Problembehandlung bei Always On VPN

Dieser Artikel enthält Anweisungen zur Überprüfung und Problembehandlung Always On VPN-Bereitstellung.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Wenn Ihr Always On VPN-Setup (Virtual Private Network) keine Verbindung zwischen Clients und Ihrem internen Netzwerk herstellt, ist möglicherweise eines der folgenden Probleme aufgetreten:

• Das VPN-Zertifikat ist ungültig.
• Die NPS-Richtlinien (Network Policy Server) sind falsch.
• Probleme mit Clientbereitstellungsskripts oder Routing und Remotezugriff.

Der erste Schritt bei der Problembehandlung und dem Testen Ihrer VPN-Verbindung besteht darin, die Kernkomponenten der Always On VPN-Infrastruktur zu verstehen.

Sie können Verbindungsprobleme auf verschiedene Arten beheben. Für clientseitige Probleme und allgemeine Problembehandlungen sind die Anwendungsprotokolle auf Clientcomputern von unschätzbarem Wert. Bei Authentifizierungsspezifischen Problemen kann das NPS-Protokoll auf dem NPS-Server Ihnen helfen, die Ursache des Problems zu ermitteln.

Allgemeine Problembehandlung bei problemen mit Always On VPN-Verbindungen

Always On VPN-Clients durchlaufen mehrere Schritte, bevor Sie eine Verbindung herstellen. Daher gibt es mehrere Stellen, an denen Verbindungen blockiert werden können, und manchmal ist es schwierig, herauszufinden, wo das Problem liegt.

Wenn Probleme auftreten, finden Sie hier einige allgemeine Schritte, die Sie ausführen können, um herauszufinden, was vor sich geht:

• Führen Sie einen Whatismyip-Scan aus, um sicherzustellen, dass Ihr Vorlagencomputer nicht extern verbunden ist. Wenn der Computer über eine öffentliche IP-Adresse verfügt, die nicht Zu Ihnen gehört, sollten Sie die IP-Adresse in eine private ip-Adresse ändern.
• Wechseln Sie zu Systemsteuerung>Network and Internet>Network Connections, öffnen Sie die Eigenschaften für Ihr VPN-Profil, und überprüfen Sie, ob der Wert auf der Registerkarte Allgemein öffentlich über DNS aufgelöst werden kann. Andernfalls ist wahrscheinlich der RAS-Server oder VPN-Server, der nicht in eine IP-Adresse aufgelöst werden kann, die Ursache des Problems.
• Öffnen Sie das Internet Control Message Protocol (ICMP) für die externe Schnittstelle, und pingen Sie den VPN-Server vom Remoteclient aus. Wenn der Ping erfolgreich ist, können Sie die ICMP-Zulassungsregel entfernen. Andernfalls verursacht ihr VPN-Server, auf den nicht zugegriffen werden kann, wahrscheinlich das Problem.
• Überprüfen Sie die Konfiguration für die internen und externen NICs auf Ihrem VPN-Server. Stellen Sie insbesondere sicher, dass sie sich im selben Subnetz befinden und dass die externe NIC eine Verbindung mit der richtigen Schnittstelle in Ihrer Firewall herstellt.
• Überprüfen Sie die Clientfirewall, die Serverfirewall und alle Hardwarefirewalls, um sicherzustellen, dass sie UDP 500- und 4500-Portaktivitäten über zulassen. Wenn Sie UDP-Port 500 verwenden, stellen Sie außerdem sicher, dass IPSEC nicht überall deaktiviert oder blockiert ist. Andernfalls verursachen die Ports, die nicht vom Client zur externen VPN-Serverschnittstelle geöffnet sind, das Problem.
• Stellen Sie sicher, dass der NPS-Server über ein Serverauthentifizierungszertifikat verfügt, das IKE-Anforderungen verarbeiten kann. Stellen Sie außerdem sicher, dass Ihr NPS-Client über die richtige VPN-Server-IP in den Einstellungen verfügt. Sie sollten sich nur mit PEAP authentifizieren, und die PEAP-Eigenschaften sollten nur die Zertifikatauthentifizierung zulassen. Sie können im NPS-Ereignisprotokoll nach Authentifizierungsproblemen suchen. Weitere Informationen finden Sie unter Installieren und Konfigurieren des NPS-Servers.
• Wenn Sie eine Verbindung herstellen können, aber keinen Zugriff auf das Internet oder lokales Netzwerk haben, überprüfen Sie ihre DHCP- oder VPN-Server-IP-Pools auf Konfigurationsprobleme. Stellen Sie außerdem sicher, dass Ihre Clients diese Ressourcen erreichen können. Sie können den VPN-Server verwenden, um Anforderungen weiterzuleiten.

Allgemeine Problembehandlung für VPN_Profile.ps1 Skriptprobleme

Die häufigsten Probleme beim manuellen Ausführen des VPN_Profile.ps1 Skripts sind:

• Wenn Sie ein Remoteverbindungstool verwenden, stellen Sie sicher, dass Sie das Remotedesktopprotokoll (RDP) oder andere Remoteverbindungsmethoden nicht verwenden. Remoteverbindungen können die Fähigkeit des Diensts beeinträchtigen, Sie bei der Anmeldung zu erkennen.
• Wenn der betroffene Benutzer ein Administrator auf dem lokalen Computer ist, stellen Sie sicher, dass er beim Ausführen des Skripts über Administratorrechte verfügt.
• Wenn Sie andere PowerShell-Sicherheitsfeatures aktiviert haben, stellen Sie sicher, dass Ihre PowerShell-Ausführungsrichtlinie das Skript nicht blockiert. Deaktivieren Sie den Eingeschränkten Sprachmodus, bevor Sie das Skript ausführen, und aktivieren Sie es dann erneut, nachdem die Ausführung des Skripts abgeschlossen ist.

Protokolle

Sie können auch die Anwendungsprotokolle und NPS-Protokolle auf Ereignisse überprüfen, die angeben können, wann und wo ein Problem auftritt.

Anwendungsprotokolle

Die Anwendungsprotokolle auf Clientcomputern zeichnen details zu VPN-Verbindungsereignissen auf höherer Ebene auf.

Suchen Sie bei der Problembehandlung Always On VPN nach Ereignissen mit der Bezeichnung RasClient. Alle Fehlermeldungen geben den Fehlercode am Ende der Nachricht zurück. Fehlercodes listet einige der häufigsten Fehlercodes im Zusammenhang mit Always On VPN auf. Eine vollständige Liste der Fehlercodes finden Sie unter Routing- und RAS-Fehlercodes.

NPS-Protokolle

NPS erstellt und speichert die NPS-Buchhaltungsprotokolle. Standardmäßig werden Protokolle in %SYSTEMROOT%\System32\Logfiles\ in einer Datei namens IN<datum der Protokollerstellung>.txtgespeichert.

Standardmäßig weisen diese Protokolle ein durch Trennzeichen getrenntes Werteformat auf, enthalten aber keine Überschriftenzeile. Der folgende Codeblock enthält die Überschriftenzeile:

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Wenn Sie diese Überschriftenzeile als erste Zeile der Protokolldatei einfügen, importieren Sie die Datei in Microsoft Excel, dann beschrifte Excel die Spalten ordnungsgemäß.

Die NPS-Protokolle können Ihnen helfen, richtlinienbezogene Probleme zu diagnostizieren. Weitere Informationen zu NPS-Protokollen finden Sie unter Interpretieren von NPS-Datenbankformatprotokolldateien.

Fehlercodes

In den folgenden Abschnitten wird beschrieben, wie Sie die am häufigsten auftretenden Fehler beheben.

Fehler 800: Die Remoteverbindung konnte keine Verbindung herstellen

Dieses Problem tritt auf, wenn der Dienst keine Remoteverbindung herstellen kann, weil die versuchten VPN-Tunnel fehlgeschlagen sind, häufig weil der VPN-Server nicht erreichbar ist. Wenn Ihre Verbindung versucht, ein Layer 2 Tunneling Protocol (L2TP) oder einen IPsec-Tunnel zu verwenden, bedeutet dieser Fehler, dass die erforderlichen Sicherheitsparameter für die IPsec-Aushandlung nicht ordnungsgemäß konfiguriert sind.

Ursache: VPN-Tunneltyp

Dieses Problem kann auftreten, wenn der VPN-Tunneltyp auf Automatisch festgelegt ist und ihr Verbindungsversuch in allen VPN-Tunneln nicht erfolgreich ist.

Lösung: Überprüfen Der VPN-Konfiguration

Da VPN-Einstellungen dieses Problem verursachen, sollten Sie eine Problembehandlung für Ihre VPN-Einstellungen und die Verbindung durchführen, indem Sie Folgendes versuchen:

• Wenn Sie wissen, welcher Tunnel für Ihre Bereitstellung verwendet werden soll, legen Sie den VPN-Typ auf der VPN-Clientseite auf diesen bestimmten Tunneltyp fest.
• Stellen Sie sicher, dass die IKE-Ports (Internet Key Exchange) an den UDP-Ports (User Datagram Protocol) 500 und 4500 nicht blockiert sind.
• Stellen Sie sicher, dass sowohl der Client als auch der Server über die richtigen Zertifikate für IKE verfügen.

Fehler 809: Es kann keine Verbindung zwischen dem lokalen Computer und dem VPN-Server hergestellt werden.

Bei diesem Problem reagiert der Remoteserver nicht, wodurch verhindert wird, dass Ihr lokaler Computer und der VPN-Server eine Verbindung herstellen. Dies kann daran zurückzuführen sein, dass mindestens ein Netzwerkgerät, z. B. Router, Firewalls oder die Netzwerkadressenübersetzung (NETWORK Address Translation, NAT) zwischen Ihrem Computer und dem Remoteserver nicht so konfiguriert ist, dass VPN-Verbindungen zugelassen werden. Wenden Sie sich an Ihren Administrator oder Ihren Dienstanbieter, um zu ermitteln, welches Gerät das Problem möglicherweise verursacht.

Fehler 809, Ursache

Dieses Problem kann auftreten, wenn die UDP 500- oder 4500-Ports auf dem VPN-Server oder der Firewall blockiert sind. Eine Blockierung kann auftreten, wenn eines der Netzwerkgeräte zwischen Ihrem Computer und dem Remoteserver, z. B. firewall, NAT oder Router, nicht ordnungsgemäß konfiguriert ist.

Lösung: Überprüfen Sie die Ports auf Geräten zwischen Ihrem lokalen Computer und dem Remoteserver.

Um dieses Problem zu beheben, sollten Sie sich zuerst an Ihren Administrator oder Dienstanbieter wenden, um herauszufinden, welches Gerät blockiert ist. Stellen Sie anschließend sicher, dass die Firewalls für dieses Gerät die PORTS UDP 500 und 4500 zulassen. Wenn das Problem dadurch nicht behoben wird, überprüfen Sie die Firewalls auf jedem Gerät zwischen Ihrem lokalen Computer und dem Remoteserver.

Fehler 812: Herstellen einer Verbindung mit Always On VPN nicht möglich

Dieses Problem tritt auf, wenn Ihr RAS-Server oder VPN-Server keine Verbindung mit Always On VPN herstellen kann. Die Authentifizierungsmethode, die der Server zum Überprüfen Ihres Benutzernamens und Kennworts verwendet hat, stimmte nicht mit der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode überein.

Wenn der Fehler 812 auftritt, sollten Sie sich umgehend an den RAS-Serveradministrator wenden, um diesen darüber zu informieren, was passiert ist.

Wenn Sie die Ereignisanzeige zur Problembehandlung verwenden, finden Sie dieses Problem, das als Ereignisprotokoll 20276 gekennzeichnet ist. Dieses Ereignis tritt in der Regel auf, wenn eine Routing- und Remotezugriffsprotokolleinstellung (RRAS)-basierte VPN-Serverauthentifizierungsprotokoll nicht mit den Einstellungen auf dem VPN-Clientcomputer übereinstimmt.

Fehler 812, Ursache

Dieser Fehler tritt in der Regel auf, wenn der NPS eine Authentifizierungsbedingung angegeben hat, die der Client nicht erfüllen kann. Wenn der NPS beispielsweise angibt, dass ein Zertifikat zum Schützen der PEAP-Verbindung (Protected Extensible Authentication Protocol) benötigt wird, kann er sich nicht authentifizieren, wenn der Client stattdessen versucht, EAP-MSCHAPv2 zu verwenden.

Lösung: Überprüfen Der Authentifizierungseinstellungen für Client und NPS-Server

Um dieses Problem zu beheben, stellen Sie sicher, dass die Authentifizierungsanforderungen für Ihren Client und den NPS-Server übereinstimmen. Wenn nicht, ändern Sie sie entsprechend.

Fehler 13806: IKE kann kein gültiges Computerzertifikat finden

Dieses Problem tritt auf, wenn IKE kein gültiges Computerzertifikat finden kann.

Fehler 13806, Ursache

Dieser Fehler tritt in der Regel auf, wenn der VPN-Server nicht über das erforderliche Computer- oder Stammcomputerzertifikat verfügt.

Lösung: Installieren eines gültigen Zertifikats im entsprechenden Zertifikatspeicher

Um dieses Problem zu beheben, stellen Sie sicher, dass die erforderlichen Zertifikate sowohl auf dem Clientcomputer als auch auf dem VPN-Server installiert sind. Wenden Sie sich andernfalls an Ihren Netzwerksicherheitsadministrator, und bitten Sie ihn, gültige Zertifikate im entsprechenden Zertifikatspeicher zu installieren.

Fehler 13801: Die Anmeldeinformationen für die IKE-Authentifizierung sind ungültig.

Dieses Problem tritt auf, wenn der Server oder Client die Anmeldeinformationen für die IKE-Authentifizierung nicht akzeptieren kann.

Fehler 13801, Ursache

Dieser Fehler kann aufgrund folgender Ursachen auftreten:

• Für das Computerzertifikat, das für die IKEv2-Überprüfung auf dem RAS-Server verwendet wird, ist die Serverauthentifizierung unter Erweiterte Schlüsselverwendung nicht aktiviert.
• Das Computerzertifikat auf dem RAS-Server ist abgelaufen.
• Der Clientcomputer verfügt nicht über das Stammzertifikat zum Überprüfen des RAS-Serverzertifikats.
• Der VPN-Servername des Clientcomputers stimmt nicht mit dem SubjectName-Wert im Serverzertifikat überein.

Lösung 1: Überprüfen der Serverzertifikateinstellungen

Wenn das Problem das RAS-Servercomputerzertifikat ist, stellen Sie sicher, dass das Zertifikat die Serverauthentifizierung unter Erweiterte Schlüsselverwendung enthält.

Lösung 2: Sicherstellen, dass das Computerzertifikat noch gültig ist

Wenn das Problem darin besteht, dass das RAS-Computerzertifikat abgelaufen ist, stellen Sie sicher, dass es weiterhin gültig ist. Wenn dies nicht der Fall ist, installieren Sie ein gültiges Zertifikat.

Lösung 3: Sicherstellen, dass der Clientcomputer über ein Stammzertifikat verfügt

Wenn das Problem damit zusammenhängt, dass der Clientcomputer kein Stammzertifikat hat, überprüfen Sie zuerst die vertrauenswürdigen Stammzertifizierungsstellen auf dem RRAS-Server, um sicherzustellen, dass die von Ihnen verwendete Zertifizierungsstelle vorhanden ist. Wenn es nicht vorhanden ist, installieren Sie ein gültiges Stammzertifikat.

Lösung 4: Stellen Sie sicher, dass der VPN-Servername des Clientcomputers mit dem Serverzertifikat übereinstimmt.

Stellen Sie zunächst sicher, dass der VPN-Client die Verbindung mit demselben vollqualifizierten Domänennamen (FQDN) herstellt, den das VPN-Serverzertifikat verwendet. Falls nicht, ändern Sie den Clientnamen so, dass er mit dem Namen des Serverzertifikats übereinstimmt.

Fehler 0x80070040: Serverzertifikat enthält keine Serverauthentifizierung in den Verwendungseinträgen

Dieses Problem tritt auf, wenn das Serverzertifikat keine Serverauthentifizierung als einen seiner Zertifikatverwendungseinträge enthält.

Fehlerursache 0x80070040

Dieser Fehler tritt auf, wenn auf dem RAS-Server kein Serverauthentifizierungszertifikat installiert ist.

Lösung: Stellen Sie sicher, dass das Computerzertifikat über den erforderlichen Zertifikatverwendungseintrag verfügt.

Um dieses Problem zu beheben, stellen Sie sicher, dass das Computerzertifikat, das der RAS-Server für die IKEv2-Überprüfung verwendet, die Serverauthentifizierung in der Liste der Zertifikatverwendungseinträge enthält.

Fehler 0x800B0109: Eine Zertifikatkette wurde verarbeitet, aber in einem Stammzertifikat beendet.

Die vollständige Fehlerbeschreibung lautet: "Eine Zertifikatkette wurde verarbeitet, aber in einem Stammzertifikat beendet, dem der Vertrauensanbieter nicht vertraut."

Im Allgemeinen wird der VPN-Clientcomputer einer Active Directory-basierten Domäne (AD) hinzugefügt. Wenn Sie Domänenanmeldeinformationen für die Anmeldung beim VPN-Server verwenden, installiert der Dienst das Zertifikat automatisch im Speicher für vertrauenswürdige Stammzertifizierungsstellen. Dieses Problem kann auftreten, wenn der Computer nicht mit einer AD-Domäne verknüpft ist oder Sie eine alternative Zertifikatkette verwenden.

Fehlerursache 0x800B0109

Dieser Fehler tritt möglicherweise auf, wenn auf dem Clientcomputer kein entsprechendes vertrauenswürdiges Zertifikat der Stammzertifizierungsstelle im Speicher der vertrauenswürdigen Stammzertifizierungsstellen installiert ist.

Lösung: Installieren des vertrauenswürdigen Stammzertifikats

Um dieses Problem zu beheben, stellen Sie sicher, dass auf dem Clientcomputer im Speicher für vertrauenswürdige Stammzertifizierungsstellen ein vertrauenswürdiges Stammzertifikat installiert ist. Wenn dies nicht der Richtige ist, installieren Sie ein entsprechendes Stammzertifikat.

Error: Oops, you can't get to this yet

Diese Fehlermeldung ist mit Microsoft Entra Verbindungsprobleme beim bedingten Zugriff verknüpft. Wenn dieses Problem auftritt, wird die Richtlinie für bedingten Zugriff nicht erfüllt, was die VPN-Verbindung blockiert, aber dann eine Verbindung herstellt, nachdem der Benutzer das Dialogfeld geschlossen hat. Wenn der Benutzer OK auswählt, wird ein weiterer Authentifizierungsversuch gestartet, der ebenfalls nicht erfolgreich ist, und es wird eine identische Fehlermeldung angezeigt. Das Microsoft Entra Betriebsereignisprotokoll des Clients zeichnet diese Ereignisse auf.

Fehlerursache für Microsoft Entra bedingten Zugriff

Es gibt einige Gründe, warum dieses Problem auftreten kann:

• Der Benutzer verfügt über ein Clientauthentifizierungszertifikat in seinem persönlichen Zertifikatspeicher, das gültig ist, aber nicht von Microsoft Entra ID stammt.

• Der Abschnitt "VPN-Profil <TLSExtensions> " fehlt oder enthält die <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID> Einträge nicht. Die <EKUName> Einträge und <EKUOID> teilen dem VPN-Client mit, welches Zertifikat beim Übergeben des Zertifikats an den VPN-Server aus dem Zertifikatspeicher des Benutzers abgerufen werden soll. Ohne die <EKUName> Einträge und <EKUOID> verwendet der VPN-Client das gültige Clientauthentifizierungszertifikat, das sich im Zertifikatspeicher des Benutzers befindet, und die Authentifizierung ist erfolgreich.

• Der RADIUS-Server (NPS) wurde nicht so konfiguriert, dass er nur Clientzertifikate akzeptiert, die den AAD-Objektbezeichner (OID) für bedingten Zugriff enthalten.

Lösung: Verwenden Von PowerShell zum Ermitteln von Zertifikaten status

So escapen Sie diese Schleife:

1. Führen Sie Windows PowerShell das Get-WmiObject Cmdlet aus, um die VPN-Profilkonfiguration abzubilden.

2. Vergewissern Sie sich, dass die <TLSExtensions>Variablen , <EKUName>und <EKUOID> vorhanden sind und ihre Ausgabe den richtigen Namen und die richtige OID anzeigt.

   Der folgende Code ist eine Beispielausgabe des Get-WmiObject Cmdlets.

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Führen Sie als Nächstes den Certutil Befehl aus, um zu ermitteln, ob im Zertifikatspeicher des Benutzers gültige Zertifikate vorhanden sind:

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Hinweis

   Wenn ein Zertifikat von Issuer CN=Microsoft VPN root CA Gen1 im persönlichen Speicher des Benutzers vorhanden ist, der Benutzer jedoch Zugriff erhalten hat, indem er X ausgewählt hat, um die Oops-Nachricht zu schließen, sammeln Sie CAPI2-Ereignisprotokolle, um zu überprüfen, ob das zur Authentifizierung verwendete Zertifikat ein gültiges Clientauthentifizierungszertifikat war, das nicht von der Microsoft VPN-Stammzertifizierungsstelle ausgestellt wurde.

4. Wenn ein gültiges Clientauthentifizierungszertifikat im persönlichen Speicher des Benutzers vorhanden ist und die TLSExtensionsWerte , EKUNameund EKUOID ordnungsgemäß konfiguriert sind, sollte die Verbindung nicht erfolgreich hergestellt werden, nachdem der Benutzer das Dialogfeld geschlossen hat.

Es sollte eine Fehlermeldung angezeigt werden, die besagt: "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authenticate-Protokoll verwendet werden kann."

Das Zertifikat kann nicht von der Registerkarte "VPN-Konnektivität" gelöscht werden.

Dieses Problem tritt auf, wenn Sie Zertifikate auf der Registerkarte VPN-Konnektivität nicht löschen können.

Ursache

Dieses Problem tritt auf, wenn das Zertifikat auf Primär festgelegt ist.

Lösung: Ändern der Zertifikateinstellungen

So löschen Sie Zertifikate:

1. Wählen Sie auf der Registerkarte VPN-Konnektivität das Zertifikat aus.
2. Wählen Sie unter Primärdie Option Nein und dann Speichern aus.
3. Wählen Sie auf der Registerkarte VPN-Konnektivität das Zertifikat erneut aus.
4. Klicken Sie auf Löschen.