Résoudre les problèmes Always On VPN

Cet article fournit des instructions pour vérifier et résoudre les problèmes Always On déploiement VPN.

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Si votre configuration de réseau privé virtuel (VPN) Always On ne connecte pas les clients à votre réseau interne, vous avez peut-être rencontré l’un des problèmes suivants :

• Le certificat VPN n’est pas valide.
• Les stratégies NPS (Network Policy Server) sont incorrectes.
• Problèmes liés aux scripts de déploiement du client ou au routage et à l’accès à distance.

La première étape de la résolution des problèmes et du test de votre connexion VPN consiste à comprendre les principaux composants de l’infrastructure VPN Always On.

Vous pouvez résoudre les problèmes de connexion de plusieurs façons. Pour les problèmes côté client et la résolution des problèmes généraux, les journaux d’activité des applications sur les ordinateurs clients sont précieux. Pour les problèmes spécifiques à l’authentification, le journal NPS situé sur le serveur NPS peut vous aider à déterminer la source du problème.

Résolution générale des problèmes de connexion VPN Always On

Always On clients VPN effectuent plusieurs étapes avant d’établir une connexion. Par conséquent, il existe plusieurs endroits où les connexions peuvent être bloquées, et il est parfois difficile de déterminer où se trouve le problème.

Si vous rencontrez des problèmes, voici quelques étapes générales que vous pouvez suivre pour déterminer ce qui se passe :

• Exécutez une analyse whatismyip pour vous assurer que votre machine modèle n’est pas connectée en externe. Si l’ordinateur a une adresse IP publique qui ne vous appartient pas, vous devez remplacer l’adresse IP par une adresse IP privée.
• Accédez à Panneau de configuration>Réseau et réseau Internet>Connections, ouvrez les propriétés de votre profil VPN et case activée pour vous assurer que la valeur de l’onglet Général peut être résolue publiquement via DNS. Si ce n’est pas le cas, le serveur d’accès à distance ou le serveur VPN ne peut pas être résolu en adresse IP est probablement la cause du problème.
• Ouvrez le protocole ICMP (Internet Control Message Protocol) sur l’interface externe et effectuez un test ping sur le serveur VPN à partir du client distant. Si le test ping réussit, vous pouvez supprimer la règle d’autorisation ICMP. Si ce n’est pas le cas, le fait que votre serveur VPN soit inaccessible est probablement à l’origine du problème.
• Vérifiez la configuration des cartes réseau internes et externes sur votre serveur VPN. En particulier, assurez-vous qu’ils se trouvent sur le même sous-réseau et que la carte réseau externe se connecte à l’interface appropriée sur votre pare-feu.
• Vérifiez le pare-feu client, le pare-feu du serveur et tous les pare-feu matériels pour vous assurer qu’ils autorisent l’activité des ports UDP 500 et 4500. En outre, si vous utilisez le port UDP 500, assurez-vous qu’IPSEC n’est pas désactivé ou bloqué n’importe où. Si ce n’est pas le cas, les ports non ouverts du client vers l’interface externe du serveur VPN sont à l’origine du problème.
• Assurez-vous que le serveur NPS dispose d’un certificat d’authentification serveur qui peut traiter les requêtes IKE. Vérifiez également que votre client NPS dispose de l’adresse IP du serveur VPN correcte dans ses paramètres. Vous devez vous authentifier uniquement avec PEAP et les propriétés PEAP doivent uniquement autoriser l’authentification par certificat. Vous pouvez case activée pour les problèmes d’authentification dans le journal des événements NPS. Pour plus d’informations, consultez Installer et configurer le serveur NPS.
• Si vous pouvez vous connecter, mais que vous n’avez pas accès à Internet ou au réseau local, case activée vos pools d’adresses IP de serveur DHCP ou VPN pour les problèmes de configuration. Assurez-vous également que vos clients peuvent accéder à ces ressources. Vous pouvez utiliser le serveur VPN pour acheminer les demandes.

Résolution générale des problèmes de script VPN_Profile.ps1

Les problèmes les plus courants lors de l’exécution manuelle du script VPN_Profile.ps1 sont les suivants :

• Si vous utilisez un outil de connexion à distance, veillez à ne pas utiliser le protocole RDP (Remote Desktop Protocol) ou d’autres méthodes de connexion à distance. Les connexions à distance peuvent interférer avec la capacité du service à vous détecter lorsque vous vous connectez.
• Si l’utilisateur affecté est administrateur sur son ordinateur local, vérifiez qu’il dispose de privilèges d’administrateur lors de l’exécution du script.
• Si vous avez activé d’autres fonctionnalités de sécurité PowerShell, vérifiez que votre stratégie d’exécution PowerShell ne bloque pas le script. Désactivez le mode langage limité avant d’exécuter le script, puis réactivez-le une fois l’exécution du script terminée.

Journaux d’activité

Vous pouvez également case activée les journaux d’application et les journaux NPS pour les événements qui peuvent indiquer quand et où un problème se produit.

Journaux des applications

Les journaux d’activité de l’application sur les ordinateurs clients enregistrent des détails de niveau supérieur sur les événements de connexion VPN.

Lorsque vous résolvez des problèmes Always On VPN, recherchez les événements intitulés RasClient. Tous les messages d’erreur retournent le code d’erreur à la fin du message. Codes d’erreur répertorie certains des codes d’erreur les plus courants liés à Always On VPN. Pour obtenir la liste complète des codes d’erreur, consultez Codes d’erreur de routage et d’accès à distance.

Journaux NPS

NPS crée et stocke les journaux de comptabilité NPS. Par défaut, les journaux sont stockés dans %SYSTEMROOT%\System32\Logfiles\ dans un fichier nommé IN<date de création> du journal.txt.

Par défaut, ces journaux sont au format de valeurs séparées par des virgules, mais ils n’incluent pas de ligne de titre. Le bloc de code suivant contient la ligne d’en-tête :

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Si vous collez cette ligne de titre en tant que première ligne du fichier journal, importez le fichier dans Microsoft Excel, puis Excel étiquette correctement les colonnes.

Les journaux NPS peuvent vous aider à diagnostiquer les problèmes liés aux stratégies. Pour plus d’informations sur les journaux NPS, consultez Interpréter les fichiers journaux de format de base de données NPS.

Codes d’erreur

Les sections suivantes décrivent comment résoudre les erreurs les plus fréquemment rencontrées.

Erreur 800 : la connexion à distance n’a pas pu se connecter

Ce problème se produit lorsque le service ne peut pas établir de connexion à distance en raison de l’échec des tunnels VPN tentés, souvent parce que le serveur VPN n’est pas accessible. Si votre connexion tente d’utiliser un protocole de tunneling de couche 2 (L2TP) ou un tunnel IPsec, cette erreur signifie que les paramètres de sécurité requis pour la négociation IPsec ne sont pas configurés correctement.

Cause : type de tunnel VPN

Vous pouvez rencontrer ce problème lorsque le type de tunnel VPN est défini sur Automatique et que votre tentative de connexion échoue dans tous les tunnels VPN.

Solution : case activée votre configuration VPN

Étant donné que les paramètres VPN sont à l’origine de ce problème, vous devez résoudre les problèmes liés à vos paramètres VPN et à votre connexion en procédant comme suit :

• Si vous savez quel tunnel utiliser pour votre déploiement, définissez le type de VPN sur ce type de tunnel particulier côté client VPN.
• Assurez-vous que les ports IKE (Internet Key Exchange) sur les ports UDP (User Datagram Protocol) 500 et 4500 ne sont pas bloqués.
• Assurez-vous que le client et le serveur disposent de certificats corrects pour IKE.

Erreur 809 : impossible d’établir une connexion entre l’ordinateur local et le serveur VPN

Dans ce problème, le serveur distant ne répond pas, ce qui empêche votre ordinateur local et le serveur VPN de se connecter. Cela peut être dû au fait qu’un ou plusieurs périphériques réseau, tels que les routeurs, les pare-feu ou la traduction d’adresses réseau (NAT) entre votre ordinateur et le serveur distant, ne sont pas configurés pour autoriser les connexions VPN. Contactez votre administrateur ou votre fournisseur de services pour déterminer quel appareil peut être à l’origine du problème.

Cause de l’erreur 809

Vous pouvez rencontrer ce problème lorsque les ports UDP 500 ou 4500 sur le serveur VPN ou le pare-feu sont bloqués. Le blocage peut se produire lorsque l’un des périphériques réseau entre votre ordinateur et le serveur distant, tel que le pare-feu, nat ou routeurs, n’est pas configuré correctement.

Solution : case activée les ports sur les appareils entre votre ordinateur local et le serveur distant

Pour résoudre ce problème, vous devez d’abord contacter votre administrateur ou votre fournisseur de services pour savoir quel appareil est bloqué. Après cela, vérifiez que les pare-feu de cet appareil autorisent les ports UDP 500 et 4500. Si cela ne résout pas le problème, case activée les pare-feu sur chaque appareil entre votre ordinateur local et le serveur distant.

Erreur 812 : impossible de se connecter à Always On VPN

Ce problème se produit lorsque votre serveur d’accès à distance (RAS) ou votre serveur VPN ne peut pas se connecter à Always On VPN. La méthode d’authentification utilisée par le serveur pour vérifier que votre nom d’utilisateur et votre mot de passe ne correspondent pas à la méthode d’authentification configurée dans votre profil de connexion.

Chaque fois que vous rencontrez l’erreur 812, nous vous recommandons de contacter immédiatement votre administrateur de serveur RAS pour l’informer de ce qui s’est passé.

Si vous utilisez le observateur d'événements pour résoudre les problèmes, vous pouvez trouver ce problème marqué comme journal des événements 20276. Cet événement apparaît généralement lorsqu’un paramètre de protocole d’authentification de serveur VPN basé sur le routage et l’accès à distance (RRAS) ne correspond pas aux paramètres de l’ordinateur client VPN.

Cause de l’erreur 812

Vous rencontrez généralement cette erreur lorsque le serveur NPS a spécifié une condition d’authentification que le client ne peut pas respecter. Par exemple, si le serveur NPS spécifie qu’il a besoin d’un certificat pour sécuriser la connexion PEAP (Protected Extensible Authentication Protocol), il ne peut pas s’authentifier si le client tente d’utiliser EAP-MSCHAPv2 à la place.

Solution : case activée les paramètres d’authentification de votre client et serveur NPS

Pour résoudre ce problème, assurez-vous que les exigences d’authentification pour votre client et le serveur NPS correspondent. Si ce n’est pas le cas, modifiez-les en conséquence.

Erreur 13806 : IKE ne trouve pas de certificat d’ordinateur valide

Ce problème se produit quand IKE ne trouve pas de certificat d’ordinateur valide.

Cause de l’erreur 13806

Vous rencontrez généralement cette erreur lorsque le serveur VPN n’a pas le certificat d’ordinateur ou de machine racine requis.

Solution : installer un certificat valide dans le magasin de certificats approprié

Pour résoudre ce problème, assurez-vous que les certificats requis sont installés à la fois sur l’ordinateur client et sur le serveur VPN. Si ce n’est pas le cas, contactez votre administrateur de sécurité réseau et demandez-lui d’installer des certificats valides dans le magasin de certificats approprié.

Erreur 13801 : les informations d’identification d’authentification IKE ne sont pas valides

Vous rencontrez ce problème lorsque le serveur ou le client ne peut pas accepter les informations d’identification d’authentification IKE.

Cause de l’erreur 13801

Cette erreur peut se produire en raison des éléments suivants :

• L’authentification du serveur n’est pas activée pour le certificat de machine utilisé pour la validation IKEv2 sur le serveur RAS sous Utilisation améliorée de la clé.
• Le certificat de l’ordinateur sur le serveur RAS a expiré.
• L’ordinateur client n’a pas le certificat racine pour valider le certificat de serveur RAS.
• Le nom du serveur VPN de l’ordinateur client ne correspond pas à la valeur subjectName sur le certificat de serveur.

Solution 1 : vérifier les paramètres du certificat de serveur

Si le problème est lié au certificat de machine serveur RAS, vérifiez que le certificat inclut Authentification du serveur sous Utilisation améliorée de la clé.

Solution 2 : vérifier que le certificat de l’ordinateur est toujours valide

Si le problème est que le certificat de machine RAS a expiré, vérifiez qu’il est toujours valide. Si ce n’est pas le cas, installez un certificat valide.

Solution 3 : vérifier que l’ordinateur client dispose d’un certificat racine

Si le problème est lié à l’ordinateur client ne disposant pas d’un certificat racine, case activée d’abord les autorités de certification racines approuvées sur le serveur RRAS pour vous assurer que l’autorité de certification que vous utilisez est là. Si ce n’est pas le cas, installez un certificat racine valide.

Solution 4 : faire en sorte que le nom du serveur VPN de l’ordinateur client corresponde au certificat de serveur

Tout d’abord, assurez-vous que le client VPN se connecte à l’aide du même nom de domaine complet (FQDN) que celui utilisé par le certificat de serveur VPN. Si ce n’est pas le cas, modifiez le nom du client pour qu’il corresponde au nom du certificat de serveur.

Erreur 0x80070040 : le certificat de serveur n’a pas d’authentification serveur dans ses entrées d’utilisation

Ce problème se produit lorsque le certificat de serveur n’a pas l’authentification serveur comme l’une de ses entrées d’utilisation de certificat.

Cause de 0x80070040 d’erreur

Cette erreur se produit lorsque le serveur RAS n’a pas de certificat d’authentification serveur installé.

Solution : vérifiez que le certificat de l’ordinateur dispose de l’entrée d’utilisation du certificat requise

Pour résoudre ce problème, assurez-vous que le certificat d’ordinateur utilisé par le serveur RAS pour la validation IKEv2 inclut l’authentification du serveur dans sa liste d’entrées d’utilisation du certificat.

Erreur 0x800B0109 : une chaîne de certificats traitée mais terminée dans un certificat racine

La description complète de l’erreur est « Chaîne de certificats traitée mais terminée dans un certificat racine que le fournisseur d’approbation n’approuve pas ».

En règle générale, l’ordinateur client VPN est joint à un domaine basé sur Active Directory (AD). Si vous utilisez des informations d’identification de domaine pour vous connecter au serveur VPN, le service installe automatiquement le certificat dans le magasin Autorités de certification racines de confiance. Vous pouvez rencontrer ce problème si l’ordinateur n’est pas joint à un domaine AD ou si vous utilisez une autre chaîne de certificats.

Cause de 0x800B0109 d’erreur

Vous pouvez rencontrer cette erreur si l’ordinateur client n’a pas de certificat d’autorité de certification racine approuvé approprié installé dans son magasin autorités de certification racines de confiance.

Solution : installer le certificat racine approuvé

Pour résoudre ce problème, vérifiez qu’un certificat racine approuvé est installé sur l’ordinateur client dans son magasin Autorités de certification racines de confiance. Si ce n’est pas le cas, installez un certificat racine approprié.

Erreur : Oups, vous ne pouvez pas encore y accéder

Ce message d’erreur est associé à Microsoft Entra problèmes de connexion d’accès conditionnel. Lorsque ce problème apparaît, la stratégie d’accès conditionnel n’est pas satisfaite, bloquant la connexion VPN, puis se connectant après la fermeture de la fenêtre de dialogue par l’utilisateur. Si l’utilisateur sélectionne OK, il démarre une autre tentative d’authentification qui n’aboutit pas non plus et affiche un message d’erreur identique. Le journal des événements opérationnels Microsoft Entra du client enregistre ces événements.

Microsoft Entra cause de l’erreur d’accès conditionnel

Ce problème peut se produire pour plusieurs raisons :

• L’utilisateur dispose d’un certificat d’authentification client dans son magasin de certificats personnels qui est valide mais qui ne provient pas de Microsoft Entra ID.

• La section profil <TLSExtensions> VPN est manquante ou ne contient pas les <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID> entrées. Les <EKUName> entrées et <EKUOID> indiquent au client VPN quel certificat récupérer à partir du magasin de certificats de l’utilisateur lors de la transmission du certificat au serveur VPN. Sans les <EKUName> entrées et <EKUOID> , le client VPN utilise le certificat d’authentification client valide qui se trouve dans le magasin de certificats de l’utilisateur et l’authentification réussit.

• Le serveur RADIUS (NPS) n’a pas été configuré pour accepter uniquement les certificats clients qui contiennent l’identificateur d’objet d’accès conditionnel (OID) AAD .

Solution : utilisez PowerShell pour déterminer les status de certificat

Pour placer cette boucle dans une séquence d’échappement :

1. Dans Windows PowerShell, exécutez l’applet Get-WmiObject de commande pour vider la configuration du profil VPN.

2. Vérifiez que les <TLSExtensions>variables , <EKUName>et <EKUOID> existent et que leur sortie affiche le nom et l’OID corrects.

   Le code suivant est un exemple de sortie de l’applet Get-WmiObject de commande .

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Ensuite, exécutez la Certutil commande pour déterminer s’il existe des certificats valides dans le magasin de certificats de l’utilisateur :

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Remarque

   Si un certificat de l’émetteur CN=Autorité de certification racine VPN Microsoft gen 1 est présent dans le magasin personnel de l’utilisateur, mais que l’utilisateur a obtenu l’accès en sélectionnant X pour fermer le message Oops, collectez les journaux des événements CAPI2 pour vérifier que le certificat utilisé pour l’authentification était un certificat d’authentification client valide qui n’a pas été émis à partir de l’autorité de certification RACINE VPN Microsoft.

4. S’il existe un certificat d’authentification client valide dans le magasin personnel de l’utilisateur et que les TLSExtensionsvaleurs , EKUNameet EKUOID sont configurées correctement, la connexion ne doit pas aboutir une fois que l’utilisateur a fermé la boîte de dialogue.

Un message d’erreur indiquant « Impossible de trouver un certificat pouvant être utilisé avec le protocole d’authentification extensible » s’affiche.

Impossible de supprimer le certificat de l’onglet Connectivité VPN

Ce problème se produit lorsque vous ne pouvez pas supprimer les certificats sous l’onglet Connectivité VPN.

Cause

Ce problème se produit lorsque le certificat est défini sur Principal.

Solution : modifier les paramètres de certificat

Pour supprimer des certificats :

1. Sous l’onglet Connectivité VPN , sélectionnez le certificat.
2. Sous Principal, sélectionnez Non, puis Enregistrer.
3. Sous l’onglet Connectivité VPN , sélectionnez à nouveau le certificat.
4. Sélectionnez Supprimer.