Compartir a través de

Microsoft Store no se abre después de que un equipo unido a un dominio realice una conexión VPN

En este artículo se describe un problema en el que no se puede abrir Microsoft Store después de que un equipo unido a un dominio se conecte a una conexión VPN que tenga habilitada la tunelización forzada.

Se aplica a: Windows 10: todas las ediciones
Número de KB original: 4537233

Síntomas

Supongamos que conecta un equipo windows 10 unido a un dominio a una conexión VPN que tenga habilitada la tunelización forzada. Cuando intenta abrir Microsoft Store, no se abre y recibe un mensaje de error "Esta página no se pudo cargar".

Si realiza una de las siguientes operaciones, Microsoft Store se abre según lo previsto:

  • Desconecte el equipo del dominio y, a continuación, conéctese a la conexión VPN.
  • Conecte el equipo a una conexión VPN que tenga deshabilitado la tunelización forzada.
  • Desactive el servicio Firewall de Windows Defender y, a continuación, conecte el equipo a la conexión VPN.

Causa

La aplicación de Microsoft Store usa un modelo de seguridad que depende del aislamiento de red. Las funcionalidades y límites de red específicos deben estar habilitadas para la aplicación de la tienda y se debe permitir el acceso a la red para la aplicación.

Cuando el perfil de Firewall de Windows no es Público, una regla de bloqueo predeterminada bloquea todo el tráfico saliente que tenga la dirección IP remota establecida como 0.0.0.0. Mientras el equipo está conectado a una conexión VPN que tiene habilitada la tunelización forzada, la dirección IP de puerta de enlace predeterminada se establece como 0.0.0.0. Si los límites de acceso a la red no se establecen correctamente, se producen los comportamientos siguientes:

  • Se aplica la regla de firewall de bloque predeterminada.
  • El tráfico de la aplicación de Microsoft Store está bloqueado.

Solución

Para corregir este problema, siga estos pasos para crear un objeto de directiva de grupo (GPO):

  1. Abra el complemento Administración de directivas de grupo (gpmc.msc) y cree o abra una directiva de grupo para su edición.

  2. En el Editor de administración de directivas de grupo, expanda Directivas de configuración>>del equipo Red de plantillas> administrativas y, a continuación, seleccione Aislamiento de red.

  3. En el panel derecho, haga doble clic en Private network ranges for apps (intervalos de redes privadas para aplicaciones).

  4. En el cuadro de diálogo Intervalos de red privados para aplicaciones , seleccione Habilitado.

  5. En el cuadro de texto Subredes privadas, escriba el intervalo IP del adaptador de VPN y, a continuación, seleccione Aceptar.

    Por ejemplo, si las direcciones IP del adaptador de VPN están en el intervalo 172.x.x.x, agregue 172.0.0.0/8 en el cuadro de texto.

  6. Haga doble clic en Definiciones de subred autoritativas, seleccione Habilitado y, a continuación, seleccione Aceptar.

  7. Reinicie el cliente para asegurarse de que el GPO surte efecto.

Una vez aplicada la directiva de grupo, el intervalo IP agregado es el único intervalo de red privado que está disponible para el aislamiento de red. Windows ahora creará una regla de firewall que permita el tráfico y invalidará la regla de bloque de salida anterior con la nueva regla.

Nota:

  • Cuando cambie el intervalo del grupo de direcciones VPN, debe cambiar este GPO en consecuencia. De lo contrario, el problema se repetirá.
  • Puede insertar los mismos GPO desde el controlador de dominio a varios equipos.
  • En los equipos individuales, puede comprobar la siguiente ubicación del Registro para asegurarse de que el GPO surte efecto:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkIsolation

Más información

Puede usar la herramienta integrada "checknetisolation" para comprobar las funcionalidades de red. Cuando el equipo está conectado al perfil de dominio y a la tunelización forzada de VPN, las funcionalidades InternetClient e InternetClientServer no están activas. Por ejemplo:

C:\Windows\system32>checknetisolation Debug -n=microsoft.windowsstore_8wekyb3d8bbwe

Network Isolation Debug Session started.
Reproduce your scenario, then press Ctrl-C when done.
      Collecting Logs.....

Summary Report

Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Not Used and Insecure  
    InternetClientServer          Not Used and Insecure  
    PrivateNetworkClientServer    Missing, maybe intended  


Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Used and Declared
    InternetClientServer          Not Used and Insecure

Nota:

En el mismo cliente, si quita el equipo del dominio o desconecta la VPN, puede ver que se está usando Internetclient .

Para obtener más información, consulte Aislamiento de aplicaciones de la Tienda Windows en la red.