Teilen über

Problembehandlung: Azure Point-to-Site-Verbindungsprobleme

  • Artikel

In diesem Artikel werden allgemeine Punkt-zu-Standort-Verbindungsprobleme aufgeführt, die auftreten können. Darüber hinaus werden die möglichen Ursachen und Lösungen für diese Probleme diskutiert.

VPN-Clientfehler: Zertifikat wurde nicht gefunden

Symptom

Wenn Sie versuchen, mithilfe des VPN-Client mit einem virtuellen Netzwerk von Azure eine Verbindung herzustellen, erhalten Sie folgende Fehlermeldung:

Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll verwendet werden kann. (Fehler 798)

Ursache

Dieses Problem tritt auf, wenn das Clientzertifikat in Zertifikate – Aktueller Benutzer\Eigene Zertifikate\Zertifikate fehlt.

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

  1. Öffnen Sie den Zertifikat-Manager: Klicken Sie auf Start, geben Sie Computerzertifikate verwalten ein, und klicken Sie dann in den Suchergebnissen auf Computerzertifikate verwalten.

  2. Stellen Sie sicher, dass sich die folgenden Zertifikate im richtigen Speicherort befinden:

    Zertifikat Standort
    AzureClient.pfx Aktueller Benutzer\Eigene Zertifikate\Zertifikate
    AzureRoot.cer Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen

  3. Navigieren Sie zu „C:\Users<Benutzername>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>“, und installieren Sie manuell das Zertifikat (CER-Datei) im Computerspeicher der Benutzer*innen.

Weitere Informationen zum Installieren des Clientzertifikats finden Sie unter Generieren und Exportieren von Zertifikaten für Punkt-zu-Standort-Verbindungen mithilfe von PowerShell.

Hinweis

Wenn Sie das Clientzertifikat importieren, wählen Sie nicht die Option Verstärkte Sicherheit für den privaten Schlüssel aktivieren aus.

Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, weil der Remoteserver nicht antwortet.

Symptom

Wenn Sie versuchen, unter Windows mithilfe von IKEv2 eine Verbindung mit einem Gateway für virtuelle Azure-Netzwerke herzustellen, erhalten Sie die folgende Fehlermeldung:

Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, weil der Remoteserver nicht antwortet.

Ursache

Das Problem tritt auf, wenn die Version von Windows die IKE-Fragmentierung nicht unterstützt.

Lösung

IKEv2 wird unter Windows 10 und Server 2016 unterstützt. Zur Verwendung von IKEv2 müssen Sie jedoch Updates installieren und lokal einen Registrierungsschlüsselwert festlegen. Betriebssystemversionen vor Windows 10 werden nicht unterstützt und können nur SSTP verwenden.

Vorbereitung von Windows 10 oder Server 2016 für IKEv2:

  1. Installieren Sie das Update.

    Betriebssystemversion Date Anzahl/Link
    Windows Server 2016
    Windows 10, Version 1607    		 17. Januar 2018 KB4057142
    Windows 10, Version 1703 17. Januar 2018 KB4057144
    Windows 10, Version 1709 22. März 2018 KB4089848

  2. Legen Sie den Registrierungsschlüsselwert fest. Erstellen Sie den REG_DWORD-Schlüssel in der Registrierung unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload, oder legen Sie ihn auf 1 fest.

VPN-Clientfehler: Das Format der empfangenen Nachricht war unerwartet oder fehlerhaft.

Symptom

Wenn Sie versuchen, mithilfe des VPN-Client mit einem virtuellen Netzwerk von Azure eine Verbindung herzustellen, erhalten Sie folgende Fehlermeldung:

Das Format der empfangenen Nachricht war unerwartet oder fehlerhaft. (Fehler 0x80090326)

Ursache

Dieses Problem tritt auf, wenn eine der folgenden Bedingungen zutrifft:

  • Die benutzerdefinierten Routen (User-Defined Routes, UDR) mit der Standardroute für das Gatewaysubnetz ist falsch festgelegt.
  • Der öffentliche Schlüssel des Stammzertifikats wird nicht in das VPN-Gateway von Azure hochgeladen.
  • Der Schlüssel ist beschädigt oder abgelaufen.

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

  1. Entfernen Sie die UDR für das Gatewaysubnetz. Stellen Sie sicher, dass die UDR sämtlichen Datenverkehr ordnungsgemäß weiterleitet.
  2. Überprüfen Sie den Status des Stammzertifikats im Azure-Portal, um festzustellen, ob es widerrufen wurde. Wenn es nicht widerrufen wurde, versuchen Sie, das Stammzertifikat zu löschen und es erneut hochzuladen. Weitere Informationen finden Sie unter Erstellen von Zertifikaten.

VPN-Clientfehler: Eine Zertifikatkette wurde verarbeitet, aber beendet.

Symptom

Wenn Sie versuchen, mithilfe des VPN-Client mit einem virtuellen Netzwerk von Azure eine Verbindung herzustellen, erhalten Sie folgende Fehlermeldung:

Eine Zertifikatkette wurde verarbeitet, aber in einem Stammzertifikat beendet, dem der Vertrauensanbieter nicht vertraut.

Lösung

  1. Stellen Sie sicher, dass sich die folgenden Zertifikate im richtigen Speicherort befinden:

    Zertifikat Standort
    AzureClient.pfx Aktueller Benutzer\Eigene Zertifikate\Zertifikate
    Azuregateway-GUID.cloudapp.net Aktueller Benutzer\Vertrauenswürdige Stammzertifizierungsstellen
    AzureGateway-GUID.cloudapp.net, AzureRoot.cer Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen

  2. Wenn die Zertifikate bereits im Speicherort vorhanden sind, versuchen Sie, die Zertifikate zu löschen und neu zu installieren. Das Zertifikat azuregateway-GUID.cloudapp.net befindet sich im VPN-Clientkonfigurationspaket, das Sie aus dem Azure-Portal heruntergeladen haben. Sie können Dateiarchivierer verwenden, um die Dateien aus dem Paket zu extrahieren.

Dateidownloadfehler. Ziel-URI ist nicht angegeben

Symptom

Sie erhalten die folgende Fehlermeldung:

Dateidownloadfehler. Der Ziel-URI wurde nicht angegeben.

Ursache

Dieses Problem tritt aufgrund eines falschen Gatewaytyps auf.

Lösung

Der VPN-Gatewaytyp muss VPN sein, und der VPN-Typ muss als RouteBased festgelegt sein.

VPN-Clientfehler: Fehler des benutzerdefinierten Azure-VPN-Skripts

Symptom

Wenn Sie versuchen, mithilfe des VPN-Client mit einem virtuellen Netzwerk von Azure eine Verbindung herzustellen, erhalten Sie folgende Fehlermeldung:

Custom script (to update your routing table) failed. (Fehler mit benutzerdefiniertem Skript (beim Aktualisieren Ihrer Routingtabelle).) (Fehler 8007026f)

Ursache

Dieses Problem kann auftreten, wenn Sie versuchen, die Standort-zu-Punkt-VPN-Verbindung mithilfe einer Verknüpfung zu öffnen.

Lösung

Öffnen Sie das VPN-Clientpaket direkt, anstatt es über die Verknüpfung zu öffnen.

VPN-Client kann nicht installiert werden

Ursache

Ein zusätzliches Zertifikat ist erforderlich, um dem VPN-Gateway für Ihr virtuelles Netzwerk zu vertrauen. Das Zertifikat ist im VPN-Clientkonfigurationspaket enthalten, das vom Azure-Portal generiert wird.

Lösung

Extrahieren Sie das VPN-Clientkonfigurationspaket, und suchen Sie nach der CER-Datei. Um das Zertifikat zu installieren, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie „mmc.exe“.
  2. Fügen Sie das Zertifikate -Snap-in hinzu.
  3. Wählen Sie das Computer -Konto für den lokalen Computer aus.
  4. Klicken Sie mit der rechten Maustaste auf den Knoten Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie auf All-Task (Alle Aufgaben)>Importieren, und suchen Sie nach der CER-Datei, die Sie aus dem VPN-Clientkonfigurationspaket extrahiert haben.
  5. Starten Sie den Computer neu.
  6. Versuchen Sie eine erneute Installation des VPN-Clients.

Fehler im Azure-Portal: Fehler beim Speichern des VPN-Gateways, und die Daten sind ungültig.

Symptom

Wenn Sie versuchen, die Änderungen für das VPN-Gateway im Azure-Portal zu speichern, erhalten Sie die folgende Fehlermeldung:

Fehler beim Speichern des Gateways für virtuelle Netzwerke <Gatewayname>. Die Daten für das Zertifikat <Zertifikat-ID> sind ungültig.

Ursache

Dieses Problem kann auftreten, wenn der öffentliche Schlüssel des Stammzertifikats, den Sie hochgeladen haben, ein ungültiges Zeichen wie z.B. ein Leerzeichen enthält.

Lösung

Stellen Sie sicher, dass die Daten im Zertifikat keine ungültigen Zeichen wie Zeilenumbrüche (Wagenrückläufe) enthalten. Der gesamte Wert sollte in einer langen Zeile sein. Das folgende Beispiel zeigt den Bereich, der innerhalb des Zertifikats kopiert werden muss:

Screenshot der Zertifikatsdaten.

Fehler im Azure-Portal: Fehler beim Speichern des VPN-Gateways, und der Ressourcenname ist ungültig.

Symptom

Wenn Sie versuchen, die Änderungen für das VPN-Gateway im Azure-Portal zu speichern, erhalten Sie die folgende Fehlermeldung:

Fehler beim Speichern des Gateways für virtuelle Netzwerke <Gatewayname>. Der Ressourcenname <Name des hochzuladenden Zertifikats> ist ungültig.

Ursache

Dieses Problem tritt auf, da der Name des Zertifikats ein ungültiges Zeichen enthält, z.B. ein Leerzeichen.

Fehler im Azure-Portal: Dateidownloadfehler 503 des VPN-Pakets

Symptom

Wenn Sie versuchen, das VPN-Clientkonfigurationspaket herunterzuladen, erhalten Sie die folgende Fehlermeldung:

Fehler beim Herunterladen der Datei. Fehlerdetails: Fehler 503. Der Server ist ausgelastet.

Lösung

Dieser Fehler kann durch ein vorübergehendes Netzwerkproblem verursacht werden. Versuchen Sie, das VPN-Paket nach ein paar Minuten erneut herunterzuladen.

Azure VPN Gateway-Upgrade: Alle P2S-Clients können keine Verbindung herstellen

Ursache

Wenn mehr als 50 Prozent der Lebensdauer des Zertifikats vorbei sind, wird das Zertifikat ausgetauscht.

Lösung

Laden Sie das P2S-Paket für alle Clients erneut herunter, und stellen Sie es erneut bereit, um dieses Problem zu beheben.

Zu viele VPN-Clients gleichzeitig verbunden

Die maximale Anzahl von zulässigen Verbindungen wurde erreicht. Sie können sich die Gesamtzahl von verbundenen Clients im Azure-Portal anzeigen lassen.

VPN-Client kann nicht auf die Netzwerkdateifreigaben zugreifen

Symptom

Der VPN-Client wurde mit dem virtuellen Azure-Netzwerk verbunden. Der Client kann jedoch nicht auf Netzwerkfreigaben zugreifen.

Ursache

Das SMB-Protokoll wird für den Zugriff auf Dateifreigaben verwendet. Wenn die Verbindung initiiert wird, werden die Anmeldeinformationen für die Sitzung vom VPN-Client hinzugefügt, und der Fehler tritt auf. Nachdem die Verbindung hergestellt wurde, wird der Client gezwungen, die Cache-Anmeldeinformationen für die Kerberos-Authentifizierung zu verwenden. Durch diesen Prozess werden Abfragen an das Schlüsselverteilungscenter (ein Domänencontroller) initiiert, um ein Token abzurufen. Weil der Clients eine Verbindung aus dem Internet herstellt, kann er möglicherweise den Domänencontroller nicht erreichen. Aus diesem Grund kann der Client kein Failover von Kerberos nach NTLM ausführen.

Der Client wird nur dann nach Anmeldeinformation gefragt, wenn er ein gültiges Zertifikat (mit SAN=UPN) besitzt, das von der Domäne ausgestellt wurde, mit der der Client verbunden ist. Der Client muss auch physisch mit dem Domänennetzwerk verbunden sein. In diesem Fall versucht der Client, das Zertifikat zu verwenden, und wendet sich an den Domänencontroller. Anschließend gibt das Schlüsselverteilungscenter den Fehler „KDC_ERR_C_PRINCIPAL_UNKNOWN“ zurück. Dies zwingt den Client, ein Failover nach NTLM auszuführen.

Lösung

Deaktivieren Sie das Zwischenspeichern von Anmeldeinformationen für die Domäne aus dem folgenden Registrierungsunterschlüssel, um das Problem zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Kann die P2S-VPN-Verbindung in Windows nach der Neuinstallation des VPN-Clients nicht finden

Symptom

Sie entfernen die Punkt-zu-Standort-VPN-Verbindung und installieren anschließend erneut den VPN-Client. In diesem Fall wurde die VPN-Verbindung nicht erfolgreich konfiguriert. Sie sehen keine VPN-Verbindung in den Einstellungen zu Netzwerkverbindungen in Windows.

Lösung

Löschen Sie zum Beheben des Problems die alten VPN-Clientkonfigurationsdateien unter C:\Users\Benutzername\AppData\Roaming\Microsoft\Network\Connections<VNet-ID>, und führen Sie anschließend das VPN-Clientinstallationsprogramm erneut aus.

Auflösung des FQDN der Ressourcen in der lokalen Domäne durch den P2S-VPN-Client nicht möglich

Symptom

Wenn der Client mithilfe einer Point-to-Site-VPN-Verbindung eine Verbindung mit Azure herstellt, kann Azure den FQDN der Ressourcen in Ihrer lokalen Domäne nicht auflösen.

Ursache

Der Point-to-Site-VPN-Client verwendet normalerweise Azure DNS-Server, die im virtuellen Azure-Netzwerk konfiguriert sind. Die Azure DNS-Server haben gegenüber den im Client konfigurierten lokalen DNS-Servern Vorrang (sofern die Metrik der Ethernet-Schnittstelle nicht geringer ist), sodass alle DNS-Abfragen an die Azure DNS-Server gesendet werden. Wenn die Azure DNS-Server nicht die Datensätze für die lokalen Ressourcen beinhalten, tritt ein Fehler bei der Abfrage auf.

Lösung

Stellen Sie zur Behebung des Problems sicher, dass die Azure DNS-Server, die im virtuellen Azure-Netzwerk verwendet werden, die DNS-Datensätze für lokale Ressourcen auflösen können. Hierfür können Sie DNS-Weiterleitungen oder bedingte Weiterleitungen verwenden. Weitere Informationen finden Sie unter Namensauflösung mithilfe eines eigenen DNS-Servers.

Herstellen einer Verbindung mit Azure-Ressourcen trotz bestehender Point-to-Site-VPN-Verbindung nicht möglich

Ursache

Dieses Problem kann auftreten, wenn der VPN-Client nicht die Routen vom Azure-VPN-Gateway erhält.

Lösung

Um dieses Problem zu lösen, setzen Sie das Azure-VPN-Gateway zurück. Wenn Sie sicherstellen möchten, dass die neuen Routen verwendet werden, müssen die Point-to-Site-VPN-Clients nach der erfolgreichen Konfiguration des Peerings in virtuellen Netzwerken erneut heruntergeladen werden.

Fehler: "Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. (Fehler 0x80092013)"

Ursachen

Diese Fehlermeldung tritt auf, wenn der Client nicht auf http://crl3.digicert.com/ssca-sha2-g1.crl und http://crl4.digicert.com/ssca-sha2-g1.crl zugreifen kann. Für die Sperrprüfung ist Zugriff auf diese beiden Websites erforderlich. Dieses Problem tritt in der Regel auf dem Client auf, für den der Proxyserver konfiguriert wurde. In einigen Umgebungen wird diese an der Edgefirewall verweigert, wenn die Anforderungen nicht über den Proxyserver erfolgen.

Lösung

Überprüfen Sie die Proxyservereinstellungen, und stellen Sie sicher, dass der Client auf http://crl3.digicert.com/ssca-sha2-g1.crl und http://crl4.digicert.com/ssca-sha2-g1.crl zugreifen kann.

VPN-Clientfehler: Die Verbindung wurde aufgrund einer auf dem RAS-/VPN-Server konfigurierten Richtlinie verhindert. (Fehler 812)

Ursache

Dieser Fehler tritt auf, wenn der für die Authentifizierung des VPN-Clients verwendete RADIUS-Server falsche Einstellungen aufweist oder das Azure-Gateway den RADIUS-Server nicht erreicht.

Lösung

Stellen Sie sicher, dass der RADIUS-Server ordnungsgemäß konfiguriert ist. Weitere Informationen finden Sie unter Integration der RADIUS-Authentifizierung mit dem Azure Multi-Factor Authentication-Server.

„Fehler 405“ beim Herunterladen des Stammzertifikats aus VPN Gateway

Ursache

Das Stammzertifikat wurde nicht installiert. Das Stammzertifikat ist im Zertifikatspeicher für vertrauenswürdige Anbieter des Clients installiert.

VPN-Clientfehler: Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. (Fehler 800)

Ursache

Der NIC-Treiber ist veraltet.

Lösung

Aktualisieren Sie den NIC-Treiber:

  1. Klicken Sie auf Start, geben Sie Geräte-Manager ein, und wählen Sie ihn in der Liste der Ergebnisse aus. Wenn Sie zur Eingabe eines Administratorkennworts oder einer Bestätigung aufgefordert werden, geben Sie das Kennwort oder eine entsprechende Bestätigung ein.
  2. Suchen Sie in der Kategorie Netzwerkadapter die NIC, die Sie aktualisieren möchten.
  3. Doppelklicken Sie auf den Gerätenamen, und klicken Sie auf Treiber aktualisieren und anschließend auf Automatisch nach aktualisierter Treibersoftware suchen.
  4. Wenn Windows keinen neuen Treiber findet, können Sie auf der Website des Geräteherstellers nach Treibern suchen und sie gemäß den Anweisungen installieren.
  5. Starten Sie den Computer neu, und versuchen Sie erneut, eine Verbindung herzustellen.

VPN-Clientfehler: Ihre Authentifizierung mit Microsoft Entra ist abgelaufen

Wenn Sie die Microsoft Entra ID-Authentifizierung verwenden, tritt möglicherweise einer der folgende Fehler auf:

Ihre Authentifizierung mit Microsoft Entra ist abgelaufen. Sie müssen sich in Entra erneut authentifizieren, um ein neues Token zu erhalten. Das Authentifizierungstimeout kann von Ihrem Administrator optimiert werden.

or

Ihre Authentifizierung mit Microsoft Entra ist abgelaufen, sodass Sie sich erneut authentifizieren müssen, um ein neues Token zu erhalten. Versuchen Sie erneut, eine Verbindung herzustellen. Authentifizierungsrichtlinien und -timeout werden von Ihrem Administrator im Entra-Mandanten konfiguriert.

Ursache

Die Point-to-Site-Verbindung wird getrennt, da das aktuelle Aktualisierungstoken abgelaufen ist oder ungültig wird. Für die Benutzerauthentifizierung können keine neuen Zugriffstoken abgerufen werden.

Wenn Azure VPN Client versucht, mithilfe der Microsoft Entra ID-Authentifizierung eine Verbindung mit einem Azure VPN-Gateway herzustellen, ist ein Zugriffstoken erforderlich, um den Benutzer zu authentifizieren. Dieses Token wird ungefähr jede Stunde erneuert. Ein gültiges Zugriffstoken kann nur ausgegeben werden, wenn der Benutzer über ein gültiges Aktualisierungstoken verfügt. Wenn der Benutzer kein gültiges Aktualisierungstoken besitzt, wird die Verbindung getrennt.

Das Aktualisierungstoken kann aus verschiedenen Gründen als abgelaufen/ungültig angezeigt werden. Sie können die Benutzeranmeldeprotokolle von Entra für das Debuggen überprüfen. Weitere Informationen finden Sie unter Microsoft Entra-Anmeldeprotokolle.

  • Das Aktualisierungstoken ist abgelaufen.

    • Die Standardlebensdauer für die Aktualisierungstoken beträgt 90 Tage. Nach 90 Tagen müssen Benutzer erneut eine Verbindung herstellen, um ein neues Aktualisierungstoken zu erhalten.
    • Entra-Mandantenadministratoren können für die Anmeldehäufigkeit Richtlinien für bedingten Zugriff hinzufügen, die alle X Stunden eine erneute Authentifizierung auslösen. Das Aktualisierungstoken läuft in X Stunden ab. Durch die Verwendung von benutzerdefinierten Richtlinien für bedingten Zugriff werden Benutzer gezwungen, sich alle X Stunden interaktiv anzumelden. Weitere Informationen finden Sie unter Aktualisierungstoken in Microsoft Identity Platform und Konfigurieren von Richtlinien für adaptive Sitzungslebensdauer.

  • Das Aktualisierungstoken ist ungültig.

    • Der Benutzer wurde aus dem Mandanten entfernt.
    • Die Anmeldeinformationen des Benutzers wurden geändert.
    • Sitzungen wurden vom Entra-Mandantenadministrator widerrufen.
    • Wenn es sich um ein verwaltetes Gerät handelt: Das Gerät ist nicht mehr kompatibel.
    • Andere Entra-Richtlinien, die von Entra-Administratoren konfiguriert wurden und erfordern, dass sich Benutzer in regelmäßigen Abständen interaktiv anmelden

Lösung

In diesen Szenarios müssen Benutzer erneut eine Verbindung herstellen. Dadurch wird ein interaktiver Anmeldevorgang in Microsoft Entra ausgelöst, der neue Aktualisierungstoken und Zugriffstoken ausgibt.

VPN-Clientfehler: Wählen von VPN-Verbindung <Name der VPN-Verbindung>, Status: VPN-Plattform hat keine Verbindung ausgelöst

Möglicherweise wird auch der folgende Fehler in der Ereignisanzeige von RasClient angezeigt: „Der Benutzer <Benutzername> hat eine Verbindung mit dem Namen <VPN-Verbindungsname> ausgewählt, die jedoch nicht hergestellt werden konnte. Der durch den Fehler zurückgegebene Ursachencode lautet 1460."

Ursache

Azure VPN Client verfügt nicht über die aktivierte App-Berechtigung „Hintergrund-Apps“ in den App-Einstellungen für Windows.

Lösung

  1. Wechseln Sie in Windows zu „Einstellungen“ > „Privatsphäre“ > „Hintergrund-Apps“.
  2. Ändern Sie die Einstellung für „Ausführung von Apps im Hintergrund zulassen“ in „Ein“.

Error: Dateidownloadfehler. Ziel-URI ist nicht angegeben.

Ursache

Die Ursache hierfür ist ein falsches konfiguriertes Gateway.

Lösung

Als Azure-VPN-Gatewaytyp muss „VPN“ und als VPN-Typ muss RouteBased festgelegt sein.

Das Installationsprogramm für VPN-Pakete wird nicht ausgeführt.

Ursache

Dieses Problem kann durch vorherige VPN-Clientinstallationen verursacht werden.

Lösung

Löschen Sie die alten VPN-Clientkonfigurationsdateien unter C:\Users\Benutzername\AppData\Roaming\Microsoft\Network\Connections<VNet-ID>, und führen Sie das VPN-Clientinstallationsprogramm erneut aus.

Der VPN-Client wechselt in den Ruhezustand oder Energiesparmodus

Lösung

Überprüfen Sie die Einstellungen für Standbymodus und Ruhezustand auf dem Computer, auf dem der VPN-Client ausgeführt wird.

Ich kann Einträge in privaten DNS-Zonen nicht mit dem Private Resolver von P2S-Clients auflösen.

Symptom

Wenn Sie den von Azure bereitgestellten DNS-Server (168.63.129.16) im virtuellen Netzwerk verwenden, können Point-to-Site-Clients keine Datensätze auflösen, die in privaten DNS-Zonen (einschließlich privater Endpunkte) vorhanden sind.

Screenshot des Azure VPN Clients, eines geöffneten PowerShell-Fensters und der Seite

Ursache

Die IP-Adresse des Azure DNS-Servers (168.63.129.16) kann nur über die Azure-Plattform aufgelöst werden.

Lösung

Die folgenden Schritte helfen Ihnen beim Auflösen von Einträgen aus der privaten DNS-Zone:

Das Konfigurieren der eingehenden IP-Adresse des Private Resolver als benutzerdefinierte DNS-Server im virtuellen Netzwerk hilft Ihnen, Einträge in der privaten DNS-Zone (einschließlich derjenigen, die von privaten Endpunkten erstellt wurden) aufzulösen. Beachten Sie, dass die privaten DNS-Zonen dem virtuellen Netzwerk zugeordnet sein müssen, das über Private Resolver verfügt.

Screenshot des Azure VPN Clients, eines geöffneten PowerShell-Fensters und des Azure-Portals, das für DNS-Server geöffnet ist.

Standardmäßig werden DNS-Server, die in einem virtuellen Netzwerk konfiguriert sind, an Point-to-Site-Clients übertragen, die über das VPN-Gateway verbunden sind. Daher wird die Konfiguration der eingehenden IP-Adresse von Private Resolver als benutzerdefinierte DNS-Server im virtuellen Netzwerk diese IP-Adresse automatisch an Clients als VPN-DNS-Server übertragen und Sie können Einträge aus privaten DNS-Zonen (einschließlich privater Endpunkte) nahtlos auflösen.