机器无法启动路由与远程访问.txt

奥斯丁分请一定要上载质量高而且本站没有的源码

为什么有的机器无法启动"路由与远程访问"服务?

答: 这可能与你启动了"Internet连接共享"(Internet Connection Sharing)
服务有关,你可以用net stop sharedaccess来停止"Internet连接共享"服务,
然后启动"路由与远程访问"服务.


问题二: 为什么启动"路由和远程访问"服务后在网络邻居"属性"看不到"传入
的连接"呢?或者出现这样的情形,"路由和远程访问"服务已经启动,但是在网
络邻居"属性"看不到"传入的连接".

答: 这是可能是你曾经配置过"网络路由器"的原因,由两种方法可以改正之:
方法一: 通过rrasmgmt.msc
1.启动"远程注册表服务"(net start remoteregistry),停止"路由和远程访
问"服务(net stop remoteaccess);

2.运行rrasmgmt.msc,如果右键出现的是"禁止路由和远程访问",那么你先"禁
止路由和远程访问",然后关闭rrasmgmt.msc.否则直接进入第三步;

3.运行rrasmgmt.msc,然后选择"配置并启用路由和远程访问",然后按下一步,
选择"手动配置服务器",按一下步,然后选择"完成"结束安装;

4.这时候你打开网络邻居会看到"传入的连接"又出现了;

5.此时你运行rrasmgmt.msc,可以再次右键选择"禁用路由和远程访问",然后
关闭rrasmgmt.msc.因为"手动配置服务器"打开了太多的服务.

7.然后你可以启动"路由和远程访问"服务,网络邻居属性里那个"传入的连接"
又出现了.

方法二:运行regedit,打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\
Parameters把右窗口的DWORD值"RouterType"从2改成7(实际上只要不是2,其
他任意整数均可).


问题三: 能不能通过命令行方式配置VPN服务器?

答:可以通过netsh.exe来实现:
netsh ras set user administrator permit #允许administrator拨入该VPN
netsh ras set user administrator deny #禁止administrator拨入该VPN
netsh ras show user #查看哪些用户可以拨入VPN
netsh ras ip show config #查看VPN分配IP的方式
netsh ras ip set addrassign method = pool #使用地址池的方式分配IP
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254 #地址池
的范围是从192.168.3.1到192.168.3.254


问题四: 一般情况下只有通过rrasmgmt.msc才能对VPN客户端连接数(默认情
况下PPTP和L2TP各5个,直接并行端口1个),与连接方式(PPTP或是L2tp)进行修
改.上文中将rrasmgmt.msc禁用了,是否有其他办法修改端口呢?

答: 有的,方法如下:
1.运行regedit,打开
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972--E325-
11CE-BFC1-08002BE10318}\0000,0001,0002...
找到右窗口"DriverDesc"为"WAN 微型端口 (PPTP)"和"WAN 微型端口 (L2TP)"
的目录

2.察看右窗口是否有DWORD值"WanEndpoints",如果有,则对之进行修改，
如果没有,则新建一DWORD值"WanEndpoints",其大小为你要设定的连接数

3.重新启动机器.

经过研究,发现对于Win2k Srv或Win2k AdvSrv来说,通过注册表可以修改服务
器接受的连接数,对于Win2k Pro来说,最多只能接受一个Client的连接,但是
修改可以使之不接受Client的连接.


问题五: 开了VPN服务后,有时日志里会有这么一项:
事件类型: 警告
事件来源: RemoteAccess
事件种类: 无
事件 ID: 20192
日期:  2002-8-2
事件:  8:55:12
用户:  N/A
计算机: COMPUTER
描述:
找不到证书。使用在IPSec上的L2TP协议的连接要求安装机器证书,这也叫做计
算机证书.将不会接受L2TP呼叫.

这是怎么回事,怎么才能解决这个问题呢?

答:这是因为Windows为L2TP连接的VPN自动创建一个IPsec策略,这个IPsec策略
使用本地机器上的证书来进行双方的认证.如果本地机器没有合适的证书,那么
就会出现上面的问题.有两种办法可以解决之:
方法一:取消L2TP VPN自动创建的IPsec策略
运行regedit.exe,打开
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一DWORD值ProhibitIPsec,并将值设置为1

方法二,取消L2TP方式的VPN
运行regedit.exe,打开
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972--E325-
11CE-BFC1-08002BE10318}\0000,0001,0002...
找到右窗口"DriverDesc"为"WAN 微型端口 (L2TP)"
把DWORD值"WanEndpoints"改为0即可


问题六: 怎么做一个认证方式为预共享密钥的L2TP/IPsec方式的VPN?

答:可以参照如下步骤
步骤一:.首先,打开L2TP端口
一般情况下用Win2k Server通过常规方式搭建的VPN服务器对客户端连接情
况是PPTP和L2TP各5个,直接并行端口1个.可通过如下方式修改支持的使用
L2TP的VPN客户端的个数.

运行regedit,打开
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Class\{4D36E972--E325-
11CE-BFC1-08002BE10318}\0000,0001,0002...

找到右窗口"DriverDesc"为"WAN 微型端口 (L2TP)"的目录.
察看右窗口是否有DWORD值"WanEndpoints",如果有,则对之进行修改，
如果没有,则新建一DWORD值"WanEndpoints",其大小为你要设定的连接数

2.取消L2TP VPN自动创建的使用证书方式认证IPsec策略
运行regedit.exe,打开
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一DWORD值ProhibitIPsec,并将值设置为1

3.设置IPsec策略保护L2TP通讯,保护内容为本机1701端口到其他任何机器1701端口
的所有UDP通讯.如果安装了Win2000 Resource Kit,使用如下命令:
ipsecpol -w reg -p VPN -r VPN -a preshare:"vpn"
-x -n ESP[3DES,SHA]3600S/100000KP ESP[3DES,MD5]3600S/100000KP ESP[DES,
SHA]3600S/100000KP ESP[DES,MD5]3600S/100000KP
-f 0:1071+*:1071:udp


问题七: PPTP方式和L2TP方式的VPN有何异同?

答:与其协议和工作方式有关

使用PPTP方式的VPN连接时,VPN服务器端保持着1723端口与客户端一任意
端口的TCP连接,TCP端口1723上跑的是PPTP Control Message,包括了
PPTP隧道创建,维护和终止之类的日常管理工作(建立/断开VPN连接的
请求等).客户端通过TCP与服务器1723端口建立连接后,进入基于GRE
(通用路由协议--IP协议编号为47,TCP的IP协议编号为6)的PPP协商,
包括了用户验证,数据传输等所有通讯.断开VPN连接时又用到了基于
1723端口的PPTP Control Message.

也就是说,PPTP方式的VPN连接,VPN客户端的建立/断开连接请求都是通
过和服务器的TCP 1723端口用PPTP协议联系的,至于具体的用户验证,
数据传输等都是通过PPP协议来通讯的,而PPP协议又是跑在GRE(和TCP,
UDP协议平行的协议,GRE的IP协议编号为47)之上的.

PPTP方式的VPN有以下几个特点,
1.VPN客户端可以使用私有地址通过NAT服务器来连接具有合法地址VPN服务器;
2.VPN连接时只有一层验证--就是用户身份验证

使用L2TP方式VPN连接时,VPN服务器保持着1701端口与客户端1701端口的
UDP"连接".由于Microsoft不鼓励将L2TP直接暴露在网络中,因此自动为L2TP
连接创建一个使用证书方式认证IPsec策略(当然可以通过修改注册表使证书
认证变成与共享密钥认证)

因此L2TP通讯就被裹在IPsec策略创建的Ipsec隧道内,用ipsecmon可以看清楚
实际上还是1701<-->1701的UDP通讯

VPN开始通讯时,需要双方交换密钥,这是通过UPD 500端口的ISAKMP来实现的.
从此以后所有的VPN通讯,包括建立/断开连接请求,用户验证,数据传输都是通过
ESP(与TCP,UDP协议平行的协议,ESP的IP编号为50)之上传输的.

L2TP/IPsec方式的VPN有以下几个特点:
1.VPN客户端无法使用私有地址来连接具有合法地址的VPN服务器(2002年末经过
Microsoft公司的努力(Microsoft Knowledge Base Article - 818043),使用
了NAT-T技术,可以让L2TP/IPsec方式的VPN可以穿越内网)
2.VPN连接需要两层验证:密钥验证和用户身份验证(其中密钥是Ipsec层面的认证)