l2tp over ipsec vpn连接失败的排查步骤-k8凯发天生赢家一触即发人生

一、错误789：l2tp连接尝试失败，因为安全层在初始化与远程计算机的协商时遇到一个出来错误
 
1.原理说明：
     要配置两台通过 lan 连接的、基于 windows 2000 的路由和远程访问服务服务器，使它们使用一个采用预共享密钥身份验证的 l2tp/ipsec 连接，必须向           l2tp/ipsec 连接上的每台基于 windows 2000 的终结点计算机添加 prohibitipsec 注册表值，以防止创建用于 l2tp/ipsec 通信的自动筛选器。
     prohibitipsec 注册表值设置为 1 时，基于 windows 2000 的计算机不会创建使用 ca 身份验证的自动筛选器，而是检查本地 ipsec 策略或 active directory ipsec 策略。
     微软参考文档：http://support.microsoft.com/kb/240262/zh-cn
2.解决方法：
     a、windows2000/xp系统
     要向基于 windows 2000/xp 的计算机添加 prohibitipsec 注册表值，请按照下列步骤操作：
          1)单击“开始”，单击“运行”，键入 regedt32，然后单击“确定”。
          2)找到下面的注册表子项，然后单击它：
          hkey_local_machine\system\currentcontrolset\services\rasman\parameters
          3)在“编辑”菜单上，单击“添加值”。
          4)在“值名称”框中，键入 prohibitipsec。
          5)在“数据类型”列表中，单击“reg_dword”，然后单击“确定”。
          6)在“数据”框中，键入 1，然后单击“确定”。
          7)退出注册表编辑器，然后重新启动计算机。
     b、windows vista/7系统
     window vista/7系统下设置于xp类似，也可以按照下面方法，直接导入注册表文件方式处理。
          1)新建文本文档，复制以下代码到文件中：
          windows registry editor version 5.00
                   [hkey_local_machine\system\currentcontrolset\services\rasman\parameters]
                   "medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00
                   "servicedll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
                   00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
                   72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
                   "ipoutlowwatermark"=dword:00000001
                   "ipouthighwatermark"=dword:00000005
                   "prohibitipsec"=dword:00000001
                   [hkey_local_machine\system\currentcontrolset\services\rasman\parameters\quarantine]
                   "enabled"=dword:00000001
                   "autorefreshenabled"=dword:00000000
                   "autorefreshtimeout"=dword:01808580
                   "workitemtimeout"=dword:00000bb8
          2)修改文件后缀名为.reg文件，双击导入，重启电脑。

二、错误 792: l2tp 连接尝试失败，因为安全协商超时

1. 原理说明：
     您必须在客户端配置预共享的密钥，但密钥没有配置在路由和远程访问服务的服务器上，则会发生此问题。如果您设置了这种类型的配置，您可以收到错误信息，即使客户端和服务器上配置了有效的证书。
     微软参考文档：http://support.microsoft.com/kb/299307/zh-cn
2.解决方法：
     若要解决此问题，请删除预共享的密钥从客户端，这样才能发生 （通过使用证书） 的安全协商过程：
             1)在控制面板中，双击网络连接
             2)在虚拟专用网络部分中，用鼠标右键单击想要修改，l2tp 连接取，然后单击属性
             3)单击安全选项卡中的ipsec 设置
             4)单击以清除使用预共享的密钥进行身份验证复选框，然后再单击确定
             5)再次单击确定退出连接取的对话框。