使用win7自带客户端与防火墙对接进行L2TP over IPSEC拨号失败

发布时间:  2014-09-12 浏览次数:  416 下载次数:  0
问题描述
使用win7自带的客户端与Eudemon1000E防火墙对接进行L2TP over IPSEC拨号,使用非域账号能够拨号成功,使用域账号拨号失败。win7上的用户名、域名设置:
告警信息
处理过程
直接在“用户名”栏输入域名,即可认证通过,设置如下:

根因
1、使用非域账号能够拨号成功,正忙链路上其他的参数配置应该没有问题,问题应该出在用户名的处理上。
2、打开debugging 开关调试用户的认证处理,发现报如下错误:
*0.2647650 USG2200 AAA/7/AAADBG:                                              
AAA EVENT:CID = 2,UserName = AAAA\win77 Start authen                         
*0.2647760 USG2200 AAA/7/AAADBG:                                              
AAA EVENT:CID = 2,get domain index 0 to temp domain index                    
*0.2647870 USG2200 AAA/7/AAADBG:                                              
AAA EVENT:CID 2 State From aaa_auth_idle To aaa_authed                       
*0.2647980 USG2200 AAA/7/AAADBG:                                              
AAA EVENT:CID = 2,UserName = AAA\win77  Local Authen No Find User   ----表示查找不到该用户        
*0.2648100 USG2200 AAA/7/AAADBG:                                              
AAA ERROR:CID = 2,UserName = AAAA\win77 Authentication request dispatch fail!
win7使用的域分割符为“\”,而防火墙侧是使用“@”做为域分割符的,所以将“AAAA\win77”识别为纯用户名,故无法查找到用户及用户的域,拨号失败。
建议与总结
使用其他的终端认证或拨号时,遇到域账号认证、拨号失败时,也可以尝试将域名与用户名做为一个整体填写在“用户名”一栏,同时需要确认对端设备使用哪个符号作为域分隔符。

END