確定 Windows VPN 連接錯誤 13801 的根本原因

我正在嘗試讓機器身份驗證與 Microsoft“始終使用 vpn”一起工作。我在嘗試與客戶端連接時遇到錯誤 13801。這個錯誤意味著存在某種與證書相關的問題——儘管我已經檢查了所有明顯的項目。

客戶端和 RAS 伺服器都將 CA 作為受信任的根授權，並且都已頒發證書，保存在其本地電腦/個人儲存中。客戶端具有客戶端身份驗證 EKU，伺服器具有伺服器身份驗證、IPSEC IKE 中間和客戶端身份驗證 EKU。伺服器證書上的主題名稱與客戶端連接中的主機名匹配。作為故障排除過程的一部分，我還禁用了客戶端上的 IKE EKU 和 CRL 檢查。

我已經生成了 RRAS 跟踪日誌，我所看到的只是 vpnike 模組正在以錯誤 13801 回退。我看不到它所經歷的任何過程，它實際嘗試使用的證書等等……

這是我的客戶端 VPN 連接上的配置輸出，它是使用系統上下文根據 Microsoft 指示創建的，因此可以使用機器證書…

ServerAddress         : server.domain.com
AllUserConnection     : True
Guid                  : {87C51048-BC50-475F-8CEF-2C9C49687205}
TunnelType            : Ikev2
AuthenticationMethod  : {MachineCertificate}
EncryptionLevel       : Maximum
L2tpIPsecAuth         :
UseWinlogonCredential : False
EapConfigXmlStream    :
ConnectionStatus      : Disconnected
RememberCredential    : True
SplitTunneling        : True
DnsSuffix             :
IdleDisconnectSeconds : 0

在這裡，我在想我遇到了一個複雜的問題，查看跟踪日誌時，是不是這個複選框

我也一直在無緣無故地獲得 13801 時遇到類似的問題。

我的情況的解決方案是，允許 DMZ 中的 RAS 伺服器訪問 CA 以進行CRL 檢查！

在防火牆中，我添加了此規則（網路不是 Windows），然後重新啟動了 RAS 伺服器。

Interface:DMZ Action:ALLOW SRC:AOVPN-SERVER DST:InternalCA SVC: http

我最初為 SVC 做了一個 allow ALL 會減少這個。

引用自：https://serverfault.com/questions/1011192