Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce informazioni utili per correggere l'errore 787 che si verifica quando una connessione VPN L2TP a un server di Accesso remoto ha esito negativo.
Numero KB originale: 2855053
Sintomi
Una connessione VPN L2TP a un server accesso remoto di Windows Server 2012 ha esito negativo e viene visualizzato l'errore 787 "Il tentativo di connessione L2TP non è riuscito perché il livello di sicurezza non è riuscito a autenticare il computer remoto".
Il server è configurato per le connessioni VPN come DirectAccess e dispone di almeno due certificati validi. Un certificato per IPHTTPS e uno per L2TP. Entrambi i certificati hanno almeno l'autenticazione server EKU, ad esempio: • Autenticazione server (1.3.6.1.5.5.7.3.1) • Autenticazione client (1.3.6.1.5.5.7.3.2) facoltativamente • Ip security IKE intermediate (1.3.6.1.5.5.8.2.2)
Uno dei certificati è un certificato con caratteri jolly. I certificati possono anche essere provenienti da autorità di certificazione diverse.
Causa
L'impostazione sa IPsec per la connessione L2TP non riesce perché il server usa il certificato con caratteri jolly e/o un certificato di un'autorità di certificazione diversa come certificato del computer configurato nei client. Routing e accesso remoto sceglie il primo certificato che può trovare nell'archivio certificati del computer. Per L2TP, diverso da SSTP o IPHTTPS o da qualsiasi altra regola IPsec configurata manualmente, si fa affidamento sul meccanismo RRAS predefinito per la scelta di un certificato. Non c'è modo di influenzare questo.
Risoluzione
Esistono due possibili soluzioni:
Usare un singolo certificato per IPHTTPS e L2TP.
Usare un criterio IPsec L2TP configurato manualmente nel server RRAS (non è necessario nei client) e disabilitare i criteri IPsec configurati automaticamente.
- Percorso: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
- Nome valore: ProhibitIpSec
- Tipo di dati: REG_DWORD
- Value: 1
Aggiungere quindi manualmente un criterio IPsec: si tratta di una regola L2TP:
Nome regola: Regola manuale L2TP
Descrizione: Regola manuale L2TP
Abilitato: Sì
Profili: Privato, Pubblico
Tipo: Dinamico
Modalità: Trasporto
InterfaceTypes: Any
Endpoint1: Qualsiasi
Endpoint2: 131.107.0.2/32
Port1: Any
Porta2: 1701
Protocollo: UDP
Azione: RequireInRequireOut
Auth1: ComputerCert
Auth1CAName: DC=com, DC=contoso, DC=corp, CN=corp-DC1-CA
Auth1CertMapping: No
Auth1ExcludeCAName: No
Auth1CertType: Root
Auth1HealthCert: No
MainModeSecMethods: DHGroup2-AES128-SHA256, DHGroup2-AES128-SHA1, DHGroup2-3DES-SHA1
MainModeKeyLifetime: 480min,0sess
QuickModeSecMethods: ESP:SHA1-None+60min+100000kb,ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3DES+60min+100000kb,AH:SHA1+60min+100000 kb
QuickModePFS: Nessuno
Origine regola: impostazione locale
ApplyAuthorization: No