Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje seznam běžných problémů s připojením typu point-to-site, ke kterým může dojít. Popisuje také možné příčiny a řešení těchto problémů.
Chyba klienta VPN: Nepodařilo se najít certifikát
Příznaky
Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:
Nelze najít certifikát, který lze použít s tímto protokolem extensible authentication. (Chyba 798)
Příčina
K tomuto problému dochází, pokud v certifikátech chybí klientský certifikát – Aktuální uživatel\Osobní\Certifikáty.
Řešení
K řešení tohoto problému použijte tento postup:
Otevřít Správce certifikátů: Klepněte na tlačítko Start, zadejte spravovat certifikáty počítače a potom klepněte na tlačítko Spravovat certifikáty počítače ve výsledku hledání.
Ověřte, že následující certifikáty jsou ve správném umístění:
Certifikát Umístění AzureClient.pfx Aktuální uživatel\Osobní\Certifikáty AzureRoot.cer Místní počítač\Důvěryhodné kořenové certifikační autority Přejděte na C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID> a ručně nainstalujte certifikát (*.cer soubor) do úložiště uživatele a počítače.
Další informace o instalaci klientského certifikátu naleznete v tématu Generování a export certifikátů pro připojení typu point-to-site.
Poznámka:
Při importu klientského certifikátu nevybírejte možnost Povolit silnou ochranu privátního klíče.
Síťové připojení mezi vaším počítačem a serverem VPN se nepodařilo navázat, protože vzdálený server nereaguje
Příznaky
Když se pokusíte připojit k bráně virtuální sítě Azure pomocí IKEv2 ve Windows, zobrazí se následující chybová zpráva:
Síťové připojení mezi počítačem a serverem VPN nebylo možné navázat, protože vzdálený server nereaguje.
Příčina
K tomuto problému dochází v případě, že verze Windows nepodporuje fragmentaci protokolu IKE.
Řešení
IKEv2 se podporuje v systémech Windows 10 a Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí. Verze operačního systému starší než Windows 10 se nepodporují a můžou používat jenom SSTP.
Příprava Windows 10 nebo Serveru 2016 pro IKEv2:
Nainstalujte aktualizaci.
Verze operačního systému Datum Číslo/odkaz Windows Server 2016
Windows 10 verze 160717. ledna 2018 KB4057142 Windows 10 verze 1703 17. ledna 2018 KB4057144 Windows 10 verze 1709 22. března 2018 KB4089848 Nastavte hodnotu klíče registru. Vytvořte nebo nastavte
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayloadklíč REG_DWORD v registru na hodnotu 1.
Chyba klienta VPN: Zpráva byla neočekávaná nebo špatně naformátovaná
Příznaky
Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:
Přijatá zpráva byla neočekávaná nebo špatně naformátovaná. (Chyba 0x80090326)
Příčina
K tomuto problému dochází, pokud je splněna jedna z následujících podmínek:
- Použití tras definovaných uživatelem (UDR) s výchozí trasou v podsíti brány je nesprávně nastavené.
- Veřejný klíč kořenového certifikátu se nenahraje do brány Azure VPN.
- Klíč je poškozený nebo vypršela jeho platnost.
Řešení
K řešení tohoto problému použijte tento postup:
- Odeberte UDR v podsíti brány. Ujistěte se, že UDR směruje veškerý provoz správně.
- Zkontrolujte stav kořenového certifikátu na webu Azure Portal a zjistěte, jestli byl odvolaný. Pokud není zrušen, zkuste odstranit kořenový certifikát a znovu nahrát. Další informace naleznete v tématu Vytvoření certifikátů.
Chyba klienta VPN: Zpracovaný, ale ukončený řetěz certifikátů
Příznaky
Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:
Řetěz certifikátů zpracovaný, ale ukončený v kořenovém certifikátu, kterému poskytovatel důvěryhodnosti nedůvěřuje.
Řešení
Ověřte, že následující certifikáty jsou ve správném umístění:
Certifikát Umístění AzureClient.pfx Aktuální uživatel\Osobní\Certifikáty Azuregateway-GUID.cloudapp.net Aktuální uživatel\Důvěryhodné kořenové certifikační autority AzureGateway-GUID.cloudapp.net, AzureRoot.cer Místní počítač\Důvěryhodné kořenové certifikační autority Pokud už jsou certifikáty na daném místě, zkuste je odstranit a znovu nainstalovat. Certifikát azuregateway-GUID.cloudapp.net je v konfiguračním balíčku klienta VPN, který jste stáhli z webu Azure Portal. Archivátory souborů můžete použít k extrahování souborů z balíčku.
Chyba stahování souboru: Cílový identifikátor URI není zadaný
Příznaky
Zobrazí se tato chybová zpráva:
Chyba stahování souboru. Cílový identifikátor URI není zadaný.
Příčina
K tomuto problému dochází kvůli nesprávnému typu brány.
Řešení
Typ brány VPN musí být VPN a typ SÍTĚ VPN musí být RouteBased.
Chyba klienta VPN: Vlastní skript Azure VPN selhal
Příznaky
Při pokusu o připojení k virtuální síti Azure pomocí klienta VPN se zobrazí následující chybová zpráva:
Vlastní skript (pro aktualizaci směrovací tabulky) selhal. (Chyba 8007026f)
Příčina
K tomuto problému může dojít, pokud se pokoušíte otevřít připojení VPN typu site-to-point pomocí zástupce.
Řešení
Otevřete balíček VPN přímo místo otevření ze zástupce.
Nejde nainstalovat klienta VPN
Příčina
K důvěryhodnosti brány VPN pro vaši virtuální síť se vyžaduje další certifikát. Certifikát je součástí konfiguračního balíčku klienta VPN, který se vygeneruje z webu Azure Portal.
Řešení
Extrahujte konfigurační balíček klienta VPN a vyhledejte soubor .cer. Certifikát nainstalujete takto:
- Otevřete mmc.exe.
- Přidejte doplňkový modul Certifikáty.
- Vyberte účet počítače pro místní počítač.
- Klikněte pravým tlačítkem na uzel důvěryhodných kořenových certifikačních autorit. Klikněte na Import všech úloh>a přejděte k souboru .cer, který jste extrahovali z konfiguračního balíčku klienta VPN.
- Restartujte počítač.
- Pokuste se nainstalovat klienta VPN.
Chyba webu Azure Portal: Nepodařilo se uložit bránu VPN a data jsou neplatná.
Příznaky
Při pokusu o uložení změn brány VPN na webu Azure Portal se zobrazí následující chybová zpráva:
Nepovedlo se uložit název>virtuální sítě. Data pro ID>jsou neplatná.
Příčina
K tomuto problému může dojít, pokud veřejný klíč kořenového certifikátu, který jste nahráli, obsahuje neplatný znak, například mezeru.
Řešení
Ujistěte se, že data v certifikátu neobsahují neplatné znaky, jako jsou konce řádků (návrat na začátek řádku). Celá hodnota by měla být na jednom dlouhém řádku. Následující příklad ukazuje oblast, která se má zkopírovat v rámci certifikátu:
Chyba webu Azure Portal: Nepodařilo se uložit bránu VPN a název prostředku je neplatný.
Příznaky
Při pokusu o uložení změn brány VPN na webu Azure Portal se zobrazí následující chybová zpráva:
Nepodařilo se uložit virtuální síťovou bránu <gateway name>. Název certifikátu názvu <prostředku, který se pokusíte nahrát> , je neplatný.
Příčina
K tomuto problému dochází, protože název certifikátu obsahuje neplatný znak, například mezeru.
Chyba webu Azure Portal: Chyba stahování souboru balíčku VPN 503
Příznaky
Při pokusu o stažení konfiguračního balíčku klienta VPN se zobrazí následující chybová zpráva:
Stažení souboru se nezdařilo. Podrobnosti o chybě: chyba 503. Server je zaneprázdněn.
Řešení
Příčinou této chyby může být dočasný problém se sítí. Zkuste balíček VPN stáhnout znovu po několika minutách.
Upgrade služby Azure VPN Gateway: Všichni klienti typu point-to-site se nemůžou připojit
Příčina
Pokud je certifikát po celou dobu životnosti větší než 50 procent, certifikát se převrátí.
Řešení
Chcete-li tento problém vyřešit, znovu stáhněte a znovu nasaďte balíček point-to-site na všech klientech.
Příliš mnoho klientů VPN připojených najednou
Bylo dosaženo maximálního počtu povolených připojení. Celkový počet připojených klientů se zobrazí na webu Azure Portal.
Klient VPN nemá přístup ke sdíleným složkám sítě
Příznaky
Klient VPN se připojil k virtuální síti Azure. Klient ale nemá přístup ke sdíleným síťovým složkám.
Příčina
Protokol SMB se používá pro přístup ke sdílené složce. Po zahájení připojení klient VPN přidá přihlašovací údaje relace a nastane chyba. Po navázání připojení je klient nucen používat přihlašovací údaje mezipaměti pro ověřování protokolem Kerberos. Tento proces inicializuje dotazy do Centra distribuce klíčů (řadič domény), aby získal token. Vzhledem k tomu, že se klient připojuje z internetu, nemusí se připojit k řadiči domény. Klient proto nemůže přepnout z Kerberos na NTLM.
Jediný čas, kdy se klientovi zobrazí výzva k zadání přihlašovacích údajů, je, když má platný certifikát (s názvem SAN=UPN) vystavenou doménou, ke které je připojená. Klient musí být také fyzicky připojený k doménové síti. V tomto případě se klient pokusí použít certifikát a dostane se k řadiči domény. Pak centrum distribuce klíčů vrátí chybu "KDC_ERR_C_PRINCIPAL_UNKNOWN". Klient je nucen přepnout na NTLM.
Řešení
Pokud chcete tento problém obejít, zakažte ukládání přihlašovacích údajů domény do mezipaměti z následujícího podklíče registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
Po přeinstalaci klienta VPN nelze ve Windows najít připojení typu point-to-site.
Příznaky
Odeberete připojení VPN typu point-to-site a přeinstalujete klienta VPN. V takovém případě není připojení VPN úspěšně nakonfigurované. V nastavení síťových připojení ve Windows se nezobrazuje připojení VPN.
Řešení
Pokud chcete tento problém vyřešit, odstraňte staré konfigurační soubory klienta VPN ze složky C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> a spusťte instalační program klienta VPN znovu.
Klient VPN typu point-to-site nemůže přeložit plně kvalifikovaný název domény prostředků v místní doméně.
Příznaky
Když se klient připojí k Azure pomocí připojení typu point-to-site VPN, nemůže rozpoznat plně kvalifikované doménové jméno zdrojů v místní doméně.
Příčina
Klient VPN typu point-to-site obvykle používá servery Azure DNS nakonfigurované ve virtuální síti Azure. Servery Azure DNS mají přednost před místními servery DNS, které jsou nakonfigurované v klientovi (pokud není metrika rozhraní Ethernet nižší), takže všechny dotazy DNS se odesílají na servery Azure DNS. Pokud servery Azure DNS nemají záznamy pro místní prostředky, dotaz selže.
Řešení
Pokud chcete tento problém vyřešit, ujistěte se, že servery Azure DNS, které se používají ve virtuální síti Azure, dokážou přeložit záznamy DNS pro místní prostředky. K tomu můžete použít služby předávání DNS nebo podmíněné služby předávání. Další informace najdete v tématu Překlad názvů pomocí vlastního serveru DNS.
Připojení VPN typu point-to-site je navázáno, ale k prostředkům Azure se stále nemůžete připojit.
Příčina
K tomuto problému může dojít v případě, že klient VPN nezíská trasy z brány Azure VPN.
Řešení
Pokud chcete tento problém vyřešit, resetujte bránu Azure VPN. Aby bylo zajištěno používání nových tras, musí se klienti VPN typu Point-to-Site stáhnout znovu po úspěšném nastavení propojení virtuální sítě.
Chyba: Funkce odvolání nemohla zkontrolovat odvolání, protože server odvolání byl offline. (Chyba 0x80092013)"
Příčiny
K této chybové zprávě dochází, pokud klient nemá přístup k http://crl3.digicert.com/ssca-sha2-g1.crl a http://crl4.digicert.com/ssca-sha2-g1.crl. Kontrola odvolání vyžaduje přístup k těmto dvěma webům. K tomuto problému obvykle dochází u klienta, který má nakonfigurovaný proxy server. V některých prostředích, pokud požadavky neprocházejí přes proxy server, budou zamítnuty na hraničním firewallu.
Řešení
Zkontrolujte nastavení proxy serveru, ujistěte se, že má klient přístup k http://crl3.digicert.com/ssca-sha2-g1.crl a http://crl4.digicert.com/ssca-sha2-g1.crl.
Chyba klienta VPN: Připojení se zabránilo kvůli zásadám nakonfigurovaným na serveru RAS/VPN. (Chyba 812)
Příčina
K této chybě dochází v případě, že server RADIUS, který jste použili k ověřování klienta VPN, má nesprávné nastavení nebo Se službou Azure Gateway se nemůže spojit se serverem Radius.
Řešení
Ujistěte se, že je server RADIUS správně nakonfigurovaný. Další informace najdete v tématu Integrace ověřování RADIUS se serverem Azure Multi-Factor Authentication Server.
Chyba 405 při stahování kořenového certifikátu ze služby VPN Gateway
Příčina
Kořenový certifikát nebyl nainstalován. Kořenový certifikát je nainstalován v úložišti důvěryhodných certifikátů klienta.
Chyba klienta VPN: Vzdálené připojení nebylo provedeno, protože došlo k selhání pokusu o tunely VPN. Chyba 800
Příčina
Ovladač síťové karty je zastaralý.
Řešení
Aktualizujte ovladač síťové karty:
- Klikněte na Start, zadejte Správce zařízení a vyberte ho ze seznamu výsledků. Pokud se zobrazí výzva k zadání hesla správce nebo potvrzení, zadejte heslo nebo zadejte potvrzení.
- V kategoriích Síťové adaptéry vyhledejte síťovou kartu, kterou chcete aktualizovat.
- Poklikejte na název zařízení, vyberte Aktualizovat ovladač, vyberte Vyhledat automaticky aktualizovaný software ovladače.
- Pokud Systém Windows nenajde nový ovladač, můžete zkusit ho vyhledat na webu výrobce zařízení a postupovat podle jejich pokynů.
- Restartujte počítač a zkuste připojení zopakovat.
Chyba klienta VPN: Platnost vašeho ověřování u microsoft Entra vypršela
Pokud používáte ověřování Microsoft Entra ID, může dojít k jedné z následujících chyb:
Platnost vašeho ověřování u Microsoft Entra vypršela. Abyste získali nový token, musíte v entra provést opětovné ověření. Časový limit ověřování může nastavit váš správce.
nebo
Platnost vašeho ověřování u Microsoft Entra vypršela, takže je potřeba znovu ověřit, abyste získali nový token. Zkuste se připojit znovu. Zásady ověřování a vypršení časového limitu konfiguruje správce v tenantovi Entra.
Příčina
Připojení typu point-to-site je odpojené, protože platnost aktuálního obnovovacího tokenu vypršela nebo je neplatná. Pro ověřování uživatele se nedají načíst nové přístupové tokeny.
Když se Klient Azure VPN pokusí navázat připojení k bráně Azure VPN pomocí ověřování Microsoft Entra ID, je k ověření uživatele vyžadován přístupový token. Tento token se obnoví přibližně každou hodinu. Platný přístupový token může být vydán pouze v případech, kdy má uživatel platný obnovovací token. Pokud uživatel nemá platný obnovovací token, připojení se odpojí.
Obnovovací token se může zobrazit jako prošlý nebo neplatný z několika důvodů. Ladění můžete zkontrolovat v protokolech přihlášení uživatele Entra. Viz protokoly přihlášení k Microsoft Entra.
Platnost obnovovacího tokenu vypršela.
- Výchozí životnost obnovovacích tokenů je 90 dnů. Po 90 dnech se uživatelé musí znovu připojit, aby získali nový obnovovací token.
- Správci tenanta Entra můžou přidat zásady podmíněného přístupu pro frekvenci přihlašování, které aktivují pravidelné opakované ověřování každé X hodiny. (Platnost obnovovacího tokenu vyprší v X hod. Pomocí vlastních zásad podmíněného přístupu jsou uživatelé nuceni použít interaktivní přihlášení každých X hodin. Další informace najdete v tématu Aktualizace tokenů na platformě Microsoft Identity Platform a konfigurace zásad adaptivní životnosti relace.
Obnovovací token je neplatný.
- Uživatel byl odebrán z prostoru nájemce.
- Přihlašovací údaje uživatele se změnily.
- Správce tenanta Entra zrušil relace.
- Zařízení se stalo nedodržující předpisy (pokud se jedná o spravované zařízení).
- Další zásady Entra nakonfigurované správci Entra, které vyžadují, aby uživatelé pravidelně používali interaktivní přihlašování.
Řešení
V těchto scénářích se uživatelé musí znovu připojit. Tím se aktivuje interaktivní proces přihlašování v Microsoft Entra, který vydá nový obnovovací token a přístupový token.
Klient Azure VPN s ověřováním Entra ID nezobrazí uživateli výzvu k opětovnému ověření při každém odpojení
Příčina
Klient Azure VPN, který se připojuje pomocí připojení typu point-to-site s ověřováním Entra ID, nevyžaduje interaktivní opětovné ověření při odpojení.
Doporučená frekvence přihlášení (SIF) nebo doba vypršení platnosti obnovovacího tokenu pro nejlepší prostředí s klientem Azure VPN by měla být nastavená na více než 2 hodiny v závislosti na tom, co je pro zákazníka nejvhodnější. To znamená, že zákazník zůstane po tuto dobu připojen, aniž by se museli interaktivně znovu ověřit.
Nastavení siF na "pokaždé" se nedoporučuje, protože by vyžadovalo interaktivní opakované ověřování každou hodinu, což způsobuje časté odpojení.
S povolenou mezipamětí přihlašování (výchozí) je token uložený v trvalém úložišti, což umožňuje opětovné připojení bez interaktivního opětovného ověření i po odpojení, pokud je obnovovací token platný. To znamená, že doba opětovného připojení je v době vypršení platnosti tokenu SIF nebo obnovovacího tokenu.
Řešení
Aby bylo zajištěno, že klientovi Azure VPN bude pokaždé, když dojde k odpojení, zobrazena výzva k opětovnému ověření, může zákazník v klientovi Azure VPN (verzí 4.0.0.0 a novějších) použít možnost „Zakázat mezipaměti pro přihlášení“. Zákazník může změnit nastavení cachesigninuser profilu uživatele (XML) na false.
<azvpnprofile>
<clientauth>
<aad>
<cachesigninuser>false</cachesigninuser>
</aad>
</clientauth>
</azvpnprofile>
Pokud je mezipaměť přihlašování zakázaná, token se uloží v úložišti v paměti, platné pro jedno připojení (nebo relaci), bez ohledu na jeho dobu (od 30 minut do 90 dnů). Po přerušení spojení se token uložený v paměti zahodí. Doba trvání jednoho připojení závisí na době vypršení platnosti obnovovacího tokenu nebo identifikátoru SIF.
Chyba klienta VPN: Vytáčení VPN připojení <VPN Connection Name>, stav = Platforma VPN neaktivovala připojení
V Prohlížeči událostí z RasClient se také může zobrazit následující chyba: <Uživatel> navázal připojení s názvem <Název připojení VPN>, které selhalo. Kód chyby vrácený při selhání je 1460.
Příčina
Klient Azure VPN nemá v nastavení aplikace pro Windows povolené oprávnění aplikace na pozadí.
Řešení
- Ve Windows přejděte na Nastavení –> Ochrana osobních údajů –> Aplikace na pozadí
- Přepněte možnost Povolit aplikacím běžet na pozadí na zapnuto.
Chyba: Identifikátor URI cílové chyby stahování souborů není zadán.
Příčina
Příčinou je nesprávná konfigurace typu brány.
Řešení
Typ brány Azure VPN musí být VPN a typ SÍTĚ VPN musí být RouteBased.
Instalační program balíčku VPN se nedokončí
Příčina
Tento problém může způsobovat předchozí instalace klienta VPN.
Řešení
Odstraňte staré konfigurační soubory klienta VPN z C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> a spusťte instalační program klienta VPN znovu.
VPN klient hibernuje nebo přechází do režimu spánku
Řešení
Zkontrolujte nastavení režimu spánku a hibernace v počítači, na kterém běží klient VPN.
Nemůžu přeložit záznamy v soukromých DNS zónách pomocí soukromého resolveru z point-to-site klientů.
Příznaky
Pokud ve virtuální síti používáte server DNS (168.63.129.16) poskytovaný Azure, klienti typu point-to-site nebudou moct překládat záznamy, které jsou přítomné v soukromých DNS zónách (včetně soukromých koncových bodů).
Příčina
IP adresa serveru Azure DNS (168.63.129.16) je přeložitelná jenom z platformy Azure.
Řešení
Následující postup vám pomůže vyřešit záznamy z Privátní DNS zóny:
Konfigurace příchozí IP adresy privátního překladače jako vlastního serveru DNS ve virtuální síti vám pomůže s překladem záznamů v privátní zóně DNS (včetně těch, které byly vytvořeny z privátních koncových bodů). Všimněte si, že zóny privátní DNS musí být přidruženy k virtuální síti, která má privátní resolver.
Ve výchozím nastavení se servery DNS nakonfigurované ve virtuální síti budou odesílat klientům typu point-to-site připojeným přes bránu VPN. Proto konfigurace příchozí IP adresy privátního překladače jako vlastních serverů DNS ve virtuální síti automaticky poskytne tyto IP adresy klientům jako servery DNS pro VPN, což vám umožní plynule řešit záznamy z privátních zón DNS (včetně privátních koncových bodů).