如何在 Windows server 2003 中安裝及設定虛擬私人網路伺服器

本文逐步說明如何在 (vpn) 上安裝虛擬私人網路,以及如何在執行 Windows Server 2003 的伺服器中建立新的 VPN 連線。

如需 Microsoft Windows XP 版本的文章,請參閱314076

適用于:  Windows伺服器2003
原始 KB 編號:   323441

摘要

使用虛擬私人網路絡,您可以透過另一個網路(例如網際網路)連接網路元件。 您可以將使用 Windows Server 2003 的電腦設為遠端存取伺服器,讓其他使用者可以使用 VPN 連線到該電腦,然後即可登入網路和存取共用資源。 Vpn 會透過網際網路或透過另一個公用網路的「隧道」來執行此作業,其方式是提供與私人網路絡相同的安全性和功能。 資料會透過使用其路由基礎結構傳送至公用網路,但是對使用者而言,它似乎是透過專用的私人連結傳送的資料。

VPN 概述

虛擬私人網路是一種方法,用來連線至私人網路 (,例如您的 office 網路) 以公用 (網路的方式,例如網際網路) 。 VPN 會將撥號連線的 virtues 與網際網路連線的方便性及靈活性結合到撥號伺服器。 透過網際網路連線,您可以在世界各地進行旅行,但在大多數的地方,都可以使用本機呼叫來連線到您的 office,但不限使用最接近的網際網路存取電話號碼。 如果您的電腦與您的電腦上有高速網際網路連線 (例如電纜或 DSL) ,您可以透過網際網路的完整速度與您的 office 進行通訊,其速度會比使用類比數據機的任何撥號連線速度更快。 此技術可讓企業透過公用網路連接至其分支辦公室或其他公司,同時維護安全通訊。 網際網路間的 VPN 連線會從邏輯上運作為專用的廣域網路絡 (WAN) link。

虛擬私人網路絡使用已驗證的連結,以確保只有授權的使用者可以連線到您的網路。 為了確保資料在透過公用網路傳輸時安全,VPN 連線使用點對點隧道通訊協定 (PPTP) 或第二層隧道通訊協定 (L2TP) 以加密資料。

VPN 的元件

在執行 Windows Server 2003 的伺服器中,vpn 是由 vpn 伺服器、vpn 用戶端、vpn 連線 (該部分的連線,其中資料的加密) ,而隧道 (該部分連接中的資料會封裝) 。 隧道是透過執行 Windows Server 2003 的伺服器所包含的其中一項隧道通訊協定完成,這兩者都是隨路由和遠端存取一起安裝。 在安裝 Windows Server 2003 時,會自動安裝路由和遠端存取服務。 不過,根據預設,路由和遠端存取服務會關閉。

Windows 隨附的兩個隧道通訊協定如下:

  • 點對點隧道通訊協定 (PPTP):提供使用 Microsoft 點對點加密的資料加密。
  • 第二層隧道通訊協定 (L2TP):使用 IPSec 提供資料加密、驗證及完整性。

您的網際網路連線必須使用專線,例如 T1、分式 T1 或 Frame 轉送。 WAN adapter 必須設定為您的網域所指派的 IP 位址與子網路遮罩,或由網際網路服務提供者 (ISP) 所提供。 WAN adapter 也必須設定為 ISP 路由器的預設閘道。

注意

若要開啟 VPN,您必須使用具有系統管理許可權的帳戶登入。

如何安裝及開啟 VPN 伺服器

若要安裝及開啟 VPN 伺服器,請遵循下列步驟:

  1. 按一下 [ 開始],指向 [系統 管理工具],然後按一下 [ 路由和遠端存取]。

  2. 在主控台左窗格中,按一下與本機伺服器名稱相符的伺服器圖示。 如果圖示左下角有紅色圓圈,表示未開啟路由和遠端存取服務。 如果圖示左下角有一個向上的綠色箭號,表示已開啟路由和遠端存取服務。 如果先前已開啟路由和遠端存取服務,您可能需要重新設定伺服器。 若要重新設定伺服器:

    1. 在伺服器物件上按一下滑鼠右鍵,然後按一下 [ 停用路由和遠端存取]。 當系統提示您輸入資訊時,按一下 [是] 繼續。
    2. 以滑鼠右鍵按一下伺服器圖示,然後按一下 [ 設定並啟用路由和遠端存取 ],以啟動 [路由和遠端存取伺服器安裝精靈]。 按 [下一步] 繼續。
    3. 按一下 [ 遠端存取 (撥號或 VPN) ,開啟遠端電腦以撥入或透過網際網路連線到此網路。 按 [下一步] 繼續。
  3. 按一下以選取 [ VPN ] 或 [撥號對應],視您想要指派給此伺服器的角色而

  4. 在 [ VPN 連線] 視窗中,按一下連線到網際網路的網路介面,然後按 [下一步]

  5. 在 [ IP 位址指派 ] 視窗中,如果將使用 DHCP 伺服器指派位址給遠端用戶端,則按一下 [ 自動 ],如果遠端用戶端必須只從預先定義集區中指定位址,請按一下 [ 從指定的位址範圍 ]。 在大多數情況下,DHCP 選項的管理會比較簡單。 不過,如果無法使用 DHCP,您必須指定靜態位址範圍。 按 [下一步] 繼續。

  6. 如果您 從指定的位址範圍 按一下,[ 位址範圍指派 ] 對話方塊會隨即開啟。 按一下 [ 新增]。 在 [ 起始 ip 位址 ] 方塊中,輸入您要使用的位址範圍中的第一個 IP 位址。 在 [ 結束 ip 位址 ] 方塊中,輸入範圍的最後一個 IP 位址。 Windows 會自動計算位址的數目。 按一下 [確定 ] 回到 [ 位址範圍指派 ] 視窗。 按 [下一步] 繼續。

  7. 接受預設設定 [ 否],使用 [路由和遠端存取] 來驗證連線要求,然後按 [下一步] 繼續。 按一下 [完成] 開啟路由和遠端存取服務,並將該伺服器設定為遠端存取伺服器。

如何設定 VPN 伺服器

若要根據需要繼續設定 VPN 伺服器,請遵循下列步驟。

如何將遠端存取伺服器設定為路由器

為了讓遠端存取伺服器能夠在您的網路中正確地轉寄流量,您必須將它設定為帶有靜態路由或路由通訊協定的路由器,這樣才能從遠端存取伺服器存取內部網路中的所有位置。

若要將伺服器設定為路由器:

  1. 按一下 [ 開始],指向 [系統 管理工具],然後按一下 [ 路由和遠端存取]。
  2. 在伺服器名稱上按一下滑鼠右鍵,然後按一下 [ 屬性]。
  3. 按一下 [一般] 索引標籤,然後按一下以選取 [啟用此電腦為] 底下的 [路由器]。
  4. 按一下 [ 局域網和要求撥號路由],然後按一下 [確定 ] 關閉 [內容] 對話方塊。

如何修改同時連接數目

撥號數據機連接的數目取決於伺服器上安裝的數據機數目。 例如,如果您在伺服器上只安裝一個數據機,一次只能有一個數據機連接。

撥號 VPN 連線數目取決於您想要允許的同時使用者數目。 根據預設,當您執行本文所述的程式時,允許128連線。 若要變更同時連接數目,請遵循下列步驟:

  1. 按一下 [ 開始],指向 [系統 管理工具],然後按一下 [ 路由和遠端存取]。
  2. 連按兩下伺服器物件,以滑鼠右鍵按一下 [ ],然後按一下 [ 屬性]。
  3. 在 [埠屬性] 對話方塊中,按一下 [ WAN 微型埠 (PPTP) > 設定]。
  4. 在 [ 最大端口 ] 方塊中,輸入您要允許的 VPN 連線數目。
  5. 按一下 [確定 > ],然後關閉 [路由和遠端 傳遞]。

如何管理位址與名稱伺服器

VPN 伺服器必須有可用的 IP 位址,才能將其指派給 VPN 伺服器的虛擬介面,並在 IP 控制通訊協定 (IPCP) 協商] 階段進行連線處理時,將其指派給 VPN 用戶端。 指派給 VPN 用戶端的 IP 位址會指派給 VPN 用戶端的虛擬介面。

針對 Windows Server 2003 型 VPN 伺服器,指定給 VPN 用戶端的 IP 位址預設會透過 DHCP 取得。 您也可以設定靜態 IP 位址集區。 VPN 伺服器也必須設定名稱解析伺服器(通常是 DNS)和 WINS 伺服器位址,才能在 IPCP 協商期間指派給 VPN 用戶端。

如何管理存取

設定使用者帳戶的撥入屬性和遠端存取原則,以管理撥號網路和 VPN 連線的存取。

注意

根據預設,使用者會遭到拒絕存取撥號網路。

依使用者帳戶存取

若要以使用者為基礎管理遠端存取,若要將撥入存取權授與使用者帳戶,請遵循下列步驟:

  1. 按一下 [開始],然後指向 [系統管理工具],再按一下 [Active Directory 使用者及電腦]。
  2. 以滑鼠右鍵按一下使用者帳戶,然後按一下 [ 屬性]。
  3. 按一下 [ 撥入 ] 索引標籤。
  4. 按一下 [ 允許存取權 授與使用者撥號的許可權]。 按一下 [確定]。

群組成員資格存取

如果您以群組為基礎管理遠端存取,請遵循下列步驟:

  1. 建立群組,其中有允許建立 VPN 連線的成員。
  2. 按一下 [ 開始],指向 [系統 管理工具],然後按一下 [ 路由和遠端存取]。
  3. 在主控台樹中,展開 [ 路由和遠端存取],展開伺服器名稱,然後按一下 [ 遠端存取原則]。
  4. 以滑鼠右鍵按一下右窗格中的任何地方,指向 [ 新增],然後按一下 [ 遠端存取原則]。
  5. [下一步],輸入原則名稱,然後按 [下一步]
  6. 按一下 [用於虛擬私人存取存取方法的 VPN ],或按一下 [ 撥號 撥號以進行撥號存取],然後按 [下一步]
  7. 按一下 [ 新增],輸入您在步驟1中建立的群組名稱,然後按 [下一步]
  8. 依照螢幕上的指示完成該嚮導。

如果 VPN 伺服器已允許撥號網路遠端存取服務,請勿刪除預設原則。 請改為移動它,使它成為最後一個要評估的原則。

如何設定來自用戶端電腦的 VPN 連線

若要設定 VPN 連接,請遵循下列步驟。 若要設定用戶端以進行虛擬私人網路絡存取,請在用戶端工作站上遵循下列步驟:

注意

您必須以 Administrators 群組成員的身分登入,才能遵循下列步驟。

因為有許多 Microsoft Windows 版本,所以下列步驟在您的電腦上可能會有所不同。 如果是的話,請參閱您的產品檔,以完成這些步驟。

  1. 在用戶端電腦上,確認已正確設定網際網路的連線。

  2. 按一下 [開始 > 控制台] [ > 網路連接]。 按一下 [網路任務] 底下 的 [建立新的 連線],然後按 [下一步]

  3. 在 [我的工作場所] 中,按一下 [連線至網路],以建立撥號連線。 按 [下一步] 繼續。

  4. 按一下 [ 虛擬專用網路連接],然後按 [下一步]

  5. 在 [ 公司名稱 ] 對話方塊中,輸入此連線的描述性名稱,然後按 [下一步]

  6. 若電腦永久連線到網際網路,請按一下 [ 不要撥打初始 連線]。 若電腦透過網際網路服務提供者 (ISP) 連接至網際網路,請按一下 [ 自動撥打此初始 連線],然後按一下 ISP 的連接名稱。 按 [下一步]

  7. 輸入 VPN 伺服器電腦的 IP 位址或主機名稱 (例如,VPNServer.SampleDomain.com) 。

  8. 如果您想要允許登入工作站的任何使用者都可以存取此撥號連線,請按一下 [ 任何人使用 ]。 只有在您想要此連線僅供目前登入的使用者使用時,才按一下 [ 我使用 ]。 按 [下一步]

  9. 按一下 [完成] 以儲存連接。

  10. 按一下 [開始 > 控制台] [ > 網路連接]。

  11. 連按兩下新的連線。

  12. 按一下 [屬性],繼續設定連線的選項。 若要繼續設定連接的選項,請遵循下列步驟:

    • 如果您要連線至網域,請按一下 [選項] 索引標籤,然後按一下以選取 [包括 Windows 登入網域] 核取方塊,以指定是否要求 Windows Server 2003 登入網域資訊,然後再嘗試連線。
    • 如果您想要在斷線時重新撥號,請按一下 [ 選項 ] 索引標籤,然後按一下以選取 [斷 線重撥 ] 核取方塊。

若要使用連接,請遵循下列步驟:

  1. 按一下 [開始],指向 [連線至],然後按一下 [新增連線]。

  2. 如果您目前沒有網際網路連線,Windows 提供連線至網際網路的功能。

  3. 連接網際網路時,VPN 伺服器會提示您輸入使用者名稱和密碼。 輸入您的使用者名稱和密碼,然後按一下 [連線]。 您可以使用您的網路資源,其方式與直接連線至網路時相同。

    注意

    若要中斷與 VPN 的連線,請以滑鼠右鍵按一下連線圖示,然後按一下 [中斷連線]

疑難排解

疑難排解遠端存取 Vpn

無法建立遠端存取 VPN 連線

  • 原因:用戶端電腦的名稱與網路上另一部電腦的名稱相同。

    解決方案:確認網路上的所有電腦及連接至網路的電腦的名稱都使用唯一的電腦名稱稱。

  • 原因: VPN 伺服器上未啟動路由和遠端存取服務。

    解決方案:確認 VPN 伺服器上的路由和遠端存取服務的狀態。

    如需如何監視路由和遠端存取服務的詳細資訊,以及如何啟動和停止路由和遠端存取服務,請參閱 Windows Server 2003 說明及支援中心]。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 伺服器未開啟遠端存取。

    解決方案:在 VPN 伺服器上開啟遠端存取。

    如需如何開啟遠端存取伺服器的詳細資訊,請參閱 Windows server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因:輸入的遠端存取要求未開啟 PPTP 或 L2TP 埠。

    解決方案:針對輸入的遠端存取要求開啟 PPTP 或 L2TP 埠(或兩者)。

    如需如何設定遠端存取埠的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: vpn 用戶端使用的 LAN 通訊協定未開啟 vpn 伺服器上的遠端存取。

    解決方案:開啟 vpn 伺服器上用於遠端存取之 vpn 用戶端所使用的局域網通訊協定。

    如需如何查看遠端 access 伺服器內容的詳細資訊,請參閱 Windows server 2003 説明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 伺服器上的所有 PPTP 或 L2TP 埠目前已連接的遠端存取用戶端或要求撥號路由器皆已使用。

    解決方案:確認 VPN 伺服器上的所有 PPTP 或 L2TP 埠皆已在使用中。 若要這麼做,請按一下 [路由和遠端存取] 中的 [ ]。 如果允許的 PPTP 或 L2TP 埠數目不夠高,請變更 PPTP 或 L2TP 埠的數目,以允許更多同時進行的連接。

    如需如何新增 PPTP 或 L2TP 埠的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: vpn 伺服器不支援 vpn 用戶端的隧道通訊協定。

    根據預設,Windows server 2003 遠端存取 VPN 用戶端會使用 [自動伺服器類型] 選項,這表示它們會先嘗試使用 IPSec 型 vpn 連線建立 L2TP,然後再嘗試建立以 PPTP 為基礎的 vpn 連線。 如果 VPN 用戶端使用「點對點隧道通訊協定 (PPTP) 或 Layer-2 隧道通訊協定 (L2TP) 伺服器類型] 選項,請確認 VPN 伺服器支援所選取的隧道通訊協定。

    根據預設,一部執行 Windows Server 2003 server 和路由和遠端存取服務的電腦,是具有五個 L2TP 埠和五個 pptp 埠的 PPTP 和 L2TP 伺服器。 若要建立僅限 PPTP 的伺服器,請將 L2TP 埠的數目設定為零。 若要建立僅限 L2TP 的伺服器,請將 PPTP 埠的數目設定為零。

    解決方案:確認已設定適當數目的 PPTP 或 L2TP 埠。

    如需如何新增 PPTP 或 L2TP 埠的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 用戶端和 vpn 伺服器結合遠端存取原則,未設定為至少使用一種通用驗證方法。

    解決方案:將 vpn 用戶端和 vpn 伺服器與遠端存取原則搭配使用,以至少使用一種通用的驗證方法。

    如需如何設定驗證的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 用戶端和 vpn 伺服器結合遠端存取原則,未設定為至少使用一種通用加密方法。

    解決方案:將 vpn 用戶端和 vpn 伺服器與遠端存取原則搭配使用,以至少使用一種通用加密方法。

    如需如何設定加密的相關資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 連線沒有適當的許可權可透過使用者帳戶的撥號內容和遠端存取原則獲得適當的許可權。

    解決方案:確認 VPN 連線具有使用者帳戶的撥入屬性和遠端存取原則的適當許可權。 若要建立連線,連接嘗試的設定必須:

    • 符合至少一個遠端存取原則的所有條件。
    • 透過使用者帳戶授與「遠端存取」許可權 (設定為 允許存取) 或透過使用者帳戶 (設定為 透過遠端存取原則) 的存取權,以及相符遠端存取原則 (的遠端存取許可權設定為 授與遠端存取許可權) 。
    • 符合設定檔的所有設定。
    • 與使用者帳戶的撥入屬性的所有設定相符。

    如需遠端存取原則簡介及如何接受連線的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因:遠端存取原則設定檔的設定與 VPN 伺服器的屬性衝突。

    遠端存取原則設定檔的屬性與 VPN 伺服器的屬性皆包含下列專案的設定:

    • 連結.
    • 頻寬配置通訊協定 (BAP) 。
    • 驗證通訊協定。

    如果比對的遠端存取原則的設定檔設定與 VPN 伺服器的設定衝突,則會拒絕連線嘗試。 例如,如果比對的遠端存取原則設定檔指定可擴展驗證通訊協定(Transport Level Security (EAP-TLS) 驗證通訊協定)必須使用,且未在 VPN 伺服器上啟用 EAP,則會拒絕連接嘗試。

    解決方案:確認遠端存取原則設定檔的設定與 VPN 伺服器的屬性不衝突。

    如需多重連結、BAP 和驗證通訊協定的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因:應答路由器無法驗證呼叫路由器的認證 (使用者名稱、密碼和功能變數名稱) 。

    解決 方法:確認 vpn 用戶端的認證 (使用者名稱、密碼和功能變數名稱) 是否正確,且可由 VPN 伺服器驗證。

  • 原因:靜態 IP 位址集區中沒有足夠的位址。

    解決方案:若 VPN 伺服器設定為使用靜態 IP 位址集區,請確認集區中有足夠的位址。 如果靜態集區中的所有位址都已分配給連線的 VPN 用戶端,則 VPN 伺服器無法分配 IP 位址,而且會拒絕連線嘗試。 如果已指派靜態集區中的所有位址,請修改集區。

    如需 TCP/IP 和遠端存取以及如何建立靜態 IP 位址集區的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: vpn 用戶端已設定為要求其自己的 ipx 節點號碼,但 vpn 伺服器未設定為允許 IPX 用戶端要求其自己的 ipx 節點號碼。

    解決方案:將 VPN 伺服器設定為允許 IPX 用戶端要求自己的 ipx 節點號碼。

    如需 IPX 和遠端存取的相關資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 伺服器設定為您 ipx 網路上其他地方使用的 ipx 網路編號範圍。

    解決方案:將 VPN 伺服器設定為您 ipx 網路獨有的 ipx 網路編號範圍。

    如需 IPX 和遠端存取的相關資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 伺服器的驗證提供者設定不正確。

    解決方案:確認驗證提供者的設定。 您可以將 vpn 伺服器設定為使用 Windows server 2003 或 Remote Authentication Dial-In User Service (RADIUS) 以驗證 VPN 用戶端的認證。

    如需驗證和計帳提供者的詳細資訊,請參閱 Windows Server 2003 說明與支援中心,以及如何使用 RADIUS 驗證。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 伺服器無法存取 Active Directory。

    解決方案:針對是設定為 Windows 伺服器2003驗證的混合模式或原生模式 Windows 伺服器2003網域中的成員伺服器的 VPN 伺服器,請確認:

    • 存在 RAS 和 資訊存取伺服器 安全性群組。 如果不是,請建立群組,並將群組類型設定為 [安全性],並將群組範圍設定為 [本機網域]。

    • [ Ras 和 Ias 伺服器 ] 安全性群組具有 RAS 和 Ias 伺服器存取權檢查 物件的「讀取」許可權。

    • VPN 伺服器電腦的電腦帳戶是 RAS 和 資訊存取伺服器 安全性群組的成員。 您可以使用 netsh ras show registeredserver 命令來查看目前的註冊。 您可以使用 netsh ras add registeredserver 命令,在指定的網域中註冊伺服器。

      如果您新增 (或移除) VPN 伺服器電腦到 RAS 和 資訊存取伺服器安全性群組,則變更不會立即生效 (因為 Windows server 2003 快取 Active Directory 資訊) 的方式。 若要立即影響此變更,請重新開機 VPN 伺服器電腦。

    • VPN 伺服器是網域的成員。

    如需如何新增群組、如何驗證 RAS 和 IAS 安全性群組的許可權,以及 netsh 遠端存取命令的相關資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: Windows NT 4.0 型 VPN 伺服器無法驗證連線要求。

    解決方案:如果 vpn 用戶端撥入執行 Windows NT 4.0 的 vpn 伺服器,而該伺服器是 Windows server 2003 混合模式網域的成員,請使用下列命令,確認 [Everyone] 群組新增至 Pre-Windows 2000 相容的 Access 群組:

    "net localgroup "Pre-Windows 2000 Compatible Access""
    

    如果不是,請在網域控制站電腦上的命令提示字元處輸入下列命令,然後重新開機網域控制站電腦:

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    

    如需 Windows 伺服器2003網域中 Windows NT 4.0 遠端存取伺服器的詳細資訊,請參閱 Windows server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因: VPN 伺服器無法與所設定的 RADIUS 伺服器進行通訊。

    解決方案:如果您只能透過網際網路介面到達 RADIUS 伺服器,請執行下列其中一項操作:

    • 將輸入篩選和輸出篩選器新增至網際網路埠 1812 (的網際網路介面,請根據 RFC 2138 "Remote Authentication Dial-In User Service (RADIUS) " ) 。 -或-
    • 將輸入篩選和輸出篩選器新增至網際網路介面(適用于舊版 RADIUS 伺服器的網際網路埠 1645 ()) ,針對 RADIUS 驗證,以及根據 RFC 2139 "RADIUS 記帳" ) (的 udp 埠1813。 -或-
    • -或-將輸入篩選和輸出篩選器新增至網際網路埠 (1646 的網際網路介面,以供舊的 RADIUS 伺服器) 用於 RADIUS 記帳。

    如需如何新增封包篩選器的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因:無法使用 Ping.exe 公用程式透過網際網路連線至 VPN 伺服器。

    解決方案:由於在 VPN 伺服器的網際網路介面上設定的 PPTP 和 L2TP over IPSec 封包篩選,因此會篩選出 ping 命令所使用的網際網路控制郵件通訊協定 (ICMP) 的封包。若要開啟 VPN 伺服器以回應 ICMP (ping) 封包,請新增輸入篩選器和輸出篩選器,允許 IP 通訊協定 1 (ICMP 流量) 的流量。

    如需如何新增封包篩選器的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

無法傳送和接收資料

  • 原因:未將適當的要求撥號介面新增至所路由的通訊協定。

    解決方案:將適當的要求撥號介面新增至所路由的通訊協定。

    如需如何新增路由介面的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因:路由器對路由器 VPN 連線的兩端都沒有支援雙向流量交換的路由。

    解決方案:與遠端存取 vpn 連線不同的是,路由器對路由器 vpn 連線不會自動建立預設路由。 在路由器對路由器 VPN 連線的兩側建立路由,使流量可以路由傳送至路由器對路由器 VPN 連線的另一端。

    您可以手動將靜態路由新增至路由表,也可以透過路由通訊協定新增靜態路由。 針對持續性的 VPN 連線,您可以開啟 [開放式最短路徑優先 (OSPF) 或路由資訊通訊協定 (RIP) 跨越 VPN 連線。 若為隨選 VPN 連線,您可以透過自動幕後 RIP 更新自動更新路由。 如需有關如何新增 IP 路由通訊協定、如何新增靜態路由,以及如何執行自動靜態更新的詳細資訊,請參閱 Windows Server 2003 線上說明。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因:以雙向方式初始化的回應路由器為遠端存取連線,會解讀路由器對路由器 VPN 連線。

    解決方案:如果呼叫路由器的認證中的使用者名稱出現在 [路由和遠端存取] 的 [ Dial-In 用戶端 ] 底下,則應答路由器可能會將呼叫路由器轉譯為遠端存取用戶端。 確認呼叫路由器的認證中的使用者名稱符合應答路由器上的要求撥號介面的名稱。 如果傳入的來電者是路由器,接收通話的埠會顯示狀態為 [作用中] ,對應 的要求撥號介面是處於 連線 狀態。

    如需如何檢查應答路由器上之埠狀態的詳細資訊,以及如何檢查要求撥號介面的狀態,請參閱 Windows Server 2003 線上說明。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因:呼叫路由器和應答路由器的要求撥號介面上的封包篩選器阻礙流量流動。

    解決方案:確認呼叫路由器和應答路由器的要求撥號介面上沒有任何可防止傳送或接收流量的封包篩選器。 您可以使用 IP 及 IPX 輸入及輸出篩選器,設定每個要求撥號介面,以控制允許進出要求撥號介面的 TCP/IP 和 IPX 流量的確切性質。

    如需如何管理資料包篩選器的詳細資訊,請參閱 Windows Server 2003 線上說明。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。

  • 原因:遠端存取原則設定檔上的封包篩選器正防止 IP 流量的流動。

    解決方案:確認在使用 Internet 驗證服務時,VPN 伺服器上遠端存取原則的配置檔案屬性上沒有設定 TCP/IP 的封包篩選器 (或 RADIUS 伺服器上,TCP/IP 流量的傳送或接收) 。 您可以使用遠端存取原則,設定 TCP/IP 輸入和輸出封包篩選器,以控制 VPN 連線所允許 TCP/IP 流量的確切性質。 確認設定檔 TCP/IP 的封包篩選器無法防止流量流動。

    如需如何設定 IP 選項的詳細資訊,請參閱 Windows Server 2003 線上說明。 按一下 [開始],存取 Windows Server 2003 說明及支援中心。