none
VPN Problem: Computergruppen RRS feed

  • Frage

  • Hallo *,

    mir stellt sich das folgende Problem:

    Ich habe unter Server 2012 die RAS Rolle installiert und einen VPN Zugang konfiguriert. Den Zugang regele ich über RAS. Das hat gut funktioniert, solange ich in der Netzwerkrichtlinie als Bedingung nur eine Benutzergruppe abgefragt habe. Nun wollen wir den Zugang auf eine bestimmte Computergruppe beschränken. Sobald ich diese Gruppe in der Netzwerkrichtlinie hinzufüge funktioniert die VPN Anmeldung nicht mehr. Der Client ist jedoch in der passenden Computergruppe und der Benutzer in der passenden Benutzergruppe.

    Am Client (Win7 und Win8, Domänenmitglieder) erhalte ich einen Fehler 691. Benutzername, Passwort und Protokolle stimmen jedoch mit denen aus dem erfolgreichen Test ohne Computergruppe überein. Sowohl Client- als auch Serverseitig.

    Das Eventlog des Servers liefert mir unter Sicherheit einen Fehler 6273 (48) und unter System einen Fehler 20255. Es kommt mir vor, als ob der Hostname des Clients und/oder die Gruppe nicht richtig ermittelt werden können.

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
      <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
      <EventID>6273</EventID> 
      <Version>1</Version> 
      <Level>0</Level> 
      <Task>12552</Task> 
      <Opcode>0</Opcode> 
      <Keywords>0x8010000000000000</Keywords> 
      <TimeCreated SystemTime="2014-05-09T09:31:41.993250000Z" /> 
      <EventRecordID>84233</EventRecordID> 
      <Correlation /> 
      <Execution ProcessID="564" ThreadID="4412" /> 
      <Channel>Security</Channel> 
      <Computer>*****</Computer> 
      <Security /> 
      </System>
    - <EventData>
      <Data Name="SubjectUserSid">S-1-5-21-788298791-679236169-893199082-20209</Data> 
      <Data Name="SubjectUserName">username</Data> 
      <Data Name="SubjectDomainName">domain</Data> 
      <Data Name="FullyQualifiedSubjectUserName">domain\username</Data> 
      <Data Name="SubjectMachineSID">S-1-0-0</Data> 
      <Data Name="SubjectMachineName">-</Data> 
      <Data Name="FullyQualifiedSubjectMachineName">-</Data> 
      <Data Name="MachineInventory">-</Data> 
      <Data Name="CalledStationID">x.x.x.x</Data> 
      <Data Name="CallingStationID">x.x.x.x</Data> 
      <Data Name="NASIPv4Address">x.x.x.x</Data> 
      <Data Name="NASIPv6Address">-</Data> 
      <Data Name="NASIdentifier">****</Data> 
      <Data Name="NASPortType">Virtuell</Data> 
      <Data Name="NASPort">0</Data> 
      <Data Name="ClientName">*****</Data> 
      <Data Name="ClientIPAddress">x.x.x.x</Data> 
      <Data Name="ProxyPolicyName">Microsoft Routing und RAS-Richtlinie</Data> 
      <Data Name="NetworkPolicyName">-</Data> 
      <Data Name="AuthenticationProvider">Windows</Data> 
      <Data Name="AuthenticationServer">******</Data> 
      <Data Name="AuthenticationType">EAP</Data> 
      <Data Name="EAPType">-</Data> 
      <Data Name="AccountSessionIdentifier">3532</Data> 
      <Data Name="ReasonCode">48</Data> 
      <Data Name="Reason">Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein.</Data> 
      <Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data> 
      </EventData>
      </Event>

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
      <Provider Name="RemoteAccess" /> 
      <EventID Qualifiers="0">20255</EventID> 
      <Level>2</Level> 
      <Task>0</Task> 
      <Keywords>0x80000000000000</Keywords> 
      <TimeCreated SystemTime="2014-05-09T09:31:41.000000000Z" /> 
      <EventRecordID>15224</EventRecordID> 
      <Channel>System</Channel> 
      <Computer>*****</Computer> 
      <Security /> 
      </System>
    - <EventData>
      <Data>{AA345D6B-C278-440F-B229-4A2A87B1552B}</Data> 
      <Data>VPN1-127</Data> 
      <Data>username</Data> 
      <Data>Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server zum Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden.</Data> 
      <Binary>2C030000</Binary> 
      </EventData>
      </Event>

    Eingesetzt werden EAP (PEAP) mit Gesichertem Kennwort (EAP-MSCHAP v2) und SSTP. Ein offizielles Server-Zertifikat ist hinterlegt.

    Hat jemand eine Idee?

    Schönes Wochenende!

    Freitag, 9. Mai 2014 10:04

Antworten

  • Hallo *,

    ich habe nun eine Lösung für mich gefunden und möchte diese kurz beschreiben falls jemand anders auch einmal auf dieses Problem stoßen sollte:

    Nachdem ich mit den Computergruppen zunächst keinen Erfolg hatte, wollte ich zumindest sicher gehen, das die Clients mit den aktuellsten Updates versorgt sind und einen Virenschutz besitzen. Also habe ich meine Versuchsrichtlinien noch einmal entfernt und mit dem Assistenten neue erstellt. Auch diese haben dann zunächst nicht funktioniert.

    Dann ist mir aufgefallen, das die vom Assistenten erstellte Verbindungsanforderungsrichtlinie nicht richtig einsortiert wurde. Ich habe sie dann in der Verbindungsreihenfolge auf Platz 1 verschoben. Danach funktionierten die Netzwerkrichtlinien dann wie sie sollten. Mehr durch Zufall habe ich dann auch noch einmal meine Computergruppe zu den Netzwerkrichtlinien hinzugefügt.
    Auch das hat dann plötzlich funktioniert. Es lag also an der Reihenfolge der Verbindungsanforderungsrichtlinien.

    Ich wünsche erneut ein schönes Wochenende!

    • Als Antwort markiert JF_HL Freitag, 16. Mai 2014 06:46
    Freitag, 16. Mai 2014 06:46

Alle Antworten