4
VPN-Verbindung via SSTP scheitert mit 0x8009201 - Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.
Hallo liebe Leser,
ich möchte gerne das SSTP-Protokoll nutzen um mit Vista SP1 eine VPN-Verbindung zu einem Windows Server 2008 aufzubauen. Der Verbindungsaufbau scheitert aber mit folgender Fehlermeldung:
Meiner Meinung nach ist die Sperrliste aber durchaus verfügbar, wenn ich nämlich im Browser "https://externerName/sra_%7BBA195980-CD49-458b-9E23-C84EE0ADCD75%7D/" aufrufe und mir die Sperrlisten-Verteilpunkte des Zertifikats anschaue, steht dort folgendes:
Wenn ich nun im Browser "http://externerName/CertEnroll/pte2%20Zertifizierungsstelle.crl" aufrufe, kann ich die Sperrliste ohne weiteres herunterladen und anschauen. Somit ist mir die Fehlermeldung unverständlich. Natürlich ist die LDAP-Verbindung zum AD von aussen nicht möglich, aber dafür habe ich ja die URL, welche von aussen via HTTP erreichbar ist, im Zertifikat!?
Weder die bekannte Suchmaschine noch die Boardsuche konnte mir weiterführende Hinweise geben. Sorry wenn ich etwas übersehen habe, bin Neuling.
Danke für eure Rückmeldungen im Voraus und Grüsse
cryptoz
EDIT: Ach ja, über PPTP funktioniert die Verbindung tadellos.
ich möchte gerne das SSTP-Protokoll nutzen um mit Vista SP1 eine VPN-Verbindung zu einem Windows Server 2008 aufzubauen. Der Verbindungsaufbau scheitert aber mit folgender Fehlermeldung:
- Fehler 0x8009201: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.
Meiner Meinung nach ist die Sperrliste aber durchaus verfügbar, wenn ich nämlich im Browser "https://externerName/sra_%7BBA195980-CD49-458b-9E23-C84EE0ADCD75%7D/" aufrufe und mir die Sperrlisten-Verteilpunkte des Zertifikats anschaue, steht dort folgendes:
[1]Sperrlisten-Verteilungspunkt
Name des Verteilungspunktes:
Vollst. Name:
URL=ldap:///CN=pte2%20Zertifizierungsstelle,CN=dc01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=pte2,DC=int?certificateRevocationList?base?objectClass=cRLDistributionPoint
URL=http://externerName/CertEnroll/pte2%20Zertifizierungsstelle.crlWenn ich nun im Browser "http://externerName/CertEnroll/pte2%20Zertifizierungsstelle.crl" aufrufe, kann ich die Sperrliste ohne weiteres herunterladen und anschauen. Somit ist mir die Fehlermeldung unverständlich. Natürlich ist die LDAP-Verbindung zum AD von aussen nicht möglich, aber dafür habe ich ja die URL, welche von aussen via HTTP erreichbar ist, im Zertifikat!?
Weder die bekannte Suchmaschine noch die Boardsuche konnte mir weiterführende Hinweise geben. Sorry wenn ich etwas übersehen habe, bin Neuling.
Danke für eure Rückmeldungen im Voraus und Grüsse
cryptoz
EDIT: Ach ja, über PPTP funktioniert die Verbindung tadellos.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 95054
Url: https://administrator.de/contentid/95054
Printed on: April 23, 2024 at 21:04 o'clock
4 Comments
Latest comment
Hast Du mal probiert, die Sperrlisten überprüfung abzuschalten? Funktioniert die Verbindung dann?
Hallo Garfieldt,
danke für deine Antwort. Finde ich eine super Idee! Weisst du wo ich die Sperrlistenüberprüfung deaktivieren kann? Macht man das auf dem Client bei der Zertifikatsstelle oder auf dem SSTP-Server? Leider kann ich spontan nichts finden.
danke und Grüsse
EDIT: Herausgefunden, dass man die Überprüfung gemäss http://support.microsoft.com/kb/947054/en-us ("NoCertRevocationCheck") auf dem Server deaktiviert. Leider hat das Anlegen dieses DWORDS in der Registry und anschliessendes Neustarten des SSTP-Services zu keinem Erfolg geführt. Die Verbindung scheitert immer noch mit derselben Fehlermeldung.
danke für deine Antwort. Finde ich eine super Idee! Weisst du wo ich die Sperrlistenüberprüfung deaktivieren kann? Macht man das auf dem Client bei der Zertifikatsstelle oder auf dem SSTP-Server? Leider kann ich spontan nichts finden.
danke und Grüsse
EDIT: Herausgefunden, dass man die Überprüfung gemäss http://support.microsoft.com/kb/947054/en-us ("NoCertRevocationCheck") auf dem Server deaktiviert. Leider hat das Anlegen dieses DWORDS in der Registry und anschliessendes Neustarten des SSTP-Services zu keinem Erfolg geführt. Die Verbindung scheitert immer noch mit derselben Fehlermeldung.
Mitdenken!
Warum werden die CRLs überprüft?
Damit keine Verbindung zu einem Server mit einem zurückgerufenen Zertifikat hergestellt wird!
Wer überprüft daher die CRL?
Der Client!
Also, wenn Du den Reg Eintrag, wie im KB beschrieben bein Client anlegst, sollte es funktionieren. Denn es würde ja keinen Sinn machen, wenn ein "falscher" Server den Client überreden könnte das Zertifikat nicht zu überprüfen.
Warum werden die CRLs überprüft?
Damit keine Verbindung zu einem Server mit einem zurückgerufenen Zertifikat hergestellt wird!
Wer überprüft daher die CRL?
Der Client!
Also, wenn Du den Reg Eintrag, wie im KB beschrieben bein Client anlegst, sollte es funktionieren. Denn es würde ja keinen Sinn machen, wenn ein "falscher" Server den Client überreden könnte das Zertifikat nicht zu überprüfen.
Dasselbe habe ich mir auch überlegt, allerdings...
...beziehen sich die Informationen unter http://support.microsoft.com/kb/947054/en-us gemäss Beschreibung auf Windows Server 2008 und nicht auf Vista (was natürlich nichts heisst, Webseiten nehmen alles an).
...ist dort z.B. auch der ListenerPort aufgelistet. Auf einem Client wird wohl kaum ein ListenerPort eingestellt?
...bekomme ich, wenn der NoCertRevocationCheck auf dem Client auf 1 ist, die Fehlermeldung "Fehler 0x800704D4: Die Netzwerkverbindung wurde durch das lokale System getrennt."
Dass der Client die CRL überprüft ist mir klar, das schliesst allerdings nicht ganz aus, dass dies serverseitig gesteuert werden kann. Der Server kann dem Client beim Verbindungsaufbau ja "mitteilen", dass er das Zertifikat nicht überprüfen soll.
Weitere Vorschläge? Sagt dir der Fehler den ich auf dem Client habe mit clientseitigem NoCertRevocationCheck=1 etwas?
Hast du bei dir eine funktionierende SSTP Verbindung?
danke und Grüsse
...beziehen sich die Informationen unter http://support.microsoft.com/kb/947054/en-us gemäss Beschreibung auf Windows Server 2008 und nicht auf Vista (was natürlich nichts heisst, Webseiten nehmen alles an).
...ist dort z.B. auch der ListenerPort aufgelistet. Auf einem Client wird wohl kaum ein ListenerPort eingestellt?
...bekomme ich, wenn der NoCertRevocationCheck auf dem Client auf 1 ist, die Fehlermeldung "Fehler 0x800704D4: Die Netzwerkverbindung wurde durch das lokale System getrennt."
Dass der Client die CRL überprüft ist mir klar, das schliesst allerdings nicht ganz aus, dass dies serverseitig gesteuert werden kann. Der Server kann dem Client beim Verbindungsaufbau ja "mitteilen", dass er das Zertifikat nicht überprüfen soll.
Weitere Vorschläge? Sagt dir der Fehler den ich auf dem Client habe mit clientseitigem NoCertRevocationCheck=1 etwas?
Hast du bei dir eine funktionierende SSTP Verbindung?
danke und Grüsse
