Pemecahan Masalah: Masalah koneksi titik-ke-situs Azure
Artikel ini mencantumkan masalah koneksi point-to-site umum yang mungkin Anda alami. Artikel ini juga membahas kemungkinan penyebab dan solusi untuk masalah ini.
Kesalahan klien VPN: Sertifikat tidak dapat ditemukan
Gejala
Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:
Sertifikat tidak bisa ditemukan yang bisa digunakan dengan Extensible Authentication Protocol ini. (Kesalahan 798)
Penyebab
Masalah ini terjadi jika sertifikat klien hilang dari Sertifikat - Pengguna Saat Ini\Pribadi\Sertifikat.
Solusi
Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:
Buka Pengelola Sertifikat: Klik Mulai, ketik kelola sertifikat komputer, lalu klik kelola sertifikat komputer dalam hasil pencarian.
Pastikan bahwa sertifikat berikut berada di lokasi yang benar:
Sertifikat Lokasi AzureClient.pfx Pengguna Saat Ini\Pribadi\Sertifikat AzureRoot.cer Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya Buka C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>, instal sertifikat secara manual (*.cer file) di penyimpanan pengguna dan komputer.
Untuk informasi selengkapnya tentang cara menginstal sertifikat klien, lihat Menghasilkan dan mengekspor sertifikat untuk koneksi dari point-to-site.
Catatan
Saat Anda mengimpor sertifikat klien, jangan pilih opsi Aktifkan perlindungan kunci privat yang kuat.
Koneksi jaringan antara komputer Anda dan server VPN tidak dapat dibuat karena server jarak jauh tidak merespons
Gejala
Saat Anda mencoba menyambungkan ke gateway jaringan virtual Azure menggunakan IKEv2 di Windows, Anda mendapatkan pesan kesalahan berikut:
Sambungan jaringan antara komputer Anda dan server VPN tidak bisa dibentuk karena server jarak jauh tidak merespons
Penyebab
Masalah terjadi jika versi Windows tidak memiliki dukungan untuk fragmentasi IKE.
Solusi
IKEv2 didukung pada Windows 10 dan Server 2016. Namun, untuk menggunakan IKEv2, Anda harus menginstal pembaruan dan menetapkan nilai kunci registrasi secara lokal. Versi OS sebelum Windows 10 tidak didukung dan hanya dapat menggunakan SSTP.
Untuk menyiapkan Windows 10, atau Server 2016 untuk IKEv2:
Instal pembaruan.
Versi OS Tanggal Angka/Tautan Server Windows 2016
Windows 10 Versi 160717 Januari 2018 KB4057142 Windows 10 Versi 1703 17 Januari 2018 KB4057144 Windows 10 Versi 1709 22 Maret 2018 KB4089848 Tetapkan nilai kunci registrasi. Membuat atau mengatur
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload
kunci REG_DWORD dalam registrasi ke 1.
Kesalahan klien VPN: Pesan yang diterima tidak terduga atau diformat dengan buruk
Gejala
Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:
Pesan yang diterima tidak diharapkan atau diformat dengan buruk. (Kesalahan 0x80090326)
Penyebab
Masalah ini terjadi jika salah satu kondisi berikut ini benar:
- Penggunaan rute yang ditentukan pengguna (UDR) dengan rute default pada Subnet Gateway diatur dengan tidak benar.
- Kunci publik sertifikat akar tidak diunggah ke gateway AZURE VPN.
- Kunci rusak atau kedaluwarsa.
Solusi
Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:
- Hapus UDR pada Subnet Gateway. Pastikan UDR meneruskan semua lalu lintas dengan benar.
- Periksa status sertifikat akar di portal Microsoft Azure untuk melihat apakah sertifikat tersebut dicabut. Jika tidak dicabut, coba hapus sertifikat akar dan muat ulang. Untuk informasi selengkapnya, lihat Membuat sertifikat.
Kesalahan klien VPN: Rantai sertifikat diproses tetapi dihentikan
Gejala
Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:
Rantai sertifikat diproses tetapi dihentikan dalam sertifikat akar yang tidak dipercaya oleh penyedia kepercayaan.
Solusi
Pastikan bahwa sertifikat berikut berada di lokasi yang benar:
Sertifikat Lokasi AzureClient.pfx Pengguna Saat Ini\Pribadi\Sertifikat Azuregateway-GUID.cloudapp.net Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya AzureGateway-GUID.cloudapp.net, AzureRoot.cer Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya Jika sertifikat sudah berada di lokasi, cobalah untuk menghapus sertifikat dan menginstalnya kembali. Sertifikat azuregateway-GUID.cloudapp.net berada dalam paket konfigurasi klien VPN yang Anda unduh dari portal Microsoft Azure. Anda dapat menggunakan arsip berkas untuk mengekstrak berkas dari paket.
Kesalahan pengunduhan file: Target URI tidak ditentukan
Gejala
Anda mungkin menerima pesan kesalahan berikut:
Kesalahan pengunduhan file. URI target tidak ditentukan.
Penyebab
Masalah ini terjadi karena jenis gateway yang salah.
Solusi
Jenis gateway VPN harus VPN,dan jenis VPN harus RouteBased.
Kesalahan klien VPN: Skrip kustom Azure VPN gagal
Gejala
Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:
Skrip kustom (untuk memperbarui tabel perutean Anda) gagal. (Kesalahan 8007026f)
Penyebab
Masalah ini mungkin terjadi jika Anda mencoba membuka koneksi VPN situs-ke-titik dengan menggunakan pintasan.
Solusi
Buka paket VPN secara langsung alih-alih membukanya dari pintasan.
Tidak dapat menginstal klien VPN
Penyebab
Diperlukan sertifikat tambahan untuk mempercayai gateway VPN untuk jaringan virtual Anda. Sertifikat disertakan dalam paket konfigurasi klien VPN yang dihasilkan dari portal Microsoft Azure.
Solusi
Ekstrak paket konfigurasi klien VPN, dan temukan berkas .cer ini. Untuk menginstal sertifikat, ikuti langkah-langkah berikut:
- Jalankan mmc.exe.
- Tambahkan snap-in Sertifikat.
- Pilih akun Komputer untuk komputer lokal.
- Klik kanan simpul Otoritas Sertifikasi Akar Tepercaya. Klik Impor Semua>Tugas, dan telusuri ke file .cer yang Anda ekstrak dari paket konfigurasi klien VPN.
- Mulai ulang komputer.
- Tidak bisa menginstal klien VPN.
Kesalahan portal Microsoft Azure: Gagal menyimpan gateway VPN, dan data tidak valid
Gejala
Ketika Anda mencoba menyimpan perubahan untuk gateway VPN di portal Microsoft Azure, Anda menerima pesan kesalahan berikut:
Gagal menyimpan gateway jaringan virtual <nama gateway>. Data untuk <ID sertifikat> tidak valid.
Penyebab
Masalah ini mungkin terjadi jika kunci publik sertifikat akar yang Anda unggah berisi karakter yang tidak valid, seperti spasi.
Solusi
Pastikan bahwa data dalam sertifikat tidak berisi karakter yang tidak valid, seperti pemisah baris (pengangkutan kembali). Seluruh nilai harus satu baris panjang. Teks berikut adalah contoh sertifikat:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Kesalahan portal Microsoft Azure: Gagal menyimpan gateway VPN, dan nama sumber daya tidak valid
Gejala
Ketika Anda mencoba menyimpan perubahan untuk gateway VPN di portal Microsoft Azure, Anda menerima pesan kesalahan berikut:
Gagal menyimpan gateway jaringan virtual <nama gateway>. Nama sumber daya <nama sertifikat yang Anda coba unggah> tidak valid.
Penyebab
Masalah ini terjadi karena nama sertifikat memuat karakter yang tidak-valid, seperti spasi.
Kesalahan portal Microsoft Azure: Kesalahan pengunduhan file paket VPN 503
Gejala
Ketika Anda mencoba mengunduh paket konfigurasi klien VPN, Anda menerima pesan kesalahan berikut:
Gagal mengunduh file. Detail kesalahan: kesalahan 503. Server sibuk.
Solusi
Kesalahan ini bisa disebabkan oleh masalah jaringan sementara. Coba unduh paket VPN lagi setelah beberapa menit.
Pemutakhiran Azure VPN Gateway: Semua klien titik-ke-situs tidak dapat tersambung
Penyebab
Jika sertifikat lebih dari 50 persen selama masa pakainya, sertifikat digulirkan.
Solusi
Untuk mengatasi masalah ini, mengunduh ulang dan menyebarkan ulang paket titik-ke-situs pada semua klien.
Terlalu banyak klien VPN yang terhubung sekaligus
Jumlah maksimum sambungan yang diperbolehkan tercapai. Anda dapat melihat jumlah total klien yang terhubung di portal Microsoft Azure.
Klien VPN tidak dapat mengakses berbagi file jaringan
Gejala
Klien VPN telah terhubung ke jaringan virtual Azure. Namun, klien tidak dapat mengakses berbagi jaringan.
Penyebab
Protokol SMB digunakan untuk akses berbagi file. Ketika koneksi dimulai, klien VPN menambahkan kredensial sesi, dan kegagalan terjadi. Setelah koneksi dibuat, klien dipaksa untuk menggunakan kredensial cache untuk autentikasi Kerberos. Proses ini memulai kueri ke Pusat Distribusi Utama (pengontrol domain) untuk mendapatkan token. Karena klien tersambung dari Internet, klien mungkin tidak dapat menjangkau pengontrol domain. Oleh karena itu, klien tidak dapat melakukan failover dari Kerberos ke NTLM.
Satu-satunya waktu klien dimintai kredensial adalah ketika memiliki sertifikat yang valid (dengan SAN=UPN) yang dikeluarkan oleh domain tempat klien bergabung. Klien juga harus terhubung secara fisik ke jaringan domain. Dalam hal ini, klien mencoba menggunakan sertifikat dan menjangkau pengontrol domain. Kemudian Pusat Distribusi Utama mengembalikan kesalahan "KDC_ERR_C_PRINCIPAL_UNKNOWN". Klien terpaksa gagal ke NTLM.
Solusi
Untuk mengatasi masalah tersebut, nonaktifkan penembolokan kredensial domain dari subkunci registrasi berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
Tidak dapat menemukan koneksi VPN titik-ke-situs di Windows setelah menginstal ulang klien VPN
Gejala
Anda menghapus koneksi VPN point-to-site lalu menginstal ulang klien VPN. Dalam situasi ini, koneksi VPN tidak berhasil dikonfigurasi. Anda tidak melihat koneksi VPN di pengaturan Koneksi jaringan di Windows.
Solusi
Untuk mengatasi masalah tersebut, hapus file konfigurasi klien VPN lama dari C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId>, lalu jalankan penginstal klien VPN lagi.
Klien VPN titik-ke-situs tidak dapat menyelesaikan FQDN sumber daya di domain lokal
Gejala
Saat klien tersambung ke Azure dengan menggunakan koneksi VPN titik-ke-situs, klien tidak dapat menyelesaikan FQDN sumber daya di domain lokal Anda.
Penyebab
Klien VPN point-to-site biasanya menggunakan server Azure DNS yang dikonfigurasi di jaringan virtual Azure. Server Azure DNS lebih diutamakan daripada server DNS lokal yang dikonfigurasi di klien (kecuali metrik antarmuka Ethernet lebih rendah), sehingga semua kueri DNS dikirim ke Azure DNS server. Jika server Azure DNS tidak memiliki rekaman untuk sumber daya lokal, kueri gagal.
Solusi
Untuk mengatasi masalah tersebut, pastikan bahwa server Azure DNS yang digunakan di jaringan virtual Azure bisa mengatasi catatan DNS untuk sumber daya lokal. Untuk melakukan ini, Anda bisa menggunakan Penerus DNS atau penerus bersyarat. Untuk informasi selengkapnya, lihat Resolusi nama menggunakan server DNS Anda sendiri.
Koneksi VPN titik-ke-situs dibuat, tetapi Anda masih tidak dapat tersambung ke sumber daya Azure
Penyebab
Masalah ini mungkin terjadi jika klien VPN tidak mendapatkan rute dari gateway Vpn Azure.
Solusi
Untuk mengatasi masalah ini, reset gateway VPN Azure. Klien VPN Point-to-Site harus diunduh lagi setelah lalu lintas komunikasi jaringan virtual berhasil dikonfigurasi untuk memastikan rute baru diunduh ke klien.
Kesalahan: "Fungsi pencabutan tidak dapat memeriksa pencabutan karena server pencabutan sedang offline. (0x80092013 Kesalahan)"
Penyebab
Pesan kesalahan ini terjadi jika klien tidak dapat mengakses http://crl3.digicert.com/ssca-sha2-g1.crl dan http://crl4.digicert.com/ssca-sha2-g1.crl. Pemeriksaan pencabutan memerlukan akses ke dua situs ini. Masalah ini biasanya terjadi pada klien yang memiliki server proksi yang dikonfigurasi. Di beberapa lingkungan, jika permintaan tidak melalui server proksi, permintaan akan ditolak di firewall tepi.
Solusi
Periksa pengaturan server proksi, pastikan bahwa klien dapat mengakses http://crl3.digicert.com/ssca-sha2-g1.crl dan http://crl4.digicert.com/ssca-sha2-g1.crl.
Kesalahan Klien VPN: Koneksi dicegah karena kebijakan yang dikonfigurasi pada server RAS/VPN Anda. (Kesalahan 812)
Penyebab
Kesalahan ini terjadi jika server RADIUS yang Anda gunakan untuk mengautentikasi klien VPN memiliki pengaturan yang salah, atau Azure Gateway tidak dapat menjangkau server Radius.
Solusi
Pastikan bahwa server RADIUS dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Mengintegrasikan autentikasi RADIUS dengan Azure Multi-Factor Authentication Server.
"Kesalahan 405" ketika Anda mengunduh sertifikat root dari VPN Gateway
Penyebab
Sertifikat akar belum diinstal. Sertifikat akar diinstal di penyimpanan Sertifikat tepercaya klien.
Kesalahan Klien VPN: Koneksi jarak jauh tidak dibuat karena terowongan VPN yang dicoba gagal. (Kesalahan 800)
Penyebab
Driver NIC sudah ketinggalan zaman.
Solusi
Perbarui driver NIC:
- Klik Mulai,ketik Manajer Perangkat, dan pilih dari daftar hasil. Jika Anda dimintai kata sandi atau konfirmasi administrator, ketikkan kata sandi atau berikan konfirmasi.
- Di kategori Adaptor jaringan, cari NIC yang ingin Anda perbarui.
- Klik ganda nama perangkat, pilih Perbarui driver, pilih Cari perangkat lunak driver yang diperbarui secara otomatis.
- Jika Windows tidak menemukan driver baru, Anda bisa coba mencarinya di situs web produsen perangkat dan mengikuti instruksi mereka.
- Mulai ulang komputer, lalu coba sambungkan kembali.
Kesalahan Klien VPN: Memutar koneksi VPN <Nama Koneksi VPN>, Status = Platform VPN tidak memicu koneksi
Anda mungkin juga melihat kesalahan berikut dalam Pemantau Peristiwa dari RasClient: "Pengguna <> memanggil koneksi bernama <VPN Koneksi ion Name> yang telah gagal. Kode kesalahan yang dikembalikan pada kegagalan adalah 1460."
Penyebab
Klien Azure VPN tidak mengaktifkan Izin Aplikasi "Aplikasi latar belakang" di App Pengaturan untuk Windows.
Solusi
- Buka Start, lalu pilih Pengaturan -> Privasi -> Aplikasi latar belakang
- Aktifkan "Izinkan aplikasi berjalan di latar belakang"
Kesalahan: ‘Kesalahan pengunduhan file Target URI tidak ditentukan’
Penyebab
Ini disebabkan oleh jenis gateway yang salah dikonfigurasi.
Solusi
Jenis gateway VPN harus VPN dan jenis VPN harus RouteBased.
Alat penginstal paket VPN tidak lengkap
Penyebab
Masalah ini dapat disebabkan oleh instalasi klien VPN sebelumnya.
Solusi
Untuk mengatasi masalah tersebut, hapus file konfigurasi klien VPN lama dari C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId>, lalu jalankan penginstal klien VPN lagi.
Klien VPN berhibernasi atau tidur
Solusi
Periksa setelan tidur dan hibernasi di komputer yang dijalankan klien VPN.
Saya tidak dapat mengatasi rekaman di Zona DNS Privat menggunakan Pemecah Masalah Privat dari klien titik-ke-situs.
Gejala
Saat Anda menggunakan server DNS yang disediakan Azure (168.63.129.16) di jaringan virtual, klien point-to-site tidak akan dapat menyelesaikan rekaman yang ada di Zona DNS Privat (termasuk titik akhir privat).
Penyebab
Alamat IP server Azure DNS (168.63.129.16) hanya dapat diselesaikan dari platform Azure.
Solusi
Langkah-langkah berikut membantu Anda mengatasi rekaman dari zona DNS Privat:
Mengonfigurasi alamat IP masuk penyelesai privat sebagai server DNS kustom di jaringan virtual membantu Anda menyelesaikan rekaman di zona DNS privat (termasuk yang dibuat dari Titik Akhir Privat). Perhatikan zona DNS Privat harus dikaitkan dengan jaringan virtual yang memiliki Pemecah Masalah Privat.
Secara default, server DNS yang dikonfigurasi pada jaringan virtual akan didorong ke klien titik-ke-situs yang terhubung melalui gateway VPN. Oleh karena itu, mengonfigurasi alamat IP masuk pemecah masalah privat sebagai server DNS kustom di jaringan virtual akan secara otomatis mendorong alamat IP ini ke klien sebagai server DNS VPN dan Anda dapat menyelesaikan rekaman dengan mulus dari zona DNS privat (termasuk titik akhir privat).