- Betrifft: VPN-Einwahl auf Windows-Systeme
- System: Microsoft Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012
- Problem: Bei dem Versuch sich ins Firmennetzwerk einzuwählen erhält man die Meldung: "Fehler 87 Falscher Parameter". Stellenweise findet man die alternative Angabe: "Die Verbindung konnte nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 809". Für die VPN Authentifizierung werden Zertifikate verwendet bzw. benötigt.
Hintergrund
Die Ursachenerforschung ist vielleicht irritierend und führt in die falsche Richtung. In der Ereignisanzeige vom VPN Client und vom VPN Server (bzw. RADIUS-Server) können unterschiedliche Meldungen gefunden werden. Meist sind es mehrfach dieselben in höherer Anzahl. Hängt aber sicher auch damit zusammen wie oft eine Einwahl probiert wurde.
Beim VPN Client, also meist Windows 7 oder Windows 8 (kann aber auch alles andere sein) kann folgendes gefunden werden:
| Deutsch | English |
| Quelle: RasClient | Source: RasClient |
| Ereignis-ID: 20227 | Event-ID: 20227 |
| Der Benutzer *** hat eine Verbindung mit dem Namen *** gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 809. | The user *** has chosen a connection with the name of ***, the connection could not be established. The reason code returned by the error is: 809. |
| Deutsch | English |
| Quelle: RasMan | Source: RasMan |
| Ereignis-ID: 20276 | Event-ID: 20276 |
| Der Verbindungsversuch an Port "VPN3-1" ist aufgrund des ausgewählten Authentifizierungsprotokolls gescheitert. Überprüfen Sie, ob das Authentifizierungsprotokoll unter den Betriebssystemen an den Client- und Serverenden der Verbindung unterstützt wird. | The attempt to connect to port "VPN3-1" failed due to the selected authentication protocol. Check whether the authentication protocol on the operating systems on the client and server ends of the connection is supported. |
Am VPN Server bzw. RADIUS Server, also Windows Server 2008 bis 2012 können folgenden Meldungen gefunden werden:
| Deutsch | English |
| Quelle: RemoteAccess | Source: RemoteAccess |
| Ereignis-ID: 20255 | Event-ID: 20255 |
| Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server um Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden. | The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error. |
| Deutsch | English |
| Quelle: RemoteAccess | Source: RemoteAccess |
| Ereignis-ID: 20255 | Event-ID: 20255 |
| Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server um Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden. | The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error. |
Damit wird man eindeutig auf Probleme mit der Authentifizierung hingewiesen. Umso verwunderlicher wenn man keine Änderungen an der VPN-Verbindung durchgeführt hat. Eine Kontrolle zwischen VPN Client und VPN Server wird zu keiner neuen Erkenntnis führen. Es wird exakt die gleiche Konfiguration bzw. die gleichen Protokolle genutzt. Hier sollte man seine Recherche in diese Richtung abbrechen und auf eine andere Meldung mehr Bezug nehmen:
| Deutsch | English |
| Quelle: Schannel | Source: Schannel |
| Ereignis-ID: 36887 | Event-ID: 36887 |
| Es wurde eine schwerwiegende Warnung empfangen: 47. | The following fatal alert was received: 47. |
Ab jetzt ist man auf der richtigen Fährte. Dazu vielleicht noch die zusätzliche Information, dass beim Microsoft Patchday im Dezember 2012 ein Update mit neuen Stamm-Zertifizierungsstellen veröffentlicht wurde. Dadurch wird die Anzahl der vorhandenen Stamm-Zertifizierungsstellen bedeutend erhöht. Der zuletzt aufgeführte Ereigniseintrag weißt zuerst einmal auf ein allgemeines Problem hin. Mit etwas Glück wird ein andere Ereigniseintrag protokolliert. Dann ist die Lösung nicht mehr weit…
Behebung
Einfach am VPN-Server oder RADIUS-Server wie im Artikel Liste der vertrauenswürdigen Stamm-Zertifizierungsstellen ist zu lang erwähnt die Registrierung bearbeiten. Im Artikel gibt es weitere Informationen zum Fehlergrund und ebenso einiges zur Lösung.
Für diesen Artikel eine Zusammenfassung der 2. Lösungsvariante. Dazu muss im folgenden Pfad…
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL |
…der REG_DWORD Eintrag mit dem Namen "SendTrustedIssuerList" erstellt und auf "0" festgelegt werden. Ein Neustart ist nicht erforderlich. Bei der nächsten VPN Einwahl wird die Verbindung nun korrekt ablaufen.
Super Artikel,
Hat prima funktioniert (auch ohne Neustart)
… hätt ich sonst nicht gefunden
Danke
Bitte gerne.