Freigeben über

Der Microsoft Store wird nicht geöffnet, nachdem ein in eine Domäne eingebundener Computer eine VPN-Verbindung hergestellt hat.

In diesem Artikel wird ein Problem erläutert, bei dem Sie den Microsoft Store nicht öffnen können, nachdem ein in die Domäne eingebundener Computer eine Verbindung mit einer VPN-Verbindung herstellt, die die Tunnelung erzwungen hat.

Gilt für: Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 4537233

Problembeschreibung

Gehen Sie davon aus, dass Sie einen in eine Domäne eingebundenen Windows 10-Computer mit einer VPN-Verbindung verbinden, die die Tunnelung erzwungen hat. Wenn Sie versuchen, den Microsoft Store zu öffnen, wird er nicht geöffnet, und Sie erhalten eine Fehlermeldung "Diese Seite konnte nicht geladen werden".

Wenn Sie einen der folgenden Vorgänge ausführen, wird der Microsoft Store wie erwartet geöffnet:

  • Trennen Sie den Computer von der Domäne, und stellen Sie dann eine Verbindung mit der VPN-Verbindung her.
  • Verbinden Sie den Computer mit einer VPN-Verbindung, für die das Tunneling deaktiviert ist.
  • Deaktivieren Sie den Windows Defender Firewall-Dienst , und verbinden Sie den Computer dann mit der VPN-Verbindung.

Ursache

Die Microsoft Store-App verwendet ein Sicherheitsmodell, das von der Netzwerkisolation abhängt. Bestimmte Netzwerkfunktionen und -grenzen müssen für die Store-App aktiviert sein, und der Netzwerkzugriff muss für die App zulässig sein.

Wenn das Windows-Firewallprofil nicht öffentlich ist, blockiert eine Standardblockregel den gesamten ausgehenden Datenverkehr, der die Remote-IP als 0.0.0.0.0 festgelegt hat. Während der Computer mit einer VPN-Verbindung verbunden ist, die die Tunnelung erzwungen hat, wird die Standardgateway-IP als 0.0.0.0 festgelegt. Wenn die Netzwerkzugriffsgrenzen nicht entsprechend festgelegt werden, treten die folgenden Verhaltensweisen auf:

  • Die Standardmäßige Blockfirewallregel wird angewendet.
  • Der Datenverkehr der Microsoft Store-App wird blockiert.

Lösung

Führen Sie zum Beheben dieses Problems die folgenden Schritte aus, um ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) zu erstellen:

  1. Öffnen Sie das Gruppenrichtlinienverwaltungs-Snap-In (gpmc.msc), und erstellen oder öffnen Sie eine Gruppenrichtlinie zum Bearbeiten.

  2. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor das Netzwerk für Verwaltungsrichtlinien>für Computerkonfigurationsrichtlinien>>, und wählen Sie dann "Netzwerkisolation" aus.

  3. Doppelklicken Sie im rechten Bereich auf Private Netzwerksubnetze definieren.

  4. Wählen Sie im Dialogfeld "Private Netzwerkbereiche für Apps" die Option "Aktiviert" aus.

  5. Geben Sie im Textfeld "Private Subnetze" den IP-Bereich Ihres VPN-Adapters ein, und wählen Sie dann "OK" aus.

    Wenn sich Ihre VPN-Adapter-IPs beispielsweise im Bereich von 172.x.x.x befinden, fügen Sie im Textfeld 172.0.0.0.0/8 hinzu.

  6. Doppelklicken Sie auf Subnetzdefinitionen sind autoritativ, wählen Sie "Aktiviert" und dann "OK" aus.

  7. Starten Sie den Client neu, um sicherzustellen, dass das Gruppenrichtlinienobjekt wirksam wird.

Nachdem die Gruppenrichtlinie angewendet wurde, ist der hinzugefügte IP-Bereich der einzige private Netzwerkbereich, der für die Netzwerkisolation verfügbar ist. Windows erstellt nun eine Firewallregel, die den Datenverkehr zulässt, und überschreibt die vorherige ausgehende Blockregel mit der neuen Regel.

Notiz

  • Wenn sich ihr VPN-Adresspoolbereich ändert, sollten Sie dieses Gruppenrichtlinienobjekt entsprechend ändern. Andernfalls tritt das Problem erneut auf.
  • Sie können dieselben GPOs von dc auf mehrere Computer übertragen.
  • Auf den einzelnen Computern können Sie den folgenden Registrierungsspeicherort überprüfen, um sicherzustellen, dass das Gruppenrichtlinienobjekt wirksam wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkIsolation

Weitere Informationen

Sie können das integrierte Tool "checknetisolation" verwenden, um die Netzwerkfunktionen zu überprüfen. Wenn der Computer mit dem Domänenprofil verbunden ist und VPN-Tunneling erzwungen wird, sind die Funktionen InternetClient und InternetClientServer nicht aktiv. Beispiel:

C:\Windows\system32>checknetisolation Debug -n=microsoft.windowsstore_8wekyb3d8bbwe

Network Isolation Debug Session started.
Reproduce your scenario, then press Ctrl-C when done.
      Collecting Logs.....

Summary Report

Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Not Used and Insecure  
    InternetClientServer          Not Used and Insecure  
    PrivateNetworkClientServer    Missing, maybe intended  


Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Used and Declared
    InternetClientServer          Not Used and Insecure

Notiz

Wenn Sie auf demselben Client den Computer aus der Domäne entfernen oder das VPN trennen, können Sie sehen, dass internetclient verwendet wird.

Weitere Informationen finden Sie unter Isolieren von Windows Store-Apps in Ihrem Netzwerk.