Řešení potíží s připojením Azure typu point-to-site
Tento článek obsahuje seznam běžných problémů s připojením typu point-to-site, ke kterým může dojít. Popisuje také možné příčiny a řešení těchto problémů.
Chyba klienta VPN: Nepodařilo se najít certifikát
Příznaky
Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:
Nelze najít certifikát, který lze použít s tímto protokolem extensible authentication. (Chyba 798)
Příčina
K tomuto problému dochází, pokud v certifikátech chybí klientský certifikát – Aktuální uživatel\Osobní\Certifikáty.
Řešení
K řešení tohoto problému použijte tento postup:
Otevřít Správce certifikátů: Klepněte na tlačítko Start, zadejte spravovat certifikáty počítače a potom klepněte na tlačítko Spravovat certifikáty počítače ve výsledku hledání.
Ověřte, že následující certifikáty jsou ve správném umístění:
Certifikát Umístění AzureClient.pfx Aktuální uživatel\Osobní\Certifikáty AzureRoot.cer Místní počítač\Důvěryhodné kořenové certifikační autority Přejděte na C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID> a ručně nainstalujte certifikát (*.cer soubor) do úložiště uživatele a počítače.
Další informace o instalaci klientského certifikátu naleznete v tématu Generování a export certifikátů pro připojení typu point-to-site.
Poznámka:
Při importu klientského certifikátu nevybírejte možnost Povolit silnou ochranu privátního klíče.
Síťové připojení mezi vaším počítačem a serverem VPN se nepodařilo navázat, protože vzdálený server nereaguje
Příznaky
Když se pokusíte připojit k bráně virtuální sítě Azure pomocí IKEv2 ve Windows, zobrazí se následující chybová zpráva:
Síťové připojení mezi počítačem a serverem VPN nebylo možné navázat, protože vzdálený server nereaguje.
Příčina
K tomuto problému dochází v případě, že verze Windows nepodporuje fragmentaci protokolu IKE.
Řešení
IKEv2 se podporuje v systémech Windows 10 a Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí. Verze operačního systému starší než Windows 10 se nepodporují a můžou používat jenom SSTP.
Příprava Windows 10 nebo Serveru 2016 pro IKEv2:
Nainstalujte aktualizaci.
Verze operačního systému Datum Číslo/odkaz Windows Server 2016
Windows 10 verze 160717. ledna 2018 KB4057142 Windows 10 verze 1703 17. ledna 2018 KB4057144 Windows 10 verze 1709 22. března 2018 KB4089848 Nastavte hodnotu klíče registru. Vytvořte nebo nastavte
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayloadklíč REG_DWORD v registru na hodnotu 1.
Chyba klienta VPN: Zpráva byla neočekávaná nebo špatně naformátovaná
Příznaky
Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:
Přijatá zpráva byla neočekávaná nebo špatně naformátovaná. (Chyba 0x80090326)
Příčina
K tomuto problému dochází, pokud je splněna jedna z následujících podmínek:
- Trasy definované uživatelem (UDR) s výchozí trasou v podsíti brány jsou nesprávně nastavené.
- Veřejný klíč kořenového certifikátu se nenahraje do brány Azure VPN.
- Klíč je poškozený nebo vypršela jeho platnost.
Řešení
K řešení tohoto problému použijte tento postup:
- Odeberte trasu definovanou uživatelem v podsíti brány. Ujistěte se, že trasy definované uživatelem přesměrováují veškerý provoz správně.
- Zkontrolujte stav kořenového certifikátu na webu Azure Portal a zjistěte, jestli byl odvolaný. Pokud se neodvolá, zkuste odstranit kořenový certifikát a znovu načíst. Další informace naleznete v tématu Vytvoření certifikátů.
Chyba klienta VPN: Zpracovaný, ale ukončený řetěz certifikátů
Příznaky
Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:
Řetěz certifikátů zpracovaný, ale ukončený v kořenovém certifikátu, kterému poskytovatel důvěryhodnosti nedůvěřuje.
Řešení
Ověřte, že následující certifikáty jsou ve správném umístění:
Certifikát Umístění AzureClient.pfx Aktuální uživatel\Osobní\Certifikáty Azuregateway-GUID.cloudapp.net Aktuální uživatel\Důvěryhodné kořenové certifikační autority AzureGateway-GUID.cloudapp.net, AzureRoot.cer Místní počítač\Důvěryhodné kořenové certifikační autority Pokud už jsou certifikáty v umístění, zkuste certifikáty odstranit a přeinstalovat. Certifikát azuregateway-GUID.cloudapp.net je v konfiguračním balíčku klienta VPN, který jste stáhli z webu Azure Portal. Archivátory souborů můžete použít k extrahování souborů z balíčku.
Chyba stahování souboru: Cílový identifikátor URI není zadaný
Příznaky
Zobrazí se tato chybová zpráva:
Chyba stahování souboru. Cílový identifikátor URI není zadaný.
Příčina
K tomuto problému dochází kvůli nesprávnému typu brány.
Řešení
Typ brány VPN musí být VPN a typ SÍTĚ VPN musí být RouteBased.
Chyba klienta VPN: Vlastní skript Azure VPN selhal
Příznaky
Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:
Vlastní skript (pro aktualizaci směrovací tabulky) se nezdařil. (Chyba 8007026f)
Příčina
K tomuto problému může dojít, pokud se pokoušíte otevřít připojení VPN typu site-to-point pomocí zástupce.
Řešení
Otevřete balíček VPN přímo místo jeho otevření z zástupce.
Nejde nainstalovat klienta VPN
Příčina
K důvěryhodnosti brány VPN pro vaši virtuální síť se vyžaduje další certifikát. Certifikát je součástí konfiguračního balíčku klienta VPN, který se vygeneruje z webu Azure Portal.
Řešení
Extrahujte konfigurační balíček klienta VPN a vyhledejte soubor .cer. Certifikát nainstalujete takto:
- Otevřete mmc.exe.
- Přidejte modul snap-in Certifikáty.
- Vyberte účet počítače pro místní počítač.
- Klikněte pravým tlačítkem myši na uzel Důvěryhodné kořenové certifikační autority . Klikněte na Import všech úloh>a přejděte k souboru .cer, který jste extrahovali z konfiguračního balíčku klienta VPN.
- Restartujte počítač.
- Pokuste se nainstalovat klienta VPN.
Chyba webu Azure Portal: Nepodařilo se uložit bránu VPN a data jsou neplatná.
Příznaky
Při pokusu o uložení změn brány VPN na webu Azure Portal se zobrazí následující chybová zpráva:
Nepovedlo se uložit název> brány brány <virtuální sítě. Data pro ID> certifikátu certifikátu <jsou neplatná.
Příčina
K tomuto problému může dojít, pokud veřejný klíč kořenového certifikátu, který jste nahráli, obsahuje neplatný znak, například mezeru.
Řešení
Ujistěte se, že data v certifikátu neobsahují neplatné znaky, jako jsou konce řádků (návrat na začátek řádku). Celá hodnota by měla být jedna dlouhá čára. Následující příklad ukazuje oblast, která se má zkopírovat v rámci certifikátu:
Chyba webu Azure Portal: Nepodařilo se uložit bránu VPN a název prostředku je neplatný.
Příznaky
Při pokusu o uložení změn brány VPN na webu Azure Portal se zobrazí následující chybová zpráva:
Nepovedlo se uložit název> brány brány <virtuální sítě. Název certifikátu názvu <prostředku, který se pokusíte nahrát> , je neplatný.
Příčina
K tomuto problému dochází, protože název certifikátu obsahuje neplatný znak, například mezeru.
Chyba webu Azure Portal: Chyba stahování souboru balíčku VPN 503
Příznaky
Při pokusu o stažení konfiguračního balíčku klienta VPN se zobrazí následující chybová zpráva:
Stažení souboru se nezdařilo. Podrobnosti o chybě: chyba 503. Server je zaneprázdněn.
Řešení
Příčinou této chyby může být dočasný problém se sítí. Zkuste balíček VPN stáhnout znovu po několika minutách.
Upgrade služby Azure VPN Gateway: Všichni klienti typu point-to-site se nemůžou připojit
Příčina
Pokud je certifikát po celou dobu životnosti větší než 50 procent, certifikát se převrátí.
Řešení
Chcete-li tento problém vyřešit, znovu stáhněte a znovu nasaďte balíček point-to-site na všech klientech.
Příliš mnoho klientů VPN připojených najednou
Bylo dosaženo maximálního počtu povolených připojení. Celkový počet připojených klientů se zobrazí na webu Azure Portal.
Klient VPN nemá přístup ke sdíleným složkám sítě
Příznaky
Klient VPN se připojil k virtuální síti Azure. Klient ale nemá přístup ke sdíleným síťovým složkám.
Příčina
Protokol SMB se používá pro přístup ke sdílené složce. Po zahájení připojení klient VPN přidá přihlašovací údaje relace a dojde k selhání. Po navázání připojení je klient nucen používat přihlašovací údaje mezipaměti pro ověřování protokolem Kerberos. Tento proces inicializuje dotazy do Centra distribuce klíčů (řadič domény), aby získal token. Vzhledem k tomu, že se klient připojuje z internetu, nemusí se připojit k řadiči domény. Klient proto nemůže převzít služby při selhání z Protokolu Kerberos na PROTOKOL NTLM.
Jediný čas, kdy se klientovi zobrazí výzva k zadání přihlašovacích údajů, je, když má platný certifikát (s názvem SAN=UPN) vystavenou doménou, ke které je připojená. Klient musí být také fyzicky připojený k doménové síti. V tomto případě se klient pokusí použít certifikát a dostane se k řadiči domény. Pak centrum distribuce klíčů vrátí chybu "KDC_ERR_C_PRINCIPAL_UNKNOWN". Klient je nucen převzít služby při selhání do NTLM.
Řešení
Pokud chcete tento problém obejít, zakažte ukládání přihlašovacích údajů domény do mezipaměti z následujícího podklíče registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
Po přeinstalaci klienta VPN vpn typu point-to-site ve Windows nejde najít
Příznaky
Odeberete připojení VPN typu point-to-site a přeinstalujete klienta VPN. V takovém případě není připojení VPN úspěšně nakonfigurované. V nastavení síťových připojení ve Windows se nezobrazuje připojení VPN.
Řešení
Pokud chcete tento problém vyřešit, odstraňte staré konfigurační soubory klienta VPN ze složky C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> a spusťte instalační program klienta VPN znovu.
Klient VPN typu point-to-site nemůže přeložit plně kvalifikovaný název domény prostředků v místní doméně.
Příznaky
Když se klient připojí k Azure pomocí připojení VPN typu point-to-site, nemůže přeložit plně kvalifikovaný název domény prostředků v místní doméně.
Příčina
Klient VPN typu point-to-site obvykle používá servery Azure DNS nakonfigurované ve virtuální síti Azure. Servery Azure DNS mají přednost před místními servery DNS, které jsou nakonfigurované v klientovi (pokud není metrika rozhraní Ethernet nižší), takže všechny dotazy DNS se odesílají na servery Azure DNS. Pokud servery Azure DNS nemají záznamy pro místní prostředky, dotaz selže.
Řešení
Pokud chcete tento problém vyřešit, ujistěte se, že servery Azure DNS, které se používají ve virtuální síti Azure, dokážou přeložit záznamy DNS pro místní prostředky. K tomu můžete použít služby předávání DNS nebo podmíněné služby předávání. Další informace najdete v tématu Překlad názvů pomocí vlastního serveru DNS.
Připojení VPN typu point-to-site se naváže, ale stále se nemůžete připojit k prostředkům Azure.
Příčina
K tomuto problému může dojít v případě, že klient VPN nezíská trasy z brány Azure VPN.
Řešení
Pokud chcete tento problém vyřešit, resetujte bránu Azure VPN. Aby bylo zajištěno, že se používají nové trasy, musí se klienti VPN typu Point-to-Site po úspěšné konfiguraci partnerského vztahu virtuálních sítí znovu stáhnout.
Chyba: Funkce odvolání nemohla zkontrolovat odvolání, protože server odvolání byl offline. (Chyba 0x80092013)"
Příčiny
K této chybové zprávě dochází, pokud klient nemá přístup a http://crl3.digicert.com/ssca-sha2-g1.crl http://crl4.digicert.com/ssca-sha2-g1.crl. Kontrola odvolání vyžaduje přístup k těmto dvěma webům. K tomuto problému obvykle dochází u klienta, který má nakonfigurovaný proxy server. Pokud požadavky neprocházejí přes proxy server, v některých prostředích se na hraniční bráně firewall zamítnou.
Řešení
Zkontrolujte nastavení proxy serveru, ujistěte se, že klient má přístup a http://crl3.digicert.com/ssca-sha2-g1.crl http://crl4.digicert.com/ssca-sha2-g1.crl.
Chyba klienta VPN: Připojení se zabránilo kvůli zásadám nakonfigurovaným na serveru RAS/VPN. (Chyba 812)
Příčina
K této chybě dochází v případě, že server RADIUS, který jste použili k ověřování klienta VPN, má nesprávné nastavení nebo Se službou Azure Gateway se nemůže spojit se serverem Radius.
Řešení
Ujistěte se, že je server RADIUS správně nakonfigurovaný. Další informace najdete v tématu Integrace ověřování RADIUS se serverem Azure Multi-Factor Authentication.
Chyba 405 při stahování kořenového certifikátu ze služby VPN Gateway
Příčina
Kořenový certifikát nebyl nainstalován. Kořenový certifikát je nainstalován v úložišti důvěryhodných certifikátů klienta.
Chyba klienta VPN: Vzdálené připojení nebylo provedeno, protože došlo k selhání pokusu o tunely VPN. (Chyba 800)
Příčina
Ovladač síťové karty je zastaralý.
Řešení
Aktualizujte ovladač síťové karty:
- Klikněte na Start, zadejte Správce zařízení a vyberte ho ze seznamu výsledků. Pokud se zobrazí výzva k zadání hesla správce nebo potvrzení, zadejte heslo nebo zadejte potvrzení.
- V kategoriích Síťové adaptéry vyhledejte síťovou kartu, kterou chcete aktualizovat.
- Poklikejte na název zařízení, vyberte Aktualizovat ovladač, vyberte Vyhledat automaticky aktualizovaný software ovladače.
- Pokud Systém Windows nenajde nový ovladač, můžete zkusit ho vyhledat na webu výrobce zařízení a postupovat podle jejich pokynů.
- Restartujte počítač a zkuste připojení zopakovat.
Chyba klienta VPN: Platnost vašeho ověřování u microsoft Entra vypršela
Pokud používáte ověřování Microsoft Entra ID, může dojít k jedné z následujících chyb:
Platnost vašeho ověřování u Microsoft Entra vypršela. Abyste získali nový token, musíte v entra provést opětovné ověření. Časový limit ověřování může ladit správce.
nebo
Platnost vašeho ověřování u Microsoft Entra vypršela, takže je potřeba znovu ověřit, abyste získali nový token. Zkuste se připojit znovu. Zásady ověřování a vypršení časového limitu konfiguruje správce v tenantovi Entra.
Příčina
Připojení typu point-to-site je odpojené, protože platnost aktuálního obnovovacího tokenu vypršela nebo je neplatná. Pro ověřování uživatele se nedají načíst nové přístupové tokeny.
Když se Klient Azure VPN pokusí navázat připojení k bráně Azure VPN pomocí ověřování Microsoft Entra ID, je k ověření uživatele vyžadován přístupový token. Tento token se obnoví přibližně každou hodinu. Platný přístupový token může být vydán pouze v případech, kdy má uživatel platný obnovovací token. Pokud uživatel nemá platný obnovovací token, připojení se odpojí.
Obnovovací token se může zobrazit jako prošlý nebo neplatný z několika důvodů. Ladění můžete zkontrolovat v protokolech přihlášení uživatele Entra. Viz protokoly přihlášení k Microsoft Entra.
Platnost obnovovacího tokenu vypršela.
- Výchozí životnost obnovovacích tokenů je 90 dnů. Po 90 dnech se uživatelé musí znovu připojit, aby získali nový obnovovací token.
- Správci tenanta Entra můžou přidat zásady podmíněného přístupu pro frekvenci přihlašování, které aktivují pravidelné opakované ověřování každé X hodiny. (Platnost obnovovacího tokenu vyprší v X hod. Pomocí vlastních zásad podmíněného přístupu uživatelé vynucují interaktivní přihlašování každé X hodiny. Další informace najdete v tématu Aktualizace tokenů na platformě Microsoft Identity Platform a konfigurace zásad adaptivní životnosti relace.
Obnovovací token je neplatný.
- Uživatel byl odebrán z tenanta.
- Přihlašovací údaje uživatele se změnily.
- Správce tenanta Entra zrušil relace.
- Zařízení se stalo nedodržující předpisy (pokud se jedná o spravované zařízení).
- Další zásady Entra nakonfigurované správci Entra, které vyžadují, aby uživatelé pravidelně používali interaktivní přihlašování.
Řešení
V těchto scénářích se uživatelé musí znovu připojit. Tím se aktivuje interaktivní proces přihlašování v Microsoft Entra, který vydá nový obnovovací token a přístupový token.
Chyba klienta VPN: Vytáčení názvu> připojení VPN k síti <VPN, stav = Platforma VPN neaktivovala připojení
V Prohlížeč událostí z RasClient se také může zobrazit následující chyba: <Uživatel> vytočil připojení s názvem <Název> připojení VPN, který selhal. Kód chyby vrácený při selhání je 1460.
Příčina
Klient Azure VPN nemá v nastavení aplikace pro Windows povolené oprávnění aplikace na pozadí.
Řešení
- Ve Windows přejděte na Nastavení –> Ochrana osobních údajů –> Aplikace na pozadí
- Přepněte možnost Povolit aplikacím běžet na pozadí na zapnuto.
Chyba: Identifikátor URI cílové chyby stahování souborů není zadán.
Příčina
Příčinou je nesprávná konfigurace typu brány.
Řešení
Typ brány Azure VPN musí být VPN a typ SÍTĚ VPN musí být RouteBased.
Instalační program balíčku VPN se nedokončí
Příčina
Tento problém může způsobovat předchozí instalace klienta VPN.
Řešení
Odstraňte staré konfigurační soubory klienta VPN z C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> a spusťte instalační program klienta VPN znovu.
Klient VPN hibernace nebo režim spánku
Řešení
Zkontrolujte nastavení režimu spánku a hibernace v počítači, na kterém běží klient VPN.
Nemůžu přeložit záznamy v Privátní DNS Zónách pomocí privátního překladače z klientů typu point-to-site.
Příznaky
Pokud ve virtuální síti používáte server DNS (168.63.129.16), klienti typu point-to-site nebudou moct překládat záznamy, které jsou přítomné v zónách Privátní DNS (včetně privátních koncových bodů).
Příčina
IP adresa serveru Azure DNS (168.63.129.16) je přeložitelná jenom z platformy Azure.
Řešení
Následující postup vám pomůže vyřešit záznamy z Privátní DNS zóny:
Konfigurace příchozí IP adresy privátního překladače jako vlastních serverů DNS ve virtuální síti vám pomůže přeložit záznamy v privátní zóně DNS (včetně těch vytvořených z privátních koncových bodů). Všimněte si, že zóny Privátní DNS musí být přidružené k virtuální síti, která má privátní překladač.
Ve výchozím nastavení se servery DNS nakonfigurované ve virtuální síti budou odesílat klientům typu point-to-site připojeným přes bránu VPN. Proto konfigurace příchozí IP adresy privátního překladače jako vlastních serverů DNS ve virtuální síti automaticky odešle tyto IP adresy klientům jako server DNS VPN a bez problémů přeložíte záznamy z privátních zón DNS (včetně privátních koncových bodů).