Dr.Verpeilung 10 Geschrieben 7. Juli 2009 Melden Teilen Geschrieben 7. Juli 2009 Hallo Zusammen, folgendes Testnetzwerk habe ich unter VMWare im Einsatz: 1) W2008-DC (DC, DNS, eigenständige Zertifizierungsstelle) 2) W2008-VPN (Mitgliedsserver, NAP Server, RRAS) 3) VISTA-CLIENT (Mitglied der Domäne) Nun habe ich für den W2008-VPN ein Serverauthentifizierungszertifikat ausgestellt. Für VISTA-CLIENT ein Clientauthentifizierungszertifikat auf dem der Benutzername (administrator@w2008.lan) drauf steht. Wenn ich mich jetzt allerdings über EAP einwähle, bekomme ich folgenden Fehler. Eventlog-Sicherheit: Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 07.07.2009 17:15:58 Ereignis-ID: 6273 Aufgabenkategorie:Netzwerkrichtlinienserver Ebene: Informationen Schlüsselwörter:Überwachung gescheitert Benutzer: Nicht zutreffend Computer: w2008-vpn.w2008.lan Beschreibung: Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten. Benutzer: Sicherheits-ID: W2008\administrator Kontoname: administrator@w2008.lan Kontodomäne: W2008 Vollqualifizierter Kontoname: w2008.lan/Users/Administrator Clientcomputer: Sicherheits-ID: NULL SID Kontoname: - Vollqualifizierter Kontoname: - Betriebssystemversion: - Empfangs-ID: - Anrufer-ID: 192.168.1.1 NAS: NAS-IPv4-Adresse: 192.168.1.253 NAS-IPv6-Adresse: - NAS-ID: W2008-VPN NAS-Porttyp: Virtuell NAS-Port: 256 RADIUS-Client: Clientname: W2008-VPN Client-IP-Adresse: 192.168.1.253 Authentifizierungsdetails: Proxyrichtlinienname: Microsoft Routing und RAS-Richtlinie Netzwerkrichtlinienname: Einwahl Authentifizierungsanbieter: Windows Authentifizierungsserver: w2008-vpn.w2008.lan Authentifizierungstyp: EAP EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat Kontositzungs-ID: 37 Begründungscode: 295 Grund: Die Zertifizierungskette wurde richtig verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten. Und im Systemlog steht: Protokollname: System Quelle: RemoteAccess Datum: 07.07.2009 17:28:36 Ereignis-ID: 20255 Aufgabenkategorie:Keine Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: w2008-vpn.w2008.lan Beschreibung: CoID={FFD951D6-8827-4693-9DB7-E363253E8D62}: Im Point to Point-Protokoll-Modul an Port: VPN2-127, Benutzername: administrator@w2008.lan, ist folgender Fehler aufgetreten.Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server zum Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden. Der Client selber protokolliert einfach nur den Fehler 0x8009030C. Das ClientAuth Zertifikat habe ich in AD dem User hinterlegt. Was bei der Anforderung des ServerAuth Zertifikat nicht ganz sauber war, ist dass das Zertifikat nicht direkt für den lokalen Computerspeicher ausgestellt werden kann. Die Option die es noch unter W2003 gab, gibt es hier nicht mehr. Also habe ich das Zertifikat mit privatem Schlüssel nach Installation exportiert und im Computerspeicher wieder importiert... Hat jemand ein Idee? Zitieren Link zu diesem Kommentar
Dr.Verpeilung 10 Geschrieben 7. Juli 2009 Autor Melden Teilen Geschrieben 7. Juli 2009 Diese Funktion meinte ich unter W2003: Zertifikat in lokalem Zertifikatspeicher aufbewahren Zertifikat wird im lokalen Zertifikatspeicher gespeichert, nicht in dem Speicher des Benutzers. Installiert nicht das Stammzertifizierungsstellen- zertifikat. Nur Administratoren dürfen Schlüssel im lokalen Speicher erstellen oder verwenden. Zitieren Link zu diesem Kommentar
Dr.Verpeilung 10 Geschrieben 16. Juli 2009 Autor Melden Teilen Geschrieben 16. Juli 2009 Niemand eine Idee oder ein VPN mit EAP mal augesetzt? Zitieren Link zu diesem Kommentar
Dr Kiffer 10 Geschrieben 16. Juli 2009 Melden Teilen Geschrieben 16. Juli 2009 Hallo Dr.Verpeilung, mhh sieht so aus als wenn der NAP nicht das richtige Zertifikat verwendet. Schau mal in deiner Netzwerkrichtlinie unter Einschränkungen --> Authentifizierungsmethode. Da wirs du ja "Smartcard oder anderes Zertifikat" in den EAP Typen stehen haben. Den Eintrag kannst du bearbeiten und das korrekte Zertifikat von deiner zertifizierungstelle auswählen. Gruß Danny Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.