Dez 192012
 
  • Betrifft: VPN-Einwahl auf Windows-Systeme
  • System: Microsoft Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012
  • Problem: Bei dem Versuch sich ins Firmennetzwerk einzuwählen erhält man die Meldung: "Fehler 87 Falscher Parameter". Stellenweise findet man die alternative Angabe: "Die Verbindung konnte nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 809". Für die VPN Authentifizierung werden Zertifikate verwendet bzw. benötigt.

 

Hintergrund

Die Ursachenerforschung ist vielleicht irritierend und führt in die falsche Richtung. In der Ereignisanzeige vom VPN Client und vom VPN Server (bzw. RADIUS-Server) können unterschiedliche Meldungen gefunden werden. Meist sind es mehrfach dieselben in höherer Anzahl. Hängt aber sicher auch damit zusammen wie oft eine Einwahl probiert wurde.

Beim VPN Client, also meist Windows 7 oder Windows 8 (kann aber auch alles andere sein) kann folgendes gefunden werden:

eventlog_rasclient_20227eventlog_rasman_20276

Deutsch English
Quelle: RasClient Source: RasClient
Ereignis-ID: 20227 Event-ID: 20227
Der Benutzer *** hat eine Verbindung mit dem Namen *** gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 809. The user *** has chosen a connection with the name of ***, the connection could not be established. The reason code returned by the error is: 809.
Deutsch English
Quelle: RasMan Source: RasMan
Ereignis-ID: 20276 Event-ID: 20276
Der Verbindungsversuch an Port "VPN3-1" ist aufgrund des ausgewählten Authentifizierungsprotokolls gescheitert.  Überprüfen Sie, ob das Authentifizierungsprotokoll unter den Betriebssystemen an den Client- und Serverenden der Verbindung unterstützt wird. The attempt to connect to port "VPN3-1" failed due to the selected authentication protocol. Check whether the authentication protocol on the operating systems on the client and server ends of the connection is supported.

 

Am VPN Server bzw. RADIUS Server, also Windows Server 2008 bis 2012 können folgenden Meldungen gefunden werden:

eventlog_remoteaccess_20255eventlog_remoteaccess_20271

Deutsch English
Quelle: RemoteAccess Source: RemoteAccess
Ereignis-ID: 20255 Event-ID: 20255
Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server um Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden. The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.
Deutsch English
Quelle: RemoteAccess Source: RemoteAccess
Ereignis-ID: 20255 Event-ID: 20255
Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server um Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden. The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.

 

Damit wird man eindeutig auf Probleme mit der Authentifizierung hingewiesen. Umso verwunderlicher wenn man keine Änderungen an der VPN-Verbindung durchgeführt hat. Eine Kontrolle zwischen VPN Client und VPN Server wird zu keiner neuen Erkenntnis führen. Es wird exakt die gleiche Konfiguration bzw. die gleichen Protokolle genutzt. Hier sollte man seine Recherche in diese Richtung abbrechen und auf eine andere Meldung mehr Bezug nehmen:

eventlog_schannel_36887

Deutsch English
Quelle: Schannel Source: Schannel
Ereignis-ID: 36887 Event-ID: 36887
Es wurde eine schwerwiegende Warnung empfangen: 47. The following fatal alert was received: 47.

 

Ab jetzt ist man auf der richtigen Fährte. Dazu vielleicht noch die zusätzliche Information, dass beim Microsoft Patchday im Dezember 2012 ein Update mit neuen Stamm-Zertifizierungsstellen veröffentlicht wurde. Dadurch wird die Anzahl der vorhandenen Stamm-Zertifizierungsstellen bedeutend erhöht. Der zuletzt aufgeführte Ereigniseintrag weißt zuerst einmal auf ein allgemeines Problem hin. Mit etwas Glück wird ein andere Ereigniseintrag protokolliert. Dann ist die Lösung nicht mehr weit…

 

Behebung

Einfach am VPN-Server oder RADIUS-Server wie im Artikel Liste der vertrauenswürdigen Stamm-Zertifizierungsstellen ist zu lang erwähnt die Registrierung bearbeiten. Im Artikel gibt es weitere Informationen zum Fehlergrund und ebenso einiges zur Lösung.

Für diesen Artikel eine Zusammenfassung der 2. Lösungsvariante. Dazu muss im folgenden Pfad…

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

…der REG_DWORD Eintrag mit dem Namen "SendTrustedIssuerList" erstellt und auf "0" festgelegt werden. Ein Neustart ist nicht erforderlich. Bei der nächsten VPN Einwahl wird die Verbindung nun korrekt ablaufen.

weitere relevante Beiträge...

  2 Antworten zu “VPN-Einwahl schlägt mit "Fehler 87 Falscher Parameter" fehl”

Kommentare (2)
  1. Super Artikel,
    Hat prima funktioniert (auch ohne Neustart)

    … hätt ich sonst nicht gefunden
    Danke

 Antworten

Du kannst diese HTML Tags und Attribute benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(erforderlich)

(erforderlich)