Solucionar problemas Always On VPN
Este artigo fornece instruções para verificar e solucionar problemas Always On implantação de VPN.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10
Se sua configuração de VPN (Rede Virtual Privada) Always On não estiver conectando clientes à sua rede interna, talvez você tenha encontrado um dos seguintes problemas:
- O certificado VPN é inválido.
- As políticas do NPS (Servidor de Política de Rede) estão incorretas.
- Problemas com scripts de implantação do cliente ou Roteamento e Acesso Remoto.
A primeira etapa para solucionar problemas e testar sua conexão VPN é entender os principais componentes da infraestrutura de VPN Always On.
Você pode solucionar problemas de conexão de várias maneiras. Para problemas do lado do cliente e solução geral de problemas, os logs de aplicativos em computadores cliente são inestimáveis. Para problemas específicos de autenticação, o log NPS localizado no servidor NPS pode ajudá-lo a determinar a origem do problema.
Solução de problemas gerais para problemas de conexão VPN Always On
Always On clientes VPN passam por várias etapas antes de estabelecer uma conexão. Como resultado, há vários lugares em que as conexões podem ser bloqueadas, e às vezes é difícil descobrir onde está o problema.
Se você estiver encontrando problemas, aqui estão algumas etapas gerais que você pode tomar para descobrir o que está acontecendo:
- Execute uma verificação de whatismyip para garantir que seu computador de modelo não esteja conectado externamente. Se o computador tiver um endereço IP público que não pertence a você, altere o IP para um privado.
- Acesse Painel de Controle>Network e Internet>Network Connections, abra as propriedades do perfil VPN e marcar para garantir que o valor na guia Geral possa resolve publicamente por meio do DNS. Caso contrário, o servidor de Acesso Remoto ou o servidor VPN que não pode resolve a um endereço IP é provavelmente a causa do problema.
- Abra o Protocolo de Mensagem de Controle da Internet (ICMP) para a interface externa e pinge o servidor VPN do cliente remoto. Se o ping for bem-sucedido, você poderá remover a regra de permissão do ICMP. Caso contrário, o servidor VPN que está sendo inacessível provavelmente está causando o problema.
- Verifique a configuração dos NICs internos e externos em seu servidor VPN. Em particular, verifique se eles estão na mesma sub-rede e se a NIC externa se conecta à interface correta em seu firewall.
- Verifique o firewall do cliente, o firewall do servidor e todos os firewalls de hardware para garantir que eles permitam a atividade da porta UDP 500 e 4500. Além disso, se você estiver usando a porta UDP 500, verifique se o IPSEC não está desabilitado ou bloqueado em qualquer lugar. Caso contrário, as portas que não estão sendo abertas do cliente para a interface externa do servidor VPN estão causando o problema.
- Verifique se o servidor NPS tem um certificado de Autenticação do Servidor que pode atender solicitações IKE. Além disso, verifique se seu cliente NPS tem o IP do servidor VPN correto em suas configurações. Você só deve se autenticar com PEAP e as propriedades PEAP só devem permitir a autenticação de certificado. Você pode marcar para problemas de autenticação no log de eventos NPS. Para obter mais informações, consulte Instalar e configurar o servidor NPS.
- Se você puder se conectar, mas não tiver acesso à internet ou à rede local, marcar seus pools de IP do servidor DHCP ou VPN para problemas de configuração. Além disso, verifique se seus clientes podem alcançar esses recursos. Você pode usar o servidor VPN para rotear solicitações.
Solução de problemas gerais para problemas de script VPN_Profile.ps1
Os problemas mais comuns ao executar manualmente o script VPN_Profile.ps1 incluem:
- Se você usar uma ferramenta de conexão remota, certifique-se de não usar o RDP (Protocolo de Área de Trabalho Remota) ou outros métodos de conexão remota. Conexões remotas podem interferir na capacidade do serviço de detectá-lo quando você entra.
- Se o usuário afetado for um administrador em seu computador local, verifique se ele tem privilégios de administrador durante a execução do script.
- Se você habilitou outros recursos de segurança do PowerShell, verifique se sua política de execução do PowerShell não está bloqueando o script. Desabilite o modo de linguagem restrita antes de executar o script e, em seguida, reativa-o depois que o script for concluído em execução.
Logs
Você também pode marcar os logs de aplicativo e os logs NPS para eventos que podem indicar quando e onde um problema está acontecendo.
Logs de aplicativo
Os logs de aplicativos em computadores cliente registram detalhes de nível superior de eventos de conexão VPN.
Ao solucionar problemas Always On VPN, procure eventos rotulados como RasClient. Todas as mensagens de erro retornam o código de erro no final da mensagem. Os códigos de erro listam alguns dos códigos de erro mais comuns relacionados a Always On VPN. Para obter uma lista completa de códigos de erro, consulte Códigos de Erro de Roteamento e Acesso Remoto.
Logs NPS
O NPS cria e armazena os logs de contabilidade do NPS. Por padrão, os logs são armazenados em %SYSTEMROOT%\System32\Logfiles\ em um arquivo chamado NA<data de criação> do log.txt.
Por padrão, esses logs estão em formato de valores separados por vírgulas, mas não incluem uma linha de título. O seguinte bloco de código contém a linha de título:
ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version
Se você colar essa linha de título como a primeira linha do arquivo de log, importe o arquivo para o Microsoft Excel e, em seguida, o Excel rotulará corretamente as colunas.
Os logs NPS podem ajudá-lo a diagnosticar problemas relacionados à política. Para obter mais informações sobre logs NPS, consulte Interpretar Arquivos de Log de Formato de Banco de Dados NPS.
Códigos de erro
As seções a seguir descrevem como resolve os erros mais encontrados.
Erro 800: a conexão remota não pôde se conectar
Esse problema acontece quando o serviço não pode fazer uma conexão remota porque os túneis vpn tentados falharam, muitas vezes porque o servidor VPN não é acessível. Se sua conexão estiver tentando usar um túnel L2TP (Protocolo de Túnel) ou IPsec da Camada 2, esse erro significa que os parâmetros de segurança necessários para a negociação IPsec não estão configurados corretamente.
Causa: tipo de túnel VPN
Você pode encontrar esse problema quando o tipo de túnel VPN estiver definido como Automático e sua tentativa de conexão não tiver êxito em todos os túneis VPN.
Solução: marcar sua configuração de VPN
Como as configurações de VPN causam esse problema, você deve solucionar problemas de suas configurações de VPN e conexão tentando o seguinte:
- Se você souber qual túnel usar para sua implantação, defina o tipo de VPN para esse tipo de túnel específico no lado do cliente VPN.
- Verifique se as portas do IKE (Internet Key Exchange) nas portas UDP (Protocolo de Datagrama de Usuário) 500 e 4500 não estão bloqueadas.
- Verifique se o cliente e o servidor têm certificados corretos para IKE.
Erro 809: não é possível estabelecer uma conexão entre o computador local e o servidor VPN
Nesse problema, o servidor remoto não responde, o que impede que o computador local e o servidor VPN se conectem. Isso pode ocorrer porque um ou mais dispositivos de rede, como roteadores, firewalls ou NAT (Conversão de Endereço de Rede) entre o computador e o servidor remoto não estão configurados para permitir conexões VPN. Entre em contato com o administrador ou seu provedor de serviços para determinar qual dispositivo pode estar causando o problema.
Causa do erro 809
Você pode encontrar esse problema quando as portas UDP 500 ou 4500 no servidor VPN ou firewall são bloqueadas. O bloqueio pode acontecer quando um dos dispositivos de rede entre o computador e o servidor remoto, como firewall, NAT ou roteadores, não estiver configurado corretamente.
Solução: marcar as portas em dispositivos entre o computador local e o servidor remoto
Para resolver esse problema, primeiro entre em contato com seu administrador ou provedor de serviços para descobrir qual dispositivo está bloqueado. Depois disso, verifique se os firewalls desse dispositivo permitem que as portas UDP 500 e 4500 passem. Se isso não resolver o problema, marcar os firewalls em cada dispositivo entre o computador local e o servidor remoto.
Erro 812: não é possível se conectar a Always On VPN
Esse problema ocorre quando seu servidor de acesso remoto (RAS) ou servidor VPN não pode se conectar a Always On VPN. O método de autenticação usado pelo servidor para verificar se o nome de usuário e a senha não correspondem ao método de autenticação configurado em seu perfil de conexão.
Sempre que você encontrar o erro 812, recomendamos que entre em contato com o administrador do servidor RAS imediatamente para informar o que aconteceu.
Se você estiver usando o Visualizador de Eventos para solucionar problemas, poderá encontrar esse problema marcado como log de eventos 20276. Esse evento geralmente é exibido quando uma configuração de protocolo de autenticação de servidor VPN baseada em roteamento e acesso remoto (RRAS) não corresponde às configurações no computador cliente VPN.
Causa do erro 812
Normalmente, você encontra esse erro quando o NPS especifica uma condição de autenticação que o cliente não pode atender. Por exemplo, se o NPS especificar que precisa de um certificado para proteger a conexão PEAP (Protocolo de Autenticação Extensível Protegida), ele não poderá se autenticar se o cliente estiver tentando usar EAP-MSCHAPv2.
Solução: marcar as configurações de autenticação do servidor NPS e do cliente
Para resolve esse problema, verifique se os requisitos de autenticação para seu cliente e o servidor NPS correspondem. Caso contrário, altere-os de acordo.
Erro 13806: O IKE não consegue encontrar um certificado de máquina válido
Esse problema ocorre quando o IKE não consegue encontrar um certificado de máquina válido.
Causa do erro 13806
Normalmente, você encontra esse erro quando o servidor VPN não tem o certificado de computador ou computador raiz necessário.
Solução: instalar um certificado válido no repositório de certificados relevante
Para resolve esse problema, verifique se os certificados necessários estão instalados no computador cliente e no servidor VPN. Caso contrário, entre em contato com o administrador de segurança de rede e peça que eles instalem certificados válidos no repositório de certificados relevante.
Erro 13801: as credenciais de autenticação IKE são inválidas
Você encontra esse problema quando o servidor ou o cliente não podem aceitar as credenciais de autenticação IKE.
Causa do erro 13801
Esse erro pode ocorrer devido ao seguinte:
- O certificado de máquina usado para validação IKEv2 no servidor RAS não tem a Autenticação do Servidor habilitada em Uso avançado de chaves.
- O certificado do computador no servidor RAS expirou.
- O computador cliente não tem o certificado raiz para validar o certificado do servidor RAS.
- O nome do servidor VPN do computador cliente não corresponde ao valor subjectName no certificado do servidor.
Solução 1: verificar as configurações do certificado do servidor
Se o problema for o certificado de computador do servidor RAS, verifique se o certificado inclui a Autenticação do Servidor em Uso avançado de chave.
Solução 2: verifique se o certificado do computador ainda é válido
Se o problema for que o certificado do computador RAS expirou, verifique se ele ainda é válido. Se não for, instale um certificado válido.
Solução 3: verifique se o computador cliente tem um certificado raiz
Se o problema estiver relacionado ao computador cliente não ter um certificado raiz, primeiro marcar as Autoridades de Certificação Raiz Confiáveis no servidor RRAS para garantir que a autoridade de certificação que você está usando esteja lá. Se ele não estiver lá, instale um certificado raiz válido.
Solução 4: fazer com que o nome do servidor VPN do computador cliente corresponda ao certificado do servidor
Primeiro, verifique se o cliente VPN se conecta usando o mesmo FQDN (nome de domínio totalmente qualificado) que o certificado do servidor VPN usa. Caso contrário, altere o nome do cliente para corresponder ao nome do certificado do servidor.
Erro 0x80070040: o certificado do servidor não tem Autenticação do Servidor em suas entradas de uso
Esse problema ocorre quando o certificado do servidor não tem a Autenticação do Servidor como uma de suas entradas de uso de certificado.
Causa do erro 0x80070040
Esse erro ocorre quando o servidor RAS não tem um certificado de autenticação de servidor instalado.
Solução: verifique se o certificado do computador tem a entrada de uso de certificado necessária
Para resolver esse problema, verifique se o certificado de máquina que o servidor RAS usa para validação IKEv2 inclui a Autenticação do Servidor em sua lista de entradas de uso de certificado.
Erro 0x800B0109: uma cadeia de certificados processada, mas encerrada em um certificado raiz
A descrição completa do erro é: "Uma cadeia de certificados processada, mas terminada em um certificado raiz em que o provedor de confiança não confia".
Geralmente, o computador cliente VPN é ingressado em um domínio baseado em AD (Active Directory). Se você usar credenciais de domínio para entrar no servidor VPN, o serviço instalará automaticamente o certificado no repositório Autoridades de Certificação Raiz Confiáveis. Você pode encontrar esse problema se o computador não estiver conectado a um domínio do AD ou usar uma cadeia de certificados alternativa.
Causa do erro 0x800B0109
Você poderá encontrar esse erro se o computador cliente não tiver um certificado de AC raiz confiável apropriado instalado em seu repositório Autoridades de Certificação Raiz Confiáveis.
Solução: instalar o certificado raiz confiável
Para resolve esse problema, verifique se o computador cliente tem um certificado raiz confiável instalado em seu repositório Autoridades de Certificação Raiz Confiáveis. Caso contrário, instale um certificado raiz apropriado.
Erro: Oops, você não pode chegar a isso ainda
Essa mensagem de erro está associada a problemas de conexão de acesso condicional Microsoft Entra. Quando esse problema aparece, a política de Acesso Condicional não é satisfeita, bloqueando a conexão VPN, mas se conectando depois que o usuário fecha a janela de diálogo. Se o usuário selecionar OK, ele iniciará outra tentativa de autenticação que também não tiver êxito e solicitará uma mensagem de erro idêntica. O log de eventos operacionais Microsoft Entra do cliente registra esses eventos.
Microsoft Entra causa de erro de acesso condicional
Há algumas razões pelas quais esse problema pode acontecer:
O usuário tem um certificado de autenticação de cliente em seu repositório de Certificados Pessoais que é válido, mas não veio de Microsoft Entra ID.
A seção perfil
<TLSExtensions>
VPN está ausente ou não contém as<EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID>
entradas. As<EKUName>
entradas e<EKUOID>
informam ao cliente VPN qual certificado recuperar do repositório de certificados do usuário ao passar o certificado para o servidor VPN. Sem as<EKUName>
entradas e<EKUOID>
, o cliente VPN usa qualquer certificado de Autenticação de Cliente válido no repositório de certificados do usuário e a autenticação é bem-sucedida.O NPS (servidor RADIUS) não foi configurado para aceitar apenas certificados de cliente que contêm o OID ( identificador de objeto de acesso condicional) do AAD .
Solução: use o PowerShell para determinar status de certificado
Para escapar desse loop:
Em Windows PowerShell, execute o
Get-WmiObject
cmdlet para despejar a configuração do perfil VPN.Verifique se as
<TLSExtensions>
variáveis ,<EKUName>
e<EKUOID>
existem e sua saída mostra o nome e o OID corretos.O código a seguir é uma saída de exemplo do
Get-WmiObject
cmdlet.PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap __GENUS : 2 __CLASS : MDM_VPNv2_01 __SUPERCLASS : __DYNASTY : MDM_VPNv2_01 __RELPATH : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2" __PROPERTY_COUNT : 10 __DERIVATION : {} __SERVER : DERS2 __NAMESPACE : root\cimv2\mdm\dmmap __PATH : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP Nv2" AlwaysOn : ByPassForLocal : DnsSuffix : EdpModeId : InstanceID : AlwaysOnVPN LockDown : ParentID : ./Vendor/MSFT/VPNv2 ProfileXML : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</ Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type> <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile> RememberCredentials : False TrustedNetworkDetection : PSComputerName : DERS2
Em seguida, execute o
Certutil
comando para determinar se há certificados válidos no repositório de certificados do usuário:C:\>certutil -store -user My My "Personal" ================ Certificate 0 ================ Serial Number: 32000000265259d0069fa6f205000000000026 Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info NotBefore: 12/8/2017 8:07 PM NotAfter: 12/8/2018 8:07 PM Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info Certificate Template Name (Certificate Type): User Non-root Certificate Template: User Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93 Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336 Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387 Provider = Microsoft Enhanced Cryptographic Provider v1.0 Encryption test passed ================ Certificate 1 ================ Serial Number: 367fbdd7e6e4103dec9b91f93959ac56 Issuer: CN=Microsoft VPN root CA gen 1 NotBefore: 12/8/2017 6:24 PM NotAfter: 12/8/2017 7:29 PM Subject: CN=WinFed@deverett.info Non-root Certificate Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097 Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336 Provider = Microsoft Software Key Storage Provider Private key is NOT exportable Encryption test passed
Observação
Se um certificado do Emissor CN=Microsoft VPN raiz CA gen 1 estiver presente no repositório Pessoal do usuário, mas o usuário tiver obtido acesso selecionando X para fechar a mensagem Oops, colete logs de eventos CAPI2 para verificar se o certificado usado para autenticação era um certificado de Autenticação de Cliente válido que não foi emitido da AC raiz da VPN da Microsoft.
Se existir um certificado de Autenticação de Cliente válido no repositório pessoal do usuário e os
TLSExtensions
valores ,EKUName
eEKUOID
estiverem configurados corretamente, a conexão não deverá ter êxito depois que o usuário fechar a caixa de diálogo.
Uma mensagem de erro deve aparecer que diz: "Não foi possível encontrar um certificado que possa ser usado com o Protocolo de Autenticação Extensível".
Não é possível excluir o certificado da guia de conectividade VPN
Esse problema é quando você não pode excluir certificados na guia conectividade VPN.
Motivo
Esse problema ocorre quando o certificado é definido como Primário.
Solução: alterar configurações de certificado
Para excluir certificados:
- Na guia conectividade VPN , selecione o certificado.
- Em Primário, selecione Não e, em seguida, selecione Salvar.
- Na guia conectividade VPN , selecione o certificado novamente.
- Selecione Excluir.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de