对于我的 2008+ 机器,我正在努力从使用存储在‘Active Directory 上的 IP 安全策略’下的 IPSEC 设置迁移到使用‘具有高级安全性的 Windows 防火墙’。
我已经成功地使用 Kerberos 身份验证完成了此设置,但是我的 Linux 机器上的 openswan 实现使用的是证书。每当我尝试将身份验证方法更改为计算机证书(使用 RSA 和我的根 CA)时,连接就会中断。
我已经对连接请求策略和根 Windows 高级安全防火墙节点上的 IPSEC 设置进行了此更改。Windows 事件日志显示身份验证请求正在进行,但协商模式失败。
我在这里遗漏了什么?
答案1
经过几周的测试,我最终发现只需在连接安全规则上选中“启用证书到帐户映射”复选框。