VPN是過去幾年里推出網絡技術中最令人影像深刻的一個。在外的員工不必為直接進入公司網絡而支付大量的電話費了。取而代之的是他們可以用已有的網絡鏈接并且連接是免費的。雖然這項技術非常偉大，但它卻沒有以它應有的方式工作，所以我們需要為它進行一些小的修復。

考慮到VPN結構的復雜性，我們無法在這篇文章中給出全面的VPN修復指導。我將討論一些常見的遠程用戶在建立VPN連接時遇到麻煩的原因。

當用戶在建立連接時遇到麻煩(特別是建立新VPN連接)，我們很容易想到可能是VPN的設置有誤。但是在你檢查設置之前，最好看一下遇到問題的用戶的帳戶說明。有一些用戶可能引起VPN連接失敗。

比如，帳戶可能被鎖死或禁用。同樣，如果你的用戶被設置為在特定時間允許登陸，那這個遠程用戶可能是在允許時間之外進行VPN連接。

還有一種情況就是此用戶從沒獲得遠程登陸的權限。如果你檢查Active Directory Users和Computers console用戶工具欄，你可以發現一個‘dial-in’標記，它可以讓你給予或拒絕一個用戶的遠程登陸權。雖然它的名字是‘dial-in’，其實它也影響VPN的連接。

如果所有這些用戶權限都核對完了，那么還有你要檢查的就是VPN服務器的Routing and Remote Access服務是否開啟。有時服務器會因為不明原因把這些服務關閉，所以確定它們開啟是有必要的。

這樣還有的導致用戶連接問題的可能就是PPTP或是L2TP端口沒有設置成可接受內地遠程登陸請求。檢查這兩個端口是如何設置的，打開Routing and Remote Access控制臺并且通過控制臺目錄進入你的服務器。然后，右鍵單擊端口窗口在下拉菜單中選擇工具命令。這樣你就打開了Windows端口工具欄。在端口列表中選取設備并且點擊設置鍵。你就可以看到設備設置對話框。確定遠程接入連接(只限內地)和Demand Dial Routing Connections(海內外)已經被選擇。

當你看到設備設置對話框時，注意端口的最大安裝。VPN連接失敗的一個常見原因是已分配端口無空閑。你可以通過Routing and Remote Access控制臺查出有多少個端口現在正在使用以及它們的詳細使用情況。

最后我要說的問題是運行IAS的服務器可能正在使用一個無效的認證。當IAS用EAP-TLS認證方法時，TLS使用的是認證書在緩存中的附件而不是每次都從認證庫中讀取。通常，這樣作不會有問題。但是如果你用一個新的認證作替換，TLS會繼續使用已作廢的認證直到緩存條目終止。但是你可以通過重新啟動服務器來更新緩存。

如你所見，這里一些小問題都可能導致Windows VPN拒絕用戶登陸。希望本文能夠幫助你解決它們。