DirectAccess Manage Out schlägt bei jeglichem Nicht-ICMP-Datenverkehr in Forefront Unified Access Gateway 2010 fehl
DirectAccess Manage Out funktioniert nicht für Nicht-ICMP-Datenverkehr in Microsoft Forefront Unified Access Gateway 2010. Ausgehende Verbindungen zu externen DirectAccess-Clientcomputern schlagen bei jeglichem Datenverkehr außer ICMP fehl. Wenn die IPsec-Überwachung aktiviert ist, wird möglicherweise die folgende Fehlermeldung angezeigt, wenn Sie versuchen, auf den DirectAccess-Client zuzugreifen:
4984 „Eine Aushandlung des erweiterten IPSec-Modus ist fehlgeschlagen"
Symptome
Dieses Problem kann durch benutzerdefinierte Sicherheitsrichtlinien in Bezug auf die lokalen Sicherheitsrechte für DirectAccess Manage-Out-Server und -Clients verursacht werden (z. B. durch Ändern der Einstellung „Zugriff auf diesen Computer über das Netzwerk").
Für verwaltete Verbindungen ist die Fähigkeit des Quellcomputerkontos und des Benutzerkontos erforderlich, IPsec-Verbindungen mit dem Remote-DirectAccess-Client zu authentifizieren. Obwohl der IPsec-Tunnel vom DirectAccess-Server zum Client eingerichtet wird, erfolgt die Authentifizierung auf der Grundlage des internen Quellcomputers/-kontos (Identitätswechsel).
Die Sicherheitsrichtlinie für „Zugriff auf diesen Computer über das Netzwerk" steuert die Möglichkeit, Systemdienste auf Remotecomputern zu authentifizieren und darauf zuzugreifen. Diesem Quellcomputer/-konto muss dieses Recht für die Remoteressourcen gewährt werden, damit die DirectAccess-Manage-Out-Funktion funktioniert. Wenn das Computerkonto des DirectAccess-Servers und das Computerkonto des internen Quellservers, der für den Identitätswechsel verwendet wird, nicht über die Berechtigung verfügen, über das Netzwerk auf den DirectAccess-Clientcomputer zuzugreifen, kommt es zu Fehlern bei der IPsec-Authentifizierung.
An der lokalen Sicherheitsrichtlinie wurden Änderungen vorgenommen, die zu einer Änderung der Standardberechtigungen für dieses Zugriffsrecht führten. Die Gruppen „Jeder" und „Benutzer" wurden aus der lokalen Sicherheitseinstellung „Zugriff auf diesen Computer über das Netzwerk" entfernt.
Ursache
Setzen Sie die lokale Sicherheitseinstellung für „Zugriff auf diesen Computer über das Netzwerk" auf die Standardkonfiguration zurück. Standardmäßig umfasst dies die folgenden Gruppen: Administratoren, Sicherungsoperatoren, Jeder, Benutzer. Die Standardeinstellung ist die einzige Konfiguration, die für DirectAccess Manage Out-Konnektivität getestet und verifiziert wurde.
Auflösung
http://support.microsoft.com/default.aspx?scid=kb;EN-US;823659
823659 – Client-, Dienst- und Programminkompatibilitäten, die auftreten können, wenn Sie Sicherheitseinstellungen und Benutzerrechtezuweisungen ändern:
No comments:
Post a Comment