Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сводка
В этой статье перечисляются распространенные проблемы подключения типа "точка — сеть", которые могут возникнуть. Кроме того, здесь рассматриваются возможные причины этих проблем и способы их устранения.
Ошибка VPN-клиента: не удалось найти сертификат
Симптом
При попытке подключиться к виртуальной сети Azure с помощью VPN-клиента вы получите следующее сообщение об ошибке:
Не удалось найти сертификат, который был бы использован с протоколом расширенной проверки подлинности (EAP). (Ошибка 798)
Причина
Эта проблема возникает, если сертификат клиента отсутствует в папке Certificates - Current User\Personal\Certificates.
Решение
Чтобы устранить эту проблему, выполните следующие действия.
Откройте диспетчер сертификатов: выберите "Пуск", введите управление сертификатами компьютера, а затем выберите управление сертификатами компьютера в результатах поиска.
Убедитесь, что перечисленные ниже сертификаты находятся в правильном расположении.
Certificate Местоположение AzureClient.pfx Текущий пользователь\Личное\Сертификаты AzureRoot.cer Локальный компьютер\Доверенные корневые центры сертификации Перейдите в каталог C:\Users<имя_пользователя>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID> и вручную установите сертификат (файл *.cer) в хранилище пользователя и компьютера.
Если вы только что обновили или установили новый сертификат, перезагрузите клиентский компьютер, чтобы убедиться, что используется новый сертификат.
Дополнительные сведения о том, как установить сертификат клиента, см. в статье Создание и экспорт сертификатов для подключений типа "точка — сеть" с помощью PowerShell в Windows 10.
Замечание
При импорте сертификата клиента не выбирайте параметр "Включить защиту строгого закрытого ключа ".
Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает
Симптом
При попытке подключиться к шлюзу виртуальной сети Azure с помощью IKEv2 в Windows вы получите следующее сообщение об ошибке:
Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает
Причина
Эта проблема возникает, если версия Windows не поддерживает фрагментацию IKE.
Решение
Windows 10 и Server 2016 поддерживают IKEv2. Однако, чтобы использовать IKEv2, необходимо установить обновления и задать значение параметра в реестре на локальном компьютере. Версии ОС до Windows 10 не поддерживаются и могут использовать только SSTP.
Чтобы подготовить Windows 10 или Server 2016 для IKEv2:
Установите обновление.
Версия ОС Date Номер или ссылка Windows Server 2016
Windows 10 версии 160717 января 2018 г. KB4057142 Windows 10 версии 1703 17 января 2018 г. KB4057144 Windows 10 версии 1709 22 марта 2018 г. KB4089848 Установите значение ключа реестра. Создайте ключ REG_DWORD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayloadв реестре или задайте ему значение равное 1.
Ошибка VPN-клиента: получено непредвиденное или неправильно отформатированное сообщение
Симптом
При попытке подключиться к виртуальной сети Azure с помощью VPN-клиента вы получите следующее сообщение об ошибке:
Получено непредвиденное сообщение или оно имеет неправильный формат. (Ошибка 0x80090326)
Причина
Эта проблема возникает, если выполняется одно из следующих условий.
- Вы неправильно настроили определяемые пользователем маршруты (UDR) с маршрутом по умолчанию в подсети шлюза.
- Вы не отправляете открытый ключ корневого сертификата в vpn-шлюз Azure.
- Ключ поврежден или истек срок его действия.
Решение
Чтобы устранить эту проблему, выполните следующие действия.
- Удалите UDR в подсети шлюза. Убедитесь, что UDR перенаправляет весь трафик должным образом.
- Проверьте состояние корневого сертификата на портале Azure, чтобы узнать, отозвано ли оно. Если он не отозван, попробуйте удалить корневой сертификат и повторно загрузить его. Дополнительные сведения см. в разделе Создание сертификатов.
Ошибка VPN-клиента: цепочка сертификатов обработана, но обработка прервана
Симптом
При попытке подключиться к виртуальной сети Azure с помощью VPN-клиента вы получите следующее сообщение об ошибке:
Цепочка сертификатов обработана, но завершилась на корневом сертификате, который не доверен поставщиком доверия.
Решение
Убедитесь, что перечисленные ниже сертификаты находятся в правильном расположении.
Certificate Местоположение AzureClient.pfx Текущий пользователь\Личное\Сертификаты Azuregateway-GUID.cloudapp.net Текущий пользователь\Доверенные корневые центра сертификации AzureGateway-GUID.cloudapp.net, AzureRoot.cer Локальный компьютер\Доверенные корневые центры сертификации Если сертификаты уже находятся в соответствующих расположениях, попробуйте удалить эти сертификаты и установить их заново. Сертификат azuregateway-GUID.cloudapp.net в пакете конфигурации VPN-клиента, скачанном на портале Azure. Для извлечения файлов из пакета можно использовать архиваторы.
Ошибка скачивания файла: целевой универсальный код ресурса (URI) не указан
Симптом
Вы получите следующее сообщение об ошибке:
Ошибка скачивания файла. Не указано URI назначения.
Причина
Эта проблема возникает из-за неправильного типа шлюза.
Решение
Типом VPN-шлюза должен быть VPN, а типом VPN — routebased.
Ошибка VPN-клиента: сбой пользовательского скрипта VPN Azure
Симптом
При попытке подключиться к виртуальной сети Azure с помощью VPN-клиента вы получите следующее сообщение об ошибке:
Произошел сбой настраиваемого сценария (для обновления таблицы маршрутизации). (Ошибка 8007026f)
Причина
Эта проблема возникает, если попытаться открыть VPN-подключение типа "сеть — точка" с помощью ярлыка.
Решение
Откройте пакет VPN напрямую, а не с помощью ярлыка.
Профиль VPN многократно удаляется и повторно создается на Windows 11
Симптом
- VPN-подключение отключается во время или вскоре после синхронизации Intune.
- Профиль VPN, как представляется, удаляется, а затем повторно создан, даже если изменения конфигурации не были внесены.
- Это поведение наблюдается главным образом на Windows 11 устройствах.
Причина
Эта проблема возникает из-за различий в том, как Intune и Windows обрабатывать XML-код профиля VPN:
- Во время синхронизации Intune Intune сравнивает профиль VPN, назначенный устройству, с профилем, текущим в системе.
- Windows не сохраняет исходный XML-код профиля VPN точно так же, как он был предоставлен Intune. При запросе Windows повторно создает XML-представление профиля.
- Повторно созданный XML-код может отличаться в форматировании, упорядочении или нормализации от исходного XML-файла, отправленного в Intune.
- Хотя эффективная конфигурация VPN совпадает, эти различия форматирования могут привести к тому, что Intune может интерпретировать профиль как изменённый.
- Когда Intune обнаруживает разницу, он удаляет существующий профиль VPN и подготавливает новый, что приводит к отключению VPN-подключения.
Решение
Чтобы предотвратить ненужное удаление и восстановление профиля VPN, убедитесь, что XML-профиль, используемый в Intune, соответствует формату, созданному Windows. Рекомендуемый подход — извлечь XML-код профиля с устройства, где профиль VPN уже подготовлен и работает правильно.
Подготовьте профиль VPN через Intune, содержащий все необходимые параметры.
На устройстве Windows с правильным примененным профилем откройте PowerShell и получите список подготовленных профилей VPN:
$vpns = Get-CimInstance -Namespace root\cimv2\mdm\dmmap -ClassName MDM_VPNv2_01Определите правильный профиль, просмотрив значение InstanceID:
$vpns[0].InstanceIDЭкспорт XML профиля в файл:
[System.IO.File]::WriteAllText("VPN-Corrected.xml", $vpns[0].ProfileXML)Используйте экспортируемый XML-файл в качестве определения профиля VPN в Intune.
Использование XML, созданного Windows, помогает обеспечить согласованность между профилем, хранящимся на устройстве, и профилем, вычисляемым Intune, что снижает вероятность удаления профиля и отключения VPN во время синхронизации.
Не удается установить VPN-клиент
Причина
Требуется дополнительный сертификат, чтобы доверять VPN-шлюзу для виртуальной сети. Портал Azure включает этот сертификат в пакет конфигурации VPN-клиента, который он создает.
Решение
Извлеките содержимое пакета конфигурации VPN-клиента и найдите CER-файл. Для установки сертификата выполните следующие действия:
- Запустите mmc.exe.
- Добавьте оснастку Сертификаты.
- Выберите учетную запись Компьютер для локального компьютера.
- Щелкните правой кнопкой мыши на узле Доверенные корневые центры сертификации. Щелкните Все задачи>Импорт и найдите CER-файл, извлеченный из пакета конфигурации VPN-клиента.
- Перезапустите компьютер.
- Попробуйте установить VPN-клиент.
ошибка портала Azure: не удалось сохранить VPN-шлюз, и данные недопустимы
Симптом
При попытке сохранить изменения для VPN-шлюза на портале Azure вы получите следующее сообщение об ошибке:
Не удалось сохранить шлюз виртуальной сети <имя шлюза>. Недействительные данные для сертификата <идентификатор сертификата>.
Причина
Эта проблема может возникнуть, если переданный вами открытый ключ корневого сертификата содержит недопустимые знаки, например пробел.
Решение
Убедитесь, что содержащиеся в сертификате данные не содержат недопустимых символов, например, разрывов строк (возвратов каретки). Значение целиком должно находиться в одной длинной строке. В следующем примере показана область для копирования в сертификате:
ошибка портала Azure: не удалось сохранить VPN-шлюз, а имя ресурса недопустимо
Симптом
При попытке сохранить изменения для VPN-шлюза на портале Azure вы получите следующее сообщение об ошибке:
Не удалось сохранить шлюз виртуальной сети <имя шлюза>. Недопустимое имя ресурса <имя сертификата, который вы пытаетесь передать>.
Причина
Эта проблема возникает, когда имя сертификата содержит недопустимые знаки, например пробел.
ошибка Azure портала: ошибка скачивания файла пакета VPN 503
Симптом
При попытке скачать пакет конфигурации VPN-клиента появляется следующее сообщение об ошибке:
Не удалось скачать файл. Сведения об ошибке: ошибка 503. Сервер занят.
Решение
Эта ошибка может быть вызвана временным сбоем сети. Попробуйте еще раз скачать пакет VPN через несколько минут.
обновление Azure VPN Gateway: все клиенты типа "точка — сеть" не могут подключаться
Причина
Срок действия сертификата истёк более чем на 50 %, поэтому он был перевыпущен.
Решение
Чтобы устранить эту проблему, перезагрузите и повторно разверните пакет "точка — сеть" на всех клиентах.
Слишком много одновременно подключенных VPN-клиентов
Достигнуто максимальное количество подключений. Общее количество подключенных клиентов можно увидеть на портале Azure.
VPN-клиент не может получить доступ к сетевым файловым папкам
Симптом
VPN-клиент подключается к виртуальной сети Azure. Однако клиент не может получить доступ к сетевым ресурсам.
Причина
Для доступа к файловым ресурсам используется протокол SMB. При запуске подключения VPN-клиент добавляет учетные данные сеанса и происходит сбой. После установки подключения клиент использует учетные данные кэша для проверки подлинности Kerberos. Это инициирует отправку запросов к центру распространения ключей (контроллеру домена) для получения токена. Так как клиенты подключаются через Интернет, они могут не подключиться к контроллеру домена. Поэтому клиент не может переключиться с Kerberos на NTLM.
Единственный раз, когда клиент запрашивает учетные данные, это когда у него есть действительный сертификат (с SAN=UPN), выданный доменом, к которому он присоединен. Клиент также должен быть физически подключен к доменной сети. В этом случае клиент пытается использовать сертификат и подключиться к контроллеру домена. Затем центр распространения ключей возвращает ошибку "KDC_ERR_C_PRINCIPAL_UNKNOWN". Клиент вынужден перейти на резервный вариант NTLM.
Решение
Чтобы обойти эту проблему, отключите кэширование учетных данных домена в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
Не удается найти VPN-подключение типа "точка — сеть" в Windows после переустановки VPN-клиента
Симптом
Вы удаляете VPN-подключение типа "точка — сеть", а затем переустанавливаете VPN-клиент. В этой ситуации VPN-подключение не настроено успешно. Vpn-подключение не отображается в параметрах Network в Windows.
Решение
Чтобы устранить эту проблему, удалите старые файлы конфигурации VPN-клиента из папки C:\Users\<имя_пользователя>\AppData\Roaming\Microsoft\Network\Connections<ИД_виртуальной_сети>, а затем снова запустите установщик VPN-клиента.
VPN-клиент типа "точка — сеть" не может разрешить полное доменное имя ресурсов в локальном домене.
Симптом
Когда клиент подключается к Azure с помощью VPN-подключения типа "точка-сеть", он не может разрешить FQDN ресурсов в локальном домене.
Причина
VPN-клиент типа "точка — сеть" обычно использует серверы Azure DNS, настроенные в виртуальной сети Azure. Серверы Azure DNS имеют приоритет над локальными DNS-серверами, настроенными в клиенте (если метрика интерфейса Ethernet не ниже), поэтому все запросы DNS отправляются на серверы Azure DNS. Если серверы Azure DNS не имеют записей для локальных ресурсов, запрос завершается ошибкой.
Решение
Чтобы устранить проблему, убедитесь, что серверы Azure DNS, используемые в виртуальной сети Azure, могут разрешать записи DNS для локальных ресурсов. Для этого можно использовать DNS-серверы пересылки или серверы условной пересылки. Дополнительные сведения см. в разделе "Разрешение имен" с помощью собственного DNS-сервера.
Устанавливается VPN-подключение типа "точка — сеть", но подключение к Azure ресурсам по-прежнему невозможно.
Причина
Эта проблема возникает, если VPN-клиент не получает маршруты из VPN-шлюза Azure.
Решение
Чтобы устранить эту проблему, сбросьте шлюз Azure VPN. Чтобы убедиться, что используются новые маршруты, скачайте VPN-клиенты типа "точка — сеть" снова после успешной настройки пиринга виртуальной сети.
Ошибка: "Функция отзыва не смогла проверить отзыв, так как сервер отзыва был отключен. (Ошибка 0x80092013)"
Причины
Это сообщение об ошибке возникает, если клиент не может получить доступ http://crl3.digicert.com/ssca-sha2-g1.crl и http://crl4.digicert.com/ssca-sha2-g1.crl. Для проверки отмены сертификатов требуется доступ к этим двум сайтам. Эта проблема обычно возникает на клиенте, для которого настроен прокси-сервер. В некоторых средах, если запросы не проходят через прокси-сервер, брандмауэр edge запрещает их.
Решение
Проверьте параметры прокси-сервера. Убедитесь, что клиент может получить доступ к http://crl3.digicert.com/ssca-sha2-g1.crl и http://crl4.digicert.com/ssca-sha2-g1.crl.
Ошибка VPN-клиента: подключение было запрещено из-за политики, настроенной на сервере RAS/VPN. (Ошибка 812.)"
Причина
Эта ошибка возникает, если сервер RADIUS, используемый для проверки подлинности VPN-клиента, имеет неверные параметры или Azure шлюз не может добраться до сервера RADIUS.
Решение
Убедитесь, что сервер RADIUS настроен правильно. Дополнительные сведения см. в статье Интеграция проверки подлинности RADIUS с сервером Многофакторной идентификации Azure.
Ошибка 405 при скачивании корневого сертификата из VPN-шлюз
Причина
Вы не установили корневой сертификат. Установите корневой сертификат в хранилище доверенных сертификатов клиента.
Ошибка VPN-клиента: удаленное подключение не было сделано из-за сбоя попыток VPN-туннелей. (Ошибка 800.)"
Причина
Драйвер сетевого адаптера является устаревшим.
Решение
Обновите драйвер сетевого адаптера.
- Нажмите кнопку "Пуск", введите диспетчер устройств и выберите ее в списке результатов. При получении запроса на ввод пароля администратора или подтверждения введите пароль или подтвердите действие.
- В категориях Сетевые адаптеры найдите сетевой адаптер, который требуется обновить.
- Дважды щелкните имя устройства, выберите "Обновить драйвер" и автоматически выберите "Поиск" для обновленного программного обеспечения драйвера.
- Если Windows не находит нового драйвера, вы можете попробовать найти его на веб-сайте производителя устройства и следовать их инструкциям.
- Перезагрузите компьютер и повторите попытку подключения.
Ошибка VPN-клиента: срок действия вашей аутентификации в Microsoft Entra истек.
Если вы используете Microsoft Entra ID проверку подлинности, может возникнуть одна из следующих ошибок:
Срок действия проверки подлинности с Microsoft Entra истек. Чтобы получить новый маркер, необходимо повторно пройти проверку подлинности в Entra. Время ожидания проверки подлинности можно настроить администратором.
или
Срок действия проверки подлинности с помощью Microsoft Entra истек, поэтому необходимо повторно пройти проверку подлинности для получения нового маркера. Повторите попытку подключения. Политики проверки подлинности и время ожидания настраиваются администратором в клиенте Entra.
Причина
Подключение типа "точка-сайт" отключено, так как срок действия текущего маркера обновления истек или стал недействительным. Не удаётся получить новые токены доступа для аутентификации пользователя.
Когда vpn-клиент Azure пытается установить подключение к VPN-шлюзу Azure с помощью проверки подлинности Microsoft Entra ID, для проверки подлинности пользователя требуется маркер доступа. Этот маркер обновляется примерно каждый час. Действительный токен доступа может быть выдан только в том случае, если у пользователя есть действительный токен обновления. Если у пользователя нет действительного токена обновления, соединение разрывается.
Несколько причин могут привести к истечении срока действия маркера обновления или стать недействительным. Проверьте журналы входа User Entra для отладки. Дополнительные сведения см. в журналах входов Microsoft Entra.
Срок действия маркера обновления истекает
- Срок действия маркеров обновления истекает через 90 дней по умолчанию. Через 90 дней пользователям необходимо повторно подключиться, чтобы получить новый маркер обновления.
- Администраторы клиента Entra могут добавлять политики условного доступа для частоты входа в систему, которые инициируют периодическую повторную аутентификацию каждые X часов. (Срок действия токена обновления истекает через 'X' часов). При использовании настраиваемых политик условного доступа пользователи должны выполнять интерактивный вход в систему каждые X часов. Дополнительные сведения см. в разделе Маркеры обновления в платформе идентификации Майкрософт и Настройка адаптивных политик времени существования сеанса.
- Срок действия маркеров обновления истекает через 90 дней по умолчанию. Через 90 дней пользователям необходимо повторно подключиться, чтобы получить новый маркер обновления.
Токен обновления становится недействительным
- Пользователь удалён из арендатора.
- Изменение учетных данных пользователя.
- Администратор клиента Entra отменяет сеансы.
- Устройство стало несоответствующим (если это управляемое устройство).
- Другие политики Entra, настроенные администраторами Entra, требующие от пользователей периодически выполнять интерактивный вход в систему.
Решение
В этих сценариях пользователям необходимо повторно подключиться. Это действие активирует интерактивный процесс входа в Microsoft Entra, который выдает новый маркер обновления и маркер доступа.
Azure VPN-клиент с аутентификацией через Entra ID не требует повторной аутентификации пользователя при каждом отключении
Причина
Azure VPN-клиент, подключающийся с помощью типа "точка — сеть" с проверкой подлинности Entra ID, не требует интерактивной повторной проверки подлинности при отключении.
Установите рекомендуемую частоту входа в систему (SIF) или срок действия маркера обновления для оптимальной работы с Azure VPN Client на значение более 2 часов, в зависимости от того, какой вариант вам подходит больше. Этот параметр позволяет подключаться без необходимости повторной проверки подлинности в интерактивном режиме.
Не устанавливайте для SIF значение "каждый раз", так как требуется интерактивная повторная авторизация каждый час и вызывает частые отключения.
Если кэш входа включен (по умолчанию), маркер хранится в постоянном хранилище. Это хранилище позволяет повторно подключиться без интерактивной повторной проверки подлинности даже после отключения, если маркер обновления действителен. Это условие означает, что продолжительность повторного подключения не превышает срок действия SIF или токена обновления.
Решение
Чтобы убедиться, что Azure VPN-клиент запрашивает повторную проверку подлинности при каждом отключении, используйте параметр кэша входа, отключенный в Azure VPN-клиенте (версия 4.0.0.0 и более поздние версии). Измените параметр cachesigninuser профиля пользователя (XML) на false.
<azvpnprofile>
<clientauth>
<aad>
<cachesigninuser>false</cachesigninuser>
</aad>
</clientauth>
</azvpnprofile>
При отключении кэша входа маркер хранится в хранилище в памяти и действителен для одного подключения (или сеанса), независимо от его длительности (от 30 минут до 90 дней). После отключения подключения маркер в памяти удаляется. Длительность одного подключения зависит от времени истечения срока действия маркера обновления или SIF.
Ошибка VPN-клиента: при подключении VPN <VPN Connection Name>, состояние = VPN-платформа не инициировала подключение
Вы также можете увидеть следующую ошибку в Просмотре событий от RasClient: "Пользователь <User> выполнил вызов подключения под именем <VPN Connection Name>, которое завершилось неудачно." Код ошибки, возвращенный при сбое: 1460".
Причина
Для Azure VPN Client в Windows в параметрах приложения не включено разрешение Фоновые приложения.
Решение
- В Windows перейдите в Параметры>Конфиденциальность>Фоновые приложения.
- Переключите Разрешить приложениям работать в фоновом режиме в положение Вкл..
Ошибка: "Произошла ошибка скачивания файла. Целевой URI не указан."
Причина
Эта ошибка возникает при настройке неправильного типа шлюза.
Решение
Задайте для типа VPN-шлюза Azure значение VPN, а тип VPN — RouteBased.
Установщик пакета VPN не завершает установку
Причина
Предыдущие установки VPN-клиента могут вызвать эту проблему.
Решение
Удалите старые файлы конфигурации VPN-клиента из папки C:\Users\<имя_пользователя>\AppData\Roaming\Microsoft\Network\Connections<ИД_виртуальной_сети>, а затем снова запустите установщик VPN-клиента.
VPN-клиент в режиме гибернации или спящего режима
Решение
Проверьте параметры спящего режима и гибернации на компьютере, на котором работает VPN-клиент.
Не удается разрешить записи в зонах Частная зона DNS с помощью частного сопоставителя из клиентов типа "точка — сеть".
Симптом
При использовании в виртуальной сети DNS-сервера, предоставляемого Azure (168.63.129.16), клиенты подключений типа "точка — сеть" не могут разрешать записи в частных зонах DNS (включая частные конечные точки).
Причина
Только платформа Azure может разрешить IP-адрес DNS-сервера Azure (168.63.129.16).
Решение
Чтобы разрешить записи из зоны Частная зона DNS, выполните следующие действия.
Настроив входящий IP-адрес частного резолвера в качестве пользовательских DNS-серверов виртуальной сети, можно разрешать DNS-записи в частной зоне DNS (включая записи, созданные через Private Endpoints). Частные зоны DNS должны быть связаны с виртуальной сетью, в которой развернут Private Resolver.
По умолчанию VPN-шлюз отправляет DNS-серверы, настроенные в виртуальной сети, на клиенты типа "точка — сеть". Когда вы настраиваете входящий IP-адрес частного резолвера в качестве пользовательских DNS-серверов в виртуальной сети, эти IP-адреса автоматически передаются клиентам как DNS-сервер VPN. Вы можете беспрепятственно разрешать записи из частных зон DNS (включая приватные конечные точки).