9
VPN Aufbau scheitert - Der Telefonbucheintrag konnte nicht gefunden werden
Grüße in die Runde...
Kurzfassung: Eine als AD Nutzer, ohne Verbindung zur Domäne, erstellte VPN-Verbindung scheitert mit der Fehlermeldung:
Verbindung nicht möglich
Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.
Umgebung
BS: Win 10 Pro / Win 11 Pro / Win Srv 2012 Essentials
- Laptop per VPN in Domäne aufgenommen
- anschließend 1x direkte Verbindung zur Domäne
- L2TP/IPsec VPN-Server ist eine UniFi USG, sitzt hinter einem Draytec der rein als Modem läuft
Vorgehensweise
Anmeldung am Laptop per Cached Credentials, ohne direkte Verbindung zur Domäne
VPN-Verbindungen erstellt über:
1. VPN-Verbindung hinzufügen
- L2TP/IPsec mit vorinstalliertem Schlüssel, Daten eingegeben
- anschließend Adapteroptionen VPN-Verbindung - Sicherheit - Protokolle zulassen - MS CHAP, V2
Anmeldeversuch -> Fehlermeldung:
Verbindung nicht möglich
Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.
2. DFÜ - neue Verbindung einrichten
- Verbindung mit dem Arbeitsplatz herstellen
- Verbindung über Internet (VPN) herstellen
- öffentliche IP vom L2TP Server eingetragen
- Anderen Benutzern erlauben, diese Verbinung zu verwenden ausgewählt
- Adapteroption - VPN-Typ auf L2TP/IPsec geändert,
- Erweiterte Einstellungen - Vorinstallierten Schlüssel eingegeben
- Protokoll MS-CHAP v2 zugelassen
Nach Eingabe der Benutzerdaten wird VPN-Verbindung hergestellt.
Das Problem trat erst auf, nachdem Laptop in die Domäne aufgenommen wurde.
Es arbeiten wechselnde Nutzer an dem Laptop. Sicher kann man eine freigegebene Verbindung für alle nutzen, bei der die Anmeldedaten nicht gespeichert werden, nur müssen die dann bei jedem Verbindungsaufbau ihre Benutzerdaten für die VPN-Verbindung eingeben. Zwecks kryptischen Schlüsseln kein Geschenk...
Ich vermute eine Richtlinie des DC die dafür sorge trägt, das ich schlaflose Nächte habe, habe bisher aber keinen Ansatz gefunden der das auslösen könnte. Das Nw hab ich erst vor kurzem übernommen und vorher gabe es 3 Admins die sich auf dem DC verwirklicht haben, Übergabe gabs keine... Aber genug gejammert...
Wieso geht die eine Verbindung, die andere aber nicht? Hat einer ne Idee für mich... !?
P.S. Die Regfixes für AssumeUDPEncapsulationContextOnSendRule und ProhibitIpSec hab ich bereits angewendet...
Hab ich gegoogle, probiert, Beiträge gelesen und wieder gegooglet, probiert und Beiträge gelesen und...?
Ja hab ich! Für alle die dazu Rückfragen haben... ;)
Kurzfassung: Eine als AD Nutzer, ohne Verbindung zur Domäne, erstellte VPN-Verbindung scheitert mit der Fehlermeldung:
Verbindung nicht möglich
Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.
Umgebung
BS: Win 10 Pro / Win 11 Pro / Win Srv 2012 Essentials
- Laptop per VPN in Domäne aufgenommen
- anschließend 1x direkte Verbindung zur Domäne
- L2TP/IPsec VPN-Server ist eine UniFi USG, sitzt hinter einem Draytec der rein als Modem läuft
Vorgehensweise
Anmeldung am Laptop per Cached Credentials, ohne direkte Verbindung zur Domäne
VPN-Verbindungen erstellt über:
1. VPN-Verbindung hinzufügen
- L2TP/IPsec mit vorinstalliertem Schlüssel, Daten eingegeben
- anschließend Adapteroptionen VPN-Verbindung - Sicherheit - Protokolle zulassen - MS CHAP, V2
Anmeldeversuch -> Fehlermeldung:
Verbindung nicht möglich
Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.
2. DFÜ - neue Verbindung einrichten
- Verbindung mit dem Arbeitsplatz herstellen
- Verbindung über Internet (VPN) herstellen
- öffentliche IP vom L2TP Server eingetragen
- Anderen Benutzern erlauben, diese Verbinung zu verwenden ausgewählt
- Adapteroption - VPN-Typ auf L2TP/IPsec geändert,
- Erweiterte Einstellungen - Vorinstallierten Schlüssel eingegeben
- Protokoll MS-CHAP v2 zugelassen
Nach Eingabe der Benutzerdaten wird VPN-Verbindung hergestellt.
Das Problem trat erst auf, nachdem Laptop in die Domäne aufgenommen wurde.
Es arbeiten wechselnde Nutzer an dem Laptop. Sicher kann man eine freigegebene Verbindung für alle nutzen, bei der die Anmeldedaten nicht gespeichert werden, nur müssen die dann bei jedem Verbindungsaufbau ihre Benutzerdaten für die VPN-Verbindung eingeben. Zwecks kryptischen Schlüsseln kein Geschenk...
Ich vermute eine Richtlinie des DC die dafür sorge trägt, das ich schlaflose Nächte habe, habe bisher aber keinen Ansatz gefunden der das auslösen könnte. Das Nw hab ich erst vor kurzem übernommen und vorher gabe es 3 Admins die sich auf dem DC verwirklicht haben, Übergabe gabs keine... Aber genug gejammert...
Wieso geht die eine Verbindung, die andere aber nicht? Hat einer ne Idee für mich... !?
P.S. Die Regfixes für AssumeUDPEncapsulationContextOnSendRule und ProhibitIpSec hab ich bereits angewendet...
Hab ich gegoogle, probiert, Beiträge gelesen und wieder gegooglet, probiert und Beiträge gelesen und...?
Ja hab ich! Für alle die dazu Rückfragen haben... ;)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 91487014904
Url: https://administrator.de/contentid/91487014904
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
9 Kommentare
Neuester Kommentar
Die IPsec Krypto Credentials in der Phase 1 und 2 hast du beachtet?? Windows 10/11 L2TP erzwingt dort
AES 128 und SHA1 in der Phase 1! Dies muss in den P1 Credentials angeboten werden.
In der Phase 2 muss der Mode auf Transport gesetzt sein und auch hier müssen die Credentials AES 128 und SHA1 sein ohne PFS Key Group!
Hast du das in der USG beachtet!!
Hier findest du ein Setup für einen pfSense Firewall und einen Mikrotik wo das entsprechend genau beschrieben ist! Beachtet man diese Settings klappt es fehlerlos mit allen beliebigen Endgeräten.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Mikrotik L2TP VPN Server Setup
AES 128 und SHA1 in der Phase 1! Dies muss in den P1 Credentials angeboten werden.
In der Phase 2 muss der Mode auf Transport gesetzt sein und auch hier müssen die Credentials AES 128 und SHA1 sein ohne PFS Key Group!
Hast du das in der USG beachtet!!
Hier findest du ein Setup für einen pfSense Firewall und einen Mikrotik wo das entsprechend genau beschrieben ist! Beachtet man diese Settings klappt es fehlerlos mit allen beliebigen Endgeräten.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Mikrotik L2TP VPN Server Setup
He aqui,
danke für deine schnelle Reaktion!
Der Vebindungsaufbau klappt ja, aber eben nur bei Methode 2 der Erstellung der VPN Verbindung. Beide Versuche wurden mit dem integrierten Windows VPN-Client gemacht. Also daran sollte es nicht liegen...
danke für deine schnelle Reaktion!
Der Vebindungsaufbau klappt ja, aber eben nur bei Methode 2 der Erstellung der VPN Verbindung. Beide Versuche wurden mit dem integrierten Windows VPN-Client gemacht. Also daran sollte es nicht liegen...
Moin,
und kurz offtopic:
Dein 2012er Ess. ist hoffentlich nicht mehr mit dem INet verbunden?! Da war am 23.10.2023 seitens Microsoft EOL!
Gruß
VGem-e
und kurz offtopic:
Dein 2012er Ess. ist hoffentlich nicht mehr mit dem INet verbunden?! Da war am 23.10.2023 seitens Microsoft EOL!
Gruß
VGem-e
Also daran sollte es nicht liegen...
OK, wenn die VPN Verbindung an sich fehlerfrei aufgebaut wird und ein ipconfig -all bzw. ein route print bei aktivem VPN dir am Client dann die korrekte VPN IP Adressierung und Tunnelroute anzeigt, dann bleibt als Fehler ja einzig und allein nur dein Firewall Regelwerk!
@VGem-e
Offtopic aber korrekt. Nur dem Termin hab ich auch alles übernommen. Nur so schnell umziehen geht leider nicht, ist aber ganz oben auf der Liste...
@aqui
Firewall schau ich mir mal an.
Was mich halt verwundert ist die Fehlermeldung an sich. "Telefonbucheintrag..." Kennt man ja eigentlich nur aus DFÜ/Modem Zeiten...
Offtopic aber korrekt. Nur dem Termin hab ich auch alles übernommen. Nur so schnell umziehen geht leider nicht, ist aber ganz oben auf der Liste...
@aqui
Firewall schau ich mir mal an.
Was mich halt verwundert ist die Fehlermeldung an sich. "Telefonbucheintrag..." Kennt man ja eigentlich nur aus DFÜ/Modem Zeiten...
Stimmt, das ist ungewöhnlich und zeigt das da irgendwas falsch konfiguriert wurde mit dem VPN Client.
https://answers.microsoft.com/de-de/windows/forum/all/fehler-623-unter-w ...
Kann auch sein das du noch ein fehlerhaftes Update hast.
L2TP-IPSec Problem nach CU2022-01 (KB5009543)
https://answers.microsoft.com/de-de/windows/forum/all/fehler-623-unter-w ...
Kann auch sein das du noch ein fehlerhaftes Update hast.
L2TP-IPSec Problem nach CU2022-01 (KB5009543)
@aqui
Von einer DFÜ-Verbindung hängt die Einwahl nicht ab, kann also den ersten Link ausschließen. Ist auch nichts eingerichtet oder kann ausgewählt werden...
Da die Verbindung unter dem lokalen Admin aufgebaut wird, kann ich KB5009543 o.a. Updates ebenfalls ausschließen.
Da der Domänen User auf anderen PCs läuft, schließe ich mal für mich ein Gruppenrichtlinie aus. Auf die PCs werden auch die gleichen Richtlinien angewendet, sollte es also auch nicht sein.
Ich hab mal noch ein wenig Zeit auf Google verbracht und vermute jetzt das die rasphone.pbk etwas damit zu tun hat.
learn.microsoft.com/de-de/windows/win32/rras/ras-phone-books
Diese wird ja je nachdem wer die Verbindung erstellt, in unterschiedlichen Pfaden abgelegt. Da die Verbindung funktioniert, wenn ich sie mit der Option AllUserConnection einrichte, die ja auch unter dem normalen Benutzer nur mit administrativen Rechten ausgewählt werden kann, vermute ich mal das die Verbindung aus irgenwelchen Gründen nicht richtig verlinkt ist, Rechte fehlen oder falsche Angaben in der rasphone.pbk stehen.
Versuche ich die Verbindung herzustellen, kommt die Fehlemeldung auch promt, ohne das überhaupt erkennbar ist das ein Versuch startet die Verbindung aufzubauen.
Ich konnte leider die Dateien noch nicht prüfen, aber es macht für mich bis jetzt den meisten Sinn. Falls jemand mit der Vermutung was anfangen kann, nehme ich gern noch Tips entgegen.
Ansonsten das erstmal als Zwischenstand, ich melde sobald ich die PCs wieder in den Fingern habe...
Von einer DFÜ-Verbindung hängt die Einwahl nicht ab, kann also den ersten Link ausschließen. Ist auch nichts eingerichtet oder kann ausgewählt werden...
Da die Verbindung unter dem lokalen Admin aufgebaut wird, kann ich KB5009543 o.a. Updates ebenfalls ausschließen.
Da der Domänen User auf anderen PCs läuft, schließe ich mal für mich ein Gruppenrichtlinie aus. Auf die PCs werden auch die gleichen Richtlinien angewendet, sollte es also auch nicht sein.
Ich hab mal noch ein wenig Zeit auf Google verbracht und vermute jetzt das die rasphone.pbk etwas damit zu tun hat.
learn.microsoft.com/de-de/windows/win32/rras/ras-phone-books
Diese wird ja je nachdem wer die Verbindung erstellt, in unterschiedlichen Pfaden abgelegt. Da die Verbindung funktioniert, wenn ich sie mit der Option AllUserConnection einrichte, die ja auch unter dem normalen Benutzer nur mit administrativen Rechten ausgewählt werden kann, vermute ich mal das die Verbindung aus irgenwelchen Gründen nicht richtig verlinkt ist, Rechte fehlen oder falsche Angaben in der rasphone.pbk stehen.
Versuche ich die Verbindung herzustellen, kommt die Fehlemeldung auch promt, ohne das überhaupt erkennbar ist das ein Versuch startet die Verbindung aufzubauen.
Ich konnte leider die Dateien noch nicht prüfen, aber es macht für mich bis jetzt den meisten Sinn. Falls jemand mit der Vermutung was anfangen kann, nehme ich gern noch Tips entgegen.
Ansonsten das erstmal als Zwischenstand, ich melde sobald ich die PCs wieder in den Fingern habe...
1
Also die rasphone.pbk wird gar nicht angelegt. 
Lege ich eine VPN-Verbindung unter einem Benutzer an, ohne diese zu teilen, werden die Daten nicht im Pfad
C:\Users\[user]\AppData\Roaming\Microsoft\Network\Connections\Pbk abgelegt. Den Pfad gab es auch gar nicht.
Der Teil Network\Connections\Pbk war gar nicht vorhanden. Ich hab ihn mal angelegt und ne neue VPN-Verbindung eingerichte, aber da tut sich nichts. In den Netzwerkeinsrellungen werden die Verbindungen zwar angezeigt aber ne rasphone gibt es dazu nicht.
Deswegen auch die Fehlermeldung "Telefonbuch nicht gefunden". Recht hat er ja...
Lege ich eine geteilte Verbindung an, landet diese im Pfad C:\ProgramData\Microsoft\Network\Connections\Pbk und kann somit die Verbindung auch herstellen.
Jemand ne Idee wie ich ihm beibringen kann die rasphone wieder anzulegen...!?
Lege ich eine VPN-Verbindung unter einem Benutzer an, ohne diese zu teilen, werden die Daten nicht im Pfad
C:\Users\[user]\AppData\Roaming\Microsoft\Network\Connections\Pbk abgelegt. Den Pfad gab es auch gar nicht.
Der Teil Network\Connections\Pbk war gar nicht vorhanden. Ich hab ihn mal angelegt und ne neue VPN-Verbindung eingerichte, aber da tut sich nichts. In den Netzwerkeinsrellungen werden die Verbindungen zwar angezeigt aber ne rasphone gibt es dazu nicht.
Deswegen auch die Fehlermeldung "Telefonbuch nicht gefunden". Recht hat er ja...
Lege ich eine geteilte Verbindung an, landet diese im Pfad C:\ProgramData\Microsoft\Network\Connections\Pbk und kann somit die Verbindung auch herstellen.
Jemand ne Idee wie ich ihm beibringen kann die rasphone wieder anzulegen...!?
Ich hab das Problem gefunden.
Es war noch ne Ordnerumleitung eingerichtet, die den Ordner AppData(Roaming) ebenfalls umgeleitet hat. Die rasphone ist dann im Serverordner gelandet, das System versucht aber die Datei lokal zu finden, deswegen auch die Meldung Telefonbuch nicht gefunden.
Warum es bei manchen Usern geht und bei manchen nicht weiß ich zwar immer noch nicht, aber das die Ordnerumleitung von AppData(Roaming) nicht zu empfehlen ist und viele Probleme macht hab ich jetzt an verschiedenen Stellen gelesen.
Ich werde also die Umleitung für diesen Ordner entfernen und die Daten wieder lokal zurückschreiben lassen. In diesem Sinne ist es für mich gelöst.
Dank an alle Interessierten...
Es war noch ne Ordnerumleitung eingerichtet, die den Ordner AppData(Roaming) ebenfalls umgeleitet hat. Die rasphone ist dann im Serverordner gelandet, das System versucht aber die Datei lokal zu finden, deswegen auch die Meldung Telefonbuch nicht gefunden.
Warum es bei manchen Usern geht und bei manchen nicht weiß ich zwar immer noch nicht, aber das die Ordnerumleitung von AppData(Roaming) nicht zu empfehlen ist und viele Probleme macht hab ich jetzt an verschiedenen Stellen gelesen.
Ich werde also die Umleitung für diesen Ordner entfernen und die Daten wieder lokal zurückschreiben lassen. In diesem Sinne ist es für mich gelöst.
Dank an alle Interessierten...
1
