Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SSTP Fehler 0X80092013 Sperrserver Offline nach einrichtung eines SSTP Servers unter 2008

Frage Microsoft Windows Netzwerk

Mitglied: BiGnoob

BiGnoob (Level 1) - Jetzt verbinden

24.08.2014 um 15:27 Uhr, 5279 Aufrufe, 6 Kommentare

Mein Vorgehen
1) Zertifikatdienste und IIS-Webserver installieren

Im Server-Manager Rechtsklick auf Rollen > Rollen hinzufügen, Weiter.
Haken setzen bei Active Directory Zertifikatdienste. Zweimal auf Weiter.
Haken setzen bei Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung. Ggf. Dialog zur Installation des IIS-Webserver bestätigen.
Option Eigenständig wählen, Weiter.
Option Stammzertifizierungsstelle belassen, Weiter.
Sechs mal auf Weiter, dabei alle Optionen belassen.
Klick auf Installieren, warten und Assistenten schließen.

2) Zertifizierungsstelle einrichten

Im Server-Manager unter Rollen > Active Directory-Zertifikatdienste in der Baumansicht Rechtsklick auf die Server-CA > Eigenschaften > Erweiterungen.
Im Dropdownfeld Sperrlisten-Verteilungspunkt ausgewählt lassen, Klick auf Hinzufügen…
Unter Ort folgendes eingeben (DynDNS-Adresse entsprechend anpassen) und bestätigen:
http://myserver.dyndns.org/CertEnroll/<CaName><CRLNameSuffix&g ...
Im Dialog für den neu hinzugefügten Eintrag einen Haken setzen bei In Sperrlisten einbeziehen und In CDP-Erweiterung des ausgestellen Zertifikats einbeziehen, Klick auf OK.

3) Zertifikatsanforderung erstellen

Im Server-Manager unter Rollen > Webserver (IIS) > Internetinformationsdienste in der zweiten Baumansicht auf den eigenen Server klicken, dann auf der rechten Seite unter der Rubrik IIS Doppelklick auf Serverzertifikate.
Ganz rechts auf Zertifikatanforderung erstellen… klicken.
Die Informationen zum Zertifikat ausfüllen: Unter Gemeinsamer Name die DynDNS-Adresse (z.B. myserver.dyndns.org) oder öffentliche IP eintragen, jeweils ohne führendes http://. Die restlichen Felder nach Belieben, aber vollständig ausfüllen. Klick auf Weiter.
Einstellungen belassen, Weiter.
Per Klick auf … einen neuen Dateinamen für die Anforderung auswählen, Öffnen, Fertig.

4) Serverzertifikat ausstellen

Im Server-Manager unter Rollen > Active Directory-Zertifikatdienste in der Baumansicht Rechtsklick auf die Server-CA > Alle Aufgaben > Neue Anforderung einreichen…
Zuvor erstellte Anforderungsdatei auswählen, Öffnen.
Unter der Server-CA Klick auf Ausstehende Anforderungen, Rechtsklick auf die soeben erstellte Anforderung > Alle Aufgaben > Ausstellen.
In der Baumansicht Klick auf Ausgestellte Zertifikate, Doppelklick auf das soeben ausgestellte Zertifikat > Details > In Datei kopieren…, Weiter.
Einstellung belassen, Weiter.
Klick auf Durchsuchen…, Dateinamen vergeben, Speichern, Weiter.
Fertig stellen, OK.

5) Serverzertifikat einbinden

Im Server-Manager wieder unter Rollen > Webserver (IIS) > Internetinformationsdienste in der zweiten Baumansicht auf den eigenen Server klicken und rechts auf Serverzertifikate doppelklicken.
Ganz rechts auf Zertifikatanforderung abschließen… klicken.
Mit … das soeben ausgestellte Zertifikat auswählen, Öffnen.
Unter Anzeigenamen einen Namen vergeben, z.B. SSL-Zertifikat.
OK.
Links in der zweiten Baumansicht unter dem eigenen Server auf Sites > Default Web Site klicken und dann ganz rechts auf Bindungen…
In der Liste den Eintrag https auswählen, Bearbeiten…
Unter SSL-Zertifikat das soeben erstellte Zertifikat auswählen, OK.
Schließen.

6) Netzwerkrichtlinien- und Zugriffsdienste installieren

Im Server-Manager Rechtsklick auf Rollen > Rollen hinzufügen > Weiter.
Haken setzen bei Netzwerkrichtlinienserver und bei RAS unter Routing- und RAS-Dienste. Klick auf Weiter.
Klick auf Installieren, warten und Assistenten schließen.

7) Routing und RAS einrichten

Im Server-Manager unter Rollen > Netzwerkrichtlinien- und Zugriffszienste Rechtsklick auf Routing und RAS > Routing und RAS konfigurieren und aktivieren, Weiter.
Benutzerdefinierte Konfiguration anwählen, Weiter.
Haken bei VPN-Zugriff setzen, Weiter.
Fertig stellen, OK, Dienst starten.
In der Baumansicht wieder Rechtsklick auf Routing und RAS > Eigenschaften.
Alle Haken entfernen bis auf IPv4-RAS-Server.

Unter IPv4 alle Haken gesetzt lassen und die Option Statischen Adresspool anwählen, Klick auf Hinzufügen.
Adressbereich für die VPN-Clients vergeben (z.B. von xxx.xxx.xxx.240 bis 249), OK.
OK, Ja.

8) Zugriffsrichtlinien konfigurieren

Im Server-Manager Rollen > Netzwerkrichtlinien- und Zugriffszienste > NPS (lokal) > Richtlinien > Netzwerkrichtlinien anwählen.
Doppelklick auf Connections to Microsoft Routing and Remote Access server.
Die Option Zugriff gewähren aktivieren.
Falls gewünscht, unter Bedingungen auf Hinzufügen… klicken und auf Benutzergruppen doppelklicken. Es lassen sich nun Benutzergruppen auswählen, denen der VPN-Zugriff gewährt wird. Lässt man diese Bedingung weg, haben alle Benutzer VPN-Zugriff. Dialog schließen.
Die Zugriffsrichtlinien erlauben noch viele weitere, sehr fein abstimmbare Einstellungen. Diese sollen an dieser Stelle jedoch nicht weiter erläutert werden.
Klick auf OK.

Einrichtung des/der Client(s)

Auf den VPN-Clientcomputern genügen glücklicherweise wenige Schritte zur Einrichtung. Gehen Sie auf jedem Client folgendermaßen vor (dies kann im lokalen Netzwerk oder unterwegs erfolgen):

Im Webbrowser (am besten Mozilla Firefox oder Google Chrome) folgende Adresse eingeben (auf das HTTPS achten, Server-Adresse entsprechend ersetzen): https://myserver.dyndns.org/certsrv/
Klick auf Download eines Zertifizierungsstellenzertifikats, dann Download des Zertifizierungsstellenzertifikats und an beliebiger Stelle speichern. Browser schließen.
Start > Ausführen anwählen, mmc eingeben und bestätigen.
Datei > Snap-In hinzufügen/entfernen…, linke Liste herunterscrollen, Doppelklick auf Zertifikate. Option Computerkonto auswählen, Weiter, Fertig stellen
In der Baumansicht unter Zertifikate (Lokaler Computer) Rechtsklick auf Vertrauenswürdige Stammzertifizierungsstellen > Alle Aufgaben > Importieren…, Weiter.
Klick auf Durchsuchen…, das gespeicherte Zertifikat auswählen, Öffnen, Weiter.
Optionen belassen, Weiter.
Fertig stellen, Ja, OK. Fenster schließen.
In der Taskleiste unten rechts Rechtsklick auf das WLAN/Netzwerk-Symbol > Netzwerk- und Freigabecenter öffnen > Neue Verbindung oder neues Netzwerk einrichten, Doppelklick auf den letzten Eintrag Verbindung mit dem Arbeitsplatz herstellen, Klick auf Die Internetverbindung (VPN) verwenden.
Unter Internetadresse die DynDNS- oder öffentliche IP-Adresse des Servers eintragen (ohne führendes http://), evtl. einen Namen für die Verbindung vergeben und Klick auf Erstellen.
Optional: Klick auf das WLAN/Netzwerksymbol in der Taskleiste, Rechtsklick auf die VPN-Verbindung > Verbindungseigenschaften anzeigen. Unter Sicherheit den VPN-Typ SSTP einstellen und unter Folgende Protokolle zulassen sicherstellen, dass bei Microsoft CHAP, Version 2 ein Haken gesetzt ist. OK.

Damit ist die Einrichtung abgeschlossen. Die VPN-Verbindung kann ab jetzt ganz bequem per Klick auf das WLAN/Netzwerksymbol in der Taskleiste hergestellt werden.

Fehler: SSTP Fehler 0×80092013 Sperrserver Offline
Versuch zu Fixen:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
den DWORD(32bit) eintrag
NoCertRevocationCheck
hinzu und ändert den Wert auf 1 (hex) ,gesetzt,
Nächster Fehler:0x800704D4: Die Netzwerkverbindung wurde durch das lokale System getrennt.


An was kann das sliegen das es nicht Fuktioniert.
habe ich bei den zertifikaten was falsch gemacht? evtl. intern extern FQDN ?! liegts an der Ad Certstelle?!

Bitte um hilfe
Schönen sonntag
Mitglied: colinardo
24.08.2014, aktualisiert um 17:34 Uhr
Moin,
wurde denn im RRAS in den Eigenschaften das richtige Server-Zertifikat für die SSTP-Verbindung ausgewählt (Kontextmenü des RRAS auf dem Tab Sicherheit ganz unten unter SSL-Zertifikatbindung) ?

Grüße Uwe
Bitte warten ..
Mitglied: BiGnoob
24.08.2014 um 17:33 Uhr
Hallo
Ich habe dort keine Möglichkeit ein Zertifikat auszuwählen
Da steht das der netzwerkrichtlinien Server das übernimmt
Bitte warten ..
Mitglied: colinardo
24.08.2014, aktualisiert um 18:09 Uhr
Ist die Sperrliste(crl) wirklich aus dem Web vom Client unter der im Zertifikat hinterlegten URL abrufbar ?
http://www.markbrilman.nl/2013/02/tutorial-setting-up-sstp-on-windows-s ...

BTW. hättest du es auch erst mal ohne NPS machen können, nötig ist der für SSTP nicht unbedingt - der macht das ganze für den Anfang nur komplexer bei der Einrichtung.

p.s. da könnte auch was mit der Namensauflösung des Clients nicht in Ordnung sein:
http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting- ...
Bitte warten ..
Mitglied: BiGnoob
24.08.2014 um 18:24 Uhr
Hallo
auch ohne Netzwerkrichtlinienserver ist keine möglichkeit ein zertifikat auszuwählen
Bitte warten ..
Mitglied: BiGnoob
24.08.2014 um 18:28 Uhr
Zitat von BiGnoob:

Hallo
auch ohne Netzwerkrichtlinienserver ist keine möglichkeit ein zertifikat auszuwählen

nein sperrliste kann nicht erreicht werden
Bitte warten ..
Mitglied: colinardo
24.08.2014, aktualisiert um 18:39 Uhr
Zitat von BiGnoob:
> Hallo
> auch ohne Netzwerkrichtlinienserver ist keine möglichkeit ein zertifikat auszuwählen
habe hier leider keinen alten 2008er mehr zum testen, ich weiß nur das die ersten Versionen mit SSTP so Ihre Kinderkrankheiten hatten.
nein sperrliste kann nicht erreicht werden
dann sollte hier dein erster Ansatz liegen das sicherzustellen, wenn ein Zertifikat eine Sperrlisten-URL enthält sollte diese auch für die Clients öffentlich abrufbar sein. Alternativ dazu ein Zertifikat ohne Sperrlisteneintrag erstellen.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
ADCS - "Sperrserver offline"-Fehler durch Archivierung des privaten Schlüssels?
gelöst Frage von WinaryVerschlüsselung & Zertifikate1 Kommentar

Hallo, nachdem meine zweistufige PKI nun so langsam läuft wie sie soll, bin ich erneut auf eine Merkwürdigkeit gestoßen. ...

Windows Netzwerk
Fehler bei sstp VPN
gelöst Frage von billy01Windows Netzwerk5 Kommentare

Hallo Community, nochmal ich. Ich hab mich die letzten Tage mit VPN gequält und bin schließlich bei sstp angekommen ...

LAN, WAN, Wireless
Mikrotik - Sophos SSTP Fehler
gelöst Frage von BirdyBLAN, WAN, Wireless2 Kommentare

Hallo zusammen, da ich hier nicht wirklich weitergekommen bin und aqui mir auch geraten hat, ggf. OpenVPN/SSTP zu verwenden, ...

Windows Installation
Zeitaufwand für die Einrichtung eines WSUS-Servers
gelöst Frage von msWindows Installation11 Kommentare

Unser Chef will wissen,, mit welchem Zeitaufwand wir für die Einrichtung eines WSUS-Systems rechnen müssen. Da wir sowas noch ...

Neue Wissensbeiträge
Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 15 MinutenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless10 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Wieso kann ich den UPD 7000-9000 nicht freigeben?
Frage von Jayk0bRouter & Routing8 Kommentare

Router: Telekom W 723V Ports: UDP 7000-9000 Können nicht frei gegeben werden. Benutzgrund: Rocket League 7000 – 9000 UDP ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...