5
RAS mit CHAP (nicht MS-CHAP!)
Hallo,
eine externe Firma muß/will sich mit einem Linuxrechner oder einem ELSA-ISDN-Router bei uns per RAS einwählen. Beide können aber leider nur CHAP und keine MS-CHAP bzw. MS-CHAP v2.
Über MS-CHAP funktioniert es einwandfrei, nur über CHAP wählt er an, hebt ab und legt sofort wieder auf. Habe mir schon fast die komplette Hilfe durchgelesen, denke auch alles richtig gemacht zu haben. Hatte probeweise auch schon sowohl auf dem Server (in RAS-Richtlinie und in den Authentifizierungsmethoden des Servers selbst) als auch auf dem Client alles außer CHAP deaktiviert. Gleiches Problem.
Hat jemand eine Idee?
eine externe Firma muß/will sich mit einem Linuxrechner oder einem ELSA-ISDN-Router bei uns per RAS einwählen. Beide können aber leider nur CHAP und keine MS-CHAP bzw. MS-CHAP v2.
Über MS-CHAP funktioniert es einwandfrei, nur über CHAP wählt er an, hebt ab und legt sofort wieder auf. Habe mir schon fast die komplette Hilfe durchgelesen, denke auch alles richtig gemacht zu haben. Hatte probeweise auch schon sowohl auf dem Server (in RAS-Richtlinie und in den Authentifizierungsmethoden des Servers selbst) als auch auf dem Client alles außer CHAP deaktiviert. Gleiches Problem.
Hat jemand eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 30611
Url: https://administrator.de/contentid/30611
Printed on: April 19, 2024 at 06:04 o'clock
5 Comments
Latest comment
MMC Routing und RAS --> rechte Maus --> Eigenschaften --> Register Sicherheit --> Authentifizierungsmethoden --> CHAP
geTuemII
geTuemII
So schlau war ich auch schon. Wie bereits geschrieben, sowohl in den Sicherheitseinstellungen unter dem Rechner, als auch in den RAS-Richtlinien habe ich CHAP aktiviert. Geht trotzdem nicht!
So schlau war ich auch schon. Wie bereits
geschrieben, sowohl in den
Sicherheitseinstellungen unter dem Rechner,
als auch in den RAS-Richtlinien habe ich
CHAP aktiviert. Geht trotzdem nicht!
geschrieben, sowohl in den
Sicherheitseinstellungen unter dem Rechner,
als auch in den RAS-Richtlinien habe ich
CHAP aktiviert. Geht trotzdem nicht!
Ok, wenn du mit unter dem Rechner in der RAS-MMC den Eintrag rechnername (lokal) meinst, dann sprechen wir vom selben. Was sagt denn das Protokoll?
geTuemII
Ja, meine ich 
Das Protokoll (unter C:\WINDOWS\system32\LogFiles) sagt folgendes (SERVER = Servername; 192.168.30.11 die IP-Adresse des Servers; YYYY= unser AD-Name; XXXX ist der Username der per Fernwartung auf den Server soll; T123456T=ISDN-Nummer):
192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,44,90,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4127,4,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,4130,YYYY/_Fernwartungs-User/XXXX,4149,RAS FIRMA SERVER,4136,1,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,4130,YYYY/_Fernwartungs-User/XXXX,4294967206,4,4294967207,2,6,2,7,1,4149,RAS FIRMA SERVER,4120,0x004B4C494E494B,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4127,4,4136,2,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,44,90,8,192.168.30.242,12,1500,13,1,50,19,51,1,55,1145447188,45,3,40,1,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4120,0x004B4C494E494B,4294967206,4,4154,Windows-Authentifizierung für alle Benutzer verwenden,4136,4,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:54,RAS,SERVER,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,44,90,8,192.168.30.242,12,1500,13,1,50,19,51,1,55,1145447212,45,3,46,23,43,15483,42,7133,48,64,47,69,49,1,40,2,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4120,0x004B4C494E494B,4294967206,4,4154,Windows-Authentifizierung für alle Benutzer verwenden,4136,4,4142,0
192.168.30.11,XXXX,04/19/2006,13:47:30,RAS,SERVER,44,91,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4130,FIRMA\XXXX,4127,2,25,311 1 192.168.30.11 04/18/2006 15:13:07 6,4136,1,4142,0
192.168.30.11,XXXX,04/19/2006,13:47:30,RAS,SERVER,25,311 1 192.168.30.11 04/18/2006 15:13:07 6,4127,2,4130,FIRMA\XXXX,4129,FIRMA\XXXX,4154,Windows-Authentifizierung für alle Benutzer verwenden,4155,1,4136,3,4142,19
Auf dem Client passiert folgendes:
Die Nummer wird angewählt, ISDN wird aufgebaut und ungefähr eine Sekunde später wieder abgebaut.
Dann erschein:
"Benutzername und Kennwort werden verifiziert..."
Schließlich kommt die Fehlermeldung:
"Benutzername und Kennwort werden verifiziert...
Fehler 691: Der Zugriff wurde verweigert, weil der Benutzername bzw. das Kennwort für die Domäne ungültig ist."
Oh Wunder, ohne ISDN-Verbindung kann er sich ja auch schlecht anmelden!
Das Protokoll (unter C:\WINDOWS\system32\LogFiles) sagt folgendes (SERVER = Servername; 192.168.30.11 die IP-Adresse des Servers; YYYY= unser AD-Name; XXXX ist der Username der per Fernwartung auf den Server soll; T123456T=ISDN-Nummer):
192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,44,90,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4127,4,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,4130,YYYY/_Fernwartungs-User/XXXX,4149,RAS FIRMA SERVER,4136,1,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,4130,YYYY/_Fernwartungs-User/XXXX,4294967206,4,4294967207,2,6,2,7,1,4149,RAS FIRMA SERVER,4120,0x004B4C494E494B,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4127,4,4136,2,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,44,90,8,192.168.30.242,12,1500,13,1,50,19,51,1,55,1145447188,45,3,40,1,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4120,0x004B4C494E494B,4294967206,4,4154,Windows-Authentifizierung für alle Benutzer verwenden,4136,4,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:54,RAS,SERVER,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,44,90,8,192.168.30.242,12,1500,13,1,50,19,51,1,55,1145447212,45,3,46,23,43,15483,42,7133,48,64,47,69,49,1,40,2,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4120,0x004B4C494E494B,4294967206,4,4154,Windows-Authentifizierung für alle Benutzer verwenden,4136,4,4142,0
192.168.30.11,XXXX,04/19/2006,13:47:30,RAS,SERVER,44,91,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4130,FIRMA\XXXX,4127,2,25,311 1 192.168.30.11 04/18/2006 15:13:07 6,4136,1,4142,0
192.168.30.11,XXXX,04/19/2006,13:47:30,RAS,SERVER,25,311 1 192.168.30.11 04/18/2006 15:13:07 6,4127,2,4130,FIRMA\XXXX,4129,FIRMA\XXXX,4154,Windows-Authentifizierung für alle Benutzer verwenden,4155,1,4136,3,4142,19
Auf dem Client passiert folgendes:
Die Nummer wird angewählt, ISDN wird aufgebaut und ungefähr eine Sekunde später wieder abgebaut.
Dann erschein:
"Benutzername und Kennwort werden verifiziert..."
Schließlich kommt die Fehlermeldung:
"Benutzername und Kennwort werden verifiziert...
Fehler 691: Der Zugriff wurde verweigert, weil der Benutzername bzw. das Kennwort für die Domäne ungültig ist."
Oh Wunder, ohne ISDN-Verbindung kann er sich ja auch schlecht anmelden!
Ok, nehmen wir mal den letzten Eintrag, der ja dem Abbruch vorausgeht:
[...]
4136,3 Packet-Type --> Access-Reject
4142,19 Reason-Code --> Für das Benutzerkonto ist kein umkehrbar verschlüsseltes Kennwort gespeichert
Wenn ich das so sehe, meine ich mich zu erinnern, daß im Zusammenhang mit CHAP "was mit der Verschlüsselung war". Sorry, wenn ich das micht genauer sagen kann, aber das habe ich damals nicht selbst konfiguriert. Ich habe gerade schon nachgefragt, aber er erinnert sich auch nicht wirklich.
Vielleicht hilft es ja trotzdem...
geTuemII
[...]
4136,3 Packet-Type --> Access-Reject
4142,19 Reason-Code --> Für das Benutzerkonto ist kein umkehrbar verschlüsseltes Kennwort gespeichert
Wenn ich das so sehe, meine ich mich zu erinnern, daß im Zusammenhang mit CHAP "was mit der Verschlüsselung war". Sorry, wenn ich das micht genauer sagen kann, aber das habe ich damals nicht selbst konfiguriert. Ich habe gerade schon nachgefragt, aber er erinnert sich auch nicht wirklich.
Vielleicht hilft es ja trotzdem...
geTuemII
