Risoluzione dei problemi: problemi di connessione da punto a sito di Azure

Questo articolo elenca i problemi comuni di connessione da punto a sito che l'utente potrebbe riscontrare. e le possibili cause e soluzioni.

Errore del client VPN: Impossibile trovare un certificato

Sintomo

Quando si cerca di connettersi alla rete virtuale di Azure usando il client VPN, viene visualizzato il messaggio di errore seguente:

Impossibile trovare un certificato utilizzabile con il protocollo EAP (Extensible Authentication Protocol). (Errore 798)

Causa

Questo problema si verifica se il certificato client non è presente in Certificates - Current User\Personal\Certificates (Certificati - Utente corrente\Personale\Certificati).

Soluzione

Per risolvere il problema, seguire questa procedura:

  1. Aprire Gestione certificati: fare clic sul pulsante Start, digitare gestisci i certificati computer e quindi fare clic su gestisci i certificati computer nei risultati della ricerca.

  2. Verificare che i certificati seguenti siano nel percorso corretto:

    Certificato Location
    AzureClient.pfx Utente corrente\Personale\Certificati
    AzureRoot.cer Computer locale\Autorità di certificazione radice attendibili
  3. Andare a C:\Users<NomeUtente>>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>> e installare manualmente il certificato ( file *.cer) nell'archivio dell'utente e del computer.

Per altre informazioni su come installare il certificato client, vedere Generare ed esportare i certificati per le connessioni da punto a sito.

Nota

Quando si importa il certificato client, non selezionare l'opzione Abilita protezione avanzata chiave privata.

Non è stato possibile stabilire la connessione di rete tra il computer e il server VPN perché il server remoto non risponde

Sintomo

Quando si tenta di connettersi a un gateway di rete virtuale di Azure usando IKEv2 in Windows, viene visualizzato il messaggio di errore seguente:

Non è stato possibile stabilire la connessione di rete tra il computer e il server VPN perché il server remoto non risponde

Causa

Il problema si verifica se la versione di Windows non dispone del supporto per la frammentazione IKE.

Soluzione

IKEv2 è supportato in Windows 10 e Server 2016. Per poter usare IKEv2, è però necessario installare gli aggiornamenti e impostare in locale un valore della chiave del Registro di sistema. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP.

Per preparare Windows 10 o Server 2016 per IKEv2:

  1. Installare l'aggiornamento.

    Versione sistema operativo Data Numero/collegamento
    Windows Server 2016
    Windows 10 versione 1607
    17 gennaio 2018 KB4057142
    Windows 10 versione 1703 17 gennaio 2018 KB4057144
    Windows 10 versione 1709 22 marzo 2018 KB4089848
  2. Impostare il valore della chiave del Registro di sistema. Creare o impostare la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD nel registro di sistema 1.

Errore del client VPN: Il messaggio ricevuto era imprevisto o con formattazione scorretta

Sintomo

Quando si cerca di connettersi alla rete virtuale di Azure usando il client VPN, viene visualizzato il messaggio di errore seguente:

Il messaggio ricevuto era imprevisto o con formattazione scorretta. (Errore 0x80090326)

Causa

Questo problema si verifica in presenza di una delle condizioni seguenti:

  • Le route definite dall'utente con la route predefinita nella subnet del gateway sono impostate in modo non corretto.
  • La chiave pubblica del certificato radice non viene caricata nel gateway VPN di Azure.
  • La chiave è danneggiata o scaduta.

Soluzione

Per risolvere il problema, seguire questa procedura:

  1. Rimuovere la route definita dall'utente nella subnet del gateway. Assicurarsi che la route definita dall'utente inoltri tutto il traffico correttamente.
  2. Controllare lo stato del certificato radice nel portale di Azure per verificare che non sia stato revocato. Se non è stato revocato, provare a eliminare il certificato radice e a ricaricarlo. Per altre informazioni, vedere Creare certificati.

Errore del client VPN: Una catena di certificati è stata elaborata correttamente, ma termina

Sintomo

Quando si cerca di connettersi alla rete virtuale di Azure usando il client VPN, viene visualizzato il messaggio di errore seguente:

Una catena di certificati è stata elaborata correttamente, ma termina con un certificato radice considerato non attendibile dal provider di attendibilità.

Soluzione

  1. Verificare che i certificati seguenti siano nel percorso corretto:

    Certificato Location
    AzureClient.pfx Utente corrente\Personale\Certificati
    Azuregateway-GUID.cloudapp.net Utente corrente\Autorità di certificazione radice attendibili
    AzureGateway-GUID.cloudapp.net, AzureRoot.cer Computer locale\Autorità di certificazione radice attendibili
  2. Se i certificati sono già presenti nel percorso, provare a eliminarli e reinstallarli. Il certificato azuregateway-GUID.cloudapp.net si trova nel pacchetto di configurazione del client VPN scaricato dal portale di Azure. Per estrarre i file dal pacchetto, è possibile usare un archiver di file.

Errore di download del file: l'URI di destinazione non è specificato

Sintomo

Viene visualizzato il messaggio di errore seguente:

Errore di download del file. L'URI di destinazione non è specificato.

Causa

Questo problema si verifica a causa di un tipo di gateway non corretto.

Soluzione

Il tipo di gateway VPN deve essere VPN e il tipo di VPN deve essere RouteBased.

Errore del client VPN: Azure VPN custom script failed (Impossibile eseguire lo script personalizzato per la VPN di Azure)

Sintomo

Quando si cerca di connettersi alla rete virtuale di Azure usando il client VPN, viene visualizzato il messaggio di errore seguente:

Custom script (to update your routing table) failed. (Impossibile eseguire lo script personalizzato per aggiornare la tabella di routing). (Errore 8007026f)

Causa

Questo problema può verificarsi se si prova ad aprire la connessione VPN da sito a punto usando un collegamento.

Soluzione

Aprire direttamente il pacchetto VPN invece di aprirlo dal collegamento.

Non è possibile installare il client VPN

Causa

È necessario un certificato aggiuntivo per considerare attendibile il gateway VPN per la rete virtuale. Il certificato è incluso nel pacchetto di configurazione del client VPN generato dal portale di Azure.

Soluzione

Estrarre il pacchetto di configurazione del client VPN e trovare il file con estensione CER. Per installare il certificato, seguire questa procedura:

  1. Aprire mmc.exe.
  2. Aggiungere lo snap-in Certificati.
  3. Selezionare l'account Computer per il computer locale.
  4. Fare clic con il pulsante destro del mouse sul nodo Autorità di certificazione radice attendibili. Fare clic su All-Task(Tutte le attività)>Importa e passare al file CER estratto dal pacchetto di configurazione del client VPN.
  5. Riavviare il computer.
  6. Provare a installare il client VPN.

Errore del portale di Azure: Failed to save the VPN gateway, and the data is invalid (Impossibile salvare il gateway VPN. I dati non sono validi)

Sintomo

Quando si prova a salvare le modifiche per il gateway VPN nel portale di Azure, viene visualizzato il messaggio di errore seguente:

Non è stato possibile salvare il gateway di rete virtuale <nome gateway>. I dati per l'<ID certificato> non sono validi.

Causa

Questo problema può verificarsi se la chiave pubblica del certificato radice caricata contiene caratteri non validi, ad esempio uno spazio.

Soluzione

Verificare che i dati nel certificato non contengano caratteri non validi, ad esempio interruzioni di riga, quali ritorni a capo. L'intero valore deve essere un'unica riga lunga. L'esempio seguente illustra l'area da copiare all'interno del certificato:

Screenshot dei dati nel certificato.

Errore del portale di Azure: Failed to save the VPN gateway, and the resource name is invalid (Non è stato possibile salvare il gateway VPN. Nome risorsa non valido)

Sintomo

Quando si prova a salvare le modifiche per il gateway VPN nel portale di Azure, viene visualizzato il messaggio di errore seguente:

Non è stato possibile salvare il gateway di rete virtuale <nome gateway>. Nome risorsa <nome certificato da caricare> non valido.

Causa

Questo problema si verifica perché il nome del certificato contiene caratteri non validi, ad esempio uno spazio.

Errore del portale di Azure: VPN package file download error 503 (Errore 503 relativo al download del file del pacchetto VPN)

Sintomo

Quando si prova a scaricare il pacchetto di configurazione del client VPN, viene visualizzato il messaggio di errore seguente:

Non è stato possibile scaricare il file. Dettagli errore: errore 503. Il server è occupato.

Soluzione

Questo errore può essere causato da un problema di rete temporaneo. Provare di nuovo a scaricare il pacchetto VPN dopo alcuni minuti.

Aggiornamento del gateway VPN di Azure: tutti i client da punto a sito non riescono a connettersi

Causa

Se il certificato ha superato il 50% del ciclo di vita, ne viene eseguito il rollover.

Soluzione

Per risolvere questo problema, scaricare nuovamente e ridistribuire il pacchetto da punto a sito in tutti i client.

Troppi client VPN connessi contemporaneamente

È stato raggiunto il numero massimo di connessioni consentite. È possibile visualizzare il numero totale di client connessi nel portale di Azure.

Il client VPN non riesce ad accedere alle condivisioni file di rete

Sintomo

Il client VPN si è connesso alla rete virtuale di Azure, Tuttavia, il client non riesce ad accedere alle condivisioni di rete.

Causa

Per l'accesso alle condivisioni file, viene usato il protocollo SMB. Quando si avvia la connessione il client VPN aggiunge le credenziali della sessione e si verifica l'errore. Dopo che la connessione è stata stabilita, il client è forzato a usare le credenziali della cache per l'autenticazione Kerberos. Questo processo avvia le query al Centro distribuzione chiavi, ovvero un controller di dominio, per ottenere un token. Poiché il client si connette da Internet, potrebbe non riuscire a raggiungere il controller di dominio. Pertanto non riesce a effettuare il failover da Kerberos a NTLM.

L'unica volta in cui vengono richieste le credenziali al client è quando dispone di un certificato valido, con SAN=UPN, rilasciato dal dominio in cui viene aggiunto. Il client deve anche essere fisicamente connesso alla rete di dominio. In questo caso, il client prova a usare il certificato e a raggiunge il controller di dominio. Il Centro distribuzione chiavi restituisce quindi un errore "KDC_ERR_C_PRINCIPAL_UNKNOWN". Il client deve effettuare il failover a NTLM.

Soluzione

Per risolvere il problema, disabilitare la memorizzazione nella cache delle credenziali di dominio dalla sottochiave del registro di sistema seguente:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Impossibile trovare la connessione VPN da punto a sito in Windows dopo la reinstallazione del client VPN

Sintomo

Si rimuove la connessione VPN da punto a sito e quindi si reinstalla il client VPN. In questo caso, la connessione VPN non viene configurata correttamente. La connessione VPN non viene visualizzata nelle impostazioni di Connessioni di rete in Windows.

Soluzione

Per risolvere il problema, eliminare i file di configurazione del client VPN precedenti da C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> quindi eseguire di nuovo il programma di installazione del client VPN.

Il client VPN da punto a sito non è in grado di risolvere il nome di dominio completo delle risorse nel dominio locale

Sintomo

Quando il client si connette ad Azure tramite una connessione VPN da punto a sito, non è in grado di risolvere il nome di dominio completo delle risorse nel dominio locale.

Causa

Il client VPN da punto a sito usa in genere i server DNS di Azure che vengono configurati nella rete virtuale di Azure. I server DNS di Azure hanno la precedenza sui server DNS locali configurati nel client (a meno che la metrica dell'interfaccia Ethernet non sia inferiore), quindi tutte le query DNS vengono inviate ai server DNS di Azure. Se i server DNS di Azure non dispongono di record per le risorse locali, la query ha esito negativo.

Soluzione

Per risolvere il problema, assicurarsi che i server DNS di Azure usati nella rete virtuale di Azure siano in grado di risolvere i record DNS per le risorse locali. A tale scopo, è possibile usare server di inoltro DNS o server di inoltro condizionali. Per altre informazioni, vedere Risoluzione dei nomi usando il server DNS.

La connessione VPN da punto a sito viene stabilita, ma non è possibile connettersi alle risorse di Azure

Causa

Questo problema potrebbe verificarsi se il client VPN non ottiene le route dal gateway VPN di Azure.

Soluzione

Per risolvere questo problema, reimpostare il gateway VPN di Azure. Per assicurarsi che vengano usate le nuove route, scaricare di nuovo i client VPN da punto a sito dopo la configurazione del peering della rete virtuale.

Errore: "La funzione di revoca non è in grado di completare il controllo di revoca perché il server di revoca è offline. (Errore 0x80092013)"

Cause

Questo messaggio di errore viene visualizzato se il client non può accedere a http://crl3.digicert.com/ssca-sha2-g1.crl e http://crl4.digicert.com/ssca-sha2-g1.crl. La verifica delle revoche richiede l'accesso a questi due siti. Questo problema si verifica in genere nel client che ha un server proxy configurato. In alcuni ambienti se le richieste non passano attraverso il server proxy, verranno rifiutate a livello di firewall di confine.

Soluzione

Controllare le impostazioni del server proxy, assicurarsi che il client possa accedere a http://crl3.digicert.com/ssca-sha2-g1.crl e http://crl4.digicert.com/ssca-sha2-g1.crl.

Errore del client VPN: Impossibile stabilire la connessione a causa di un criterio configurato nel server RAS/VPN. (errore 812)

Causa

Questo errore si verifica se il server RADIUS usato per l'autenticazione del client VPN ha impostazioni non corrette o se il gateway di Azure non è in grado di raggiungere il server Radius.

Soluzione

Assicurarsi che il server RADIUS sia configurato correttamente. Per altre informazioni, vedere Integrare l'autenticazione con il server Azure Multi-Factor Authentication.

"Errore 405" quando si scarica il certificato radice dal gateway VPN

Causa

Il certificato radice non è stato installato. Il certificato radice è installato nell'archivio certificati attendibili del client.

Errore del client VPN: Impossibile stabilire la connessione remota. Tentativi di tunnel VPN non riusciti. (errore 800)

Causa

Il driver della scheda di interfaccia di rete non è aggiornato.

Soluzione

Aggiornare il driver della scheda di interfaccia di rete:

  1. Fare clic su Start, digitare Gestione dispositivi e selezionarlo dall'elenco dei risultati. Se viene chiesto di immettere la password amministratore o di confermare l'operazione, digitare la password o confermare.
  2. Nelle categorie Schede di rete trovare la scheda di interfaccia di rete che si vuole aggiornare.
  3. Fare doppio clic sul nome del dispositivo, selezionare Aggiorna driver e quindi Cerca automaticamente un driver aggiornato.
  4. Se Windows non trova un nuovo driver, è possibile cercarne uno nel sito Web del produttore del dispositivo e seguire le istruzioni.
  5. Riavviare il computer e riprovare la connessione.

Errore del client VPN: l'autenticazione con Microsoft Entra è scaduta

Se si usa l'autenticazione Microsoft Entra ID, è possibile che venga visualizzato uno degli errori seguenti:

L'autenticazione con Microsoft Entra è scaduta. Per acquisire un nuovo token, è necessario eseguire di nuovo l'autenticazione in Entra. Il timeout di autenticazione può essere ottimizzato dall'amministratore.

or

L'autenticazione con Microsoft Entra è scaduta, quindi è necessario ripetere l'autenticazione per acquisire un nuovo token. Riprovare a connettersi. I criteri di autenticazione e il timeout vengono configurati dall'amministratore nel tenant entra.

Causa

La connessione da punto a sito è disconnessa perché il token di aggiornamento corrente è scaduto o diventa non valido. Non è possibile recuperare nuovi token di accesso per l'autenticazione dell'utente.

Quando un client VPN di Azure tenta di stabilire una connessione con un gateway VPN di Azure usando l'autenticazione Microsoft Entra ID, è necessario un token di accesso per autenticare l'utente. Questo token viene rinnovato circa ogni ora. Un token di accesso valido può essere emesso solo quando l'utente dispone di un token di aggiornamento valido. Se l'utente non ha un token di aggiornamento valido, la connessione viene disconnessa.

Il token di aggiornamento può essere visualizzato come scaduto/non valido a causa di diversi motivi. È possibile controllare i log di accesso di User Entra per il debug. Vedere Log di accesso di Microsoft Entra.

  • Il token di aggiornamento è scaduto

    • La durata predefinita per i token di aggiornamento è di 90 giorni. Dopo 90 giorni, gli utenti devono riconnettersi per ottenere un nuovo token di aggiornamento.
    • Gli amministratori tenant entra possono aggiungere criteri di accesso condizionale per la frequenza di accesso che attivano la riautenticazione periodica ogni ora "X". (Il token di aggiornamento scadrà nelle ore 'X'). Usando criteri di accesso condizionale personalizzati, gli utenti vengono costretti a usare un accesso interattivo ogni ora "X". Per altre informazioni, vedere Aggiornare i token in Microsoft Identity Platform e Configurare i criteri sulla durata delle sessioni adattive.
  • Il token di aggiornamento non è valido

    • L'utente è stato rimosso dal tenant.
    • Le credenziali dell'utente sono state modificate.
    • Le sessioni sono state revocate dall'amministratore tenant entra.
    • Il dispositivo è diventato non conforme (se si tratta di un dispositivo gestito).
    • Altri criteri Entra configurati da Entra Admins che richiedono agli utenti di usare periodicamente l'accesso interattivo.

Soluzione

In questi scenari, gli utenti devono riconnettersi. In questo modo viene attivato un processo di accesso interattivo in Microsoft Entra che rilascia un nuovo token di aggiornamento e un token di accesso.

Errore del client VPN: Chiamata connessione VPN <Nome connessione VPN>, Stato = La piattaforma VPN non ha attivato la connessione

È anche possibile che venga visualizzato l'errore seguente nel Visualizzatore eventi da RasClient: "L'utente <Utente> ha composto una connessione denominata <Nome connessione VPN> che non è riuscita. Il codice di errore restituito in caso di errore è 1460".

Causa

Il client VPN di Azure non dispone dell'autorizzazione app "App in background" abilitata in Impostazioni app per Windows.

Soluzione

  1. In Windows andare a Impostazioni -> Privacy -> App in background
  2. Attivare o disattivare l'opzione "Consenti l'esecuzione delle app in background" su Sì

Errore: "Errore di download del file. L'URI di destinazione non è specificato"

Causa

Questo problema è causato dalla configurazione di un tipo di gateway non corretto.

Soluzione

Il tipo di gateway VPN di Azure deve essere VPN e il tipo di VPN deve essere RouteBased.

Il programma di installazione del pacchetto VPN non viene completato

Causa

Questo problema può essere causato dalle installazioni di client VPN precedenti.

Soluzione

Eliminare i file di configurazione dei client VPN precedenti da C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> ed eseguire di nuovo il programma di installazione del client VPN.

Il client VPN si iberna o dorme

Soluzione

Controllare le impostazioni relative alla sospensione e all'ibernazione nel computer in cui è in esecuzione il client VPN.

Non è possibile risolvere i record nelle zone DNS privato usando il Resolver privato dai client da punto a sito.

Sintomo

Quando si usa il server DNS fornito da Azure (168.63.129.16) nella rete virtuale, i client da punto a sito non saranno in grado di risolvere i record presenti nelle zone DNS privato (inclusi gli endpoint privati).

Screenshot che mostra il client VPN di Azure, una finestra di PowerShell aperta e la pagina server DNS del portale di Azure.

Causa

L'indirizzo IP del server DNS di Azure (168.63.129.16) è risolvibile solo dalla piattaforma Azure.

Soluzione

La procedura seguente consente di risolvere i record dalla zona DNS privato:

La configurazione dell'indirizzo IP in ingresso del Resolver privato come server DNS personalizzati nella rete virtuale consente di risolvere i record nella zona DNS privato (inclusi quelli creati da endpoint privati). Si noti che le zone DNS privato devono essere associate alla rete virtuale che contiene il Resolver privato.

Screenshot che mostra il client VPN di Azure, una finestra di PowerShell aperta e la pagina server DNS aperta dal portale di Azure.

Per impostazione predefinita, i server DNS configurati in una rete virtuale verranno inseriti nei client da punto a sito connessi tramite gateway VPN. Di conseguenza, la configurazione dell'indirizzo IP in ingresso del Resolver privato come server DNS personalizzati nella rete virtuale eseguirà automaticamente il push di questi indirizzi IP ai client come server DNS VPN ed è possibile risolvere facilmente i record dalle zone DNS privato (inclusi gli endpoint privati).