Novell BorderManager 3.9 VPN Client für Windows - Readme

05. April 2007
1.0 Einleitung
2.0 Funktionen
2.1 XAuth-Authentifizierungsmodus
2.2 X.509-Zertifikatauthentifizierungsmodus
2.2.1 Zertifikatsabruf
2.2.2 Lokale Richtlinie
2.3 NMAS-Authentifizierungsmodus
2.4 NMAS LDAP-Authentifizierungsmodus
2.5 Abwärtskompatibilitätsmodus
2.6 Vorinstallierter Authentifizierungsmodus
2.7 Xauth-PSK-Modus
2.8 Xauth-Hybrid-Modus
2.9 VPN-Client in Novell Client integriert
2.10 Alle VPN-Clients für Windows-Plattformen verwenden NICI zur Verschlüsselung
2.10.1 NICI-Versionen
2.11 Auswahl von Einwähleinträgen
2.12 Automatische Erstellung von Novell VPN-Einwähleinträgen
2.13 Hinweis zum Passwortablauf
2.14 Richtlinie
2.15 Automatische Installation
2.16 Verteilung der Client-Konfiguration
3.0 In Version 3.9 behobene Probleme
4.0 Bekannte Probleme und Einschränkungen
5.0 Dokumentation
6.0 Konventionen in der Dokumentation
7.0 Aktualisierung von Dokumenten
8.0 Rechtliche Hinweise


1.0 Einleitung

Die Novell® BorderManager® VPN-Client-Software ermöglicht einer Arbeitsstation die sichere Kommunikation mit einem durch einen Novell-VPN-Server geschützten Netzwerk über das Internet.


2.0 Funktionen

Im Folgenden werden die neuen Funktionen von Novell BorderManager 3.9 VPN Client für Windows aufgeführt*:


2.1 XAuth-Authentifizierungsmodus

Client-Änderungen: Der Client unterstützt den Hybrid-Schlüssel und den vorinstallierten Schlüssel im Xauth-Authentifizierungsmodus.

Änderungen an der Client-Schnittstelle: Die Optionsfelder zur Auswahl des Authentifizierungsmodus wurden durch Dropdown-Felder ersetzt.


2.2 X.509-Zertifikatauthentifizierungsmodus

Der Novell BorderManager 3.9 VPN-Client stellt dem Benutzer ein X.509-Zertifikat zur Durchführung der Authentifizierung im IKE-Hauptmodus bereit. Das Zertifikat sollte auf die lokale Arbeitsstation kopiert werden (<Laufwerk>:\novell\vpnc\certificates\users) von der aus die VPN-Software auszuführen ist.


2.2.1 Zertifikatsabruf

Der VPN-Client unterstützt die Verwendung der Server-IP-Adresse anstelle des Baumnamens zum Abrufen des Zertifikats. Zum Zertifikatsabruf wird LDAP genutzt, um eine Client-Abhängigkeit zu vermeiden.


2.2.2 Lokale Richtlinie

Im X.509- und XAuth-Authentifizierungsmodus kann der Benutzer die IKE- und IPSEC-Parameter bereitstellen, indem er auf der Registerkarte "VPN" auf den Richtlinien-Editor klickt.


2.3 NMAS-Authentifizierungsmodus

Der Novell Modular Authentication Service (NMASTM) ist in den Novell VPN-Client integriert. NMAS arbeitet mit Novell Client zusammen. Installieren Sie Novell Client, um die NMAS-Funktionalität nutzen zu können.

Wählen Sie auf der Registerkarte "Konfiguration" die Option "NMAS" aus und geben Sie auf der Registerkarte "eDirectory" die NMAS-Benutzerinformationen und -berechtigungen ein. Geben Sie auf der Registerkarte "VPN" die IP-Adresse und NMAS-Sequenz des VPN-Servers ein (z. B. NDS/eDirectory, Universal Smart Card, einfaches Passwort).


2.4 NMAS LDAP-Authentifizierungsmodus

Wählen Sie "NMAS" und anschließend auf der Registerkarte "Konfiguration" das Feld "LDAP". Wechseln Sie zur Registerkarte "VPN" und geben Sie die IP-Adresse des VPN-Servers und den LDAP-Benutzer-DN ein (z. B. CN=Admin,O=Novell). Die LDAP-Methode öffnet ein Dialogfeld zur Eingabe der Berechtigungen.


2.5 Abwärtskompatibilitätsmodus

Wählen Sie auf der Registerkarte "Konfiguration" den Abwärtskompatibilitätsmodus aus. Geben Sie die eDirectory-Berechtigungen auf der Registerkarte "eDirectory" ein. In diesem Modus kann der Novell BorderManager 3.9-Client mit Novell BorderManager 3.8 kommunizieren. Die ActiveCard-Token-Authentifizierung ist aktiviert, wenn NMAS auf dem Client installiert ist. Die ActiveCard-Token-Authentifizierung funktioniert, wenn die ActiveCard-Token-Methode für den Benutzer in eDirectory konfiguriert ist. Auf der Registerkarte "VPN" sind die Berechtigungen für die ActiveCard-Token-Beglaubigung erforderlich.


2.6 Vorinstallierter Authentifizierungsmodus

Wählen Sie auf der Registerkarte "Konfiguration" den vorinstallierten Authentifizierungsmodus aus. Öffnen Sie die Registerkarte "VPN" und geben Sie das Passwort für den im VPN-Server konfigurierten vorinstallierten Schlüssel ein.


2.7 Xauth-PSK-Modus

Geben Sie die IP-Adresse des VPN-Servers, den Benutzernamen, das Passwort und den vorinstallierten Schlüssel ein. Der Benutzername muss im vollständigen DNS-Namensformat angegeben werden. Beispiel: user3.novlcontext.

Der vorinstallierte Schlüssel wird für die IKE phase1-Authentifizierung verwendet. Derselbe vorinstallierte Schlüssel sollte auch auf dem Server konfiguriert werden.

HINWEIS: Stellen Sie beim Herstellen einer Verbindung mit dem Novell BorderManager-Server im Richtlinieneditor den IKE-Modus auf den Hauptmodus ein und setzen Sie den Parameter "PFS=yes".


2.8 Xauth-Hybrid-Modus

Geben Sie die IP-Adresse des VPN-Servers, den Benutzernamen und das Passwort ein. Der Benutzer muss das dem Server entsprechende Zertifikat mit Herkunftsverbürgung kopieren.

HINWEIS: Der Xauth-Hybrid-Modus wird nur im aggressiven Modus unterstützt. Dieser Modus wird im Richtlinieneditor aktiviert.


2.9 VPN-Client in Novell Client integriert

Diese Novell VPN-Client-Version kann in Novell Client für Windows 98, Windows NT, Windows 2000, Windows XP Professional oder Windows XP Home integriert werden. Starten Sie den Computer nach der Installation des neuen VPN-Clients neu. Beim Neustart wird der VPN-Client in Novell Client integriert. Nach dem Neustart wird auf dem Novell-Anmeldebildschirm die Dropdown-Liste "Standort" angezeigt. Die Liste enthält sowohl den Standardeintrag als auch einen Eintrag für die VPN-Funktionen. Je nach auszuführender Operation können Sie einen beliebigen Standort wählen.

Vier neue Registerkarten stehen zur Verfügung, die in einer Service-Instanz durch Auswahl der Novell Client32-Eigenschaften konfiguriert werden können. Die vier Registerkarten bieten folgende Funktionalität:

  • Konfiguration: Ermöglicht die Auswahl des Authentifizierungsmechanismus für den VPN-Client, die Einwahl, die Novell-Anmeldung, die IPX-Option und den Starter zum Starten der Anwendung nach dem Herstellen der VPN-Verbindung.
  • VPN: Enthält die Berechtigungsnachweise für den auf der Registerkarte "Konfiguration" ausgewählten Authentifizierungstyp.
  • Einwählen: Ermöglicht das Herstellen einer Einwählverbindung. Diese Registerkarte wird auf der Registerkarte "Konfiguration" angezeigt, wenn die Einwählfunktion aktiviert ist.
  • VPN-Status: Zeigt den Status der VPN-Einwahl und -Authentifizierung an.

Novell Client ab Version 4.91 aktualisiert den NMAS-Client auf Version 3.0. Wenn der VPN-Client nach Novell Client installiert wird und Sie zum gleichen Zeitpunkt den NMAS-Client installieren, funktioniert NMAS nicht mit Novell Client 4.91. Gehen Sie wie folgt vor, um Novell Client 4.91 zu verwenden:

  • Installieren Sie den NMAS-Client nicht während der Installation des VPN-Client. Dadurch wird die neueste Version des NMAS-Client beibehalten.
  • Installieren Sie zuerst den Novell VPN-Client und anschließend den Novell Client 4.9 SP1 oder höher.


2.10 Alle VPN-Clients für Windows-Plattformen verwenden NICI zur Verschlüsselung

In dieser Version des VPN-Client für Windows 98, Windows NT, Windows 2000 und Windows XP wird die NICI-(128-Bit-)Verschlüsselung verwendet, da für NICI keine Exportbeschränkungen gelten.


2.10.1 NICI-Versionen

Der VPN-Client erfordert "Kernel-NICI" (NICI 1.7.0) für die kryptographischen Anforderungen der vptunnel.sys des Kernel-Moduls und "Benutzer-NICI" (NICI 2.6.0) für die kryptographischen Anforderungen von Benutzerplatzmodulen wie z. B. ikeapp.exe und vpnlogin.exe. Wenn NICI 1.7.0 (128-Bit-Version) nicht installiert ist, wird es vom VPN-Setup-Programm installiert. Diese Version von NICI überschreibt NICI 1.5.7 (56-Bit) oder NICI 1.5.3 (56/128-Bit), jedoch nicht NICI 2.6.0. Ist NICI 2.6.0 installiert, wird NICI 1.7.0 installiert und 2.6.0 bleibt vorhanden.


2.11 Auswahl von Einwähleinträgen

Unter Windows 98 und Windows Me können Sie Einwähleinträge jedes beliebigen Servertyps auswählen. In früheren Versionen (bei Novell BorderManager Enterprise Edition 3.0) war nur die Auswahl von Einwähleinträgen des Typs "Novell Virtual Private Network" möglich. Alle Einträge müssen so konfiguriert werden, dass sie nur TCP/IP-Verbindungen aushandeln. Wenn Sie den VPN-Client über das DFÜ-Netzwerk und nicht über VPNLogin.exe aufrufen möchten, muss der Einwähleintrag, den Sie für das DFÜ-Netzwerk auswählen, dem Servertyp "Novell Virtual Private Network" entsprechen. Andernfalls wird VPNLogin.exe nach dem Herstellen der Einwählverbindung nicht aufgerufen.

Unter Windows NT können Sie Einwähleinträge jedes beliebigen Servertyps auswählen. Unter Windows NT steht der Servertyp "Novell Virtual Private Network" in der DFÜ-Netzwerk-Auswahl nicht zur Verfügung.

Besteht eine Einwählanforderung, installieren Sie das DFÜ-Netzwerk vor dem VPN-Client.

Wenn Sie die Einwähleinträge über VPNLogin.exe auswählen, sollten Sie Einträge auswählen, die nicht die PPP-Komprimierung (Point-to-Point-Protokoll) aktivieren. Die Komprimierung verschlüsselter Daten führt zu unnötig erhöhter CPU-Belastung, wobei die Größe der versendeten Pakete jedoch nicht weiter verringert wird.

Installieren Sie das Modem und anschließend den VPN-Client.


2.12 Automatische Erstellung von Novell VPN-Einwähleinträgen

Während der Installation des VPN-Clients werden automatisch Novell VPN-Einwähleinträge erstellt, wenn Sie sich für die Verwendung von DFÜ-Netzwerk entscheiden.


2.13 Hinweis zum Passwortablauf

Bei der VPN-Client-Anmeldung wird der eDirectory-Benutzer benachrichtigt, wenn das eDirectory-Passwort des Benutzers abgelaufen ist und Kulanzanmeldungen verwendet werden. Der Benutzer hat außerdem die Möglichkeit, während der VPN-Client-Anmeldung das eDirectory-Passwort zu ändern. Der Zugriff auf diese Option ist auch über das VPN-Client-Symbol auf der Taskleiste möglich. Die Option zum Ändern des Passworts ist nur verfügbar, wenn der Benutzer in der VPN Client-Anwendung für die VPN/NetWare-Anmeldung eDirectory-Berechtigungen verwendet. Bei einer kontextlosen Anmeldung schlägt die Funktion "Passwort ändern" fehl. Hierfür sind ausschließlich eDirectory-Benutzerberechtigungen erforderlich.


2.14 Richtlinie

Die vom Administrator in eDirectory angegebene Richtlinie (Verkehrsregel) wird auf den Client angewandt. Ändert sich eine Richtlinie für einen bestimmten VPN-Benutzer während einer aktiven VPN-Sitzung, treten die Änderungen erst bei der nächsten Sitzung in Kraft.


2.15 Automatische Installation

Die Funktion zur automatischen Installation ermöglicht die Durchführung der Installation ohne Benutzereingaben. Bei Auswahl der Einwähloption müssen u. U. einige Schritte vom Benutzer ausgeführt werden, wenn auf der Arbeitsstation nicht alle DFÜ-Netzwerk- oder RAS-Komponenten installiert sind.

Um diese Funktion zu nutzen, führen Sie setup.exe mit einem Schalter zum Erstellen einer Antwortdatei aus, die die Antworten auf alle Fragen enthält, die in der Regel während der Installation gestellt werden. Da dies die Auswahl des Einwähl-Client, des LAN-Client oder beider Clients beinhaltet, müssen Sie möglicherweise mehrere Antwortdateien auf der Grundlage der Benutzeranforderungen erstellen.

Nach dem Erstellen der Antwortdatei können Sie setup.exe mit einem anderen Schalter ausführen, der die Verwendung der Antwortdatei veranlasst, sodass für die Installation nur wenige Eingriffe seitens des Benutzers erforderlich sind. Es gibt auch einen Switch, der eine Protokolldatei für die automatische Installation erstellt. Dieser kann zur Verifizierung einer erfolgreichen Installation oder zur Diagnose der Ursachen für eine fehlgeschlagene Installation verwendet werden. Nachfolgend finden Sie Beispiele zur Verwendung dieser Switches.

Automatische Installationen sind oft auf Arbeitsstationen erforderlich, auf denen unterschiedliche Windows-Versionen ausgeführt werden. Wurde Windows oder Novell Client von CD installiert, wird bei der Installation des VPN-Client nach diesen Installations-CDs gefragt. Da die Antworten auf die Eingabeaufforderungen bei der Installation von der installierten Windows-Version abhängen, erstellen Sie eine Antwortdatei, die den Benutzer bei Bedarf nach diesen Installations-CDs fragt.

So erstellen Sie diese Art von Antwortdatei:

  1. Führen Sie eine normale Installation des VPN-Client aus, ohne die Antwortdatei zu erstellen. Während der Installation werden Sie möglicherweise nach Windows- bzw. Novell Client-CD-ROMs gefragt. Fahren Sie wie gewöhnlich mit der Installation fort.

  2. Führen Sie nach dem Neustart noch einmal setup.exe aus und erstellen Sie die Antwortdatei. Bei dieser Neuinstallation werden Sie nicht nach den Windows- oder Novell Client-Installations-CDs gefragt. Die erstellte Antwortdatei kennt die Antwort also nicht, wenn bei der Benutzerinstallation nach der Windows- oder Novell Client-CD gefragt wird. Da in der Antwortdatei keine Antwort vorhanden ist, wird der Benutzer bei Bedarf nach den Windows- oder Novell-Client-CD-ROMs gefragt.

    Führen Sie die Installation auf einer Arbeitsstation ohne installierten VPN-Client im automatischen Modus aus, um zu überprüfen, ob die Antwortdatei funktioniert. Die Installationsprotokolldatei sollte ResultCode=0 anzeigen.

    Die automatische Installation kann nur mit setup.exe im Verzeichnis "disk1" ausgeführt werden. Die automatische Installation funktioniert nicht mit der selbstextrahierenden EXE-Datei. Die automatische Installation wird durch Ausführen von setup.exe im Verzeichnis "disk1" mit bestimmten Befehlszeilenoptionen aktiviert. Folgende Optionen sind für setup.exe verfügbar:

    -r - Installation ausführen und die Antwort umleiten.
    -s - Automatische Installation ausführen.

    Je nachdem, welche der beiden Optionen verwendet wird, können die Optionen "–f1" und "–f2" zum Festlegen der Dateinamen verwendet werden.

So verwenden Sie die automatische Installationsfunktion

  1. Erstellen Sie eine Antwortdatei, indem Sie von disk1 der VPN-Client-CD-ROMs aus folgenden Befehl eingeben:

    setup.exe -r -f1"<ANTWORTDATEI>"

    <ANTWORTDATEI> enthält den absoluten Pfad und Namen der Antwortdatei. Die Option -f1"<ANTWORTDATEI>" kann weggelassen werden. In solchen Fällen wird im Windows- oder WinNT-Verzeichnis eine Antwortdatei mit dem Namen SETUP.ISS erstellt.

    Beispiel,

    Zum Beispiel führt setup.exe -r -f1"c:\temp\setup.iss" die Installation aus und speichert die Eingabe in c:\temp\setup.iss

    Wenn die Switches "-f1" und "-f2" verwendet werden, darf vor dem Anführungszeichen kein Leerschritt stehen. Beispiel: -f1 "Dateiname" funktioniert nicht. -f1"dateiname" funktioniert.

  2. Führen Sie die Installation auf der Grundlage von zuvor erfassten Eingaben aus, indem Sie folgenden Befehl aus disk1 der VPN-Client-CD-ROMs eingeben.

    setup.exe -s -f1"<ANTWORTDATEI>" -f2"<PROTOKOLLDATEI>"

    wobei <ANTWORTDATEI> den absoluten Pfad und Namen der Antwortdatei und <PROTOKOLLDATEI> den absoluten Pfad und Namen der Protokolldatei enthält.

    Beispiel: setup.exe -s -f1"c:\temp\setup.iss" -f2".\setup.log" führt die Installation aus, übernimmt die Eingabe aus setup.iss im Verzeichnis c:\temp, und zeichnet das Ergebnis in der Datei setup.log im Verzeichnis, in dem auch setup.exe enthalten ist, aus.

  3. Verifizieren Sie den erfolgreichen Abschluss der automatischen Installation durch Überprüfen des Inhalts von setup.log. Es sollte der folgende Ergebnisabschnitt angezeigt werden:

    [ResponseResult]

    ResultCode=0

    Ein Wert von 0 für ResultCode zeigt, dass die Installation erfolgreich war. Ein von Null abweichender Wert weist auf Fehler hin. Die möglichen ResultCode-Werte sind:

    0 Erfolgreich.
    -1 Allgemeiner Fehler.
    -2 Ungültiger Modus.
    -3 Erforderliche Daten in der Datei "SETUP.ISS" nicht gefunden.
    -4 Nicht genügend Arbeitsspeicher verfügbar.
    -5 Die Datei ist nicht vorhanden.
    -6 In die Antwortdatei kann nicht geschrieben werden.
    -7 In die Protokolldatei kann nicht geschrieben werden.
    -8 Ungültiger Pfad zur InstallShield-Antwortdatei.
    -9 Kein gültiger Listentyp (Zeichenkette oder Nummer).
    -10 Ungültiger Datentyp.
    -11 Unbekannter Fehler während der Einrichtung.
    -12 Dialogfelder sind in einer anderen Reihenfolge angeordnet.
    -51 Der angegebene Ordner konnte nicht erstellt werden.
    -52 Zugriff auf die angegebene Datei bzw. den Ordner nicht möglich.
    -53 Ungültige Option ausgewählt.

    Der häufigste Installationsfehlercode ist -12. Die Fehlerbedingung zeigt in der Regel ein Dialogfeld mit einer Fehlermeldung an, die eine Benutzereingabe erfordert, z. B. die Kenntnisnahme des Fehlers durch Klicken auf "OK". Da diese Antwort nicht in der Antwortdatei vorhanden ist, wird während der automatischen Installation davon ausgegangen, dass die Dialogfelder der Antwortdatei in einer anderen Reihenfolge angeordnet sind. Daher wird die Fehlermeldung -12 angezeigt.

    Mit einer Stapeldatei kann der Vorgang der automatischen Installation noch weiter automatisiert werden. So können Sie beispielsweise die folgende Datei install.bat im DISK1-Unterverzeichnis erstellen: setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem. Hierbei wird vorausgesetzt, dass der VPN-Client aus c:\vpninst extrahiert wurde. rem. Er könnte sich in einem Netzlaufwerk oder in einem beliebigen anderen Verzeichnis befinden. Fügen Sie zwischen -f1 und dem Anführungszeichen keinen Leerschritt ein. Wird auf dem Desktop das Symbol zur VPN-Anmeldung angezeigt, starten Sie neu. Hiermit ist die VPN-Client-Installation abgeschlossen.


2.16 Verteilung der Client-Konfiguration

Enthält das Installationsverzeichnis "Disk1" des VPN-Client eine Datei namens "vpnconfig.txt", übernimmt das Installationsprogramm aus dieser Datei VPN-Server-Adressen, den Authentifizierungsmodus, NetWare-Server-IP-Adressen, NMAS-Squenzen, den eDirectory-Kontext, die Aktivierung oder Deaktivierung der eDirectory-Anmeldung usw. Das Programm aktualisiert daraufhin mit diesen Informationen die Registrierung.

Eine vpnconfig.txt-Beispieldatei finden Sie auf Disk1. Diese Datei können Sie an die Anforderungen Ihres Unternehmens anpassen.


3.0 In Version 3.9 behobene Probleme

  1. Bei der ersten Instanz einer VPN-Einwählverbindung wird der Datenverkehr nun über den VPN-Client geleitet.
  2. Ein Server trennt die Verbindung zu einem VPN-Client nicht nach sieben Stunden.
  3. Eine Einwählverbindung wird nicht getrennt, wenn die VPN-Verbindung bereits besteht und NWClient von der Taskleiste aus gestartet wird.
  4. Die DNS-Auflösung funktioniert nun auch in der französischen Umgebung.
  5. Windows stürzt auf einem Dell D820-Notebook nicht mehr ab, während große Dateien über FTP übertragen werden.
  6. Das Fenster der VPN-Einwählverbindung bleibt während der Anmeldung über NetWare GINA nicht mehr hängen, wenn der Benutzername oder das Passwort falsch ist.
  7. Der VPN-Client gibt eine Fehlermeldung aus, wenn der Server im Pool nicht mehr genügend IP-Adressen zur Verfügung hat.
  8. Die DNS-Informationen werden jetzt aktualisiert, wenn Sie versuchen, eine VPN-Verbindung mithilfe von Novell Client zum Zeitpunkt der anfänglichen Anmeldung bei Windows herzustellen.
  9. Wenn Sie ein Notebook mit Windows XP SP2 ausschalten, während eine VPN-Verbindung besteht, gibt der VPN-Client keine Fehlermeldung mehr in der Datei "net.exe" aus.
  10. Das Kontrollkästchen "Eigene Richtlinie verwenden" funktioniert nun im Novell BorderManager VPN-Client.
  11. Die VPN-Anmeldung schlägt bei Verwendung eines internen Modems nicht mehr fehl.
  12. Eine Einwählverbindung funktioniert jetzt bei Verwendung des Novell Client für die VPN-Anmeldung.
  13. Novell BorderManager VPN Client kann jetzt eine Verbindung mit einem BorderManager-Server mit eDirectory 8.8 herstellen.
  14. Es wird eine Liste häufig verwendeter Methoden/Auswahlmöglichkeiten für die NMAS-Authentifizierung bereitgestellt.
  15. Nun wird auch Windows 2003 unterstützt.
  16. Vom VPN-Client verwendete DNS-Server-Adressen werden jetzt in der DNS-Registrierung übernommen.
  17. Der VPN-Client trennt automatisch die Verbindung, wenn das System in den Standbymodus wechselt.
  18. Bei einer automatischen Installation des VPN-Client werden zu beliebigen Zeitpunkten Meldungen zum Status der Software-Installation angezeigt.
  19. Erhält der Client vom Server DA-Informationen und wird die Arbeitsstation mittels ACPI neu gestartet oder stürzt diese ab, verbleiben die DA-Informationen nicht mehr in der Client-Konfiguration und die alten DA-Informationen werden nicht wiederhergestellt.
  20. Versucht ein ursprünglich auf DS 7.x erstellter Benutzer, eine Verbindung mit einem Client-to-Site-VPN mit Abwärtskompatibilitätsmodus herzustellen, tritt kein Fehler mehr auf.
  21. Der VPN-Client speichert jetzt das Einwählpasswort.
  22. Der VPN-Client bietet jetzt eine Option zum Abrufen unterstützter NMAS-Methoden vom Server.
  23. Fährt der Benutzer den Client-Computer nach der Verbindungsherstellung herunter, tritt kein IPCONFIG-Fehler mehr auf und die Fehlermeldung "Socket Notification Sink" wird nicht mehr angezeigt.
  24. Bei Verwendung des VPN-Standortprofils auf Novell Client erscheint jetzt der Cursor im korrekten Feld (Benutzername/Passwort).
  25. Die Zeitüberschreitung für das IKE NAT Keep-Alive beträgt jetzt 60 Sekunden. Die Sekundenangabe kann in der Windows-Registrierung wie folgt geändert werden: Erstellen Sie unter "HKLM\Software\Novell\VPN\Current" einen Schlüssel namens "IKE NAT KeepAlive Time" und geben Sie den gewünschten Wert an.
  26. Die bei der fehlerhaften NMAS-Authentifizierung angezeigten Fehlermeldungen sind jetzt korrekt.
  27. FTP schlägt bei Windows XP Professional SP2 nicht mehr fehl, wenn eine VPN-Verbindung besteht.
  28. Das Einwählbenachrichtigungsproblem wurde mit dem UMTS-Einwähladapter behoben.


4.0 Bekannte Probleme und Einschränkungen

  1. IPX-Unterstützung über den VPN-Client unter Windows 2000 und Windows XP, XP Home Edition und Windows ME ist nicht verfügbar.
  2. Wenn Sie den Computer aktualisieren, und der VPN -Client 3.7 oder früher bereits installiert ist, müssen Sie diese VPN-Clientsoftware von der Arbeitsstation entfernen und auf das neue Betriebssystem aktualisieren. Installieren Sie den VPN-Client nach dem Aktualisieren noch einmal.
  3. Eingeschränkte Benutzer können unter Windows 2000 und Windows XP den VPN-Client nicht verwenden, da diese Benutzer nicht berechtigt sind, den Abschnitt KEY_LOCAL_MACHINE der Registrierung zu aktualisieren. Standardbenutzer und Administratoren können den VPN-Client verwenden.
  4. Der Novell IP-Gateway-Client kann nicht zusammen mit dem VPN-Client verwendet werden. Deaktivieren Sie die Verwendung der Novell IP-Gateway-Komponente durch den Client, bevor Sie sich mit der VPN-Client-Software in ein VPN einwählen. Die Gateway-Komponente des Client kann über die Auswahl "Eigenschaften" unter "Netzwerk" deaktiviert werden.
  5. Wenn sich Ihr VPN-Server hinter einer Firewall befindet, müssen Sie die Firewall so konfigurieren, dass Sie folgenden Datenverkehr durchlässt (eingehend und abgehend):
    TCP-Anschluß 353
    UDP-Anschluß 353
    UDP-Anschluß 2010
    UDP-Anschluss 500
    UDP-Anschluss 4500
    IP-Protokoll-ID 57
    IP-Protokoll-ID 50
    IP-Protokoll-ID 51

    Wenn der VPN-Server Ihre Firewall darstellt, sind die Ausnahmefilter bereits so konfiguriert, dass sie diesen Datenverkehr durchlassen. Während der VPN-Konfiguration müssen Filter aktualisiert werden.

  6. Wenn Sie den VPN-Client zusammen mit dem Novell-Client verwenden, müssen Sie sich vor dem Trennen der Verbindung zum VPN-Server von NetWare abmelden, unabhängig davon, ob Sie ausschließlich eine IP-Verbindung oder eine IP-Verbindung zusammen mit einer IPX-VPN-Verbindung verwenden. Andernfalls werden Ihre NetWare-Verbindungen nicht bereinigt und Sie erreichen die Höchstzahl zulässiger gleichzeitiger Anmeldungen möglicherweise bereits nach mehreren Versuchen zur Verwendung des VPN.
  7. Für die NMAS-Authentifizierung wird die Zugriffsberechtigung nicht unterstützt.
  8. NMAS 2.3.2 funktioniert nicht unter Windows ME. Wenn Sie NMAS benötigen, installieren Sie NMAS 2.1 manuell, und fahren Sie fort.
  9. Die Unterstützung der Novell NDS-Anmeldung am Server und die Passwortänderung sind nicht verfügbar, da Novell Client unter Windows ME nicht unterstützt wird.
  10. Wird der VPN-Client vor dem Novell Client installiert, wird er nicht in den Novell Client integriert. Ist dies der Fall, führen Sie regvpn im Verzeichnis WINSYS aus.
  11. Unterscheidet sich die NMAS-Sequenz auf dem Novell Client von der NMAS-Sequenz auf dem VPN-Client, ist die Anmeldung am NetWare-Server mit dem VPN-Client u. U. nicht möglich.
  12. Die Novell-Anmeldung mit dem VPN-Client am NetWare-Server ist nur möglich, wenn der VPN-Server und der NetWare-Server im selben Baum enthalten sind.
  13. Ist Kernel NICI 1.7.0 bereits auf einer Windows 98-Arbeitsstation installiert, sollten Sie Kernel NICI 1.7.0 vor der Installation des VPN-Client deinstallieren.
  14. In NMAS 2.3.2 funktioniert die USC-Authentifizierungsmethode möglicherweise nicht. Mögliche Lösung: Löschen Sie in der Windows-Registrierung die Einstellung local/machine/software/Novell/NMAS/1.0/IDIDDLLPath. Nachdem diese Registrierungseinstellung geändert wurde, wird die Benutzer-ID von der Karte nicht verwendet, sondern der Benutzer wird zur Eingabe der Benutzer-ID aufgefordert.
  15. Ein VPN-Client und der Nortel Contivity VPN-Client (NOMAD 2.1) können nicht gleichzeitig auf einer Arbeitsstation vorhanden sein. Falls Sie versuchen, beide Komponenten auf demselben Computer zu installieren, geht die IP-Konfiguration auf der Arbeitsstation möglicherweise verloren oder einer der Clients wird nicht ordnungsgemäß deinstalliert.
  16. Die automatische Installation des VPN-Client von einem zugeordneten Laufwerk oder von Novell Application Launcher (NAL) ist eventuell nicht möglich. Kopieren Sie den Ordner DISK1 auf den lokalen Computer, und führen Sie die Installation dort aus. Sie können auch den Ordner DISK1 mit InstallShield oder Winzip komprimieren und ihn von einem zugeordneten Laufwerk oder NAL aus ausführen.
  17. Die VPN-Client-Funktion zum Ändern des Kennworts ist in Novell Client 4.9 und höher möglicherweise nicht verfügbar.
  18. Bei der Anmeldung am VPN-Server steigt die Prozessorauslastung möglicherweise auf 100 Prozent. Ist der Prozessor bereits zu 80 oder 90 % ausgelastet, schlägt die VPN-Authentifizierung möglicherweise fehl.
  19. Der Client-Computer reagiert bei der Authentifizierung für den VPN-Server auch bei heruntergefahrenem VPN-Server nicht mehr auf andere Pakete.
  20. Im XAUTH-Modus erfolgt keine Neuverschlüsselung des VPN-Client mit Drittanbieter-Servern wie Openswan. Sie sollten eine große Zeitspanne für die IKE SA-Neuverschlüsselung im VPN-Client festlegen.


5.0 Dokumentation

Lesen Sie die folgenden Dokumente auf der Dokumentations-Website von Novell, wenn Sie genauere Informationen zu Novell BorderManager 3.9 Client benötigen:


6.0 Konventionen in der Dokumentation

In dieser Dokumentation trennt das Größer-als-Zeichen (>) Aktionen innerhalb eines Schritts und Elemente in einem Querverweispfad voneinander.


7.0 Aktualisierung von Dokumenten

Die neuesten Dokumentationen und Readmes zu Novell BorderManager 3.9 Client unter Linux finden Sie auf der Dokumentations-Website von Novell.


8.0 Rechtliche Hinweise

Novell, Inc. übernimmt für Inhalt oder Verwendung dieser Dokumentation keine Haftung und schließt insbesondere jegliche ausdrücklichen oder impliziten Gewährleistungsansprüche bezüglich der Marktfähigkeit oder Eignung für einen bestimmten Zweck aus. Novell, Inc. behält sich das Recht vor, dieses Dokument jederzeit teilweise oder vollständig zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen davon in Kenntnis zu setzen.

Novell, Inc. gibt ebenfalls keine Erklärungen oder Garantien in Bezug auf Novell-Software und schließt insbesondere jegliche ausdrückliche oder stillschweigende Garantie für handelsübliche Qualität oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc. das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.

Alle im Zusammenhang mit dieser Vereinbarung zur Verfügung gestellten Produkte oder technischen Informationen unterliegen möglicherweise den US-Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer Länder. Sie stimmen zu, alle Gesetze zur Exportkontrolle einzuhalten, und alle für den Export, Reexport oder Import von Lieferungen erforderlichen Lizenzen oder Klassifikationen zu erwerben. Sie erklären sich damit einverstanden, nicht an juristische Personen, die in der aktuellen US-Exportausschlussliste enthalten sind, oder an in den US-Exportgesetzen genannte terroristische Länder oder Länder, die einem Embargo unterliegen, zu exportieren oder zu reexportieren. Sie stimmen zu, keine Lieferungen für verbotene nukleare oder chemisch-biologische Waffen oder Waffen im Zusammenhang mit Flugkörpern zu verwenden. Weitere Informationen zum Exportieren von Novell-Software finden Sie auf der Webseite Novell International Trade Services. Novell übernimmt keine Verantwortung für das Nichteinholen notwendiger Exportgenehmigungen.

Copyright © 1997-2007 Novell, Inc. Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Herausgebers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden. Novell, Inc. besitzt gewerbliche Schutzrechte für die Technologie, die in dem in diesem Dokument beschriebenen Produkt integriert ist. Diese Rechte auf geistiges Eigentum umfassen möglicherweise insbesondere ein oder mehrere Patente in den USA, die auf der Novell-Webseite Novell Legal Patents aufgeführt sind, sowie ein oder mehrere andere Patente oder laufende Patentanträge in den USA und in anderen Ländern

Novell-Marken finden Sie in der Liste der Novell-Marken.

Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern.