我来帮你一步步梳理这个问题的核心排查点，结合你已经部署了ADDS、RRAS和CA服务的场景，重点从DHCP中继代理的正确配置、RRAS的IP分配策略、权限设置这几个关键环节入手：

1. 修正DHCP中继代理的核心配置（最容易踩坑的点） #

你提到已经配置了DHCP中继但没生效，大概率是这里的细节没做对：

• 打开路由和远程访问控制台，展开你的服务器 → IPv4 → DHCP中继代理程序
  • 先确认DHCP中继代理是启用状态（右键点击，看菜单里是否是“禁用”，如果是说明已经启用）
  • 右键DHCP中继代理选属性，在常规标签页里，必须添加DHCP服务器的静态IP地址——哪怕DHCP和RRAS在同一台机器，也不能填动态IP，必须写固定的内网IP
  • 切换到接口标签页，一定要添加RRAS的内网接口（就是连接到AD域内网的那个网卡，不是对外的公网接口），否则中继代理无法转发DHCP请求

2. 调整RRAS的IP分配策略 #

确保RRAS确实在使用DHCP分配IP，而不是 fallback 到静态地址池：

• 右键RRAS服务器 → 属性 → IPv4标签页
  • 选中从DHCP服务器获取IP地址选项，取消之前的静态地址池配置（如果有的话，清空静态地址范围）
  • 勾选允许远程客户端请求IP地址，确保没有限制特定IP范围（这样才能支持任意用户接入）

3. 验证DHCP服务器的可用性 #

DHCP本身的问题也会导致VPN拿不到IP：

• 检查DHCP服务器的地址池是否有剩余IP，如果池耗尽，客户端肯定无法获取地址
• 确认DHCP的作用域是激活状态，且作用域覆盖了RRAS服务器所在的子网
• 如果DHCP和RRAS不在同一子网，要确保两者之间的路由是通的——在RRAS服务器上ping DHCP的IP，能通才正常
• 检查DHCP服务器的防火墙，允许UDP 67/68端口（DHCP的请求和响应端口），Windows防火墙可以直接启用“DHCP服务器”的入站规则

4. 配置任意用户的VPN接入权限 #

要让任意用户从任意网络接入，必须确保AD用户/组有远程访问权限：

• 打开Active Directory用户和计算机，针对单个用户：右键用户 → 属性 → 拨号标签页，选择允许访问
• 如果要授权所有域用户：打开RRAS控制台的远程访问策略，编辑默认策略，在条件里添加“Windows用户组”并选择Domain Users，然后在权限里设置为“授予远程访问权限”

5. 检查RRAS的NAT与路由设置（如果启用了NAT） #

如果你的RRAS同时做了NAT（对外提供公网访问），要避免接口配置冲突：

• 确认外网接口设置为NAT模式，内网接口设置为专用接口（连接到专用网络）
• 确保DHCP中继代理的接口和NAT的内网接口是同一个，防止中继请求被NAT拦截
• 用命令 ipconfig /all 检查RRAS服务器的内网网卡IP、子网掩码、默认网关是否正确，确保能正常访问内网资源

6. 查看日志定位具体错误 #

如果以上配置都没问题，就通过日志找具体原因：

• 在RRAS服务器的事件查看器里，查看应用程序和服务日志 → Microsoft → Windows → RemoteAccess和Routing日志，找带有“DHCP”“IP分配”关键词的错误信息
• 客户端可以启用VPN跟踪：运行 netsh ras set tracing * enabled，连接失败后查看C:\Windows\tracing下的日志文件，获取更详细的连接过程

最后，完成所有配置后重启Remote Access服务（在服务控制台找到该服务右键重启），再测试SSTP VPN连接，应该就能正常获取DHCP分配的IP了。

内容的提问来源于stack exchange，提问作者kishan