استكشاف الأخطاء وإصلاحها: مشاكل اتصال Azure من نقطة إلى موقع

  • مقالة

تسرد هذه المقالة مشاكل الاتصال الشائعة من نقطة إلى موقع التي قد تواجهها. كما يناقش الأسباب والحلول المحتملة لهذه المشاكل.

خطأ عميل VPN: تعذر العثور على شهادة

العرض

عند محاولة الاتصال بشبكة Azure الظاهرية باستخدام عميل VPN، تتلقى رسالة الخطأ التالية:

تعذر العثور على شهادة يمكن استخدامها مع بروتوكول المصادقة الموسعة هذا. (خطأ 798)

السبب

تحدث هذه المشكلة إذا كانت شهادة العميل مفقودة من الشهادات - المستخدم الحالي \\ شخصي \ الشهادات.

حل

لحل هذه المشكلة، اتبع هذه الخطوات:

  1. فتح إدارة الشهادات: انقر فوق البدء، واكتب إدارة شهادات الكمبيوتر، ثم انقر فوق إدارة شهادات الكمبيوتر في نتيجة البحث.

  2. تأكد من أن الشهادات التالية في الموقع الصحيح:

    شهادة الموقع
    AzureClient.pfx المستخدم الحالي\الشخصي\الشهادات
    AzureRoot.cer الكمبيوتر المحلي\المراجع المصدقة الجذر الموثوق بها

  3. انتقل إلى C:\Users<UserName>\بيانات التطبيق\التجوال\Microsoft\الشبكة\الاتصالات\Cm<GUID>، وقم بتثبيت الشهادة يدويا (*ملف .cer) على متجر المستخدم والكمبيوتر.

لمزيد من المعلومات حول كيفية تثبيت شهادة العميل، راجع إنشاء شهادات وتصديرها للاتصالات من نقطة إلى موقع.

إشعار

عند استيراد شهادة العميل، لا تحدد الخيار تمكين حماية قوية للمفتاح الخاص.

تعذر إنشاء اتصال الشبكة بين الكمبيوتر وخادم VPN لأن الخادم البعيد لا يستجيب

العرض

عند محاولة الاتصال ببوابة شبكة ظاهرية Azure باستخدام IKEv2 على Windows، تحصل على رسالة الخطأ التالية:

تعذر تأسيس اتصال الشبكة بين الكمبيوتر وخادم VPN لأن الخادم البعيد لا يستجيب

السبب

تحدث المشكلة إذا لم يكن إصدار Windows يدعم تجزئة IKE.

حل

يتم دعم IKEv2 على Windows 10 وServer 2016. ومع ذلك، لاستخدام IKEv2، يجب تثبيت التحديثات وتعيين قيمة مفتاح التسجيل محليا. إصدارات نظام التشغيل قبل Windows 10 غير مدعومة ويمكنها استخدام SSTP فقط.

لإعداد Windows 10 أو Server 2016 ل IKEv2:

  1. قم بتثبيت التحديث.

    إصدار نظام التشغيل التاريخ الرقم/الرابط
    Windows Server 2016
    Windows 10 Version 1607    		 17 يناير 2018 KB4057142
    Windows 10 Version 1703 17 يناير 2018 KB4057144
    Windows 10 Version 1709 22 مارس 2018 KB4089848

  2. عيّن قيمة مفتاح التسجيل. إنشاء أو تعيين HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload مفتاح REG_DWORD في التسجيل إلى 1.

خطأ في عميل VPN: كانت الرسالة المستلمة غير متوقعة أو بتنسيق سيئ

العرض

عند محاولة الاتصال بشبكة Azure الظاهرية باستخدام عميل VPN، تتلقى رسالة الخطأ التالية:

كانت الرسالة المستلمة غير متوقعة أوبتنسيق سيئ. (خطأ 0x80090326.)

السبب

تحدث هذه المشكلة إذا تحقق أحد الشروط التالية:

  • يتم تعيين استخدام المسارات المعرفة من قبل المستخدم (UDR) مع المسار الافتراضي على الشبكة الفرعية للبوابة بشكل غير صحيح.
  • لا يتم تحميل المفتاح العام للشهادة الجذر في بوابة Azure VPN.
  • المفتاح تالف أو منتهي الصلاحية.

حل

لحل هذه المشكلة، اتبع هذه الخطوات:

  1. قم بإزالة UDR على الشبكة الفرعية للبوابة. تأكد من أن UDR يعيد توجيه جميع حركة المرور بشكل صحيح.
  2. تحقق من حالة الشهادة الجذر في مدخل Azure لمعرفة ما إذا كان قد تم إبطالها أم لا. إذا لم يتم إبطالها، فحاول حذف الشهادة الجذر وإعادة تحميلها. لمزيد من المعلومات، راجع إنشاء شهادات.

خطأ في عميل VPN: تمت معالجة سلسلة شهادات ولكن تم إنهاؤها

العرض

عند محاولة الاتصال بشبكة Azure الظاهرية باستخدام عميل VPN، تتلقى رسالة الخطأ التالية:

سلسلة شهادات تمت معالجتها ولكن تم إنهاؤها في شهادة جذر غير موثوق بها من قبل موفر الثقة.

حل

  1. تأكد من أن الشهادات التالية في الموقع الصحيح:

    شهادة الموقع
    AzureClient.pfx المستخدم الحالي\الشخصي\الشهادات
    Azuregateway-GUID.cloudapp.net المستخدم الحالي\المراجع المصدقة الجذرية الموثوق بها
    AzureGateway-GUID.cloudapp.net, AzureRoot.cer الكمبيوتر المحلي\المراجع المصدقة الجذر الموثوق بها

  2. إذا كانت الشهادات موجودة بالفعل في الموقع، فحاول حذف الشهادات وإعادة تثبيتها. توجد شهادة azuregateway-GUID.cloudapp.net في حزمة تكوين عميل VPN التي قمت بتنزيلها من مدخل Azure. يمكنك استخدام أرشيفات الملفات لاستخراج الملفات من الحزمة.

خطأ في تنزيل الملف: لم يتم تحديد الهدف URI

العرض

تتلقى رسالة الخطأ التالية:

خطأ في تنزيل الملف. لم يتم تحديد عنوان URI المستهدف.

السبب

تحدث هذه المشكلة بسبب وجود نوع بوابة غير صحيح.

حل

يجب أن يكون نوع بوابة VPN هو VPN ويجب أن يكون نوع VPN RouteBased.

خطأ في عميل VPN: فشل البرنامج النصي المخصص لـ Azure VPN

العرض

عند محاولة الاتصال بشبكة Azure الظاهرية باستخدام عميل VPN، تتلقى رسالة الخطأ التالية:

فشل البرنامج النصي المخصص (لتحديث جدول التوجيه). (خطأ 8007026f.)

السبب

قد تحدث هذه المشكلة إذا كنت تحاول فتح اتصال VPN من موقع إلى نقطة باستخدام اختصار.

حل

افتح حزمة VPN مباشرة بدلا من فتحها من الاختصار.

يتعذر تثبيت عميل VPN

السبب

مطلوب شهادة إضافية للوثوق ببوابة VPN لشبكتك الافتراضية. يتم تضمين الشهادة في حزمة تكوين عميل VPN التي يتم إنشاؤها من مدخل Azure.

حل

قم باستخراج حزمة تكوين عميل VPN، وابحث عن ملف .cer. لتثبيت الشهادة، اتبع الخطوات التالية:

  1. افتح mmc.exe.
  2. إضافة أداة الشهادات الإضافية.
  3. حدد حساب الكمبيوتر للكمبيوتر المحلي.
  4. انقر بزر الماوس الأيمن فوق عقدة المراجع الموثوقة المصدقة الجذر. انقر فوق All-Task>Import، واستعرض وصولا إلى ملف .cer الذي استخرجته من حزمة تكوين عميل VPN.
  5. أعد تشغيل الكمبيوتر.
  6. حاول تثبيت عميل VPN.

خطأ مدخل Azure: فشل حفظ بوابة VPN، والبيانات غير صالحة

العرض

عند محاولة حفظ التغييرات الخاصة ببوابة VPN في مدخل Azure، تتلقى رسالة الخطأ التالية:

فشل حفظ <اسم البوابة> لبوابة الشبكة الظاهرية. بيانات شهادة <معرف الشهادة> غير صالحة.

السبب

قد تحدث هذه المشكلة إذا كان المفتاح العام للشهادة الجذر الذي قمت بتحميله يحتوي على حرف غير صالح، مثل مسافة.

حل

تأكد من أن البيانات الموجودة في الشهادة لا تحتوي على أحرف غير صالحة، مثل فواصل الأسطر (إرجاع السطر). يجب أن تكون القيمة بأكملها عبارة عن سطر طويل واحد. النص التالي هو عينة من الشهادة:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

خطأ مدخل Azure: فشل حفظ بوابة VPN، واسم المورد غير صالح

العرض

عند محاولة حفظ التغييرات الخاصة ببوابة VPN في مدخل Azure، تتلقى رسالة الخطأ التالية:

فشل حفظ <اسم البوابة> لبوابة الشبكة الظاهرية. اسم شهادة اسم المورد <الذي تحاول تحميله> غير صالح.

السبب

تحدث هذه المشكلة لأن اسم الشهادة يحتوي على حرف غير صالح مثل مسافة.

خطأ مدخل Azure: خطأ تنزيل ملف حزمة VPN 503

العرض

عند محاولة تنزيل حزمة تكوين عميل VPN، تتلقى رسالة الخطأ التالية:

فشل تنزيل الملف. تفاصيل الخطأ: رقم 503. الخادم مشغول.

حل

يمكن أن يحدث هذا الخطأ بسبب مشكلة مؤقتة في الشبكة. حاول تنزيل حزمة VPN مرة أخرى بعد بضع دقائق.

ترقية بوابة Azure VPN: جميع عملاء نقطة إلى موقع غير قادرين على الاتصال

السبب

إذا كانت الشهادة أكثر من 50 بالمائة خلال عمرها الافتراضي، يتم ترحيل الشهادة.

حل

لحل هذه المشكلة، أعد تحميل الحزمة من نقطة إلى موقع وإعادة توزيعها على جميع العملاء.

الكثير من عملاء VPN المتصلين في وقت واحد

يتم الوصول إلى الحد الأقصى لعدد الاتصالات المسموح بها. يمكنك الاطلاع على العدد الإجمالي للعملاء المتصلين في مدخل Azure.

لا يمكن لعميل VPN الوصول إلى مشاركات ملفات الشبكة

العرض

اتصل عميل VPN بشبكة Azure الظاهرية. ومع ذلك، لا يمكن للعميل الوصول إلى مشاركات الشبكة.

السبب

يتم استخدام بروتوكول SMB للوصول إلى مشاركة الملفات. عند بدء الاتصال، يضيف عميل VPN بيانات اعتماد الجلسة، ويحدث الفشل. بعد تأسيس الاتصال، يضطر العميل إلى استخدام بيانات اعتماد ذاكرة التخزين المؤقت لمصادقة Kerberos. تبدأ هذه العملية الاستعلامات إلى مركز توزيع المفاتيح (وحدة تحكم مجال) للحصول على رمز مميز. نظرا لأن العميل يتصل من الإنترنت، فقد لا يتمكن من الوصول إلى وحدة تحكم المجال. لذلك، لا يمكن للعميل تجاوز الفشل من Kerberos إلى NTLM.

المرة الوحيدة التي تتم فيها مطالبة العميل ببيانات اعتماد هي عندما يكون لديه شهادة صالحة (مع SAN =UPN) صادرة عن المجال الذي انضم إليه. يجب أن يكون العميل أيضا متصلا فعليا بشبكة المجال. في هذه الحالة، يحاول العميل استخدام الشهادة والوصول إلى وحدة تحكم المجال. ثم يقوم مركز توزيع المفاتيح بإرجاع خطأ "KDC_ERR_C_PRINCIPAL_UNKNOWN". يضطر العميل إلى الفشل في NTLM.

حل

كمحاولة للتغلب على هذه المشكلة قم بتعطيل التخزين المؤقت لبيانات اعتماد المجال من مفتاح التسجيل الفرعي التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

يتعذر العثور على اتصال VPN من نقطة إلى موقع في Windows بعد إعادة تثبيت عميل VPN

العرض

إزالة اتصال VPN من نقطة إلى موقع ثم قم بإعادة تثبيت عميل VPN. في هذه الحالة، لم يتم تكوين اتصال VPN بنجاح. لا ترى اتصال VPN في إعدادات اتصالات الشبكة في Windows.

حل

لحل المشكلة، قم بحذف ملفات تكوين عميل VPN القديمة من C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> ثم شغل مثبت عميل VPN مرة أخرى.

لا يمكن لعميل VPN من نقطة إلى موقع حل FQDN للموارد في المجال المحلي

العرض

عندما يتصل العميل ب Azure باستخدام اتصال VPN من نقطة إلى موقع، فإنه لا يمكنه حل FQDN للموارد الموجودة في مجالك المحلي.

السبب

يستخدم عميل VPN من نقطة إلى موقع عادة خوادم Azure DNS التي تم تكوينها في شبكة Azure الظاهرية. تكون لخوادم Azure DNS الأسبقية على خوادم DNS المحلية التي تم تكوينها في العميل (ما لم يكن مقياس واجهة Ethernet أقل)، لذلك يتم إرسال كافة استعلامات DNS إلى خوادم Azure DNS. إذا لم يكن لدى خوادم Azure DNS سجلات للموارد المحلية، يفشل الاستعلام.

حل

لحل المشكلة، تأكد من أن خوادم Azure DNS المستخدمة على شبكة Azure الظاهرية يمكنها حل سجلات DNS للموارد المحلية. للقيام بذلك، يمكنك استخدام معيدي توجيه DNS أو معيدي التوجيه الشرطيين. لمزيد من المعلومات، راجع تحليل الاسم باستخدام خادم DNS الخاص بك.

تم تأسيس اتصال VPN من نقطة إلى موقع، ولكن لا يزال يتعذر عليك الاتصال بموارد Azure

السبب

قد تحدث هذه المشكلة إذا لم يحصل عميل VPN على المسارات من بوابة Azure VPN.

حل

لحل هذه المشكلة، قم بإعادة تعيين بوابة Azure VPN. للتأكد من استخدام المسارات الجديدة، يجب تنزيل عملاء VPN من نقطة إلى موقع مرة أخرى بعد تكوين نظير الشبكة الظاهرية بنجاح.

خطأ: "تعذر على دالة الإبطال التحقق من الإبطال لأن خادم الإبطال غير متصل. (0x80092013 الخطأ)"

أسباب

تحدث رسالة الخطأ هذه إذا تعذر على العميل الوصول إلى http://crl3.digicert.com/ssca-sha2-g1.crl و http://crl4.digicert.com/ssca-sha2-g1.crl. يتطلب التحقق من الإلغاء الوصول إلى هذين الموقعين. تحدث هذه المشكلة عادة على العميل الذي تم تكوين الخادم العامل لديه. في بعض البيئات، إذا كانت الطلبات لا تمر عبر الخادم الوكيل، فسيتم رفضها في جدار حماية الحافة.

حل

تحقق من إعدادات الخادم العامل، وتأكد من أن العميل يمكنه الوصول إلى http://crl3.digicert.com/ssca-sha2-g1.crl و http://crl4.digicert.com/ssca-sha2-g1.crl.

خطأ في عميل VPN: تم منع الاتصال بسبب نهج تم تكوينه على خادم RAS/VPN. (خطأ 812)

السبب

يحدث هذا الخطأ إذا كان خادم RADIUS الذي استخدمته لمصادقة عميل VPN يحتوي على إعدادات غير صحيحة، أو تعذر على Azure Gateway الوصول إلى خادم Radius.

حل

تأكد من تكوين خادم RADIUS بشكل صحيح. لمزيد من المعلومات، راجع تكامل مصادقة RADIUS مع خادم المصادقة متعددة العوامل Azure.

"خطأ 405" عند تنزيل شهادة الجذر من بوابة VPN

السبب

لم يتم تثبيت شهادة الجذر. يتم تثبيت الشهادة الجذر في مخزن الشهادات الموثوقة الخاصة بالعميل.

خطأ عميل VPN: تعذر الاتصال عن بعد بسبب فشل محاولة أنفاق VPN. (خطأ 800)

السبب

برنامج تشغيل NIC قديم.

حل

تحديث برنامج تشغيل NIC:

  1. انقر فوق البدء، واكتب إدارة الأجهزة، وحدده من قائمة النتائج. إذا تمت مطالبتك بكلمة مرور مسؤول أو تأكيدها، فاكتب كلمة المرور أو قم بتأكيدها.
  2. في فئات محولات الشبكة، ابحث عن NIC الذي تريد تحديثه.
  3. انقر نقرا مزدوجا فوق اسم الجهاز، وحدد تحديث برنامج التشغيل، وحدد البحث تلقائيا عن برنامج تشغيل محدث.
  4. إذا لم يجد Windows برنامج تشغيل جديد، فيمكنك محاولة البحث عن برنامج تشغيل جديد على موقع الشركة المصنعة للجهاز على الويب واتباع تعليماتها.
  5. أعد تشغيل الكمبيوتر وحاول الاتصال مرة أخرى.

خطأ في عميل VPN: طلب اتصال VPN اسم اتصال <VPN>، الحالة = لم تقم منصة VPN بتشغيل الاتصال

قد ترى أيضا الخطأ التالي في عارض الأحداث من RasClient: "قام المستخدم <> بالاتصال المسمى <اسم VPN الاتصال ion> الذي فشل. التعليمة البرمجية للخطأ الذي تم إرجاعه عند الفشل هو 1460."

السبب

لا يحتوي عميل Azure VPN على إذن تطبيق "تطبيقات الخلفية" ممكن في App الإعدادات ل Windows.

حل

  1. في Windows، انتقل إلى إعدادات - >الخصوصية> تطبيقات الخلفية
  2. قم بتبديل "السماح بتشغيل التطبيقات في الخلفية" إلى تشغيل

خطأ: «خطأ في تنزيل الملف لم يتم تحديد عنوان URI المستهدف»

السبب

يحدث هذا بسبب تكوين نوع بوابة غير صحيح.

حل

يجب أن يكون نوع بوابة Azure VPN ويجب أن يكون نوع VPN RouteBased.

لم يكتمل مثبت حزمة VPN

السبب

يمكن أن تحدث هذه المشكلة بسبب عمليات تثبيت عميل VPN السابقة.

حل

احذف ملفات تكوين عميل VPN القديمة من C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> وقم بتشغيل مثبت عميل VPN مرة أخرى.

عميل VPN في وضع الإسبات أو السكون

حل

تحقق من إعدادات السكون والإسبات في الكمبيوتر الذي يعمل عليه عميل VPN.

لا يمكنني حل السجلات في مناطق DNS الخاصة باستخدام Private Resolver من عملاء من نقطة إلى موقع.

العرض

عند استخدام خادم DNS المتوفر من Azure (168.63.129.16) على الشبكة الظاهرية، لن يتمكن العملاء من نقطة إلى موقع من حل السجلات الموجودة في مناطق DNS الخاصة (بما في ذلك نقاط النهاية الخاصة).

تظهر لقطة الشاشة عميل Azure VPN، ونافذة PowerShell مفتوحة، وصفحة خوادم DNS لمدخل Microsoft Azure.

السبب

عنوان IP لخادم Azure DNS (168.63.129.16) قابل للحل فقط من نظام Azure الأساسي.

حل

تساعدك الخطوات التالية على حل السجلات من منطقة DNS الخاصة:

يساعدك تكوين عنوان IP الوارد للمحلل الخاص كخوادم DNS مخصصة على الشبكة الظاهرية على حل السجلات في منطقة DNS الخاصة (بما في ذلك تلك التي تم إنشاؤها من نقاط النهاية الخاصة). لاحظ أن مناطق DNS الخاصة يجب أن تكون مقترنة بالشبكة الظاهرية التي تحتوي على Private Resolver.

تظهر لقطة الشاشة عميل Azure VPN، ونافذة PowerShell مفتوحة، ومدخل Azure المفتوح لصفحة خوادم DNS.

بشكل افتراضي، سيتم دفع خوادم DNS التي تم تكوينها على شبكة ظاهرية إلى عملاء من نقطة إلى موقع متصلة عبر بوابة VPN. ومن ثم، فإن تكوين عنوان IP الوارد للمحلل الخاص كخوادم DNS مخصصة على الشبكة الظاهرية سيدفع تلقائيا عنوان IP هذا إلى العملاء كخادم DNS VPN ويمكنك حل السجلات بسلاسة من مناطق DNS الخاصة (بما في ذلك نقاط النهاية الخاصة).