Partager via

Conseils de résolution des problèmes liés à l’accès à distance (VPN et AOVPN)

Essayez notre agent virtuel : il peut vous aider à identifier et résoudre rapidement les problèmes courants liés au VPN et à Always On VPN.

Les ressources mentionnées dans cet article peuvent vous aider à résoudre les problèmes liés à l’utilisation de l’accès à distance.

  • Pour le déploiement d’un VPN, il est généralement nécessaire d’effectuer un minimum de configuration manuelle sur un ordinateur serveur ou client. Les choses les plus importantes à vérifier sont que les bons ports sont ouverts dans le pare-feu et qu’ils sont transférés vers le serveur, et que le VPN est activé. Le VPN doit fonctionner immédiatement. Vous devez également vérifier que les bons protocoles sont sélectionnés dans les paramètres VPN du client.
  • Lorsque vous dépannez et testez votre connexion VPN, la première chose à faire est de connaître les principaux composants de l’infrastructure AlwaysOn VPN (AOVPN).
  • Si le programme d’installation d’AOVPN ne connecte pas les clients à votre réseau interne, cela est probablement dû à un certificat VPN non valide, à des stratégies NPS incorrectes, à des problèmes affectant les scripts de déploiement du client, ou à des problèmes qui se produisent dans le service Routage et accès à distance.

Résoudre les problèmes liés au VPN d’accès à distance

  • Microsoft Edge ignore le paramètre PAC : Microsoft Edge dans Android 13 ignore un paramètre pac configuré dans un profil VPN par application dans Microsoft Intune.

  • ID d’événement : 20227 avec le code d’erreur 720 - Les clients VPN ne parviennent pas à se connecter au VPN, car l’adaptateur du miniport WAN (IP) n’est pas correctement connecté.

  • Le VPN L2TP échoue avec l’erreur 787 -Se produit lors d’un échec de connexion entre un VPN L2TP et un serveur d’accès à distance. L’établissement d’une association de sécurité IPSec pour la connexion L2TP échoue car le serveur utilise le certificat générique ou un certificat provenant d’une autorité de certification différente de celle du certificat d’ordinateur qui est configuré sur les clients. Le service Routage et accès à distance (RRAS) choisit le premier certificat qu’il trouve dans le magasin de certificats de l’ordinateur. L2TP se comporte différemment avec le protocole SSTP ou IP-HTTPS, ou avec toute autre règle IPsec configurée manuellement. Pour L2TP, vous utilisez le mécanisme intégré au service Routage et accès à distance pour choisir un certificat. Vous ne pouvez pas modifier cette condition.

  • Échec des connexions LT2P/IPsec entre un VPN et un serveur RAS lors de l’utilisation de MS-CHAPv2 : Les connexions L2TP/IPsec entre un VPN et un serveur RAS (Remote Access Service) Windows sont interrompues lorsque vous utilisez l’authentification MS-CHAPv2. Ce problème peut se produire si les paramètres LmCompatibilityLevel du contrôleur de domaine d’authentification ont été modifiés par rapport aux valeurs par défaut.

  • Impossible de se connecter à Internet après une connexion au serveur VPN - Ce problème vous empêche de vous connecter à Internet une fois que vous vous êtes connecté à un serveur qui exécute le service Routage et accès à distance à l’aide d’un VPN. Ce problème peut se produire si vous configurez la connexion VPN de manière à utiliser la passerelle par défaut sur le réseau distant. Ce paramètre remplace les paramètres de passerelle par défaut que vous spécifiez dans les paramètres TCP/IP.

  • Impossible d’établir une connexion VPN d’accès à distance - Message informatif qui a pour but de vous aider à résoudre les problèmes courants qui empêchent les clients de se connecter au serveur VPN.

  • Impossible d’envoyer et de recevoir des données - Message informatif concernant les causes et solutions courantes pour les échecs de connexion VPN d’accès à distance bidirectionnelle (système d’exploitation hérité).

Résoudre les problèmes liés à AOVPN

  • Code d’erreur : 800 - La connexion à distance n’a pas été établie car les tunnels VPN qui ont été tentés ont échoué. Le serveur VPN est peut-être inaccessible. Si cette connexion tente d’utiliser un tunnel L2TP/IPsec, les paramètres de sécurité nécessaires pour la négociation IPsec peuvent ne pas être configurés correctement.

  • Code d’erreur : 809 - La connexion réseau entre votre ordinateur et le serveur VPN n’a pas pu être établie parce que le serveur distant ne répond pas. Cela peut se produire si l’un des appareils réseau (pare-feu, NAT ou routeur) situés entre votre ordinateur et le serveur distant n’est pas configuré pour autoriser les connexions VPN. Contactez votre administrateur ou votre fournisseur de services afin de déterminer l’appareil qui est à l’origine du problème.

  • Code d’erreur : 812 - Impossible de se connecter à AOVPN. La connexion a été empêchée en raison d’une stratégie configurée sur votre serveur RAS ou VPN. Plus précisément, la méthode d’authentification utilisée par le serveur pour vérifier votre nom d’utilisateur et votre mot de passe ne correspond pas à la méthode d’authentification qui est configurée dans votre profil de connexion. Signalez cette erreur à l’administrateur du serveur RAS.

  • Code d’erreur : 13806 - IKE n’a pas trouvé de certificat d’ordinateur valide. Contactez votre administrateur de sécurité réseau pour savoir comment installer un certificat valide dans le magasin de certificats approprié.

  • Code d’erreur : 13801 - Les informations d’authentification IKE ne sont pas acceptables.

  • Code d’erreur : 0x80070040 - « Authentification du serveur » ne figure pas dans les entrées d’utilisation de certificat du certificat de serveur.

  • Code d’erreur : 0x800B0109 - Le client VPN est joint à un domaine Active Directory qui publie des certificats racines approuvés, par exemple à partir d’une autorité de certification d’entreprise. Le certificat est automatiquement installé dans le magasin Autorités de certification racines de confiance de tous les membres du domaine. Toutefois, si l’ordinateur n’est pas joint au domaine ou si vous utilisez une autre chaîne de certificats, vous pouvez rencontrer ce problème.

  • Problèmes de connexion au client VPN AlwaysOn - Une mauvaise configuration, même légère, peut provoquer l’échec de la connexion au client. Il peut être difficile de trouver la cause du problème. Un client AOVPN effectue plusieurs étapes avant d’établir une connexion.

  • Impossible de supprimer le certificat du panneau de connectivité VPN - Les certificats qui figurent dans le panneau de connectivité VPN ne peuvent pas être supprimés. (Problèmes de connexion à l’accès conditionnel Microsoft Entra.)

Collecte de données

Avant de contacter le support Microsoft, vous pouvez collecter des informations sur votre problème.

Prerequisites

  1. TSS doit être exécuté par des comptes disposant de privilèges d’administrateur sur le système local, et le CLUF doit être accepté (une fois que l’CLUF est accepté, TSS n’invite pas à nouveau).
  2. Nous recommandons la stratégie d’exécution powerShell de l’ordinateur RemoteSigned local.

Note

Si la stratégie d’exécution PowerShell actuelle n’autorise pas l’exécution de TSS, effectuez les actions suivantes :

  • Définissez la RemoteSigned stratégie d’exécution pour le niveau de processus en exécutant l’applet de commande PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned.
  • Pour vérifier si la modification prend effet, exécutez l’applet de commande PS C:\> Get-ExecutionPolicy -List.
  • Étant donné que les autorisations au niveau du processus s’appliquent uniquement à la session PowerShell actuelle, une fois que la fenêtre PowerShell donnée dans laquelle TSS s’exécute est fermée, l’autorisation affectée pour le niveau de processus revient également à l’état précédemment configuré.

Collecter les informations clés avant de contacter le support Microsoft

  1. Téléchargez TSS sur tous les nœuds et décompressez-le dans le dossier C :\tss .

  2. Ouvrez le dossier C :\tss à partir d’une invite de commandes PowerShell avec élévation de privilèges.

  3. Démarrez les traces sur le client et le serveur à l’aide des applets de commande suivantes :

    • Client :

      TSS.ps1 -Scenario NET_VPN

    • Serveur :

      TSS.ps1 -Scenario NET_RAS

  4. Acceptez le CLUF si les traces sont exécutées pour la première fois sur le serveur ou le client.

  5. Autoriser l’enregistrement (PSR ou vidéo).

  6. Reproduire le problème avant d’entrer Y.

    Note

    Si vous collectez des journaux sur le client et le serveur, attendez ce message sur les deux nœuds avant de reproduire le problème.

  7. Entrez Y pour terminer la collection de journaux une fois le problème reproduit.

Les traces sont stockées dans un fichier zip dans le dossier C :\MS_DATA , qui peut être chargé dans l’espace de travail à des fins d’analyse.

Référence