Bekannte Einschränkungen der NCP Secure Software

Die im folgenden beschriebenen bekannten Einschränkungen der NCP Secure Software gelten, sofern nicht ausdrücklich unterschieden wird, für alle unterstützten Betriebssysteme.

Inhalt:

1. Konfigurieren der IPSec-Kompression
2. Installation der Gina-DLL
3. Benutzer anmelden und abmelden unter Windows XP
4. Das Zusatzprogramm NCP Client Tracer
5. Zuweisung von IP Pool-Adressen
6. Automatische Medienerkennung
7. Probleme im Betrieb mit AVM WLAN Stick
8. Update über Netzlaufwerk
9. Fehlerhafte Registry-Einträge
10. Fehlerhafter Verbindungsaufbau mit WLAN-Profil
11. Keine WLAN-Verbindung mit EAP / TLS
12. Fehlstart der "externen Anwendung"
13. Filterregel, die keinen automatischen Verbindungsaufbau zulässt
14. Firewall und automatischer Verbindungsaufbau in der Client-Konfiguration
15. Kommunikation über Anwendung (Browser, Port 80) wird von Firewall geblockt

Die in der IPSec-Policy konfigurierten Verschlüsselungsarten können nur einzeln komprimiert werden. Dazu muss unter die zu komprimierende Verschlüsselungsart eine Dummy-Zeile eingefügt werden. Für diese Zeile wird anschließend das Protokoll auf "Comp" gesetzt. Die dann in dieser Zeile angezeigte IPSec-Kompression gilt dann nur für die Verschlüsselung der darüberliegenden Zeile.

Ist eine Gina-Dll eines anderen Herstellers bereits geladen, welche vor der NCP Windows-Anmeldung gestartet wird, muss diese vor der Installation des NCP Secure Clients deaktiviert werden. Andernfalls muss der Verweis auf die NCP-Gina.Dll manuell im Registry-Eintrag des anderen Herstellers geändert werden. (NCPGINAx.DLL -> NCPGINA1.Dll)

Achtung:
Wird das System auf eine nicht vorhandene Gina-Dll verwiesen, kann des System nicht mehr gestartet werden (Blue Screen).

1. Anmelden und Wechseln
Windows XP/Vista bietet die Möglichkeit, einen Benutzer zu wechseln. In diesem Fall werden im Windows Start-Menü entsprechend mehr Benutzer angelegt, die alle angemeldet sein können.

2. Abmelden und neuen Benutzer anmelden
Wenn sich ein Benutzer im Windows Start-Menü abmeldet, und gleichzeitig war kein weiterer Benutzer angemeldet, so wird der Benutzer-Account gelöscht und nach einem neuen Benutzer gefragt.

Bitte beachten Sie, dass die Option eines Benutzerwechsels (siehe 1.) nicht von der NCP Secure Client Software unterstützt wird!

Abhilfe:
Ein Benutzerwechsel ist im Rahmen der An- und Abmeldeprozedur (siehe 2.) möglich.

Um einen Trace protokollieren zu können, ist es möglich die Log-Daten des Zusatzprogramms NCP Client Tracer in einem Logfile zu speichern. Der Dateiname ist frei wählbar und trägt die Endung LOG.

Bitte beachten Sie unbedingt, dass das Trace-Programm Sie nicht informiert, wenn Sie eine bereits bestehende LOG-Datei überschreiben!

Wählen Sie bei der Speicherung neuer Traces unbedingt neue Namen für die LOG-Dateien!

Wenn vom NCP Secure Server keine freien Pool-Adressen mehr vergeben werden können, kann auch kein Verbindungsaufbau durch einen weiteren Client mehr erfolgen. Aus Sicherheitsgründen wurde darauf verzichtet, eine entsprechende Meldung an den Client zu schicken, dessen Verbindungswunsch deswegen abgewiesen wird. Der NCP Secure Client zeigt aus diesem Grund keine Meldung zum Verbindungsaufbau im grafischen Statusfeld.

Wenn Link-Profile für die "automatische Medienerkennung" konfiguriert werden, ist es zwingend erforderlich, dass für alle diese Profile ein (NAS-)Passwort eingegeben wird, andernfalls kommt der Verbindungsaufbau nicht zustande.

Wird mit dem Client ein AVM WLAN Stick mit WPA2-Verschlüsselung eingesetzt, so kann es unter den Windows 64-Bit Betriebssystemen XP und Vista zum Einfrieren (Programmabsturz) des Client Monitors kommen, wenn der Verbindungsaufbau (WLAN-Strecke und VPN-Tunnel) bei aktiver Link Firewall mehrmals hintereinander erfolgte. Das Betriebssystem muss neu gestartet werden.

Ein Update des Secure Clients ist mit der Option "Firewall bei gestopptem Client weiterhin aktivieren" (Firewall-Einstellungen / Optionen) nicht möglich. Diese Option muss vor einem Update zuerst deaktiviert werden.

Bei einem Update oder einer erneuten Installation können falsche Registry-Einträge zu Fehlern führen. Die daraufhin erscheinende Meldungsbox ist mit einem OK zu schließen, wodurch die Fehler behoben werden. Anschließend muss das System erneut gestartet werden. Danach muss der Installations- oder Update-Vorgang erneut ausgeführt werden.

Wird die Verbindung eines WLAN-Profils zu einem Access Point getestet indem in schnellem Wechsel die Buttons für Verbinden und Trennen gedrückt werden, so kann es zu einem fehlerhaften Verbindungsaufbau kommen.

EAP/TLS wird zur Zeit nicht für WLAN-Verbindungen unter Windows Vista und Windows 7 unterstützt.

Nachdem Sie die Funktion "Externe Anwendungen oder Batch-Dateien starten" selektiert haben, können Sie über den Button mit "Hinzufügen" eine Anwendung oder Batch-Datei vom Rechner selektieren, die je nach Startoption geladen wird.

Zusätzlich können diese auszuführenden Anwendungen auch an ein bestimmtes Profil gebunden werden. Dieses Profil kann aus der Liste der bereits verfügbaren Profil-Einstellungen selektiert werden, nachdem Sie den Button mit "Hinzufügen" oder "Bearbeiten" angeklickt haben.

Die Funktion schlägt jedoch fehl und die externe Anwendung wird nicht gestartet, wenn im Profilnamen Kommas vorkommen! Achten Sie deshalb darauf, dass in dem Namen des selektierten Profils kein Komma vorkommt!

Wird in der Firewall eine Regel generiert, die einen automatischen Verbindungsaufbau ausschließt, dann können über eine Verbindung vom Client zur Gegenstelle keine Daten fließen, wenn in den Profil-Einstellungen des Clients unter der Rubrik "Verbindungssteuerung" die Art des Verbindungsaufbaus auf "automatisch" oder "wechselnd" gesetzt wurde.

Abhilfe:
Entweder Firewall-Regel dahingehend ändern, dass der automatische Verbindungsaufbau nicht ausgeschlossen wird, oder in der Client-Konfiguration "manuellen" Verbindungsaufbau einstellen.

Wird in der Firewall eine Regel generiert, die nur Datenverkehr über "bekannte" Netze und/oder VPN-Netze zulässt, so kann kein automatischer Verbindungsaufbau erfolgen, auch wenn dies in der Konfiguration des Clients (Profil-Einstellungen) unter der Rubrik "Verbindungssteuerung" so eingestellt wurde.

Abhilfe:
Entweder in der Firewall-Regel auch den Datenverkehr über "unbekannte Netze" zulassen, oder in der Client-Konfiguration den Verbindungsaufbau auf "manuell" setzen.

Die Kommunikation über eine Anwendung (Browser, Port 80) kann von der Firewall geblockt werden, wenn:
1. ein Virenscanner aktiv ist, der nach dem Prinzip der Content Security arbeitet.
2. in der Firewall eine anwendungsabhängige Regel für einen Browser über Port 80 eingerichtet wurde.

Abhilfe:
1. Virenscanner deaktivieren.
2. Bei Verwendung von nur einem Browser kann die Aktivität des Virenscanners gestattet werden, indem seine Exe-Datei in der anwendungsabhängigen Regel eingetragen wird. (Über diese Regel wird jeder Browser berechtigt, eine Internet-Verbindung aufzubauen.)