Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Testen Sie unseren virtuellen Agenten. Er kann Ihnen dabei helfen, häufige VPN- und AlwaysOn-VPN-Probleme schnell zu erkennen und zu beheben.
Die in diesem Artikel aufgeführten Ressourcen können Ihnen dabei helfen, Probleme bei der Verwendung des Remotezugriffs zu beheben.
Empfohlene Schritte zur Problembehandlung
- Für eine VPN-Bereitstellung ist in der Regel ein Mindestmaß an manuellen Konfigurationen auf einem Server oder Clientcomputer erforderlich. Dabei geht es in erster Linie darum, dass die richtigen Ports in der Firewall geöffnet sind und an den Server weitergeleitet werden und dass VPN aktiviert ist. Das VPN sollte sofort einsatzbereit sein. Vergewissern Sie sich außerdem, dass für die VPN-Einstellungen auf dem Client die passenden Protokolle ausgewählt sind.
- Machen Sie sich im Zuge der Problembehandlung und des Testens Ihrer VPN-Verbindung zunächst mit den Kernkomponenten der AOVPN-Infrastruktur (Always On-VPN) vertraut.
- Wenn Clients durch das AOVPN-Setup nicht mit Ihrem internen Netzwerk verbunden werden, ist das wahrscheinlich auf ein ungültiges VPN-Zertifikat, auf falsche NPS-Richtlinien, auf Probleme im Zusammenhang mit den Clientbereitstellungsskripts oder auf Probleme beim Routing und beim Remotezugriff zurückzuführen.
Problembehandlung bei VPN-Problemen beim Remotezugriff
Microsoft Edge ignoriert PAC-Einstellung – Microsoft Edge in Android 13 ignoriert eine PAC-Einstellung (Proxy Auto-Configuration), die in einem VPN-Profil pro App in Microsoft Intune konfiguriert ist.
Ereignis-ID 20227 mit Fehlercode 720: Von VPN-Clients wird keine VPN-Verbindung hergestellt, da der WAN-Miniportadapter (IP) nicht ordnungsgemäß gebunden ist.
Fehler 787 für L2TP-VPN: Tritt auf, wenn bei einer L2TP-VPN-Verbindung mit einem RAS-Server ein Fehler auftritt. Die Einrichtung der IPsec-Sicherheitszuordnung (Security Association, SA) für die L2TP-Verbindung (Layer Two Tunneling-Protokoll) ist nicht erfolgreich, da der Server das Platzhalterzertifikat oder ein Zertifikat einer anderen Zertifizierungsstelle als das Computerzertifikat verwendet, das für die Clients konfiguriert ist. Von RRAS (Routing and Remote Access, Routing und Remotezugriff) wird das erste Zertifikat ausgewählt, das im Zertifikatspeicher des Computers gefunden wird. L2TP verhält sich in dieser Hinsicht anders als SSTP (Secure Socket Tunneling-Protokoll), IP-HTTPS oder eine andere manuell konfigurierte IPSec-Regel. Bei L2TP wird der integrierte RRAS-Mechanismus verwendet, um ein Zertifikat auszuwählen. Dies kann nicht geändert werden.
Fehler bei LT2P-/IPsec-RAS-VPN-Verbindungen bei Verwendung von MS-CHAPv2: Bei Verwendung der MS-CHAPv2-Authentifizierung kommt es zu Fehlern bei L2TP-/IPsec-VPN-Verbindungen mit einem Windows-RAS-Server (Remote Access Service). Dieses Problem kann auftreten, wenn auf dem authentifizierenden Domänencontroller (DC) die Standardwerte der Einstellungen für LmCompatibilityLevel geändert wurden.
Keine Internetverbindung nach dem Herstellen einer Verbindung mit einem VPN-Server: Dieses Problem verhindert das Herstellen einer Internetverbindung, nachdem Sie sich bei einem Server angemeldet haben, auf dem Routing und Remotezugriff über VPN ausgeführt werden. Dieses Problem kann auftreten, wenn Sie die VPN-Verbindung für die Verwendung des Standardgateways im Remotenetzwerk konfigurieren. Durch diese Einstellung werden die Standardgatewayeinstellungen überschrieben, die Sie in den TCP/IP-Einstellungen (Transmission Control Protocol/Internet Protocol) angeben.
VPN-Verbindung mit Remotezugriff kann nicht hergestellt werden: Hilfreiche Informationen zur Behandlung typischer Probleme, die verhindern, dass Clients eine Verbindung mit dem VPN-Server herstellen.
Daten können nicht gesendet und empfangen werden: Informationen zu häufigen Ursachen und Lösungen bei bidirektionalen VPN-Verbindungen mit Remotezugriff (Legacybetriebssystem).
Behandeln von AOVPN-Problemen
Fehlercode 800: Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn von dieser Verbindung versucht wird, einen L2TP-/IPsec-Tunnel zu verwenden, sind die für die IPsec-Aushandlung erforderlichen Sicherheitsparameter möglicherweise nicht ordnungsgemäß konfiguriert.
Fehlercode 809: Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Dieser Fall kann eintreten, wenn eines der Netzwerkgeräte (Firewall, NAT, Router oder Ähnliches) zwischen Ihrem Computer und dem Remoteserver nicht so konfiguriert ist, dass VPN-Verbindungen zugelassen werden. Wenden Sie sich an Ihren Administrator oder Dienstanbieter, um zu ermitteln, durch welches Gerät das Problem verursacht wird.
Fehlercode 812: Mit AOVPN kann keine Verbindung hergestellt werden. Die Verbindungsherstellung wurde durch eine auf Ihrem RAS- oder VPN-Server konfigurierte Richtlinie verhindert. Genauer gesagt: Die Authentifizierungsmethode, die vom Server zur Überprüfung Ihres Benutzernamens und Kennworts verwendet wurde, entspricht nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Informieren Sie den Administrator des RAS-Servers über diesen Fehler.
Fehlercode 13806: Von IKE wurde kein gültiges Computerzertifikat gefunden. Erkundigen Sie sich bei Ihrem Netzwerksicherheitsadministrator, wie Sie ein gültiges Zertifikat im entsprechenden Zertifikatspeicher installieren.
Fehlercode 13801: Die Anmeldeinformationen für die IKE-Authentifizierung sind nicht akzeptabel.
Fehlercode 0x80070040: Im Serverzertifikat ist die Serverauthentifizierung nicht als Zertifikatverwendungseintrag enthalten.
Fehlercode 0x800B0109: Der VPN-Client ist in eine Active Directory-Domäne eingebunden, von der vertrauenswürdige Stammzertifikate veröffentlicht werden (beispielsweise von einer Unternehmenszertifizierungsstelle). Auf allen Domänenmitgliedern wird das Zertifikat automatisch im Speicher für vertrauenswürdige Stammzertifizierungsstellen installiert. Falls der Computer jedoch nicht in die Domäne eingebunden ist oder Sie eine alternative Zertifikatskette verwenden, tritt möglicherweise dieses Problem auf.
Probleme mit Always On-VPN-Clientverbindungen: Eine kleine Fehlkonfiguration kann bereits zu einem Fehler bei der Clientverbindung führen. Die Suche nach der Ursache kann sich schwierig gestalten. Von einem AOVPN-Client werden mehrere Schritte durchlaufen, bevor er eine Verbindung hergestellt wird.
Löschen des Zertifikats über das Blatt „VPN-Konnektivität“ nicht möglich: Zertifikate auf dem Blatt „VPN-Konnektivität“ können nicht gelöscht werden. (Verbindungsprobleme beim bedingten Zugriff von Microsoft Entra.)
Datensammlung
Bevor Sie sich an den Microsoft-Support wenden, können Sie Informationen zu Ihrem Problem sammeln.
Voraussetzungen
- TSS muss von Konten mit Administratorrechten im lokalen System ausgeführt werden, und EULA muss akzeptiert werden (sobald EULA akzeptiert wurde, wird TSS nicht mehr aufgefordert).
- Wir empfehlen die PowerShell-Ausführungsrichtlinie des lokalen Computers
RemoteSigned.
Notiz
Wenn die aktuelle PowerShell-Ausführungsrichtlinie das Ausführen von TSS nicht zulässt, führen Sie die folgenden Aktionen aus:
- Legen Sie die Ausführungsrichtlinie
RemoteSignedfür die Prozessebene fest, indem Sie das CmdletPS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSignedausführen. - Führen Sie das Cmdlet
PS C:\> Get-ExecutionPolicy -Listaus, um zu überprüfen, ob die Änderung wirksam wird. - Da die Berechtigungen auf Prozessebene nur für die aktuelle PowerShell-Sitzung gelten, sobald das angegebene PowerShell-Fenster, in dem TSS ausgeführt wird, geschlossen ist, wird die zugewiesene Berechtigung für die Prozessebene auch wieder in den zuvor konfigurierten Zustand zurückgesetzt.
Sammeln sie wichtige Informationen, bevor Sie sich an den Microsoft-Support wenden
Laden Sie TSS auf allen Knoten herunter, und entzippen Sie es im Ordner "C:\tss ".
Öffnen Sie den Ordner "C:\tss" über eine PowerShell-Eingabeaufforderung mit erhöhten Rechten.
Starten Sie die Ablaufverfolgungen auf dem Client und auf dem Server mithilfe der folgenden Cmdlets:
Client:
TSS.ps1 -Scenario NET_VPNServer:
TSS.ps1 -Scenario NET_RAS
Akzeptieren Sie die EULA, wenn die Ablaufverfolgungen zum ersten Mal auf dem Server oder dem Client ausgeführt werden.
Aufzeichnung zulassen (PSR oder Video).
Reproduzieren Sie das Problem, bevor Sie Y eingeben.
Notiz
Wenn Sie Protokolle sowohl auf dem Client als auch auf dem Server sammeln, warten Sie auf diese Meldung auf beiden Knoten, bevor Sie das Problem wiedergeben.
Geben Sie Y ein, um die Protokollauflistung abzuschließen, nachdem das Problem reproduziert wurde.
Die Ablaufverfolgungen werden in einer ZIP-Datei im Ordner "C:\MS_DATA " gespeichert, die zur Analyse in den Arbeitsbereich hochgeladen werden können.
Verweis
Always On-VPN-Bereitstellung für Windows Server und Windows 10: Enthält eine Anleitung zum Bereitstellen von Remotezugriff als VPN-RAS-Gateway mit einem einzelnen Mandanten für Point-to-Site-VPN-Verbindungen, mit denen Ihre Remotemitarbeiter AOVPN-Verbindungen mit Ihrem Organisationsnetzwerk herstellen können. Machen Sie sich am besten mit den Entwurfs- und Bereitstellungsleitfäden für die einzelnen Technologien vertraut, die in dieser Bereitstellung verwendet werden.
Erstellen von VPN-Profilen in Configuration Manager: In diesem Thema wird die Erstellung von VPN-Profilen in Configuration Manager erläutert.
Features und Funktionen von Always On-VPN: In diesem Thema werden die Features und Funktionen von AOVPN behandelt.