錯誤789，提示很明顯，是指協商安全層時出現了錯誤。

特別貼士：千萬不要嘗試，按照網上的方法更改登錄檔中的ProhibitIPsec鍵值，否則就算連通了，你的L2TP也不會受到IPSec的保護。

這個鍵值的真正含義，就是在L2TP/IPSec中禁用IPSec保護。

說回來，造成錯誤789的原因，無非是以下情況。

1、IKE Lifetime不匹配（預設值是86400秒）

2、IKE金鑰或證書不匹配（這個不用我說了吧）

3、IKE階段的加密、HASH、DF組不匹配

（Windows客戶端存在若干組預設的策略，只要有一組與服務端匹配即可。）

4、IPSec安全關聯（SA）的Lifetime不匹配（預設值是3600秒）

5、IPSec變換集應用的封裝模式（ESP/AH）、加密和HASH不匹配（一般用esp-3des/esp-sha）

6、IPSec變換集的模式不匹配（需要改成Transport模式）

一般來說，這些專案正確設定之後，就可以成功在Windows客戶端上使用L2TP/IPSec撥入。

至於怎麼在服務端調整這些設定，請參考不同廠家不同產品的不同說明。

我只在Cisco路由器上調整過，用Windows Server 2003做伺服器則不需要調整。

SP1，補充。

當然，對於客戶機與伺服器之間存在NAT裝置的環境而言，還需要在客戶機上更改一些設定。

因為從XP SP2開始，出於安全考慮，已經不支援在存在NAT的網路環境中協商IPSec SA。（包括後來的XP SP3、Vista、2008、Win7、2008R2等）

對於XP使用者，請查閱微軟知識庫編號為818043的文章。

對於Vista、2008、Win7、2008R2使用者，請查閱微軟知識庫編號為926179的文章。

二者均需要修改一個名為“AssumeUDPEncapsulationContextOnSendRule”的鍵，但是在不同的系統中，該鍵存在的路徑不同。

SP2，再次補充。

有些機器通過更改上述設定之後仍然無法建立IPSec關聯。請檢查IPSec服務是否啟動。

我發現有些精簡版系統IPSec服務已經被刪除，當然可以找回來的。