Windows VPN mit speziellem Zertifikat auf Smartcard

#1 Hallo,

ich habe ein Windows VPN eingerichtet, L2TP-Tunnel und IPSec-Verschlüsselung. Die Authentifizierung des Benutzers läuft über ein Zertifikat einer Smartcard.
Ein Domain Controller, drei Clients. der Zugriff auf den DC erfolgtvon einem Client aus über VPN mit Smartcardauthentifizierung.

Was mich ärgert ist folgendes.

Windows verlangt anscheinend immer ein Zertifikat, welches die Attribute bzw. Anwendungsrichtlinien Clientauthentifizierung (OID: 1.3.6.15.5.7.3.2) und Smartcardanmeldung (OID: 1.3.6.1.4.1.311.20.2.2) besitzt.

Ich kann nicht sagen, ob dies ein Standardverhalten ist oder nicht.
Unter Routing und RAS habe ich eine RAS-Richtlinie erstellt und möchte nun, dass für eine VPN-Verbindung der Benutzer ein spezielles Zertifikat besitzt, und nur dieses zur Authetifizierung genutzt wird.

Ich habe eine Zertifikatvorlage erstellt und eine benutzerdefinierte Anwendungsrichtlinie definiert. Diese hat eine automatische OID zugewiesen bekommen.
In der RAS-Richtlinie habe ich nun das Einwählprofil bearbeitet und das Attribut Allowed-Certificate-OID hinzugefügt. Hier habe ich die OID meiner benutzerdefinierten Anwendungsrichtlinie angegeben, die im Zertifikat enthalten sein soll, damit der Benutzer für einen VPN-Zugriff authentifiziert werden kann.
Das Ziel ist, dass der Benutzer ein Zertifikat vorlegen muss, dass diese spezielle Anwendungrichtlinien-OID besitzt (oft auch als erweiterte Schlüsselverwendung bezeichnet). Somit wird neben der OID für die Clientauthentifizierung eben diese benutzerdefinierte Anwendungsrichtlinien-OID zusätzlich verlangt. Damit kann man bewirken, dass ein Benutzer, auch wenn er bereits ein Zertifikat besitzt, welches die OID CLientauthentifizierung enthält, sich nicht mit diesem über VPN authentifizieren kann. Er brauch ein Zertifikat mit dieser speziellen Anwendungsrichtlinien OID.

Mein Problem ist folgendes:

Nach dem ich der RAS-Richtlinie das Attribut Allowed-Certificate-OID hinzugefügt habe und dir die OID meiner benutzerdefinierten Anwendungsrichtlinie dort eingetragen habe (diese wurde automatisch erstellt)
und anschließend einen Zugriff über VPN auf meinen Server starte, schlägt die Authentifizierung fehl. Natürlich mit einer Fehlermeldung, die alles andere als aussagekräftig ist.

Füge ich unter Allowed-Certificate-OID zu meiner automatisch erstellten OID noch die OID für die Clientauthentifizierung hinzu, klappt es wieder.

Lösche ich das Zertifikat, welches ich für die VPN-Authentifizierung nutze, funktioniert die Anmeldung immer noch. Das bedeutet die RAS-Richtlinie kümmert sich nicht um das speziell von mir für die VPN-Authentifizierung erstellte Zertifikat sondern nimmt einfach das Zertifikat für die Smartcardanmeldung (welches ich für ein Domänenlogin verwende). Das Zertifikat für die Smartcardanmeldung enthält ja die Clientauthentifizierung-OID.

Meine Frage an Euch ist, ob jemand sich damit auskennt, und mir helfen kann.

Kann ich die Verwendung meines eigenen VPN-Zertifikats für eine Authentifizierung erzwingen? Über die OID im Attribut Allowed-Certificate-OID der RAS-Richtlinie funktioniert es jedenfalls nicht. Diese OID missfällt ihm so sehr, dass ich mich nicht authentifizieren kann. Was läuft denn da schief?
Ich habe alles nach der Anleitung des Buchs von Brian Komar mit dem Namen: Microsoft Windows Server 2003 PKI und Zertifikatsicherheit eingerichtet und es klappt ja auch, jedoch nicht mit meiner benutzerdefinierten Anwendungsrichtlinien-OID im VPN-Zertifikat.

würde mich freuen, wenn mir jemand helfen kann, der das Problem kennt.
Danke im Voraus...