VPN-Einwahl auf Windows Server 2008 funktioniert nicht

[Eye-Q]

Mahlzeit,

ich habe ein kleines Problem bei einem Kunden. Der hat jetzt einen Windows Server 2008 bekommen, nachdem er ewig gezaudert hat, seinen 2000er Server abzulösen.

Nun ist es so, dass der 2000er-Server bisher der Endpunkt für ein PPTP-VPN (über Routing und RAS) war, was im Moment auch noch funktioniert, wenn ich die entsprechenden Ports im Router auf den weiterleite.

Der 2008er-Server hat ein komplett neues AD erhalten, die Routing und RAS-Rolle ist auch installiert und für VPN konfiguriert.

Ein Benutzer (wir als IT-Systemhaus) soll nun VPN-Zugriff bekommen, was entsprechend eingerichtet ist: im AD ist der Benutzer in einer Gruppe Remote-VPN, der im Netzwerkrichtlinienserver in der Richtlinie "VPN zulassen" eingetragen ist (die Richtlinie steht auf "Zugriff gewähren"). Als Protokolle sind MS-CHAP und MS-CHAP v2 aktiviert, das ist auch in der VPN-Verbindung auf dem Client-PC, der sich einwählen soll (XP SP3) so eingestellt. Die PPTP-Ports sind im Router (nicht VPN-fähig) natürlich auch auf den neuen Server weitergeleitet.

Leider fruchtet das alles nichts, der Client bekommt immer die Fehlermeldung, dass der Benutzer keine Einwählberechtigungen habe. Das Passwort ist hundertprozentig richtig, da ich mich mit diesem natürlich per Remotedesktop am Server anmelden kann.

Als Fehler im Windows-Ereignisprotokoll kommen folgende:

Ereignis-ID 20271

CoID=: Der Benutzer <Benutzername>, der eine Verbindung mit <unsere externe IP-Adresse> hergestellt hat, konnte sich aus folgendem Grund nicht authentifizieren: Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server zum Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden.

Ereignis-ID 20258

CoID={NA}: Das Konto für Benutzer \<Benutzername> (verbunden über Port VPN2-127) hat keine Remotezugriffsberechtigung. Die Verbindung wurde getrennt.

Ich habe schon diesen Artikel gefunden, woraufhin ich die beiden erwähnten Richtlinien, die auf "Zugriff verweigern" standen, auf "Zugriff gewähren" gestellt und in meiner Verzweiflung sogar Routing und RAS neu gestartet habe. Außerdem habe ich im AD-Benutzer auf der Registerkarte "Einwählen" probeweise die Netzwerkzugriffsberechtigung von "Zugriff über NPS-Netzwerkrichtlinien steuern" auf "Zugriff gestatten" gestellt, was aber auch nichts geholfen hat, deswegen habe ich das wieder zurück gestellt.

[Eye-Q]

Ich habe jetzt mal Routing und RAS neu installiert und konfiguriert, es ist genau das selbe.

Außerdem habe ich alle Sicherheitseinstellungen in der VPN-Verbindungen mal ausprobiert (Datenverschlüsselung Keine/Optional/Erforderlich/Maximale), auch das bringt nichts.

Kann es vielleicht sein, dass der Server die Einwahl ablehnt, weil er selbst auch ein Domänencontroller ist? Ich habe da gezielt nach gesucht, aber nicht gefunden, ob Routing und RAS beim 2008er-Server, der gleichzeitig DC ist, erlaubt ist oder von Vornherein zum Scheitern verurteilt ist.