VPN IPSec/L2TP Probleme

[reinerk 10]

Hallo und guten Abend,

ich habe ein Problem mit einigen VPN Zugriffen auf einen 2003 RAS-Server

Folgende Konfiguration :

-Ein Ordner VPN mit entsprechenden Unterordnern für den jeweiligen User

-Zugriff erfolgt über L2TP/IPsec

-Logon über Zertifikat erfolgt problemlos.

 

Die Zugriffsrechte in den Unterordnern sind so eingerichtet, daß jeweils nur der

entsprechende VPN-User Zugriff auf "seinen" Ordner hat.

Beim Logon wird der jeweilige Ordner entsprechend automatisch verbunden.

Jetzt gibt es aber dahingehend Probleme, daß einige User beim Verbinden mit

dem Netzlaufwerk sich erneut mit Username und Paßwort authentifizieren müssen,andere nicht,obwohl sie sich ja bereits per Zertifikat authentifiziert haben.

Alle User sind Mitglied einer Sicherheitsgruppe "VPN" mit gleichen Rechten.

Ich vermute jetzt, daß dieser Fehler an einer falschen bzw. unterschiedlichen Konfiguration der XP-Clients liegt ( alle XP-Pro ) und nicht etwa an irgendeiner

"vermurksten" Gruppenrichtlinie.

Hat jemand von Euch eine Idee ? :confused:

Je länger ich grübele, desto weniger komme ich an eine Lösung.

Dank vorab schonmal.

[IThome 10]

Ist bei einigen der Haken "Windows-Anmeldedomäne einbeziehen" angehakt und bei anderen nicht ?

[reinerk 10]

Ist bei einigen der Haken "Windows-Anmeldedomäne einbeziehen" angehakt und bei anderen nicht ?

 

Danke für den Tip.

Daran dachte ich auch, aber dem ist nicht so, bei keinem der Clients.

[IThome 10]

Ist der Haken bei allen Clients gesetzt oder nicht ?

[reinerk 10]

Ist der Haken bei allen Clients gesetzt oder nicht ?

 

Nein ist bei allen Clients raus

[IThome 10]

Melden sich denn einige VPN-Clients an ihren Rechnern mit Konten/Kennwörtern an, die auch in der Domäne existieren und andere eben mit Konten, die entweder so nicht existieren oder die ein anderes Kennwort in der Domäne haben ?

[reinerk 10]

Melden sich denn einige VPN-Clients an ihren Rechnern mit Konten/Kennwörtern an, die auch in der Domäne existieren und andere eben mit Konten, die entweder so nicht existieren oder die ein anderes Kennwort in der Domäne haben ?

 

Das ist ja das Problem:

-Alle VPN User sind Mitglieder einer Sicherheitsgruppe "VPN"

-Alle VPN User haben ein gültiges Zertifikat und authentifizieren sich

per Zertifikat fehlerfrei am Server

-User A kann auf Verzeichnis A ohne erneute Authentifizierung zugreifen

-User B wird bei der Verbindung zu "seinem" Laufwerk B zur Eingabe von

von Benutzername und Password aufgefordert

-Auf allen XP Clients ist die gleiche Konfiguration für die VPN Verbindung

 

Beispiel :

 

1. Benutzer A ist Mitglied der Gruppe VPN und hat das Kennwort 123

2. Benutzer A fordert ein Zertifikat an, welches erfolgreich installiert wird

3. Benutzer A verbindet sich nur noch über EAP und L2TP/IPSec

4. Benutzer A verbindet sich mit \\Server\BenutzerA

 

Das war's

 

Punkt 1 bis 4 für Benutzer B identisch

 

Benutzer B muss sich dann jedoch beim Verbinden mit \\Server\BenutzerB

erneut mit Benutzername und Passwort authentifizieren.

 

Es spielt dabei keine Rolle,ob die lokalen Kennwörter auf dem Client

und das Kennwort des Users in der AD identisch sind oder nicht.

 

Irgendwie läuft da was mächtig quer und ich habe keinen Lösungsansatz

[IThome 10]

Was passiert, wenn bei Benutzer B der Haken "Windows-Anmeldedomäne einbeziehen" aktiviert ist ? Sind die Rechner, die die VPN-Verbindung aufbauen, alle Domänenmitglieder ?

[reinerk 10]

IThome Du hattest Recht

habe nochmals mit dem betreffenden User telefoniert und siehe da,

was ich nicht wissen konnte, der hat sein Userzertifikat auf sein Notebook importiert und dort hat er ganz andere lokale Anmeldeeinstellungen sprich Name

und Kennwort....das war's also.

Danke für die schnellen Antworten und die Hilfe.