Windows Always on VPN - Zertifikat-basierte Authentifizierung
Hallo Zusammen,
ich habe auf einem Windows Server 2016 eine "Always-On-VPN" Lösung von Mircosoft bereitgestellt und wollte diese gerne mal als Alternative zu unserer bestehenden VPN Lösung testen. Eine Anmeldung von extern mit PEAP - Benutzernamen + Kennwort (EAP-MSCHAP v2) oder mit einem Benutzerzertifikat funktioniert bereits.
Ich hätte es jedoch gerne so, dass der User nicht "öffline" am Gerät angemeldet wird, sondern schon vor der Eingabe der Benutzerdaten die VPN Verbindung aufgebaut wird.
Das wird vermutlich ziemlich schwer bzw. unmöglich mit der aktuellen Konfiguration.
Daher wollte ich gerne die bestehende Konfiguraiton von Benutzerzertifikat auf Computerzertifikat schwenken.
Aktuell bekomme ich allerdings die folgende Meldung:
Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication Protokoll verwendet werden kann.
Irgendwie wird das Computerzertifikat nicht erkannt.
Jemand eine Idee? Geht das so, wie ich mir das überlegt habe überhaupt?
ich habe auf einem Windows Server 2016 eine "Always-On-VPN" Lösung von Mircosoft bereitgestellt und wollte diese gerne mal als Alternative zu unserer bestehenden VPN Lösung testen. Eine Anmeldung von extern mit PEAP - Benutzernamen + Kennwort (EAP-MSCHAP v2) oder mit einem Benutzerzertifikat funktioniert bereits.
Ich hätte es jedoch gerne so, dass der User nicht "öffline" am Gerät angemeldet wird, sondern schon vor der Eingabe der Benutzerdaten die VPN Verbindung aufgebaut wird.
Das wird vermutlich ziemlich schwer bzw. unmöglich mit der aktuellen Konfiguration.
Daher wollte ich gerne die bestehende Konfiguraiton von Benutzerzertifikat auf Computerzertifikat schwenken.
Aktuell bekomme ich allerdings die folgende Meldung:
Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication Protokoll verwendet werden kann.
Irgendwie wird das Computerzertifikat nicht erkannt.
Jemand eine Idee? Geht das so, wie ich mir das überlegt habe überhaupt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 420287
Url: https://administrator.de/forum/windows-always-on-vpn-zertifikat-basierte-authentifizierung-420287.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
3 Kommentare
Neuester Kommentar
Hi
du musst die passenden Zertifikatrequests für die Authentifizierung an deine AD CA senden und die dann einbinden. Alway-On-VPN sollte sich ohnehin bereits vor der Anmeldung des Benutzers verbinden, so wie es auch DirectAccess gemacht hat. Damit ersparst dir das Ausrollen der einzelnen Zertifikate (sofern die AD CA korrekt eingerichtet ist).
Evtl. musst an der CA noch eine passende Vorlage erstellen (siehe auch PKI & AOV https://www.petenetlive.com/KB/Article/0001399)
Wir bereiten gerade auch die Tests vor, da einige Programme mit dem IPv6 vom DAC Probleme hat .
Gruß
@clSchak
du musst die passenden Zertifikatrequests für die Authentifizierung an deine AD CA senden und die dann einbinden. Alway-On-VPN sollte sich ohnehin bereits vor der Anmeldung des Benutzers verbinden, so wie es auch DirectAccess gemacht hat. Damit ersparst dir das Ausrollen der einzelnen Zertifikate (sofern die AD CA korrekt eingerichtet ist).
Evtl. musst an der CA noch eine passende Vorlage erstellen (siehe auch PKI & AOV https://www.petenetlive.com/KB/Article/0001399)
Wir bereiten gerade auch die Tests vor, da einige Programme mit dem IPv6 vom DAC Probleme hat .
Gruß
@clSchak
Hi,
Was du möchtest ist ein device Tunnel .
Versuchs mal damit.
https://www.einfaches-netzwerk.at/always-on-vpn-device-tunnel-konfigurie ...
Mit freundlichen Grüßen
Was du möchtest ist ein device Tunnel .
Versuchs mal damit.
https://www.einfaches-netzwerk.at/always-on-vpn-device-tunnel-konfigurie ...
Mit freundlichen Grüßen