Jump to content

ISA 2006: Probleme mit VPN, da ISA Server kein Zertifikat erhält


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Profis,

 

ich bin mit meinem Wissen am Ende und wende mich mal an Euch.

Am vergangenen WE habe ich den ISA Server auf eine neue Hardware umgezogen, was eigentlich ja eher unproblematisch ist/sein sollte.

Leider habe ich jetzt folgendes Problem (und hoffe sehr auf Eure Hilfe!):

 

Der Export der Firewall-Regeln, Deinstallation des alten Servers, Neu-Installation des ISA2K6 auf dem neuen Server und der Import der Firewall-Regeln war schnell erledigt, allerdings waren dann noch diverse Anpassungen notwendig... (Server in RAS und IAS Gruppe aufnehmen, Proxy musste angepasst werden, da 8080 bereits verwendet wurde, Policy wurde angepasst und natürlich auch die LAN Settings)

Nachdem ich alle Einstellungen soweit angepasst hatte und auch den DNS und den Gateway Eintrag am DC geändert hatte (verweißt nun auf den neuen ISA Server) ging auch Exchange wieder (22 Uhr Samstag)

 

Soweit so gut!

 

Leider geht auf biegen und brechen keine VPN-Einwahl hierher.

Da ich allerdings eine Wetterfühligkeit des Servers ausschließe, nehme ich immer noch an, dass dies an der ein oder anderen Einstellung liegt, die ebenfalls noch angepasst werden muss.

 

Hier noch ein paar Informationen die evtl. bei der Fehlereingrenzung hilfreich sein könnten:

 

Der neue ISA Server ist ein Win2K3-SP2 wie der alte auch und er ist ebenfalls Domänen Mitglied.

Dieser (neue) Server weigert sich ein Computer Zertifikat über das MMC SnapIn Zertifikate zu installieren. Die Zertifikatsanforderung konnte nicht abgeschlossen werden. Der RPC-Server ist nicht verfügbar, lautet hier die knappe Fehlermeldung.

 

Des weiteren habe ich dann - in dem Augenblick der Anforderung - im Ereignisprotokoll die ID 10009 DCOM als Fehler:

DCOM konnte mit dem Computer "DC.Firma.lokal" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

 

Natürlich habe ich dies auch an der Firewall überwacht und auch hier den Zugriff verfolgt:

 

Er initiiert und trennt in der gleichen Sekunde wieder die Verbindung, es greift jeweils eine [system]-Regel. (RPC von ISA Server auf vertrauenswürdige Server zulassen)

 

Ein hinzufügen einer Firewall Regel, die LDAP (TCP/UDP), NTP, RPC usw. zwischen den Servern erlaubt, bringt leider keine Änderung.

(Von meinem Client PC aus konnte ich übrigens problemlos über das SnapIn ein Computerzertifikat anfordern und installieren.)

 

Der RAS Server ändert auch meine Einstellungen nach einem Neustart wieder, wenn ich zum Beispiel MS-Chap V2 zusätzlich zu EAP aktivieren möchte. Dies würde wenigstens vorübergehend eine Einwahl ermöglichen, solange die ZertifikatsEinwahl hängt. (oder mache ich hier einen Denkfehler? Welche Einstellung benötige ich, um eine VPN Verbindung über User und Kennwort, statt mit Zertifikat zu initiieren?)

 

Die Eventlog-Meldungen, bei einer Einwahl (obwohl das Computerzertifikat auf dem ISA Server nicht installiert ist) bring folgende Meldungen:

 

Ein Standardzertifikat wird zum Benutzer firma\user1 gesendet, da für Clients, die sich mit EAP-TLS einwählen, kein Zertifikat konfiguriert wurde. Konfigurieren Sie das Extensible Authentication-Protokoll (EAP) in der RAS-Richtlinie des Benutzers.

 

und

 

Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden: Das Objekt oder die Eigenschaft wurde nicht gefunden.

 

und ein anderer Kollege bekommt zusätzlich zu den beiden Meldungen oben noch:

Der Benutzer "user2@firma.lokal" hat eine Verbindung mit Port VPN4-9 hergestellt, aber die Authentifizierung ist fehlgeschlagen. Die Verbindung wurde daraufhin getrennt.

 

 

Ich hoffe sehr, das meine ausführliche Schilderung der Problematik bei der Eingrenzung des Fehlers weiterhilft!

Wenn es eine andere Möglichkeit gibt dem neuen ISA Server ein ComputerZertifikat zu installieren, als über das SnapIn, wären vermutlich die Probleme behoben, allerdings wüsste ich keine...?!

 

Wer weiß Rat?

 

Vielen Dank im voraus

 

Lars

Link zu diesem Kommentar

Vielleicht waren das ja einfach zuviele Informationen, die ich in meinen vorigen Text gebracht habe... :confused:

 

Hier meine "reduzierten" Fragen:

 

1.

Der Server weigert sich ein Computer Zertifikat über das MMC SnapIn Zertifikate zu installieren. Die Zertifikatsanforderung konnte nicht abgeschlossen werden. Der RPC-Server ist nicht verfügbar, lautet hier die knappe Fehlermeldung.

 

Was kann ich noch tun, um a) dem ISA Server das ComuterZertifikat zu installieren? b) den RPC-Fehler nicht zu bekommen?

 

Wer weiß Rat?

 

Vielen Dank im voraus!

 

Lars

Link zu diesem Kommentar

...sollte das bedeuten, dass ich auch einfach das Zertifikat des "alten" ISA Servers nehmen kann? :shock:

 

(alter Server: MMC -> SnapIn Zertifikate -> Eigene Zertifikat -> Zertifikate)

 

wäre das nicht "zu einfach".. ? :shock:

 

Echt?

 

Ich warte noch kurz auf eine Antwort und dann teste ich das mal.... :shock:

 

------------------------------------------------------------------------------

 

@Christoph35: Das wird nix... der priv. Schlüssel ist als nicht exportierbar markiert...

 

------------------------------------------------------------------------------

Link zu diesem Kommentar

erstmal Danke, aber hast Du evtl. etwas mehr Informationen...

Bei den Vorlagen mal eben rechs klick und neue Vorlage geht nämlich leider nicht...

 

Allerdings habe ich hier eine Vorlage, die nennt sich RAS und IAS-Server, wenn ich dort unter den Eigenschaften den Reiter "Anforderungsverarbeitung" auswähle, KÖNNTE ich hier einen Haken bei "Exportieren von privatem Schlüssel zulassen"...

 

Sollte mir dies weiterhelfen? Sollte ich das tun (am produktiven System)? :shock: (Die Testumgebung ist im Urlaub) :shock:

Link zu diesem Kommentar

Hast Du den von mir verlinkten Artikel schon mal gelesen? Da steht einiges informatives drin.

 

Ausserdem gibts von Grizzly999 auf Windows Server How-To Guides: Home - ServerHowTo.de ein gutes Howto zum Thema.

 

Ggf. musst du das auf eure Gegebenheiten anpassen.

 

Am besten testet man solche Änderungen natürlich vorher...

 

Christoph

Link zu diesem Kommentar

Hab alles gelesen (selbstverständlich)

Windows Server How-To Guides: Teil 2 – Anfordern und Installieren der Zertifikate - ServerHowTo.de

Leider ist das alles irgendwie anders als in meiner Umgebung. Jedenfalls kann ich zum Beispiel bei der Zertifikatsanforderung kein >Typ des erforderlichen Zertifikats< auswählen (und selbstverständlich bleibt auch hier das Feld "Schlüssel exportierbar" hellgrau...

 

Vielen Dank aber trotzdem für Deine Hilfe!

Ich hoffe mal, dass mich bald mein Microsoft Professional zurückruft und sich hier vor Ort mit ein paar Klicks seine nächsten zwei/drei Tankfüllungen für sein SLK sichert...

 

:( ...ich jedenfalls bin weiterhin ratlos... :nene:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...