Rozwiązywanie problemów z połączeniem punkt-lokacja platformy Azure

W tym artykule wymieniono typowe problemy z połączeniem punkt-lokacja, które mogą wystąpić. Omówiono również możliwe przyczyny i rozwiązania tych problemów.

Błąd klienta sieci VPN: nie można odnaleźć certyfikatu

Objaw

Podczas próby nawiązania połączenia z siecią wirtualną platformy Azure przy użyciu klienta sieci VPN zostanie wyświetlony następujący komunikat o błędzie:

Nie można odnaleźć certyfikatu, który może być używany z tym rozszerzalnym protokołem uwierzytelniania. (Błąd 798)

Przyczyna

Ten problem występuje, jeśli brakuje certyfikatu klienta w obszarze Certyfikaty — Bieżący użytkownik\Osobiste\Certyfikaty.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

1. Otwórz Menedżera certyfikatów: kliknij przycisk Start, wpisz zarządzaj certyfikatami komputerów, a następnie kliknij pozycję zarządzaj certyfikatami komputerów w wynikach wyszukiwania.

2. Upewnij się, że następujące certyfikaty znajdują się w prawidłowej lokalizacji:

   Certyfikat	Lokalizacja
   AzureClient.pfx	Bieżący użytkownik\Osobiste\Certyfikaty
   AzureRoot.cer	Komputer lokalny\Zaufane główne urzędy certyfikacji

3. Przejdź do katalogu C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Połączenie ions\Cm<GUID>, ręcznie zainstaluj certyfikat (*plik .cer) w magazynie użytkownika i komputera.

Aby uzyskać więcej informacji na temat sposobu instalowania certyfikatu klienta, zobacz Generowanie i eksportowanie certyfikatów dla połączeń punkt-lokacja.

Uwaga

Podczas importowania certyfikatu klienta nie wybieraj opcji Włącz silną ochronę klucza prywatnego.

Nie można ustanowić połączenia sieciowego między komputerem a serwerem sieci VPN, ponieważ serwer zdalny nie odpowiada

Objaw

Podczas próby nawiązania połączenia z bramą sieci wirtualnej platformy Azure przy użyciu protokołu IKEv2 w systemie Windows zostanie wyświetlony następujący komunikat o błędzie:

Nie można ustanowić połączenia sieciowego między komputerem a serwerem sieci VPN, ponieważ serwer zdalny nie odpowiada

Przyczyna

Problem występuje, jeśli wersja systemu Windows nie ma obsługi fragmentacji IKE.

Rozwiązanie

Protokół IKEv2 jest obsługiwany w systemach Windows 10 i Server 2016. Jednak aby można było używać protokołu IKEv2, należy zainstalować aktualizacje i lokalnie ustawić wartość klucza rejestru. Wersje systemu operacyjnego wcześniejsze niż Windows 10 nie są obsługiwane i mogą używać tylko protokołu SSTP.

Aby przygotować system Windows 10 lub Server 2016 dla protokołu IKEv2:

1. Zainstaluj aktualizację.

   Wersja systemu operacyjnego	Data	Numer/link
   Windows Server 2016 Windows 10 w wersji 1607	17 stycznia 2018 r.	KB4057142
   Windows 10 w wersji 1703	17 stycznia 2018 r.	KB4057144
   Windows 10 w wersji 1709	22 marca 2018 r.	KB4089848

2. Ustaw wartość klucza rejestru. Utwórz lub ustaw HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload klucz REG_DWORD w rejestrze na 1.

Błąd klienta sieci VPN: Odebrano nieoczekiwany lub źle sformatowany komunikat

Objaw

Podczas próby nawiązania połączenia z siecią wirtualną platformy Azure przy użyciu klienta sieci VPN zostanie wyświetlony następujący komunikat o błędzie:

Odebrana wiadomość była nieoczekiwana lub źle sformatowana. (Błąd 0x80090326)

Przyczyna

Ten problem występuje, jeśli spełniony jest jeden z następujących warunków:

• Trasy zdefiniowane przez użytkownika (UDR) z trasą domyślną w podsieci bramy są niepoprawnie ustawione.
• Klucz publiczny certyfikatu głównego nie jest przekazywany do bramy sieci VPN platformy Azure.
• Klucz jest uszkodzony lub wygasł.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

1. Usuń trasę zdefiniowaną przez użytkownika w podsieci bramy. Upewnij się, że trasa zdefiniowana przez użytkownika prawidłowo przekazuje cały ruch.
2. Sprawdź stan certyfikatu głównego w witrynie Azure Portal, aby sprawdzić, czy został odwołany. Jeśli nie zostanie odwołany, spróbuj usunąć certyfikat główny i ponownie załadować. Aby uzyskać więcej informacji, zobacz Tworzenie certyfikatów.

Błąd klienta sieci VPN: łańcuch certyfikatów przetworzony, ale zakończony

Objaw

Podczas próby nawiązania połączenia z siecią wirtualną platformy Azure przy użyciu klienta sieci VPN zostanie wyświetlony następujący komunikat o błędzie:

Łańcuch certyfikatów przetworzony, ale zakończony w certyfikacie głównym, który nie jest zaufany przez dostawcę zaufania.

Rozwiązanie

1. Upewnij się, że następujące certyfikaty znajdują się w prawidłowej lokalizacji:

   Certyfikat	Lokalizacja
   AzureClient.pfx	Bieżący użytkownik\Osobiste\Certyfikaty
   Azuregateway-GUID.cloudapp.net	Bieżący użytkownik\zaufane główne urzędy certyfikacji
   AzureGateway-GUID.cloudapp.net, AzureRoot.cer	Komputer lokalny\Zaufane główne urzędy certyfikacji

2. Jeśli certyfikaty znajdują się już w lokalizacji, spróbuj usunąć certyfikaty i zainstalować je ponownie. Certyfikat azuregateway-GUID.cloudapp.net znajduje się w pakiecie konfiguracji klienta sieci VPN pobranym z witryny Azure Portal. Za pomocą archiwów plików można wyodrębnić pliki z pakietu.

Błąd pobierania pliku: Nie określono docelowego identyfikatora URI

Objaw

Zostanie wyświetlony następujący komunikat o błędzie:

Błąd pobierania pliku. Nie określono identyfikatora URI docelowego.

Przyczyna

Ten problem występuje z powodu nieprawidłowego typu bramy.

Rozwiązanie

Typ bramy sieci VPN musi mieć wartość VPN, a typ sieci VPN musi mieć wartość RouteBased.

Błąd klienta sieci VPN: skrypt niestandardowy sieci VPN platformy Azure zakończył się niepowodzeniem

Objaw

Podczas próby nawiązania połączenia z siecią wirtualną platformy Azure przy użyciu klienta sieci VPN zostanie wyświetlony następujący komunikat o błędzie:

Skrypt niestandardowy (aby zaktualizować tabelę routingu) nie powiodł się. (Błąd 8007026f)

Przyczyna

Ten problem może wystąpić, jeśli próbujesz otworzyć połączenie sieci VPN typu lokacja-punkt przy użyciu skrótu.

Rozwiązanie

Otwórz pakiet sieci VPN bezpośrednio zamiast otwierać go ze skrótu.

Nie można zainstalować klienta sieci VPN

Przyczyna

Do zaufania bramie sieci VPN dla sieci wirtualnej jest wymagany dodatkowy certyfikat. Certyfikat jest uwzględniony w pakiecie konfiguracji klienta sieci VPN generowanym w witrynie Azure Portal.

Rozwiązanie

Wyodrębnij pakiet konfiguracji klienta sieci VPN i znajdź plik .cer. Aby zainstalować certyfikat, wykonaj następujące kroki:

1. Otwórz mmc.exe.
2. Dodaj przystawkę Certyfikaty .
3. Wybierz konto komputera lokalnego.
4. Kliknij prawym przyciskiem myszy węzeł Zaufane główne urzędy certyfikacji. Kliknij pozycję Wszystkie zadania>Importuj i przejdź do pliku .cer wyodrębnionego z pakietu konfiguracji klienta sieci VPN.
5. Uruchom ponownie komputer.
6. Spróbuj zainstalować klienta sieci VPN.

Błąd witryny Azure Portal: Nie można zapisać bramy sieci VPN, a dane są nieprawidłowe

Objaw

Podczas próby zapisania zmian bramy sieci VPN w witrynie Azure Portal zostanie wyświetlony następujący komunikat o błędzie:

Nie można zapisać nazwy> bramy sieci <wirtualnej. Dane dotyczące identyfikatora> certyfikatu certyfikatu <są nieprawidłowe.

Przyczyna

Ten problem może wystąpić, jeśli przekazany klucz publiczny certyfikatu głównego zawiera nieprawidłowy znak, taki jak spacja.

Rozwiązanie

Upewnij się, że dane w certyfikacie nie zawierają nieprawidłowych znaków, takich jak podziały wierszy (zwraca karetka). Cała wartość powinna być jedną długą linią. Poniższy tekst to przykład certyfikatu:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Błąd witryny Azure Portal: Nie można zapisać bramy sieci VPN, a nazwa zasobu jest nieprawidłowa

Objaw

Podczas próby zapisania zmian bramy sieci VPN w witrynie Azure Portal zostanie wyświetlony następujący komunikat o błędzie:

Nie można zapisać nazwy> bramy sieci <wirtualnej. Nazwa certyfikatu nazwy <zasobu, którą próbujesz przekazać> , jest nieprawidłowa.

Przyczyna

Ten problem występuje, ponieważ nazwa certyfikatu zawiera nieprawidłowy znak, taki jak spacja.

Błąd witryny Azure Portal: błąd pobierania pliku pakietu sieci VPN 503

Objaw

Podczas próby pobrania pakietu konfiguracji klienta sieci VPN zostanie wyświetlony następujący komunikat o błędzie:

Nie można pobrać pliku. Szczegóły błędu: błąd 503. Serwer jest zajęty.

Rozwiązanie

Ten błąd może być spowodowany tymczasowym problemem sieciowym. Spróbuj ponownie pobrać pakiet sieci VPN po kilku minutach.

Uaktualnienie usługi Azure VPN Gateway: wszyscy klienci punkt-lokacja nie mogą nawiązać połączenia

Przyczyna

Jeśli certyfikat jest ponad 50 procent przez jego okres istnienia, certyfikat zostanie przerzucony.

Rozwiązanie

Aby rozwiązać ten problem, pobierz ponownie i ponownie wdróż pakiet punkt-lokacja na wszystkich klientach.

Zbyt wielu klientów sieci VPN połączonych jednocześnie

Osiągnięto maksymalną liczbę dozwolonych połączeń. Łączna liczba połączonych klientów jest widoczna w witrynie Azure Portal.

Klient sieci VPN nie może uzyskać dostępu do sieciowych udziałów plików

Objaw

Klient sieci VPN nawiązał połączenie z siecią wirtualną platformy Azure. Klient nie może jednak uzyskać dostępu do udziałów sieciowych.

Przyczyna

Protokół SMB jest używany do uzyskiwania dostępu do udziału plików. Po zainicjowaniu połączenia klient sieci VPN dodaje poświadczenia sesji i występuje błąd. Po nawiązaniu połączenia klient musi używać poświadczeń pamięci podręcznej na potrzeby uwierzytelniania Kerberos. Ten proces inicjuje zapytania do centrum dystrybucji kluczy (kontrolera domeny) w celu uzyskania tokenu. Ponieważ klient łączy się z Internetem, może nie być w stanie nawiązać połączenia z kontrolerem domeny. W związku z tym klient nie może przejść w tryb failover z protokołu Kerberos do PROTOKOŁU NTLM.

Jedynym czasem monitowania klienta o podanie poświadczeń jest wtedy, gdy ma prawidłowy certyfikat (z siecią SAN=UPN) wystawiony przez domenę, do której jest przyłączony. Klient musi być również fizycznie połączony z siecią domeny. W takim przypadku klient próbuje użyć certyfikatu i skontaktuje się z kontrolerem domeny. Następnie centrum dystrybucji kluczy zwraca błąd "KDC_ERR_C_PRINCIPAL_UNKNOWN". Klient jest zmuszony do przejścia w tryb failover do protokołu NTLM.

Rozwiązanie

Aby obejść ten problem, wyłącz buforowanie poświadczeń domeny z następującego podklucza rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Nie można odnaleźć połączenia sieci VPN typu punkt-lokacja w systemie Windows po ponownym zainstalowaniu klienta sieci VPN

Objaw

Należy usunąć połączenie sieci VPN typu punkt-lokacja, a następnie ponownie zainstalować klienta sieci VPN. W takiej sytuacji połączenie sieci VPN nie zostało pomyślnie skonfigurowane. Nie widzisz połączenia sieci VPN w ustawieniach połączeń sieciowych w systemie Windows.

Rozwiązanie

Aby rozwiązać ten problem, usuń stare pliki konfiguracji klienta sieci VPN z folderu C:\Users\UserName\AppData\Roaming\Microsoft\Network\Połączenie ions<VirtualNetworkId>, a następnie ponownie uruchom instalatora klienta sieci VPN.

Klient sieci VPN typu punkt-lokacja nie może rozpoznać nazwy FQDN zasobów w domenie lokalnej

Objaw

Gdy klient łączy się z platformą Azure przy użyciu połączenia sieci VPN typu punkt-lokacja, nie może rozpoznać nazwy FQDN zasobów w domenie lokalnej.

Przyczyna

Klient sieci VPN typu punkt-lokacja zwykle używa serwerów Usługi Azure DNS skonfigurowanych w sieci wirtualnej platformy Azure. Serwery DNS platformy Azure mają pierwszeństwo przed lokalnymi serwerami DNS skonfigurowanymi w kliencie (chyba że metryka interfejsu Ethernet jest niższa), dlatego wszystkie zapytania DNS są wysyłane do serwerów usługi Azure DNS. Jeśli serwery usługi Azure DNS nie mają rekordów dla zasobów lokalnych, zapytanie kończy się niepowodzeniem.

Rozwiązanie

Aby rozwiązać ten problem, upewnij się, że serwery usługi Azure DNS używane w sieci wirtualnej platformy Azure mogą rozpoznać rekordy DNS dla zasobów lokalnych. W tym celu można użyć usług przesyłania dalej DNS lub usług przesyłania dalej warunkowego. Aby uzyskać więcej informacji, zobacz Rozpoznawanie nazw przy użyciu własnego serwera DNS.

Nawiązane jest połączenie sieci VPN typu punkt-lokacja, ale nadal nie można nawiązać połączenia z zasobami platformy Azure

Przyczyna

Ten problem może wystąpić, jeśli klient sieci VPN nie pobiera tras z bramy sieci VPN platformy Azure.

Rozwiązanie

Aby rozwiązać ten problem, zresetuj bramę sieci VPN platformy Azure. Aby upewnić się, że nowe trasy są używane, klienci sieci VPN typu punkt-lokacja muszą zostać ponownie pobrani po pomyślnym skonfigurowaniu komunikacji równorzędnej sieci wirtualnych.

Błąd: "Funkcja odwołania nie mogła sprawdzić odwołania, ponieważ serwer odwołania był w trybie offline. (Błąd 0x80092013)"

Przyczyny

Ten komunikat o błędzie występuje, jeśli klient nie może uzyskać dostępu i http://crl3.digicert.com/ssca-sha2-g1.crlhttp://crl4.digicert.com/ssca-sha2-g1.crl. Sprawdzanie odwołania wymaga dostępu do tych dwóch witryn. Ten problem zazwyczaj występuje na kliencie z skonfigurowanym serwerem proxy. W niektórych środowiskach, jeśli żądania nie przechodzą przez serwer proxy, zostanie ono odrzucone w zaporze brzegowej.

Rozwiązanie

Sprawdź ustawienia serwera proxy, upewnij się, że klient ma dostęp i http://crl3.digicert.com/ssca-sha2-g1.crlhttp://crl4.digicert.com/ssca-sha2-g1.crl.

Błąd klienta sieci VPN: Połączenie zostało zablokowane z powodu zasad skonfigurowanych na serwerze RAS/VPN. (Błąd 812)

Przyczyna

Ten błąd występuje, jeśli serwer RADIUS używany do uwierzytelniania klienta sieci VPN ma nieprawidłowe ustawienia lub usługa Azure Gateway nie może nawiązać połączenia z serwerem radius.

Rozwiązanie

Upewnij się, że serwer RADIUS jest poprawnie skonfigurowany. Aby uzyskać więcej informacji, zobacz Integrowanie uwierzytelniania RADIUS z serwerem usługi Azure Multi-Factor Authentication.

"Błąd 405" podczas pobierania certyfikatu głównego z usługi VPN Gateway

Przyczyna

Nie zainstalowano certyfikatu głównego. Certyfikat główny jest instalowany w magazynie zaufanych certyfikatów klienta.

Błąd klienta sieci VPN: połączenie zdalne nie zostało nawiązane, ponieważ próby tuneli VPN nie powiodły się. (Błąd 800)

Przyczyna

Sterownik karty sieciowej jest nieaktualny.

Rozwiązanie

Zaktualizuj sterownik karty sieciowej:

1. Kliknij przycisk Start, wpisz Menedżer urządzeń i wybierz go z listy wyników. Jeśli zostanie wyświetlony monit o podanie hasła administratora lub potwierdzenie, wpisz hasło lub potwierdź operację.
2. W kategorii Karty sieciowe znajdź kartę sieciową, którą chcesz zaktualizować.
3. Kliknij dwukrotnie nazwę urządzenia, wybierz pozycję Aktualizuj sterownik, wybierz pozycję Wyszukaj automatycznie w poszukiwaniu zaktualizowanego oprogramowania sterowników.
4. Jeśli system Windows nie znajdzie nowego sterownika, możesz spróbować wyszukać go w witrynie internetowej producenta urządzenia i postępować zgodnie z instrukcjami.
5. Uruchom ponownie komputer i spróbuj ponownie nawiązać połączenie.

Błąd klienta sieci VPN: Wybieranie połączenia <sieci VPN Połączenie nazwa>, stan = platforma SIECI VPN nie wyzwoliła połączenia

W Podgląd zdarzeń z obiektu RasClient może zostać również wyświetlony następujący błąd: "Użytkownik <> wybrał połączenie o nazwie <VPN Połączenie ion Name>, które zakończyło się niepowodzeniem. Kod błędu zwrócony po niepowodzeniu to 1460".

Przyczyna

Klient sieci VPN platformy Azure nie ma włączonego uprawnienia aplikacji w tle w aplikacji Ustawienia dla systemu Windows.

Rozwiązanie

1. W systemie Windows przejdź do pozycji Ustawienia —> Prywatność —> Aplikacje w tle
2. Przełącz pozycję "Zezwalaj aplikacjom na uruchamianie w tle" na wartość Włączone

Błąd: "Nie określono identyfikatora URI docelowego pobierania pliku"

Przyczyna

Jest to spowodowane nieprawidłowym typem bramy.

Rozwiązanie

Typ bramy sieci VPN platformy Azure musi mieć wartość VPN, a typ sieci VPN musi mieć wartość RouteBased.

Instalator pakietu sieci VPN nie został ukończony

Przyczyna

Ten problem może być spowodowany przez poprzednie instalacje klienta sieci VPN.

Rozwiązanie

Usuń stare pliki konfiguracji klienta sieci VPN z folderu C:\Users\UserName\AppData\Roaming\Microsoft\Network\Połączenie ions<VirtualNetworkId> i ponownie uruchom instalatora klienta sieci VPN.

Hibernacji lub uśpienia klienta sieci VPN

Rozwiązanie

Sprawdź ustawienia uśpienia i hibernacji na komputerze, na którym działa klient sieci VPN.

Nie mogę rozpoznać rekordów w strefach Prywatna strefa DNS przy użyciu prywatnego rozpoznawania nazw z klientów punkt-lokacja.

Objaw

Jeśli używasz platformy Azure dostępnego (168.63.129.16) serwera DNS w sieci wirtualnej, klienci punkt-lokacja nie będą mogli rozpoznać rekordów znajdujących się w strefach Prywatna strefa DNS (w tym prywatnych punktów końcowych).

Przyczyna

Adres IP serwera DNS platformy Azure (168.63.129.16) jest rozpoznawalny tylko z platformy Azure.

Rozwiązanie

Poniższe kroki ułatwiają rozwiązywanie problemów z rekordami ze strefy Prywatna strefa DNS:

Konfigurowanie przychodzącego adresu IP prywatnego rozpoznawania nazw jako niestandardowych serwerów DNS w sieci wirtualnej ułatwia rozpoznawanie rekordów w prywatnej strefie DNS (w tym tych utworzonych na podstawie prywatnych punktów końcowych). Należy pamiętać, że strefy Prywatna strefa DNS muszą być skojarzone z siecią wirtualną z usługą Private Resolver.

Domyślnie serwery DNS skonfigurowane w sieci wirtualnej będą wypychane do klientów punkt-lokacja połączonych za pośrednictwem bramy sieci VPN. W związku z tym skonfigurowanie przychodzącego adresu IP rozpoznawania nazw prywatnych jako niestandardowych serwerów DNS w sieci wirtualnej spowoduje automatyczne wypchnięcie tych adresów IP do klientów jako serwera DNS sieci VPN i bezproblemowo rozpoznać rekordy z prywatnych stref DNS (w tym prywatnych punktów końcowych).