Pemecahan Masalah: Masalah koneksi titik-ke-situs Azure

Artikel ini mencantumkan masalah koneksi point-to-site umum yang mungkin Anda alami. Artikel ini juga membahas kemungkinan penyebab dan solusi untuk masalah ini.

Kesalahan klien VPN: Sertifikat tidak dapat ditemukan

Gejala

Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:

Sertifikat tidak bisa ditemukan yang bisa digunakan dengan Extensible Authentication Protocol ini. (Kesalahan 798)

Penyebab

Masalah ini terjadi jika sertifikat klien hilang dari Sertifikat - Pengguna Saat Ini\Pribadi\Sertifikat.

Solusi

Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:

1. Buka Pengelola Sertifikat: Klik Mulai, ketik kelola sertifikat komputer, lalu klik kelola sertifikat komputer dalam hasil pencarian.

2. Pastikan bahwa sertifikat berikut berada di lokasi yang benar:

   Sertifikat	Lokasi
   AzureClient.pfx	Pengguna Saat Ini\Pribadi\Sertifikat
   AzureRoot.cer	Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya

3. Buka C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>, instal sertifikat secara manual (*.cer file) di penyimpanan pengguna dan komputer.

Untuk informasi selengkapnya tentang cara menginstal sertifikat klien, lihat Menghasilkan dan mengekspor sertifikat untuk koneksi dari point-to-site.

Catatan

Saat Anda mengimpor sertifikat klien, jangan pilih opsi Aktifkan perlindungan kunci privat yang kuat.

Koneksi jaringan antara komputer Anda dan server VPN tidak dapat dibuat karena server jarak jauh tidak merespons

Gejala

Saat Anda mencoba menyambungkan ke gateway jaringan virtual Azure menggunakan IKEv2 di Windows, Anda mendapatkan pesan kesalahan berikut:

Sambungan jaringan antara komputer Anda dan server VPN tidak bisa dibentuk karena server jarak jauh tidak merespons

Penyebab

Masalah terjadi jika versi Windows tidak memiliki dukungan untuk fragmentasi IKE.

Solusi

IKEv2 didukung pada Windows 10 dan Server 2016. Namun, untuk menggunakan IKEv2, Anda harus menginstal pembaruan dan menetapkan nilai kunci registrasi secara lokal. Versi OS sebelum Windows 10 tidak didukung dan hanya dapat menggunakan SSTP.

Untuk menyiapkan Windows 10, atau Server 2016 untuk IKEv2:

1. Instal pembaruan.

   Versi OS	Tanggal	Angka/Tautan
   Server Windows 2016 Windows 10 Versi 1607	17 Januari 2018	KB4057142
   Windows 10 Versi 1703	17 Januari 2018	KB4057144
   Windows 10 Versi 1709	22 Maret 2018	KB4089848

2. Tetapkan nilai kunci registrasi. Membuat atau mengatur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload kunci REG_DWORD dalam registrasi ke 1.

Kesalahan klien VPN: Pesan yang diterima tidak terduga atau diformat dengan buruk

Gejala

Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:

Pesan yang diterima tidak diharapkan atau diformat dengan buruk. (Kesalahan 0x80090326)

Penyebab

Masalah ini terjadi jika salah satu kondisi berikut ini benar:

• Penggunaan rute yang ditentukan pengguna (UDR) dengan rute default pada Subnet Gateway diatur dengan tidak benar.
• Kunci publik sertifikat akar tidak diunggah ke gateway AZURE VPN.
• Kunci rusak atau kedaluwarsa.

Solusi

Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:

1. Hapus UDR pada Subnet Gateway. Pastikan UDR meneruskan semua lalu lintas dengan benar.
2. Periksa status sertifikat akar di portal Microsoft Azure untuk melihat apakah sertifikat tersebut dicabut. Jika tidak dicabut, coba hapus sertifikat akar dan muat ulang. Untuk informasi selengkapnya, lihat Membuat sertifikat.

Kesalahan klien VPN: Rantai sertifikat diproses tetapi dihentikan

Gejala

Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:

Rantai sertifikat diproses tetapi dihentikan dalam sertifikat akar yang tidak dipercaya oleh penyedia kepercayaan.

Solusi

1. Pastikan bahwa sertifikat berikut berada di lokasi yang benar:

   Sertifikat	Lokasi
   AzureClient.pfx	Pengguna Saat Ini\Pribadi\Sertifikat
   Azuregateway-GUID.cloudapp.net	Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya
   AzureGateway-GUID.cloudapp.net, AzureRoot.cer	Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya

2. Jika sertifikat sudah berada di lokasi, cobalah untuk menghapus sertifikat dan menginstalnya kembali. Sertifikat azuregateway-GUID.cloudapp.net berada dalam paket konfigurasi klien VPN yang Anda unduh dari portal Microsoft Azure. Anda dapat menggunakan arsip berkas untuk mengekstrak berkas dari paket.

Kesalahan pengunduhan file: Target URI tidak ditentukan

Gejala

Anda mungkin menerima pesan kesalahan berikut:

Kesalahan pengunduhan file. URI target tidak ditentukan.

Penyebab

Masalah ini terjadi karena jenis gateway yang salah.

Solusi

Jenis gateway VPN harus VPN,dan jenis VPN harus RouteBased.

Kesalahan klien VPN: Skrip kustom Azure VPN gagal

Gejala

Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:

Skrip kustom (untuk memperbarui tabel perutean Anda) gagal. (Kesalahan 8007026f)

Penyebab

Masalah ini mungkin terjadi jika Anda mencoba membuka koneksi VPN situs-ke-titik dengan menggunakan pintasan.

Solusi

Buka paket VPN secara langsung alih-alih membukanya dari pintasan.

Tidak dapat menginstal klien VPN

Penyebab

Diperlukan sertifikat tambahan untuk mempercayai gateway VPN untuk jaringan virtual Anda. Sertifikat disertakan dalam paket konfigurasi klien VPN yang dihasilkan dari portal Microsoft Azure.

Solusi

Ekstrak paket konfigurasi klien VPN, dan temukan berkas .cer ini. Untuk menginstal sertifikat, ikuti langkah-langkah berikut:

1. Jalankan mmc.exe.
2. Tambahkan snap-in Sertifikat.
3. Pilih akun Komputer untuk komputer lokal.
4. Klik kanan simpul Otoritas Sertifikasi Akar Tepercaya. Klik Impor Semua>Tugas, dan telusuri ke file .cer yang Anda ekstrak dari paket konfigurasi klien VPN.
5. Mulai ulang komputer.
6. Tidak bisa menginstal klien VPN.

Kesalahan portal Microsoft Azure: Gagal menyimpan gateway VPN, dan data tidak valid

Gejala

Ketika Anda mencoba menyimpan perubahan untuk gateway VPN di portal Microsoft Azure, Anda menerima pesan kesalahan berikut:

Gagal menyimpan gateway jaringan virtual <nama gateway>. Data untuk <ID sertifikat> tidak valid.

Penyebab

Masalah ini mungkin terjadi jika kunci publik sertifikat akar yang Anda unggah berisi karakter yang tidak valid, seperti spasi.

Solusi

Pastikan bahwa data dalam sertifikat tidak berisi karakter yang tidak valid, seperti pemisah baris (pengangkutan kembali). Seluruh nilai harus satu baris panjang. Teks berikut adalah contoh sertifikat:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Kesalahan portal Microsoft Azure: Gagal menyimpan gateway VPN, dan nama sumber daya tidak valid

Gejala

Ketika Anda mencoba menyimpan perubahan untuk gateway VPN di portal Microsoft Azure, Anda menerima pesan kesalahan berikut:

Gagal menyimpan gateway jaringan virtual <nama gateway>. Nama sumber daya <nama sertifikat yang Anda coba unggah> tidak valid.

Penyebab

Masalah ini terjadi karena nama sertifikat memuat karakter yang tidak-valid, seperti spasi.

Kesalahan portal Microsoft Azure: Kesalahan pengunduhan file paket VPN 503

Gejala

Ketika Anda mencoba mengunduh paket konfigurasi klien VPN, Anda menerima pesan kesalahan berikut:

Gagal mengunduh file. Detail kesalahan: kesalahan 503. Server sibuk.

Solusi

Kesalahan ini bisa disebabkan oleh masalah jaringan sementara. Coba unduh paket VPN lagi setelah beberapa menit.

Pemutakhiran Azure VPN Gateway: Semua klien titik-ke-situs tidak dapat tersambung

Penyebab

Jika sertifikat lebih dari 50 persen selama masa pakainya, sertifikat digulirkan.

Solusi

Untuk mengatasi masalah ini, mengunduh ulang dan menyebarkan ulang paket titik-ke-situs pada semua klien.

Terlalu banyak klien VPN yang terhubung sekaligus

Jumlah maksimum sambungan yang diperbolehkan tercapai. Anda dapat melihat jumlah total klien yang terhubung di portal Microsoft Azure.

Klien VPN tidak dapat mengakses berbagi file jaringan

Gejala

Klien VPN telah terhubung ke jaringan virtual Azure. Namun, klien tidak dapat mengakses berbagi jaringan.

Penyebab

Protokol SMB digunakan untuk akses berbagi file. Ketika koneksi dimulai, klien VPN menambahkan kredensial sesi, dan kegagalan terjadi. Setelah koneksi dibuat, klien dipaksa untuk menggunakan kredensial cache untuk autentikasi Kerberos. Proses ini memulai kueri ke Pusat Distribusi Utama (pengontrol domain) untuk mendapatkan token. Karena klien tersambung dari Internet, klien mungkin tidak dapat menjangkau pengontrol domain. Oleh karena itu, klien tidak dapat melakukan failover dari Kerberos ke NTLM.

Satu-satunya waktu klien dimintai kredensial adalah ketika memiliki sertifikat yang valid (dengan SAN=UPN) yang dikeluarkan oleh domain tempat klien bergabung. Klien juga harus terhubung secara fisik ke jaringan domain. Dalam hal ini, klien mencoba menggunakan sertifikat dan menjangkau pengontrol domain. Kemudian Pusat Distribusi Utama mengembalikan kesalahan "KDC_ERR_C_PRINCIPAL_UNKNOWN". Klien terpaksa gagal ke NTLM.

Solusi

Untuk mengatasi masalah tersebut, nonaktifkan penembolokan kredensial domain dari subkunci registrasi berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Tidak dapat menemukan koneksi VPN titik-ke-situs di Windows setelah menginstal ulang klien VPN

Gejala

Anda menghapus koneksi VPN point-to-site lalu menginstal ulang klien VPN. Dalam situasi ini, koneksi VPN tidak berhasil dikonfigurasi. Anda tidak melihat koneksi VPN di pengaturan Koneksi jaringan di Windows.

Solusi

Untuk mengatasi masalah tersebut, hapus file konfigurasi klien VPN lama dari C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId>, lalu jalankan penginstal klien VPN lagi.

Klien VPN titik-ke-situs tidak dapat menyelesaikan FQDN sumber daya di domain lokal

Gejala

Saat klien tersambung ke Azure dengan menggunakan koneksi VPN titik-ke-situs, klien tidak dapat menyelesaikan FQDN sumber daya di domain lokal Anda.

Penyebab

Klien VPN point-to-site biasanya menggunakan server Azure DNS yang dikonfigurasi di jaringan virtual Azure. Server Azure DNS lebih diutamakan daripada server DNS lokal yang dikonfigurasi di klien (kecuali metrik antarmuka Ethernet lebih rendah), sehingga semua kueri DNS dikirim ke Azure DNS server. Jika server Azure DNS tidak memiliki rekaman untuk sumber daya lokal, kueri gagal.

Solusi

Untuk mengatasi masalah tersebut, pastikan bahwa server Azure DNS yang digunakan di jaringan virtual Azure bisa mengatasi catatan DNS untuk sumber daya lokal. Untuk melakukan ini, Anda bisa menggunakan Penerus DNS atau penerus bersyarat. Untuk informasi selengkapnya, lihat Resolusi nama menggunakan server DNS Anda sendiri.

Koneksi VPN titik-ke-situs dibuat, tetapi Anda masih tidak dapat tersambung ke sumber daya Azure

Penyebab

Masalah ini mungkin terjadi jika klien VPN tidak mendapatkan rute dari gateway Vpn Azure.

Solusi

Untuk mengatasi masalah ini, reset gateway VPN Azure. Klien VPN Point-to-Site harus diunduh lagi setelah lalu lintas komunikasi jaringan virtual berhasil dikonfigurasi untuk memastikan rute baru diunduh ke klien.

Kesalahan: "Fungsi pencabutan tidak dapat memeriksa pencabutan karena server pencabutan sedang offline. (0x80092013 Kesalahan)"

Penyebab

Pesan kesalahan ini terjadi jika klien tidak dapat mengakses http://crl3.digicert.com/ssca-sha2-g1.crl dan http://crl4.digicert.com/ssca-sha2-g1.crl. Pemeriksaan pencabutan memerlukan akses ke dua situs ini. Masalah ini biasanya terjadi pada klien yang memiliki server proksi yang dikonfigurasi. Di beberapa lingkungan, jika permintaan tidak melalui server proksi, permintaan akan ditolak di firewall tepi.

Solusi

Periksa pengaturan server proksi, pastikan bahwa klien dapat mengakses http://crl3.digicert.com/ssca-sha2-g1.crl dan http://crl4.digicert.com/ssca-sha2-g1.crl.

Kesalahan Klien VPN: Koneksi dicegah karena kebijakan yang dikonfigurasi pada server RAS/VPN Anda. (Kesalahan 812)

Penyebab

Kesalahan ini terjadi jika server RADIUS yang Anda gunakan untuk mengautentikasi klien VPN memiliki pengaturan yang salah, atau Azure Gateway tidak dapat menjangkau server Radius.

Solusi

Pastikan bahwa server RADIUS dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Mengintegrasikan autentikasi RADIUS dengan Azure Multi-Factor Authentication Server.

"Kesalahan 405" ketika Anda mengunduh sertifikat root dari VPN Gateway

Penyebab

Sertifikat akar belum diinstal. Sertifikat akar diinstal di penyimpanan Sertifikat tepercaya klien.

Kesalahan Klien VPN: Koneksi jarak jauh tidak dibuat karena terowongan VPN yang dicoba gagal. (Kesalahan 800)

Penyebab

Driver NIC sudah ketinggalan zaman.

Solusi

Perbarui driver NIC:

1. Klik Mulai,ketik Manajer Perangkat, dan pilih dari daftar hasil. Jika Anda dimintai kata sandi atau konfirmasi administrator, ketikkan kata sandi atau berikan konfirmasi.
2. Di kategori Adaptor jaringan, cari NIC yang ingin Anda perbarui.
3. Klik ganda nama perangkat, pilih Perbarui driver, pilih Cari perangkat lunak driver yang diperbarui secara otomatis.
4. Jika Windows tidak menemukan driver baru, Anda bisa coba mencarinya di situs web produsen perangkat dan mengikuti instruksi mereka.
5. Mulai ulang komputer, lalu coba sambungkan kembali.

Kesalahan Klien VPN: Memutar koneksi VPN <Nama Koneksi VPN>, Status = Platform VPN tidak memicu koneksi

Anda mungkin juga melihat kesalahan berikut dalam Pemantau Peristiwa dari RasClient: "Pengguna <> memanggil koneksi bernama <VPN Koneksi ion Name> yang telah gagal. Kode kesalahan yang dikembalikan pada kegagalan adalah 1460."

Penyebab

Klien Azure VPN tidak mengaktifkan Izin Aplikasi "Aplikasi latar belakang" di App Pengaturan untuk Windows.

Solusi

1. Buka Start, lalu pilih Pengaturan -> Privasi -> Aplikasi latar belakang
2. Aktifkan "Izinkan aplikasi berjalan di latar belakang"

Kesalahan: ‘Kesalahan pengunduhan file Target URI tidak ditentukan’

Penyebab

Ini disebabkan oleh jenis gateway yang salah dikonfigurasi.

Solusi

Jenis gateway VPN harus VPN dan jenis VPN harus RouteBased.

Alat penginstal paket VPN tidak lengkap

Penyebab

Masalah ini dapat disebabkan oleh instalasi klien VPN sebelumnya.

Solusi

Untuk mengatasi masalah tersebut, hapus file konfigurasi klien VPN lama dari C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId>, lalu jalankan penginstal klien VPN lagi.

Klien VPN berhibernasi atau tidur

Solusi

Periksa setelan tidur dan hibernasi di komputer yang dijalankan klien VPN.

Saya tidak dapat mengatasi rekaman di Zona DNS Privat menggunakan Pemecah Masalah Privat dari klien titik-ke-situs.

Gejala

Saat Anda menggunakan server DNS yang disediakan Azure (168.63.129.16) di jaringan virtual, klien point-to-site tidak akan dapat menyelesaikan rekaman yang ada di Zona DNS Privat (termasuk titik akhir privat).

Penyebab

Alamat IP server Azure DNS (168.63.129.16) hanya dapat diselesaikan dari platform Azure.

Solusi

Langkah-langkah berikut membantu Anda mengatasi rekaman dari zona DNS Privat:

Mengonfigurasi alamat IP masuk penyelesai privat sebagai server DNS kustom di jaringan virtual membantu Anda menyelesaikan rekaman di zona DNS privat (termasuk yang dibuat dari Titik Akhir Privat). Perhatikan zona DNS Privat harus dikaitkan dengan jaringan virtual yang memiliki Pemecah Masalah Privat.

Secara default, server DNS yang dikonfigurasi pada jaringan virtual akan didorong ke klien titik-ke-situs yang terhubung melalui gateway VPN. Oleh karena itu, mengonfigurasi alamat IP masuk pemecah masalah privat sebagai server DNS kustom di jaringan virtual akan secara otomatis mendorong alamat IP ini ke klien sebagai server DNS VPN dan Anda dapat menyelesaikan rekaman dengan mulus dari zona DNS privat (termasuk titik akhir privat).