mardi 5 juillet 2011

[UAG] DiretAccess : ERROR_IPSEC_AUTH_FAIL


Il y a un moment lors d'un déploiement de DirectAccess au travers d'UAG je suis tombé sur un souci assez atypique. En effet bien que les interfaces de transition (IP-HTTPS ou Teredo) étaient bien connectée, les tunnels IPsec quant à eux refusaient de se connecter.

Suite à une analyse de trame il s'avère que le problème se situait au niveau des certificats avec pour code d'erreur ERROR_IPSEC_AUTH_FAIL, alors que l'administrateur me confirmait bien avoir suivi tous les prérequis liés à ces derniers.

En regardant de plus près cette erreur le code d'erreur 0x000035E9 ERROR_IPSEC_AUTH_FAIL remontait un problème au niveau de la négociation d'identification dans les échanges IKE.

Cette erreur était aussi immédiatement suivie d'une seconde erreur  0x000035EE ERROR_IPSEC_IKE_NO_CERT alors que le poste client ainsi que la passerelle DirectAccess possédait bien tous deux des certificats machine.


Après investigation au travers des événements CAPI2 la seule différence notable était la suivante :
  • Le serveur Forefront UAG situé en DZM utilisait une PKI dédié à cette dernière.
  • Le poste client utilisait quant à lui une PKI situé dans le réseau de production.
Les certificats machines devant être émis depuis la même chaîne de certification: autorité subordonnée ou racine commune. Le problème venait donc de là, après avoir réémis tous les certificats machines depuis la même autorité tout est rentré dans l'ordre.

Morale de l'histoire : toujours vérifier les certificats dans les moindres détails, y compris l'autorité éméttrice sans faire une confiance aveugle à ce que pourrait dire la personne en charge. Cela évitera à certains de tourner en rond pendant plusieurs jours :).

Aucun commentaire:

Publier un commentaire