IKEv2 13801

[AleksM 0]

Hallo

Ich versuche IKEv2 auf Server 2012 R2 realisieren.
Ich habe: DC-1 mit AD CS, VPN-1 mit NPS, non-domain Klient Windows 8.1
Bei erste Konfiguration hat alles gut funktioniert. Aber später, nach 30-60 Minuten bekomme ich immer den Fehler 13801.
Was ist falsch?

Auf dieser Server gibt es auch L2TP VPN, das mit PSK gut geht.

 

Danke.

bearbeitet 28. Dezember 2015 von AleksM

[zahni 587]

Auch wenn das jetzt wieder nicht hilfreich ist: Manche Dinge macht man einfach nicht auf einem Windows-Server. Kaufe Dir einen VPN-fähigen Router.

[AleksM 0]

ich benötige VPN server nur auf Windows Server

[NorbertFe 2.283]

Kurzer Hinweis auf deine weiteren identischen Postings sind immer nett:

http://social.technet.microsoft.com/Forums/de-DE/windowsserver8de/thread/d9626d76-14cc-4709-8199-84d97ab0af4d#d9626d76-14cc-4709-8199-84d97ab0af4d

 

Hilft allen.

 

Bye

Norbert

[AleksM 0]

leider nicht helfen. ich habe auch ein Mal auf Englische Foren und drei Russische Foren gefragt (insgesamt 6 Foren), weil ich keine Ahnung was falsche ist.
es lief, aber jetzt nicht mehr...

:(

bearbeitet 28. Dezember 2015 von AleksM

[NorbertFe 2.283]

leider nicht helfen.

War als Hinweis gedacht, dass man gern auf seine Multipostings hinweisen kann (zumindest auf die gleichsprachigen), damit deine Helfer ggf. wissen was andere in anderen Foren schon geantwortet haben.

 

https://technet.microsoft.com/de-de/library/dd941612(v=ws.10).aspx

Client-side validation of the server certificate cannot be disabled. If the client cannot successfully validate the certificate that the server presents, then the connection attempt fails.

Viel Erfolg noch bei deiner Problemlösung.

 

Bye

Norbert

bearbeitet 28. Dezember 2015 von NorbertFe

[AleksM 0]

was andere in anderen Foren schon geantwortet haben.

https://technet.micr...2(v=ws.10).aspx

 

nur hier und auf eine Russische Foren hat jemand etwas geantwortet. Aber gleich - "dein Klient kann kein Zertifikat prüfen". Ich weiß das... Meine Fragen sind "Warum?" und "Wie lösen?" Und hoffe jemand irgendwo wissen kann

Ich habe einige Tutorials gesehen:

install AD
install AD CS
install VPN
join Domain
create Cert Template
issue Cert for VPN server
install Root CA on Client and Server
configure Client
connect

So einfach

ich habe so gemacht. es lief nur 30 Minuten, später läuft nicht...

[NorbertFe 2.283]

Dann nimm dir Wireshark und prüfe woran es scheitert. Ich könnte mir vorstellen, dass der Zugriff auf die CRL nicht funktioniert.

[blub 115]

ja, entweder CRL-Zugriff oder "Certification Path" sind die größten Fehlerquellen.

Alle(!) Certificate in deiner Certificatskette müssen z.b. "IP security IKE intermediate (.......)" als enhanced Usage drinnen haben.

Du könntest im Windows-Eventlog noch das "CAPI2-Log" aktivieren. Vielleicht schreibt Windows ja etwas Brauchbares hinein.

[zahni 587]

Wenn ich es richtig verstehe, klappt die Verbindung ja und bricht nach 30min ab.

Vielleicht klappt etwas mit dem ikev2 rekeying nicht. Kann auch am VPN-Client liegen.

[AleksM 0]

Wenn ich es richtig verstehe, klappt die Verbindung ja und bricht nach 30min ab.

Ja, und das war nur ein mal. jetzt nicht. Habe anderer Server installiert - gleich.

[AleksM 0]

alles klar. IKEv2 auf 2012 R2 geht nicht. habe 2008 R2 installiert und konfiguriert. Alles in Ordnung.

[blub 115]

alles klar. IKEv2 auf 2012 R2 geht nicht.

 

generell gilt das aber nicht

https://technet.microsoft.com/en-us/library/hh831807.aspx?f=255&MSPPError=-2147217396

[AleksM 0]

habe ich das gesehen, und gemacht - geht nicht, wieder kommt 13801

[NorbertFe 2.283]

Dann hast du einen Fehler. ;) Aber deswegen zu behaupten es ginge nicht, geht doch etwas übers Ziel hinaus, oder?