Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit de l’aide pour corriger l’erreur 787 qui se produit lorsqu’une connexion VPN L2TP à un serveur d’accès à distance échoue.
Numéro de base de connaissances d’origine : 2855053
Symptômes
Une connexion VPN L2TP à un serveur d’accès à distance Windows Server 2012 échoue avec l’erreur 787 « Échec de la tentative de connexion L2TP, car la couche de sécurité n’a pas pu authentifier l’ordinateur distant ».
Le serveur est configuré pour les connexions VPN et DirectAccess et possède au moins deux certificats valides. Un certificat pour IPHTTPS et un pour L2TP. Les deux certificats ont au moins la référence EKU d’authentification du serveur, par exemple : • Authentification du serveur (1.3.6.1.5.7.3.1) • Authentification du client (1.3.6.1.5.5.7.3.2) éventuellement • Intermédiaire IKE de sécurité IP (1.3.6.1.5.5.8.2.2)
L’un des certificats est un certificat générique. Les certificats peuvent également provenir de différentes autorités de certification.
Cause
L’établissement SA IPsec pour la connexion L2TP échoue, car le serveur utilise le certificat générique et/ou un certificat d’une autre autorité de certification que le certificat d’ordinateur configuré sur les clients. Le service Routage et accès à distance (RRAS) choisit le premier certificat qu’il trouve dans le magasin de certificats de l’ordinateur. Pour L2TP, différent de SSTP ou IPHTTPS ou toute autre règle IPsec configurée manuellement, vous vous appuyez sur le mécanisme intégré RRAS pour choisir un certificat. Il n’y a aucun moyen d’influencer cela.
Résolution
Il existe deux solutions possibles :
Utilisez un certificat unique pour IPHTTPS et L2TP.
Utilisez une stratégie IPsec L2TP configurée manuellement sur le serveur RRAS (il n’est pas nécessaire sur les clients) et désactivez la stratégie IPsec configurée automatiquement.
- Chemin d’accès : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
- Nom de la valeur : ProhibitIpSec
- Type de données : REG_DWORD
- Valeur : 1
Ensuite, ajoutez une stratégie IPsec manuellement : il s’agit d’une règle L2TP :
Nom de la règle : règle manuelle L2TP
Description : règle manuelle L2TP
Activée : Oui
Profils : Privé, Public
Type : dynamique
Mode : Transport
InterfaceTypes : Any
Point de terminaison1 : n’importe quel
Point de terminaison2 : 131.107.0.2/32
Port1 : n’importe quel
Port2 : 1701
Protocole : UDP
Action : RequireInRequireOut
Authentification1 : ComputerCert
Auth1CAName : DC=com, DC=contoso, DC=corp, CN=corp-DC1-CA
Auth1CertMapping : Non
Auth1ExcludeCAName : No
Auth1CertType : Racine
Auth1HealthCert : Non
MainModeSecMethods : DHGroup2-AES128-SHA256, DHGroup2-AES128-SHA1, DHGroup2-3DES-SHA1
MainModeKeyLifetime : 480min,0sess
QuickModeSecMethods : ESP :SHA1-None+60min+100000kb,ESP :SHA1-AES128+60min+100000kb,ESP :SHA1-3DES+60min+100000kb,AH :SHA1+60min+100000kb
QuickModePFS : Aucun
Source de la règle : paramètre local
ApplyAuthorization : Non