分配给虚拟专用网 (VPN) 项目的安全设置必须与此项目对应的 VPN 服务器上的设置匹配。该设置由 VPN 服务器的配置决定。您可以指定是否需要加密、使用的身份验证协议、要尝试的 VPN 协议以及顺序。
| 设置 | 描述 |
|---|
VPN 战略 |
指定要尝试的 VPN 协议以及顺序。可以通过单独尝试或先尝试所选协议的方式选择点对点隧道协议 (PPTP)、第二层隧道协议 (L2TP)、安全套接字隧道协议 (SSTP) 或 Internet 密钥交换版本 2 (IKEv2)。如果指定单个协议但远程服务器不支持该协议,则连接会失败。
如果选择某个“先试”选项,则会按照下列顺序尝试协议:
- PPTP:PPTP、IKEv2、SSTP,然后 L2TP
- L2TP:L2TP、IKEv2、PPTP,然后 SSTP
- SSTP:SSTP、IKEv2、PPTP,然后 L2TP
- IKEv2:IKEv2、PPTP、SSTP,然后 L2TP
 | 注意 | | - 在 Windows 7 之前的操作系统上不支持 IKEv2。如果选择“仅使用 IKEv2”,且在运行早期版本 Windows 的计算机上运行配置文件,则会改用以下 VPN 策略之一:
- 对于运行带 Service Pack 1 (SP1) 的 Windows Vista 或更高版本的客户端,将使用“先试 SSTP”。
- 对于运行未安装 Service Pack 的 Windows Vista 的客户端,将使用“先试 PPTP”。
|
|
高级 |
仅当选择包含 IKEv2 或 L2TP 的 VPN 策略时,此选项才可用。
- 如果选择了包含 IKEv2 的一个选项,则即使 IP 地址发生改变或者计算机通过其连接到 Internet 的网络适配器发生改变,也可以启用允许 VPN 连接持续一段时间的移动功能。单击“高级”。在“高级设置”对话框中,选择 IKEv2 选项卡。选择“移动性”,然后选择在终止 VPN 之前允许 VPN 持续的时间量。如果在经过此时间量之前,客户端无法重新建立与 VPN 服务器之间的连接,则会终止该连接。默认情况下将启用“移动性”。
- 如果选择包含 L2TP 的一个选项,则可以将预共享密钥包含在连接配置文件中。单击“高级”,然后在“高级设置”对话框中,选择 L2TP 选项卡,然后单击“使用预共享密钥”。仅在无法将计算机证书用作身份验证方法时,才使用此选项。有关包含预共享密钥的详细信息,请参阅配置预共享密钥。
|
数据加密 |
指定用于发送至远程 VPN 服务器以及从远程 VPN 服务器发送的数据流的加密类型。选项包括:
- “无加密”。数据以明文方式发送。如果 VPN 服务器要求数据加密,则连接会失败。
| 注意 | | 因为 IKEv2 需要加密,所以此选项不能用于 IKEv2。如果选择此选项并尝试使用 IKEv2,则该连接将失败。 |
- “可选加密”。仅当 VPN 服务器请求时才会对数据进行加密。
- “需要加密”。对数据进行加密。如果 VPN 服务器不支持加密数据,则连接会失败。
- “最大强度加密”。通过使用两台计算机都支持的最强加密对数据进行加密。
所选的内容必须与远程服务器的加密要求一致,否则连接会失败。
|
使用可扩展的身份验证协议 |
指定登录身份验证使用可扩展的身份验证协议 (EAP),可选择使用智能卡或其他证书。如果选择此设置,则必须通过单击“属性”配置 EAP 或证书选项。有关“受保护的 EAP 属性”页或“智能卡或其他证书属性”页的详细信息,请在查看这些页期间按 F1。 |
身份验证方法 |
指定将身份验证信息传输到服务器的其他方式。这些为较旧的身份验证协议,仅在 VPN 服务器要求时才可以使用。
 | 安全 注意 | | 建议避免使用密码身份验证协议 (PAP),因为它会以纯文本在网络上传输用户名和密码。 |
|
有关配置 VPN 项目的详细信息,请参阅 Microsoft 网站上的合并 VPN 项 (https://go.microsoft.com/fwlink/?linkid=80953)(可能为英文网页)。
其他参考