eras 10 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Hi all :) Hab hier gerade einen Windows Server 2003 und einen WinXP Professional Client. Ich habe am Server Routing und RAS Installiert und beim Client eine VPN Verbindung erstellt, ich kann mich mit dem Client einwählen, funzt alles wunderbar. Wenn ich aber auf dem Client unter den Eigenschaften --> Netzwerk --> Verbindungstyp "L2TP-IPSEC-VPN" und auf dem Server unter den RAS Richtlinien eine IPsec Richtlinie erstelle kann ich mich nicht mehr Einwählen :( ich bekomme immer folgenden Fehler: http://img124.exs.cx/img124/7990/fehlerbeimclient5ex.jpg'>http://img124.exs.cx/img124/7990/fehlerbeimclient5ex.jpg Ich habe aber den Zertifizierungsstellendienst Installiert :( Das habe ich so gemacht: Zertifizierungsserver fertig installiert: http://img124.exs.cx/img124/966/installierterzertifizierungsdi.jpg Zertifikat am Server Exportiert: http://img124.exs.cx/img124/1071/zertifikatamterminalserver3pe.jpg Zertifikat am Client Importiert: http://img124.exs.cx/img124/5091/zertifikatamclient1ul.jpg Trotzdem bekomme ich immer diesen Fehler: http://img124.exs.cx/img124/7990/fehlerbeimclient5ex.jpg Was muss ich tun? Was habe ich falsch gemacht? Zitieren Link zu diesem Kommentar
BlueDog 10 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Hi, Importiert ? Eigentlich muß sowohl der Server als auch der Client bei der Zertifizierungsstelle ein Zertifikat beantragen (jeweils ein eigenes, nicht das Stammzertifikat der Zertifizierungsstelle). Dieses Zertifikat muß dann in Zertifikate-Computer (nicht Benutzer) abgelegt werden, jedenfalls für den VPN. Wenn du das Zertifizierungsstellenzertifikat in die anderen Rechner nur importierst, ist das so als wäre da kein Zertifikat. Du kannst leicht feststellen, ob die Zertifikatszuteilung funktioniert hat: gehe zu Start - Ausführen (gib da mmc ein) - Datei -Snap-in hinzufügen - Zertifikate (Computerkonto). Dann auf eigene Zertifikate. wenn du dort eins findest: doppelklicken, und es sollte der Vermerk "Sie besitzen einen privaten Schlüssel" (oder so ähnlich) dort sein. Hinweis: Zertifikate anfordern entweder über das Snap in oder über die website deiner Zertifizierungsstelle (http://Computername/certsrv). Dazu gibt es auch Beschreibungen auf der MS-Webpage. Ich hoffe ich konnte weiterhelfen. Bin selber Anfänger, habe aber den gleichen Fehler vor einiger Zeit gemacht. Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 22. Februar 2005 Autor Melden Teilen Geschrieben 22. Februar 2005 Hi BlueDog :) Ich versuche gerade ein Zertifikat mit meinem Client vom Server anzufordern, leider bekomme ich folgenden Fehler: http://img104.exs.cx/img104/622/zertifikatanfordernfehler6ed.jpg Ich nehme mal an der Grund dafür ist das keiner der beiden Computer in einer Domäne ist und somit der vorhandene Zertifizierungsserver auch nicht Vertrauenswürdig ist. Was kann ich da tun, es sollte doch auch ohne Domäne gehen oder? Zitieren Link zu diesem Kommentar
BlueDog 10 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Hi, wenn du nicht n einer Domäne bist, dann kannst du nicht das Zertifikate Snap In zum Anfordern eines Zertifikats benutzen. Ohne Domäne geht das über die Website der Zertifizierungsstelle. Falls du bei der Installation der Zertifizierungsstelle die Internetinformationsdieste noch nicht installiert hattest, kannst du das nachholen. Danach in der Eingabeaaufforderung (DOS Fenster) certutil -vroot eingeben. Dann ist die Website einsatzbereit. Man erreicht sie unter http://Computername/certsrv. Computername = Name des Servers auf dem die Zertifizierungsstelle liegt. Die Zertifikate werden (ich glaube standardmäßig) nicht automatisch genehmigt. Gehe in die Zertifizierungsstelle, nach der Beantragung, und gehe auf Ausstehende Anforderungen, rechte Maustaste und erteilen. Damit den Zertifikaten vertraut wird, muß die Stammzertifizierungsstelle im Ordner Vertrauenswürdige Stammzertifizierungsstellen stehen. ist dem nicht so, dann entweder a) Suche das Stammzerttifizierungsstellen Zertifikat, exportieren in Datei, im richtigen Ordner dann aus Datei importieren oder b) Auf der Website der Zertifizierungsstelle suchen (Ich glaube die bietet den gleichen Service auf einen Klick an) und das automatisch machen lassen. In einer Domäne mußt du nicht sein um die Zertifikate nutzen zu können. Viel Erfolg Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 22. Februar 2005 Autor Melden Teilen Geschrieben 22. Februar 2005 Danke für die Antwort :) doch meine VPN IPsec Verbindung funktioniert leider trotzdem nicht :( ich hab noch immer den selben Fehler wie oben. Das Stammzertifikat vom Server ist jetzt am Client Installiert, zusätzlich habe ich über die Weboberfläche unter: "Zertifikat Anfordern" --> "Erweiterte Zertifikatsanforderung" --> "Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen" --> "IPsec Zertifikat" Angefordert und am Client Installiert. Es will aber einfach nicht, es ist wirklich zum verrückt werden Zitieren Link zu diesem Kommentar
BlueDog 10 Geschrieben 23. Februar 2005 Melden Teilen Geschrieben 23. Februar 2005 Hallo, Gehe zum Zertifikatsspeicher des lokalen Computers (Start - ausführen - mmc - snap in hinzufügen - Zertifikate (lokaler Computer) ). Dann schaue, ob das angeforderte Zertifikat (in allen beteiligten Rechnern) unter "Eigene Zertifikate" vorhanden ist. Außerdem muß jedes Zertifikat einen privaten Schlüssel haben. Wichtig: IPSec benutzt Compurterzertifikate, NICHT Benutzerzertifikate. Liegt das Zetrifikat deiner CA im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" ? Das ist nämlich auch notwendig. Wenn diese Forderungen erfüllt sind, sollte es eigentlich gehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.