Depois de algumas semanas de teste, finalmente consegui concluir a necessidade de marcar a caixa de seleção "Ativar certificado para mapeamento de conta" na minha regra de segurança de conexão.
Estou trabalhando na migração do uso de configurações IPSEC armazenadas sob as 'Políticas de segurança IP no Active Directory' para o uso do 'Firewall do Windows com Segurança Avançada' nas minhas caixas de 2008+.
Consegui obter essa configuração usando a autenticação Kerberos, mas a implementação do meu openswan em minhas caixas do Linux está usando certificados. Sempre que tento alterar o método de autenticação para o certificado de computador (usando RSA e minha CA raiz), a conexão está sendo eliminada.
Eu fiz essa alteração na política de solicitação de conexão e nas configurações IPSEC no nó raiz do Firewall do Windows com Segurança Avançada. O log de eventos do Windows mostra que a solicitação de autenticação está ocorrendo, mas não está negociando um modo.
O que estou perdendo aqui?