我正在尝试让机器身份验证与 Microsoft“始终在线 VPN”配合使用。我在尝试连接客户端时遇到错误 13801。此错误意味着存在某种与证书相关的问题 - 尽管我已经检查了所有明显的项目。
客户端和 RAS 服务器均将 CA 作为受信任的根颁发机构,并且都已颁发证书,保存在其本地计算机/个人存储中。客户端具有客户端身份验证 EKU,服务器具有服务器身份验证、IPSEC IKE 中间和客户端身份验证 EKU。服务器证书上的主题名称与客户端连接中的主机名匹配。作为故障排除过程的一部分,我还禁用了客户端上的 IKE EKU 和 CRL 检查。
我已经生成了 RRAS 跟踪日志,我所能看到的是 vpnike 模块因错误 13801 而反弹。我没有看到有关它经历的过程、它实际尝试使用哪些证书等的任何信息...
这是我的客户端 VPN 连接的配置输出,它是根据 Microsoft 指示使用系统上下文创建的,因此可以使用机器证书……
ServerAddress : server.domain.com
AllUserConnection : True
Guid : {87C51048-BC50-475F-8CEF-2C9C49687205}
TunnelType : Ikev2
AuthenticationMethod : {MachineCertificate}
EncryptionLevel : Maximum
L2tpIPsecAuth :
UseWinlogonCredential : False
EapConfigXmlStream :
ConnectionStatus : Disconnected
RememberCredential : True
SplitTunneling : True
DnsSuffix :
IdleDisconnectSeconds : 0
答案1
我也遇到了类似的问题,总是无缘无故地出现 13801。
针对我的情况,解决方案是允许 DMZ 中的 RAS 服务器访问 CACRL 检查!
在防火墙中我添加了此规则(NETWORK不是Windows)然后重新启动RAS 服务器。
Interface:DMZ Action:ALLOW SRC:AOVPN-SERVER DST:InternalCA SVC: http
我确实允许所有 SVC 最初放进去以减少这种情况。
答案2
当时我认为我遇到了一个复杂的问题,查看跟踪日志时发现,这个复选框