Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Verbindung via SSTP scheitert mit 0x8009201 - Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

Mitglied: cryptoz

cryptoz (Level 1) - Jetzt verbinden

22.08.2008, aktualisiert 24.08.2008, 16768 Aufrufe, 4 Kommentare

Hallo liebe Leser,

ich möchte gerne das SSTP-Protokoll nutzen um mit Vista SP1 eine VPN-Verbindung zu einem Windows Server 2008 aufzubauen. Der Verbindungsaufbau scheitert aber mit folgender Fehlermeldung:

  • Fehler 0x8009201: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.


Meiner Meinung nach ist die Sperrliste aber durchaus verfügbar, wenn ich nämlich im Browser "https://externerName/sra_%7BBA195980-CD49-458b-9E23-C84EE0ADCD75%7D/&quo ..." aufrufe und mir die Sperrlisten-Verteilpunkte des Zertifikats anschaue, steht dort folgendes:

01.
[1]Sperrlisten-Verteilungspunkt 
02.
     Name des Verteilungspunktes: 
03.
          Vollst. Name: 
04.
               URL=ldap:///CN=pte2%20Zertifizierungsstelle,CN=dc01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=pte2,DC=int?certificateRevocationList?base?objectClass=cRLDistributionPoint 
05.
               URL=http://externerName/CertEnroll/pte2%20Zertifizierungsstelle.crl
Wenn ich nun im Browser "http://externerName/CertEnroll/pte2%20Zertifizierungsstelle.crl" aufrufe, kann ich die Sperrliste ohne weiteres herunterladen und anschauen. Somit ist mir die Fehlermeldung unverständlich. Natürlich ist die LDAP-Verbindung zum AD von aussen nicht möglich, aber dafür habe ich ja die URL, welche von aussen via HTTP erreichbar ist, im Zertifikat!?

Weder die bekannte Suchmaschine noch die Boardsuche konnte mir weiterführende Hinweise geben. Sorry wenn ich etwas übersehen habe, bin Neuling.

Danke für eure Rückmeldungen im Voraus und Grüsse
cryptoz


EDIT: Ach ja, über PPTP funktioniert die Verbindung tadellos.
Mitglied: Garfieldt
23.08.2008 um 15:54 Uhr
Hast Du mal probiert, die Sperrlisten überprüfung abzuschalten? Funktioniert die Verbindung dann?
Bitte warten ..
Mitglied: cryptoz
23.08.2008 um 20:41 Uhr
Hallo Garfieldt,

danke für deine Antwort. Finde ich eine super Idee! Weisst du wo ich die Sperrlistenüberprüfung deaktivieren kann? Macht man das auf dem Client bei der Zertifikatsstelle oder auf dem SSTP-Server? Leider kann ich spontan nichts finden.

danke und Grüsse


EDIT: Herausgefunden, dass man die Überprüfung gemäss http://support.microsoft.com/kb/947054/en-us ("NoCertRevocationCheck") auf dem Server deaktiviert. Leider hat das Anlegen dieses DWORDS in der Registry und anschliessendes Neustarten des SSTP-Services zu keinem Erfolg geführt. Die Verbindung scheitert immer noch mit derselben Fehlermeldung.
Bitte warten ..
Mitglied: Garfieldt
24.08.2008 um 10:53 Uhr
Mitdenken!

Warum werden die CRLs überprüft?
Damit keine Verbindung zu einem Server mit einem zurückgerufenen Zertifikat hergestellt wird!

Wer überprüft daher die CRL?
Der Client!

Also, wenn Du den Reg Eintrag, wie im KB beschrieben bein Client anlegst, sollte es funktionieren. Denn es würde ja keinen Sinn machen, wenn ein "falscher" Server den Client überreden könnte das Zertifikat nicht zu überprüfen.
Bitte warten ..
Mitglied: cryptoz
24.08.2008 um 21:28 Uhr
Dasselbe habe ich mir auch überlegt, allerdings...

...beziehen sich die Informationen unter http://support.microsoft.com/kb/947054/en-us gemäss Beschreibung auf Windows Server 2008 und nicht auf Vista (was natürlich nichts heisst, Webseiten nehmen alles an).

...ist dort z.B. auch der ListenerPort aufgelistet. Auf einem Client wird wohl kaum ein ListenerPort eingestellt?

...bekomme ich, wenn der NoCertRevocationCheck auf dem Client auf 1 ist, die Fehlermeldung "Fehler 0x800704D4: Die Netzwerkverbindung wurde durch das lokale System getrennt."


Dass der Client die CRL überprüft ist mir klar, das schliesst allerdings nicht ganz aus, dass dies serverseitig gesteuert werden kann. Der Server kann dem Client beim Verbindungsaufbau ja "mitteilen", dass er das Zertifikat nicht überprüfen soll.



Weitere Vorschläge? Sagt dir der Fehler den ich auf dem Client habe mit clientseitigem NoCertRevocationCheck=1 etwas?

Hast du bei dir eine funktionierende SSTP Verbindung?

danke und Grüsse
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

SSTP Fehler 0X80092013 Sperrserver Offline nach einrichtung eines SSTP Servers unter 2008

Frage von BiGnoobWindows Netzwerk6 Kommentare

Mein Vorgehen 1) Zertifikatdienste und IIS-Webserver installieren Im Server-Manager Rechtsklick auf Rollen Rollen hinzufügen, Weiter. Haken setzen bei Active ...

Windows Netzwerk

Fehler bei sstp VPN

gelöst Frage von billy01Windows Netzwerk5 Kommentare

Hallo Community, nochmal ich. Ich hab mich die letzten Tage mit VPN gequält und bin schließlich bei sstp angekommen ...

Microsoft

SSTP VPN kein DNS

Frage von billy01Microsoft

Schönen Abend, ich habe hier ein VPN-Problem. MA die Homeoffice machen, sollen sich per VPN mit dem Geschäft verbinden. ...

Verschlüsselung & Zertifikate

ADCS - "Sperrserver offline"-Fehler durch Archivierung des privaten Schlüssels?

gelöst Frage von WinaryVerschlüsselung & Zertifikate1 Kommentar

Hallo, nachdem meine zweistufige PKI nun so langsam läuft wie sie soll, bin ich erneut auf eine Merkwürdigkeit gestoßen. ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 54 MinutenGoogle Android

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 StundeSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 4 StundenMicrosoft2 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 22 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server35 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

CPU, RAM, Mainboards
32 gb RAM zu wenig?
Frage von pcguyCPU, RAM, Mainboards13 Kommentare

Hallo zusammen, mein PC verfügt über 32GB Ram. Nun kriege ich bei grossen Dateien im Illustrator die Fehlermeldung das ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing9 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...