Der Einsatz eines SSTP VPN Tunnels für unsere Vertriebsmannschaft brachte bisher nur Vorteile.
Allein schon in betracht dessen dass dieser über Port 443(https) kommuniziert und man dadurch nicht Gefahr läuft im z.B. Hotel nicht arbeiten zu können zwecks gesperrten Ports.
Es gibt beim Einsatz dieser VPN Technik aber einige Stolperfallen, über eine bin ich vor kurzem selbst gestolpert.
Eine der grundvoraussetzungen für den erfolgreichen Aufbau eines SSTP Tunnels ist die Erreichbarkeit der Zertifikatsperrliste
(engl. Certificate Revocation List – CRL).
Ist diese vom Client aus nicht erreichbar, aus welchen gründen auch immer, bricht der Verbindungsaufbau ab und quittiert mit dem Fehler
“0×80092013 Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.”
Nun gibt es von Microsoft einige HowTo´s wie dieser Fehler zu beheben ist, hier z.b.
http://support.microsoft.com/kb/947031/de
oder hier
http://support.microsoft.com/kb/961880
Da man als Admin aber nicht immer die Zeit hat hunderte von Seiten Informationsmaterial abzuarbeiten um Stunden später auf eine Lösung zu kommen, hier ein Workaround um dieses Problem auszuhebeln.
Für Windows Vista/7 Clients:
Öffnet den Registrierungseditor und fügt unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
den DWORD(32bit) eintrag
NoCertRevocationCheck
hinzu und ändert den Wert auf 1 (hex)
Damit prüft der Client die Sperrlisten einträge nicht mehr ab und die Verbindung wird aufgebaut.
!Achtung!
Die Sperrlisten sind nicht nur dazu da um uns zu ärgern sondern haben eine Sicherheitsrelevante Funktion!
Deshalb sollte dieser Workaround nur dazu dienen um kurzfristigen Support zu leisten bis das eigentliche Problem gelöst ist.
Bis dahin
Happy Tunneling :-)