Windows Server 2022 安装 Clash Verge Rev：远程会话下订阅导入与防火墙放行分步实测

场景说明：为什么服务器上要单独讲一版

许多教程默认你坐在显示器前用笔记本，系统是个人版或专业工作站版；而 Windows Server 2022 常见用途是远端机房、Hyper‑V 里的子系统、或公司内网跳板。此时你往往只能通过 远程桌面维护，本地不一定有「直接操作控制台」的条件。与此同时，Server 的网络配置文件、默认防火墙策略、以及是否安装桌面体验，都会让同一套客户端表现得和 Windows 11不尽相同。若你同时需要把代理能力共享给同一网段的其它机器，还要和「仅本机 loopback」区分，这与纯桌面自用也不完全一样。仓库里已有Win11 局域网代理与防火墙的专文；本文则强调Server 安装在首配阶段要完成的事项：RDP 会话里能导入订阅、内核能拉起、防火墙不吃掉监听端口。

在开始之前，建议先通读Clash 使用教程里与「配置结构、规则、DNS」相关的章节，这样在 Server 上遇到「只浏览器通、某服务不通」时，你能分辨是接管方式问题还是规则／DNS问题，而不是把所有现象都归咎于防火墙。

前置条件：桌面体验、RDP 与账号权限

Clash Verge Rev 属于带图形界面的客户端，依赖与主流 Windows 10／11相近的运行环境。若你的服务器是不含图形界面的 Server Core，在纯命令行会话中无法按本文路径完成安装与点选操作，更现实的做法是直接部署 Mihomo（Clash Meta）内核为 Windows 服务或使用其它无头方案，这超出了「Verge Rev 图形客户端」的范围。本文默认你已具备其一：带桌面体验的 Server，或虽不常驻桌面但能稳定建立 RDP 图形会话。

启用远程桌面后，用有管理员权限的账号登录会话再安装软件。服务器上常见「非交互式后台服务」与「登录后桌面会话」权限模型不同；若安装程序需要写入当前用户的 AppData、或需要为当前会话安装 WebView2 等组件，请在你实际用来运行 Verge 的同一类帐户下完成，以免出现「安装在一个用户、却在另一个用户会话里启动导致找不到配置」的混乱。若环境受组策略限制禁止用户安装或未签名驱动，需与系统管理员确认：例如 TUN 所需的虚拟网卡或筛选器驱动，可能在 locked‑down 环境中始终无法就绪。

安装包来源、UAC 与运行时依赖

请从本站下载页获取适用于 Windows 的安装包，避免使用论坛里二次打包、夹带不明脚本或私有配置来源的安装器。双击安装若弹出 UAC 提升权限，属于正常现象；在企业环境里若策略禁止普通管理员安装，需要改用经批准的软件分发渠道。

基于 Web 技术的现代客户端普遍依赖 WebView2 运行时。若在 RDP 会话里首次启动界面空白或立即崩溃，可在「应用和功能」里检查是否已装 Evergreen Runtime；受限网络可离线部署企业版引导程序。另一些服务器镜像会精简更新组件，若长期未打补丁，也可能导致 TLS 证书链异常，表现为订阅 HTTPS 拉取失败——这类问题与防火墙无关，需要回到 Windows 更新与根证书层面排查。与桌面版一致的更多「首次打开要点」，可交叉参考Win11 首次安装 Verge里关于系统代理与 TUN选型的段落；在 Server 上同样适用：若你只希望在浏览器里快速验证订阅可用，可优先系统代理，减少驱动层面的变量。

在 RDP 会话中完成订阅导入与激活

建立远程桌面连接后，像在本机一样启动 Clash Verge Rev。在「配置／订阅」相关页面新建订阅，将服务商提供的 HTTPS 订阅地址粘贴进去并保存，然后执行更新。若更新失败，优先检查本机到订阅域名的出站 HTTPS 是否通畅：在服务器上打开 Edge，直接访问订阅链接（可能会下载文本文件或提示鉴权失败，这至少说明握手可达）。若浏览器能下载而客户端失败，再看客户端是否使用系统代理、是否需要先在设置里打开允许多媒体／下载类权限，或核对系统时间与世界时区。

更新成功后，确认当前激活的配置档就是你刚导入的那份，并在界面里为策略组选定可用节点。很多新手在服务器环境里会跳步：配置更新了，但忘记点选「规则／全局」之外的实际出口，或未把「启用」总开关视为独立一步。建议你在 RDP 内用浏览器打开任意检测 IP 的网站做一次最小验证，再回到命令行或需要代理的服务上做第二层验证。关于订阅共性问题，可与订阅链接常见问题对照阅读，仓库里该文覆盖的「链接过期、机场侧频控、客户端 UA」等，与是否 Server无关。

Windows 防火墙：先理解「默认出站」与「监听端口」

在多数默认安装下，Windows Defender 防火墙对出站连接相对友好，对入站监听更敏感：当 Clash 在本机 127.0.0.1 或局域网地址上开放 mixed、SOCKS、HTTP 或外部控制端口时，若当前网络配置文件为「公用网络」或存在显式阻止规则，其它机器或本机其它配置文件可能无法连上。首先要区分你的目标：仅本机 loopback 上的应用程序走代理，还是希望局域网其它设备把服务器当作网关或 HTTP 代理。前者通常只需本机进程访问 127.0.0.1:端口，不一定触发入站「远程 IP」规则；后者则必须在防火墙里放开对应端口与网卡范围，并强烈建议配合身份边界（例如仅限内网网段、禁止对公网网卡监听）。这与Hyper‑V 与 NAT 场景里强调的「路由/NAT 与防火墙分层」是同一类思维方式，只是本文停留在「单机 Server 的首配 firewall」。

实操上，打开「高级安全 Windows 防火墙」管理单元，分别在入站规则与出站规则中检查与 Clash Verge Rev、Mihomo 或相关可执行文件有关的条目。若你使用安装包默认路径，可以为「程序」类型规则选择 Verge 主程序与内核可执行文件，操作设为「允许」，配置文件暂用「域／专用／公用」与你当前网卡位置一致。若采用端口规则，请在客户端「端口设置」里核对实际监听数字——默认值可能因版本或个性化修改而变化，照抄教程里的示范端口有时会南辕北辙。

需要再次强调安全面：把代理端口暴露给不可信网络等于在边界上新增攻击面。即便本文学的是放行步骤，也应在业务需求允许的前提下做到最小权限：能用本机回环解决的，不要对 0.0.0.0 全网监听；必须对局域网开放时，限制源 IP 段并结合系统层认证或前置网关策略。若你在同一台机器上还跑远程开发或数据库，也应避免端口冲突与误把管理端口暴露在代理同一范围。

系统代理、TUN 与「只有 RDP 能操作」带来的错觉

在纯 RDP 会话里，你眼睛看到的是服务器桌面，容易误以为「浏览器能上网」就等于「所有服务已走代理」。实际上，未遵循系统代理的后台服务、定时任务、或另一会话中的进程，仍可能直连公网。若你启用 TUN，覆盖面会大得多，但 Server 上更常见的是和其它虚拟网卡软件、宿主 VPN、或网卡绑定顺序发生冲突。简要建议仍是：先用系统代理在浏览器里验证订阅与节点，再按需引入 TUN，并在每次改动后记录「现象—配置—恢复方式」，以免在无人值守的服务器上把自己锁在错误的网络栈之外。欲深入原理可结合TUN 模式深度解析阅读，但在生产服务器上，稳妥优先于「一次开满全部选项」。

分步验证清单（建议按顺序勾掉）

下面是一条在机房／云主机里非常实用的最小路径，不要求你一次性理解全部规则语法，只保证「能上网、可回滚」。

（1）时间、DNS 与基础连通：确认服务器时间与标准时间源同步；在 RDP 内用 ping／nslookup 粗测 DNS 是否符合预期。时间漂移会导致 TLS 握手集体失败。

（2）订阅与节点是否在客户端层面可用：在 Clash Verge Rev 内对选中节点做一次延迟测试，确认不是空订阅或全红灯。

（3）系统代理是否对已登录会话生效：启用「设为系统代理」后，仅用 Edge／Chrome 访问检测页面，确认出口已变化。

（4）防火墙与监听：若需要其它机器访问本机代理端口，再检查入站规则是否与当前监听地址一致；若仅本机使用，重点排查是否误把 loopback 流量导向错误接口。

（5）需要 TUN 时的独立回合：单独开启 TUN，观察是否出现「整会话断网」。若出现，先关闭 TUN回到可恢复状态，再按驱动／冲突路径排查。

（6）记录与变更管理：服务器环境最怕「上周能、今天不能」却无变更记录。建议为内核与 GUI 版本、配置档名称、防火墙规则截图或导出备份建立简单文档，便于你或同事接手。

常见问题（服务器场景）

Q：为什么不直接讲 PowerShell 无头部署？ A：本文面向已经决定在图形会话中使用 Clash Verge Rev的读者；无头路线属于另一条技能树，与 GUI 客户端的维护模型不同。

Q：云厂商安全组要开哪些？ A：多数场景下，云安全组负责「南北向」边界，操作系统防火墙负责「系统内部进程与网卡」。如果你仅在服务器本机使用代理，往往不必向公网开放额外入站端口；若要让办公室访问云主机的局域网代理，则需要在安全组与系统防火墙两侧同时一致放行，并评估公网暴露风险。

Q：和跑在 Hyper‑V 宿主上的 Windows 有什么区别？ A：网络栈与虚拟交换机位置不同；若你遇到跨 VM 的访问问题，应把本文规则与虚拟交换机、上游路由联合看待，可参考站内虚拟化与 NAT 相关文章做延伸。

小结与可维护性建议

在 Windows Server 2022上用好 Clash Verge Rev，关键是把「能不能装图形客户端」「RDP 会话里能否稳定执行订阅更新」「Windows 防火墙是否拦截监听与出站」三件事分开验证。相比在家用桌面系统上点几下就能用的路径，服务器场景多出来的是安全边界与变更纪律：任何额外开放的端口，都应在需求文档里留下理由与回收计划。

相比之下，部分传统代理工具要么缺乏细粒度分流与现代规则生态，要么更新节奏与社区支持难以覆盖多内核分支；Clash系在规则表达、订阅驱动的工作流与跨平台工具链上仍更利于长周期维护，尤其适合已经熟悉 Mihomo配置语法的用户。若你希望在一台服务器上把「首配—验证—后续只改订阅与策略组」这条链路跑顺，可以从本站下载页获取对应平台的客户端安装包，在远程桌面里按本文顺序完成自检。把它当成基础设施的一部分来维护，往往比临时拷贝一份陌生配置更省心。