L2TP VPN이 오류 787로 실패함
이 문서에서는 원격 액세스 서버에 대한 L2TP VPN 연결이 실패할 때 발생하는 오류 787을 해결하는 데 도움이 됩니다.
적용 대상: Windows Server 2012 R2
원본 KB 번호: 2855053
증상
Windows Server 2012 원격 액세스 서버에 대한 L2TP VPN 연결이 실패하고 오류 787 "보안 계층이 원격 컴퓨터를 인증할 수 없어 L2TP 연결 시도가 실패했습니다."
서버는 DirectAccess와 같은 VPN 연결에 대해 구성되며 유효한 인증서가 두 개 이상 있습니다. IPHTTPS용 인증서 1개와 L2TP용 인증서 1개 두 인증서 모두 적어도 서버 인증 EKU가 있습니다. 예: • 서버 인증(1.3.6.1.5.5.7.3.1) • 클라이언트 인증(1.3.6.1.5.5.7.3.2) 선택적으로도 • IP 보안 IKE 중간(1.3.6.1.5.5.5.8.2.2)
인증서 중 하나는 와일드카드 인증서입니다. 인증서는 다른 인증 기관에서 온 것일 수도 있습니다.
원인
서버에서 와일드카드 인증서 및/또는 다른 인증 기관의 인증서를 클라이언트에 구성된 컴퓨터 인증서로 사용하므로 L2TP 연결에 대한 IPsec SA 설정이 실패합니다. RRAS(라우팅 및 원격 액세스)는 컴퓨터 인증서 저장소에서 찾을 수 있는 첫 번째 인증서를 선택합니다. SSTP 또는 IPHTTPS 또는 기타 수동 구성된 IPsec 규칙과 다른 L2TP의 경우 인증서를 선택하기 위해 기본 제공된 RRAS 메커니즘을 사용합니다. 이것에 영향을 미칠 수있는 방법은 없습니다.
해결 방법
두 가지 가능한 솔루션이 있습니다.
IPHTTPS 및 L2TP에 단일 인증서를 사용합니다.
RRAS 서버에서 수동으로 구성된 L2TP IPsec 정책을 사용하고(클라이언트에서는 필요하지 않음) 자동으로 구성된 IPsec 정책을 사용하지 않도록 설정합니다.
- 경로: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
- 값 이름: ProhibitIpSec
- 데이터 형식: REG_DWORD
- 값: 1
그런 다음 IPsec 정책을 수동으로 추가합니다. L2TP 규칙입니다.
규칙 이름: L2TP 수동 규칙
설명: L2TP 수동 규칙
사용: 예
프로필: 프라이빗, 퍼블릭
형식: 동적
모드: 전송
InterfaceTypes: Any
Endpoint1: Any
Endpoint2: 131.107.0.2/32
Port1: Any
포트 2: 1701
프로토콜: UDP
작업: RequireInRequireOut
Auth1: ComputerCert
Auth1CAName: DC=com, DC=contoso, DC=corp, CN=corp-DC1-CA
Auth1CertMapping: 아니요
Auth1ExcludeCAName: 아니요
Auth1CertType: Root
Auth1HealthCert: 아니요
MainModeSecMethods: DHGroup2-AES128-SHA256, DHGroup2-AES128-SHA1, DHGroup2-3DES-SHA1
MainModeKeyLifetime: 480분,0sess
QuickModeSecMethods: ESP:SHA1-None+60min+100000kb,ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3DES+60min+100000kb,AH:SHA1+60min+100000kb
QuickModePFS: 없음
규칙 원본: 로컬 설정
ApplyAuthorization: 아니요
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기