none
SBS2011 VPN RRS feed

  • Frage

  • Hallo,

     

    wir haben einen Wechsel vom SBS2003 auf SBS2011 ohne Migration druchgeführt.

    Leider ist es jetzt nicht mehr möglich per VPN auf das NEtzwerk zuzugreifen. Ich habe die Einstellungnen über den Assistenten gemacht. Dieser meldete nur dass er den Port im Router nicht freischalten konnte. Die Port-Weiterleitung habe ich von Hand auf die neue Server IP geändert.

     

    Wenn sich jetzt ein User mir VPN-Rechten anmelden möchte, wird folgendes Ereignis erzeugt:

     

    CoID={NA}: Der Benutzer xxx, der eine Verbindung mit xx.xx.x.xx hergestellt hat, konnte sich aus folgendem Grund nicht authentifizieren: Die Verbindung konnte nicht hergestellt werden, da die vom Verbindungsprofil verwendete Authentifizierungsmethode von einer Zugriffsrichtlinie, die auf dem RAS/VPN-Server konfiguriert ist, nicht verwendet werden darf. Dies kann vor Allem durch Konfigurationsunterschiede zwischen der auf dem RAS/VPN-Server ausgewählten Authentifizierungsmethode und der dafür konfigurierten Zugriffsrichtlinie verursacht werden

     CoID={NA}: Das Konto für Benutzer xxxx(verbunden über Port VPN3-4) hat keine Remotezugriffsberechtigung. Die Verbindung wurde getrennt.

    Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

    Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

    Benutzer:
     Sicherheits-ID:   domäne\user

     Kontoname:    user
     Kontodomäne:   domäne

     Vollqualifizierter Kontoname:  domäne\user

     Sicherheits-ID:   NULL SID
     Kontoname:    -
     Vollqualifizierter Kontoname:  -
     Betriebssystemversion:   -
     Empfänger-ID:    192.168.1.2
     Anrufer-ID:    xx.255.4.20

    NAS:
     NAS-IPv4-Adresse:   192.168.1.2
     NAS-IPv6-Adresse:   -
     NAS-ID:     SBS2011
     NAS-Porttyp:    Virtuell
     NAS-Port:    0

    RADIUS-Client:
     Clientanzeigenname:    SBS2011
     Client-IP-Adresse:   192.168.1.2

    Authentifizierungsdetails:
     Name der Verbindungsanforderungsrichtlinie: NAP VPN
     Netzwerkrichtlinienname:  NAP VPN Nicht NAP-fähig
     Authentifizierungsanbieter:  Windows
     Authentifizierungsserver:  SBS2011.xxxx.local
     Authentifizierungstyp:  MS-CHAPv2
     EAP-Typ:   -
     Kontositzungs-ID:  3337
     Protokollierungsergebnisse:   Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
     Ursachencode:   66
     Ursache:    Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.

    Ich habe mir die Methoden angeschaut, es sind die Standardeinstellungen. Was mich etwas verwirrt ist, die Konfig wird nicht unter Routing und Ras sondern über den NPS-Dienst konfiguriert.

    Ich kann leider mit der Zugriffrichtliene nichts anfangen, auf dem 2003er war das alles einfacher zu händeln. Auf der Client Seite ist MS-CHAPv2 eingestellt.

    Wird der NPA überhaupt benötigt, oder kann ich dieses deinstallieren.

    Kann mir jemand einen Tipp geben?

     

     



    Montag, 8. August 2011 12:54

Antworten

  • Habe eine Einstellung AD gefunden, in den User-Profilen gibt noch eine weitere Einstellung für den VPN-Zugang. Habe dort NPA abgeschaltet und nun gehts.
    • Als Antwort markiert sg1977 Mittwoch, 18. Januar 2012 12:20
    Mittwoch, 10. August 2011 22:02

Alle Antworten

  •  CoID={NA}: Das Konto für Benutzer xxxx(verbunden über Port VPN3-4) hat keine Remotezugriffsberechtigung. Die Verbindung wurde getrennt.


    Hi ???,

    Ich behaupte mal, Du hast dem User keine VPN-Berechtigung gegeben. Schau mal in der Benutzerverwaltung beim USer unter Remotezugriff, ob da der Haken für vpn drin ist.

    zu "Wird der NPA überhaupt benötigt, oder kann ich dieses deinstallieren":

    Warum will eigentlich jeder immer alles, was vermeintlich nicht benötigt wird sofort deinstallieren. Ein SBS ist zu komplex und manches was man deinstalliert hat kann nicht merh reinstalliert werden oder nur über tausend Klimmzüge, oder auch Update schlagen fehl. In der Regel reicht es doch erstmal die Dienste zu deaktivieren, wenn man unbedingt meint man brauch es nicht. Meine Meinung nach sollte man so nah an der Standardinstallation bleiben wie es geht, dann bleiben ach die Problem klein.

    Volker

    Montag, 8. August 2011 14:52
  • Hallo,

     

    die User haben den Haken drinn, sind auch in der entsprechenden Gruppe.

    Montag, 8. August 2011 20:26
  • Habe jetzt sämtliche Sicherheitseinstellung deaktiviert oder auf das Minium heruntergestellt, leider bleibt der Fehler bestehen.
    Dienstag, 9. August 2011 17:48
  • Habe eine Einstellung AD gefunden, in den User-Profilen gibt noch eine weitere Einstellung für den VPN-Zugang. Habe dort NPA abgeschaltet und nun gehts.
    • Als Antwort markiert sg1977 Mittwoch, 18. Januar 2012 12:20
    Mittwoch, 10. August 2011 22:02