我正在尝试让机器身份验证与 Microsoft“始终使用 vpn”一起工作。我在尝试与客户端连接时遇到错误 13801。这个错误意味着存在某种与证书相关的问题——尽管我已经检查了所有明显的项目。
客户端和 RAS 服务器都将 CA 作为受信任的根授权,并且都已颁发证书,保存在其本地计算机/个人存储中。客户端具有客户端身份验证 EKU,服务器具有服务器身份验证、IPSEC IKE 中间和客户端身份验证 EKU。服务器证书上的主题名称与客户端连接中的主机名匹配。作为故障排除过程的一部分,我还禁用了客户端上的 IKE EKU 和 CRL 检查。
我已经生成了 RRAS 跟踪日志,我所看到的只是 vpnike 模块正在以错误 13801 回退。我看不到它所经历的任何过程,它实际尝试使用的证书等等......
这是我的客户端 VPN 连接上的配置输出,它是使用系统上下文根据 Microsoft 指示创建的,因此可以使用机器证书...
ServerAddress : server.domain.com
AllUserConnection : True
Guid : {87C51048-BC50-475F-8CEF-2C9C49687205}
TunnelType : Ikev2
AuthenticationMethod : {MachineCertificate}
EncryptionLevel : Maximum
L2tpIPsecAuth :
UseWinlogonCredential : False
EapConfigXmlStream :
ConnectionStatus : Disconnected
RememberCredential : True
SplitTunneling : True
DnsSuffix :
IdleDisconnectSeconds : 0
我也一直在无缘无故地获得 13801 时遇到类似的问题。
我的情况的解决方案是,允许 DMZ 中的 RAS 服务器访问 CA 以进行CRL 检查!
在防火墙中,我添加了此规则(网络不是 Windows),然后重新启动了 RAS 服务器。
我最初为 SVC 做了一个 allow ALL 会减少这个。
在这里,我在想我遇到了一个复杂的问题,查看跟踪日志时,是不是这个复选框