如果当前已连接的VPN客户数量达到了ISA防火墙VPN服务中所允许的最大数量，那么当其他VPN客户再发起VPN连接时，ISA防火墙会丢弃VPN客户端发送的连接请求，并且不回复响应数据包，此时VPN客户端的错误提示如下图所示（651：服务器无响应）

另外，你可以在用户的拨入属性中配置用户远程拨入时使用的IP地址，此设置会覆盖ISA防火墙VPN服务中的VPN客户端IP地址分配策略中的设置。在VPN客户端使用此用户拨入时，会使用用户拨入属性中配置的IP地址作为VPN客户端的IP地址，而不是按照ISA防火墙中的VPN客户端地址分配策略来进行分配；如果已有VPN客户使用此用户账户拨入VPN并且尚未断开连接，而其他VPN客户再次使用此用户账户拨入时，则根据ISA防火墙VPN服务中的VPN客户端地址分配策略来进行VPN客户端IP地址的分配，如果此时ISA防火墙没有足够的IP地址分配给VPN用户，那么就会出现651错误。

对于其他TCP/IP选项（DNS/WINS/其他DHCP选项）的分配，也具有两种形式：

• 在ISA防火墙VPN服务地址分配属性的高级设置中手动指定VPN客户所使用的DNS/WINS服务器；此时，ISA防火墙会只将指定的DNS/WINS服务器分配给VPN客户使用；

• 通过DHCP中继代理从DHCP服务器获得DHCP作用域信息（DNS/WINS/其他DHCP作用域选项 ，由于VPN客户不能直接向其他网络中的DHCP服务器发送DHCP INFORM数据包来获取DHCP作用域选项，必须通过ISA防火墙上的DHCP中继代理进行中转）；此时，ISA防火墙也会将用于获取DHCP信息的网络接口上配置的DNS/WINS服务器分配给VPN客户使用，只是这样分配的DNS/WINS服务器优先级比 从DHCP服务器所获得的DNS/WINS服务器低，但是无论VPN客户是否从DHCP服务器成功获取了DNS/WINS服务器信息，这种方式分配的DNS/WINS服务器总会存在。

在建立VPN拨号连接的时候，默认会将此VPN连接作为默认路由（启用了使用远程网络上的默认网关），

这导致了VPN客户不能同时通过自己本地网络的网关访问Internet。

如果你取消选择了使用远程网络上的默认网关，那么在建立VPN拨号连接时，不会将此VPN连接作为默认路由，但是会创建一个对应于VPN客户端所获得的IP地址的基于Internet地址类的网络ID的路由。例如，如果VPN客户端从VPN服务器获得的地址是10.0.0.2，那么基于Windows 2000、Windows XP和Windows Server 2003系统的VPN客户端将会创建一个路由项，指明10.0.0.0/8的网络从VPN连接10.0.0.2进行访问。关于这种分离的VPN隧道问题，CableGuy在针对并行访问Internet和Intranet的分割隧道功能一文中进行了详细的阐述，也强烈建议大家认真的学习一下。

频道声明：本频道的文章除部分特别声明禁止转载的专稿外，可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。 原始作者:佚名 录入时间:2006-10-30 信息来源:不详 投稿信箱:itqoo@126.com