O que pode causar um erro no modo principal IPSec do DirectAccess “nenhuma política configurada”

1

Temos o DirectAccess VPN da Microsoft configurado no Server 2008 R2 com segurança de ponta a ponta e estamos tendo problemas com o túnel de gerenciamento.

O cliente DirectAccess tem conectividade DC / DNS e intranet, pode fazer ping / rdp / etc para hosts de intranet. No entanto, as conexões originadas desses mesmos hosts de intranet só podem atingir o cliente de maneira intermitente. Às vezes funciona bem, outras vezes não.

Quando uma conexão de entrada (intranet para cliente) é tentada, há uma falha no modo principal do IPSec registrada: Evento 4653 com um motivo de falha de "Nenhuma política configurada".

Acho que pode estar relacionado ao estado do túnel de acesso à intranet (corp) e a uma sobreposição nas sub-redes configuradas para essas políticas. Eu não descobri exatamente o que é diferente no cenário em que a conexão funciona e onde ela não funciona.

    
por Mike Haboustak 16.09.2011 / 20:08

1 resposta

1

Os sinais de um problema no túnel da infraestrutura do DirectAccess são que você pode fazer ping ou RDP para o endereço IPv6 de um controlador de domínio na rede corporativa, mas não pode resolver nomes DNS corporativos mesmo que o NRPT seja válido.

Depois de alguns anos trabalhando com ele, descobri que as duas razões a seguir são os motivos mais comuns para problemas de túnel de infraestrutura específicos da máquina com o DirectAccess.

1: Problemas com certificados . A primeira credencial usada para o túnel de infraestrutura é um certificado. Você receberá Política não configurada se o certificado for inválido. Isso pode ser causado por um certificado expirado, incompatibilidade do nome da entidade, uso de certificado incorreto (autenticação do servidor / autenticação do cliente por meio do modelo de computador interno) ou sua lista de revogação publicada da raiz ou CA de emissão pode estar desatualizada.

2: Problemas na conta da máquina . A segunda credencial usada para o túnel de infraestrutura é a conta do computador. Eu recebi "Política não configurada" nas máquinas, saí e reingrei o domínio ou quando o nome da máquina foi reutilizado. Quando isso acontece, não consigo encontrar necessariamente nenhum problema com schannel (nltest) ou qualquer outro lugar no log de eventos, mas a conta do computador se recusa a autenticar para o DA. Isso também é registrado como um evento de falha do modo principal IPSec no servidor DirectAccess.

Eu não identifiquei nenhum problema de regra consec que causa problemas com o túnel de infraestrutura (como uma sub-rede sobreposta).

    
por 07.03.2013 / 13:58