2003网络策略服务器（策略管理服务器）

本篇文章给大家谈谈2003网络策略服务器，以及策略管理服务器对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

• 1、如何在 Windows Server 2003 中安装和配置虚拟专用网络服务器
• 2、如何关掉服务器2003 域策略
• 3、如何在2003服务器做ip策略禁止某个固定的ip访问？
• 4、WIN2003服务器怎么禁PING

如何在 Windows Server 2003 中安装和配置虚拟专用网络服务器

如何安装和启用 VPN 服务器

若要安装和启用 VPN 服务器，请按照下列步骤操作：

单击开始，指向管理工具，然后单击“路由和远程访问”。

在控制台左窗格中单击与本地服务器名称匹配的服务器图标。如果该图标左下角有一个红圈，则说明尚未启用“路由和远程访问”服务。如果该图标左下角有一个指向上方的绿色箭头，则说明已启用“路由和远程访问”服务。如果先前已启用“路由和远程访问”服务，您可能要重新配置服务器。若要重新配置服务器，请按照下列步骤操作：

右击服务器对象，然后单击“禁用路由和远程访问”。单击是以继续。

右击服务器图标，然后单击“配置并启用路由和远程访问”以启动“路由和远程访问服务器安装向导”。单击下一步继续。

单击“远程访问（拨号或 VPN）”以启用远程计算机拨入或通过 Internet 连接到本网络。单击下一步继续。

根据您打算分配给该服务器的角色，单击以选择 VPN 或拨号。

在“VPN 连接”窗口中，单击连接到 Internet 的网络接口，然后单击下一步。

如果要使用 DHCP 服务器给远程客户端分配地址，请在 IP 地址分配窗口中单击自动，或者，如果仅应从预定义池给远程客户端分配地址，请单击“来自一个指定的地址范围”。多数情况下，DHCP 选项的管理更简单。不过，如果没有 DHCP，就必须指定一个静态地址范围。单击下一步继续。

如果您单击“来自一个指定的地址范围”，就打开了地址范围分配对话框。单击新建。在“起始 IP 地址”框中键入希望使用的地址范围内的第一个 IP 地址。在“结束 IP 地址”框中键入该范围内的最后一个 IP 地址。Windows 将自动计算地址的数目。单击确定以返回到地址范围分配窗口。单击下一步继续。

接受“否，使用路由和远程访问对连接请求进行身份验证”的默认设置，然后单击下一步继续。单击完成以启用路由和远程访问服务并将该服务器配置为远程访问服务器。

如何配置 VPN 服务器

若要继续根据需要配置 VPN 服务器，请按照下列步骤操作。

如何将远程访问服务器配置为路由器

为让远程访问服务器能在您的网络中正确地转发通信量，必须用静态路由或路由协议将其配置为一个路由器，这样远程访问服务器才能访问到内部网中的所有位置。

若要将服务器配置为路由器，请按照下列步骤操作：

单击开始，指向管理工具，然后单击“路由和远程访问”。

右击服务器名称，然后单击属性。

单击常规选项卡，然后单击选择“启用此计算机作为”下的路由器。

单击“局域网和请求拨号路由选择”，然后单击确定以关闭属性对话框。

如何修改同时连接的数目

调制解调器拨号连接的数目取决于安装在服务器上的调制解调器的数目。例如，如果在服务器上只安装了一个调制解调器，则一次只能有一个调制解调器连接。

拨号 VPN 连接的数目取决于您允许同时访问的用户的数目。默认情况下，如果您运行的是本文描述的步骤，则允许 128 个连接。若要更改同时连接的数目，请按照下列步骤操作：

单击开始，指向管理工具，然后单击“路由和远程访问”。

双击服务器对象，右击端口，然后单击属性。

在端口属性对话框中，单击 WAN 微型端口 (PPTP)，然后单击配置。

在最多端口数框中，键入要允许的 VPN 连接的数目。

单击确定，再次单击确定，然后关闭“路由和远程访问”。

如何管理地址和名称服务器

VPN 服务器必须有可用的 IP 地址，以便在连接进程的 IP 控制协议 (IPCP) 协商阶段将它们分配给 VPN 服务器的虚拟接口和 VPN 客户端。分配给 VPN 客户端的 IP 地址实际分配给了 VPN 客户端的虚拟接口。

对于基于 Windows Server 2003 的 VPN 服务器，默认情况下，分配给 VPN 客户端的 IP 地址是通过 DHCP 获得的。您也可以配置静态 IP 地址池。VPN 服务器还必须配置名称解析服务器（通常是 DNS 和 WINS 服务器）地址，以在 IPCP 协商期间分配给 VPN 客户端。

如何管理访问

在用户帐户上配置拨入属性并配置远程访问策略，以管理对拨号网络和 VPN 连接的访问。

注意：默认情况下拒绝用户访问拨号网络。

通过用户帐户访问

如果您按用户管理远程访问，若要向某个用户帐户授予拨号访问权限，请按照下列步骤操作：

单击开始，指向管理工具，然后单击“Active Directory 用户和计算机”。

右击用户帐户，然后单击属性。

单击“版本”选项卡。

单击“允许访问”以授予用户拨入的权限。单击确定。

通过组成员身份访问

如果您按组管理远程访问，请按照下列步骤操作：

创建一个由允许创建 VPN 连接的成员组成的组。

单击开始，指向管理工具，然后单击“路由和远程访问”。

在控制台树中，展开“路由和远程访问”，展开服务器名，然后单击远程访问策略。

在右侧窗格中右击任意位置，指向新建，然后单击远程访问策略。

单击下一步，键入策略名称，然后单击下一步。

对于“虚拟专用访问”访问方法，请单击 VPN，或对于拨号访问方法，请单击拨号，然后单击下一步。

单击添加，键入您在步骤 1 中创建的组的名称，然后单击下一步。

按照屏幕上的说明完成该向导的操作。

如果 VPN 服务器已经允许使用拨号网络远程访问服务，则不要删除默认策略。而是移动其位置，使它成为最后一个起作用的策略。

如何从客户端计算机配置 VPN 连接

若要建立与 VPN 的连接，请按照下列步骤操作。若要设置客户端进行虚拟专用网络访问，请在客户端工作站上执行下列步骤：

注意：您必须以管理员组的成员身份登录才能执行这些步骤。

注意：因为 Microsoft Windows 存在多个版本，所以在您的计算机上执行的步骤可能与下面介绍的步骤有所不同。如果是这样，请参阅产品文档来完成这些步骤。

在客户计算机上，确认与 Internet 的连接配置正确。

单击开始，单击控制面板，然后单击网络连接。单击网络任务下的“创建一个新的连接”，然后单击下一步。

单击“连接到我的工作场所的网络”以创建拨号连接。单击下一步继续。

单击“虚拟专用网络连接”，然后单击下一步。

在公司名称对话框中为连接键入一个描述性的名称，然后单击下一步。

如果计算机永久连接到 Internet，请单击不拨初始连接。如果计算机通过 Internet 服务提供商 (ISP) 连接到 Internet，则单击“自动拨此初始连接”，然后单击与 ISP 连接的名称。单击下一步。

键入 VPN 服务器计算机的 IP 地址或主机名（例如 VPNServer.SampleDomain.com）。

如果要允许登录到该工作站的任何用户都能访问此拨号连接，则单击“任何人使用”。如果要使此连接仅供当前登录用户使用，则单击“只是我使用”。单击下一步。

单击完成以保存连接。

单击开始，单击控制面板，然后单击网络连接。

双击新建的连接。

单击属性以继续为连接配置选项。若要继续配置连接的选项，请按照下列步骤操作：

如果您要连接到一个域，请单击选项选项卡，然后单击选中“包含 Windows 登录域”复选框以指定在尝试连接前是否要求 Windows Server 2003 登录域信息。

如果想让该连接在断线后重新拨号，则请单击选项选项卡，然后单击选中“断线重拨”复选框。

若要使用连接，请按照下列步骤操作：

单击开始，指向“连接到”，然后单击该新建连接。

如果目前没有到 Internet 的连接，Windows 可让您连接到 Internet。

建立到 Internet 的连接后，VPN 服务器会提示您输入用户名和密码。键入用户名和密码，然后单击连接。

您必须能够使用您的网络资源，就像直接连接到该网络一样。注意：若要从 VPN 上断开，请右击连接图标，然后单击断开连接。

疑难解答

远程访问 VPN 的疑难解答

无法建立远程访问 VPN 连接

原因：客户计算机的名称与网络上另一台计算机的名称相同。

解决方案：验证网络上的所有计算机和连接到网络的计算机是否都使用唯一的计算机名称。

原因：VPN 服务器上未启动“路由和远程访问”服务。

解决方案：验证 VPN 服务器上“路由和远程访问”服务的状态。

有关如何监视、启动和停止“路由和远程访问”服务的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 服务器上未启用远程访问。

解决方案：在 VPN 服务器上启用远程访问。

有关如何启用远程访问服务器的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：未为入站远程访问请求打开 PPTP 或 L2TP 端口。

解决方案：为入站远程访问请求打开 PPTP 或 L2TP 端口，或同时打开两个端口。

有关如何为远程访问配置端口的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：在 VPN 服务器上未启用 VPN 客户端使用的 LAN 协议来支持远程访问。

解决方案：在 VPN 服务器上启用 VPN 客户端使用的 LAN 协议以支持远程访问。

有关如何查看远程访问服务器属性的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 服务器上的所有 PPTP 或 L2TP 端口已被当前连接的远程访问客户端或请求拨号路由器使用。

解决方案：验证 VPN 服务器上的所有 PPTP 或 L2TP 端口是否都已被使用。为此，请在“路由和远程访问”中单击端口。如果允许的 PPTP 或 L2TP 端口的数目不够高，则可以更改 PPTP 或 L2TP 端口的数目以允许更多的同时连接。

有关如何添加 PPTP 或 L2TP 端口的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 服务器不支持 VPN 客户端的隧道协议。

默认情况下，Windows Server 2003 的远程访问 VPN 客户端使用自动服务器类型选项，这意味着他们试图首先建立一个基于 IPSsec 的 L2TP VPN 连接，然后试图建立一个基于 PPTP 的 VPN 连接。如果 VPN 客户端使用点对点隧道协议 (PPTP) 或第 2 层隧道协议 (L2TP)两者中的一种服务器类型选项，请验证选中的隧道协议是否受 VPN 服务器支持。

默认情况下，一台运行 Windows Server 2003 和“路由和远程访问”服务的计算机就是一个有五个 L2TP 端口和五个 PPTP 端口的 PPTP 和 L2TP 服务器。若要使创建的服务器只为 PPTP 服务器，请将 L2TP 端口的数量设置为零。若要使创建的服务只为 L2TP 服务器，请将 PPTP 端口的数量设置为零。

解决方案：验证是否配置了相应数目的 PPTP 或 L2TP 端口。

有关如何添加 PPTP 或 L2TP 端口的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 客户端和 VPN 服务器以及远程访问策略未配置为至少使用一种通用身份验证方法。

解决方案：将 VPN 客户端和 VPN 服务器以及远程访问策略配置为至少使用一种通用身份验证方法。

有关如何配置身份验证的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 客户端和 VPN 服务器以及远程访问策略未配置为至少使用一种通用加密方法。

解决方案：将 VPN 客户端和 VPN 服务器以及远程访问策略配置为至少使用一种通用加密方法。

有关如何配置加密的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。

解决方案：验证 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。若要建立连接，连接尝试的设置必须：有关远程访问策略的简介以及如何接受连接尝试的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

至少满足一种远程访问策略的所有条件。

通过用户帐户（设置为允许访问）或通过用户帐户（设置为“通过远程访问策略控制访问”）授予远程访问权限，并授予匹配的远程访问策略的远程访问权限（设置为“授予远程访问权限”）。

与该配置文件的所有设置匹配。

与该用户帐户的拨入属性的所有设置相匹配。

原因：远程访问策略配置文件的设置与 VPN 服务器的属性冲突。

远程访问策略配置文件的属性和 VPN 服务器的属性都包含下列设置：如果相应的远程访问策略的配置文件的设置与 VPN 服务器的设置冲突，则连接尝试将被拒绝。例如，如果相应的远程访问策略配置文件指定必须使用可扩展身份验证协议 — 传输层安全性 (EAP-TLS) 身份验证协议，而 VPN 服务器上未启用 EAP，则连接尝试将被拒绝。

解决方案：验证远程访问策略配置文件的设置以确保不与 VPN 服务器的属性冲突。

有关多链路、BAP 和身份验证协议的其他信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

多重链接。

带宽分配协议 (BAP)。

身份验证协议。

原因：应答路由器无法验证呼叫路由器的凭据（用户名、密码和域名）。

解决方案：验证 VPN 客户端的凭据（用户名、密码和域名）是否正确以及是否可被 VPN 服务器验证。

原因：在静态 IP 地址池中没有足够的地址。

解决方案：如果 VPN 服务器配置了静态 IP 地址池，请验证池中是否有足够的地址。如果静态池中的所有地址都已分配给已连接的 VPN 客户端，则 VPN 服务器将无法分配 IP 地址，连接尝试将被拒绝。如果已分配了静态池中的所有地址，则修改池。有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 客户端配置为可请求其自己的 IPX 节点编号，而 VPN 服务器配置为不允许 IPX 客户端请求它们自己的 IPX 节点编号。

解决方案：配置 VPN 服务器使之允许 IPX 客户端请求它们自己的 IPX 节点编号。

有关 IPX 和远程访问的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：给 VPN 服务器配置了一段 IPX 网络上其他地方正在使用的 IPX 网络编号范围。

解决方案：给 VPN 服务器配置一个在 IPX 网络上唯一的 IPX 网络编号范围。

有关 IPX 和远程访问的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 服务器的身份验证提供程序配置不正确。

解决方案：验证身份验证提供程序的配置是否正确。您可以配置 VPN 服务器使用 Windows Server 2003 或远程身份验证拨入用户服务 (RADIUS) 来验证 VPN 客户端的凭据。

有关身份验证和计帐提供程序以及如何使用 RADIUS 身份验证的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 服务器无法访问 Active Directory。

解决方案：如果 VPN 服务器是混合模式或本机模式 Windows Server 2003 域的一个成员服务器而且配置为使用 Windows Server 2003 身份验证，则请验证：有关如何添加组、如何验证 RAS 和 IAS 安全组的权限，以及远程访问的 netsh 命令的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

“RAS 和 IAS 服务器”安全组是否存在。如果不存在，请创建该组并将组类型设置为“安全”并将组作用域设置为“本地域”。

“RAS 和 IAS 服务器”安全组对“RAS 和 IAS 服务器访问检查”对象有读取权限。

VPN 服务器计算机的计算机帐户是“RAS 和 IAS 服务器”安全组中的一个成员。可以使用“netsh ras show registeredserver”命令查看当前注册。可以使用“netsh ras add registeredserver”命令在指定的域中注册服务器。

如果您向 RAS 和 IAS 服务器安全组添加（或从中去除）VPN 服务器计算机，则此更改不会立即生效（这是由 Windows Server 2003 缓存 Active Directory 信息的方式决定的）。若要使更改立即生效，请重新启动 VPN 服务器计算机。

VPN 服务器是该域的一个成员。

原因：基于 Windows NT 4.0 的 VPN 服务器无法验证连接请求。

解决方案：如果 VPN 客户端正在拨入到运行着 Windows NT 4.0 的 VPN 服务器，而此服务器是 Windows Server 2003 混合模式域的成员，则请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中：

"net localgroup "Pre-Windows 2000 Compatible Access""

如果没有，则请在域控制器计算机上的命令提示符处键入下列命令，然后重新启动域控制器计算机：

net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

有关 Windows Server 2003 域中 Windows NT 4.0 远程访问服务器的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：VPN 服务器无法与配置的 RADIUS 服务器通讯。

解决方案：如果只能通过 Internet 接口访问 RADIUS 服务器，则执行以下操作之一：有关如何添加数据包筛选器的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

为 UDP 端口 1812 的 Internet 接口添加一个输入过滤器和一个输出过滤器（依据 RFC 2138“远程身份验证拨入用户服务 (RADIUS)”）。– 或 -

为 UDP 端口 1645（针对较早的 RADIUS 服务器）以及 RADIUS 身份验证和 UDP 端口 1813（基于 RFC 2139“RADIUS 计帐”）的 Internet 接口添加一个输入筛选器和一个输出筛选器。- 或 -

为用于 RADIUS 计帐的 UDP 端口 1646（针对较早的 RADIUS 服务器）的 Internet 接口添加一个输入筛选器和一个输出筛选器。

原因：无法使用 Ping.exe 实用程序通过 Internet 连接到 VPN 服务器。

解决方案：由于在 VPN 服务器的 Internet 接口上配置了基于 IPSec 的 PPTP 和 L2TP 数据包筛选，ping 命令使用的 Internet 控制消息协议 (ICMP) 数据包被筛选掉了。若要让 VPN 服务器能够响应 ICMP (ping) 数据包，请添加允许 IP 协议 1 通信量（ICMP 通信量）的输入筛选器和输出筛选器。

有关如何添加数据包筛选器的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

“无法发送和接收数据”

原因：未给被路由的协议添加适当的请求拨号接口。

解决方案：给被路由的协议添加适当的请求拨号接口。

有关如何添加路由接口的更多信息，请访问 Windows Server 2003“帮助和支持中心”。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：路由器对路由器 VPN 连接的两端都没有支持双向通信量交换的路由。

解决方案：与远程访问 VPN 连接不同，路由器对路由器 VPN 连接不会自动创建默认路由。在路由器对路由器 VPN 连接的两端都创建路由，以便路由器对路由器 VPN 连接两端的通信量都可以路由到对方。

您可以手动向路由表中添加静态路由，也可以通过路由协议添加静态路由。对于持续性 VPN 连接，您可以在 VPN 连接上启用“开放式最短路径优先 (OSPF)”或“路由信息协议 (RIP)”。对于请求 VPN 连接，可以通过自动静态 RIP 更新来自动更新路由。有关如何添加 IP 路由协议、如何添加静态路由以及如何执行自动静态更新的更多信息，请参见 Windows Server 2003 联机帮助。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：双向初始化的应答路由器作为远程访问连接，正在解释路由器对路由器的 VPN 连接。

解决方案：如果呼叫路由器的凭据中的用户名出现在“路由和远程访问”中的拨入客户端下，则应答路由器将把呼叫路由器解释为远程访问客户端。请验证呼叫路由器的凭据中的用户名是否与应答路由器上请求拨号接口的名称匹配。如果传入呼叫方是一个路由器，则接收呼叫的端口将显示为活动状态，而且相应的请求拨号接口处于连接状态。

有关如何检查应答路由器的端口状态以及如何检查请求拨号接口状态的更多信息，请参见 Windows Server 2003 联机帮助。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：呼叫路由器和应答路由器的请求拨号接口上的数据包筛选器使通信量不能传输。

解决方案：验证以确保呼叫路由器和应答路由器的请求拨号接口上不存在阻止通信量传输的数据包筛选器。可以给各请求拨号接口配置 IP 和 IPX 输入和输出筛选器，以精确控制允许进出该请求拨号接口的 TCP/IP 和 IPX 通信量的性质。

有关如何管理数据包筛选器的更多信息，请参见 Windows Server 2003 联机帮助。单击开始以访问 Windows Server 2003“帮助和支持中心”。

原因：远程访问策略配置文件中的数据包筛选器阻止了 IP 通信量的传输。

解决方案：验证以确保 VPN 服务器（如果使用了 Internet 身份验证服务则是 RADIUS 服务器）上的远程访问策略的配置文件属性上未配置阻止 TCP/IP 通信量接发的 TCP/IP 数据包筛选器。您可以使用远程访问策略来配置 TCP/IP 输入和输出数据包筛选器，以精确控制 VPN 连接上允许的 TCP/IP 通信量的性质。验证以确保配置文件 TCP/IP 数据包筛选器未阻止通信量的传输。

如何关掉服务器2003 域策略

采纳率：52% 11级 2013.07.02 1，打开Active Directory 用户和计算机 2，选择你的域控制器，xx.com的那个，右击属性 3，选择“组策略” 4，选择默认的“组策略对象链接”，点击下面的“编辑” 5，选择“用户配置”下拉中的“管理模板” 6，展开“管理模板”，选择“网络”，展开，点选“网络连接” 7，在右边的选项框中选择“禁止访问LAN连接的属性”设置成已启用，接着选择下面的“为管理员启用windows2000 的网络连接设置”设置成已启用。 设置完成后，只要有计算机加入到域中，网络连接属性将变成灰色不可选择，如果域管理员需要更改的话，只需要登入本地计算机管理员更改就行。

如何在2003服务器做ip策略禁止某个固定的ip访问？

我这是复制别人的资料,你试试效果怎么样,不管怎么说吧,这个问题我也想详细了解!

打开：控制面版--管理工具-本地安全设置。点左边的

IP安全策略，在本地计算机。

然后在右边点右键--创建IP安全策略，打开IP安全策略向导。

下一步，出现IP安全策略名称，随便起个就行。比如叫

阻止192.168.1.163

下一步，出现激活默认响应规则，不要选中，把钩去掉。

下一步，选中编辑属性，完成。

然后出现了

IP安全策略属性，点下边的添加，出现规则属性，点击添加，出现IP策略器列表。把使用添加向导去掉，点右边的添加，出现筛选器属性。

寻址栏

原地址选

一个特定的IP

192.168.1.163。目标IP是

我的IP地址。然后点击确定。

现在回到

IP

筛选器列表，点击确定，在规则属性里应该多了个列表，选中它。然后切换到筛选器操作选项卡，把使用添加向导去掉，点击添加。在出现的筛选器操作

属性里的安全措施选项卡中，选择

阻止，点击确定。在筛选器操作选项卡中会多出一个阻止的选项，选中它。

总之，在IP筛选器列表中你要选中你建的那个列表，筛选器操作中要选中阻止。然后点击应用以后关闭。

现在回到

IP安全策略

属性

这里，把你建的IP筛选器列表钩上，点击关闭。

这时，在你最开始打开的

本地安全设置里

会多出一个策略，就是你建立的

“阻止192.168.1.163”。在它身上点右键，选择指派，就OK了。

WIN2003服务器怎么禁PING

Windows Server 2003如何让服务器禁ping

在网络中为了防止用户频繁Ping服务器而导致服务器性能下降，一般都会在防火墙中设置规则决绝Ping请求。那么如果单纯借助系统自身的功能是否也可以拒绝用户Ping服务器呢

频繁地使用Ping命令会导致网络堵塞、降低传输效率，为了避免恶意的网络攻击，一般都会拒绝用户Ping服务器。为实现这一目的，不仅可以在防火墙中进行设置，也可以在路由器上进行设置，并且还可以利用Windows 2000/2003系统自身的功能实现。无论采用哪种方式，都是通过禁止使用ICMP协议来实现拒绝Ping动作

以在Windows Server 2003中设置IP策略拒绝用户Ping服务器为例，具体操作步骤如下：

1．添加IP筛选器

第1步，依次单击“开始/管理工具/本地安全策略”，打开“本地安全设置”窗口。右键单击左窗格的“IP安全策略，在本地计算机”选项，执行“管理IP筛选器表和筛选器操作”快捷命令。在“管理IP筛选器列表”选项中单击“添加”按钮，命名这个筛选器名称为“禁止PING”，描述语言可以为“禁止任何其它计算机PING我的主机”，然后单击“添加”按钮

第2步，依次单击“下一步”→“下一步”按钮，选择“IP通信源地址”为“我的IP地址”，单击“下一步”按钮；选择“IP通信目标地址”为“任何IP地址”，单击“下一步”按钮；选择“IP协议类型”为ICMP，单击“下一步”按钮。依次单击“完成”→“确定”按钮结束添加

第3步，切换到“管理筛选器操作”选项卡中，依次单击“添加”→“下一步”按钮，命名筛选器操作名称为“阻止所有连接”，描述语言可以为“阻止所有网络连接”，单击“下一步”按钮；点选“阻止”选项作为此筛选器的操作行为，最后依次单击“下一步”→“完成”→“关闭”按钮完成所有添加操作

2．创建IP安全策略。

右键单击控制台树的“IP安全策略，在本地计算机”选项，执行“创建IP安全策略”快捷命令，然后单击“下一步”按钮。命名这个IP安全策略为“禁止PING主机”，描述语言为“拒绝任何其它计算机的PING要求”并单击“下一步”按钮。然后在勾选“激活默认响应规则”的前提下单击“下一步”按钮。在“默认响应规则身份验证方法”对话框中点选“使用此字符串保护密钥交换”选项，并在下面的文字框中键入一段字符串如“NO

PING

”，单击“下一步”按钮。最后在勾选“编辑属性”的前提下单击“完成”按钮结束创建

3．配置IP安全策略。

在打开的“禁止PING主机属性”对话框中的“规则”选项卡中依次单击“添加/下一步”按钮，默认点选“此规则不指定隧道”并单击“下一步”按钮；点选“所有网络连接”以保证所有的计算机都PING不通该主机，单击“下一步”按钮。在“IP筛选器列表”框中点选“禁止PING”，单击“下一步”按钮；在“筛选器操作”列表框中点选“阻止所有连接”，依次单击“下一步”按钮；取消“编辑属性”选项并单击“完成”按钮结束配置

4．指派IP安全策略。

安全策略创建完毕后并不能马上生效，还需通过“指派”使其发挥作用。右键单击“本地安全设置”窗口右窗格的“禁止PING主机”策略，执行“指派”命令即可启用该策略

经过这样的一番设置，这台服务器已经具备了拒绝其它任何计算机Ping自己IP地址的能力了，不过在本地Ping自身仍然是通的。

Linux下边禁止ping命令的使用

以root进入Linux系统，然后编辑文件icmp_echo_ignore_all

vi /proc/sys/net/ipv4/icmp_echo_ignore_all

将其值改为1后为禁止PING

将其值改为0后为解除禁止PING

直接修改会提示错误:

WARNING: The file has been changed since

reading it!!!

Do you really want to write to it (y/n)?y

"icmp_echo_ignore_all" E667:

Fsync failed

Hit ENTER or type command to continue

这是因为 proc/sys/net/ipv4/icmp_echo_ignore_all

这个不是真实的文件

如果想修改他的数值可以echo 0 或 1到这个文件

（即echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all ）。要是想永久更改可以加一行

net.ipv4.icmp_echo_ignore_all=1

到配置文件/etc/sysctl.conf里面

3 用高级设置法预防Ping

默认情况下，所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项，您的网络将在 Internet 中是可视的，因而易于受到攻击。

如果要启用ICMP，必须以管理员或Administrators

组成员身份登录计算机，右击“网上邻居”，在弹出的快捷菜单中选择“属性”即打开了“网络连接”，选定已启用Internet连接防火墙的连接，打开其属性窗口，并切换到“高级”选项页，点击下方的“设置”，这样就出现了“高级设置”对话窗口，在“ICMP”选项卡上，勾选希望您的计算机响应的请求信息类型，旁边的复选框即表启用此类型请求，如要禁用请清除相应请求信息类型即可。

关于2003网络策略服务器和策略管理服务器的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。