Řešení potíží s připojením Azure typu point-to-site

Tento článek obsahuje seznam běžných problémů s připojením typu point-to-site, ke kterým může dojít. Popisuje také možné příčiny a řešení těchto problémů.

Chyba klienta VPN: Nepodařilo se najít certifikát

Příznaky

Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:

Nelze najít certifikát, který lze použít s tímto protokolem extensible authentication. (Chyba 798)

Příčina

K tomuto problému dochází, pokud v certifikátech chybí klientský certifikát – Aktuální uživatel\Osobní\Certifikáty.

Řešení

K řešení tohoto problému použijte tento postup:

1. Otevřít Správce certifikátů: Klepněte na tlačítko Start, zadejte spravovat certifikáty počítače a potom klepněte na tlačítko Spravovat certifikáty počítače ve výsledku hledání.

2. Ověřte, že následující certifikáty jsou ve správném umístění:

   Certifikát	Umístění
   AzureClient.pfx	Aktuální uživatel\Osobní\Certifikáty
   AzureRoot.cer	Místní počítač\Důvěryhodné kořenové certifikační autority

3. Přejděte na C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Připojení ions\Cm<GUID>, ručně nainstalujte certifikát (*.cer soubor) do úložiště uživatele a počítače.

Další informace o instalaci klientského certifikátu naleznete v tématu Generování a export certifikátů pro připojení typu point-to-site.

Poznámka:

Při importu klientského certifikátu nevybírejte možnost Povolit silnou ochranu privátního klíče.

Síťové připojení mezi vaším počítačem a serverem VPN se nepodařilo navázat, protože vzdálený server nereaguje

Příznaky

Když se pokusíte připojit k bráně virtuální sítě Azure pomocí IKEv2 ve Windows, zobrazí se následující chybová zpráva:

Síťové připojení mezi počítačem a serverem VPN nebylo možné navázat, protože vzdálený server nereaguje.

Příčina

K tomuto problému dochází v případě, že verze Windows nepodporuje fragmentaci protokolu IKE.

Řešení

IKEv2 se podporuje v systémech Windows 10 a Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí. Verze operačního systému starší než Windows 10 se nepodporují a můžou používat jenom SSTP.

Příprava Windows 10 nebo Serveru 2016 pro IKEv2:

1. Nainstalujte aktualizaci.

   Verze operačního systému	Datum	Číslo/odkaz
   Windows Server 2016 Windows 10 verze 1607	17. ledna 2018	KB4057142
   Windows 10 verze 1703	17. ledna 2018	KB4057144
   Windows 10 verze 1709	22. března 2018	KB4089848

2. Nastavte hodnotu klíče registru. Vytvořte nebo nastavte HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload klíč REG_DWORD v registru na hodnotu 1.

Chyba klienta VPN: Zpráva byla neočekávaná nebo špatně naformátovaná

Příznaky

Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:

Přijatá zpráva byla neočekávaná nebo špatně naformátovaná. (Chyba 0x80090326)

Příčina

K tomuto problému dochází, pokud je splněna jedna z následujících podmínek:

• Trasy definované uživatelem (UDR) s výchozí trasou v podsíti brány jsou nesprávně nastavené.
• Veřejný klíč kořenového certifikátu se nenahraje do brány Azure VPN.
• Klíč je poškozený nebo vypršela jeho platnost.

Řešení

K řešení tohoto problému použijte tento postup:

1. Odeberte trasu definovanou uživatelem v podsíti brány. Ujistěte se, že trasy definované uživatelem přesměrováují veškerý provoz správně.
2. Zkontrolujte stav kořenového certifikátu na webu Azure Portal a zjistěte, jestli byl odvolaný. Pokud se neodvolá, zkuste odstranit kořenový certifikát a znovu načíst. Další informace naleznete v tématu Vytvoření certifikátů.

Chyba klienta VPN: Zpracovaný, ale ukončený řetěz certifikátů

Příznaky

Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:

Řetěz certifikátů zpracovaný, ale ukončený v kořenovém certifikátu, kterému poskytovatel důvěryhodnosti nedůvěřuje.

Řešení

1. Ověřte, že následující certifikáty jsou ve správném umístění:

   Certifikát	Umístění
   AzureClient.pfx	Aktuální uživatel\Osobní\Certifikáty
   Azuregateway-GUID.cloudapp.net	Aktuální uživatel\Důvěryhodné kořenové certifikační autority
   AzureGateway-GUID.cloudapp.net, AzureRoot.cer	Místní počítač\Důvěryhodné kořenové certifikační autority

2. Pokud už jsou certifikáty v umístění, zkuste certifikáty odstranit a přeinstalovat. Certifikát azuregateway-GUID.cloudapp.net je v konfiguračním balíčku klienta VPN, který jste stáhli z webu Azure Portal. Archivátory souborů můžete použít k extrahování souborů z balíčku.

Chyba stahování souboru: Cílový identifikátor URI není zadaný

Příznaky

Zobrazí se tato chybová zpráva:

Chyba stahování souboru. Cílový identifikátor URI není zadaný.

Příčina

K tomuto problému dochází kvůli nesprávnému typu brány.

Řešení

Typ brány VPN musí být VPN a typ SÍTĚ VPN musí být RouteBased.

Chyba klienta VPN: Vlastní skript Azure VPN selhal

Příznaky

Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:

Vlastní skript (pro aktualizaci směrovací tabulky) se nezdařil. (Chyba 8007026f)

Příčina

K tomuto problému může dojít, pokud se pokoušíte otevřít připojení VPN typu site-to-point pomocí zástupce.

Řešení

Otevřete balíček VPN přímo místo jeho otevření z zástupce.

Nejde nainstalovat klienta VPN

Příčina

K důvěryhodnosti brány VPN pro vaši virtuální síť se vyžaduje další certifikát. Certifikát je součástí konfiguračního balíčku klienta VPN, který se vygeneruje z webu Azure Portal.

Řešení

Extrahujte konfigurační balíček klienta VPN a vyhledejte soubor .cer. Certifikát nainstalujete takto:

1. Otevřete mmc.exe.
2. Přidejte modul snap-in Certifikáty.
3. Vyberte účet počítače pro místní počítač.
4. Klikněte pravým tlačítkem myši na uzel Důvěryhodné kořenové certifikační autority . Klikněte na Import všech úloh>a přejděte k souboru .cer, který jste extrahovali z konfiguračního balíčku klienta VPN.
5. Restartujte počítač.
6. Pokuste se nainstalovat klienta VPN.

Chyba webu Azure Portal: Nepodařilo se uložit bránu VPN a data jsou neplatná.

Příznaky

Při pokusu o uložení změn brány VPN na webu Azure Portal se zobrazí následující chybová zpráva:

Nepovedlo se uložit název> brány brány <virtuální sítě. Data pro ID> certifikátu certifikátu <jsou neplatná.

Příčina

K tomuto problému může dojít, pokud veřejný klíč kořenového certifikátu, který jste nahráli, obsahuje neplatný znak, například mezeru.

Řešení

Ujistěte se, že data v certifikátu neobsahují neplatné znaky, jako jsou konce řádků (návrat na začátek řádku). Celá hodnota by měla být jedna dlouhá čára. Následující text je ukázka certifikátu:

-----BEGIN CERTIFICATE-----
MIIC5zCCAc+gAwIBAgIQFSwsLuUrCIdHwI3hzJbdBjANBgkqhkiG9w0BAQsFADAW
MRQwEgYDVQQDDAtQMlNSb290Q2VydDAeFw0xNzA2MTUwMjU4NDZaFw0xODA2MTUw
MzE4NDZaMBYxFDASBgNVBAMMC1AyU1Jvb3RDZXJ0MIIBIjANBgkqhkiG9w0BAQEF
AAOCAQ8AMIIBCgKCAQEAz8QUCWCxxxTrxF5yc5uUpL/bzwC5zZ804ltB1NpPa/PI
sa5uwLw/YFb8XG/JCWxUJpUzS/kHUKFluqkY80U+fAmRmTEMq5wcaMhp3wRfeq+1
G9OPBNTyqpnHe+i54QAnj1DjsHXXNL4AL1N8/TSzYTm7dkiq+EAIyRRMrZlYwije
407ChxIp0stB84MtMShhyoSm2hgl+3zfwuaGXoJQwWiXh715kMHVTSj9zFechYd7
5OLltoRRDyyxsf0qweTFKIgFj13Hn/bq/UJG3AcyQNvlCv1HwQnXO+hckVBB29wE
sF8QSYk2MMGimPDYYt4ZM5tmYLxxxvGmrGhc+HWXzMeQIDAQABozEwLzAOBgNVHQ8B
Af8EBAMCAgQwHQYDVR0OBBYEFBE9zZWhQftVLBQNATC/LHLvMb0OMA0GCSqGSIb3
DQEBCwUAA4IBAQB7k0ySFUQu72sfj3BdNxrXSyOT4L2rADLhxxxiK0U6gHUF6eWz
/0h6y4mNkg3NgLT3j/WclqzHXZruhWAXSF+VbAGkwcKA99xGWOcUJ+vKVYL/kDja
gaZrxHlhTYVVmwn4F7DWhteFqhzZ89/W9Mv6p180AimF96qDU8Ez8t860HQaFkU6
2Nw9ZMsGkvLePZZi78yVBDCWMogBMhrRVXG/xQkBajgvL5syLwFBo2kWGdC+wyWY
U/Z+EK9UuHnn3Hkq/vXEzRVsYuaxchta0X2UNRzRq+o706l+iyLTpe6fnvW6ilOi
e8Jcej7mzunzyjz4chN0/WVF94MtxbUkLkqP
-----END CERTIFICATE-----

Chyba webu Azure Portal: Nepodařilo se uložit bránu VPN a název prostředku je neplatný.

Příznaky

Při pokusu o uložení změn brány VPN na webu Azure Portal se zobrazí následující chybová zpráva:

Nepovedlo se uložit název> brány brány <virtuální sítě. Název certifikátu názvu <prostředku, který se pokusíte nahrát> , je neplatný.

Příčina

K tomuto problému dochází, protože název certifikátu obsahuje neplatný znak, například mezeru.

Chyba webu Azure Portal: Chyba stahování souboru balíčku VPN 503

Příznaky

Při pokusu o stažení konfiguračního balíčku klienta VPN se zobrazí následující chybová zpráva:

Stažení souboru se nezdařilo. Podrobnosti o chybě: chyba 503. Server je zaneprázdněn.

Řešení

Příčinou této chyby může být dočasný problém se sítí. Zkuste balíček VPN stáhnout znovu po několika minutách.

Upgrade služby Azure VPN Gateway: Všichni klienti typu point-to-site se nemůžou připojit

Příčina

Pokud je certifikát po celou dobu životnosti větší než 50 procent, certifikát se převrátí.

Řešení

Chcete-li tento problém vyřešit, znovu stáhněte a znovu nasaďte balíček point-to-site na všech klientech.

Příliš mnoho klientů VPN připojených najednou

Bylo dosaženo maximálního počtu povolených připojení. Celkový počet připojených klientů se zobrazí na webu Azure Portal.

Klient VPN nemá přístup ke sdíleným složkám sítě

Příznaky

Klient VPN se připojil k virtuální síti Azure. Klient ale nemá přístup ke sdíleným síťovým složkám.

Příčina

Protokol SMB se používá pro přístup ke sdílené složce. Po zahájení připojení klient VPN přidá přihlašovací údaje relace a dojde k selhání. Po navázání připojení je klient nucen používat přihlašovací údaje mezipaměti pro ověřování protokolem Kerberos. Tento proces inicializuje dotazy do Centra distribuce klíčů (řadič domény), aby získal token. Vzhledem k tomu, že se klient připojuje z internetu, nemusí se připojit k řadiči domény. Klient proto nemůže převzít služby při selhání z Protokolu Kerberos na PROTOKOL NTLM.

Jediný čas, kdy se klientovi zobrazí výzva k zadání přihlašovacích údajů, je, když má platný certifikát (s názvem SAN=UPN) vystavenou doménou, ke které je připojená. Klient musí být také fyzicky připojený k doménové síti. V tomto případě se klient pokusí použít certifikát a dostane se k řadiči domény. Pak centrum distribuce klíčů vrátí chybu "KDC_ERR_C_PRINCIPAL_UNKNOWN". Klient je nucen převzít služby při selhání do NTLM.

Řešení

Pokud chcete tento problém obejít, zakažte ukládání přihlašovacích údajů domény do mezipaměti z následujícího podklíče registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Po přeinstalaci klienta VPN vpn typu point-to-site ve Windows nejde najít

Příznaky

Odeberete připojení VPN typu point-to-site a přeinstalujete klienta VPN. V takovém případě není připojení VPN úspěšně nakonfigurované. V nastavení síťových připojení ve Windows se nezobrazuje připojení VPN.

Řešení

Pokud chcete tento problém vyřešit, odstraňte staré konfigurační soubory klienta VPN ze složky C:\Users\UserName\AppData\Roaming\Microsoft\Network\Připojení ions<VirtualNetworkId> a spusťte instalační program klienta VPN znovu.

Klient VPN typu point-to-site nemůže přeložit plně kvalifikovaný název domény prostředků v místní doméně.

Příznaky

Když se klient připojí k Azure pomocí připojení VPN typu point-to-site, nemůže přeložit plně kvalifikovaný název domény prostředků v místní doméně.

Příčina

Klient VPN typu point-to-site obvykle používá servery Azure DNS nakonfigurované ve virtuální síti Azure. Servery Azure DNS mají přednost před místními servery DNS, které jsou nakonfigurované v klientovi (pokud není metrika rozhraní Ethernet nižší), takže všechny dotazy DNS se odesílají na servery Azure DNS. Pokud servery Azure DNS nemají záznamy pro místní prostředky, dotaz selže.

Řešení

Pokud chcete tento problém vyřešit, ujistěte se, že servery Azure DNS, které se používají ve virtuální síti Azure, dokážou přeložit záznamy DNS pro místní prostředky. K tomu můžete použít služby předávání DNS nebo podmíněné služby předávání. Další informace najdete v tématu Překlad názvů pomocí vlastního serveru DNS.

Připojení VPN typu point-to-site se naváže, ale stále se nemůžete připojit k prostředkům Azure.

Příčina

K tomuto problému může dojít v případě, že klient VPN nezíská trasy z brány Azure VPN.

Řešení

Pokud chcete tento problém vyřešit, resetujte bránu Azure VPN. Aby bylo zajištěno, že se používají nové trasy, musí se klienti VPN typu Point-to-Site po úspěšné konfiguraci partnerského vztahu virtuálních sítí znovu stáhnout.

Chyba: Funkce odvolání nemohla zkontrolovat odvolání, protože server odvolání byl offline. (Chyba 0x80092013)"

Příčiny

K této chybové zprávě dochází, pokud klient nemá přístup a http://crl3.digicert.com/ssca-sha2-g1.crlhttp://crl4.digicert.com/ssca-sha2-g1.crl. Kontrola odvolání vyžaduje přístup k těmto dvěma webům. K tomuto problému obvykle dochází u klienta, který má nakonfigurovaný proxy server. Pokud požadavky neprocházejí přes proxy server, v některých prostředích se na hraniční bráně firewall zamítnou.

Řešení

Zkontrolujte nastavení proxy serveru, ujistěte se, že klient má přístup a http://crl3.digicert.com/ssca-sha2-g1.crlhttp://crl4.digicert.com/ssca-sha2-g1.crl.

Chyba klienta VPN: Připojení se zabránilo kvůli zásadám nakonfigurovaným na serveru RAS/VPN. (Chyba 812)

Příčina

K této chybě dochází v případě, že server RADIUS, který jste použili k ověřování klienta VPN, má nesprávné nastavení nebo Se službou Azure Gateway se nemůže spojit se serverem Radius.

Řešení

Ujistěte se, že je server RADIUS správně nakonfigurovaný. Další informace najdete v tématu Integrace ověřování RADIUS se serverem Azure Multi-Factor Authentication.

Chyba 405 při stahování kořenového certifikátu ze služby VPN Gateway

Příčina

Kořenový certifikát nebyl nainstalován. Kořenový certifikát je nainstalován v úložišti důvěryhodných certifikátů klienta.

Chyba klienta VPN: Vzdálené připojení nebylo provedeno, protože došlo k selhání pokusu o tunely VPN. (Chyba 800)

Příčina

Ovladač síťové karty je zastaralý.

Řešení

Aktualizujte ovladač síťové karty:

1. Klikněte na Start, zadejte Správce zařízení a vyberte ho ze seznamu výsledků. Pokud se zobrazí výzva k zadání hesla správce nebo potvrzení, zadejte heslo nebo zadejte potvrzení.
2. V kategoriích Síťové adaptéry vyhledejte síťovou kartu, kterou chcete aktualizovat.
3. Poklikejte na název zařízení, vyberte Aktualizovat ovladač, vyberte Vyhledat automaticky aktualizovaný software ovladače.
4. Pokud Systém Windows nenajde nový ovladač, můžete zkusit ho vyhledat na webu výrobce zařízení a postupovat podle jejich pokynů.
5. Restartujte počítač a zkuste připojení zopakovat.

Chyba klienta VPN: Vytáčení připojení <VPN Připojení ion Název>, Stav = Platforma VPN neaktivovala připojení

V Prohlížeč událostí z RasClient se také může zobrazit následující chyba: Uživatel <> vytočil připojení s názvem <VPN Připojení ion Name>, které selhalo. Kód chyby vrácený při selhání je 1460.

Příčina

Klient Azure VPN nemá v Nastavení pro Windows povolené oprávnění aplikace na pozadí.

Řešení

1. Ve Windows přejděte na Nastavení –> Ochrana osobních údajů –> Aplikace na pozadí
2. Přepněte možnost Povolit aplikacím běžet na pozadí na zapnuto.

Chyba: Identifikátor URI cílové chyby stahování souborů není zadán.

Příčina

Příčinou je nesprávná konfigurace typu brány.

Řešení

Typ brány Azure VPN musí být VPN a typ SÍTĚ VPN musí být RouteBased.

Instalační program balíčku VPN se nedokončí

Příčina

Tento problém může způsobovat předchozí instalace klienta VPN.

Řešení

Odstraňte staré konfigurační soubory klienta VPN ze složky C:\Users\UserName\AppData\Roaming\Microsoft\Network\Připojení ions<VirtualNetworkId> a spusťte instalační program klienta VPN znovu.

Klient VPN hibernace nebo režim spánku

Řešení

Zkontrolujte nastavení režimu spánku a hibernace v počítači, na kterém běží klient VPN.

Nemůžu přeložit záznamy v Privátní DNS Zónách pomocí privátního překladače z klientů typu point-to-site.

Příznaky

Pokud ve virtuální síti používáte server DNS (168.63.129.16), klienti typu point-to-site nebudou moct překládat záznamy, které jsou přítomné v zónách Privátní DNS (včetně privátních koncových bodů).

Příčina

IP adresa serveru Azure DNS (168.63.129.16) je přeložitelná jenom z platformy Azure.

Řešení

Následující postup vám pomůže vyřešit záznamy z Privátní DNS zóny:

Konfigurace příchozí IP adresy privátního překladače jako vlastních serverů DNS ve virtuální síti vám pomůže přeložit záznamy v privátní zóně DNS (včetně těch vytvořených z privátních koncových bodů). Všimněte si, že zóny Privátní DNS musí být přidružené k virtuální síti, která má privátní překladač.

Ve výchozím nastavení se servery DNS nakonfigurované ve virtuální síti budou odesílat klientům typu point-to-site připojeným přes bránu VPN. Proto konfigurace příchozí IP adresy privátního překladače jako vlastních serverů DNS ve virtuální síti automaticky odešle tyto IP adresy klientům jako server DNS VPN a bez problémů přeložíte záznamy z privátních zón DNS (včetně privátních koncových bodů).