shoty 10 Geschrieben 27. November 2019 Melden Teilen Geschrieben 27. November 2019 Hallo, ich bin etwas verzweifelt. Ich habe einen RAS Server für eine AlwaysON VPN Einwahl aufgesetzt. Die Clients wählen sich per IKEv2 Computerzertifikat und Devicetunnel automatisch ein. Dies funktioniert auch ohne Probleme. Nun möchte ich ein Computerzertifikat sperren (im Fall eines Notebookdiebstahl z.B.). Nachdem ich das Zertifikat gesperrt habe kann sich aber der Client weiterhin einwählen per VPN!? Die Sperrlisten werden einwandfrei verteilt und sind auch von extern sowie intern erreichbar. Komischerweise bekomme ich immer auf dem RAS Server unter den CAPI2 Eventlog die Meldung: The revocation function was unable to check revocation because the revocation server was offline Über Certutil kann ich auch ohne Probleme die Sperrlisten vom RAS Server abfragen. Die Verbindung scheint hier also kein Problem zu sein. Ich verstehe nicht, woran es noch liegen kann. Hat vielleicht jemand schon mal mit einem gleichen Problem gekämpft? RAS Server - Windows 2019 - steht im DMZ CA Server - Windows 2016 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 27. November 2019 Melden Teilen Geschrieben 27. November 2019 Für DIrect Access kenne ich sowas auch, da hilft nur deaktivieren des Computerkontos. AlwaysOn hab ich nirgends im Einsatz, und kann da leider nicht helfen. Zitieren Link zu diesem Kommentar
shoty 10 Geschrieben 27. November 2019 Autor Melden Teilen Geschrieben 27. November 2019 (bearbeitet) Always On VPN ist ja quasi der Nachfolger von Direct Access. Vielleicht hat das noch nie funktioniert! Hab das gerade mal mit dem Computerkonto sperren getestet. Da der Rechner ja im lokalen Zustand hochfährt und dann erst die VPN Verbindung aufbaut, scheint ihn das sperren des Kontos nicht zu interessieren, ich kann trotzdem überall drauf zugreifen!? Hilft mir also auch nicht weiter! bearbeitet 27. November 2019 von shoty Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 27. November 2019 Melden Teilen Geschrieben 27. November 2019 vor 33 Minuten schrieb shoty: Always On VPN ist ja quasi der Nachfolger von Direct Access. Vielleicht hat das noch nie funktioniert! Naja technisch is da schon ein ziemlicher Unterschied finde ich. ;) Zitieren Link zu diesem Kommentar
shoty 10 Geschrieben 12. Dezember 2019 Autor Melden Teilen Geschrieben 12. Dezember 2019 Hat denn sonst niemand eine Idee, nach was ich noch schauen kann, wenn die Sperrlisten nicht abgerufen werden können? The revocation function was unable to check revocation because the revocation server was offline Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 12. Dezember 2019 Melden Teilen Geschrieben 12. Dezember 2019 Hi, Microsoft Support oder ggfs: https://directaccess.richardhicks.com/contact/ Gruß Jan Zitieren Link zu diesem Kommentar
shoty 10 Geschrieben 12. Dezember 2019 Autor Melden Teilen Geschrieben 12. Dezember 2019 Microsoft Support hab ich auch schon Kontaktiert, die Antwort war, dass es eine HowTo-Frage sei. Sie würden nur Probleme bearbeiten, die vorher schon mal funktioniert hätten. Ich hab es eskalieren lassen und seit dem nichts mehr gehört! Danke Microsoft! Ich hab nun den Richard Hicks mal angeschrieben, mal schauen... Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. Dezember 2019 Melden Teilen Geschrieben 12. Dezember 2019 Moin, ja, Microsofts Support arbeitet da wie viele andere Supportorganisationen. Anleitungen zur Ersteinrichtung bekommt man nicht. Manchmal ärgerlich, aber letztlich legitim. Welche Pfade stehen denn im Zertifikat für die Sperrliste? Ist auch ein OCSP-URL hinterlegt? Möglicherweise arbeitet die Abfrage aus der Serverkomponente anders als die von certutil. Gruß, Nils Zitieren Link zu diesem Kommentar
shoty 10 Geschrieben 12. Dezember 2019 Autor Melden Teilen Geschrieben 12. Dezember 2019 In der Sperrliste stehen nur URLs drin, siehe: [1]Aktuellste Sperrliste Name des Verteilungspunktes: Vollst. Name: URL=http://xxx.xxx.de/pki/XXXStammzertifizierung(1)+.crl diese Adresse ist auch von extern und intern erreichbar und es wird auch das Sperrlistenzertifikat angezeigt. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. Dezember 2019 Melden Teilen Geschrieben 12. Dezember 2019 (bearbeitet) Moin, auf die Schnelle habe ich leider keine Lösung für das CRL-Problem. Aber ein wichtiger Hinweis: Für dein Szenario ist das Sperren des Zertifikats i.d.R. nicht der richtige Weg bzw. das reicht nicht aus. Da eine Sperrliste immer eine Laufzeit hat, wird das Sperren eines Zertifikats immer eine längere Verzögerung bedeuten. Möchtest du einen Zertifikatsinhaber schnell aussperren (was hier ja das Szenario zu sein scheint), musst du das primär auf anderem Wege tun, also meist das Zugangskonto selbst sperren. Nur so sorgst du für eine schnelle Wirkung. Zu der Fehlermeldung gibt es eine Reihe von Fundstellen im Web, geh die mal durch. Manchmal sind es simple Dinge wie ein falscher Authentifizierungsmodus auf dem Webserver. Gruß, Nils bearbeitet 12. Dezember 2019 von NilsK Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Dezember 2019 Melden Teilen Geschrieben 12. Dezember 2019 Befindet sich der RAS-Server hinter einem Proxy? Ist der Proxy mittels netsh für das System-Konto konfiguriert? Für "zeitkritisch" immer einen Online Responder verwenden. Allerdings kann für die Sperrung auch nicht garantiert werden, wenn der nicht erreichbar ist. Zitieren Link zu diesem Kommentar
shoty 10 Geschrieben 12. Dezember 2019 Autor Melden Teilen Geschrieben 12. Dezember 2019 Hi Zahni, der RAS Server steht im DMZ und geht auch nicht über einen Proxy. Der Internetzugriff ist auch blockiert. Es sind nur die Wege ins Interne Netz offen, wie z.B. zur CA und den internen Servern. DMZ: RASServer -> Firewall -> Firewall -> Internes Netz: CA Server Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Dezember 2019 Melden Teilen Geschrieben 12. Dezember 2019 Du hast geschrieben, dass die CRL von intern und extern erreichbar ist. Daher habe ich vermutet, dass die CRL irgendwo extern steht. Oder hat die CRL-URL intern eine andere IP-Adresse als extern? Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 12. Dezember 2019 Melden Teilen Geschrieben 12. Dezember 2019 Am besten mit Wireshark tracen warum der RAS Server keine Verbindung zum abruf der Sperrlisten aufbauen kann. Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 12. Dezember 2019 Melden Teilen Geschrieben 12. Dezember 2019 Einfach Zertifikat ohne CRL erstellen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.