Problem: Bei dem Versuch sich ins Firmennetzwerk einzuwählen erhält man die Meldung: "Fehler 87 Falscher Parameter". Stellenweise findet man die alternative Angabe: "Die Verbindung konnte nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 809". Für die VPN Authentifizierung werden Zertifikate verwendet bzw. benötigt.
Hintergrund
Die Ursachenerforschung ist vielleicht irritierend und führt in die falsche Richtung. In der Ereignisanzeige vom VPN Client und vom VPN Server (bzw. RADIUS-Server) können unterschiedliche Meldungen gefunden werden. Meist sind es mehrfach dieselben in höherer Anzahl. Hängt aber sicher auch damit zusammen wie oft eine Einwahl probiert wurde.
Beim VPN Client, also meist Windows 7 oder Windows 8 (kann aber auch alles andere sein) kann folgendes gefunden werden:
Deutsch
English
Quelle: RasClient
Source: RasClient
Ereignis-ID: 20227
Event-ID: 20227
Der Benutzer *** hat eine Verbindung mit dem Namen *** gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 809.
The user *** has chosen a connection with the name of ***, the connection could not be established. The reason code returned by the error is: 809.
Deutsch
English
Quelle: RasMan
Source: RasMan
Ereignis-ID: 20276
Event-ID: 20276
Der Verbindungsversuch an Port "VPN3-1" ist aufgrund des ausgewählten Authentifizierungsprotokolls gescheitert. Überprüfen Sie, ob das Authentifizierungsprotokoll unter den Betriebssystemen an den Client- und Serverenden der Verbindung unterstützt wird.
The attempt to connect to port "VPN3-1" failed due to the selected authentication protocol. Check whether the authentication protocol on the operating systems on the client and server ends of the connection is supported.
Am VPN Server bzw. RADIUS Server, also Windows Server 2008 bis 2012 können folgenden Meldungen gefunden werden:
Deutsch
English
Quelle: RemoteAccess
Source: RemoteAccess
Ereignis-ID: 20255
Event-ID: 20255
Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server um Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden.
The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.
Deutsch
English
Quelle: RemoteAccess
Source: RemoteAccess
Ereignis-ID: 20255
Event-ID: 20255
Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server um Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden.
The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.
Damit wird man eindeutig auf Probleme mit der Authentifizierung hingewiesen. Umso verwunderlicher wenn man keine Änderungen an der VPN-Verbindung durchgeführt hat. Eine Kontrolle zwischen VPN Client und VPN Server wird zu keiner neuen Erkenntnis führen. Es wird exakt die gleiche Konfiguration bzw. die gleichen Protokolle genutzt. Hier sollte man seine Recherche in diese Richtung abbrechen und auf eine andere Meldung mehr Bezug nehmen:
Deutsch
English
Quelle: Schannel
Source: Schannel
Ereignis-ID: 36887
Event-ID: 36887
Es wurde eine schwerwiegende Warnung empfangen: 47.
The following fatal alert was received: 47.
Ab jetzt ist man auf der richtigen Fährte. Dazu vielleicht noch die zusätzliche Information, dass beim Microsoft Patchday im Dezember 2012 ein Update mit neuen Stamm-Zertifizierungsstellen veröffentlicht wurde. Dadurch wird die Anzahl der vorhandenen Stamm-Zertifizierungsstellen bedeutend erhöht. Der zuletzt aufgeführte Ereigniseintrag weißt zuerst einmal auf ein allgemeines Problem hin. Mit etwas Glück wird ein andere Ereigniseintrag protokolliert. Dann ist die Lösung nicht mehr weit…
…der REG_DWORD Eintrag mit dem Namen "SendTrustedIssuerList" erstellt und auf "0" festgelegt werden. Ein Neustart ist nicht erforderlich. Bei der nächsten VPN Einwahl wird die Verbindung nun korrekt ablaufen.
Super Artikel,
Hat prima funktioniert (auch ohne Neustart)
… hätt ich sonst nicht gefunden
Danke
Bitte gerne.