Устранение неполадок с профилем VPN в Microsoft Intune
Исходная версия продукта: Microsoft Intune
Исходный номер базы знаний: 4519426
Введение
Это руководство поможет вам понять и устранить проблемы с профилем VPN, которые могут возникнуть при использовании Microsoft Intune.
В примерах, приведенных в этом руководстве, используется проверка подлинности сертификата SCEP для профилей. В примерах также предполагается, что на устройстве правильно работают доверенные корневые профили и профили SCEP. В примерах доверенные корневые профили и профили SCEP называются следующим образом:
| Типы профилей | Android | iOS | Windows |
|---|---|---|---|
| Доверенный корневой профиль | AndroidRoot | iOSRoot | WindowsRoot2 |
| Профиль SCEP | AndroidSCEP | iOSSCEP | WindowsSCEP2 |
Обзор профилей VPN
Виртуальные частные сети (VPN) предоставляют пользователям безопасный удаленный доступ к сети организации. Устройства используют профиль VPN-подключения для установления подключения к VPN-серверу. В Intune профили VPN назначают параметры VPN пользователям и устройствам в организации. Затем пользователи смогут легко и безопасно подключаться к сети организации.
Например, если вы хотите настроить для всех устройств iOS необходимые параметры для подключения к общей папке в сети организации, можно создать профиль VPN, включающий эти параметры, и назначить этот профиль всем пользователям с устройствами iOS. После этого пользователи смогут увидеть VPN-подключение в списке доступных сетей и подключиться с минимальными усилиями.
Профили VPN можно создавать с помощью различных типов VPN-подключений.
Примечание.
Прежде чем использовать профили VPN, назначенные устройству, необходимо установить соответствующее VPN-приложение для профиля.
Создание профилей VPN
Чтобы создать профиль VPN, выполните действия, описанные в разделе Создание профиля устройства.
Примеры см. на следующих снимках экрана:
Примечание.
В примерах типом подключения для профилей VPN android и iOS является Cisco AnyConnect, а для Windows 10 — Автоматический. Профиль VPN связан с профилем SCEP.
Назначение профилей VPN
После создания профиля VPN назначьте профиль выбранным группам.
Примечание.
Развертывание типа группы (группа пользователей или группа устройств) имеет важное значение, и оно должно быть согласовано во всех политиках, связанных с этой политикой ресурсов (доверенные сертификаты, SCEP и VPN). Это будет зависеть от типа развертываемого сертификата. Если вы развертываете сертификат пользователя, все развертывания должны быть в группе пользователей и наоборот. Если развернутый сертификат относится к типу устройства, используйте группу устройств.
Примеры см. на следующем снимок экрана:
Как выглядят успешные профили VPN
В этом сценарии используется устройство Android, зарегистрированное в качестве личного рабочего профиля. Так как на устройстве уже установлены доверенные корневые профили и профили SCEP, вам не будет предложено установить сертификаты SCEP.
Вы получите уведомление об установке корпоративного профиля VPN:
Если уведомление не получено, нажмите кнопку Изменить параметры , чтобы включить параметр Внешнего управления в приложении AnyConnect. Затем вы получите уведомление.
Выберите сертификат SCEP в приложении AnyConnect:
Примечание.
При использовании устройства Android, управляемого администратором устройства, может быть несколько сертификатов, так как при изменении или удалении профиля сертификата сертификаты не отозваны или удалены. В этом сценарии выберите новейший сертификат. Обычно это последний сертификат, отображаемый в списке.
Такая ситуация не возникает на устройствах Android Enterprise и Samsung Knox. Дополнительные сведения см. в разделах Управление устройствами рабочего профиля Android с помощью Intune и Удаление сертификатов SCEP и PKCS в Microsoft Intune.
VPN-подключение успешно создано.
Корпоративный портал журналы успешного развертывания профиля VPN
На устройстве Android файл Omadmlog.log регистрирует подробные действия профиля VPN при его обработке на устройстве. В зависимости от того, как долго было установлено приложение Корпоративный портал, у вас может быть до пяти Omadmlog.log файлов, а метка времени последней синхронизации поможет вам найти связанные записи.
В следующем примере cmTrace используется для чтения журналов и поиска по запросу android.vpn.client.
Пример журнала:
<Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 13229 00622 Notifying to provision vpn profile 'AnyConnect'.
<Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 13229 00622 VPN Profile "AnyConnect" state changed from RECEIVED to PENDING_USER_INSTALL
<Date Time> VERB com.microsoft.omadm.platforms.android.vpn.client.VpnClient 13229 00002 Creating VPN Provision Intent: anyconnect://create/?host=VPN.contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
<Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 13229 00002 Vpn profile 'AnyConnect' provisioned and complete.
<Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 13229 00002 VPN Profile "AnyConnect" state changed from PENDING_USER_INSTALL to PROVISIONED
Устранение распространенных проблем
Проблема 1. Профиль VPN не развертывается на устройстве
Убедитесь, что профиль VPN назначен правильной группе.
На портале Intune выберите Профили конфигурации> устройств, затем выберите профиль, а затем выберите Назначения, чтобы проверить выбранные группы.
Убедитесь, что устройство может синхронизироваться с Intune, проверив время последней проверки на панели Устранение неполадок.
Если профиль VPN связан с доверенными корневыми профилями и профилями SCEP, убедитесь, что оба профиля развернуты на устройстве. Профиль VPN зависит от этих профилей.
Если на устройстве не установлены доверенные корневые профили и профили SCEP, в файле журнала Корпоративный портал (Omadmlog.log) отобразится следующая запись:
<Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 14210 00948 Waiting for required certificates for vpn profile 'androidVPN'.Примечание.
Возможно, что, несмотря на то, что доверенные корневые профили и профили SCEP находятся на устройстве и соответствуют требованиям, профиль VPN по-прежнему не находится на устройстве. Эта проблема возникает,
CertificateSelectorкогда поставщик из приложения Корпоративный портал не находит сертификат, соответствующий указанным условиям. Конкретные критерии могут находиться в шаблоне сертификата или профиле SCEP. Если соответствующий сертификат не найден, сертификаты на устройстве будут исключены. Таким образом, профиль VPN будет пропущен, так как у него нет правильного сертификата. В этом сценарии в файле журнала Корпоративный портал (Omadmlog.log) отображается следующая запись:Waiting for required certificates for vpn profile 'androidVPN'.В следующем примере журнала показано, что сертификаты исключаются из-за указания условий расширенного использования ключа (EKU) любого назначения . Однако сертификаты, назначенные устройству, не имеют этого EKU:
<Date Time> VERB com.microsoft.omadm.utils.CertUtils 14210 00948 Excluding cert with alias User<ID1> and requestId <requestID1> as it does not have any purpose EKU. <Date Time> VERB com.microsoft.omadm.utils.CertUtils 14210 00948 Excluding cert with alias User<ID2> and requestId <requestID2> as it does not have any purpose EKU. <Date Time> VERB com.microsoft.omadm.utils.CertUtils 14210 00948 0 cert(s) matched criteria: <Date Time> VERB com.microsoft.omadm.utils.CertUtils 14210 00948 2 cert(s) excluded by criteria: <Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 14210 00948 Waiting for required certificates for vpn profile '<profile name>'.В следующем примере показано, что в профиле SCEP указан параметр EKU любого назначения . Однако он не указан в шаблоне сертификата в центре сертификации (ЦС). Чтобы устранить эту проблему, добавьте параметр Любое назначение в шаблон сертификата или удалите параметр Любое назначение из профиля SCEP.
Убедитесь, что параметр Внешнего управления AnyConnect включен.
Перед созданием профиля необходимо включить параметр "Внешнее управление ". При отправке профиля на устройство пользователю предлагается включить параметр Внешнего управления .
Убедитесь, что все необходимые сертификаты в полной цепочке сертификатов находятся на устройстве. В противном случае в файле журнала Корпоративный портал (Omadmlog.log) отобразится следующая запись:
Waiting for required certificates for vpn profile 'androidVPN'.Дополнительные сведения см. в разделе Отсутствие промежуточного центра сертификации.
Проблема 2. Профиль VPN развертывается на устройстве, но устройство не может подключиться к сети
Как правило, эта проблема с подключением не является Intune, и причин может быть много. Следующие элементы помогут вам понять и устранить проблему.
Можно ли вручную подключиться к сети с помощью сертификата, имеющего те же критерии в профиле VPN?
По возможности проверка свойства сертификата, используемого при подключении вручную, и внесите изменения в профиль VPN Intune.
Для устройств Android и iOS в журналах приложений VPN-клиента показано, что устройство пыталось подключиться к профилю VPN?
Как правило, ошибки подключения регистрируются в журналах приложений VPN-клиента.
На устройствах Windows показано, что в журналах сервера Radius было показано, что устройство пыталось подключиться к профилю VPN?
Как правило, ошибки подключения регистрируются в журналах сервера Radius.
Просмотр журналов в приложении AnyConnect
Чтобы просмотреть журналы, ознакомьтесь со следующими двумя примерами для устройств Android и iOS.
Пример 1. Просмотр журналов на устройствах Android
Выберите Пункт Диагностика меню>.
Чтобы просмотреть сертификаты, выберите Управление сертификатами.
Чтобы просмотреть журналы для анализа проблем AnyConnect, выберите Ведение журнала и Отладка сведений о>системе .
Чтобы отправить журналы, выберите Пункт Меню>Отправить отчет о журналах>администратору.
После получения журналов отладки проверка файлdebug_logs_unfiltered.txt для сведений о создании профиля и подключении.
Пример журнала для создания VPN:
<Date Time> I/AnyConnect(14530): URIHandlerActivity: Received command: anyconnect://create?host=VPN.Contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
<Date Time> I/AnyConnect(14530): VpnService: VpnService is being created.
Пример журнала для сбоя VPN-подключения:
<Date Time> I/vpnapi (14530): Message type information sent to the user: Contacting VPN.Contoso.com.
<Date Time> I/vpnapi (14530): Initiating VPN connection to the secure gateway https://VPN.Contoso.com
<Date Time> I/acvpnagent(14592): Using default preferences. Some settings (e.g. certificate matching) may not function as expected if a local profile is expected to be used. Verify that the selected host is in the server list section of the profile and that the profile is configured on the secure gateway.
<Date Time> I/acvpnagent(14592): Function: processConnectNotification File: MainThread.cpp Line: 14616 Received connect notification (host VPN.Contoso.com, profile N/A)
<Date Time> W/acvpnagent(14592): Function: getHostIPAddrByName File: SocketSupport.cpp Line: 344 Invoked Function: ::getaddrinfo Return Code: 11 (0x0000000B) Description: unknown
<Date Time> W/acvpnagent(14592): Function: resolveHostName File: HostLocator.cpp Line: 710 Invoked Function: CSocketSupport::getHostIPAddrByName Return Code: -31129588 (0xFE25000C) Description: SOCKETSUPPORT_ERROR_GETADDRINFO
<Date Time> W/acvpnagent(14592): Function: ResolveHostname File: HostLocator.cpp Line: 804 Invoked Function: CHostLocator::resolveHostName Return Code: -31129588 (0xFE25000C) Description: SOCKETSUPPORT_ERROR_GETADDRINFO failed to resolve host name VPN.Contoso.com to IPv4 address
<Date Time> I/vpnapi (14530): Message type warning sent to the user: Connection attempt has failed.
<Date Time> E/vpnapi (14530): Function: processIfcData File: ConnectMgr.cpp Line: 3399 Content type (unknown) received. Response type (DNS resolution failed) from VPN.Contoso.com: DNS resolution failed
<Date Time> I/vpnapi (14530): Message type warning sent to the user: Unable to contact VPN.Contoso.com.
<Date Time> E/vpnapi (14530): Function: processIfcData File: ConnectMgr.cpp Line: 3535 Unable to contact VPN.Contoso.com DNS resolution failed
<Date Time> I/vpnapi (14530): Message type error sent to the user: The VPN connection failed due to unsuccessful domain name resolution.
Пример 2. Просмотр журналов на устройствах iOS
Чтобы просмотреть сертификат пользователя, выберите Сертификаты диагностики>.
Чтобы просмотреть сообщения журнала, выберите Диагностика, включите параметр Журналы отладки VPN , чтобы включить ведение журнала, а затем выберите Журналы.
- Чтобы отобразить сообщения журнала отладки службы, выберите Служба.
- Чтобы отобразить сообщения журнала отладки приложения, выберите Приложение.
Чтобы отправить журналы, выберите Общий доступ к журналам в окне диагностика , введите сведения о проблеме и нажмите кнопку Отправить.
После получения журналов отладки проверка файлы для создания профиля и сведений о подключении.
Пример журнала AnyConnect_App_Debug_Logs.txt файла с профилем VPN:
[<Date Time>] Info: Function: SaveSettings File: AppleVpnConfig.mm Line: 198 SaveSettings {type = mutable dict, count = 3, entries => 0 : {contents = "RemoteAddress"} = {contents = "Contoso.com"} 1 : {contents = "AuthenticationMethod"} = {contents = "Certificate"} 2 : {contents = "LocalCertificate"} = <69646e74 00000000 000002d3> }
[<Date Time>] Info: Function: GetSettings File: AppleVpnConfig.mm Line: 175 GetSettings { AuthenticationMethod = Certificate; LocalCertificate = <69646e74 00000000 000002d3>; RemoteAddress = "Contoso.com"; }
[<Date Time>] Info: Function: -[AppleVpnConfigBatch startBatchSaveToSystem] File: AppleVpnConfigBatch.mm Line: 43 Invoking save to system with 0x28202fd60
[<Date Time>] Info: Function: saveToSystem_block_invoke File: AxtVpnConfig.mm Line: 222 Successfully saved profile for Contoso.com
[<Date Time>] Info: Function: -[AppleVpnConfigBatch startBatchSaveToSystem] File: AppleVpnConfigBatch.mm Line: 36 completed!.
Пример журнала AnyConnect_Messages.txt файла, в который показано сбой VPN-подключения:
[<Date Time>] [VPN] - Contacting Contoso.com.
[<Date Time>] [VPN] - Connection attempt has failed.
[<Date Time>] [VPN] - Unable to contact CoolBreeze.com.
[<Date Time>] [VPN] - Connection attempt has timed out. Please verify Internet connectivity.
Пример журнала AnyConnect_Plugin_Debug_Logs.txt файла, в который показано сбой VPN-подключения:
[<Date Time>] Info: Message type information sent to the user: Contacting Contoso.com.
[<Date Time>] Info: Initiating VPN connection to the secure gateway https://Contoso.com
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Contacting Contoso.com. to App
[<Date Time>] Error: Function: SendRequest File: CTransportCurlStatic.cpp Line: 2046 Invoked Function: curl_easy_perform Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT 28 : Error
[<Date Time>] Error: Function: TranslateStatusCode File: ConnectIfc.cpp Line: 3169 Invoked Function: TranslateStatusCode Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT Connection attempt has timed out. Please verify Internet connectivity.
[<Date Time>] Error: Function: doConnectIfcConnect File: ConnectMgr.cpp Line: 2442 Invoked Function: ConnectIfc::connect Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT
[<Date Time>] Info: Message type warning sent to the user: Connection attempt has failed.
[<Date Time>] Error: Function: processIfcData File: ConnectMgr.cpp Line: 3407 Content type (unknown) received. Response type (host unreachable) from Contoso.com:
[<Date Time>] Info: Message type warning sent to the user: Unable to contact Contoso.com.
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Connection attempt has failed. to App
[<Date Time>] Error: Function: processIfcData File: ConnectMgr.cpp Line: 3543 Unable to contact Contoso.com
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Unable to contact Contoso.com. to App
[<Date Time>] Info: Message type error sent to the user: Connection attempt has timed out. Please verify Internet connectivity.
Дополнительная информация
Если вы все еще ищете решение связанной проблемы или хотите получить дополнительные сведения о Microsoft Intune, опубликуйте вопрос на форуме Microsoft Intune. Многие инженеры поддержки, MVP и члены команды разработчиков посещают форумы. Таким образом, есть хороший шанс, что вы сможете найти кого-то с необходимой информацией.
Если вы хотите отправить запрос в службу поддержки продуктов Microsoft Intune, см. статью Как получить поддержку по Microsoft Intune.
Дополнительные сведения о профилях VPN в Intune см. в следующих статьях:
- Параметры устройств с Android для настройки VPN в Intune
- Настройка параметров VPN на устройствах iOS в Microsoft Intune
- Настройки устройств с Windows 10 и Windows Holographic для добавления VPN-соединений с помощью Intune
- Совет по поддержке. Настройка NDES для развертывания сертификатов SCEP в Intune
- Устранение неполадок с развертыванием профиля сертификата SCEP в Microsoft Intune
- Устранение неполадок с конфигурацией NDES для использования с профилями сертификатов Microsoft Intune
Чтобы получить все последние новости, информацию и технические советы, посетите официальные блоги: