108436
Goto Top

SSTP Fehler 0X80092013 Sperrserver Offline nach einrichtung eines SSTP Servers unter 2008

Mein Vorgehen
1) Zertifikatdienste und IIS-Webserver installieren

Im Server-Manager Rechtsklick auf Rollen > Rollen hinzufügen, Weiter.
Haken setzen bei Active Directory Zertifikatdienste. Zweimal auf Weiter.
Haken setzen bei Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung. Ggf. Dialog zur Installation des IIS-Webserver bestätigen.
Option Eigenständig wählen, Weiter.
Option Stammzertifizierungsstelle belassen, Weiter.
Sechs mal auf Weiter, dabei alle Optionen belassen.
Klick auf Installieren, warten und Assistenten schließen.

2) Zertifizierungsstelle einrichten

Im Server-Manager unter Rollen > Active Directory-Zertifikatdienste in der Baumansicht Rechtsklick auf die Server-CA > Eigenschaften > Erweiterungen.
Im Dropdownfeld Sperrlisten-Verteilungspunkt ausgewählt lassen, Klick auf Hinzufügen…
Unter Ort folgendes eingeben (DynDNS-Adresse entsprechend anpassen) und bestätigen:
http://myserver.dyndns.org/CertEnroll/<CaName><CRLNameSuffix&g ...
Im Dialog für den neu hinzugefügten Eintrag einen Haken setzen bei In Sperrlisten einbeziehen und In CDP-Erweiterung des ausgestellen Zertifikats einbeziehen, Klick auf OK.

3) Zertifikatsanforderung erstellen

Im Server-Manager unter Rollen > Webserver (IIS) > Internetinformationsdienste in der zweiten Baumansicht auf den eigenen Server klicken, dann auf der rechten Seite unter der Rubrik IIS Doppelklick auf Serverzertifikate.
Ganz rechts auf Zertifikatanforderung erstellen… klicken.
Die Informationen zum Zertifikat ausfüllen: Unter Gemeinsamer Name die DynDNS-Adresse (z.B. myserver.dyndns.org) oder öffentliche IP eintragen, jeweils ohne führendes http://. Die restlichen Felder nach Belieben, aber vollständig ausfüllen. Klick auf Weiter.
Einstellungen belassen, Weiter.
Per Klick auf … einen neuen Dateinamen für die Anforderung auswählen, Öffnen, Fertig.

4) Serverzertifikat ausstellen

Im Server-Manager unter Rollen > Active Directory-Zertifikatdienste in der Baumansicht Rechtsklick auf die Server-CA > Alle Aufgaben > Neue Anforderung einreichen…
Zuvor erstellte Anforderungsdatei auswählen, Öffnen.
Unter der Server-CA Klick auf Ausstehende Anforderungen, Rechtsklick auf die soeben erstellte Anforderung > Alle Aufgaben > Ausstellen.
In der Baumansicht Klick auf Ausgestellte Zertifikate, Doppelklick auf das soeben ausgestellte Zertifikat > Details > In Datei kopieren…, Weiter.
Einstellung belassen, Weiter.
Klick auf Durchsuchen…, Dateinamen vergeben, Speichern, Weiter.
Fertig stellen, OK.

5) Serverzertifikat einbinden

Im Server-Manager wieder unter Rollen > Webserver (IIS) > Internetinformationsdienste in der zweiten Baumansicht auf den eigenen Server klicken und rechts auf Serverzertifikate doppelklicken.
Ganz rechts auf Zertifikatanforderung abschließen… klicken.
Mit … das soeben ausgestellte Zertifikat auswählen, Öffnen.
Unter Anzeigenamen einen Namen vergeben, z.B. SSL-Zertifikat.
OK.
Links in der zweiten Baumansicht unter dem eigenen Server auf Sites > Default Web Site klicken und dann ganz rechts auf Bindungen…
In der Liste den Eintrag https auswählen, Bearbeiten…
Unter SSL-Zertifikat das soeben erstellte Zertifikat auswählen, OK.
Schließen.

6) Netzwerkrichtlinien- und Zugriffsdienste installieren

Im Server-Manager Rechtsklick auf Rollen > Rollen hinzufügen > Weiter.
Haken setzen bei Netzwerkrichtlinienserver und bei RAS unter Routing- und RAS-Dienste. Klick auf Weiter.
Klick auf Installieren, warten und Assistenten schließen.

7) Routing und RAS einrichten

Im Server-Manager unter Rollen > Netzwerkrichtlinien- und Zugriffszienste Rechtsklick auf Routing und RAS > Routing und RAS konfigurieren und aktivieren, Weiter.
Benutzerdefinierte Konfiguration anwählen, Weiter.
Haken bei VPN-Zugriff setzen, Weiter.
Fertig stellen, OK, Dienst starten.
In der Baumansicht wieder Rechtsklick auf Routing und RAS > Eigenschaften.
Alle Haken entfernen bis auf IPv4-RAS-Server.

Unter IPv4 alle Haken gesetzt lassen und die Option Statischen Adresspool anwählen, Klick auf Hinzufügen.
Adressbereich für die VPN-Clients vergeben (z.B. von xxx.xxx.xxx.240 bis 249), OK.
OK, Ja.

8) Zugriffsrichtlinien konfigurieren

Im Server-Manager Rollen > Netzwerkrichtlinien- und Zugriffszienste > NPS (lokal) > Richtlinien > Netzwerkrichtlinien anwählen.
Doppelklick auf Connections to Microsoft Routing and Remote Access server.
Die Option Zugriff gewähren aktivieren.
Falls gewünscht, unter Bedingungen auf Hinzufügen… klicken und auf Benutzergruppen doppelklicken. Es lassen sich nun Benutzergruppen auswählen, denen der VPN-Zugriff gewährt wird. Lässt man diese Bedingung weg, haben alle Benutzer VPN-Zugriff. Dialog schließen.
Die Zugriffsrichtlinien erlauben noch viele weitere, sehr fein abstimmbare Einstellungen. Diese sollen an dieser Stelle jedoch nicht weiter erläutert werden.
Klick auf OK.

Einrichtung des/der Client(s)

Auf den VPN-Clientcomputern genügen glücklicherweise wenige Schritte zur Einrichtung. Gehen Sie auf jedem Client folgendermaßen vor (dies kann im lokalen Netzwerk oder unterwegs erfolgen):

Im Webbrowser (am besten Mozilla Firefox oder Google Chrome) folgende Adresse eingeben (auf das HTTPS achten, Server-Adresse entsprechend ersetzen): https://myserver.dyndns.org/certsrv/
Klick auf Download eines Zertifizierungsstellenzertifikats, dann Download des Zertifizierungsstellenzertifikats und an beliebiger Stelle speichern. Browser schließen.
Start > Ausführen anwählen, mmc eingeben und bestätigen.
Datei > Snap-In hinzufügen/entfernen…, linke Liste herunterscrollen, Doppelklick auf Zertifikate. Option Computerkonto auswählen, Weiter, Fertig stellen
In der Baumansicht unter Zertifikate (Lokaler Computer) Rechtsklick auf Vertrauenswürdige Stammzertifizierungsstellen > Alle Aufgaben > Importieren…, Weiter.
Klick auf Durchsuchen…, das gespeicherte Zertifikat auswählen, Öffnen, Weiter.
Optionen belassen, Weiter.
Fertig stellen, Ja, OK. Fenster schließen.
In der Taskleiste unten rechts Rechtsklick auf das WLAN/Netzwerk-Symbol > Netzwerk- und Freigabecenter öffnen > Neue Verbindung oder neues Netzwerk einrichten, Doppelklick auf den letzten Eintrag Verbindung mit dem Arbeitsplatz herstellen, Klick auf Die Internetverbindung (VPN) verwenden.
Unter Internetadresse die DynDNS- oder öffentliche IP-Adresse des Servers eintragen (ohne führendes http://), evtl. einen Namen für die Verbindung vergeben und Klick auf Erstellen.
Optional: Klick auf das WLAN/Netzwerksymbol in der Taskleiste, Rechtsklick auf die VPN-Verbindung > Verbindungseigenschaften anzeigen. Unter Sicherheit den VPN-Typ SSTP einstellen und unter Folgende Protokolle zulassen sicherstellen, dass bei Microsoft CHAP, Version 2 ein Haken gesetzt ist. OK.

Damit ist die Einrichtung abgeschlossen. Die VPN-Verbindung kann ab jetzt ganz bequem per Klick auf das WLAN/Netzwerksymbol in der Taskleiste hergestellt werden.

Fehler: SSTP Fehler 0×80092013 Sperrserver Offline
Versuch zu Fixen:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
den DWORD(32bit) eintrag
NoCertRevocationCheck
hinzu und ändert den Wert auf 1 (hex) ,gesetzt,
Nächster Fehler:0x800704D4: Die Netzwerkverbindung wurde durch das lokale System getrennt.


An was kann das sliegen das es nicht Fuktioniert.
habe ich bei den zertifikaten was falsch gemacht? evtl. intern extern FQDN ?! liegts an der Ad Certstelle?!

Bitte um hilfe
Schönen sonntag

Content-Key: 247322

Url: https://administrator.de/contentid/247322

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: colinardo
colinardo 24.08.2014 aktualisiert um 17:34:20 Uhr
Goto Top
Moin,
wurde denn im RRAS in den Eigenschaften das richtige Server-Zertifikat für die SSTP-Verbindung ausgewählt (Kontextmenü des RRAS auf dem Tab Sicherheit ganz unten unter SSL-Zertifikatbindung) ?

Grüße Uwe
Mitglied: 108436
108436 24.08.2014 um 17:33:07 Uhr
Goto Top
Hallo
Ich habe dort keine Möglichkeit ein Zertifikat auszuwählen
Da steht das der netzwerkrichtlinien Server das übernimmt
Mitglied: colinardo
colinardo 24.08.2014 aktualisiert um 18:09:13 Uhr
Goto Top
Ist die Sperrliste(crl) wirklich aus dem Web vom Client unter der im Zertifikat hinterlegten URL abrufbar ?
http://www.markbrilman.nl/2013/02/tutorial-setting-up-sstp-on-windows-s ...

BTW. hättest du es auch erst mal ohne NPS machen können, nötig ist der für SSTP nicht unbedingt - der macht das ganze für den Anfang nur komplexer bei der Einrichtung.

p.s. da könnte auch was mit der Namensauflösung des Clients nicht in Ordnung sein:
http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting- ...
Mitglied: 108436
108436 24.08.2014 um 18:24:14 Uhr
Goto Top
Hallo
auch ohne Netzwerkrichtlinienserver ist keine möglichkeit ein zertifikat auszuwählen
Mitglied: 108436
108436 24.08.2014 um 18:28:08 Uhr
Goto Top
Zitat von @108436:

Hallo
auch ohne Netzwerkrichtlinienserver ist keine möglichkeit ein zertifikat auszuwählen

nein sperrliste kann nicht erreicht werden
Mitglied: colinardo
colinardo 24.08.2014 aktualisiert um 18:39:21 Uhr
Goto Top
Zitat von @108436:
> Hallo
> auch ohne Netzwerkrichtlinienserver ist keine möglichkeit ein zertifikat auszuwählen
habe hier leider keinen alten 2008er mehr zum testen, ich weiß nur das die ersten Versionen mit SSTP so Ihre Kinderkrankheiten hatten.
nein sperrliste kann nicht erreicht werden
dann sollte hier dein erster Ansatz liegen das sicherzustellen, wenn ein Zertifikat eine Sperrlisten-URL enthält sollte diese auch für die Clients öffentlich abrufbar sein. Alternativ dazu ein Zertifikat ohne Sperrlisteneintrag erstellen.