none
l2tp на windows 2003 RRS feed

  • Вопрос

  • Доброго дня, коллеги.

    В связи с большущим багом в 2008 сервере, пришлось маршрутизацию разворачивать на старом добром 2003.

    Но тут возникли проблемы. Если в 2008 все работало, то в 2003 не пашет.

    Сделал подключение к впн серверу через l2tp.

    Клиент цепляется по айпи адресу извне, если же я ставлю внешнее имя, к примеру vpn.firma.com, то получаю ошибку 835:

    попытка l2tp-подключения не удалась, поскольку не удалось проверить подлинность удаленного компьютера на уровне безопасности. Возможно, одно или несколько полей сертификата, предоставленного удаленным сервером, не прошли проверку на принадлежность к объекту назначения

    На 2008, я поборол эту ошибку, сделав отдельный шаблон на основе WebServer, добавил улучшенный ключ Проверка подлинности клиента, добавил в него дополнительные имена субъекта (всевозможные днс имена), выдал и сказал, что для проверки l2tp использовать этот сертификат.

    Все клиенты стали спокойно подключаться по имени.

    На 2003 такая выдача не канает, ошибка все равно 835.

    Куда копать?

    8 марта 2012 г. 3:46

Все ответы

  • тесты привели к самому интересному.

    на впн сервере, в сертификатах локального компьютера, остался только сертификат с шаблона WebServer, в котором только "Проверка подлинности сервера"

    ВПН клиент коннектится!

    Как такое может быть ? Проверки подлинности клиента ведь нет в этом сертификате.

    8 марта 2012 г. 6:14
  • Собственно, уже в описании ошибки был заложен ответ: "попытка l2tp-подключения не удалась, поскольку не удалось проверить подлинность удаленного компьютера на уровне безопасности". Т.е. подключиться не удается именно из-за того, что подлинность сервера (т.к. лог вы смотрите на клиенте, насколько я понял) не может быть проверена. В теме http://social.technet.microsoft.com/Forums/hr/winserverNIS/thread/1dcfb74b-a715-4945-a07a-83ea2cc727b6 обсуждалась схожая ситуация - обратите внимание на причины возникновения ошибки 835.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


    11 марта 2012 г. 8:51
    Модератор
  • Юрий, спасибо за ответ.

    Но, как я писал выше, если я прописываю коннект по IP, то коннект происходит без проблем.

    С сертификатом проблема возникает, если в "дополнительном имени" нет внешнего dns имени.

    Ошибка так и ссылается "Возможно, одно или несколько полей сертификата, предоставленного удаленным сервером, не прошли проверку на принадлежность к объекту назначения"

    и Даже выдавая сертификат с дополнительным имененм, я не могу подключиться. Все равно ссылается на неверный сертификат.

    В 2008 такой сертификат работал!




    • Изменено clippart 11 марта 2012 г. 8:57
    11 марта 2012 г. 8:55