Здравствуйте.
Имеется небольшая сеть с двумя серверами Windows Server 2003 r2 sp2.
Один - контролер домена (+dns, dhcp), второй - файл-сервер, сервер приложений, впн + центр сертификации (локальный).
Сертификаты используются только для подключения по впн с использованием е-токенов.
Недавно начали истекать сроки действия сертификатов для смарт-карт, сертификаты перевыпускаю, заливаю на е-токены, а вот подключиться с их помощью не получается. При этом если просто подключаться по именам-паролям пользователей - все Ок. На клиенте при подключении с е-токеном в журнале создается запись об ошибке 20227 (http://technet.microsoft.com/en-us/library/cc733854(WS.10).aspx).
Т.к. связь просто по имени-логину устанавливается, то проблема похоже с аутентификацией, но куда копать?
Подскажите, если кто сталкивался или просто мысли есть?

действия сертификатов для смарт-карт, сертификаты перевыпускаю, заливаю на е-токены »
Опишите как выполняете перевыпуск сертификата.

Через веб-интерфейс -> запрос сертификата -> расширенный запрос -> запрос для смарт-карты от имени другого пользователя

токен вставлен в usb , сертификат на него заливается нормально

при попытке подключения в журнале на сервере создается запись, что пользователь подключен, но не прошел проверку подлинности, поскольку полученное сообщение не полно (id 20189 и 20014), что странно при подключении из-под ХР выдается сообщение, что получен сертификат с истекшим сроком действия, хотя все сертификаты действующие...

(прошу прощения, что пропал - болел)

токен вставлен в usb , сертификат на него заливается нормально »
Старый сертификат вы удаляете перед тем как залить новый?

Да, токен даже инициализировал по новой

Покажите скрин eToken PKI Client->Устройства->eToken->Сертификаты пользователей.

после инициализации сертфикат ЦС на токен перезаливал

Вот скрин, сорри, что замазал - слабо понимаю, что там может быть важно, а что нет

http://narod.ru/disk/20605465001/Untitled.png.html

Так. что-то не получается, тогда вот так просто:
http://narod.ru/disk/20605465001/Untitled.png.html

http://Pkdvs.narod.ru/Untitled.png

вот, вроде получилось

поскольку полученное сообщение не полно (id 20189 и 20014), »
Покажите полное описание ошибок.

Это предупреждения:

Тип события: Предупреждение
Источник события: RemoteAccess
Категория события: Отсутствует
Код события: 20189
Дата: 02.08.2011
Время: 8:48:34
Пользователь: Н/Д
Компьютер: SERVER-B
Описание:
Пользователь "KoD@domainname.local", подключен с 79.111.41.61, но не прошел проверку подлинности, поскольку Полученное сообщение неполно. Подпись не проверена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".



Тип события: Предупреждение
Источник события: RemoteAccess
Категория события: Отсутствует
Код события: 20014
Дата: 02.08.2011
Время: 8:48:34
Пользователь: Н/Д
Компьютер: SERVER-B
Описание:
Пользователь "KoD@domainname.local" подключился, но не прошел проверку подлинности на порте "VPN3-4". Связь была отключена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

SERVER-B является контроллером домена или рядовой сервер?
не прошел проверку подлинности, поскольку Полученное сообщение неполно. Подпись не проверена. »
Была такая ошибка когда сертификат сервера с ролью IAS был просрочен.
Посмотрите следующее:
1. Не просрочен ли сертификат выданный серверу SERVER-B.
2. Установлен ли на сервере SERVER-B сертификат доверенного корневого ЦС.

SERVER-B - рядовой + сервер приложений + днс + впн

Вы правы - истек срок действия сертификата выданный для SERVER-B. Осталось понять, как его перевыпустить

Установлен ли на сервере SERVER-B сертификат доверенного корневого ЦС. »

Установлен.

Вы правы - истек срок действия сертификата выданный для SERVER-B. Осталось понять, как его перевыпустить »
На сервере SERVER-B: Пуск->Выполнить->mmc->Добавляем остнастку Сертификаты для учетной записи компьютера->Выбираем просроченный сертификат щелкаем правой->Все задачи->Обновить сертификат с новым ключем.

Telepuzik,
Благодарю, сертификат перевыпустить удалось, вечером проверю подключение - по итогам отпишусь

Подключиться по-прежнему не удается, записи в журналах те же...

+ впн »
VPN через RRAS настроен?

VPN через RRAS настроен? »
Да

Да »
В настройках протокола аутентификации указали новый сертификат сервера?

Telepuzik,
Да, в проверке подлинности eap указан свежий сертификат