Windows

確定 Windows VPN 連接錯誤 13801 的根本原因

  • March 5, 2021

我正在嘗試讓機器身份驗證與 Microsoft“始終使用 vpn”一起工作。我在嘗試與客戶端連接時遇到錯誤 13801。這個錯誤意味著存在某種與證書相關的問題——儘管我已經檢查了所有明顯的項目。

客戶端和 RAS 伺服器都將 CA 作為受信任的根授權,並且都已頒發證書,保存在其本地電腦/個人儲存中。客戶端具有客戶端身份驗證 EKU,伺服器具有伺服器身份驗證、IPSEC IKE 中間和客戶端身份驗證 EKU。伺服器證書上的主題名稱與客戶端連接中的主機名匹配。作為故障排除過程的一部分,我還禁用了客戶端上的 IKE EKU 和 CRL 檢查。

我已經生成了 RRAS 跟踪日誌,我所看到的只是 vpnike 模組正在以錯誤 13801 回退。我看不到它所經歷的任何過程,它實際嘗試使用的證書等等……

這是我的客戶端 VPN 連接上的配置輸出,它是使用系統上下文根據 Microsoft 指示創建的,因此可以使用機器證書…

ServerAddress         : server.domain.com
AllUserConnection     : True
Guid                  : {87C51048-BC50-475F-8CEF-2C9C49687205}
TunnelType            : Ikev2
AuthenticationMethod  : {MachineCertificate}
EncryptionLevel       : Maximum
L2tpIPsecAuth         :
UseWinlogonCredential : False
EapConfigXmlStream    :
ConnectionStatus      : Disconnected
RememberCredential    : True
SplitTunneling        : True
DnsSuffix             :
IdleDisconnectSeconds : 0

在這裡,我在想我遇到了一個複雜的問題,查看跟踪日誌時,是不是這個複選框

我也一直在無緣無故地獲得 13801 時遇到類似的問題。

我的情況的解決方案是,允許 DMZ 中的 RAS 伺服器訪問 CA 以進行CRL 檢查!

在防火牆中,我添加了此規則(網路不是 Windows),然後重新啟動了 RAS 伺服器。

Interface:DMZ Action:ALLOW SRC:AOVPN-SERVER DST:InternalCA SVC: http

我最初為 SVC 做了一個 allow ALL 會減少這個。

引用自:https://serverfault.com/questions/1011192