Hibaelhárítás: Azure pont–hely kapcsolati problémák

Ez a cikk az esetlegesen tapasztalt gyakori pont–hely kapcsolati problémákat sorolja fel. Emellett a problémák lehetséges okait és megoldásait is ismerteti.

VPN-ügyfél hibája: Nem található tanúsítvány

Tünet

Amikor a VPN-ügyfél használatával próbál csatlakozni egy Azure-beli virtuális hálózathoz, a következő hibaüzenet jelenik meg:

Nem található olyan tanúsítvány, amely ezzel az bővíthető hitelesítési protokollal használható. (798-os hiba)

Ok

Ez a probléma akkor fordul elő, ha az ügyféltanúsítvány hiányzik a tanúsítványokból – Aktuális felhasználó\Személyes\Tanúsítványok.

Megoldás

A probléma megoldásához kövesse ezeket a lépéseket:

1. A Tanúsítványkezelő megnyitása: Kattintson a Start gombra, írja be a számítógéptanúsítványok kezelését, majd kattintson a számítógéptanúsítványok kezelésére a keresési eredményben.

2. Győződjön meg arról, hogy a következő tanúsítványok a megfelelő helyen találhatók:

   Tanúsítvány	Hely
   AzureClient.pfx	Aktuális felhasználó\Személyes\Tanúsítványok
   AzureRoot.cer	Helyi számítógép\Megbízható legfelső szintű hitelesítésszolgáltatók

3. Lépjen a C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Csatlakozás ions\Cm<GUID elemre>, és telepítse manuálisan a tanúsítványt (*.cer fájlt) a felhasználó és a számítógép tárolójába.

Az ügyféltanúsítvány telepítéséről további információt a pont–hely kapcsolatok tanúsítványainak létrehozása és exportálása című témakörben talál.

Feljegyzés

Az ügyféltanúsítvány importálásakor ne válassza az Erős titkos kulcsvédelem engedélyezése lehetőséget.

A számítógép és a VPN-kiszolgáló közötti hálózati kapcsolat nem hozható létre, mert a távoli kiszolgáló nem válaszol

Tünet

Amikor az IKEv2 használatával próbál csatlakozni egy Azure-beli virtuális hálózati átjáróhoz Windows rendszeren, a következő hibaüzenet jelenik meg:

A számítógép és a VPN-kiszolgáló közötti hálózati kapcsolat nem hozható létre, mert a távoli kiszolgáló nem válaszol

Ok

A probléma akkor fordul elő, ha a Windows verziója nem támogatja az IKE töredezettségét.

Megoldás

Az IKEv2 Windows 10 és Server 2016 rendszeren támogatott. Ahhoz azonban, hogy használni tudja az IKEv2-t, helyileg telepítenie kell a frissítéseket, és meg kell adnia a beállításkulcs értékét. A Windows 10 előtti operációsrendszer-verziók nem támogatottak, és csak SSTP-t használhatnak.

A Windows 10 vagy a Server 2016 előkészítése az IKEv2-hez:

1. Telepítse a frissítést.

   Operációs rendszer verziója	Dátum	Szám/hivatkozás
   Windows Server 2016 Windows 10, 1607-es verzió	2018. január 17.	KB4057142
   Windows 10, 1703-as verzió	2018. január 17.	KB4057144
   Windows 10, 1709-es verzió	2018. március 22.	KB4089848

2. Adja meg a beállításkulcs értékét. Hozzon létre vagy állítson be HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD kulcsot a beállításjegyzékben 1 értékre.

VPN-ügyfél hibája: A kapott üzenet váratlan vagy rosszul formázott volt

Tünet

Amikor a VPN-ügyfél használatával próbál csatlakozni egy Azure-beli virtuális hálózathoz, a következő hibaüzenet jelenik meg:

A kapott üzenet váratlan vagy rosszul formázott volt. (Hiba 0x80090326)

Ok

Ez a probléma akkor fordul elő, ha az alábbi feltételek egyike teljesül:

• A felhasználó által megadott útvonalak (UDR) használata az átjáróalhálózat alapértelmezett útvonalával helytelenül van beállítva.
• A főtanúsítvány nyilvános kulcsa nincs feltöltve az Azure VPN Gatewaybe.
• A kulcs sérült vagy lejárt.

Megoldás

A probléma megoldásához kövesse ezeket a lépéseket:

1. Távolítsa el az UDR-t az átjáró alhálózatán. Győződjön meg arról, hogy az UDR megfelelően továbbítja az összes forgalmat.
2. Ellenőrizze a főtanúsítvány állapotát az Azure Portalon, és ellenőrizze, hogy visszavonták-e. Ha nincs visszavonva, próbálja meg törölni a főtanúsítványt, és töltse fel újra. További információ: Tanúsítványok létrehozása.

VPN-ügyfél hibája: A tanúsítványlánc feldolgozva, de leállt

Tünet

Amikor a VPN-ügyfél használatával próbál csatlakozni egy Azure-beli virtuális hálózathoz, a következő hibaüzenet jelenik meg:

A tanúsítványlánc feldolgozva, de a megbízhatósági szolgáltató által nem megbízható főtanúsítványban végződik.

Megoldás

1. Győződjön meg arról, hogy a következő tanúsítványok a megfelelő helyen találhatók:

   Tanúsítvány	Hely
   AzureClient.pfx	Aktuális felhasználó\Személyes\Tanúsítványok
   Azuregateway-GUID.cloudapp.net	Jelenlegi felhasználó\Megbízható legfelső szintű hitelesítésszolgáltatók
   AzureGateway-GUID.cloudapp.net, AzureRoot.cer	Helyi számítógép\Megbízható legfelső szintű hitelesítésszolgáltatók

2. Ha a tanúsítványok már a helyszínen vannak, próbálja meg törölni és újratelepíteni a tanúsítványokat. Az azuregateway-GUID.cloudapp.net tanúsítvány az Azure Portalról letöltött VPN-ügyfélkonfigurációs csomagban található. A fájlarchívumok segítségével kinyerheti a fájlokat a csomagból.

Fájlletöltési hiba: A cél URI nincs megadva

Tünet

A következő hibaüzenet jelenik meg:

Fájlletöltési hiba. A cél URI nincs megadva.

Ok

Ez a probléma helytelen átjárótípus miatt jelentkezik.

Megoldás

A VPN-átjáró típusának VPN-nek, a VPN-típusnak pedig RouteBasednek kell lennie.

VPN-ügyfél hibája: Az Egyéni Azure VPN-szkript nem sikerült

Tünet

Amikor a VPN-ügyfél használatával próbál csatlakozni egy Azure-beli virtuális hálózathoz, a következő hibaüzenet jelenik meg:

Az egyéni szkript (az útválasztási tábla frissítéséhez) nem sikerült. (8007026f hiba)

Ok

Ez a probléma akkor fordulhat elő, ha egy parancsikon használatával próbálja megnyitni a helyek közötti VPN-kapcsolatot.

Megoldás

Nyissa meg közvetlenül a VPN-csomagot a parancsikon megnyitása helyett.

A VPN-ügyfél nem telepíthető

Ok

További tanúsítványra van szükség ahhoz, hogy megbízható legyen a VPN-átjáró a virtuális hálózatban. A tanúsítvány szerepel az Azure Portalról létrehozott VPN-ügyfélkonfigurációs csomagban.

Megoldás

Bontsa ki a VPN-ügyfél konfigurációs csomagját, és keresse meg a .cer fájlt. A tanúsítvány telepítéséhez kövesse az alábbi lépéseket:

1. Nyissa meg a mmc.exe.
2. Adja hozzá a Tanúsítványok beépülő modult.
3. Válassza ki a helyi számítógép Számítógép fiókját.
4. Kattintson a jobb gombbal a megbízható legfelső szintű hitelesítésszolgáltatók csomópontra . Kattintson a Teljes feladat>importálása elemre, és keresse meg a VPN-ügyfélkonfigurációs csomagból kinyert .cer fájlt.
5. Indítsa újra a számítógépet.
6. Próbálja meg telepíteni a VPN-ügyfelet.

Azure Portal-hiba: Nem sikerült menteni a VPN-átjárót, és az adatok érvénytelenek

Tünet

Amikor megpróbálja menteni a VPN-átjáró módosításait az Azure Portalon, a következő hibaüzenet jelenik meg:

Nem sikerült menteni a virtuális hálózati átjáró átjáró <nevét>. A tanúsítványazonosító <> adatai érvénytelenek.

Ok

Ez a probléma akkor fordulhat elő, ha a feltöltött főtanúsítvány nyilvános kulcsa érvénytelen karaktert, például szóközt tartalmaz.

Megoldás

Győződjön meg arról, hogy a tanúsítvány adatai nem tartalmaznak érvénytelen karaktereket, például sortöréseket (kocsivisszaadásokat). A teljes értéknek egy hosszú sornak kell lennie. A következő szöveg a tanúsítvány mintája:

-----BEGIN CERTIFICATE-----
MIIC5zCCAc+gAwIBAgIQFSwsLuUrCIdHwI3hzJbdBjANBgkqhkiG9w0BAQsFADAW
MRQwEgYDVQQDDAtQMlNSb290Q2VydDAeFw0xNzA2MTUwMjU4NDZaFw0xODA2MTUw
MzE4NDZaMBYxFDASBgNVBAMMC1AyU1Jvb3RDZXJ0MIIBIjANBgkqhkiG9w0BAQEF
AAOCAQ8AMIIBCgKCAQEAz8QUCWCxxxTrxF5yc5uUpL/bzwC5zZ804ltB1NpPa/PI
sa5uwLw/YFb8XG/JCWxUJpUzS/kHUKFluqkY80U+fAmRmTEMq5wcaMhp3wRfeq+1
G9OPBNTyqpnHe+i54QAnj1DjsHXXNL4AL1N8/TSzYTm7dkiq+EAIyRRMrZlYwije
407ChxIp0stB84MtMShhyoSm2hgl+3zfwuaGXoJQwWiXh715kMHVTSj9zFechYd7
5OLltoRRDyyxsf0qweTFKIgFj13Hn/bq/UJG3AcyQNvlCv1HwQnXO+hckVBB29wE
sF8QSYk2MMGimPDYYt4ZM5tmYLxxxvGmrGhc+HWXzMeQIDAQABozEwLzAOBgNVHQ8B
Af8EBAMCAgQwHQYDVR0OBBYEFBE9zZWhQftVLBQNATC/LHLvMb0OMA0GCSqGSIb3
DQEBCwUAA4IBAQB7k0ySFUQu72sfj3BdNxrXSyOT4L2rADLhxxxiK0U6gHUF6eWz
/0h6y4mNkg3NgLT3j/WclqzHXZruhWAXSF+VbAGkwcKA99xGWOcUJ+vKVYL/kDja
gaZrxHlhTYVVmwn4F7DWhteFqhzZ89/W9Mv6p180AimF96qDU8Ez8t860HQaFkU6
2Nw9ZMsGkvLePZZi78yVBDCWMogBMhrRVXG/xQkBajgvL5syLwFBo2kWGdC+wyWY
U/Z+EK9UuHnn3Hkq/vXEzRVsYuaxchta0X2UNRzRq+o706l+iyLTpe6fnvW6ilOi
e8Jcej7mzunzyjz4chN0/WVF94MtxbUkLkqP
-----END CERTIFICATE-----

Azure Portal-hiba: Nem sikerült menteni a VPN-átjárót, és az erőforrás neve érvénytelen

Tünet

Amikor megpróbálja menteni a VPN-átjáró módosításait az Azure Portalon, a következő hibaüzenet jelenik meg:

Nem sikerült menteni a virtuális hálózati átjáró átjáró <nevét>. A feltölteni> kívánt erőforrásnév-tanúsítvány <neve érvénytelen.

Ok

Ez a probléma azért fordul elő, mert a tanúsítvány neve érvénytelen karaktert, például szóközt tartalmaz.

Azure Portal-hiba: VPN-csomagfájl letöltési hibája 503

Tünet

A VPN-ügyfél konfigurációs csomagjának letöltésekor a következő hibaüzenet jelenik meg:

Nem sikerült letölteni a fájlt. Hiba részletei: 503-os hiba. A kiszolgáló foglalt.

Megoldás

Ezt a hibát ideiglenes hálózati probléma okozhatja. Néhány perc múlva próbálja meg újra letölteni a VPN-csomagot.

Azure VPN Gateway-frissítés: Minden pont–hely ügyfél nem tud csatlakozni

Ok

Ha a tanúsítvány élettartama meghaladja az 50 százalékot, a tanúsítvány át lesz állítva.

Megoldás

A probléma megoldásához telepítse újra a pont–hely csomagot az összes ügyfélen.

Túl sok VPN-ügyfél csatlakozik egyszerre

A megengedett kapcsolatok maximális száma elérhető. A csatlakoztatott ügyfelek teljes számát az Azure Portalon tekintheti meg.

A VPN-ügyfél nem fér hozzá a hálózati fájlmegosztásokhoz

Tünet

A VPN-ügyfél csatlakozott az Azure-beli virtuális hálózathoz. Az ügyfél azonban nem fér hozzá a hálózati megosztásokhoz.

Ok

Az SMB protokoll a fájlmegosztási hozzáféréshez használatos. A kapcsolat indításakor a VPN-ügyfél hozzáadja a munkamenet hitelesítő adatait, és a hiba bekövetkezik. A kapcsolat létrejötte után az ügyfélnek a Kerberos-hitelesítés gyorsítótár-hitelesítő adatait kell használnia. Ez a folyamat lekérdezéseket kezdeményez a kulcsterjesztési központba (egy tartományvezérlőre) egy jogkivonat lekéréséhez. Mivel az ügyfél az internetről csatlakozik, előfordulhat, hogy nem éri el a tartományvezérlőt. Ezért az ügyfél nem tud feladatátvételt végrehajtani Kerberosról NTLM-be.

Az ügyfél csak akkor kéri a hitelesítő adatokat, ha rendelkezik érvényes tanúsítvánnyal (SAN=UPN-nel), amelyet az a tartomány állított ki, amelyhez csatlakozott. Az ügyfélnek fizikailag is csatlakoznia kell a tartományi hálózathoz. Ebben az esetben az ügyfél megpróbálja használni a tanúsítványt, és megkísérli elérni a tartományvezérlőt. Ezután a Kulcsterjesztési központ egy "KDC_ERR_C_PRINCIPAL_UNKNOWN" hibát ad vissza. Az ügyfélnek át kell feladatátvételt végrehajtania az NTLM-be.

Megoldás

A probléma megoldásához tiltsa le a tartomány hitelesítő adatainak gyorsítótárazását a következő beállításjegyzék-alkulcsból:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Nem található a pont–hely VPN-kapcsolat a Windowsban a VPN-ügyfél újratelepítése után

Tünet

Távolítsa el a pont–hely VPN kapcsolatot, majd telepítse újra a VPN-ügyfelet. Ebben az esetben a VPN-kapcsolat nincs sikeresen konfigurálva. A VPN-kapcsolat nem jelenik meg a Windows Hálózati kapcsolatok beállításai között.

Megoldás

A probléma megoldásához törölje a régi VPN-ügyfélkonfigurációs fájlokat a C:\Users\UserName\AppData\Roaming\Microsoft\Network\Csatlakozás ions<VirtualNetworkId> fájlból, majd futtassa újra a VPN-ügyféltelepítőt.

A pont–hely VPN-ügyfél nem tudja feloldani a helyi tartományban lévő erőforrások teljes tartománynevét

Tünet

Ha az ügyfél pont–hely VPN-kapcsolattal csatlakozik az Azure-hoz, nem tudja feloldani a helyi tartomány erőforrásainak teljes tartománynevét.

Ok

A pont–hely VPN-ügyfél általában az Azure-beli virtuális hálózaton konfigurált Azure DNS-kiszolgálókat használja. Az Azure DNS-kiszolgálók elsőbbséget élveznek az ügyfélben konfigurált helyi DNS-kiszolgálókkal szemben (kivéve, ha az Ethernet-interfész metrikája alacsonyabb), így a rendszer minden DNS-lekérdezést elküld az Azure DNS-kiszolgálóknak. Ha az Azure DNS-kiszolgálók nem rendelkeznek a helyi erőforrások rekordjaival, a lekérdezés meghiúsul.

Megoldás

A probléma megoldásához győződjön meg arról, hogy az Azure-beli virtuális hálózaton használt Azure DNS-kiszolgálók meg tudják oldani a helyi erőforrások DNS-rekordjait. Ehhez használhat DNS-továbbítókat vagy feltételes továbbítókat. További információ: Névfeloldás saját DNS-kiszolgáló használatával.

Létrejött a pont–hely VPN-kapcsolat, de továbbra sem tud csatlakozni az Azure-erőforrásokhoz

Ok

Ez a probléma akkor fordulhat elő, ha a VPN-ügyfél nem kapja meg az útvonalakat az Azure VPN Gatewayből.

Megoldás

A probléma megoldásához állítsa alaphelyzetbe az Azure VPN Gatewayt. Az új útvonalak használatának biztosításához a pont–hely VPN-ügyfeleket újra le kell tölteni a virtuális hálózatok közötti társviszony-létesítés sikeres konfigurálása után.

Hiba: "A visszavonási függvény nem tudta ellenőrizni a visszavonást, mert a visszavonási kiszolgáló offline állapotban volt. (Hiba 0x80092013)"

Okok

Ez a hibaüzenet akkor jelenik meg, ha az ügyfél nem tud hozzáférni http://crl3.digicert.com/ssca-sha2-g1.crl és http://crl4.digicert.com/ssca-sha2-g1.crl. A visszavonási ellenőrzéshez hozzáférésre van szükség ehhez a két webhelyhez. Ez a probléma általában azon az ügyfélen fordul elő, amelyen proxykiszolgáló van konfigurálva. Bizonyos környezetekben, ha a kérések nem a proxykiszolgálón haladnak át, a rendszer megtagadja a kéréseket a peremhálózati tűzfalon.

Megoldás

Ellenőrizze a proxykiszolgáló beállításait, győződjön meg arról, hogy az ügyfél hozzáfér http://crl3.digicert.com/ssca-sha2-g1.crl és http://crl4.digicert.com/ssca-sha2-g1.crl.

VPN-ügyfélhiba: A kapcsolat a RAS/VPN-kiszolgálón konfigurált szabályzat miatt lett megakadályozva. (812-s hiba)

Ok

Ez a hiba akkor fordul elő, ha a VPN-ügyfél hitelesítéséhez használt RADIUS-kiszolgáló helytelen beállításokkal rendelkezik, vagy az Azure Gateway nem éri el a Radius-kiszolgálót.

Megoldás

Győződjön meg arról, hogy a RADIUS-kiszolgáló megfelelően van konfigurálva. További információ: RADIUS-hitelesítés integrálása az Azure Multi-Factor Authentication-kiszolgálóval.

"405-ös hiba" a VPN Gateway főtanúsítványának letöltésekor

Ok

A főtanúsítvány nincs telepítve. A főtanúsítvány telepítve van az ügyfél megbízható tanúsítványtárolójában.

VPN-ügyfélhiba: A távoli kapcsolat nem jött létre, mert a megkísérelt VPN-alagutak sikertelenek. (800-ás hiba)

Ok

A hálózati adapter illesztőprogramja elavult.

Megoldás

Frissítse a hálózati adapter illesztőprogramot:

1. Kattintson a Start gombra, írja be a Eszközkezelő, és jelölje ki az eredmények listájából. Ha a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy adjon meg megerősítést.
2. A Hálózati adapterek kategóriában keresse meg a frissíteni kívánt hálózati adaptert.
3. Kattintson duplán az eszköz nevére, válassza az Illesztőprogram frissítése, majd a Frissített illesztőprogram automatikus keresése lehetőséget.
4. Ha a Windows nem talál új illesztőprogramot, megpróbálhat keresni egyet az eszköz gyártójának webhelyén, és kövesse az utasításokat.
5. Indítsa újra a számítógépet, és próbálkozzon újra a kapcsolattal.

VPN-ügyfél hibája: A VPN-kapcsolat <VPN-Csatlakozás ion nevének> tárcsázása, állapot = A VPN-platform nem aktiválta a kapcsolatot

A RasClient Eseménynapló a következő hibaüzenetet is láthatja: "A felhasználó <> tárcsázott egy VPN Csatlakozás ion Name> nevű <kapcsolatot, amely nem sikerült. A hiba esetén visszaadott hibakód: 1460."

Ok

Az Azure VPN-ügyfél nem rendelkezik engedélyezve a "Háttéralkalmazások" alkalmazásengedélyekkel a Windows alkalmazás Gépház.

Megoldás

1. Windows rendszerben nyissa meg a Gépház –> Adatvédelem –> Háttéralkalmazások lehetőséget
2. Az "Alkalmazások futtatása a háttérben" kapcsoló bekapcsolva

Hiba: "Fájlletöltési hiba a Cél URI nincs megadva"

Ok

Ezt az okozza, hogy helytelen átjárótípus van konfigurálva.

Megoldás

Az Azure VPN-átjáró típusának VPN-nek kell lennie, a VPN-típusnak pedig RouteBasednek kell lennie.

A VPN-csomag telepítője nem fejeződött be

Ok

Ezt a problémát az előző VPN-ügyféltelepítések okozhatják.

Megoldás

Törölje a régi VPN-ügyfélkonfigurációs fájlokat a C:\Users\UserName\AppData\Roaming\Microsoft\Network\Csatlakozás ions<VirtualNetworkId> fájlból, és futtassa újra a VPN-ügyféltelepítőt.

A VPN-ügyfél hibernál vagy alszik

Megoldás

Ellenőrizze az alvó és hibernált beállításokat azon a számítógépen, amelyen a VPN-ügyfél fut.

Nem tudom feloldani saját DNS zónák rekordjait pont–hely ügyfelek privát feloldó használatával.

Tünet

Ha az Azure által biztosított (168.63.129.16) DNS-kiszolgálót használja a virtuális hálózaton, a pont–hely ügyfelek nem fogják tudni feloldani a saját DNS zónákban (beleértve a privát végpontokat) lévő rekordokat.

Ok

Az Azure DNS-kiszolgáló IP-címe (168.63.129.16) csak az Azure platformról oldható fel.

Megoldás

Az alábbi lépések segítenek saját DNS zónából származó rekordok feloldásában:

Ha a magánfeloldó bejövő IP-címét egyéni DNS-kiszolgálóként konfigurálja a virtuális hálózaton, azzal megoldhatja a privát DNS-zónában lévő rekordokat (beleértve a privát végpontokból létrehozottakat is). Vegye figyelembe, hogy a saját DNS zónákat a privát feloldóval rendelkező virtuális hálózathoz kell társítani.

Alapértelmezés szerint a virtuális hálózaton konfigurált DNS-kiszolgálók le lesznek küldve a VPN-átjárón keresztül csatlakozó pont–hely ügyfelekre. Ezért a magánfeloldó bejövő IP-címének egyéni DNS-kiszolgálóként való konfigurálása a virtuális hálózaton automatikusan leküldi ezeket az IP-címeket az ügyfeleknek VPN DNS-kiszolgálóként, és zökkenőmentesen feloldhatja a privát DNS-zónákból származó rekordokat (beleértve a privát végpontokat is).