我面临的挑战是设置我们的 Unifi USG 以接受来自加入域的单个笔记本电脑的连接。我让支持的 L2TP 服务器运行起来(因为我自己已经使用它几个月进行远程管理员访问),将 RADIUS 添加到我们的域,并让 USG 访问该 RADIUS 服务器以对域管理员和 VPN 用户安全组的用户进行身份验证。这很棒!
我现在面临的问题是,在测试各种 GPO 部署技术时,我遇到了一个新错误。我发现最适合我自动设置 VPN 连接的技术是使用登录 powershell 脚本。在测试中,我确实尝试使用 GPO 中的网络连接选项来部署 L2TP VPN 配置文件,但这行不通,因为我们必须使用预共享密钥(根据 Unifi 支持的选项)并通过 CMAK 配置文件进行部署。CMAK 配置文件不允许在登录时进行连接,所以我不在乎这个选项。
虽然我有一个成功的部署选项,但我们收到如下图所示的错误。
我在谷歌上没有找到任何关于此错误的信息,也不知道是什么原因造成的。我不知道域上是否有任何 GPO 会导致此错误,甚至不知道是什么原因导致此消息。一些文章指出,这可能与 MDM 和 Azure AD 有关。我们确实有 Office365,并使用 Azure AD Sync 同步我们的用户,以便在 O365 上进行 SSO,但我们没有在 Azure AD 上设置任何其他东西。
当我尝试连接到由我的 powershell 命令添加的 VPN 配置文件或任何其他手动添加的 VPN 配置文件时,它们会显示该错误。值得注意的是,当我在登录屏幕并选择通过 VPN 登录时,我可以很好地连接到 VPN。登录后我无法连接或重新连接...
这是我正在使用的 powershell 脚本
Add-VpnConnection -Name "Test" -ServerAddress "vpn.company.org" -TunnelType L2TP -L2tpPsk "my super secret psk" -Force -UseWinlogonCredential $true -AuthenticationMethod MSChapv2 -SplitTunneling $false -EncryptionLevel "Optional"