CRL-Download Isa 2004 /VPN mit L2TP/IPSec

From: "Andreas Altermann" <bla@xxxxxxxxxxx>
Date: Tue, 6 Mar 2007 11:44:53 +0100

Hallo NG'ler,

habe folgendes Problem in zwei Produktiv- und zwei Testumgebungen, in dem der ISA anscheinend nicht die CRL abfragt.
(Problem reproduzierbar)

Umgebung: AD2003 mit DC und eigener CA (Enterpr.), sowie einem ISA2004 der Domänenmitglied ist. Alles aktuell gepatcht.

Der ISA ist u. A. auch ein VPN-Server mit RRAS. Die mobilen Clients (XPSp2) haben Computerzertifikate (Domäne) und
testweise auch reine IPSec-Zertifikate.

Der VPN-Connect per L2TP/IPSec über die Computerzertifikate/IPSEc funktioniert einwandfrei und ist mit dem IPSec-Monitor
überprüfbar.

Uns ist nun aufgefallen, wenn ein Computerzertifikat/IpSec-Zertifikat gesperrt und die CRL aktualisiert wurde, der ISA
beim Verbindungsaufruf eines Clients mit gesperrtem Zertifikat trotzdem die VPN Session zulässt. Uns ist zudem
aufgefallen das mit der ISA-Protokollierung während des Verbindungsaufbau des gesperrten Client, der ISA kein Request
auf CertEnroll vornimmt, noch im lokalen Computer-Zertifikatsspeicher die CRL der eigenen CA vorgehalten bzw.
synchronisiert wird.

Selbst wenn man testweise alle RPC Restriktionen disabled (hier lag unser 1.ter Verdacht) stellt der ISA die Verbindung
her. Am ISA selbst ist die *.crl per http-request downloadbar.

Es kann natürlich sein, das wir noch ein Design-Fehler bzw. einen "Schalter" vergessen haben, daher ist hier mein
Posting erst einmal informativ. Weitere Infos können noch nach gereicht werden.

Mit freundlichen Grüßen

Andreas Altermann

.

Follow-Ups:
- Re: CRL-Download Isa 2004 /VPN mit L2TP/IPSec
  - From: Jens Baier
- Nachtrag -CRL-Download Isa 2004 /VPN mit L2TP/IPSec
  - From: Andreas Altermann

Prev by Date: Re: ISA Server 2006 - Das Handbuch: 2 nicht ganz korrekte bzw. unvollständige Punkte
Next by Date: Re: ISA Server 2006 - Das Handbuch: 2 nicht ganz korrekte bzw. unvollständige Punkte
Previous by thread: Re: MSSQL@MSFW läuft immer Speicher voll...
Next by thread: Nachtrag -CRL-Download Isa 2004 /VPN mit L2TP/IPSec
Index(es):
- Date
- Thread

Relevant Pages

Re: CRL-Download Isa 2004 /VPN mit L2TP/IPSec
... gesperrt und die CRL aktualisiert wurde, der ISA beim Verbindungsaufruf eines Clients mit gesperrtem Zertifikat trotzdem die VPN Session zulässt. ... Uns ist zudem aufgefallen das mit der ISA-Protokollierung während des Verbindungsaufbau des gesperrten Client, der ISA kein Request auf CertEnroll vornimmt, noch im lokalen Computer-Zertifikatsspeicher die CRL der eigenen CA vorgehalten bzw. synchronisiert wird. ...
(microsoft.public.de.german.isaserver)
Re: MS: David Cross
... heard from MSCS about problems. ... And - are you using internal CA with CRL distribution ... point behind ISA or commercial CA certs? ... >> * ISA Server and certificate authentication. ...
(microsoft.public.win2000.security)
Re: ISA 2004 - OWA Zugriff von intern - CRL Fehler
... Einträge die auf ein CRL Problem hindeuten? ... es gibt einen Logeintrag mit der Anforderung der ... Zertifikat gegen die CRL checken (habe ich am ISA auch ... versucht er trotzdem den SSL Tunnel ...
(microsoft.public.de.german.isaserver)
Re: MS: David Cross
... to ISA, I forget which one, maybe my web certificate. ... the bottom line is we have been able to publish the crl using ISA200 ... > * ISA Server uses certificate authentication for Internet access to the ...
(microsoft.public.win2000.security)
Re: IPSEC Zertifikat lässt sich nicht publizieren an ISA
... keine Computerzertifikate ... > Ich habe klassisch Notebook User. ... > Der ISA die Firewall. ... >> Gruss Jens ...
(microsoft.public.de.german.isaserver)