# Windows Server 2025 RRAS + L2TP/IPsec + AD 域认证 部署指南

好的 👍 我来帮你整理一份 **Windows Server 2025 上 RRAS + L2TP/IPsec + AD 域认证的完整部署步骤**。  
这个方案是微软官方推荐的比 PPTP 更安全的 VPN 方式，并且可以直接用 **AD 域用户账号密码**进行认证。

---

# 🔧 Windows Server 2025 RRAS + L2TP/IPsec + AD 域认证 部署指南

## 1️⃣ 前置条件

1. 已经有 **AD 域控制器**（例如 `ad.example.com`）。
2. VPN 服务器（Windows Server 2025，建议已加入 AD 域）。
3. 一张公网 IP（供外网用户访问 VPN）。
4. 一个合格的 **服务器证书**（VPN 服务器需要证书，推荐用企业内部 CA 或公网 CA）。

---

## 2️⃣ 安装角色和功能

在 VPN 服务器上执行：

1. 打开 **Server Manager** → `Add Roles and Features`。
2. 选择：
    
    
    - **Remote Access** 角色
    - 勾选 **DirectAccess and VPN (RAS)**
    - 自动勾选 **Routing**
3. 安装完成后，不要关闭向导，选择 **Open the Getting Started Wizard**。

---

## 3️⃣ 配置 RRAS（启用 VPN）

1. 打开 **Server Manager → Tools → Routing and Remote Access**。
2. 右键服务器名 → `Configure and Enable Routing and Remote Access`。
3. 选择 **Custom configuration** → 勾选 **VPN access**。
4. 完成后启动 RRAS 服务。

---

## 4️⃣ 配置 L2TP/IPsec

1. 在 RRAS 管理器中，右键服务器 → 属性：
    
    
    - **Security** 标签页 → 选中 **Allow custom IPsec policy for L2TP connections**。
    - 输入一个 **预共享密钥（Pre-Shared Key，PSK）**，例如：`MySecureKey@2025`。
2. （推荐做法）如果你有证书：
    
    
    - 在 **RRAS → Properties → Security → SSL Certificate Binding** 里选择服务器证书（而不是 PSK）。

---

## 5️⃣ 配置 NPS（与 AD 集成）

1. 打开 **Server Manager → Tools → Network Policy Server (NPS)**。
2. 在左侧导航栏选择 **RADIUS Clients and Servers → RADIUS Clients** → 新建：
    
    
    - Name: `RRAS-VPN`
    - Address: `127.0.0.1` 或 VPN 服务器 IP
    - Shared secret: 随便设置（RRAS 会用到）。
3. 在 **Policies → Network Policies** 新建策略：
    
    
    - 名称：`VPN Access`
    - 条件：`Windows Groups` → 添加一个 AD 用户组（比如 `VPN_Users`）。
    - 权限：**Access Granted**。
    - 认证方式：启用 **MS-CHAPv2**（默认即可）。

---

## 6️⃣ 在 RRAS 中绑定 NPS

1. 在 **RRAS 管理器**，右键服务器 → 属性。
2. **Security → Authentication provider**，选择 **RADIUS Authentication**。
3. 添加本机的 NPS 服务器：
    
    
    - Address：`127.0.0.1`
    - Shared secret：和上一步设置的一致。

---

## 7️⃣ 配置防火墙

在 VPN 服务器上放行以下端口：

- UDP 500（IKE）
- UDP 4500（NAT-T）
- UDP 1701（L2TP）
- TCP 443（如果未来考虑 SSTP）

同时确保公网 IP 已正确映射到该服务器。

---

## 8️⃣ 客户端连接（Windows 10/11）

1. 打开 **设置 → 网络和 Internet → VPN → 添加 VPN**。
2. 填写：
    
    
    - VPN 提供程序：Windows (内置)
    - 连接名称：随意（如 `CompanyVPN`）
    - 服务器名称/IP：公网 IP 或 FQDN（如 `vpn.example.com`）
    - VPN 类型：L2TP/IPsec with pre-shared key
    - 预共享密钥：输入服务器上配置的 PSK（如 `MySecureKey@2025`）
    - 登录方式：用户名和密码（AD 域账号，如 `user1` / `Password`）
3. 保存后点击连接。

---

## 9️⃣ 验证

在客户端输入 AD 域用户的账号/密码，成功连上 VPN 后，可以 `ping 内网服务器` 或访问共享资源来确认连通性。

---

# 📌 总结

- **安全性**：比 PPTP 高很多，支持加密和 AD 域账号统一认证。
- **运维便利**：账号密码直接走域控，不需要单独维护 VPN 用户。
- **扩展**：后续可以升级到 **Always On VPN (AOVPN)**，体验更接近内网域机。

---

要不要我帮你再整理一份 **Always On VPN（AOVPN）+ AD 域认证** 的部署方案？这个是微软最新一代 VPN，比 L2TP 更安全、更现代化。