Microsoft Windows Server 2003家族提供如下虚拟专用网（VPN）的新功能：

    1. 网络地址转换（NAT）透明度

    运行Windows Server 2003的VPN服务器通过Internet协议安全性（L2TP/IPSec）通信（源于NAT后的VPN客户端）支持“第二层隧道协议”。要使该功能正常运行，客户端计算机必须支持如下IPSec协议工作组Internet草案：
    NAT协商-遍历IKE（draft-ietf-ipsec-nat-t-ike-02.txt）。
    对IPsec数据包的UDP封装（draft-ietf-ipsec-udp-encaps-02.txt）。

    2. 使用“网络负载平衡”的VPN部署
    结合“网络负载平衡”，运行Windows Server 2003的VPN服务器支持VPN部署，从而创建高效的VPN解决方案。包含了对于点对点隧道协议（PPTP）和带有“网络负载平衡”的L2TP/IPSec VPN解决方案的支持。

    3. 通过TCP/IP名称解析（NetBT）代理NetBIOS
    当远程访问VPN客户端连接到VPN服务器时，它依赖于名称解析目标网络上的DNS或WINS服务器。

    DNS和WINS服务器在组织上是相同的，该组织为主机名称解析使用DNS或为NetBIOS名称解析使用WINS。但是，在小型或家庭办公室环境，可能不存在这些服务器。在这种情况下，需要通过其他方式解析尝试进行通讯的计算机名，从而获得成功的通讯。

    不使用WINS或DNS服务器，通过运行Windows Server 2003的VPN服务器可以解析NetBIOS名，因为Windows Server 2003操作系统包括NetBT代理。使用NetBT代理，所连接的VPN客户端和VPN服务器连接至的网络段上的节点能够解析所有其他的NetBIOS名称。解析过程如下：

    （1）当一个VPN客户端需要将名称解析为IP地址，而不需要配置的DNS或WINS服务器时，它将把NetBIOS名称查询数据包发送至VPN服务器。当连接至VPN服务器的网络段上的节点需要将名称解析为IP地址，而不需要配置的DNS或WINS服务器时，它将把NetBIOS名称查询数据包作为广播在网络段上发送。

    （2）VPN服务器接收NetBIOS名称查询数据包，检查解析的NetBIOS名的本地缓存，并且当没有找到名称时将NetBIOS名称查询作为NetBIOS广播在所有连接的接口上转发，除了连接到所有VPN客户端的逻辑接口。

    （3）已经注册了NetBIOS名称的节点将正NetBIOS名称查询响应发送至VPN服务器。

    （4）VPN服务器接收NetBIOS名称查询响应，然后在接口上（NetBIOS名称查询数据包源于该接口）将其转发至发送节点。

    结果是连接至VPN服务器（以及所有连接的VPN客户端）的网络段上的网络节点都能够自动解析所有其他名称，而不使用DNS或WINS服务器。

    4. L2TP连接的预共享密钥配置

    Windows Server 2003家族支持计算机证书和预共享密钥，将其作为身份验证的方法以建立L2TP连接的IPSec安全关联。一个预共享密钥是在VPN客户端和VPN服务器上配置的一个文本字符串。预共享密钥是一种相对较弱的身份验证方法，因此建议你仅当部署公钥基础结构（PKI）以获取计算机证书时，或者VPN客户端要求预共享密钥时，才使用预共享密钥身份验证。你可以使用L2TP连接的预共享密钥，并从运行“路由和远程访问”的服务器的属性上的“安全”选项卡指定预共享密钥。

    运行Windows XP的远程访问VPN客户端也支持预共享密钥的身份验证。你可以使用预共享密钥的身份验证，并从网络连接中VPN连接属性上的“安全”选项卡上的“IPSec设置”中配置预共享密钥。
对于运行Windows Server 2003操作系统的计算机间的路由器到路由器的VPN连接，也支持预共享密钥身份验证。你可以使用预共享密钥的身份验证，并在路由和远程访问中请求拨号接口的属性上的“安全”选项卡上的“IPSec设置”中为请求拨号接口配置预共享密钥。