Fehler 810 bei L2TP over IPSec Verbindung unter Vista

27/07/2008 - 04:43 von Dominik Rappaport | Report spam
Hallo!

Ich habe folgendes Szenario: Windows XP und Windows Vista Clients
sollten sich zu einem VPN Server unter Windows Server 2003 per L2TP
over IPSec verbinden (mit Hilfe von Zertifikaten). Sowohl Client als
auch Server befinden sich hinter einer NAT Firewall.

Windows XP Clients können sich tadellos verbinden, nicht aber Vista
Clients. Konkret wurde folgendes unternommen:

1. KB922706 ist auf dem CA Server installiert damit Vista Clients
korrekt Zertifikate über das Web beziehen können.
2. Die Zertifikatsvorlage "IPSec (Offline request)" wurde in der CA
hinzugefügt
3. Laut KB926179 auf den Maschinen den Wert
AssumeUDPEncapsulationContextOnSendRule auf 2 gesetzt
4. Das Stammzertifikat der CA jeweils in den Zertifikatsspeicher des
Computers importiert
5. Ein IPSec Zertifikat lautend auf den Hostanmen des Clients
angefordert. Danach das Zertifikat in den Zertifikatsspeicher des
Computers verschoben. Den entsprechenden Schalter in der Website das
gleich beim Import nicht im Benutzerspeicher abzulegen gibt es ja nach
dem Update KB922706 nicht mehr.
6. Eine VPN Verbindung vom Typ L2TP-IPSec-VPN angelegt und
entsprechend konfiguriert
7. An der Firewall die Ports 500 und 4500 jeweils UDP veröffentlicht

Windows XP Clients können sich sofort und anstandslos verbinden. Bei
Windows Vista hingegen kommt die Fehlermeldung 810 (Zertifikat falsch
oder abgelaufen). Am Server wird bei der Main Mode Negotiation der
Fehler "IKE failed to find valid machine certificate" angegeben.

Ich kann aber keine Fehler bei den Zertifikaten finden. Im
Zertifikats-Snapin werden die Maschinenzertifikate als gültig
angezeigt. Auch sind sie nicht abgelaufen und die
Zertifikatssperrliste kann über eine der im Zertifikat abgelegten URLs
per http abgerufen werden.

Wer weiß was dem Vista am Zertifikat nicht paßt womit aber XP kein
Problem hat.

Liebe Grüße,
Dominik
 

Lesen sie die antworten

#1 Anke
01/09/2008 - 11:56 | Warnen spam
Hallo!

Ich habe folgendes Szenario: Windows XP und Windows Vista Clients
sollten sich zu einem VPN Server unter Windows Server 2003 per L2TP
over IPSec verbinden (mit Hilfe von Zertifikaten). Sowohl Client als
auch Server befinden sich hinter einer NAT Firewall.

Windows XP Clients können sich tadellos verbinden, nicht aber Vista
Clients. Konkret wurde folgendes unternommen:

1. KB922706 ist auf dem CA Server installiert damit Vista Clients
korrekt Zertifikate über das Web beziehen können.
2. Die Zertifikatsvorlage "IPSec (Offline request)" wurde in der CA
hinzugefügt
3. Laut KB926179 auf den Maschinen den Wert
AssumeUDPEncapsulationContextOnSendRule auf 2 gesetzt
4. Das Stammzertifikat der CA jeweils in den Zertifikatsspeicher des
Computers importiert
5. Ein IPSec Zertifikat lautend auf den Hostanmen des Clients
angefordert. Danach das Zertifikat in den Zertifikatsspeicher des
Computers verschoben. Den entsprechenden Schalter in der Website das
gleich beim Import nicht im Benutzerspeicher abzulegen gibt es ja nach
dem Update KB922706 nicht mehr.
6. Eine VPN Verbindung vom Typ L2TP-IPSec-VPN angelegt und
entsprechend konfiguriert
7. An der Firewall die Ports 500 und 4500 jeweils UDP veröffentlicht

Windows XP Clients können sich sofort und anstandslos verbinden. Bei
Windows Vista hingegen kommt die Fehlermeldung 810 (Zertifikat falsch
oder abgelaufen). Am Server wird bei der Main Mode Negotiation der
Fehler "IKE failed to find valid machine certificate" angegeben.

Ich kann aber keine Fehler bei den Zertifikaten finden. Im
Zertifikats-Snapin werden die Maschinenzertifikate als gültig
angezeigt. Auch sind sie nicht abgelaufen und die
Zertifikatssperrliste kann über eine der im Zertifikat abgelegten URLs
per http abgerufen werden.

Wer weiß was dem Vista am Zertifikat nicht paßt womit aber XP kein
Problem hat.

Liebe Grüße,
Dominik




Hi Dominik,

in nachstehendem Artikel wird der Fehler als Zertifikatsproblem beschrieben.
Eine Verbindung zum VPN-Server wurde begonnen aber abgebrochen, was haeufig
durch falsch verwendete oder abgelaufene Zertifikate hervorgerufen wird.

"Liste der moeglicherweise angezeigten Fehlercodes beim Aufbauen einer
DFÜ-Verbindung oder VPN-Verbindung in Windows Vista"
http://support.microsoft.com/kb/923944


In nachfolgender Forumsdiskussion wird der Fehler sowie Loesungsansaetze
ebenfalls beschrieben.

"Microsoft L2TP Certificate problem in Windows Vista"
http://mybroadband.co.za/vb/showthread.php?t•967

MfG

Anke

Ähnliche fragen