我们在Server 2008 R2上安装了微软的DirectAccess VPN,具有端到端的安全性,而且我们在pipe理输出隧道时遇到了问题。
DirectAccess客户端具有DC / DNS和Intranet连接,它可以ping / rdp / etc到内网主机。 但是,源自这些同一个Intranet主机的连接只能间歇地到达客户端。 有时它可以正常工作,而其他时间则不会。
当尝试入站(Intranet到客户端)连接时,将loggingIPSec主模式失败:事件4653,失败原因为“未configuration策略”。
我认为它可能与intranet(corp)访问隧道的状态有关,并且在这些策略的configuration的子网中有重叠。 在连接工作的情况下,我还没有弄清楚什么是不同的。
DirectAccess基础结构隧道问题的迹象是,您可以将公司networking上的域控制器的IPv6地址ping或RDP,但即使NRPT有效,也无法parsing公司DNS名称。
经过几年的工作,我发现以下两件事是DirectAccess机器特定基础结构隧道问题的最常见原因。
1: 证书问题 。 用于基础结构隧道的第一个凭证是证书。 如果证书无效,您将得到Policy Not Configured。 这可能是由于证书过期,主题名称不匹配,证书使用不正确(通过内置计算机模板进行的服务器身份validation/客户端身份validation)或您发布的根或发布CA的撤销列表可能已过期所导致的。
2: 机器帐户问题 。 用于基础结构隧道的第二个凭证是计算机帐户。 我在机器上收到“策略未configuration”,并且已经退出并重新join域,或者机器名称已被重新使用。 发生这种情况时,我不一定会发现schannel(nltest)或其他事件日志中的任何问题,但计算机帐户拒绝对DA进行身份validation。 这也被logging为DirectAccess服务器上的IPSec主模式故障事件。
我没有发现导致基础设施隧道问题的任何防火墙遵从性规则问题(如重叠的子网)。