Ja, das Zertifikat ist auf den externen FQDN ausgestellt.
Ja, ich kann über die URL im Zertifikat die Sperrlisten von extern und intern herunterladen.
Diesen Artikel hatte ich bereits vorliegen (habe aber scheinbar was überlesen).
Meine Zertifikatsvorlage war aus der Vorlage "IPSec (Offlineanforderung)" erstellt. Ich habe aber feststellen müssen, dass meiner bisherigen Zertifikatsvorlage die "Key Use" "Digitale Signatur" fehlte.
Ich habe das korrigiert und die Zertifikate auf TMG und Windows7-Client neu erzeugt.
Mit diesen neuen Zertifikaten klappt die Verbindung jetzt.
Danke.
PS:
Nachdem nun alle Verbindungsmodi (PPTP, L2TP/IPSec mit und ohne Überprüfung, SSTP) klappen werde ich mich mal an die Evaluierung der Quarantänefunktion machen (NAP?). Habt ihr da vielleicht noch ein paar gute Links für mich?