Discussion:
Errore 691 su connessione VPN
(troppo vecchio per rispondere)
Mirco
2007-04-13 11:50:00 UTC
Dopo aver provato a configurare IAS con Server Radius e successivamente
disattivato e disinstallato (per disattivato intento cancellate tutte le
configurazioni che avevo inserito), quando mi collego in VPN ricevo sempre
"Errore 691: Accesso negato a cause dell'utente e/o password non valido del
dominio". Ho un server SBS 2003 Prem. con 2 schede di rete, funziona tutto
tranne che la VPN. Ho inotre provato a reinstallare tutto ISA e il servizio
RRAS.

Menchini Mirco
2007-04-13 17:22:05 UTC
Mirco ha scritto nel messagio
Post by Mirco
Dopo aver provato a configurare IAS con Server Radius e successivamente
disattivato e disinstallato (per disattivato intento cancellate tutte le
configurazioni che avevo inserito), quando mi collego in VPN ricevo sempre
"Errore 691: Accesso negato a cause dell'utente e/o password non valido del
dominio". Ho un server SBS 2003 Prem. con 2 schede di rete, funziona tutto
tranne che la VPN. Ho inotre provato a reinstallare tutto ISA e il servizio
RRAS.
Ciao Mirco,

perdonami, ma non capisco il senso dell'autenticazione Radius quando ISA è
un server membro di AD. In tutti i casi prova a dare un occhiata qui :

http://www.howtonetworking.com/vpnissues/error619.htm
Post by Mirco
Menchini Mirco
Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Edoardo Benussi [MVP]
2007-04-13 18:14:02 UTC
IsaCab <IsaCab> wrote in message,
Post by
perdonami, ma non capisco il senso dell'autenticazione Radius quando
ISA è un server membro di AD.
ha un senso se usi i certificati.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
2007-04-13 18:35:49 UTC
Edoardo ha scritto nel messagio
Post by Edoardo Benussi [MVP]
IsaCab <IsaCab> wrote in message,
Post by
perdonami, ma non capisco il senso dell'autenticazione Radius quando
ISA è un server membro di AD.
ha un senso se usi i certificati.
Ciao Edo, potresti spiegarmi meglio ?


Grazie

Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Edoardo Benussi [MVP]
2007-04-13 18:52:18 UTC
IsaCab <IsaCab> wrote in message,
Post by
Ciao Edo, potresti spiegarmi meglio ?
se voglio fare autenticazione mediante
i certificati digitali e non con username e password devo usare ias.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
2007-04-14 18:01:17 UTC
Edoardo ha scritto nel messagio
Post by Edoardo Benussi [MVP]
IsaCab <IsaCab> wrote in message,
Post by
Ciao Edo, potresti spiegarmi meglio ?
se voglio fare autenticazione mediante
i certificati digitali e non con username e password devo usare ias.
Ciao Edo,

non ho mai approndito questo aspetto, e ti ringrazio per lo spunto.

Poi se ti va fare la buona azione della domenica :-) , mi passeresti qualche
link dove poter approfondire ?

Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Edoardo Benussi [MVP]
2007-04-14 18:14:03 UTC
IsaCab <IsaCab> wrote in message,
Post by
Ciao Edo,
non ho mai approndito questo aspetto, e ti ringrazio per lo spunto.
Poi se ti va fare la buona azione della domenica :-) , mi passeresti
qualche link dove poter approfondire ?
beh, guarda, nel frattempo che cerco i link migliori
ti posso dire che mi sono molto divertito a configurare
un'autenticazione wifi con 802.1x, certificati digitali sia computer
che user autenticati dal radius server (nel caso ms ias).
quando poi ho installato isa è andato tutto a farsi
friggere perchè isa va a sovrascrivere le rap remote access policies
ed anche ias dipende dalle rap e non solo ma anche scrive chiavi di registro
per blindare le rap quando vengono usate nelle vpn.
per far rifunzionare il tutto sono andato
a togliere quelle chiavi di registro che neanche il buon Shindler
sapeva esistere e a rimettere le com'erano prima
dell'installazione di isa.
adesso ti cerco i links.
a dopo.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
2007-04-14 18:46:21 UTC
Edoardo ha scritto nel messagio
***@TK2MSFTNGP02.phx.gbl
[CUT]
Post by Edoardo Benussi [MVP]
beh, guarda, nel frattempo che cerco i link migliori
ti posso dire che mi sono molto divertito a configurare
un'autenticazione wifi con 802.1x, certificati digitali sia computer
che user autenticati dal radius server (nel caso ms ias).
Quindi se non ho capito male, l'autenticazione Radius viene fatta senza
utilizzare UserName E Password ma un certificato utente, giusto ?
Post by Edoardo Benussi [MVP]
quando poi ho installato isa è andato tutto a farsi
friggere perchè isa va
a sovrascrivere le rap remote access policies
ed anche ias dipende dalle rap e non solo ma anche scrive chiavi di registro
per blindare le rap quando vengono usate nelle vpn.
Ma questo succede se hai ISA e IAS sullo stesso server, ma se sono server
separati non dovrebbero esserci problemi o mi sbaglio ?
Post by Edoardo Benussi [MVP]
per far rifunzionare il tutto sono andato
a
togliere quelle chiavi di registro che neanche il buon Shindler
sapeva esistere e a rimettere le com'erano prima
dell'installazione di isa.
Io ho perso delle nottate per abilitare l'autenticazione webproxy con
credenziali alternative a quelle di Login (Attivo di default su Isa2000, ma
no sulle versioni successive), nel caso fossero inufficenti per accedere
alle risorse internet
http://www.isaserver.it/articoli/20061122-GM03.htm

quindi immagino che lavoro di bisturi che tu abbia dovuto fare per arrivare
alla soluzione.
Post by Edoardo Benussi [MVP]
adesso ti cerco i links.
a dopo.
Grazie mille
Post by Edoardo Benussi [MVP]
ciao.
Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Edoardo Benussi [MVP]
2007-04-15 09:21:51 UTC
IsaCab <IsaCab> wrote in message,
Post by
Quindi se non ho capito male, l'autenticazione Radius viene fatta
senza utilizzare UserName E Password ma un certificato utente, giusto ?
no, sarebbe scorretto metterla così.
provo a dire:
l'autenticazione radius può essere fatta anche
con username e password come una classica
autenticazione al dominio ma se voglio
un'autenticazione basata su certificati
devo necessariamente usare radius.
Post by
Ma questo succede se hai ISA e IAS sullo stesso server, ma se sono
server separati non dovrebbero esserci problemi o mi sbaglio ?
non sbagli.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Edoardo Benussi [MVP]
2007-04-14 20:32:10 UTC
IsaCab <IsaCab> wrote in message,
Post by
Poi se ti va fare la buona azione della domenica :-) , mi passeresti
qualche link dove poter approfondire ?
mi porto avanti prima che arrivi domenica :-)

intanto questo è un buon punto ricco d'informazioni
http://www.microsoft.com/italy/technet/prodtechnol/winxppro/deployment.mspx
anche se io ne ho letti un casino in più
anche perchè volevo implementare il wifi
anche per pda e smartphone
tutti sempre con certificati digitali.
cerco di trovarti anche gli altri...

ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
2007-04-14 21:10:03 UTC
Edoardo ha scritto nel messagio
Post by Edoardo Benussi [MVP]
IsaCab <IsaCab> wrote in message,
Post by
Poi se ti va fare la buona azione della domenica :-) , mi passeresti
qualche link dove poter approfondire ?
mi porto avanti prima che arrivi domenica :-)
intanto questo è un buon punto ricco d'informazioni
http://www.microsoft.com/italy/technet/prodtechnol/winxppro/deployment.
mspx
Ho letto, e devo dire che è davvero interessante. E' interessante sopratutto
il discorso dell'autenticazione computer e/o utente.

Se non ho capito male, se sono presenti sia certificati computer che utente,
all'avvio della workstation avviene l'autenticazione con il ceritificato
computer e all'atto del login l'autenticazione del certificato utente viene
ignorata. Se poi mi sposto e mi aggancio ad un secondo Access Point il
computer si riautentica utilizzando i certificati utente. Questo significa
che prima viene effettuata una distribuzione delle gpo computer e poi delle
gpo utente.
Post by Edoardo Benussi [MVP]
cerco di trovarti anche gli altri...
Che dire........ Grazie!!
Post by Edoardo Benussi [MVP]
ciao.
Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Edoardo Benussi [MVP]
2007-04-15 09:32:55 UTC
IsaCab <IsaCab> wrote in message,
Post by
Ho letto, e devo dire che è davvero interessante. E' interessante
sopratutto il discorso dell'autenticazione computer e/o utente.
Se non ho capito male, se sono presenti sia certificati computer che
utente, all'avvio della workstation avviene l'autenticazione con il
ceritificato computer e all'atto del login l'autenticazione del
certificato utente viene ignorata. Se poi mi sposto e mi aggancio ad
un secondo Access Point il computer si riautentica utilizzando i
certificati utente. Questo significa che prima viene effettuata una
distribuzione delle gpo computer e poi delle gpo utente.
mmmhhh... ni.
il certificato computer serve a dare la possibilità
alla macchina di autenticarsi all'ap e quindi avere connettività
wireless anche senza
che qualcuno necessariamente faccia
logon interattivo su quella macchina.
purtroppo sta cosa non sempre funziona
perchè dipende da come vengono caricati
i driver delle schede wireless ossia
talvolta il driver della scheda wifi viene caricato
solo dopo il login dell'utente
e quindi vedi i tentativi di autenticazione del
computer verso ias fallire ed avere successo solo
l'autenticazione dell'utente verso ias.
le policies vengono comunque tutte
applicate anche se non passo da un primo
ad un secondo ap, eventualmente perdo solo
gli script di startup.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
2007-04-15 10:47:45 UTC
Edoardo ha scritto nel messagio
Post by Edoardo Benussi [MVP]
IsaCab <IsaCab> wrote in message,
Post by
Ho letto, e devo dire che è davvero interessante. E' interessante
sopratutto il discorso dell'autenticazione computer e/o utente.
Se non ho capito male, se sono presenti sia certificati computer che
utente, all'avvio della workstation avviene l'autenticazione con il
ceritificato computer e all'atto del login l'autenticazione del
certificato utente viene ignorata. Se poi mi sposto e mi aggancio ad
un secondo Access Point il computer si riautentica utilizzando i
certificati utente. Questo significa che prima viene effettuata una
distribuzione delle gpo computer e poi delle gpo utente.
mmmhhh... ni.
il certificato computer serve a dare la possibilità
alla macchina di autenticarsi all'ap e quindi avere connettività
wireless anche senza
che qualcuno necessariamente faccia
logon interattivo su quella macchina.
purtroppo sta cosa non sempre funziona
perchè dipende da come vengono caricati
i driver delle schede wireless ossia
talvolta il driver della scheda wifi viene caricato
solo dopo il login dell'utente
e quindi vedi i tentativi di autenticazione del
computer verso ias fallire ed avere successo solo
l'autenticazione dell'utente verso ias.
le policies vengono comunque tutte
applicate anche se non passo da un primo
ad un secondo ap, eventualmente perdo solo
gli script di startup.
ciao.
Ciao Edo, e buona domenica
Quindi le GPO vengono caricate solo dopo il logon ?
?
Ma in questo caso se non esiste il certicato utente, si ha cmq accesso alle
risorse AD ?

Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Edoardo Benussi [MVP]
2007-04-15 11:21:38 UTC
IsaCab <IsaCab> wrote in message,
Post by
Ciao Edo, e buona domenica
anche a te :-)
Post by
Quindi le GPO vengono caricate solo dopo il logon ?
in questo caso si.
Post by
Ma in questo caso se non esiste il certicato utente, si ha cmq
accesso alle risorse AD ?
l'utente si può loggare solo se ha il certificato.
se l'utente non si logga perchè non ha il certificato
quale tipo di accesso pensi possa esserci
solo con l'autenticazione all'ap da parte della macchina ?
beh potrebbero esserci dei servizi che accedono a risorse ad.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
2007-04-15 16:33:55 UTC
Edoardo ha scritto nel messagio
Post by Edoardo Benussi [MVP]
IsaCab <IsaCab> wrote in message,
Post by
Ciao Edo, e buona domenica
anche a te :-)
Post by
Quindi le GPO vengono caricate solo dopo il logon ?
in questo caso si.
Post by
Ma in questo caso se non esiste il certicato utente, si ha cmq
accesso alle risorse AD ?
l'utente si può loggare solo se ha il certificato.
Ok.
Post by Edoardo Benussi [MVP]
se l'utente non si logga perchè non ha il certificato
quale tipo di accesso pensi possa esserci
solo con l'autenticazione all'ap da parte della
macchina ?
Nessuna, ma questo prima di aver letto la riga successiva :-))
Post by Edoardo Benussi [MVP]
beh potrebbero esserci dei servizi che accedono a risorse ad.
Ok, tutto molto più chiaro.

Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================