什么可能导致 DirectAccess IPSec 主模式错误“未配置策略”

什么可能导致 DirectAccess IPSec 主模式错误“未配置策略”

我们在 Server 2008 R2 上设置了具有端到边缘安全性的 Microsoft DirectAccess VPN,但在管理出隧道方面遇到了问题。

DirectAccess 客户端具有 DC/DNS 和内联网连接,它可以 ping/rdp/等到内联网主机。但是,来自同一内联网主机的连接只能间歇性地到达客户端。有时它可以正常工作,有时则不行。

当尝试建立入站(内部网到客户端)连接时,会记录 IPSec 主模式故障:事件 4653,故障原因为“未配置策略”。

我认为这可能与内联网(公司)访问隧道的状态以及这些策略的配置子网重叠有关。我还没有弄清楚在连接正常和不正常的情况下到底有什么不同。

答案1

DirectAccess 基础结构隧道问题的迹象是您可以 ping 或 RDP 到公司网络上的域控制器的 IPv6 地址,但即使 NRPT 有效,您也无法解析公司 DNS 名称。

经过几年的工作,我发现以下两件事是 DirectAccess 中特定于机器的基础设施隧道问题的最常见原因。

1:证书问题。用于基础设施隧道的第一个凭证是证书。如果证书无效,您将收到“策略未配置”信息。这可能是由于证书过期、主题名称不匹配、证书使用不正确(通过内置计算机模板进行服务器身份验证/客户端身份验证)或您发布的根 CA 或颁发 CA 的吊销列表可能已过期所致。

2:机器帐户问题。用于基础结构隧道的第二个凭据是计算机帐户。当计算机离开并重新加入域或计算机名称被重复使用时,我收到了“策略未配置”的消息。当发生这种情况时,我不一定能在 schannel(nltest)或事件日志中的任何其他地方找到任何问题,但计算机帐户拒绝对 DA 进行身份验证。这也被记录为 DirectAccess 服务器上的 IPSec 主模式故障事件。

我还没有发现任何导致基础设施隧道出现问题的防火墙规则问题(例如重叠子网)。

相关内容