Jump to content
Sign in to follow this  
Die.Legende

ISA 2006: Probleme mit VPN, da ISA Server kein Zertifikat erhält

Recommended Posts

Hallo Profis,

 

ich bin mit meinem Wissen am Ende und wende mich mal an Euch.

Am vergangenen WE habe ich den ISA Server auf eine neue Hardware umgezogen, was eigentlich ja eher unproblematisch ist/sein sollte.

Leider habe ich jetzt folgendes Problem (und hoffe sehr auf Eure Hilfe!):

 

Der Export der Firewall-Regeln, Deinstallation des alten Servers, Neu-Installation des ISA2K6 auf dem neuen Server und der Import der Firewall-Regeln war schnell erledigt, allerdings waren dann noch diverse Anpassungen notwendig... (Server in RAS und IAS Gruppe aufnehmen, Proxy musste angepasst werden, da 8080 bereits verwendet wurde, Policy wurde angepasst und natürlich auch die LAN Settings)

Nachdem ich alle Einstellungen soweit angepasst hatte und auch den DNS und den Gateway Eintrag am DC geändert hatte (verweißt nun auf den neuen ISA Server) ging auch Exchange wieder (22 Uhr Samstag)

 

Soweit so gut!

 

Leider geht auf biegen und brechen keine VPN-Einwahl hierher.

Da ich allerdings eine Wetterfühligkeit des Servers ausschließe, nehme ich immer noch an, dass dies an der ein oder anderen Einstellung liegt, die ebenfalls noch angepasst werden muss.

 

Hier noch ein paar Informationen die evtl. bei der Fehlereingrenzung hilfreich sein könnten:

 

Der neue ISA Server ist ein Win2K3-SP2 wie der alte auch und er ist ebenfalls Domänen Mitglied.

Dieser (neue) Server weigert sich ein Computer Zertifikat über das MMC SnapIn Zertifikate zu installieren. Die Zertifikatsanforderung konnte nicht abgeschlossen werden. Der RPC-Server ist nicht verfügbar, lautet hier die knappe Fehlermeldung.

 

Des weiteren habe ich dann - in dem Augenblick der Anforderung - im Ereignisprotokoll die ID 10009 DCOM als Fehler:

DCOM konnte mit dem Computer "DC.Firma.lokal" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

 

Natürlich habe ich dies auch an der Firewall überwacht und auch hier den Zugriff verfolgt:

 

Er initiiert und trennt in der gleichen Sekunde wieder die Verbindung, es greift jeweils eine [system]-Regel. (RPC von ISA Server auf vertrauenswürdige Server zulassen)

 

Ein hinzufügen einer Firewall Regel, die LDAP (TCP/UDP), NTP, RPC usw. zwischen den Servern erlaubt, bringt leider keine Änderung.

(Von meinem Client PC aus konnte ich übrigens problemlos über das SnapIn ein Computerzertifikat anfordern und installieren.)

 

Der RAS Server ändert auch meine Einstellungen nach einem Neustart wieder, wenn ich zum Beispiel MS-Chap V2 zusätzlich zu EAP aktivieren möchte. Dies würde wenigstens vorübergehend eine Einwahl ermöglichen, solange die ZertifikatsEinwahl hängt. (oder mache ich hier einen Denkfehler? Welche Einstellung benötige ich, um eine VPN Verbindung über User und Kennwort, statt mit Zertifikat zu initiieren?)

 

Die Eventlog-Meldungen, bei einer Einwahl (obwohl das Computerzertifikat auf dem ISA Server nicht installiert ist) bring folgende Meldungen:

 

Ein Standardzertifikat wird zum Benutzer firma\user1 gesendet, da für Clients, die sich mit EAP-TLS einwählen, kein Zertifikat konfiguriert wurde. Konfigurieren Sie das Extensible Authentication-Protokoll (EAP) in der RAS-Richtlinie des Benutzers.

 

und

 

Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden: Das Objekt oder die Eigenschaft wurde nicht gefunden.

 

und ein anderer Kollege bekommt zusätzlich zu den beiden Meldungen oben noch:

Der Benutzer "user2@firma.lokal" hat eine Verbindung mit Port VPN4-9 hergestellt, aber die Authentifizierung ist fehlgeschlagen. Die Verbindung wurde daraufhin getrennt.

 

 

Ich hoffe sehr, das meine ausführliche Schilderung der Problematik bei der Eingrenzung des Fehlers weiterhilft!

Wenn es eine andere Möglichkeit gibt dem neuen ISA Server ein ComputerZertifikat zu installieren, als über das SnapIn, wären vermutlich die Probleme behoben, allerdings wüsste ich keine...?!

 

Wer weiß Rat?

 

Vielen Dank im voraus

 

Lars

Share this post


Link to post
Share on other sites

Vielleicht waren das ja einfach zuviele Informationen, die ich in meinen vorigen Text gebracht habe... :confused:

 

Hier meine "reduzierten" Fragen:

 

1.

Der Server weigert sich ein Computer Zertifikat über das MMC SnapIn Zertifikate zu installieren. Die Zertifikatsanforderung konnte nicht abgeschlossen werden. Der RPC-Server ist nicht verfügbar, lautet hier die knappe Fehlermeldung.

 

Was kann ich noch tun, um a) dem ISA Server das ComuterZertifikat zu installieren? b) den RPC-Fehler nicht zu bekommen?

 

Wer weiß Rat?

 

Vielen Dank im voraus!

 

Lars

Share this post


Link to post
Share on other sites

Erstelle das Zert. auf einem anderen Server und exportiere/importiere es dann samt privatem Schlüssel auf dem ISA Server.

 

Ein paar Anhaltspunkte dazu findest Du hier:

How to create offline L2TP/IPSec Certificates

Insbesondere die beiden Abschnitte mit Export und Import (etwa in der Mitte) sind für dich relevant.

 

Christoph

Share this post


Link to post
Share on other sites

...sollte das bedeuten, dass ich auch einfach das Zertifikat des "alten" ISA Servers nehmen kann? :shock:

 

(alter Server: MMC -> SnapIn Zertifikate -> Eigene Zertifikat -> Zertifikate)

 

wäre das nicht "zu einfach".. ? :shock:

 

Echt?

 

Ich warte noch kurz auf eine Antwort und dann teste ich das mal.... :shock:

 

------------------------------------------------------------------------------

 

@Christoph35: Das wird nix... der priv. Schlüssel ist als nicht exportierbar markiert...

 

------------------------------------------------------------------------------

Share this post


Link to post
Share on other sites

erstmal Danke, aber hast Du evtl. etwas mehr Informationen...

Bei den Vorlagen mal eben rechs klick und neue Vorlage geht nämlich leider nicht...

 

Allerdings habe ich hier eine Vorlage, die nennt sich RAS und IAS-Server, wenn ich dort unter den Eigenschaften den Reiter "Anforderungsverarbeitung" auswähle, KÖNNTE ich hier einen Haken bei "Exportieren von privatem Schlüssel zulassen"...

 

Sollte mir dies weiterhelfen? Sollte ich das tun (am produktiven System)? :shock: (Die Testumgebung ist im Urlaub) :shock:

Share this post


Link to post
Share on other sites

Hast Du den von mir verlinkten Artikel schon mal gelesen? Da steht einiges informatives drin.

 

Ausserdem gibts von Grizzly999 auf Windows Server How-To Guides: Home - ServerHowTo.de ein gutes Howto zum Thema.

 

Ggf. musst du das auf eure Gegebenheiten anpassen.

 

Am besten testet man solche Änderungen natürlich vorher...

 

Christoph

Share this post


Link to post
Share on other sites

Hab alles gelesen (selbstverständlich)

Windows Server How-To Guides: Teil 2 – Anfordern und Installieren der Zertifikate - ServerHowTo.de

Leider ist das alles irgendwie anders als in meiner Umgebung. Jedenfalls kann ich zum Beispiel bei der Zertifikatsanforderung kein >Typ des erforderlichen Zertifikats< auswählen (und selbstverständlich bleibt auch hier das Feld "Schlüssel exportierbar" hellgrau...

 

Vielen Dank aber trotzdem für Deine Hilfe!

Ich hoffe mal, dass mich bald mein Microsoft Professional zurückruft und sich hier vor Ort mit ein paar Klicks seine nächsten zwei/drei Tankfüllungen für sein SLK sichert...

 

:( ...ich jedenfalls bin weiterhin ratlos... :nene:

Share this post


Link to post
Share on other sites

Dann erzähl doch mal ein bischen mehr zu eurer Umgebung.

 

Was habt ihr für eine CA, die das Zert. ausstellen soll? Win 2003? Standard? Enterprise? CA Standalone oder AD-integriert?

 

Christoph

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...