Hallo Profis,
ich bin mit meinem Wissen am Ende und wende mich mal an Euch.
Am vergangenen WE habe ich den ISA Server auf eine neue Hardware umgezogen, was eigentlich ja eher unproblematisch ist/sein sollte.
Leider habe ich jetzt folgendes Problem (und hoffe sehr auf Eure Hilfe!):
Der Export der Firewall-Regeln, Deinstallation des alten Servers, Neu-Installation des ISA2K6 auf dem neuen Server und der Import der Firewall-Regeln war schnell erledigt, allerdings waren dann noch diverse Anpassungen notwendig... (Server in RAS und IAS Gruppe aufnehmen, Proxy musste angepasst werden, da 8080 bereits verwendet wurde, Policy wurde angepasst und natürlich auch die LAN Settings)
Nachdem ich alle Einstellungen soweit angepasst hatte und auch den DNS und den Gateway Eintrag am DC geändert hatte (verweißt nun auf den neuen ISA Server) ging auch Exchange wieder (22 Uhr Samstag)
Soweit so gut!
Leider geht auf biegen und brechen keine VPN-Einwahl hierher.
Da ich allerdings eine Wetterfühligkeit des Servers ausschließe, nehme ich immer noch an, dass dies an der ein oder anderen Einstellung liegt, die ebenfalls noch angepasst werden muss.
Hier noch ein paar Informationen die evtl. bei der Fehlereingrenzung hilfreich sein könnten:
Der neue ISA Server ist ein Win2K3-SP2 wie der alte auch und er ist ebenfalls Domänen Mitglied.
Dieser (neue) Server weigert sich ein Computer Zertifikat über das MMC SnapIn Zertifikate zu installieren. Die Zertifikatsanforderung konnte nicht abgeschlossen werden. Der RPC-Server ist nicht verfügbar, lautet hier die knappe Fehlermeldung.
Des weiteren habe ich dann - in dem Augenblick der Anforderung - im Ereignisprotokoll die ID 10009 DCOM als Fehler:
DCOM konnte mit dem Computer "DC.Firma.lokal" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Natürlich habe ich dies auch an der Firewall überwacht und auch hier den Zugriff verfolgt:
Er initiiert und trennt in der gleichen Sekunde wieder die Verbindung, es greift jeweils eine [system]-Regel. (RPC von ISA Server auf vertrauenswürdige Server zulassen)
Ein hinzufügen einer Firewall Regel, die LDAP (TCP/UDP), NTP, RPC usw. zwischen den Servern erlaubt, bringt leider keine Änderung.
(Von meinem Client PC aus konnte ich übrigens problemlos über das SnapIn ein Computerzertifikat anfordern und installieren.)
Der RAS Server ändert auch meine Einstellungen nach einem Neustart wieder, wenn ich zum Beispiel MS-Chap V2 zusätzlich zu EAP aktivieren möchte. Dies würde wenigstens vorübergehend eine Einwahl ermöglichen, solange die ZertifikatsEinwahl hängt. (oder mache ich hier einen Denkfehler? Welche Einstellung benötige ich, um eine VPN Verbindung über User und Kennwort, statt mit Zertifikat zu initiieren?)
Die Eventlog-Meldungen, bei einer Einwahl (obwohl das Computerzertifikat auf dem ISA Server nicht installiert ist) bring folgende Meldungen:
Ein Standardzertifikat wird zum Benutzer firma\user1 gesendet, da für Clients, die sich mit EAP-TLS einwählen, kein Zertifikat konfiguriert wurde. Konfigurieren Sie das Extensible Authentication-Protokoll (EAP) in der RAS-Richtlinie des Benutzers.
und
Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden: Das Objekt oder die Eigenschaft wurde nicht gefunden.
und ein anderer Kollege bekommt zusätzlich zu den beiden Meldungen oben noch:
Der Benutzer "user2@firma.lokal" hat eine Verbindung mit Port VPN4-9 hergestellt, aber die Authentifizierung ist fehlgeschlagen. Die Verbindung wurde daraufhin getrennt.
Ich hoffe sehr, das meine ausführliche Schilderung der Problematik bei der Eingrenzung des Fehlers weiterhilft!
Wenn es eine andere Möglichkeit gibt dem neuen ISA Server ein ComputerZertifikat zu installieren, als über das SnapIn, wären vermutlich die Probleme behoben, allerdings wüsste ich keine...?!
Wer weiß Rat?
Vielen Dank im voraus
Lars