L2TP/IPSec Verbindung läuft mit XP SP2 nicht mehr

From: Franz Schenk (franz.schenkNOSPAM_at_fititNO-_SPAM.ch)
Date: 08/13/04

• Next message: Markus Heller: "Probleme mit NetMeeting"
• Previous message: Ralf Breuer: "Re: Keine Verbindung"
• Next in thread: Philip Ross: "Re: L2TP/IPSec Verbindung läuft mit XP SP2 nicht mehr"
• Reply: Philip Ross: "Re: L2TP/IPSec Verbindung läuft mit XP SP2 nicht mehr"
• Messages sorted by: [ date ] [ thread ]

Date: Fri, 13 Aug 2004 09:38:25 +0200

Wir haben die folgenden Konfigurationen:

- workstation1 mit Windows.xp SP2, Mitglied von domain1, Benutzer hat lokale
Administratorrechte
- workstation2 mit Windows.xp SP1a und IPSec NAT-T Traversal Update,
Mitglied von domain1, Benutzer hat lokale Administratorrechte
- Windows 2003 VPN RRAS Server, memberserver von domain1
- anderern Windows 2003 VPN RRAS Server, Memberserver einer anderen domain2
in einem anderen Netzwerk (anderen AD Forest)

Was funktioniert:
- IPSec VPN Verbindung mit workstation1 zum RRAS Server von domain1
- IPSec VPN Verbindung mit workstation2 zum RRAS Server von domain1
- IPSec VPN Verbindung mit workstation2 zum RRAS Server von domain2

 Was nicht mehr funktioniert:
 - IPSec VPN Verbindung mit workstation1 zum RRAS Server von domain2!

Diese Verbindung funktioniert seit dem Windows XP SP2 Upgrade nicht mehr.
Der Client produziert "Error 792: The L2TP connection attempt failed because
security negotiations timed out". Auf dem VPN Server gibt es einen Eventlog
Eintrag im Security eventlog, beschrieben am Ende dieser Nachricht. Wir
überprüften, dass das IPSec Computerzertifikat von domain2 auf dem Windows
XP SP2 Client noch okay ist, einschließlich des Zertifizierungspfades. Das
Problem liegt definitiv in Windows XP SP2, eine L2TP/IPSec Anschluß mit
workstation2 zum gleichen VPN Server der anderen domain2 funktioniert
nachwievor fehlerfrei. Habe darauf die Windows Firewall auf dem XPSP2 Client
vollständig deaktiviert, das System anschliessend neu gestartet.
Fehlanzeige: Die IPSec Verbindung auf den VPN Server der domain2
funktioniert immer noch nicht (genau gleiche Fehlermeldungen und Eventlog
Einträge wie mit aktivierter Windows Firewall.)

Was hat sich bei XP SP2 in der IPSec Implementation geändert? Danke im
voraus für jede Hilfe!
Franz

-------------------------------

Eventlog entry on VPN server of domain2 after unsuccessfull connection
request of XP SP2 client "workstation1":

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 547
Date: 12.08.2004
Time: 14:13:43
User: NT AUTHORITY\NETWORK SERVICE
Computer: BETA
Description:
IKE security association negotiation failed.
 Mode:
Key Exchange Mode (Main Mode)

 Filter:
Source IP Address 193.135.215.141
Source IP Address Mask 255.255.255.255
Destination IP Address 194.230.199.139
Destination IP Address Mask 255.255.255.255
Protocol 0
Source Port 0
Destination Port 0
IKE Local Addr 193.135.215.141
IKE Peer Addr 194.230.199.139
IKE Source Port 500
IKE Destination Port 500
Peer Private Addr

 Peer Identity:
Certificate based Identity.
Peer Subject
Peer SHA Thumbprint 0000000000000000000000000000000000000000
Peer Issuing Certificate Authority
Root Certificate Authority
My Subject
My SHA Thumbprint 0000000000000000000000000000000000000000
Peer IP Address: 194.230.199.139

  Failure Point:
Me

 Failure Reason:
IKE authentication credentials are unacceptable

 Extra Status:
Processed second (KE) payload
Responder. Delta Time 1
 0x0 0x0

• Next message: Markus Heller: "Probleme mit NetMeeting"
• Previous message: Ralf Breuer: "Re: Keine Verbindung"
• Next in thread: Philip Ross: "Re: L2TP/IPSec Verbindung läuft mit XP SP2 nicht mehr"
• Reply: Philip Ross: "Re: L2TP/IPSec Verbindung läuft mit XP SP2 nicht mehr"
• Messages sorted by: [ date ] [ thread ]

• Windows
• Science
• Usenet

• Archive
• About
• Privacy
• Search
• Imprint