olli325
Goto Top

Fehler 691 Der Zugriff wurde verweigert, weil der Benutzername bzw. das Kennwort für die Domäne ungültig ist.

Hallo Zusammen,
ich habe folgende Konstellation in meinem Netzwerk:
DC: 2008r2 mit CA und eigenen Zertifikaten
VPN: 2008r2 mit Routing und RAS sowie NPS

Ich habe eine Sicherheitsgruppe erstellt in denen die User sind, die sich per VPN einwählen dürfen. Eine Netzwerkrichtlinie für VPN wurde erstellt und die Sicherheitsgruppe in den Bedingungen eingetragen.

Wenn ich nun Benutzer1 über einen Windows-XP-Rechner mit SP3 via VPN verbinde, funktioniert alles tadellos. Ich habe in den VPN-Einstellungen EAP (Smartcard oder anderes Zertifikat) aktiviert, "Zertifikate auf diesem Computer verwenden"+"Einfache Zertifikatauswahl verwenden" aktiviert.
Der XP-Rechner kann sich ohne Probleme via VPN mit meinem Netzwerk verbinden und es funktionieren auch alle Features die ich haben möchte.

Benutzer2 hat einen Rechner mit Windows7. Hier habe ich bei der VPN-Verbindung die gleichen Einstellungen vorgenommen, und beim Verbinden erscheint dann: "Fehler 691: Der Zugriff wurde verweigert, weil ein Benutzername bzw. das Kennwort für die Domäne ungültig ist".
Ich habe auf dem Windows7-Rechner kontrolliert ob das Benutzer und Computerzertifikat installiert ist und das sieht alles gut aus. Die Zertifikate sind von meiner CA ausgestellt worden und sind fehlerfrei.

Auf dem RAS-Server erhalte ich folgende Meldung bei der Einwahl:
Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         01.12.2009 13:37:05
Ereignis-ID:   6273
Aufgabenkategorie:Netzwerkrichtlinienserver
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      GW-Morbach.elmo.meine.domain
Beschreibung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			ELMO\Benutzer2
	Kontoname:				Benutzer2@elmo.meine.domain
	Kontodomäne:				ELMO
	Vollqualifizierter Kontoname:		ELMO\Benutzer2

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:				-
	Vollqualifizierter Kontoname:		-
	Betriebssystemversion:			-
	Empfänger-ID:				192.168.115.170
	Anrufer-ID:				80.187.109.101

NAS:
	NAS-IPv4-Adresse:			192.168.100.170
	NAS-IPv6-Adresse:			-
	NAS-ID:					GW-MORBACH
	NAS-Porttyp:				Virtuell
	NAS-Port:				5

RADIUS-Client:
	Clientanzeigenname:				GW-MORBACH
	Client-IP-Adresse:			192.168.100.170

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	Microsoft Routing und RAS-Richtlinie
	Netzwerkrichtlinienname:		-
	Authentifizierungsanbieter:		Windows
	Authentifizierungsserver:		GW-Morbach.elmo.meine.domain
	Authentifizierungstyp:		EAP
	EAP-Typ:			-
	Kontositzungs-ID:		3435
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			48
	Ursache:				Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein.

Hat hier jemand ne Idee was ich da machen könnte um dem Fehler auf die Schliche zu kommen?

Danke & Gruß
Olli

Content-ID: 130684

Url: https://administrator.de/forum/fehler-691-der-zugriff-wurde-verweigert-weil-der-benutzername-bzw-das-kennwort-fuer-die-domaene-ungueltig-ist-130684.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

Dipps
Dipps 01.12.2009 um 15:15:56 Uhr
Goto Top
Hat der Benutzer 2 auch die Einwahlrechte in der Domaine?
olli325
olli325 01.12.2009 um 15:21:40 Uhr
Goto Top
Hi Dipps,

ja die müsste er haben, da ich ihn ja in die Sicherheitsgruppe reingenommen habe und die Sicherheitsgruppe in der Netzwerkrichtlinie in den Bedingungen eingetragen ist.
Hab jetzt auch grad nochmal auf dem Benutzer geschaut, unter der Reiterkarte "Einwählen" ist "Zugriff über NPS-Netzwerkrichtlinien steuern" ausgewählt.

Gruß
Olli
olli325
olli325 02.12.2009 um 17:26:31 Uhr
Goto Top
Warum auch immer? Ich habe die VPN-Verbindung neu angelegt und jetzt funktioniert es auch mit Windows 7.

Gruß
Olli