Solução de problemas: problemas de conexão de ponto a site do Azure
Este artigo lista os problemas comuns de conexão de ponto a site que podem ocorrer. Também discute as possíveis causas e soluções para esses problemas.
Erro de cliente VPN: não foi possível encontrar um certificado
Sintoma
Quando você tenta conectar-se à rede virtual do Azure usando o cliente VPN, recebe a seguinte mensagem de erro:
Não foi possível encontrar um certificado que possa ser usado com este protocolo EAP. (Erro 798)
Causa
Esse problema ocorrerá se o certificado do cliente estiver ausente em Certificates – Current User\Personal\Certificates.
Solução
Para resolver esse problema, siga estas etapas:
Abra o Gerenciador de Certificados: Clique em Iniciar, digite gerenciar certificados do computador e, em seguida, clique em gerenciar certificados do computador no resultado da pesquisa.
Verifique se os certificados abaixo estão no local correto:
Certificado Local AzureClient.pfx Current User\Personal\Certificates AzureRoot.cer Local Computer\Trusted Root Certification Authorities Acesse C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID> e instale manualmente o certificado (arquivo *.cer) no repositório do computador e do usuário.
Para saber mais sobre como instalar o certificado do cliente, confira Gerar e exportar certificados para conexões ponto a site.
Observação
Quando você importar o certificado do cliente, não selecione a opção Habilitar a proteção de chave privada forte.
A conexão de rede entre o computador e o servidor VPN não pôde ser estabelecida porque o servidor remoto não está respondendo
Sintoma
Ao tentar se conectar a um gateway de rede virtual do Azure usando o IKEv2 no Windows, você recebe a seguinte mensagem de erro:
A conexão de rede entre o computador e o servidor VPN não pôde ser estabelecida porque o servidor remoto não está respondendo
Causa
O problema ocorre se a versão do Windows não tiver suporte para a fragmentação do IKE.
Solução
O IKEv2 tem suporte no Windows 10 e Server 2016. No entanto, para usar IKEv2, você deve instalar as atualizações e definir um valor de chave do Registro localmente. Não há suporte para as versões do sistema operacional anteriores ao Windows 10, pois elas só podem usar o SSTP.
Para preparar o Windows 10 ou o Server 2016 para o IKEv2:
Instale a atualização.
Versão do SO Data Número/Link Windows Server 2016
Windows 10, versão 160717 de janeiro de 2018 KB4057142 Windows 10, versão 1703 17 de janeiro de 2018 KB4057144 Windows 10 Versão 1709 22 de março de 2018 BDC4089848 Defina o valor da chave do Registro. Criar ou definir chave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayloadREG_DWORD no registro para 1.
Erro de cliente VPN: a mensagem recebida foi inesperada ou formatada incorretamente
Sintoma
Quando você tenta conectar-se à rede virtual do Azure usando o cliente VPN, recebe a seguinte mensagem de erro:
A mensagem recebida era inesperada ou estava formatada incorretamente (Erro 0x80090326)
Causa
Esse problema ocorre se uma das seguintes condições for verdadeira:
- O uso de UDR (rotas definidas pelo usuário) com a rota padrão na sub-rede de gateway está configurado incorretamente.
- A chave pública do certificado raiz não é carregada no gateway de VPN do Azure.
- A chave está corrompida ou expirada.
Solução
Para resolver esse problema, siga estas etapas:
- Remova a UDR da sub-rede de Gateway. Certifique-se de que a UDR encaminha todo o tráfego corretamente.
- Verifique o status do certificado raiz no Portal do Azure para ver se ele foi revogado. Se ele não foi revogado, tente excluir o certificado raiz e carregá-lo novamente. Para saber mais, confira Criar certificados.
Erro de cliente VPN: uma cadeia de certificados foi processada, mas fechada
Sintoma
Quando você tenta conectar-se à rede virtual do Azure usando o cliente VPN, recebe a seguinte mensagem de erro:
Uma cadeia de certificados foi processada, mas terminou em um certificado raiz em que o provedor de confiabilidade não confia.
Solução
Verifique se os certificados abaixo estão no local correto:
Certificado Local AzureClient.pfx Current User\Personal\Certificates Azuregateway-GUID.cloudapp.net Current User\Trusted Root Certification Authorities AzureGateway-GUID.cloudapp.net, AzureRoot.cer Local Computer\Trusted Root Certification Authorities Se os certificados estiverem no local, tente excluir os certificados e reinstalá-los. O certificado azuregateway-GUID.cloudapp.net está no pacote de configuração de cliente VPN que você baixou do Portal do Azure. Você pode usar arquivadores para extrair os arquivos do pacote.
Erro no download do arquivo: o URI de destino não foi especificado
Sintoma
Você vê a seguinte mensagem de erro:
Erro de download do arquivo. O URI de destino não foi especificado.
Causa
Esse problema ocorre devido ao tipo de gateway incorreto.
Solução
O tipo de gateway de VPN deve ser VPN, enquanto o tipo de VPN deve ser RouteBased.
Erro de cliente VPN: falha de script personalizado do VPN Azure
Sintoma
Quando você tenta conectar-se à rede virtual do Azure usando o cliente VPN, recebe a seguinte mensagem de erro:
Falha de script personalizado (para atualizar sua tabela de roteamento). (Erro 8007026f)
Causa
Esse problema poderá ocorrer se você estiver tentando abrir a conexão VPN site a ponto usando um atalho.
Solução
Abra o pacote VPN diretamente em vez de abri-lo pelo atalho.
Não é possível instalar o cliente VPN
Causa
Um certificado adicional é necessário para confiar no gateway de VPN da sua rede virtual. O certificado está incluído no pacote de configuração de cliente VPN que é gerado no portal do Azure.
Solução
Extraia o pacote de configuração do cliente VPN e localize o arquivo .cer. Para instalar o certificado, siga estas etapas:
- Abra mmc.exe.
- Adicione o snap-in Certificados.
- Selecione a conta Computador para o computador local.
- Clique com botão direito do mouse no nó Autoridades de Certificação Confiáveis. Clique em All-Task>Import e navegue até o arquivo .cer que você extraiu do pacote de configuração do cliente VPN.
- Reinicie o computador.
- Tente instalar o cliente VPN.
Erro de portal do Azure: falha ao salvar o gateway de VPN e os dados são inválidos
Sintoma
Quando você tenta salvar as alterações do gateway de VPN no portal do Azure, recebe a seguinte mensagem de erro:
Falha ao salvar o gateway de rede virtual <nome do gateway>. Os dados para o certificado <ID do certificado> são inválidos.
Causa
Esse problema poderá ocorrer se a chave pública do certificado raiz que você carregou contiver caracteres inválidos, como espaço.
Solução
Verifique se os dados do certificado não contêm caracteres inválidos, como quebras de linha (retornos de carro). O valor inteiro deve estar em uma linha longa. O exemplo a seguir mostra a área a ser copiada dentro do certificado:
Erro do portal do Azure: falha ao salvar gateway de VPN e o nome do recurso é inválido
Sintoma
Quando você tenta salvar as alterações do gateway de VPN no portal do Azure, recebe a seguinte mensagem de erro:
Falha ao salvar o gateway de rede virtual <nome do gateway>. Nome do recurso <o nome do certificado que você tenta carregar> é inválido.
Causa
Esse problema ocorre porque o nome do certificado contém um caractere inválido, como um espaço.
Erro 503 de portal do Azure: erro de download do arquivo do pacote VPN
Sintoma
Ao tentar baixar o pacote de configuração de cliente VPN, você recebe a seguinte mensagem de erro:
Falha ao baixar o arquivo. Detalhes do erro: erro 503. O servidor está ocupado.
Solução
Esse erro pode ser causado por um problema de rede temporário. Tente baixar o pacote VPN novamente após alguns minutos.
Atualização do Gateway de VPN do Azure: nenhum dos clientes ponto a site consegue se conectar
Causa
Se o certificado passou de 50% de seu tempo de vida, o certificado é substituído.
Solução
Para resolver esse problema, baixe e implante novamente o pacote de ponto a site em todos os clientes.
Muitos clientes VPN conectados ao mesmo tempo
O número máximo de conexões permitidas é atingido. Você pode ver o número total de clientes conectados no portal do Azure.
O cliente VPN não pode acessar os compartilhamentos de arquivos de rede
Sintoma
O cliente VPN foi conectado à rede virtual do Azure. No entanto, o cliente não pode acessar os compartilhamentos de rede.
Causa
O protocolo SMB é usado para acesso de compartilhamento de arquivos. Quando a conexão é iniciada, o cliente VPN adiciona as credenciais da sessão e a falha ocorre. Depois que a conexão é estabelecida, o cliente é forçado a usar as credenciais de cache para a autenticação Kerberos. Esse processo inicia consultas para o Centro de Distribuição de Chaves (um controlador de domínio) para obter um token. Uma vez que o cliente conecta-se pela Internet, ele pode não conseguir alcançar o controlador de domínio. Portanto, o cliente não pode fazer failover do Kerberos para o NTLM.
A única vez em que o cliente é solicitado a fornecer uma credencial é quando ele tem um certificado válido (com SAN=UPN) emitido pelo domínio no qual ele está ingressado. O cliente também deve estar fisicamente conectado à rede de domínio. Nesse caso, o cliente tenta usar o certificado e busca o controlador de domínio. Então o Centro de distribuição de chaves retorna um erro de "KDC_ERR_C_PRINCIPAL_UNKNOWN". O cliente é forçado a fazer failover para NTLM.
Solução
Para contornar o problema, desabilite o cache de credenciais de domínio da seguinte subchave do registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
Não é possível encontrar a conexão VPN ponto a site no Windows após a reinstalação do cliente VPN
Sintoma
Você remove a conexão VPN ponto a site e reinstala o cliente VPN. Nessa situação, a conexão VPN não foi configurada com êxito. Você não vê a conexão VPN nas configurações de Conexões de rede do Windows.
Solução
Para resolver o problema, exclua os arquivos de configuração do cliente VPN antigos C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> e, em seguida, execute novamente o instalador do cliente VPN.
O cliente VPN ponto a site não pode resolver o FQDN dos recursos no domínio local
Sintoma
Quando o cliente se conecta ao Azure usando a conexão VPN ponto a site, ele não pode resolver o FQDN dos recursos no seu domínio local.
Causa
O cliente VPN de ponto a site normalmente usa os servidores DNS do Azure configurados na rede virtual do Azure. Os servidores DNS do Azure têm precedência sobre os servidores DNS locais que são configurados no cliente (a menos que a métrica da interface da Ethernet seja menor), assim, todas as consultas DNS são enviadas para os servidores DNS do Azure. Se os servidores DNS do Azure não tiverem os registros dos recursos locais, ocorrerá uma falha na consulta.
Solução
Para resolver o problema, verifique se os servidores DNS do Azure que são usados em uma rede virtual do Azure podem resolver os registros DNS para recursos locais. Para fazer isso, você pode usar encaminhadores DNS ou encaminhadores condicionais. Para obter mais informações, confira Resolução de nomes usando seu servidor DNS.
A conexão VPN ponto a site é estabelecida, mas ainda não é possível se conectar aos recursos do Azure
Causa
Esse problema poderá ocorrer se o cliente VPN não obtiver as rotas do gateway de VPN do Azure.
Solução
Para resolver esse problema, redefina o gateway de VPN do Azure. Para verificar se as novas rotas estão sendo usadas, os clientes VPN ponto a site devem ser baixados novamente após o emparelhamento da rede virtual ter sido configurado com êxito.
Erro: “A função de revogação não pôde verificar a revogação porque o servidor de revogação estava offline. (Erro 0x80092013)”
Causas
Essa mensagem de erro ocorre se o cliente não puder acessar http://crl3.digicert.com/ssca-sha2-g1.crl e http://crl4.digicert.com/ssca-sha2-g1.crl. A verificação de revogação requer acesso a esses dois sites. Esse problema geralmente acontece em clientes que têm o servidor proxy configurado. Em alguns ambientes, se as solicitações não forem realizadas por meio do servidor proxy, elas serão negadas no firewall de borda.
Solução
Verifique as configurações do servidor proxy, certifique-se de que o cliente pode acessar http://crl3.digicert.com/ssca-sha2-g1.crl e http://crl4.digicert.com/ssca-sha2-g1.crl.
Erro do cliente VPN: a conexão foi impedida devido a uma política configurada no seu servidor de RAS/VPN. (Erro 812)
Causa
Esse erro ocorre se o servidor RADIUS usado para autenticar o cliente VPN tiver configurações incorretas ou se Gateway do Azure não puder alcançar o servidor Radius.
Solução
Verifique se o servidor RADIUS está configurado corretamente. Para obter mais informações, consulte Integrar a autenticação RADIUS com o Servidor de Autenticação Multifator do Azure.
"Erro 405" ao baixar o certificado raiz do Gateway de VPN
Causa
O certificado raiz não foi instalado. O certificado raiz está instalado no repositório Certificados confiáveis.
Erro do cliente VPN: a conexão remota não foi feita porque a tentativa de túneis VPN falhou. (Erro 800)
Causa
O driver NIC está desatualizado.
Solução
Atualize o driver NIC:
- Clique em Iniciar, digite Gerenciador de Dispositivos e selecione-o na lista de resultados. Se você for solicitado para uma senha de administrador ou confirmação, digite a senha ou forneça a confirmação.
- Nas categorias Adaptadores de rede, localize o NIC a ser atualizado.
- Clique duas vezes no nome do dispositivo, selecione Atualizar Driver, selecione Pesquisar automaticamente software de driver atualizado.
- Se o Windows não localizar um novo driver, você poderá tentar procurar um no site do fabricante do dispositivo e seguir as instruções.
- Reinicie o computador e tente novamente a conexão.
Erro do cliente VPN: sua autenticação com o Microsoft Entra expirou
Se estiver usando a autenticação do Microsoft Entra ID, você poderá encontrar um dos seguintes erros:
Sua autenticação com o Microsoft Entra expirou. Você precisa se autenticar novamente no Entra para adquirir um novo token. O tempo limite de autenticação pode ser ajustado pelo administrador.
ou
Sua autenticação no Microsoft Entra expirou; você precisa se autenticar novamente para adquirir um novo token. Tente se conectar novamente. As políticas e o tempo limite de autenticação são configurados pelo seu administrador no locatário do Entra.
Causa
A conexão ponto a site está desconectada porque o token de atualização atual expirou ou se tornou inválido. Não foi possível obter novos tokens de acesso para autenticar o usuário.
Quando um cliente VPN do Azure tenta estabelecer uma conexão com um gateway de VPN do Azure usando a autenticação do Microsoft Entra ID, um token de acesso é necessário para autenticar o usuário. Esse token é renovado aproximadamente a cada hora. Um token de acesso válido só poderá ser emitido quando o usuário tiver um token de atualização válido. Se o usuário não tiver um token de atualização válido, a conexão será desconectada.
O token de atualização pode ser mostrado como expirado/inválido por vários motivos. Você pode verificar os logs de login do Usuário do Entra para fins de depuração. Confira Logs de login do Microsoft Entra.
O token de atualização expirou
- O tempo de vida padrão para os tokens de atualização é de 90 dias. Após 90 dias, os usuários precisarão se reconectar para obter um novo token de atualização.
- Os administradores de locatários do Entra podem adicionar políticas de acesso condicional para a frequência de login que disparam uma reautenticação periódica a cada "X" horas (o token de atualização irá expirar após "X" horas). Usando políticas de acesso condicional personalizadas, os usuários são forçados a usar um login interativo a cada "X" horas. Para obter mais informações, confira Atualizar tokens na plataforma de identidade da Microsoft e configurar políticas de tempo de vida de sessões adaptáveis.
O token de atualização é inválido
- O usuário foi removido do locatário.
- As credenciais do usuário foram alteradas.
- As sessões foram revogadas pelo Administrador de locatários do Entra.
- O dispositivo se tornou sem conformidade (se for um dispositivo gerenciado).
- Outras políticas do Entra configuradas pelos Administradores do Entra que requerem que os usuários usem o login interativo periodicamente.
Solução
Nessas situações será preciso que os usuários se reconectem. Isso dispara um processo de login interativo no Microsoft Entra que emite um novo token de atualização e um token de acesso.
Erro do cliente VPN: ao discar a conexão VPN <Nome da conexão VPN>, o Status = A plataforma VPN não disparou a conexão
Você também pode ver o seguinte erro no Visualizador de Eventos do RasClient: “O usuário <Usuário> discou uma conexão chamada <Nome da Conexão VPN> que apresentou uma falha”. O código de erro retornado na falha é 1460."
Causa
O cliente VPN do Azure não tem a permissão de aplicativo “Aplicativos em segundo plano” habilitada nas Configurações de Aplicativo do Windows.
Solução
- No Windows, acesse Configurações -> Privacidade -> Aplicativos em segundo plano
- Alterne a opção "Permitir que os aplicativos sejam executados em segundo plano" para Ativado
Erro: 'erro no download do arquivo O URI de destino não foi especificado'
Causa
Isso é causado por um tipo de gateway incorreto configurado.
Solução
O tipo de gateway de VPN do Azure deve ser VPN e o tipo de VPN deve ser RouteBased.
O instalador do pacote VPN não conclui
Causa
Esse problema pode ser causado pelas instalações anteriores do cliente VPN.
Solução
Exclua os arquivos de configuração do cliente VPN antigos C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> e execute novamente o instalador do cliente VPN.
O cliente VPN hiberna ou dorme
Solução
Verifique as configurações de suspensão e hibernação no computador em que o cliente VPN está executando.
Não consigo resolver registros em zonas DNS privadas usando o Resolvedor Privado em clientes ponto a site.
Sintoma
Quando você estiver usando o servidor DNS fornecido pelo Azure (168.63.129.16) na rede virtual, os clientes ponto a site não poderão resolver registros presentes em zonas DNS privadas (incluindo pontos de extremidade privados).
Causa
O endereço IP do servidor DNS do Azure (168.63.129.16) só pode ser resolvido na plataforma Azure.
Solução
As seguintes etapas ajudam você a resolver os registros da zona DNS privada:
A configuração do endereço IP de entrada do Resolvedor Privado como servidores DNS personalizados na rede virtual ajuda você a resolver registros na zona DNS privada (incluindo aqueles criados por meio de pontos de extremidade privados). Observe que as zonas DNS privadas precisam ser associadas à rede virtual que tem o Resolvedor Privado.
Por padrão, os servidores DNS configurados em uma rede virtual serão enviados por push para os clientes ponto a site conectados por meio do gateway de VPN. Portanto, a configuração do endereço IP de entrada do Resolvedor Privado como servidores DNS personalizados na rede virtual enviará automaticamente esses endereços IP para clientes como o servidor DNS de VPN e você poderá resolver os registros diretamente nas zonas DNS privadas (incluindo pontos de extremidade privados).