路由的更多信息，请参见 Windows 2000 联机帮助。
• 原因：呼叫或应答路由器上的所有 PPTP 或 L2TP 端口当前正由处于连接状态的远程访问客户机或请求拨号路由器使用着。
  
  解决方案：在“路由和远程访问”中单击端口，检查确认 VPN 服务器上所有的 PPTP 或 L2TP 端口是否尚未被使用。如有必要，更改 PPTP 或 L2TP 端口号以允许存在更多的并发连接。
  
  有关如何添加 PPTP 或 L2TP 端口的更多信息，请参见 Windows 2000 联机帮助。
• 原因：应答路由器不支持呼叫路由器使用的隧道协议。
  
  默认情况下，Windows 2000 请求拨号接口使用自动服务器类型选项，这意味着它们将首先尝试建立基于 IPSec 之上的 L2TP 的 VPN 连接，然后才尝试建立基于 PPTP 的 VPN 连接。如果呼叫路由器使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 服务器类型选项，请检查确认选定的隧道协议是否受应答路由器的支持。
  
  默认情况下，一台运行 Windows 2000 Server 和“路由和远程访问”服务的计算机就是一个支持 PPTP 和 L2TP 的请求拨号路由器，有五个 L2TP 端口和五个 PPTP 端口。要创建一个仅支持 PPTP 的路由器，请将 L2TP 端口的数目设置为零。要创建一个仅支持 L2TP 的路由器，请将 PPTP 端口的数目设置为零。
  
  解决方案：验证在呼叫和应答路由器上是否配置了相应数目的 PPTP 或 L2TP 端口。
  
  有关如何添加 PPTP 或 L2TP 端口的更多信息，请参见 Windows 2000 联机帮助。
• 原因：未将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用身份验证方法。
  
  解决方案：将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用身份验证方法。
  
  有关如何配置身份验证的更多信息，请参见 Windows 2000 联机帮助。
• 原因：未将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用加密方法。
  
  解决方案：将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用加密方法。
  
  有关如何配置加密的更多信息，请参见 Windows 2000 联机帮助。
• 原因：VPN 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
  
  解决方案：验证 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。为了建立连接，连接尝试的设置必须：
  
  
  • 至少满足一种远程访问策略的所有条件。
  • 通过用户帐户（设置为“允许访问”）或通过用户帐户（设置为“通过远程访问策略控制访问”）授予远程访问权限，并授予匹配的远程访问策略的远程访问权限（设置为“授予远程访问权限”）。
  • 与该配置文件的所有设置匹配。
  • 与该用户帐户的拨入属性的所有设置相匹配。
  有关远程访问策略的简介，以及如何接受连接尝试的更多信息，请参见 Windows 2000 联机帮助。
• 原因：远程访问策略配置文件的设置与应答路由器的属性冲突。远程访问策略配置文件的属性和应答路由器的属性都包含下列设置：
  
  
  • 多重链接
  • 带宽分配协议
  • 身份验证协议
  如果与远程访问策略相匹配的配置文件的设置与应答路由器的设置冲突，则连接尝试将被拒绝。例如，如果相应的远程访问策略配置文件指定必须使用 EAP-TLS 身份验证协议，而应答路由器上没有启用 EAP，则连接尝试将被拒绝。
  
  解决方案：检查以确保远程访问策略配置文件的设置不与远程访问路由器的属性冲突。
  
  有关如何启用身份验证协议和配置身份验证的更多信息，请参见 Windows 2000 联机帮助。
• 原因：呼叫路由器的凭据（用户名、密码和域名）不正确而且不能由应答路由器验证。
  
  解决方案：检查以确保呼叫路由器的凭据（用户名、密码和域名）正确而且能够由应答路由器验证。
• 原因：在静态 IP 地址池中没有足够的地址。
  
  解决方案：如果应答路由器配置了静态 IP 地址池，请检查确认池中是否有足够的地址。如果静态池中的所有地址都已分配给连接中的远程访问客户机或拨号路由器，则应答路由器就不能够分配 IP 地址，而且连接尝试将被拒绝。根据需要修改静态 IP 地址池。
  
  有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的更多信息，请参见 Windows 2000 联机帮助。
• 原因：应答路由器配置了一个网络编号范围，而此编号范围正在 IPX 网络上的其他地方使用着。
  
  解决方案：给应答路由器配置一个在 IPX 网络上是唯一的 IPX 网络编号范围。
  
  有关 IPX 和远程访问的更多信息，请参见 Windows 2000 联机帮助。
• 原因：应答路由器的身份验证提供程序配置不正确。
  
  解决方案：验证身份验证提供程序的配置是否正确。您可以将应答路由器配置为使用 Windows 2000 或 RADIUS 来验证 VPN 客户机的凭据。
  
  有关身份验证和计帐提供程序的更多信息，以及如何使用 RADIUS 身份验证的更多信息，请参见 Windows 2000 联机帮助。
• 原因：应答路由器无法访问 Active Directory。
  
  解决方案：如果应答路由器是混合模式或本机模式 Windows 2000 域的一个成员服务器而且配置为使用 Windows 2000 身份验证，则请检查确认：
  
  
  • “RAS 和 IAS 服务器”安全组是否存在。如果不存在，则创建该组并将组类型设置为安全，然后将组作用域设置为“本地域”。
  • “RAS 和 IAS 服务器”安全组对“RAS 和 IAS 服务器访问检查”对象有读取权限。
  • 应答路由器计算机的计算机帐户是“RAS 和 IAS 服务器”安全组中的一个成员。您可以使用下列命令查看当前的注册：
    "netsh ras show registeredserver"
    可以使用下列命令在特定的域中注册服务器：
    "netsh ras add registeredserver"
    如果您向“RAS 和 IAS 服务器”安全组添加或从中删除应答路由器计算机，则此更改不会立即生效（这是由 Windows 2000 缓存 Active Directory 信息的方式决定的）。要让更改立即生效，必须重启应答路由器计算机。
  • 对于本机模式的域，应答路由器已加入到了域中。
  有关如何添加组、如何验证 RAS 和 IAS 安全组的权限，以及远程访问的 NetShell 命令的更多信息，请参见 Windows 2000 联机帮助。
• 原因：运行 Windows NT 4.0 及路由和远程访问服务 (RRAS) 的应答路由器不能验证连接请求。
  
  解决方案：如果呼叫路由器正在拨入到运行带有 RRAS 的 Windows NT 4.0 的应答路由器，而此应答路由器是 Windows 2000 混合模式域的成员，请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中：
  "net localgroup "Pre-Windows 2000 Compatible Access""
  如果没有，请在域控制器计算机上的命令提示符处键入下列命令，然后重新启动域控制器计算机：
  "net localgroup "Pre-Windows 2000 Compatible Access" everyone /add"
  有关 Windows 2000 域中 Windows NT 4.0 远程访问服务器的更多信息，请参见 Windows 2000 联机帮助。
• 原因：应答路由器无法与配置的 RADIUS 服务器通讯。
  
  解决方案：如果只能通过 Internet 接口访问 RADIUS 服务器，则给下列端口的 Internet 接口添加一个输入筛选器和一个输出筛选器：UDP 端口 1812（基于 RFC 2138“远程身份验证拨入用户服务 (RADIUS)”）、用于 RADIUS 身份验证的 UDP 端口 1645（针对较早的 RADIUS 服务器）、UDP 端口 1813（基于 RFC 2139“RADIUS 计帐”），或用于 RADIUS 计帐的 UDP 端口 1646（针对较早的 RADIUS 服务器）。
  
  有关如何添加数据包筛选器的更多信息，请参见 Windows 2000 联机帮助。
• 原因：无法使用 Ping.exe 实用工具通过 Internet 连接到应答路由器。
  
  解决方案：由于在应答路由器的 Internet 接口上配置了基于 IPSec 数据包筛选的 PPTP 和 L2TP，因此 Ping 命令所使用的 Internet 控制消息协议 (ICMP) 数据包将被过滤掉。为使应答路由器能够响应 ICMP 数据包，必须添加允许 IP 协议 1 通信量（ICMP 通信量）的一个输入筛选器和一个输出筛选器。
  
  有关如何添加数据包筛选器的更多信息，请参见 Windows 2000 联机帮助。

无法发送和接收数据

• 原因：未给被路由的协议添加适当的请求拨号接口。
  
  解决方案：给被路由的协议添加适当的请求拨号接口。
  
  有关如何添加路由接口的更多信息，请参见 Windows 2000 联机帮助。
• 原因：路由器对路由器 VPN 连接的两端都没有支持双向通信量交换的路由。
  
  解决方案：与远程访问 VPN 连接不同，路由器对路由器 VPN 连接不会自动创建默认路由。您需要在路由器到路由器 VPN 连接的两端创建路由，以便路由器到路由器 VPN 连接的两端的通信量都可以路由到对方。
  
  您可以手动向路由表中添加静态路由，也可以通过路由协议添加静态路由。对于持续性 VPN 连接，可以在 VPN 连接上启用“开放式最短路径优先 (OSPF)”或“路由信息协议 (RIP)”。对于请求 VPN 连接，可以通过自动静态 RIP 更新来自动更新路由。有关如何添加 IP 路由协议、如何添加静态路由以及如何执行自动静态更新的更多信息，请参见 Windows 2000 联机帮助。
• 原因：双向初始化的应答路由器作为远程访问连接，正在解释路由器到路由器的 VPN 连接。
  
  解决方案：如果呼叫路由器的凭据中的用户名出现在“路由和远程访问”中的拨入客户端下，则应答路由器将把呼叫路由器解释为远程访问客户端。请验证呼叫路由器的凭据中的用户名是否与应答路由器上请求拨号接口的名称匹配。如果传入呼叫方是一个路由器，则接收呼叫的端口将显示为活动状态，而且相应的请求拨号接口处于连接状态。
  
  有关如何检查应答路由器的端口状态以及如何检查请求拨号接口状态的更多信息，请参见 Windows 2000 联机帮助。
• 原因：呼叫路由器和应答路由器的请求拨号接口上的数据包筛选器使通信量不能传输。
  
  解决方案：验证以确保呼叫路由器和应答路由器的请求拨号接口上不存在阻止通信传输的数据包筛选器。可以给各请求拨号接口配置 IP 和 IPX 输入和输出筛选器，以精确控制允许进出该请求拨号接口的 TCP/IP 和 IPX 通信的性质。
  
  有关如何管理数据包筛选器的更多信息，请参见 Windows 2000 联机帮助。
• 原因：远程访问策略配置文件中的数据包筛选器阻止了 IP 通信的传输。
  
  解决方案：验证以确保 VPN 服务器（如果使用了 Internet 身份验证服务则是 RADIUS 服务器）上的远程访问策略的配置文件属性上未配置阻止 TCP/IP 通信接发的 TCP/IP 数据包筛选器。您可以使用远程访问策略来配置 TCP/IP 输入和输出数据包筛选器，以精确控制 VPN 连接上允许的 TCP/IP 通信的性质。检查配置文件 TCP/IP 数据包筛选器是否未在阻止需要的通信。
  
  有关如何配置 IP 选项的更多信息，请参见 Windows 2000 联机帮助。

有关如何在 Windows XP 中创建 VPN 连接的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：