Краткое описание проблемы:
Windows RRAS отказывается принимать IKEv2 подключения
после перезагрузки сервиса и (или) компьютера.
Детали:
Пытаюсь настроить VPN сервер на базе Windows Server 2012 R2. VPN сервер включен в домен. В домене есть центр сертификации. Этим центром сертификации выдан сертификат с политикой применения: "Проверка подлинности сервера" и "IKE-посредник IP-безопасности" для VPN сервера. Корневой сертификат установлен в хранилище компьютера на сервере и клиенте.
Сразу после конфигурации VPN сервер работает и принимает IKEv2 подключения.
Однако если сервис перезагрузить (а он в любом случае будет перезагружен, если понадобится перезагрузить сервер), то клиенты начинают получать код ошибки 13801.
В журнале событий на клиенте можно найти следующее сообщение "CoID={728166D6-3FD2-412E-8C7A-13660AC739A1}: Пользователь %domain%\%username% установил удаленное подключение vpn.%domain%.org, которое завершилось сбоем. Возвращен код ошибки 13801.
В журнале событий на сервере можно найти следующее сообщение "CoId={728166D6-3FD2-412E-8C7A-13660AC739A1}: The following error occurred in the Point to Point Protocol module on port: VPN2-481, UserName: <Unauthenticated User>. Negotiation timed out".
На сайте
technet сказано что такая ошибка может возникать в 4 случаях:
- Закончится срок действия сертификата - это не так
- Корневого сертификата нет на клиента - это не так
- Имя субъекта сертификата не соответствует имени компьютера - это не так
- Сертификат не имеет требуемых политик применения - насколько я могу судить, это тоже не так
Вопрос:
Как решить эту проблему?
Дополнение:
После перезагрузки сервера L2TP, SSTP, PPTP работают. Отваливается только IKEv2.
Средний
