andre-lie

Hi, ich habe heute noch etwas weiter geforscht. Das Problem war gelöst, als ich eine neue Vorlage, aber dieses Mal auf Basis der Kompatibilität zu einer 2003er Vorlage erstellt habe. Der Thread kann damit geschlossen werden. Viele Grüße, André

Hallo Zusammen, ich habe mich schon desöftern hier durch viele Beiträge gelesen, u.a. auch zu dem automatischen Verteilen von Benutzerzertifikaten. Leider habe ich ein sehr merkwürdiges Problem: Das Ziel ist die VPN-Einwahl von PPTP auf L2TP/IPSEC und ggf. später einmal SSTP umzustellen. Ich habe auf einem Windows 2008 Enterprise Server eine AD-integrierte CA aufgesetzt. Es werden bereits Computerzertifikate per GPO verteilt, ebenso Benutzerzertifikate für mich, um das Enrollment zu testen. Auf einem Server läuft der integrierte Routing & Ras Dienst (gleicher Server wie die CA) für die bisher simple PPTP VPN Einwahl (extra VPN User mit Einwahlberechtigung). Für die Migration auf L2TP habe ich nun im NPS die Berechtigung für die normalen Domänenbenutzer festgesetzt: Tunneltyp: L2TP Authentifizierungsmethoden: EAP-Typen: PEAP (hier speziell nur Zertifikate) und Smartcard- oder anderes Zertifikat. Die Einwahl habe ich anschließend von meinem PC ausprobiert. Zuerst z.B. mit L2TP und EAP-MSCHAP-V2. Diese Kombination funktionierte, allerdings erhielt ich bei der Auswahl von Smartcard- oder anderes Zertifikat immer einen Fehler bei dem Verbindungsversuch ("Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authenticaiton-Protokoll verwendet werden kann.") EDIT: Die beiden Zertifikate (Computer & Benutzerzertifikat) erhielt ich per automatischem Rollout über GPO, auch an den richtigen Positionen. /EDIT Daraufhin habe ich ein Benutzerzertifikat über die MMC manuell angefragt und ab diesem Zeitpunkt funktionierte die Einwahl. Die Vorlage habe ich bereits ersetzt. Hat irgendjemand eine Idee wo das Problem liegen könnte? Als zweite Frage noch: Wo liegt der Unterschied zwischen PEAP mit Zertifikaten und der direkten Auswahl Zertifikat? Vielen Dank & viele Grüße, André

Es sollen nicht viele Benutzer werden, wenn überhaupt sind das mal 1 oder 2 Personen. Das Problem ist, dass von den Clients (Vista) teilweise keine Verbindung zu anderen Gateways möglich ist, teils aus Softwaremangel, teils aus Vistaproblemem (Chap Protokoll). Deshalb sollte der VPN Gateway / Terminalserver (ich meinte dies alles auf einem PC) ein Sammelpunkt für die virtuellen Maschinen darstellen, damit nicht jeder eine extra hat.

Hallo zusammen, ich würde gerne folgende Konfiguration realisieren: Installation eines Windows 2003 Servers (ggf. auch 2008 möglich) und konfiguration als VPN-Gateway. Der Benutzer soll dann die Möglichkeit haben, entweder per VPN oder aus dem lokalen Netzwerk direkt. Danach soll der Benutzer die Möglichkeit haben per RDP eine Session auf dem Gateway zu starten und von dort aus eine virtuelle Maschine zu booten. Der Hintergrund dieser ganzen Aktion ist, dass ich von den virtuellen Maschinen aus VPN Verbindungen zu anderen Servern aufbauen möchte und dies unter Vista nicht unbedingt möglich ist bzw. sich die verschiedenen VPN Clients häufen. Wäre so eine Konfiguration VPN Client -> VPN Gateway -> RDP -> virtuelle Maschine -> VPN Verbindung zum nächsten Punkt möglich oder wäre nur die Variante ohne VPN am Anfang, d.h. es ist nur eine interne Nutzung über RDP und dann die Erstellung einer VPN möglich? Aktuell laufen die virtuellen PCs auf den einzelnen Clienten und eine zentrale Stelle wäre hier von Vorteil. Vielen Dank bereits im Voraus.