私は、2008 以降のボックスで、「Active Directory の IP セキュリティ ポリシー」の下に保存されている IPSEC 設定の使用から、「セキュリティが強化された Windows ファイアウォール」の使用への移行に取り組んでいます。
Kerberos 認証を使用してこれを正常にセットアップできましたが、Linux ボックスの openswan 実装では証明書を使用しています。認証方法をコンピューター証明書 (RSA とルート CA を使用) に変更しようとすると、接続が失敗します。
接続要求ポリシーと、セキュリティが強化されたルート Windows ファイアウォール ノードの IPSEC 設定の両方でこの変更を行いました。Windows イベント ログには、認証要求は行われているが、モードのネゴシエーションに失敗していることが示されています。
ここで何が欠けているのでしょうか?
答え1
数週間のテストを経て、接続セキュリティ ルールの [証明書とアカウントのマッピングを有効にする] チェックボックスをオンにする必要があることが分かりました。