andre-lie 10 Geschrieben 4. März 2011 Melden Teilen Geschrieben 4. März 2011 Hallo Zusammen, ich habe mich schon desöftern hier durch viele Beiträge gelesen, u.a. auch zu dem automatischen Verteilen von Benutzerzertifikaten. Leider habe ich ein sehr merkwürdiges Problem: Das Ziel ist die VPN-Einwahl von PPTP auf L2TP/IPSEC und ggf. später einmal SSTP umzustellen. Ich habe auf einem Windows 2008 Enterprise Server eine AD-integrierte CA aufgesetzt. Es werden bereits Computerzertifikate per GPO verteilt, ebenso Benutzerzertifikate für mich, um das Enrollment zu testen. Auf einem Server läuft der integrierte Routing & Ras Dienst (gleicher Server wie die CA) für die bisher simple PPTP VPN Einwahl (extra VPN User mit Einwahlberechtigung). Für die Migration auf L2TP habe ich nun im NPS die Berechtigung für die normalen Domänenbenutzer festgesetzt: Tunneltyp: L2TP Authentifizierungsmethoden: EAP-Typen: PEAP (hier speziell nur Zertifikate) und Smartcard- oder anderes Zertifikat. Die Einwahl habe ich anschließend von meinem PC ausprobiert. Zuerst z.B. mit L2TP und EAP-MSCHAP-V2. Diese Kombination funktionierte, allerdings erhielt ich bei der Auswahl von Smartcard- oder anderes Zertifikat immer einen Fehler bei dem Verbindungsversuch ("Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authenticaiton-Protokoll verwendet werden kann.") EDIT: Die beiden Zertifikate (Computer & Benutzerzertifikat) erhielt ich per automatischem Rollout über GPO, auch an den richtigen Positionen. /EDIT Daraufhin habe ich ein Benutzerzertifikat über die MMC manuell angefragt und ab diesem Zeitpunkt funktionierte die Einwahl. Die Vorlage habe ich bereits ersetzt. Hat irgendjemand eine Idee wo das Problem liegen könnte? Als zweite Frage noch: Wo liegt der Unterschied zwischen PEAP mit Zertifikaten und der direkten Auswahl Zertifikat? Vielen Dank & viele Grüße, André Zitieren Link zu diesem Kommentar
andre-lie 10 Geschrieben 8. März 2011 Autor Melden Teilen Geschrieben 8. März 2011 Hi, ich habe heute noch etwas weiter geforscht. Das Problem war gelöst, als ich eine neue Vorlage, aber dieses Mal auf Basis der Kompatibilität zu einer 2003er Vorlage erstellt habe. Der Thread kann damit geschlossen werden. Viele Grüße, André Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.