BlueDog

Hallo allerseits, auch wenn es nicht ganz in das Forum passt, aber vielleicht hat schon jemand derartiges gefunden. Ich suche für eine Abhandlung die graphische Darstellung von Kommunikationsalgorithmen in P2P-Netzen. Dabei geht es nicht (nur) um Filesharing, sondern auch Instant Messaging, Kooperation ... also alles, was in der Breite der Anwendungen möglich ist. Leider scheine ich dabei irgendwie an den falschen Stellen zu suchen. Ziel ist eine Gegenüberstellung und Bewertung der verschiedenen (in der Praxis gebräuchlichen) graphischen Darstellungsmöglichkeiten für P2P-Netze Danke an alle, die mir hier helfen können

:jau: Klasse ! Wenn so etwas häufiger geplant ist, wie wär´s dann mit einem Archiv ? Auf diese Weise lernt man nicht nur leichter, sondern auch schneller. Danke dafür !

Reicht nicht ! (merkwürdig eigentlich) Es funktioniert nur wenn Server und Client das Zertifikat von SubCAD2 erhalten. Gruß :) :) :)

Danke euch beiden. Vielen, vielen Dank. :D Ich war noch einmal in meiner SubCAD2 und habe nochmal versucht diese zu überzeugen mir ein Benutzerzertifikat auszustellen. Die Zertifikatsvorlage nochmals installiert, und es ging schon. Dann konnte ich mir ein Benutzerzertifikat ausstellen und Verbindungstechnisch loslegen. Nochmals vielen Dank für eure schnelle Hilfe. CU

Hallo, Gehe zum Zertifikatsspeicher des lokalen Computers (Start - ausführen - mmc - snap in hinzufügen - Zertifikate (lokaler Computer) ). Dann schaue, ob das angeforderte Zertifikat (in allen beteiligten Rechnern) unter "Eigene Zertifikate" vorhanden ist. Außerdem muß jedes Zertifikat einen privaten Schlüssel haben. Wichtig: IPSec benutzt Compurterzertifikate, NICHT Benutzerzertifikate. Liegt das Zetrifikat deiner CA im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" ? Das ist nämlich auch notwendig. Wenn diese Forderungen erfüllt sind, sollte es eigentlich gehen.

Hallo, @ Dr. Kiffer: Das Zertifikat der StammCA befindet sich im Ordner für vertrauenswürdige StammCAs. Das war auch meine erste Idee. @ Holgi: Reicht nicht ein Zertifikat mit der gleichen StammCA als Root der Zertifizierungskette ? Aus irgendwelchen (mir unerklärlichen) Gründen mag die SubCAD2 mir kein Benutzerzertifikat für den Client ausstellen und die SubCAD1 nicht für den Server. (Wobei ich nur an der SubCAD2 ändern kann, da "mir die andere CA nicht gehört")

Hi, wenn du nicht n einer Domäne bist, dann kannst du nicht das Zertifikate Snap In zum Anfordern eines Zertifikats benutzen. Ohne Domäne geht das über die Website der Zertifizierungsstelle. Falls du bei der Installation der Zertifizierungsstelle die Internetinformationsdieste noch nicht installiert hattest, kannst du das nachholen. Danach in der Eingabeaaufforderung (DOS Fenster) certutil -vroot eingeben. Dann ist die Website einsatzbereit. Man erreicht sie unter http://Computername/certsrv. Computername = Name des Servers auf dem die Zertifizierungsstelle liegt. Die Zertifikate werden (ich glaube standardmäßig) nicht automatisch genehmigt. Gehe in die Zertifizierungsstelle, nach der Beantragung, und gehe auf Ausstehende Anforderungen, rechte Maustaste und erteilen. Damit den Zertifikaten vertraut wird, muß die Stammzertifizierungsstelle im Ordner Vertrauenswürdige Stammzertifizierungsstellen stehen. ist dem nicht so, dann entweder a) Suche das Stammzerttifizierungsstellen Zertifikat, exportieren in Datei, im richtigen Ordner dann aus Datei importieren oder b) Auf der Website der Zertifizierungsstelle suchen (Ich glaube die bietet den gleichen Service auf einen Klick an) und das automatisch machen lassen. In einer Domäne mußt du nicht sein um die Zertifikate nutzen zu können. Viel Erfolg

Hi, Importiert ? Eigentlich muß sowohl der Server als auch der Client bei der Zertifizierungsstelle ein Zertifikat beantragen (jeweils ein eigenes, nicht das Stammzertifikat der Zertifizierungsstelle). Dieses Zertifikat muß dann in Zertifikate-Computer (nicht Benutzer) abgelegt werden, jedenfalls für den VPN. Wenn du das Zertifizierungsstellenzertifikat in die anderen Rechner nur importierst, ist das so als wäre da kein Zertifikat. Du kannst leicht feststellen, ob die Zertifikatszuteilung funktioniert hat: gehe zu Start - Ausführen (gib da mmc ein) - Datei -Snap-in hinzufügen - Zertifikate (Computerkonto). Dann auf eigene Zertifikate. wenn du dort eins findest: doppelklicken, und es sollte der Vermerk "Sie besitzen einen privaten Schlüssel" (oder so ähnlich) dort sein. Hinweis: Zertifikate anfordern entweder über das Snap in oder über die website deiner Zertifizierungsstelle (http://Computername/certsrv). Dazu gibt es auch Beschreibungen auf der MS-Webpage. Ich hoffe ich konnte weiterhelfen. Bin selber Anfänger, habe aber den gleichen Fehler vor einiger Zeit gemacht.

Hallo, folgende Voraussetzungen: 2k3 RAS Server, DFÜ Client (XP), Stammdomäne D1 und Unterdomäne D2 In D1 gibt es eine Unternehmens-Stammzertifizierungsstelle (CA) und eine Unternehmens-untergeordnete-Zertifizierungssstelle (SubCAD1). In D2 gibt es eine Unternehmens-untergeordnete-Zetrifizierungsstelle (SubCAD2). Beide SubCA sind von der CA zertifiziert, befinden sich also auf der gleichen Stufe. Nun das Problem: Der Client soll sich per DFÜ mit dem RAS Server verbinden. Als Authentifizierung soll EAP mit User-Zertifikaten benutzt werden. Der Server hat ein Zertifikat von SubCAD2, der Client von SubCAD1. Die Verbindung scheitert mit Fehler 0x8009030, der Benutzer kann sich nicht authentifizieren, weil Zertifikat und Zertifizierungskette zwar gültig, aber eines der Zertifizierungszertifikate wurde vom Richtlinienanbieter nicht für vertrauenswürdig gehalten. (Beide Zerti der SubCA und das der CA sind im NTAuth Speicher der Domäne vorhanden) Warum ich nicht für Server und Client bei SubCAD2 das Zerti bestellt habe ? Ging nicht, obwohl ich bei den Templates gleiche Einstellungen habe. Über das Snap-In wird nur SubCAD1 angeboten, warum weiß ich nicht. RAS-Server und Client sind Mitglieder der Domäne D2. Ich bin schon eine Weile am Basteln und für jeden Rat dankbar der mich der Lösung einen Schritt weiterbringt.

Hallo, habe eine eigenständige Stammzertifizierungstelle aufgebaut (win2k3). Mit IPSec zwischen RAS-Server und XP-Client klappt das auch mit den Zertis, aber die Benutzerauthentifizierung unter EAP leider nicht. Habe das Benutzerzerti im Active Directory unter dem Benutzerkonto veröffentlicht. Nun erscheint im Ereignisprotokoll (System) folgender Fehler: "Der Benutzer xxx hat sich aus folgendem Grung nicht authentifiziert. Die Zertifizierungskette wurde korrekt verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten" Kann mir jemand sagen was ich falsch mache ? Vielen Dank im voraus.

Hallo Gunnar, Ja, ich habe das Problem gelöst. Im RAS-Server habe ich "Mehrfachverbindungen zulassen" eingestellt (siehe online Hilfe von Win2k3). Das hat aber noch nicht gereicht. Im Active Directory habe ich bei dem RAS-Benutzer die Rückrufoption deaktiviert. Das hat dann geholfen. (Er scheint nur auf einer Leiung zurückzurufen) Gruß

Die Verbindung über LAN Kabel geht jetzt (IPSec, L2TP, ESP, 3DES). Nun ist aber etwas sehr merkwürdiges passiert. Ich habe das LAN Kabel abgezogen und den VPN über eine vorher zu wählende DFÜ Verbindung gestartet. Die DFÜ Verbindung geht auch zunächst. Dann startet der VPN seine Verbindung und scheitert. (Dann bricht DFÜ auch ab.) Sollte doch eigentlich keinen Unterschied machen, ob ich den VPN durch das LAN Kabel oder die Telefonleitung schicke !? Die Fehlermeldung ist: Sicherheitsaushandlung hat Zeitlimit überschritten Irgendeine Idee ? Gruß

Habe das Problem des nicht funktionierenden L2TP gefunden. Mußte in der Registry die standardmäßig eingerichtete IPSec Richtlinie deaktivieren. Eine Verbindung kommt nun per L2TP zustande, allerdings nur unverschlüsselt. (Fehlermeldung im Client: angeforderte Verschlüsselung wird vom Remotecomputer nicht unterstützt, Diese Meldung verschwindet erst, wenn der Server die Option "keine Verschlüsselung" aktiviert hat.) Vielen, vielen Dank an Euch und Frohe Weihnachten und einen guten Rutsch ...

... ich nochmal Habe das SP2 installiert und den Artikel KB818043 (aus dem Dokument zu SP2) gelesen und regedit entsprechend aktualisiert. Die Firewall ist deaktiviert. Aber: an den Fehlermelungen und der konsequenten Weigerung der Rechner eine L2TP-Verbindung aufzubauen hat sich leider nichts geändert. Gruß

Es ist noch SP1. Leider war es mir trotz intensiver Suche nicht möglich den L2TP Patch zu finden. (Vielleicht durch Unwissenheit/Ungeschick ?) Wo also finden ? Gruß

Der Ras Server soll eine Schnittstelle darstellen zwischen den Remote-Mitarbeitern und dem Firmennetzwerk. Daher besitzt er ein LAN Kabel für das LAN und eine ISDN-Controllerkarte zur Mitarbeitereinwahl. Der Mitarbeiter benutzt dann einen VPN mit der vorherigen Anwahl der Telefonnummer des Servers. (Im Augenblick gibt es zu Testzwecken nur ein LAN Kabel zwischen Client und Server) Der Client ist ein Stand-alone Gerät oder Laptop mit ISDNKarte/Modem. Er wählt die Nummer des Servers und baut dann eine VPN-Verbindung über die IP des Servers auf. Sonst gibt es an den Geräten keine weiteren NW-Anschlüsse. (Der Client wird im Echtbetrieb auch nur über Telefonleitung verbunden sein, und wird dementsprechend kein LAN Kabel mehr besitzen) Gruß

Server: Ereignisprotokoll: keine besonderen Vorkommnisse, nur Infos, keine Warnungen oder Fehler (Anwendungen, Sicherheit, System) Oakley Protokoll: Receive: (get) SA = 0x00000000 from 149.247.150.3.500 ISAKMP Header: (v1.0), len = 216 I-Cookie 69a4f93b9ccd969f R-Cookie 0000000000000000 exchange: Oakley Main Mode flags: 0 next payload: SA message ID: 00000000 Filter to match: SRC 149.247.150.3 Dst 149.247.150.51 MatchMMFilter failed 13013 Respnding with new SA 0 HandleFirstPacketResponder failed 3601 Receive: (get) SA = 0x00000000 from 149.247.150.3.500 ISAKMP Header: (v1.0), len = 56 I-Cookie 69a4f93b9ccd969f R-Cookie 0000000000000000 exchange: ISAKMP Informational Exchange flags: 0 next payload: DELETE message ID: dd458711 Der obere Absatz erscheint 6 Mal. Beim Clienten konnte ich das Oakley Protokoll nicht starten (warum weiß ich auch nicht), und das Ereignisprotokoll war auch unauffällig. 149.247.150.3 ist der Client 149.247.150.51 ist der Server Ichweiß nicht ob es wichtig ist, aber wenn man statt L2TP das PPTP benutzt, dann funktioniert die Verbindung (Ausser, daß jeder ins System kann, der bei der Verbindung Benutzernamen und Passwort aus der Anzeige löscht.) Gruß

Hallo, Zuerst wollte ich preshared keys nehmen. Darauf, dass sie identisch sein müssen habe ich geachtet. (Sind für Testzwecke auch ganz einfach und unkompliziert.) Später, wenn alles funktioniert, wollte ich dann auf Zertifikate umsteigen. Preshared Key eingegeben in: Server: Routing und Ras - Servername - Eigenschaften - Sicherheit - Benutzerdefinierte IPSec-Richtlinie ... (Haken dran und Schlüssel eingegeben) Client: Netzwerkverbindungen- Verbindung - Eigenschaften - Sicherheit - (Button) IPSec-Einstellungen - (Haken dran und Schlüssel wie in Server eingegeben) (zuerst einfach zum verstehen, dann weiter ausbauen, denn ich bin noch ein absoluter Anfänger auf diesem Gebiet.) Gruß Elke

Nein, es ist kein NAT dazwischengeschaltet. Das Abschalten/Deaktivieren der PPTP Ports hat aber auch nicht geholfen. Das habe ich schon versucht. Resultat ist eine Fehlermeldung beim Client "Fehler 789: Verarbeitungsfehler während der Sicherheitsverhandlung mit dem Remote Computer". Noch eine Idee ? Aber Danke schon mal für Eure Antworten bisher.

Hallo allerseits, Ich würde gerne die Verbindung zwischen den RAS-Server (2k3) und einem Clienten (XP) mit IPSec sichern. Leider ist eine Verbindung nur über PPTP möglich. Bei L2TP dauert es eine Weile, und der Verbindungsversuch wird abgewiesen. Kann mir jemand erklären, wie ich L2TP seitens des Servers erzwingen kann ? Danke

Hallo, mein Problem: RAS Server unter Win 2k3 mit AVM C4 Controllerkarte (4 ISDN Anschlüsse) Wenn ich mich über den Server herauswähle, stehen mir 2 Leitungen (128 kbit/s) zur Verfügung. Im RAS Server ist unter Server-Eigenschaften und RAS-Richtlinie die Mehrfachverbindung erlaubt. Der Client(XP) mit ISDN-Karte kann sich generell auch mit 2 Leitungen herauswählen, wenn er aber den Server anwählt, wird nur eine Leitung aufgebaut und auf der anderen Leitung gemeldet, dass der Server keine Mehrfachverbindung unterstützt. Woran kann das liegen ? Wo kann man noch Mehrfachverbindungen einstellen ? mfG

Hallo allerseits, Ich bin hier neu, also sorry, wenn mein Problem vielleicht nicht professionell dargestellt ist: Server: 2k3 mit RAS und IPSec (für IP Verkehr Sicherheit erforderlich) Client: XP Prof. mit IPSec wie oben (jeweils für Ras bzw. Remote) Das Problem: Habe ich die Sicherheitsrichtlinie deaktiviert, klappt der Zugriff über den Einwahlserver auf das Netzwerk dahinter. Aber, wenn die Richtlinie zugewiesen ist (auf beiden Rechnern), dann klappt der Zugriff nicht mehr. (Fehlermeldung: evtl. fehlt Berechtigung und Liste der Server nicht verfügbar). Leider hat mir weder die Win-Hilfe, noch die Hilfen auf der Microsoft Homepage helfen können. Übrigens die Sicherheitsrichrtlinie auf Client und Server (Sicherheit für IP) sind absolut identisch. Vielen Dank schon mal an jeden, der mir helfen kann.