我来帮你梳理清楚基于Windows Server 2022原生组件搭建VPN服务器的核心程序化步骤，完全不需要第三方软件，同时保证安全性（禁用过时协议），并且支持Windows 10/11客户端一键连接：

一、确认必要组件安装 #

你提到的三个Windows功能确实是核心依赖，直接用以下PowerShell命令一次性安装（需以管理员身份执行）：

Install-WindowsFeature RemoteAccess, DirectAccess-VPN, Routing -IncludeManagementTools

解释：RemoteAccess是基础框架，DirectAccess-VPN包含VPN服务核心组件，Routing用于配置NAT转发，让VPN客户端能访问外网或服务器所在的内部网络。

二、初始化VPN服务器配置 #

接下来用PowerShell配置VPN服务，重点启用安全协议（务必禁用过时的PPTP，优先选用IKEv2——它是目前最安全稳定的原生协议，Win10/11原生支持）：

# 安装并配置VPN服务，指定支持IKEv2和L2TP/IPsec（L2TP作为备选方案）
Install-RemoteAccess -VpnType Vpn -Protocol IKEv2, L2TP

# 彻底禁用不安全的PPTP协议
Set-VpnServerConfiguration -DisablePPTP $true

三、配置NAT转发（关键！让客户端能访问外网） #

因为你的VPS处于公网环境，需要配置NAT规则，让VPN客户端通过服务器的公网IP访问外部网络：

# 先查看服务器的公网网卡名称（替换为实际名称，比如"Ethernet"）
$publicAdapter = Get-NetAdapter -Name "Ethernet"
# 配置NAT转发
Install-RemoteAccess -VpnType Vpn -NatType Public -PublicInterface $publicAdapter.Name

四、配置用户拨入权限 #

推荐创建一个专用组来管理VPN访问权限，方便批量操作：

# 创建VPN用户组
New-LocalGroup -Name "VPNUsers"

# 添加允许连接的用户到组（替换为你的实际用户名）
Add-LocalGroupMember -Group "VPNUsers" -Member "UserName1", "UserName2"

# 给该组分配VPN拨入权限
Set-RemoteAccessUserAuthorization -UserGroupName "VPNUsers" -GrantAccess $true

五、强化安全设置 #

进一步加密和身份验证配置，确保VPN连接的安全性：

# 设置VPN加密方式为AES-256（最高强度）
Set-VpnServerConfiguration -EncryptionType Maximum

# 启用强身份验证（推荐用MS-CHAPv2，若有证书环境可改用证书验证）
Set-VpnServerConfiguration -AuthenticationMethod MSChapv2

六、验证配置并启动服务 #

最后确认服务状态，确保VPN服务正常运行：

# 查看VPN服务器状态
Get-RemoteAccess

# 确保RemoteAccess服务启动并设为自动启动
Start-Service RemoteAccess
Set-Service RemoteAccess -StartupType Automatic

客户端连接配置（Win10/11原生支持） #

客户端可以直接通过以下PowerShell命令导入配置（管理员身份执行），也可以手动添加VPN连接：

# 创建VPN连接配置（替换为你的VPS公网IP）
Add-VpnConnection -Name "MyWorkVPN" -ServerAddress "你的VPS公网IP" -TunnelType IKEv2 -EncryptionLevel Maximum -AuthenticationMethod MSChapv2 -SplitTunneling $true

SplitTunneling设为$true表示客户端访问本地网络时不走VPN，仅访问外网或服务器内网时走VPN，可根据需求调整。

备注：内容来源于stack exchange，提问作者Tomas Tintera