Zum Inhalt springen

VPN-Einwahl auf Windows Server 2008 funktioniert nicht


Empfohlene Beiträge

Geschrieben

Mahlzeit,

ich habe ein kleines Problem bei einem Kunden. Der hat jetzt einen Windows Server 2008 bekommen, nachdem er ewig gezaudert hat, seinen 2000er Server abzulösen.

Nun ist es so, dass der 2000er-Server bisher der Endpunkt für ein PPTP-VPN (über Routing und RAS) war, was im Moment auch noch funktioniert, wenn ich die entsprechenden Ports im Router auf den weiterleite.

Der 2008er-Server hat ein komplett neues AD erhalten, die Routing und RAS-Rolle ist auch installiert und für VPN konfiguriert.

Ein Benutzer (wir als IT-Systemhaus) soll nun VPN-Zugriff bekommen, was entsprechend eingerichtet ist: im AD ist der Benutzer in einer Gruppe Remote-VPN, der im Netzwerkrichtlinienserver in der Richtlinie "VPN zulassen" eingetragen ist (die Richtlinie steht auf "Zugriff gewähren"). Als Protokolle sind MS-CHAP und MS-CHAP v2 aktiviert, das ist auch in der VPN-Verbindung auf dem Client-PC, der sich einwählen soll (XP SP3) so eingestellt. Die PPTP-Ports sind im Router (nicht VPN-fähig) natürlich auch auf den neuen Server weitergeleitet.

Leider fruchtet das alles nichts, der Client bekommt immer die Fehlermeldung, dass der Benutzer keine Einwählberechtigungen habe. Das Passwort ist hundertprozentig richtig, da ich mich mit diesem natürlich per Remotedesktop am Server anmelden kann.

Als Fehler im Windows-Ereignisprotokoll kommen folgende:

Ereignis-ID 20271

CoID=: Der Benutzer <Benutzername>, der eine Verbindung mit <unsere externe IP-Adresse> hergestellt hat, konnte sich aus folgendem Grund nicht authentifizieren: Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server zum Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden.

Ereignis-ID 20258

CoID={NA}: Das Konto für Benutzer \<Benutzername> (verbunden über Port VPN2-127) hat keine Remotezugriffsberechtigung. Die Verbindung wurde getrennt.

Ich habe schon diesen Artikel gefunden, woraufhin ich die beiden erwähnten Richtlinien, die auf "Zugriff verweigern" standen, auf "Zugriff gewähren" gestellt und in meiner Verzweiflung sogar Routing und RAS neu gestartet habe. Außerdem habe ich im AD-Benutzer auf der Registerkarte "Einwählen" probeweise die Netzwerkzugriffsberechtigung von "Zugriff über NPS-Netzwerkrichtlinien steuern" auf "Zugriff gestatten" gestellt, was aber auch nichts geholfen hat, deswegen habe ich das wieder zurück gestellt.

Geschrieben

Ich habe jetzt mal Routing und RAS neu installiert und konfiguriert, es ist genau das selbe. :(

Außerdem habe ich alle Sicherheitseinstellungen in der VPN-Verbindungen mal ausprobiert (Datenverschlüsselung Keine/Optional/Erforderlich/Maximale), auch das bringt nichts.

Kann es vielleicht sein, dass der Server die Einwahl ablehnt, weil er selbst auch ein Domänencontroller ist? Ich habe da gezielt nach gesucht, aber nicht gefunden, ob Routing und RAS beim 2008er-Server, der gleichzeitig DC ist, erlaubt ist oder von Vornherein zum Scheitern verurteilt ist.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...