Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечисляются распространенные проблемы подключения типа "точка — сеть", которые могут возникнуть. Кроме того, здесь рассматриваются возможные причины этих проблем и способы их устранения.
Ошибка VPN-клиента: не удалось найти сертификат
Симптом
При попытке подключения к виртуальной сети Azure с помощью VPN-клиента появляется следующее сообщение об ошибке:
Не удалось найти сертификат, который был бы использован с протоколом расширенной проверки подлинности (EAP). (Ошибка 798)
Причина
Эта проблема возникает, если сертификат клиента отсутствует в папке Certificates - Current User\Personal\Certificates.
Решение
Устранить проблему можно так:
Откройте диспетчер сертификатов. Щелкните Запустить, введите управление сертификатами компьютеров и щелкните Управление сертификатами компьютеров в результатах поиска.
Убедитесь, что перечисленные ниже сертификаты находятся в правильном расположении.
Сертификат Расположение AzureClient.pfx Текущий пользователь\Личное\Сертификаты AzureRoot.cer Локальный компьютер\Доверенные корневые центры сертификации Перейдите в каталог C:\Users<имя_пользователя>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID> и вручную установите сертификат (файл *.cer) в хранилище пользователя и компьютера.
Дополнительные сведения о том, как установить сертификат клиента, см. в статье Создание и экспорт сертификатов для подключений типа "точка — сеть" с помощью PowerShell в Windows 10.
Примечание.
При импорте сертификата клиента не выбирайте параметр Включить усиленную защиту закрытого ключа.
Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает
Симптом
При попытке подключиться к шлюзу виртуальной сети Azure с помощью IKEv2 в Windows вы получите следующее сообщение об ошибке:
Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает
Причина
Проблема возникает, если версия Windows не поддерживает фрагментацию IKE.
Решение
IKEv2 поддерживается в Windows 10 и Server 2016. Однако для использования IKEv2 необходимо установить обновления и задать значение ключа реестра локально. Версии ОС до Windows 10 не поддерживаются и могут использовать только SSTP.
Чтобы подготовить Windows 10 или Server 2016 для IKEv2:
Установите обновление.
Версия ОС Дата Номер или ссылка Windows Server 2016
Windows 10 версии 160717 января 2018 г. KB4057142 Windows 10 версии 1703 17 января 2018 г. KB4057144 Windows 10 версии 1709 22 марта 2018 г. KB4089848 Установите значение ключа реестра. Создайте ключ REG_DWORD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayloadв реестре или задайте ему значение равное 1.
Ошибка VPN-клиента: получено непредвиденное или неправильно отформатированное сообщение
Симптом
При попытке подключения к виртуальной сети Azure с помощью VPN-клиента появляется следующее сообщение об ошибке:
Получено непредвиденное сообщение или оно имеет неправильный формат. (Ошибка 0x80090326)
Причина
Эта проблема возникает, если выполняется одно из следующих условий.
- Использование определяемых пользователем маршрутов (UDR) с использованием маршрута по умолчанию в подсети шлюза задано неправильно.
- Открытый ключ корневого сертификата не передается в VPN-шлюз Azure.
- Ключ поврежден или истек срок его действия.
Решение
Устранить проблему можно так:
- Удалите UDR в подсети шлюза. Убедитесь, что UDR перенаправляет весь трафик должным образом.
- Проверьте состояние корневого сертификата на портале Azure, чтобы узнать, не отменен ли он. Если он не отозван, попробуйте удалить корневой сертификат и повторно загрузить его. Дополнительные сведения см. в разделе Создание сертификатов.
Ошибка VPN-клиента: цепочка сертификатов обработана, но обработка прервана
Симптом
При попытке подключения к виртуальной сети Azure с помощью VPN-клиента появляется следующее сообщение об ошибке:
Цепочка сертификатов обработана, но завершилась на корневом сертификате, который не доверен поставщиком доверия.
Решение
Убедитесь, что перечисленные ниже сертификаты находятся в правильном расположении.
Сертификат Расположение AzureClient.pfx Текущий пользователь\Личное\Сертификаты Azuregateway-GUID.cloudapp.net Текущий пользователь\Доверенные корневые центра сертификации AzureGateway-GUID.cloudapp.net, AzureRoot.cer Локальный компьютер\Доверенные корневые центры сертификации Если сертификаты уже находятся в соответствующих расположениях, попробуйте удалить эти сертификаты и установить их заново. Сертификат azuregateway-GUID.cloudapp.net находится в пакете конфигурации VPN-клиента, скачанном с портала Azure. Для извлечения файлов из пакета можно использовать архиваторы.
Ошибка скачивания файла: целевой универсальный код ресурса (URI) не указан
Симптом
Отображается следующее сообщение об ошибке:
Ошибка скачивания файла. Не указано URI назначения.
Причина
Эта проблема возникает из-за неправильного типа шлюза.
Решение
Типом VPN-шлюза должен быть VPN, а типом VPN — routebased.
Ошибка VPN-клиента: сбой настраиваемого сценария VPN Azure
Симптом
При попытке подключения к виртуальной сети Azure с помощью VPN-клиента появляется следующее сообщение об ошибке:
Произошел сбой настраиваемого сценария (для обновления таблицы маршрутизации). (Ошибка 8007026f)
Причина
Эта проблема может возникнуть, если вы пытаетесь открыть VPN-подключение с сайта к точке доступа с помощью ярлыка.
Решение
Откройте пакет VPN напрямую, а не с помощью ярлыка.
Не удается установить VPN-клиент
Причина
Для установления отношений доверия между VPN-шлюзом и виртуальной сетью требуется дополнительный сертификат. Этот сертификат включен в пакет конфигурации VPN-клиента, который создается на портале Azure.
Решение
Извлеките содержимое пакета конфигурации VPN-клиента и найдите CER-файл. Для установки сертификата выполните следующие действия:
- Запустите mmc.exe.
- Добавьте оснастку Сертификаты.
- Выберите учетную запись Компьютер для локального компьютера.
- Щелкните правой кнопкой мыши на узле Доверенные корневые центры сертификации. Щелкните Все задачи>Импорт и найдите CER-файл, извлеченный из пакета конфигурации VPN-клиента.
- Перезагрузите компьютер.
- Попробуйте установить VPN-клиент.
Ошибка портала Azure: не удалось сохранить VPN-шлюз, так как данные являются недопустимыми
Симптом
При попытке сохранить изменения для VPN-шлюза на портале Azure появляется следующее сообщение об ошибке:
Не удалось сохранить шлюз виртуальной сети <имя шлюза>. Недействительные данные для сертификата <идентификатор сертификата>.
Причина
Эта проблема может возникнуть, если переданный вами открытый ключ корневого сертификата содержит недопустимые знаки, например пробел.
Решение
Убедитесь, что содержащиеся в сертификате данные не содержат недопустимых символов, например, разрывов строк (возвратов каретки). Значение целиком должно находиться в одной длинной строке. В следующем примере показана область для копирования в сертификате:
Ошибка портала Azure: не удалось сохранить VPN-шлюз, так как имя ресурса является недопустимым
Симптом
При попытке сохранить изменения для VPN-шлюза на портале Azure появляется следующее сообщение об ошибке:
Не удалось сохранить шлюз виртуальной сети <имя шлюза>. Недопустимое имя ресурса <имя сертификата, который вы пытаетесь передать>.
Причина
Эта проблема возникает, когда имя сертификата содержит недопустимые знаки, например пробел.
Ошибка портала Azure: ошибка 503 при скачивании файла пакета VPN
Симптом
При попытке скачать пакет конфигурации VPN-клиента появляется следующее сообщение об ошибке:
Не удалось скачать файл. Сведения об ошибке: ошибка 503. Сервер занят.
Решение
Эта ошибка может быть вызвана временным сбоем сети. Попробуйте еще раз скачать пакет VPN через несколько минут.
Обновление VPN-шлюз Azure: все клиенты типа "точка — сеть" не могут подключиться
Причина
Если срок действия сертификата превышает 50 процентов его срока службы, то сертификат перевыпускается.
Решение
Чтобы устранить эту проблему, перезагрузите и повторно разверните пакет "точка — сеть" на всех клиентах.
Слишком много одновременно подключенных VPN-клиентов
Достигнуто максимальное число допустимых подключений. Общее количество подключенных клиентов можно просмотреть на портале Azure.
VPN-клиент не может получить доступ к сетевым файловым папкам
Симптом
VPN-клиент подключился к виртуальной сети Azure. Однако клиент не может получить доступ к сетевым ресурсам.
Причина
Для доступа к файловым ресурсам используется протокол SMB. При запуске подключения VPN-клиент добавляет учетные данные сеанса и происходит сбой. После установления подключения клиент принудительно использует кэшированные учетные данные для аутентификации Kerberos. Это инициирует отправку запросов к центру распространения ключей (контроллеру домена) для получения токена. Так как клиенты подключаются через Интернет, они могут не подключиться к контроллеру домена. Поэтому клиент не может переключиться с Kerberos на NTLM.
Единственный раз, когда клиент запрашивает учетные данные, это когда у него есть действительный сертификат (с SAN=UPN), выданный доменом, к которому он присоединен. Клиент также должен быть физически подключен к доменной сети. В этом случае клиент пытается использовать сертификат и подключиться к контроллеру домена. Затем центр распространения ключей возвращает ошибку "KDC_ERR_C_PRINCIPAL_UNKNOWN". Клиент вынужден перейти на резервный вариант NTLM.
Решение
Чтобы обойти эту проблему, отключите кэширование учетных данных домена в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
Не удается найти VPN-подключение типа "точка — сеть" в Windows после переустановки VPN-клиента
Симптом
Вы удаляете VPN-подключение типа "точка — сеть", а затем переустанавливаете VPN-клиент. В этой ситуации VPN-подключение не настроено успешно. Vpn-подключение не отображается в параметрах сетевых подключений в Windows.
Решение
Чтобы устранить эту проблему, удалите старые файлы конфигурации VPN-клиента из папки C:\Users\<имя_пользователя>\AppData\Roaming\Microsoft\Network\Connections<ИД_виртуальной_сети>, а затем снова запустите установщик VPN-клиента.
VPN-клиент типа "точка — сеть" не может разрешить полное доменное имя ресурсов в локальном домене.
Симптом
Когда клиент подключается к Azure с помощью VPN-подключения типа "точка-сайт", ему не удается разрешить полное доменное имя ресурсов в вашем локальном домене.
Причина
VPN-клиент типа "точка — сеть" обычно использует DNS-серверы Azure, настроенные в виртуальной сети Azure. DNS-серверы Azure имеют приоритет перед локальными DNS-серверами, настроенными в клиенте, если метрика интерфейса Ethernet не ниже, поэтому все запросы DNS отправляются на DNS-серверы Azure. Если у dns-серверов Azure нет записей для локальных ресурсов, запрос завершается ошибкой.
Решение
Чтобы устранить эту проблему, убедитесь, что DNS-серверы Azure, используемые в виртуальной сети Azure, могут разрешать записи DNS для локальных ресурсов. Для этого можно использовать DNS-серверы пересылки или серверы условной пересылки. Дополнительные сведения см. в разделе "Разрешение имен" с помощью собственного DNS-сервера.
Устанавливается VPN-подключение типа "точка — сеть", но вы по-прежнему не можете подключиться к ресурсам Azure.
Причина
Эта проблема может возникнуть, если VPN-клиент не получает маршруты из VPN-шлюза Azure.
Решение
Чтобы устранить эту проблему, сбросьте VPN-шлюз Azure. Чтобы убедиться, что используются новые маршруты, клиенты VPN "точка-сеть" необходимо загрузить заново после успешной настройки пиринга виртуальной сети.
Ошибка: "Функция отзыва не смогла проверить отзыв, так как сервер отзыва был отключен. (Ошибка 0x80092013)"
Причины
Это сообщение об ошибке возникает, если клиент не может получить доступ http://crl3.digicert.com/ssca-sha2-g1.crl и http://crl4.digicert.com/ssca-sha2-g1.crl. Для проверки отмены сертификатов требуется доступ к этим двум сайтам. Эта проблема обычно возникает на клиенте, для которого настроен прокси-сервер. В некоторых средах, если запросы не проходят через прокси-сервер, он будет запрещен в пограничном брандмауэре.
Решение
Проверьте параметры прокси-сервера и убедитесь, что у клиента есть доступ к http://crl3.digicert.com/ssca-sha2-g1.crl и http://crl4.digicert.com/ssca-sha2-g1.crl.
Ошибка VPN-клиента: подключение было запрещено из-за политики, настроенной на сервере RAS/VPN. (Ошибка 812.)"
Причина
Эта ошибка возникает, если для сервера RADIUS, который использовался для аутентификации VPN-клиента, заданы неправильные параметры или шлюзу Azure не удается подключиться к серверу RADIUS.
Решение
Убедитесь, что сервер RADIUS настроен правильно. Дополнительные сведения см. в разделе Интеграция аутентификации RADIUS с сервером Многофакторной идентификации Azure.
"Ошибка 405" при скачивании корневого сертификата из VPN-шлюза
Причина
Корневой сертификат не установлен. Корневой сертификат установлен в хранилище доверенных сертификатов клиента.
Ошибка VPN-клиента: удаленное подключение не было сделано из-за сбоя попыток VPN-туннелей. (Ошибка 800.)"
Причина
Драйвер сетевого адаптера является устаревшим.
Решение
Обновите драйвер сетевого адаптера.
- Нажмите кнопку Пуск, введите диспетчер устройств и выберите диспетчер устройств из списка результатов. При получении запроса на ввод пароля администратора или подтверждения введите пароль или подтвердите действие.
- В категориях Сетевые адаптеры найдите сетевой адаптер, который требуется обновить.
- Дважды щелкните имя устройства, выберите Обновить драйвер и щелкните Автоматический поиск обновленных драйверов.
- Если Windows не удастся найти новый драйвер, его можно будет найти на веб-сайте изготовителя устройства и следовать представленным инструкциям.
- Перезагрузите компьютер и повторите попытку подключения.
Ошибка VPN-клиента: срок действия проверки подлинности с использованием Microsoft Entra истек
Если вы используете проверку подлинности идентификатора Microsoft Entra, может возникнуть одна из следующих ошибок:
Срок действия проверки подлинности с помощью Microsoft Entra истек. Чтобы получить новый маркер, необходимо повторно пройти проверку подлинности в Entra. Время ожидания проверки подлинности можно настроить администратором.
или
Срок действия проверки подлинности с помощью Microsoft Entra истек, поэтому необходимо повторно пройти проверку подлинности для получения нового маркера. Повторите попытку подключения. Политики проверки подлинности и время ожидания настраиваются администратором в клиенте Entra.
Причина
Подключение типа "точка-сайт" отключено, так как срок действия текущего маркера обновления истек или стал недействительным. Новые маркеры доступа не могут быть получены для аутентификации пользователя.
Когда VPN-клиент Azure пытается установить подключение к VPN-шлюзу Azure с помощью проверки подлинности идентификатора Microsoft Entra, для проверки подлинности пользователя требуется маркер доступа. Этот маркер обновляется примерно каждый час. Действительный токен доступа может быть выдан только в том случае, если у пользователя есть действительный токен обновления. Если у пользователя нет допустимого токена обновления, соединение разрывается.
Токен обновления может считаться просроченным или недействительным по нескольким причинам. Для отладки можно проверить журналы входа User Entra. Смотрите журналы входа в Microsoft Entra.
Истек срок действия маркера обновления
- Время существования маркеров обновления по умолчанию — 90 дней. Через 90 дней пользователям необходимо повторно подключиться, чтобы получить новый маркер обновления.
- Администраторы клиента Entra могут добавлять политики условного доступа для частоты входа, которая активирует периодическое повторную проверку подлинности каждые X часов. (Срок действия маркера обновления истекает через X часов). Пользователи вынуждены выполнять интерактивную авторизацию каждые X часов с помощью пользовательских политик условного доступа. Дополнительные сведения см. в разделе Маркеры обновления в платформе идентификации Майкрософт и Настройка адаптивных политик времени существования сеанса.
Маркер обновления недопустим
- Пользователь был удален из арендатора.
- Учетные данные пользователя изменились.
- Сеансы были отменены администратором клиента Entra.
- Устройство стало несоответствующим (если это управляемое устройство).
- Другие политики, настроенные администраторами Entra, которые требуют, чтобы пользователи регулярно проходили интерактивную авторизацию.
Решение
В этих сценариях пользователям необходимо повторно подключиться. Это запускает интерактивный процесс входа в Microsoft Entra, в результате которого выдается новый токен обновления и токен доступа.
VPN-клиент Azure с проверкой подлинности через Entra ID не запрашивает повторную проверку подлинности пользователя при каждом отключении
Причина
Vpn-клиент Azure, подключающийся с использованием проверки подлинности типа "точка — сеть" с проверкой подлинности идентификатора Записи, не требует интерактивной повторной проверки подлинности при отключении.
Рекомендуемая частота входа (SIF) или время истечения срока действия токена обновления для оптимальной работы с VPN-клиентом Azure должна составлять более 2 часов в зависимости от предпочтений клиента. Это означает, что клиент будет оставаться подключенным в течение этой длительности без необходимости повторной проверки подлинности в интерактивном режиме.
Настройка SIF на "каждый раз" рекомендуется не использовать, так как это требует интерактивной реаутентификации каждый час, что приводит к частым отключениям.
Если включен кэш входа (по умолчанию), маркер хранится в постоянном хранилище, что позволяет повторно подключиться без интерактивной повторной проверки подлинности даже после отключения, если маркер обновления действителен. Это означает, что длительность повторного подключения находится в течение срока действия SIF или маркера обновления.
Решение
Чтобы убедиться, что VPN-клиент Azure запрашивает повторную проверку подлинности при каждом отключении, клиент может использовать параметр "Кэш входа отключен" в VPN-клиенте Azure (версия 4.0.0.0.0 и более поздних версий). Клиент может изменить параметр cachesigninuser профиля пользователя (XML) на false.
<azvpnprofile>
<clientauth>
<aad>
<cachesigninuser>false</cachesigninuser>
</aad>
</clientauth>
</azvpnprofile>
Если кэш входа отключен, маркер хранится в хранилище памяти, допустимый для одного подключения (или сеанса), независимо от его длительности (от 30 минут до 90 дней). После отключения подключения маркер в памяти удаляется. Длительность одного подключения зависит от времени истечения срока действия маркера обновления или SIF.
Ошибка VPN-клиента: попытка установить VPN-соединение <VPN Connection Name>, состояние = VPN-платформа не инициировала подключение.
Вы также можете увидеть следующую ошибку в Просмотре событий от RasClient: "<Пользователь> установил соединение с именем <соединение VPN>, но оно не удалось. Код ошибки, возвращенный при сбое: 1460".
Причина
У VPN-клиента Azure нет разрешения "Фоновые приложения" в параметрах приложения для Windows.
Решение
- В Windows перейдите в "Параметры" -> "Конфиденциальность" -> "Фоновые приложения"
- Установите переключатель "Разрешить запуск приложений в фоновом режиме" в положение "Вкл."
Ошибка: "Произошла ошибка скачивания файла. Целевой URI не указан."
Причина
Эта ошибка возникает из-за неправильной настройки типа шлюза.
Решение
Типом VPN-шлюза Azure должен быть "VPN", а типом VPN — RouteBased.
Установщик пакета VPN не завершает установку
Причина
Причиной этой проблемы могут быть предыдущие установки VPN-клиента.
Решение
Удалите старые файлы конфигурации VPN-клиента из папки C:\Users\<имя_пользователя>\AppData\Roaming\Microsoft\Network\Connections<ИД_виртуальной_сети>, а затем снова запустите установщик VPN-клиента.
VPN-клиент в режиме гибернации или спящего режима
Решение
Проверьте параметры спящего режима и режима гибернации на компьютере с VPN-клиентом.
Не удается разрешить записи в частных DNS-зонах, используя частный резольвер с клиентами типа "точка-сеть".
Симптом
При использовании предоставленного Azure DNS-сервера (168.63.129.16) на виртуальной сети, клиенты с подключением "точка-сайт" не смогут разрешать записи, присутствующие в частных зонах DNS (включая частные конечные точки).
Причина
IP-адрес DNS-сервера Azure (168.63.129.16) разрешим только с платформы Azure.
Решение
Следующие действия помогут устранить записи из зоны Частная зона DNS.
Настройка входящего IP-адреса частного резольвера в качестве пользовательских DNS-серверов в виртуальной сети помогает разрешать записи в частной зоне DNS (включая те, которые созданы из частных конечных точек). Обратите внимание, что частные зоны DNS должны быть связаны с виртуальной сетью, которая имеет частный резолвер.
По умолчанию DNS-серверы, настроенные в виртуальной сети, будут отправляться на клиенты типа "точка — сеть", подключенные через VPN-шлюз. Следовательно, конфигурирование входящего IP-адреса частного резольвера в качестве пользовательских DNS-серверов в виртуальной сети автоматически применяет эти IP-адреса клиентам в качестве VPN-сервера DNS, и вы можете беспрепятственно разрешать записи из частных DNS-зон, включая частные конечные точки.