VPN 的工作方式

为模拟点到点链接，将用提供路由信息的头封装或包装数据，从而允许数据通过共享或公共网络，最终到达终结点。为模拟专用链接，数据经过加密以保持机密性。没有加密密钥，在共享或公用网络上截取的数据包是无法破译的。封装和加密专用数据的链接是虚拟专用网络 (VPN) 连接。

以下步骤介绍了从远程 VPN 客户端（或远程站点网关）向 ISA Server 2004 发出调用的过程中发生的事件：

远程访问客户端或远程站点网关拨叫 ISA 服务器计算机。
ISA 服务器向该客户端发送一个质询。
客户端（或远程站点网关）向服务器发送由用户名、域名和密码组成的一个加密响应。
服务器根据相应的用户帐户数据库检查该响应。
如果帐户有效，并且身份验证凭据正确，则服务器将使用用户帐户的拨号属性和远程访问策略对连接进行授权。

注意

步骤 2 和步骤 3 假设远程访问客户端和 ISA 服务器使用 MS-CHAP v1 或 CHAP 身份验证协议。其他身份验证协议的客户端凭据发送方式可能有所不同。
如果 ISA 服务器是某个域的成员，并且用户响应不包含域名，则将使用 ISA 服务器计算机的域名。

在连接之后建立安全性

用于远程访问的凭据只提供到目标网络的通信通道。客户端不会通过远程访问连接而登录到网络。每当客户端尝试访问网络资源时，它就将接到要求其提供凭据的质询。如果它未用可接受的凭据响应质询，则访问尝试将失败。

Microsoft® Windows Server™ 2003 和 Windows® XP 添加了一个功能来简化远程访问。成功进行连接之后，Windows Server 2003 和 Windows XP 远程访问客户端将缓存这些凭据，将这些凭据作为远程访问连接进行过程中的默认凭据。在网络资源质询远程访问客户端时，该客户端将提供缓存的凭据，而无须要求用户再次输入。

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。