오류 787과 함께 L2TP VPN 실패

이 문서에서는 원격 액세스 서버에 대한 L2TP VPN 연결이 실패할 때 발생하는 오류 787을 해결하는 데 도움이 됩니다.

다음에 적용됩니다.   Windows Server 2012 R2
원래 KB 번호:   2855053

증상

Windows Server 2012 원격 액세스 서버에 대한 L2TP VPN 연결 실패 오류 787 "보안 계층에서 원격 컴퓨터를 인증할 수 아니기 때문에 L2TP 연결 시도가 실패했습니다."

서버는 VPN 연결도 DirectAccess로 구성하고 유효한 인증서가 2개 이상 있습니다. IPHTTPS용 인증서와 L2TP용 인증서 1개 두 인증서 모두 하나 이상의 서버 인증 EKU를 가 습니다. 예: • 서버 인증(1.3.6.1.5.5.7.3.1) • 클라이언트 인증(1.3.6.1.5.5.7.3.2) 또한 선택적으로 • IP 보안 IKE 중간(1.3.6.1.5.5.8.2.2)

인증서 중 하나는 와일드카드 인증서입니다. 인증서는 다른 인증 기관의 인증서일 수도 있습니다.

원인

서버에서 와일드카드 인증서 및/또는 다른 인증 기관의 인증서를 클라이언트에 구성된 컴퓨터 인증서로 사용하기 때문에 L2TP 연결에 대한 IPsec SA 설정이 실패합니다. 라우팅 및 RRAS(원격 액세스)는 컴퓨터 인증서 저장소에서 찾을 수 있는 첫 번째 인증서를 선택하는 것입니다. SSTP 또는 IPHTTPS 또는 기타 수동 구성된 IPsec 규칙과는 다른 L2TP의 경우 인증서 선택을 위한 기본 제공 메커니즘에 따라 RRAS를 사용하게 됩니다. 이에 영향을 줄 수 있는 방법은 없습니다.

해결 방법

가능한 해결 방법에는 두 가지가 있습니다.

  1. IPHTTPS 및 L2TP에 단일 인증서를 사용 합니다.

  2. RRAS 서버에서 수동으로 구성된 L2TP IPsec 정책을 사용하여(클라이언트에는 필요하지 않습니다) 자동으로 구성된 IPsec 정책을 사용하지 않도록 설정할 수 있습니다.

  • 경로: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  • 값 이름: ProhibitIpSec
  • 데이터 형식: REG_DWORD
  • Value: 1

그런 다음 IPsec 정책을 수동으로 추가합니다. 이것은 L2TP 규칙입니다.

규칙 이름: L2TP 수동 규칙
설명: L2TP 수동 규칙
사용: 예
프로필: 비공개, 공용
유형: 동적
모드: 전송
InterfaceTypes: Any
Endpoint1: Any
Endpoint2: 131.107.0.2/32
Port1: Any
Port2: 1701
프로토콜: UDP
작업: RequireInRequireOut
Auth1: ComputerCert
Auth1CAName: DC=com, DC=contoso, DC=corp, CN=corp-DC1-CA
Auth1CertMapping: 아니요
Auth1ExcludeCAName: 아니요
Auth1CertType: Root
Auth1HealthCert: 아니요
MainModeSecMethods: DHGroup2-AES128-SHA256, DHGroup2-AES128-SHA1, DHGroup2-3DES-SHA1
MainModeKeyLifetime: 480min,0sess
QuickModeSecMethods: ESP:SHA1-None+60min+100000kb,ESP:SHA1-AES128+60min+10000kb,ESP:SHA1-3DES+60min+100000kb,AH:SHA1+60min+100000kb
QuickModePFS: None
규칙 원본: 로컬 설정
ApplyAuthorization: 아니요