OS X Server:如何从 Windows 连接到 VPN 服务
了解如何从 Windows 连接到 VPN 服务。
您可能无法连接到 OS X Server 上运行的 VPN 服务器。此问题可能与默认情况下 Windows 处理 IPSec NAT 遍历的方式有关。本文将介绍如何更改此行为,以允许 VPN 连接到 OS X Server VPN。
本文中的步骤包括使用注册表编辑器 (Regedit) 对 Windows 注册表进行更改。即使您在编辑注册表方面很在行,也应该在编辑之前备份注册表。在 Regedit 中出错可导致 Windows 出现问题,甚至会令 Windows 无法启动。在恢复注册表项之前,这些更改可能致使安装了这些项的软件无法正常工作。请参阅以下相应文章,了解有关如何备份 Windows 注册表的步骤。
更改 Windows IPSec NAT 遍历行为
打开“注册表编辑器”:
XP:从开始菜单中选取运行。在随后出现的对话框中,键入“regedit”(不含引号),然后点按“确定”。
Vista:从开始菜单的“开始搜索”对话框中,键入“regedit”(不含引号),然后按下 Enter 键。
Windows 7:从开始菜单的“搜索程序和文件”对话框中,键入“regedit”(不含引号),然后按下 Enter 键。
如果 Windows 需要您的许可才能继续,请点按“继续”。
点按 HKEY_LOCAL_MACHINE 旁边的加号 (XP) 或箭头(Vista 和 Windows 7)以展开其内容。
展开 SYSTEM 的内容。
展开 CurrentControlSet 的内容。
展开 services 的内容。
点按以选择(只需高亮显示此文件夹)名为“PolicyAgent”的文件夹。
从文件菜单中,选取导出。
在出现的对话框中,确保已启用“所选分支”选项。然后,将文件存储到日后可以找到的位置(如桌面);此文件是该 Windows 注册表项的备份。您应保留此文件,以备日后重新导入原始设置之需。
确保“PolicyAgent”仍处于选中状态,从编辑菜单中,选取新建并选择“DWORD (32-位)值”。
将此值的名称编辑成:“
AssumeUDPEncapsulationContextOnSendRule”(没有引号),然后按 Return。
连按“AssumeUDPEncapsulationContextOnSendRule”,然后将“数值数据”设定为 2。
点按“确定”。
关闭“注册表编辑器”。
更改本地安全策略
打开“本地安全策略”:
XP:从开始菜单中选取运行。在随后出现的对话框中,键入“secpol.msc”(不含引号),然后点按“确定”。
Vista:从开始菜单的“开始搜索”对话框中,键入“secpol.msc”(不含引号),然后按下 Enter 键。
Windows 7:从开始菜单的“搜索程序和文件”对话框中,键入“secpol.msc”(不含引号),然后按下 Enter 键。
点按“本地策略”旁边的加号 (XP) 或箭头(Vista 和 Windows 7)以展开其内容。
点按以选中(只需高亮显示此文件夹)名为“安全选项”文件夹。
在“本地安全策略”右侧,找到并连按“网络安全:LAN 管理器身份验证级别”。
在下拉式列表中,选择“发送 LM 和 NTLM - 如果已协商,使用 NTLMv2 会话安全”。
点按“确定”。
在“本地安全策略”右侧,找到并连按“网络安全:基于 NTLM SSP(包括安全 RPC)客户端的最小会话安全”。
取消选中“要求 128 位加密”。
点按“确定”。
关闭“本地安全策略”。
重新启动电脑。
您现在应能够在 Windows 上创建 VPN 连接,并将其连接到 OS X Server VPN。
了解详情
有关 VPN 服务所使用的端口列表,请参阅文章:
如果您使用的是 OS X Server 端上的 AirPort 设备,请参阅文章:
AirPort:无法通过 AirPort 实用工具将 NAT 端口映射到专用地址上的 L2TP VPN 服务器
有关 Windows 中 IPsec NAT 遍历的默认行为的更多信息,请参阅文章:
在 Windows XP Service Pack 2 中更改 IPsec NAT 遍历 (NAT-T) 的默认行为
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。