Megosztás a következőn keresztül:

Hibaelhárítás: Azure pont–hely kapcsolati problémák

  • Cikk

Ez a cikk az esetlegesen tapasztalt gyakori pont–hely kapcsolati problémákat sorolja fel. Emellett a problémák lehetséges okait és megoldásait is ismerteti.

VPN-ügyfél hibája: Nem található tanúsítvány

Tünet

Amikor a VPN-ügyfél használatával próbál csatlakozni egy Azure-beli virtuális hálózathoz, a következő hibaüzenet jelenik meg:

Nem található olyan tanúsítvány, amely ezzel az bővíthető hitelesítési protokollal használható. (798-os hiba)

Ok

Ez a probléma akkor fordul elő, ha az ügyféltanúsítvány hiányzik a tanúsítványokból – Aktuális felhasználó\Személyes\Tanúsítványok.

Megoldás

A probléma megoldásához kövesse ezeket a lépéseket:

  1. A Tanúsítványkezelő megnyitása: Kattintson a Start gombra, írja be a számítógéptanúsítványok kezelését, majd kattintson a számítógéptanúsítványok kezelésére a keresési eredményben.

  2. Győződjön meg arról, hogy a következő tanúsítványok a megfelelő helyen találhatók:

    Tanúsítvány Hely
    AzureClient.pfx Aktuális felhasználó\Személyes\Tanúsítványok
    AzureRoot.cer Helyi számítógép\Megbízható legfelső szintű hitelesítésszolgáltatók

  3. Nyissa meg a C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID fájlt>, és telepítse manuálisan a tanúsítványt (*.cer fájlt) a felhasználó és a számítógép tárolójába.

Az ügyféltanúsítvány telepítéséről további információt a pont–hely kapcsolatok tanúsítványainak létrehozása és exportálása című témakörben talál.

Feljegyzés

Az ügyféltanúsítvány importálásakor ne válassza az Erős titkos kulcsvédelem engedélyezése lehetőséget.

A számítógép és a VPN-kiszolgáló közötti hálózati kapcsolat nem hozható létre, mert a távoli kiszolgáló nem válaszol

Tünet

Amikor az IKEv2 használatával próbál csatlakozni egy Azure-beli virtuális hálózati átjáróhoz Windows rendszeren, a következő hibaüzenet jelenik meg:

A számítógép és a VPN-kiszolgáló közötti hálózati kapcsolat nem hozható létre, mert a távoli kiszolgáló nem válaszol

Ok

A probléma akkor fordul elő, ha a Windows verziója nem támogatja az IKE töredezettségét.

Megoldás

Az IKEv2 Windows 10 és Server 2016 rendszeren támogatott. Ahhoz azonban, hogy használni tudja az IKEv2-t, helyileg telepítenie kell a frissítéseket, és meg kell adnia a beállításkulcs értékét. A Windows 10 előtti operációsrendszer-verziók nem támogatottak, és csak SSTP-t használhatnak.

A Windows 10 vagy a Server 2016 előkészítése az IKEv2-hez:

  1. Telepítse a frissítést.

    Operációs rendszer verziója Dátum Szám/hivatkozás
    Windows Server 2016
    Windows 10, 1607-es verzió    		 2018. január 17. KB4057142
    Windows 10, 1703-as verzió 2018. január 17. KB4057144
    Windows 10, 1709-es verzió 2018. március 22. KB4089848

  2. Adja meg a beállításkulcs értékét. Hozzon létre vagy állítson be HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD kulcsot a beállításjegyzékben 1 értékre.

VPN-ügyfél hibája: A kapott üzenet váratlan vagy rosszul formázott volt

Tünet

Amikor a VPN-ügyfél használatával próbál csatlakozni egy Azure-beli virtuális hálózathoz, a következő hibaüzenet jelenik meg:

A kapott üzenet váratlan vagy rosszul formázott volt. (Hiba 0x80090326)

Ok

Ez a probléma akkor fordul elő, ha az alábbi feltételek egyike teljesül:

  • A felhasználó által megadott útvonalak (UDR) használata az átjáróalhálózat alapértelmezett útvonalával helytelenül van beállítva.
  • A főtanúsítvány nyilvános kulcsa nincs feltöltve az Azure VPN Gatewaybe.
  • A kulcs sérült vagy lejárt.

Megoldás

A probléma megoldásához kövesse ezeket a lépéseket:

  1. Távolítsa el az UDR-t az átjáró alhálózatán. Győződjön meg arról, hogy az UDR megfelelően továbbítja az összes forgalmat.
  2. Ellenőrizze a főtanúsítvány állapotát az Azure Portalon, és ellenőrizze, hogy visszavonták-e. Ha nincs visszavonva, próbálja meg törölni a főtanúsítványt, és töltse fel újra. További információ: Tanúsítványok létrehozása.

VPN-ügyfél hibája: A tanúsítványlánc feldolgozva, de leállt

Tünet

Amikor a VPN-ügyfél használatával próbál csatlakozni egy Azure-beli virtuális hálózathoz, a következő hibaüzenet jelenik meg:

A tanúsítványlánc feldolgozva, de a megbízhatósági szolgáltató által nem megbízható főtanúsítványban végződik.

Megoldás

  1. Győződjön meg arról, hogy a következő tanúsítványok a megfelelő helyen találhatók:

    Tanúsítvány Hely
    AzureClient.pfx Aktuális felhasználó\Személyes\Tanúsítványok
    Azuregateway-GUID.cloudapp.net Jelenlegi felhasználó\Megbízható legfelső szintű hitelesítésszolgáltatók
    AzureGateway-GUID.cloudapp.net, AzureRoot.cer Helyi számítógép\Megbízható legfelső szintű hitelesítésszolgáltatók

  2. Ha a tanúsítványok már a helyszínen vannak, próbálja meg törölni és újratelepíteni a tanúsítványokat. Az azuregateway-GUID.cloudapp.net tanúsítvány az Azure Portalról letöltött VPN-ügyfélkonfigurációs csomagban található. A fájlarchívumok segítségével kinyerheti a fájlokat a csomagból.

Fájlletöltési hiba: A cél URI nincs megadva

Tünet

A következő hibaüzenet jelenik meg:

Fájlletöltési hiba. A cél URI nincs megadva.

Ok

Ez a probléma helytelen átjárótípus miatt jelentkezik.

Megoldás

A VPN-átjáró típusának VPN-nek, a VPN-típusnak pedig RouteBasednek kell lennie.

VPN-ügyfél hibája: Az Egyéni Azure VPN-szkript nem sikerült

Tünet

Amikor a VPN-ügyfél használatával próbál csatlakozni egy Azure-beli virtuális hálózathoz, a következő hibaüzenet jelenik meg:

Az egyéni szkript (az útválasztási tábla frissítéséhez) nem sikerült. (8007026f hiba)

Ok

Ez a probléma akkor fordulhat elő, ha egy parancsikon használatával próbálja megnyitni a helyek közötti VPN-kapcsolatot.

Megoldás

Nyissa meg közvetlenül a VPN-csomagot a parancsikon megnyitása helyett.

A VPN-ügyfél nem telepíthető

Ok

További tanúsítványra van szükség ahhoz, hogy megbízható legyen a VPN-átjáró a virtuális hálózatban. A tanúsítvány szerepel az Azure Portalról létrehozott VPN-ügyfélkonfigurációs csomagban.

Megoldás

Bontsa ki a VPN-ügyfél konfigurációs csomagját, és keresse meg a .cer fájlt. A tanúsítvány telepítéséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a mmc.exe.
  2. Adja hozzá a Tanúsítványok beépülő modult.
  3. Válassza ki a helyi számítógép Számítógép fiókját.
  4. Kattintson a jobb gombbal a megbízható legfelső szintű hitelesítésszolgáltatók csomópontra . Kattintson a Teljes feladat>importálása elemre, és keresse meg a VPN-ügyfélkonfigurációs csomagból kinyert .cer fájlt.
  5. Indítsa újra a számítógépet.
  6. Próbálja meg telepíteni a VPN-ügyfelet.

Azure Portal-hiba: Nem sikerült menteni a VPN-átjárót, és az adatok érvénytelenek

Tünet

Amikor megpróbálja menteni a VPN-átjáró módosításait az Azure Portalon, a következő hibaüzenet jelenik meg:

Nem sikerült menteni a virtuális hálózati átjáró átjáró <nevét>. A tanúsítványazonosító <> adatai érvénytelenek.

Ok

Ez a probléma akkor fordulhat elő, ha a feltöltött főtanúsítvány nyilvános kulcsa érvénytelen karaktert, például szóközt tartalmaz.

Megoldás

Győződjön meg arról, hogy a tanúsítvány adatai nem tartalmaznak érvénytelen karaktereket, például sortöréseket (kocsivisszaadásokat). A teljes értéknek egy hosszú sornak kell lennie. Az alábbi példa a tanúsítványon belüli másolási területet mutatja be:

Képernyőkép a tanúsítványban lévő adatokról.

Azure Portal-hiba: Nem sikerült menteni a VPN-átjárót, és az erőforrás neve érvénytelen

Tünet

Amikor megpróbálja menteni a VPN-átjáró módosításait az Azure Portalon, a következő hibaüzenet jelenik meg:

Nem sikerült menteni a virtuális hálózati átjáró átjáró <nevét>. A feltölteni> kívánt erőforrásnév-tanúsítvány <neve érvénytelen.

Ok

Ez a probléma azért fordul elő, mert a tanúsítvány neve érvénytelen karaktert, például szóközt tartalmaz.

Azure Portal-hiba: VPN-csomagfájl letöltési hibája 503

Tünet

A VPN-ügyfél konfigurációs csomagjának letöltésekor a következő hibaüzenet jelenik meg:

Nem sikerült letölteni a fájlt. Hiba részletei: 503-os hiba. A kiszolgáló foglalt.

Megoldás

Ezt a hibát ideiglenes hálózati probléma okozhatja. Néhány perc múlva próbálja meg újra letölteni a VPN-csomagot.

Azure VPN Gateway-frissítés: Minden pont–hely ügyfél nem tud csatlakozni

Ok

Ha a tanúsítvány élettartama meghaladja az 50 százalékot, a tanúsítvány át lesz állítva.

Megoldás

A probléma megoldásához telepítse újra a pont–hely csomagot az összes ügyfélen.

Túl sok VPN-ügyfél csatlakozik egyszerre

A megengedett kapcsolatok maximális száma elérhető. A csatlakoztatott ügyfelek teljes számát az Azure Portalon tekintheti meg.

A VPN-ügyfél nem fér hozzá a hálózati fájlmegosztásokhoz

Tünet

A VPN-ügyfél csatlakozott az Azure-beli virtuális hálózathoz. Az ügyfél azonban nem fér hozzá a hálózati megosztásokhoz.

Ok

Az SMB protokoll a fájlmegosztási hozzáféréshez használatos. A kapcsolat indításakor a VPN-ügyfél hozzáadja a munkamenet hitelesítő adatait, és a hiba bekövetkezik. A kapcsolat létrejötte után az ügyfélnek a Kerberos-hitelesítés gyorsítótár-hitelesítő adatait kell használnia. Ez a folyamat lekérdezéseket kezdeményez a kulcsterjesztési központba (egy tartományvezérlőre) egy jogkivonat lekéréséhez. Mivel az ügyfél az internetről csatlakozik, előfordulhat, hogy nem éri el a tartományvezérlőt. Ezért az ügyfél nem tud feladatátvételt végrehajtani Kerberosról NTLM-be.

Az ügyfél csak akkor kéri a hitelesítő adatokat, ha rendelkezik érvényes tanúsítvánnyal (SAN=UPN-nel), amelyet az a tartomány állított ki, amelyhez csatlakozott. Az ügyfélnek fizikailag is csatlakoznia kell a tartományi hálózathoz. Ebben az esetben az ügyfél megpróbálja használni a tanúsítványt, és megkísérli elérni a tartományvezérlőt. Ezután a Kulcsterjesztési központ egy "KDC_ERR_C_PRINCIPAL_UNKNOWN" hibát ad vissza. Az ügyfélnek át kell feladatátvételt végrehajtania az NTLM-be.

Megoldás

A probléma megoldásához tiltsa le a tartomány hitelesítő adatainak gyorsítótárazását a következő beállításjegyzék-alkulcsból:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Nem található a pont–hely VPN-kapcsolat a Windowsban a VPN-ügyfél újratelepítése után

Tünet

Távolítsa el a pont–hely VPN kapcsolatot, majd telepítse újra a VPN-ügyfelet. Ebben az esetben a VPN-kapcsolat nincs sikeresen konfigurálva. A VPN-kapcsolat nem jelenik meg a Windows Hálózati kapcsolatok beállításai között.

Megoldás

A probléma megoldásához törölje a régi VPN-ügyfél konfigurációs fájljait a C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> fájlból, majd futtassa újra a VPN-ügyféltelepítőt.

A pont–hely VPN-ügyfél nem tudja feloldani a helyi tartományban lévő erőforrások teljes tartománynevét

Tünet

Ha az ügyfél pont–hely VPN-kapcsolattal csatlakozik az Azure-hoz, nem tudja feloldani a helyi tartomány erőforrásainak teljes tartománynevét.

Ok

A pont–hely VPN-ügyfél általában az Azure-beli virtuális hálózaton konfigurált Azure DNS-kiszolgálókat használja. Az Azure DNS-kiszolgálók elsőbbséget élveznek az ügyfélben konfigurált helyi DNS-kiszolgálókkal szemben (kivéve, ha az Ethernet-interfész metrikája alacsonyabb), így a rendszer minden DNS-lekérdezést elküld az Azure DNS-kiszolgálóknak. Ha az Azure DNS-kiszolgálók nem rendelkeznek a helyi erőforrások rekordjaival, a lekérdezés meghiúsul.

Megoldás

A probléma megoldásához győződjön meg arról, hogy az Azure-beli virtuális hálózaton használt Azure DNS-kiszolgálók meg tudják oldani a helyi erőforrások DNS-rekordjait. Ehhez használhat DNS-továbbítókat vagy feltételes továbbítókat. További információ: Névfeloldás saját DNS-kiszolgáló használatával.

Létrejött a pont–hely VPN-kapcsolat, de továbbra sem tud csatlakozni az Azure-erőforrásokhoz

Ok

Ez a probléma akkor fordulhat elő, ha a VPN-ügyfél nem kapja meg az útvonalakat az Azure VPN Gatewayből.

Megoldás

A probléma megoldásához állítsa alaphelyzetbe az Azure VPN Gatewayt. Az új útvonalak használatának biztosításához a pont–hely VPN-ügyfeleket újra le kell tölteni a virtuális hálózatok közötti társviszony-létesítés sikeres konfigurálása után.

Hiba: "A visszavonási függvény nem tudta ellenőrizni a visszavonást, mert a visszavonási kiszolgáló offline állapotban volt. (Hiba 0x80092013)"

Okok

Ez a hibaüzenet akkor jelenik meg, ha az ügyfél nem tud hozzáférni http://crl3.digicert.com/ssca-sha2-g1.crl és http://crl4.digicert.com/ssca-sha2-g1.crl. A visszavonási ellenőrzéshez hozzáférésre van szükség ehhez a két webhelyhez. Ez a probléma általában azon az ügyfélen fordul elő, amelyen proxykiszolgáló van konfigurálva. Bizonyos környezetekben, ha a kérések nem a proxykiszolgálón haladnak át, a rendszer megtagadja a kéréseket a peremhálózati tűzfalon.

Megoldás

Ellenőrizze a proxykiszolgáló beállításait, győződjön meg arról, hogy az ügyfél hozzáfér http://crl3.digicert.com/ssca-sha2-g1.crl és http://crl4.digicert.com/ssca-sha2-g1.crl.

VPN-ügyfél hibája: A kapcsolat a RAS/VPN-kiszolgálón konfigurált szabályzat miatt lett letiltva. (812-s hiba)

Ok

Ez a hiba akkor fordul elő, ha a VPN-ügyfél hitelesítéséhez használt RADIUS-kiszolgáló helytelen beállításokkal rendelkezik, vagy az Azure Gateway nem éri el a Radius-kiszolgálót.

Megoldás

Győződjön meg arról, hogy a RADIUS-kiszolgáló megfelelően van konfigurálva. További információ: RADIUS-hitelesítés integrálása az Azure Multi-Factor Authentication-kiszolgálóval.

"405-ös hiba" a VPN Gateway főtanúsítványának letöltésekor

Ok

A főtanúsítvány nincs telepítve. A főtanúsítvány telepítve van az ügyfél megbízható tanúsítványtárolójában.

VPN-ügyfél hibája: A távoli kapcsolat nem jött létre, mert a megkísérelt VPN-alagutak sikertelenek. (800-ás hiba)

Ok

A hálózati adapter illesztőprogramja elavult.

Megoldás

Frissítse a hálózati adapter illesztőprogramot:

  1. Kattintson a Start gombra, írja be a Eszközkezelő, és jelölje ki az eredmények listájából. Ha a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy adjon meg megerősítést.
  2. A Hálózati adapterek kategóriában keresse meg a frissíteni kívánt hálózati adaptert.
  3. Kattintson duplán az eszköz nevére, válassza az Illesztőprogram frissítése, majd a Frissített illesztőprogram automatikus keresése lehetőséget.
  4. Ha a Windows nem talál új illesztőprogramot, megpróbálhat keresni egyet az eszköz gyártójának webhelyén, és kövesse az utasításokat.
  5. Indítsa újra a számítógépet, és próbálkozzon újra a kapcsolattal.

VPN-ügyfél hibája: A Microsoft Entra-hitelesítés lejárt

Ha Microsoft Entra ID-hitelesítést használ, az alábbi hibák valamelyikét tapasztalhatja:

A Microsoft Entra-hitelesítés lejárt. Új jogkivonat beszerzéséhez újra hitelesítenie kell az Entrát. A hitelesítés időtúllépését a rendszergazda hangolhatja.

vagy

A Microsoft Entra-hitelesítés lejárt, ezért új jogkivonat beszerzéséhez újra hitelesítenie kell magát. Próbálkozzon újra a csatlakozással. A hitelesítési házirendeket és az időtúllépést a rendszergazda konfigurálja az Entra-bérlőben.

Ok

A pont–hely kapcsolat megszakadt, mert az aktuális frissítési jogkivonat lejárt vagy érvénytelenné válik. Az új hozzáférési jogkivonatok nem kérhetők le a felhasználó hitelesítéséhez.

Amikor egy Azure VPN-ügyfél Microsoft Entra ID-hitelesítéssel próbál kapcsolatot létesíteni egy Azure VPN-átjáróval, hozzáférési jogkivonatra van szükség a felhasználó hitelesítéséhez. Ez a jogkivonat körülbelül óránként megújul. Érvényes hozzáférési jogkivonat csak akkor adható ki, ha a felhasználó érvényes frissítési jogkivonattal rendelkezik. Ha a felhasználó nem rendelkezik érvényes frissítési jogkivonattal, a kapcsolat megszakad.

A frissítési jogkivonat több okból is lejárt/érvénytelen lehet. A hibakereséshez ellenőrizheti az Entra felhasználói bejelentkezési naplóit. Lásd a Microsoft Entra bejelentkezési naplóit.

  • A frissítési jogkivonat lejárt

    • A frissítési jogkivonatok alapértelmezett élettartama 90 nap. 90 nap elteltével a felhasználóknak újra csatlakozniuk kell egy új frissítési jogkivonat beszerzéséhez.
    • Az Entra-bérlő rendszergazdái olyan feltételes hozzáférési szabályzatokat adhatnak a bejelentkezési gyakorisághoz, amelyek rendszeres újrahitelesítést váltanak ki minden X óránként. (A frissítési jogkivonat "X" időpontban lejár). Egyéni feltételes hozzáférési szabályzatok használatával a felhasználók minden "X" óránként interaktív bejelentkezést használnak. További információ: A jogkivonatok frissítése a Microsoft Identitásplatform és az adaptív munkamenetek élettartam-szabályzatainak konfigurálása.

  • A frissítési jogkivonat érvénytelen

    • A felhasználó el lett távolítva a bérlőből.
    • A felhasználó hitelesítő adatai megváltoztak.
    • A munkameneteket az Entra-bérlő rendszergazdája visszavonta.
    • Az eszköz nem megfelelővé vált (ha felügyelt eszköz).
    • Az Entra-rendszergazdák által konfigurált egyéb Entra-szabályzatok, amelyek megkövetelik, hogy a felhasználók rendszeresen interaktív bejelentkezést használjanak.

Megoldás

Ezekben a forgatókönyvekben a felhasználóknak újra kell csatlakozniuk. Ez elindít egy interaktív bejelentkezési folyamatot a Microsoft Entra-ban, amely egy új frissítési jogkivonatot és hozzáférési jogkivonatot ad ki.

VPN-ügyfél hibája: A VPN-kapcsolat VPN-kapcsolat <nevének> tárcsázása, állapot = A VPN-platform nem aktiválta a kapcsolatot

A RasClient Eseménynapló a következő hibaüzenetet is láthatja: "A felhasználó <> tárcsázott egy VPN-kapcsolat neve> nevű <kapcsolatot, amely sikertelen volt. A hiba esetén visszaadott hibakód: 1460."

Ok

Az Azure VPN-ügyfél nem rendelkezik engedélyezve a "Háttéralkalmazások" alkalmazásengedélyekkel a Windows alkalmazásbeállításaiban.

Megoldás

  1. A Windowsban válassza a Beállítások – Adatvédelem –>> Háttéralkalmazások lehetőséget
  2. Az "Alkalmazások futtatása a háttérben" kapcsoló bekapcsolva

Hiba: "Fájlletöltési hiba a Cél URI nincs megadva"

Ok

Ezt az okozza, hogy helytelen átjárótípus van konfigurálva.

Megoldás

Az Azure VPN-átjáró típusának VPN-nek kell lennie, a VPN-típusnak pedig RouteBasednek kell lennie.

A VPN-csomag telepítője nem fejeződött be

Ok

Ezt a problémát az előző VPN-ügyféltelepítések okozhatják.

Megoldás

Törölje a régi VPN-ügyfélkonfigurációs fájlokat a C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> fájlból, és futtassa újra a VPN-ügyféltelepítőt.

A VPN-ügyfél hibernál vagy alszik

Megoldás

Ellenőrizze az alvó és hibernált beállításokat azon a számítógépen, amelyen a VPN-ügyfél fut.

Nem tudom feloldani saját DNS zónák rekordjait pont–hely ügyfelek privát feloldó használatával.

Tünet

Ha az Azure által biztosított (168.63.129.16) DNS-kiszolgálót használja a virtuális hálózaton, a pont–hely ügyfelek nem fogják tudni feloldani a saját DNS zónákban (beleértve a privát végpontokat) lévő rekordokat.

Képernyőkép az Azure VPN-ügyfélről, egy megnyitott PowerShell-ablakról és az Azure Portal DNS-kiszolgálóiról.

Ok

Az Azure DNS-kiszolgáló IP-címe (168.63.129.16) csak az Azure platformról oldható fel.

Megoldás

Az alábbi lépések segítenek saját DNS zónából származó rekordok feloldásában:

Ha a magánfeloldó bejövő IP-címét egyéni DNS-kiszolgálóként konfigurálja a virtuális hálózaton, azzal megoldhatja a privát DNS-zónában lévő rekordokat (beleértve a privát végpontokból létrehozottakat is). Vegye figyelembe, hogy a saját DNS zónákat a privát feloldóval rendelkező virtuális hálózathoz kell társítani.

Képernyőkép az Azure VPN-ügyfélről, egy megnyitott PowerShell-ablakról és a DNS-kiszolgálókra megnyitott Azure Portalról.

Alapértelmezés szerint a virtuális hálózaton konfigurált DNS-kiszolgálók le lesznek küldve a VPN-átjárón keresztül csatlakozó pont–hely ügyfelekre. Ezért a magánfeloldó bejövő IP-címének egyéni DNS-kiszolgálóként való konfigurálása a virtuális hálózaton automatikusan leküldi ezeket az IP-címeket az ügyfeleknek VPN DNS-kiszolgálóként, és zökkenőmentesen feloldhatja a privát DNS-zónákból származó rekordokat (beleértve a privát végpontokat is).