VPN geht nicht (Fehler 800), obwohl gestartet

[now2 10]

Hallo,

 

Gegeben

ich habe einen Schmerz mit unserem SBS2003. Dieser ist ein englischer Small Business Server 2003 mit SP1 und allen Patches. Er hat 2 Netzwerkkarten und fungiert bisher als Router, und soll in Zukunft auch VPN-Aufgaben übernehmen.

 

Vorgeschichte

Ich habe den RAS-Wizard gestartet, dieser brach mit einem Fehler 80004005 ab.

Allerdings hat trotzdem hinterher das VPN funktioniert.

 

Bei einem abgebrochenen Wizard bleibt allerdings ein ungutes Gefühl. Da dieser Fehler anscheinend am SBS SP1 liegt, hab ich dieses kurzerhand neu installiert.

 

Dieses brach jedoch auch mit einer Fehlermeldung ab. Ein Hinweis auf die entsprechende log-Datei ergab allerdings nur "SUCCESS" bei jeder Operation. Eine Suche bei MS ergab, dass der Fehler an dem nicht installierten Outlook 2003 Bereitstellungstool liegt und man diesen Fehler getrost ignorieren könne.

 

Fehler

Soweit so gut. Der RAS-Wizard läuft nun ohne Fehlermeldung durch. Allerdings funktioniert VPN nun nicht mehr.

 

Ich habe auch schon die gesamten RAS-Dienste "deinstalliert" (Disable Routing and Remote Access) und neu eingerichtet. Trotzdem nimmt der Server keine VPN-Verbindungen entgegen.

 

Es liegt auch nicht an der Firewall, da selbst eine lokal auf dem Server eingerichtete Verbindung den Fehler 800 bringt. Richtlinien hab ich natürlich keine erstellt bzw verändert.

 

Also Leute, wenn ihr verhindern wollt, dass ich da heute noch OpenVPN installiere :suspect: , helft mir bitte, das VPN in Gang zu kriegen :)

 

Vielen Dank,

now2

[GuentherH 61]

Hi.

 

Hast du schon versucht zu Testzwecken eine VPN Verbindung von einem Client aus dem lokalen LAN aufzubauen ?

 

LG Günther

[now2 10]

Hallo,

 

na klar, auch intern kriege ich den Fehler 800.

[DigitalKeeper 10]

Hallo now2,

 

WAS funktioniert genau nicht mehr? Also, die Dienste laufen, aber Du kannst keine Verbindung aufbauen?

 

Die Abhängigkeiten der Dienste beachtet? Vielleicht will ein anderer abhängiger Dienst nicht *grübel*

 

Hört sich banal an, aber check mal die HD - hatte hier mal probs mit dem Time-Sync (lag am DNS, der widerum net konnte, weil er etwas auffe Pladde nicht lesen konnte - das Protokoll hatte nix angezeigt) nach dem Plattencheck, bzw. austausch gings wieder...

 

Laufen die Protokolle? (i.e. PPTP, L2TP, IPSEc, etc.) und natürlich auch hier wieder -> die abhängigen Dienste.

 

Oft genug kam bei uns mal ein Problem zB mit Rechten von einem abhängigen Dienst vor - da wuselt man sich durch und verliert schnell den Überblick *grmpf*

 

ich würde das ganze mal nach checkliste durchgehen - bezieht sich auf folgende Grundlage:

 

VPN-Dienste laufen - aber Verbindung nicht möglich

 

Die Reihenfolge....

 

1. Physikalische Verbindung (hier hilft: gib mir ein Ping)

2. Benutzerauthentifizierung und die dazugehörigen Rechte

3. Verschlüsselung

 

Wenn das alles "auf einen Nenner" iss, würde ich mit dem Netzwerkmonitor den Datenverkehr bei der Anmeldung loggen, und mir die Pakete anschauen. So kann ich feststellen, wo und wie "etwas in die Hose geht" :-)

 

Die sagtest, mit RAS wäre beim installieren des SP etwas schief gelaufen, könnte aber ignoriert werden - könnte es evtl. hier dran liegen:

 

RAS-Kontosperrung

 

Die RAS-Kontosperrung definiert, wie oft die RAS-Authentifizierung eines gültigen Benutzerkontos fehlschlagen darf, bevor der Remotezugriff für diesen Benutzer gesperrt wird. Dies ist speziell für VPN-Verbindungen über das Internet wichtig. Böswillige Benutzer aus dem Internet könnten versuchen auf das Netzwerk des Unternehmens zuzugreifen, indem sie einen gültigen Benutzernamen verwenden und das Passwort zu erraten versuchen. Während so eines Wörterbuchangriffes werden Hunderte oder Tausende von Anfragen gesendet. Mit aktivierter RAS-Kontosperrung wird ein Wörterbuchangriff nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen unterbunden.

 

Das Feature unterscheidet nicht zwischen einem bösartigen Benutzer und einem Benutzer, der möglicherweise nur sein Passwort vergessen hat. Diese versuchen häufig mehrere Passwörter und könnten hierbei ihr Konto versehentlich sperren.

 

Wenn Sie das Feature aktivieren, besteht für einen böswilligen Benutzer die Möglichkeit, ein beliebiges Konto einfach durch mehrere ungültige Authentifizierungsversuche zu sperren. Damit wird dann natürlich auch der legitime Benutzer ausgesperrt.

 

Die RAS-Kontosperrung wird über Registrierungseinstellungen auf dem authentifizierenden Computer konfiguriert. Wenn der RAS-Server für die Windows-Authentifizierung konfiguriert ist, bearbeiten Sie die Registrierung auf diesem Server. Wenn der RAS-Server für eine RADIUS-Authentifizierung konfiguriert ist und IAS verwendet wird, dann bearbeiten Sie die Registrierung auf dem IAS-Server. Weitere Informationen hierzu finden Sie in im Hilfe- und Supportcenter von Windows Server 2003 unter dem Begriff RAS-Kontosperrung.

 

Quelle: VPN mit Windows Server 2003: Überblick

 

Ansonsten bleibt nur "Handarbeit"....

 

Hilfreicher Link für Troubleshooting: Windows 2000 Server - Support

 

Hoffe gehelft zu ham...

 

mfg

[now2 10]

Hallo,

 

vielen Dank für Deine Antwort!

 

Ich bin immer noch ratlos. Abhängige Dienste ... an sich ist nur der Routing- und RAS-Dienst wichtig. Und da das Routing schon geht, ist der Dienst zumindest gestartet.

 

Ich hab mich mal durch ein paar Info-Reiter geklickt, hier die Screenshots (Flash):

 

http://www.now2.de/vpn.htm

 

Vielleicht fällt Euch ja noch was auf.

 

Was auch seltsam ist: Ich habe einen Bereich (10 IP-Adressen) fest für VPN reserviert und im DHCP ausgeschlossen; diese tauchen aber nicht bei "Ports" auf, wo sie eigentlich hingehören.

 

PS: Die ganze Chose geht auch nicht, wenn ich die Basis-Firewall deaktiviere ...

[now2 10]

Gelöst!

 

Es lag an der Fritz!Card, die wir zum faxen (nach dieser Anleitung) hergenommen haben.

 

Nach deren Deinstallation und Ausbau funktioniert das VPN.

 

Wie soll man denn da drauf kommen ... Seltsam....

[now2 10]

Noch was... Es liegt am Fritz TAPI Treiber, der laut Software-Info sogar extra für W2K3 freigegeben wurde.

 

Dieser Fehler lässt sich also durch Installation des Tapi-Treibers (auch ohne FritzCard, bspw mit FritzBox) herbeiführen.

 

Kann das jemand bestätigen?

[GuentherH 61]

Hi.

 

Ich habe an anderer Stelle bereits geschrieben, dass es seit dem SP1 zu massiven Problemen mit der Fritz! Card kommen kann.

 

Schau auch einfach einmal über die Boardsuche, du findest genug Probleme zur Fritz! Card mit SP1.

 

LG Günther

[DigitalKeeper 10]

Oh, na da schau her - und wieder mal ein nicht ausgereifter Treiber *grmpf* - kommt gleich in meine "Trouble-Shooting-Sammlung"

 

Das sind so Fehlerchen, wo sich die Admins die Haare raufen...Danke für die Info!

 

mfg

[now2 10]

Hi Günther,

 

nach weiterer Testerei kann ich sagen:

 

- es liegt offenbar nicht NICHT an den TAPI-Treibern und auch nicht an der Capi. Nach deren Deinstallation kann ich das VPN noch immer nicht nutzen.

 

- erst, nachdem der Faxdienst auch deinstalliert ist, klappt das VPN wieder.

 

Es könnte also an dem Zusammenpiel Fax + Fritz liegen. Die Tapi allein macht jedoch wohl keine Fehler.

 

Kann mir jemand definitiv sagen, ob unter SP1 der Faxdienst und das VPN einwandfrei zusammenarbeiten (mit einem Modem)?

[GuentherH 61]

HI.

 

ob unter SP1 der Faxdienst und das VPN einwandfrei zusammenarbeiten (mit einem Modem)?

 

Ja, ich setze bei einigen Kunden analoge Modems ein (Devolo Mikrolink und Zyxel) und habe damit keine Probleme. Allerdings sind alle Modems mit serieller Schnittstelle, ob USB Modems unsterstützt werden kann ich adhoc nicht sagen.

 

LG Günther