TMG 2010 unable to authenticate users after reboot

#de, #server, #security edit this page

Nach dem Upgrade von ISA Server 2006 auf TMG 2010 musste ich eine Reihe von Probleme bezüglich der Authentifizierung feststellen. Nach jedem Neustart des Servers dauerte es zwischen einer halben und 2 Stunden bis der TMG Clients gegen AD erfolgreich authentifizierte. In der Zwischenzeit wurden die Verbindung aufgrund fehlender Authentifizierung abgelehnt.

Auch das EventLog protokollierte folgende Fehler:

image

image

Im ADAM Log wurde folgender Fehler protokolliert:

image

 

Mein Problem habe ich dadurch gelöst, indem ich ein Computer-Zertifikat für den FQDN des TMG von meiner Zertifizierungsstelle angefragt und installiert habe. Anschließend habe ich den Netzwerkdienst Lesen-Berechtigungen für das Verzeichnis C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys gegeben (hier werden die Computerzertifikate gespeichert).

INFO: Wenn der Request für das Zertifikat fehschlägt, muss in den Systemregeln der strikte RPC Filter deaktiviert werden:

image

 

Nachdem diese Schritte abgeschlossen wurden, konnte ich im EventLog sehen wie die SSL-Verbindungen erfolgreich hergestellt wurden:

image

image

 

Nach einem Neustart werden Verbindungen nun sofort authentifiziert.

Grüße
dn