3
Fehler 691 Der Zugriff wurde verweigert, weil der Benutzername bzw. das Kennwort für die Domäne ungültig ist.
Hallo Zusammen,
ich habe folgende Konstellation in meinem Netzwerk:
DC: 2008r2 mit CA und eigenen Zertifikaten
VPN: 2008r2 mit Routing und RAS sowie NPS
Ich habe eine Sicherheitsgruppe erstellt in denen die User sind, die sich per VPN einwählen dürfen. Eine Netzwerkrichtlinie für VPN wurde erstellt und die Sicherheitsgruppe in den Bedingungen eingetragen.
Wenn ich nun Benutzer1 über einen Windows-XP-Rechner mit SP3 via VPN verbinde, funktioniert alles tadellos. Ich habe in den VPN-Einstellungen EAP (Smartcard oder anderes Zertifikat) aktiviert, "Zertifikate auf diesem Computer verwenden"+"Einfache Zertifikatauswahl verwenden" aktiviert.
Der XP-Rechner kann sich ohne Probleme via VPN mit meinem Netzwerk verbinden und es funktionieren auch alle Features die ich haben möchte.
Benutzer2 hat einen Rechner mit Windows7. Hier habe ich bei der VPN-Verbindung die gleichen Einstellungen vorgenommen, und beim Verbinden erscheint dann: "Fehler 691: Der Zugriff wurde verweigert, weil ein Benutzername bzw. das Kennwort für die Domäne ungültig ist".
Ich habe auf dem Windows7-Rechner kontrolliert ob das Benutzer und Computerzertifikat installiert ist und das sieht alles gut aus. Die Zertifikate sind von meiner CA ausgestellt worden und sind fehlerfrei.
Auf dem RAS-Server erhalte ich folgende Meldung bei der Einwahl:
Hat hier jemand ne Idee was ich da machen könnte um dem Fehler auf die Schliche zu kommen?
Danke & Gruß
Olli
ich habe folgende Konstellation in meinem Netzwerk:
DC: 2008r2 mit CA und eigenen Zertifikaten
VPN: 2008r2 mit Routing und RAS sowie NPS
Ich habe eine Sicherheitsgruppe erstellt in denen die User sind, die sich per VPN einwählen dürfen. Eine Netzwerkrichtlinie für VPN wurde erstellt und die Sicherheitsgruppe in den Bedingungen eingetragen.
Wenn ich nun Benutzer1 über einen Windows-XP-Rechner mit SP3 via VPN verbinde, funktioniert alles tadellos. Ich habe in den VPN-Einstellungen EAP (Smartcard oder anderes Zertifikat) aktiviert, "Zertifikate auf diesem Computer verwenden"+"Einfache Zertifikatauswahl verwenden" aktiviert.
Der XP-Rechner kann sich ohne Probleme via VPN mit meinem Netzwerk verbinden und es funktionieren auch alle Features die ich haben möchte.
Benutzer2 hat einen Rechner mit Windows7. Hier habe ich bei der VPN-Verbindung die gleichen Einstellungen vorgenommen, und beim Verbinden erscheint dann: "Fehler 691: Der Zugriff wurde verweigert, weil ein Benutzername bzw. das Kennwort für die Domäne ungültig ist".
Ich habe auf dem Windows7-Rechner kontrolliert ob das Benutzer und Computerzertifikat installiert ist und das sieht alles gut aus. Die Zertifikate sind von meiner CA ausgestellt worden und sind fehlerfrei.
Auf dem RAS-Server erhalte ich folgende Meldung bei der Einwahl:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 01.12.2009 13:37:05
Ereignis-ID: 6273
Aufgabenkategorie:Netzwerkrichtlinienserver
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: GW-Morbach.elmo.meine.domain
Beschreibung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: ELMO\Benutzer2
Kontoname: Benutzer2@elmo.meine.domain
Kontodomäne: ELMO
Vollqualifizierter Kontoname: ELMO\Benutzer2
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 192.168.115.170
Anrufer-ID: 80.187.109.101
NAS:
NAS-IPv4-Adresse: 192.168.100.170
NAS-IPv6-Adresse: -
NAS-ID: GW-MORBACH
NAS-Porttyp: Virtuell
NAS-Port: 5
RADIUS-Client:
Clientanzeigenname: GW-MORBACH
Client-IP-Adresse: 192.168.100.170
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Microsoft Routing und RAS-Richtlinie
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: GW-Morbach.elmo.meine.domain
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: 3435
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 48
Ursache: Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein.
Hat hier jemand ne Idee was ich da machen könnte um dem Fehler auf die Schliche zu kommen?
Danke & Gruß
Olli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 130684
Url: https://administrator.de/contentid/130684
Printed on: April 25, 2024 at 23:04 o'clock
3 Comments
Latest comment
Hat der Benutzer 2 auch die Einwahlrechte in der Domaine?
Hi Dipps,
ja die müsste er haben, da ich ihn ja in die Sicherheitsgruppe reingenommen habe und die Sicherheitsgruppe in der Netzwerkrichtlinie in den Bedingungen eingetragen ist.
Hab jetzt auch grad nochmal auf dem Benutzer geschaut, unter der Reiterkarte "Einwählen" ist "Zugriff über NPS-Netzwerkrichtlinien steuern" ausgewählt.
Gruß
Olli
ja die müsste er haben, da ich ihn ja in die Sicherheitsgruppe reingenommen habe und die Sicherheitsgruppe in der Netzwerkrichtlinie in den Bedingungen eingetragen ist.
Hab jetzt auch grad nochmal auf dem Benutzer geschaut, unter der Reiterkarte "Einwählen" ist "Zugriff über NPS-Netzwerkrichtlinien steuern" ausgewählt.
Gruß
Olli
Warum auch immer? Ich habe die VPN-Verbindung neu angelegt und jetzt funktioniert es auch mit Windows 7.
Gruß
Olli
Gruß
Olli
